Risk and Compliance, Pendekatan Apa yang Lebih Tepat untuk Perusahaan Anda?
Saat ini semakin banyak organisasi yang menyadari pentingnya manajemen risiko cybersecurity.
Sebagai informasi, jumlah biaya rata-rata yang harus dikeluarkan organisasi untuk menangani dampak insiden pencurian data adalah sebesar USD 3,86 juta, sedangkan waktu yang dibutuhkan oleh organisasi untuk mengidentifikasi pelanggarannya adalah 280 hari.
Bahkan, untuk organisasi sekelas enterprise, biaya yang harus dikeluarkan bisa jauh lebih besar lagi. Sebagai contoh, Capital One, memperkirakan jumlah kerugian yang dialami akibat insiden pencurian data di tahun 2019 mencapai USD 150 juta.
Di samping itu perlu diketahui, meskipun organisasi tidak kehilangan informasi berharga akibat pencurian data, pada kenyataannya tetap ada biaya dan waktu yang harus organisasi alokasikan untuk mematuhi peraturan industri yang ketat dan perlindungan data dan privasi.
Terlebih bagi organisasi yang menjalankan bisnis di wilayah Uni Eropa karena harus patuh pada General Data Protection Regulation (GDPR). Dalam GDPR sendiri terdapat ancaman denda senilai USD 24 juta atau sebesar 4% dari omzet global tahunan yang siap mengintai organisasi jika kedapatan melanggar peraturan.
Mengingat dampak pencurian data dan risiko pelanggaran peraturan inilah yang membuat semakin banyak organisasi memprioritaskan cybersecurity sebagai inti dari program manajemen risikonya. Program ini sendiri biasanya berada di bawah naungan Chief Information Security Officer (CISO).
Meski begitu, program manajemen risiko cybersecurity tiap organisasi bisa berbeda tergantung dari goals yang ingin dicapai. Beberapa organisasi mungkin memilih untuk sekedar patuh pada peraturan industri, sementara yang lainnya memilih lebih fokus pada upaya menanggulangi dampak cybersecurity sebagai risiko yang sesungguhnya.
Sayangnya, organisasi yang berfokus pada kepatuhan saja mengabaikan faktor risiko substansial. Meskipun organisasi telah menyiapkan postur pertahanan yang dapat membantu mengurangi banyak ancaman yang diketahui, namun belum tentu organisasi telah memiliki visibilitas terhadap adanya kemungkinan ancaman-ancaman yang sewaktu-waktu dapat berubah, sehingga mungkin organisasi tidak siap untuk skenario-skenario yang mungkin muncul.
Dalam kasus pandemi COVID-19, misalnya, sejumlah besar organisasi tidak menyadari dan menemukan keamanan mereka terganggu ketika tim mereka beralih ke Work From Home (WFH) tanpa infrastruktur atau persiapan yang memadai, akibatnya terjadi peningkatan peluang organisasi terhadap risiko penipuan dan pelanggaran data. Terjadi kenaikan persentase pelanggaran data skala besar di Q1 tahun 2020 hingga 300% dibandingkan dengan kuartal sebelumnya.
Oleh karena itu, organisasi dituntut memiliki persiapan matang untuk menghadapi segala skenario yang mungkin terjadi. Salah satu caranya adalah dengan implementasi cybersecurity yang fokus pada manajemen risiko, bukan hanya kepatuhan. Berikut, serangkaian cara yang bisa dilakukan organisasi untuk memulai program manajemen risiko:
- Membentuk Tim Pengarah
Bentuk tim pengarah yang dapat membantu melaporkan kemunculan risiko di seluruh organisasi, berkolaborasi untuk menentukan mana yang merupakan prioritas tertinggi untuk ditangani.
2. Fokuskan tujuan, mana tujuan yang bersifat aspiratif dan mana tujuan yang dapat dicapai
Saat menyusun rencana, pastikan Anda fokus pada tujuan yang bisa dicapai. Aturan praktisnya yang baik adalah mempertimbangkan hanya rencana yang dapat diimplementasikan dalam waktu dua tahun.
3. Beri organisasi Anda masa tenggang
Kebijakan dan teknologi baru tidak dapat diterapkan secara instan. Berikan waktu kepada organisasi Anda untuk meneliti opsi dan memastikan fokus pada implementasi dan edukasi bagi tim.
4. Fokus Pada Mission-Critical System Dan Aset Data
Gunakan penilaian dampak untuk menilai kekritisan setiap sistem atau aset yang terkena dampak dari sudut pandang bisnis saat menentukan risiko apa yang harus diprioritaskan.
5. Manfaatkan Produk GRC Untuk Mempermudah Proses
Dengan memilih teknologi yang tepat, proses penanggulangan risiko bisa dilakukan secara semi-otomatis. Sehingga Anda bisa fokus mengerjakan pekerjaan esensial lainnya.
6. Bagikan Ide Anda Untuk Mencari Pendekatan yang Paling Tepat
Presentasikan ide dan rencana Anda kedepannya terkait bisnis kepada para stakeholder untuk menentukan sistem keamanan, investasi, dan target terbaik untuk melebarkan bisnis.
7. Lakukan Pendekatan Bertahap / piloting
Jangan melakukan semuanya sekaligus. Mulailah dengan inisiatif prioritas tinggi dan kembangkan program Anda dari sana.
8. Implementasikan Program yang Telah Dibuat pada Departemen Lainnya
Setelah program manajemen risiko selesai dibuat, implementasikan program melalui pembaruan kebijakan, edukasi, dan pembangunan kesadaran pada departemen lainnya, sehingga program dapat teraplikasikan di seluruh perusahaan.
Beritahukan Program yang Dibuat Kepada Klien dan Mitra Organisasi Anda
Dengan menunjukkan upaya organisasi dalam menangani cybersecurity, Anda turut meningkatkan value organisasi di hadapan klien maupun mitra.
Sementara itu, untuk memulai proses risk assessment, organisasi bisa menggunakan panduan berikut ini:
- Buat profile: Mulailah dengan membuat profil bisnismu dengan inventaris risiko.
- Tetapkan dampak bisnis: Tuliskan risiko finansial dan reputasi apa yang akan dihadapi bisnis Anda.
- Penilaian ancaman: Seberapa besar kemungkinan risiko akan terjadi berdasarkan perhitungan data historis dan data industri?
- Penilaian kerentanan: Apa titik lemah yang saat ini ada di organisasi Anda?
- Tetapkan risiko: Tentukan risiko mana yang perlu diprioritaskan.
- Perlakuan terhadap risiko: Berdasarkan biaya yang harus dikeluarkan dan dampak yang ditimbulkan, bagaimanakah perlakuan terhadap risiko yang harus diambil, dikurangikah, dihindarikah, ditransferkah, atau diterima sajakah setiap risiko?
Ingatlah bahwa cyber risk tidak boleh menggunakan pendekatan silo-based. Selain itu, hal yang juga perlu diperhatikan adalah pelatihan dan arah bagi seluruh departemen agar kedepannya organisasi mampu mengatasi segala masalah yang berkaitan dengan cybersecurity.
Sebagai contoh, departemen HR diminta menerapkan kebijakan untuk menghindari ancaman yang datangnya dari pihak internal, divisi awareness and education perlu menggelar seminar tentang pencegahan serangan rekayasa sosial, dan supplier agreement organisasi dituntut untuk menggunakan bahasa yang sesuai dan menerapkan standar minimum guna mengurangi risiko seperti pelanggaran yang datang dari pihak ketiga.
Mau Proses Implementasi Program Manajemen Risiko Jadi Lebih Mudah?
Tak dapat disangkal bahwa implementasi cybersecurity dan perencanaan program manajemen risiko memerlukan step yang panjang dan tidak mudah. Tapi, bagaimana kalau kami beritahu Anda proses ini bisa disederhanakan?
Seperti yang sempat dibahas sebelumnya, tidak ada aturan yang melarang Anda menggunakan teknologi untuk mempermudah proses implementasi manajemen risiko. Oleh karena itu, Anda bisa memanfaatkan teknologi tepat untuk proses yang lebih cepat.
Di AMT IT Solutions kami menyediakan teknologi yang dapat mendukung proses implementasi manajemen risiko organisasi Anda seperti Highbond dari Galvanize. Memiliki sejumlah produk yang berbeda, Highbond mampu mengotomatiskan sejumlah tasks yang menjadi bagian dari program manajemen risiko organisasi Anda. Untuk informasi produk Highbond selengkapnya, Anda bisa menghubungi AMT IT Solutions.
Bersama AMT IT Solutions dan Galvanize, kami bantu perencanaan program manajemen risiko organisasi Anda sampai terlaksana!
