Hampir setiap organisasi, dari industri apa pun, memanfaatkan pihak ketiga untuk meningkatkan kemampuan, efisiensi biaya, dan inovasi serta mengalihkan risiko. Proses penerimaan pihak ketiga yang efektif dan kuat dikombinasikan dengan uji tuntas yang menangani risiko dunia maya, terutama untuk keamanan teknologi informasi (TI). Hal ini dapat dicapai dengan menerapkan langkah-langkah berikut.
- Penilaian Risiko Komprehensif
Perusahaan dapat mengembangkan dan mengadopsi kuesioner penilaian dengan fokus pada kontrol teknis dan privasi yang sesuai dengan peraturan dan pedoman khusus industri.
- Verifikasi Pengesahan dan Sertifikasi
Perusahaan perlu memverifikasi kepatuhan pihak ketiga terhadap peraturan, standar industri, dan pengesahan yang berlaku. Hal ini biasanya dilakukan dengan meninjau laporan yang dikirimkan dan memastikan bahwa informasi yang diberikan adalah benar terkait dengan calon pihak ketiga, bukan penyedia layanan.
- Manajemen Kontrak
Ketentuan kontrak yang melindungi perusahaan harus dimasukkan, seperti tujuan bisnis yang disepakati, biaya keuangan, kewajiban, hak untuk mengaudit, service-level agreement (SLA), mekanisme pemantauan dan komunikasi, serta hak untuk mengakhiri kontrak.
- Pemantauan dan Pelaporan
Perusahaan mendefinisikan indikator kinerja utama (key performance indicator/KPI) dengan pihak ketiga yang harus dipantau pada frekuensi tertentu dengan pemangku kepentingan yang tepat. Setiap pelanggaran harus dilaporkan dan ditangani sampai dimitigasi.
- Manajemen dan Tanggapan Insiden
Perusahaan harus menguraikan dengan jelas tanggung jawab untuk respons insiden, jadwal, mekanisme eskalasi, dan persyaratan tambahan yang memungkinkan meminimalkan potensi gangguan.
Di sisi lain, berikut adalah praktik terbaik untuk mengelola pemberhentian atau pemutusan hubungan kerja (PHK) pihak ketiga.
- Penghentian Akses
Selain menghentikan dan memverifikasi akses fisik, sangat penting bagi perusahaan untuk memverifikasi apakah akses ke sistem atau Application Programming Interfaces (API) telah dicabut. Langkah ini akan meminimalkan risiko bocornya data sensitif kepada pihak ketiga yang dihentikan.
- Manajemen Data
Perusahaan harus menetapkan proses yang memungkinkan organisasi untuk mengontrol siklus data. Proses ini diadakan untuk menghapus data dari pihak ketiga yang berhenti bekerja dengan aman.
- Memperbarui Basis Data Catatan Pihak Ketiga
Perusahaan perlu mendokumentasikan alasan penghentian, kontrak, KPI, dan transaksi keuangan, lalu mengikuti sistem penilaian yang memungkinkan pemutusan keterlibatan di masa depan.
- Penyimpanan Log
Dengan bergantung pada kelayakan finansial, log pihak ketiga harus disimpan untuk jangka waktu tertentu guna mengetahui apakah pelanggaran data terjadi setelah penghentian.
- Mekanisme Pemantauan dan Pemberitahuan
Meskipun pihak ketiga dihentikan, perusahaan perlu menguraikan ketentuan dalam kontrak untuk pemberitahuan insiden setelah penghentian.
Untuk mengurangi risiko keamanan TI, perusahaan dapat mengambil langkah proaktif untuk mengembangkan strategi keamanan siber guna melindungi diri dari risiko regulasi, keuangan, operasional, dan kepatuhan.
Artikel ini telah diterbitkan oleh ISACA, dengan judul “Third-Party Termination: Understanding Technology and Information Security Risks” pada 27 Februari 2024. Artikel selengkapnya dapat dibaca di sini.
