Bersiap menghadapi skenario terburuk adalah tanggung jawab para penasihat keuangan. Tetapi pakar keamanan siber memperingatkan: penasihat keuangan bakal menghadapi bencananya sendiri jika tidak bersiap melindungi perusahaannya dari serangan siber.
James Harrison, pendiri dan CEO kantor konsultan keamanan siber Invisus, dan pakar keamanan siber John Sileo mendesak badan usaha, besar maupun kecil, untuk mengadakan rencana keamanan yang lebih dari sekadar penunjukan direktur TI atau mengandalkan kawan yang cakap teknologi.
Menurut Harrison, strategi pertahanan dan rencana aksi untuk kebocoran data berperan vital dalam mengamankan perusahaan dan menguatkan pembelaan Anda di mata hukum. “Zaman sekarang, data adalah raja; data adalah emas. Nilainya lebih dari banyak instrumen keuangan. Maka, risiko pihak ketiga perlu menjadi bagian dari rencana Anda,” katanya.
Menurut kedua pakar ini, phishing, peretasan, dan beragam macam serangan siber bukanlah hal baru di industri jasa keuangan, tetapi banyak perusahaan menghadapi serangkaian ancaman yang terus berubah dengan dilanjutkannya kebijakan kerja dari rumah untuk karyawan, yang membuat sistem pengamanan digital jadi kian penting.
Langkah awalnya
Salah satu bagian terpenting dalam menyusun rencana keamanan siber adalah memilih firma konsultan yang dapat menjalankan asesmen keamanan, menurut Sileo. “Jika gap di sistem pertahanan Anda belum diverifikasi oleh firma keamanan eksternal, tidak peduli sekecil atau sebesar apa perusahaannya, Anda harus memprioritaskan kebutuhan tersebut,” katanya.
Sileo mengimbau pihak yang belum memiliki rencana keamanan siber untuk meminta rekomendasi penyedia jasa dari para kolega seprofesinya. “Jika Anda tergabung dalam komunitas usaha atau grup Top of the Table, tanya rekan di sana, siapa yang mereka gunakan jasanya untuk menjalankan asesmen keamanan. Atau coba tanyakan ke bank setempat karena boleh jadi mereka bisa merekomendasikan penyedia jasa yang terkemuka,” katanya.
Ia berkata bahwa biaya untuk menyewa jasa firma pelaksana asesmen keamanan siber sepadan dengan manfaatnya, mengingat perubahan yang terjadi di dunia keamanan siber selama pandemi, khususnya di bidang cloud computing. “Pencegahan jauh lebih murah dari perbaikan.”
Harrison berkata asesmen tersebut akan menentukan jenis-jenis kerentanan dan memadai tidaknya rencana keamanan yang dimiliki. Pertama, konsultan akan mengkaji komitmen pihak manajemen terhadap keamanan siber, kata Harrison. “Adakah pejabat yang ditunjuk (untuk mengawasi keamanan siber)? Jika Anda praktisi independen, orangnya ya Anda sendiri,” katanya.
Untuk Anda membuka kantor praktik bersama beberapa partner, tentukan siapa yang akan mengawasi program keamanan dan pastikan rencananya sudah sesuai dengan regulasi keamanan siber, sambung Harrison. “Kebijakan dan prosedur yang terdokumentasi, itulah yang ingin dilihat auditor atau badan regulasi.” Rencana tersebut harus memuat hal-hal fundamental seperti pelaksanaan asesmen risiko tahunan, informasi tentang pencegahan kebocoran data, dan kebijakan program pelatihan untuk staf.
Menurut Harrison, adanya rencana ini tidak hanya akan melindungi Anda, tetapi juga membuat nasabah yakin bahwa informasi mereka aman. “Bukan berarti Anda harus menunjukkan kebijakan dan prosedur itu kepada nasabah. Tapi bahwa rencana keamanan itu tersedia, dijalankan, dan memenuhi regulasi SEC dan negara – itulah yang akan menenangkan mereka,” katanya.
Menutup gapnya
Begitu asesmen awal selesai, pemilik usaha perlu menggunakan temuan-temuannya sebagai titik awal penyusunan atau penyempurnaan kebijakan dan prosedur yang sudah ada. Sileo menyarankan langkah awal mencari tahu mana komputer perusahaan yang sistem operasinya sudah usang. Ada kalanya, komputer mungkin perlu diganti karena model lama mungkin tidak mendukung pemutakhiran sistem keamanan, katanya.
Pemutakhiran sistem tersebut “mutlak penting” sifatnya dalam menjaga agar jaringan Anda tidak dapat ditembus, tegasnya. Termasuk semua perangkat elektronik yang dipakai untuk bekerja — komputer, tablet, ponsel, dan gawai pintar lainnya — imbuh Sileo, sembari menganjurkan perusahaan, khususnya yang kecil, untuk mengatur agar pemutakhirannya diotomasi “sehingga sistemnya tetap mutakhir setiap kali ada ancaman baru.”
Adanya rencana ini tidak hanya akan melindungi Anda, tetapi juga membuat nasabah yakin bahwa informasi mereka aman.
—James Harrison
Pemastian enkripsi data adalah langkah selanjutnya dalam menyusun rencana keamanan siber yang memadai, lanjut Sileo. Termasuk semua data di komputer, hard drive, dan – mungkin yang terpenting – data yang ditransfer lintas platform atau ke penyimpanan awan (cloud). “Entah berapa banyak surel tak terenkripsi yang sudah saya lihat dalam komunikasi perencana keuangan dan agen asuransi jiwa dengan nasabah. Padahal di surel itu ada nomor Jaminan Sosial dan nomor serta informasi rekening bank,” katanya.
Begitu pun, dewasa ini, enkripsi data dan langkah keamanan lainnya, seperti penggunaan firewall dan VPN, tak terlalu berguna dalam melindungi data perusahaan bila karyawan bekerja di luar kantor, kata Harrison. Pasalnya, peretas bisa mengakses data dengan menyusup melalui koneksi WIFI. “Mereka akan menembus benteng VPN dan autentikasi multi-faktor untuk masuk langsung ke sistem perusahaan dari jaringan di rumah Anda,” kata Harrison memperingatkan.
Ini masalah yang merepotkan korporasi besar sekalipun, tetapi juga mudah diselesaikan, kata Harrison. Ia mendorong perusahaan besar dan kecil untuk meminta para karyawan menandatangani perjanjian yang mewajibkan mereka mengikuti protokol keamanan siber saat bekerja dari rumah. Perusahaan juga perlu melakukan cek keamanan berkala pada router WIFI dan komputer yang digunakan di rumah.
Langkah selanjutnya
Adanya rencana adalah fondasi penyusunan strategi jangka panjang untuk keamanan siber yang berkelanjutan, seperti pelaksanaan cek keamanan berkala oleh konsultan pihak ketiga. Pelibatan pihak lain di luar tim TI perusahaan adalah langkah penting untuk tetap up to date dengan ancaman yang selalu berubah dan regulasi baru, menurut Harrison.
Menguji kerentanan dan tetap mengikuti perkembangan regulasi adalah pekerjaan yang tidak siap ditangani banyak praktisi TI, katanya. “Satu hal lagi yang biasanya tidak dilakukan orang TI: menguji [kerentanan] dari luar ke dalam. Mereka tidak menggunakan alat-alat uji dan mencoba meretas atau menembus jaringan untuk melihat titik-titik kemungkinan terjadinya peretasan.”
Kadang-kadang, serangan siber timbul karena perusahaan lain yang berafiliasi dengan Anda menjadi target peretas – yang membuat lubang kerentanannya sulit disumbat, kata Harrison. Ia mencontohkan perkembangan terbaru di kalangan manajer dana lindung nilai yang memperdagangkan saham perusahaan-perusahaan Fortune 500. Ternyata, banyak dari mereka yang meriset afiliasi perusahaan tersebut untuk mengidentifikasi ancaman keamanan siber. “Apa kaitan risiko mereka dengan kita? Para emiten di bursa saham kini akan diberi skor untuk kesiapan keamanan siber, dan mereka menelusuri hingga ke pihak-pihak ketiga untuk memvalidasi risikonya,” jelasnya. Itu model yang perlu dipertimbangkan penasihat keuangan, apa pun ukuran badan usahanya.
Ia juga merekomendasikan pembelian asuransi keamanan siber, kalau-kalau semua upaya mencegah kebocoran gagal. Selain membentengi perusahaan Anda dari serangan, adanya rencana penanggulangan risiko siber juga bisa menguatkan posisi Anda saat mengajukan klaim jika sistem diretas.
“Perusahaan asuransi siber tidak akan menolak pengajuan klaim asuransi Anda,” katanya, sembari menyarankan agar perusahaan skala kecil-menengah membeli polis dengan nilai pertanggungan $500 ribu hingga $1 juta. “Tapi pahami juga bahwa, tanpa rencana keamanan siber dan jika seluruh protokol dan prosedur keamanan TI tidak dijalankan, klaim Anda akan ditolak dan premi Anda akan digandakan untuk tahun berikutnya. Jadi, compliance itu amat penting dan menyusun serta mendokumentasikan rencana keamanan adalah cara paling sederhana, mudah, dan terjangkau untuk memenuhi aturan kepatuhan.”
KONTAK
James Harrison james@invisus.com
John Sileo john@sileo.com