Organisasi selalu mencari cara untuk membedakan diri dari kompetisi. Dalam era stakeholder capitalism, faktor-faktor seperti perhatian terhadap lingkungan, sosial, dan tata kelola perusahaan (ESG) semakin menjadi perhatian utama dalam rapat-rapat dewan.
Investor institusional, dan semakin banyak investor individual, ingin berinvestasi dalam perusahaan-perusahaan yang memiliki praktik yang sejalan dengan nilai-nilai mereka, termasuk perlindungan data yang tepat. Keamanan siber merupakan bagian penting dari tata kelola perusahaan dalam ESG. Agensi peringkat seperti Moody’s telah mengembangkan metodologi peringkat ESG dan kini juga melakukannya untuk keamanan siber.
Menangani peringkat keamanan siber ini membantu perusahaan memantau dan mengelola risiko siber secara lebih terstruktur. Beberapa layanan peringkat keamanan siber memungkinkan tim keamanan siber berlangganan untuk mengelola data yang digunakan dalam peringkat tersebut. Tim ini juga menggunakan layanan tersebut untuk memantau pihak ketiga dan mencari kelemahan yang dapat menyebabkan insiden siber.
Penyedia layanan rating ini juga digunakan oleh penasehat proksi untuk melengkapi data keuangan dalam laporan proksi tahunan. Selain itu, perusahaan asuransi cyber juga menggunakan peringkat ini untuk menilai aplikasi dan membantu klien meningkatkan lingkungan kontrol mereka.
Pada intinya, praktik seperti ini meningkatkan kepercayaan dalam ekonomi digital. Seperti halnya peringkat kredit korporat, peringkat keamanan siber dapat dilakukan dengan atau tanpa keterlibatan entitas yang dinilai. Analisis mendalam dapat dilakukan secara pribadi atau dibagikan secara terbuka. Peringkat ini juga dapat ditampilkan oleh organisasi untuk menunjukkan kinerja mereka melalui badge digital yang dapat diklik oleh pelanggan untuk melihat peringkat dari perusahaan yang menerbitkan rating tersebut.
Organisasi yang ingin mengoptimalkan profil kepercayaan digital mereka perlu memahami kontrol dan proses mana yang perlu dioptimalkan. Model peringkat keamanan dirancang untuk mengumpulkan data dari sumber eksternal dengan parsimoni, mencari korelasi tinggi antara status kontrol (dan lebih penting lagi, status kontrol dari waktu ke waktu) dengan insiden keamanan. Pendekatan ini membuat asumsi tentang keadaan proses manajemen kerentanan organisasi berdasarkan metrik eksternal tentang bagaimana kerentanan dikelola.
Seiring profesi keamanan siber semakin matang, praktik-praktik dari disiplin lain diadopsi untuk memperkuat profil dan kemampuan kepercayaan digital. Mirip dengan peringkat kredit, peringkat keamanan siber awalnya tidak populer tetapi akhirnya diterima karena konsistensi dan dapat diprediksi. Sebagai pengguna layanan ini, peringkat keamanan independen menjadi pedoman tambahan untuk membantu dalam pengambilan keputusan risiko terkait dengan mitra bisnis. Dalam menetapkan harapan pasar terhadap kepercayaan digital, peringkat keamanan independen akan menjadi indikasi dari praktik keamanan yang solid.
Artikel ini telah diterbitkan oleh ISACA, dengan judul “Cyber Ratings as Measures of Digital Trust” pada 26 Oktober 2022. Artikel selengkapnya dapat dibaca di sini.