Oleh: Haris Firmansyah, SE & Sekretariat IRMAPA

Risiko siber adalah ancaman besar bagi perusahaan karena dampaknya dapat memengaruhi operasional, keuangan, hingga reputasi. Salah satu tantangan utama adalah risiko dari pihak ketiga dan pihak keempat. Data perusahaan sering kali disimpan atau diproses oleh pihak ketiga, seperti penyedia layanan Software as a Service (SaaS) atau Cloud. Ketika pihak ketiga ini bekerja sama dengan pihak lain (pihak keempat), risiko menjadi semakin rumit.

Langkah pertama dalam mengelola risiko pihak keempat adalah mengetahui siapa saja yang menangani data sensitif perusahaan. Di sektor seperti perbankan atau kesehatan, regulasi sering kali mewajibkan pihak ketiga untuk mengungkapkan informasi tentang pihak keempat melalui kontrak. Namun, jika kontrak tidak mencakup hal ini, perusahaan sering kesulitan mendapatkan informasi dari vendor yang tidak kooperatif.

Manajemen Permukaan Serangan Eksternal (External Attack Surface Management atau EASM) adalah metode untuk mengidentifikasi celah keamanan pada aset digital perusahaan yang dapat diakses publik, termasuk aset yang melibatkan pihak ketiga dan keempat. Teknologi berbasis kecerdasan buatan (Artificial Intelligence atau AI) dapat membantu secara otomatis memindai dan melaporkan risiko, bahkan pada aset yang sebelumnya tidak diketahui perusahaan.

Cara Mengelola Risiko Pihak Keempat

  • Tinjau Mekanisme Keamanan: Mintalah pihak ketiga untuk menjelaskan bagaimana mereka memantau keamanan pihak keempat dan bagaimana insiden akan dilaporkan.
  • Perbarui SLA: Pastikan perjanjian layanan (Service Level Agreement atau SLA) sesuai dengan kebijakan pemulihan bencana dan kontinuitas bisnis perusahaan Anda.

Mengelola risiko rantai pasokan membutuhkan kerja sama dari berbagai tim, seperti manajemen vendor, IT, dan aplikasi. Informasi tentang pihak ketiga dan keempat sebaiknya diperbarui setiap tahun bersamaan dengan tinjauan kontrak dan SLA. Menggunakan platform manajemen risiko yang terintegrasi juga mempermudah pelacakan dan pelaporan risiko.

Mengelola risiko pihak keempat memerlukan pendekatan yang menyeluruh. Teknologi seperti EASM, proses manajemen risiko yang terencana, dan perjanjian kontrak yang kuat adalah kombinasi yang efektif. Dengan strategi ini, perusahaan dapat meminimalkan risiko dan menjaga keamanan data dengan lebih baik.

Artikel ini telah diterbitkan oleh PRMIA, dengan judul Cyber Risk – How to Effectively Manage Fourth-party Risks.