Invasi Rusia ke Ukraina dan meningkatnya permusuhan Putin terhadap Barat telah secara signifikan meningkatkan risiko serangan siber berskala besar. Akibatnya, investor keuangan semakin khawatir, dan perusahaan-perusahaan barat berada di bawah tekanan baru untuk menunjukkan kepada para pemangku kepentingan bahwa, jika skenario ini terjadi, mereka mempunyai pertahanan yang diperlukan untuk meminimalkan kerusakan dan menjadi tangguh. Namun, masih banyak yang belum mengetahui cara terbaik untuk memberikan jaminan tersebut kepada investornya.
Ada dua cara utama bagi perusahaan untuk mengungkapkan secara publik komponen kesiapan siber mereka:
- Dengan melakukan pengungkapan teknologi secara spesifik dalam pemberitaan mereka, seperti yang diusulkan oleh World Economic Forum.
- Dengan memasukkan bukti ke dalam kerangka pelaporan lingkungan, sosial dan tata kelola atau Environmental, Social, and Governance (ESG) yang ada.
Mengingat keamanan siber tidak lagi menjadi masalah teknologi atau TI yang terpisah di sebagian besar bisnis, sehingga di perlukan pelaporan ESG yang paling praktis, transparan, dan efektif. Meskipun lembaga keuangan seperti JP Morgan berpendapat bahwa metrik keamanan siber harus diklasifikasikan terutama sebagai piral 'social', tetapi terdapat permasalahan lingkungan dan tata kelola yang sama pentingnya. Misalnya, meskipun ada kekhawatiran baru mengenai keamanan energi global dan indikasi bahwa eksplorasi minyak dan gas kembali menjadi agenda politik, tanda-tanda awal menunjukkan bahwa investor tetap berkomitmen terhadap emisi net-zero dan dampak pengelolaan siber terhadap jejak karbon perusahaan (misalnya konsumsi bahan bakar teknologi komputasi awan) akan mendapat pengawasan yang lebih ketat.
Tekanan publik, tuntutan karyawan, dan peraturan pemerintah juga memperkuat alasan bagi organisasi untuk melacak dan melaporkan tujuan dan metrik keamanan siber dalam upaya ESG mereka. Faktanya, sebelumnya pada tahun 2022 Gartner memperkirakan pada sekitar tahun 2026 bahwa 30 persen organisasi besar akan secara terbuka menyampaikan tujuan ESG yang berfokus pada keamanan siber.
Untuk mendukung perubahan ekspektasi ini, terdapat beberapa pertimbangan praktis yang perlu diingat oleh para dewan direksi dan pemimping perusahan saat mereka mengembangkan kerangka kerja baru dan memutuskan apa yang perlu mereka ungkapkan untuk memberikan gambaran komprehensif tentang aktivitas dunia siber mereka.
Environmental
Penyedia energi dan utilitas, yang menggunakan Information Technology (IT)) dan Operational Technologies (OT) seperti sistem kontrol industri, diagnostik otomatis, dan alat pemantauan, sangat rentan terhadap serangan siber. Teknologi OT mengontrol infrastruktur penting namun seringkali tidak dirancang dengan keamanan atau privasi sebagai fungsi inti, sehingga memungkinkan peretas untuk membobolnya dengan lebih mudah. Oleh karena itu, perusahaan perlu mengembangkan dan mengkomunikasikan pemahaman yang kuat tentang dampak serangan siber terhadap lingkungan, serta menentukan langkah-langkah mitigasi dan respons. Mereka harus memasukkan dalam laporan ESG mereka:
- Kemampuan siber yang akan mendukung bisnis jika terjadi gangguan lingkungan
- Strategi ketahanan dunia siber untuk mengurangi risiko kejadian bencana akibat kegagalan atau gangguan sistem IT/OT
- Kontrol diterapkan untuk mencegah pihak jahat menggunakan kekuatan pemrosesan CPU untuk tujuan jahat, misalnya mesin virtual cloud untuk ransomware atau penambangan mata uang kripto ilegal. (Penambangan Bitcoin sangat memakan energi; menurut analisis Morgan Stanley pada Maret 2022, setiap $1 Bitcoin yang ditambang diperkirakan jauh lebih intensif karbon dibandingkan setiap $1 emas yang ditambang.)
Social
Serangan siber pada bulan Mei 2021 terhadap fasilitas produksi daging JBS, yang mengganggu pemrosesan dan produksi di seluruh rantai pasokan makanan AS, adalah contoh mengenai risiko serangan siber yang lebih luas terhadap masyarakat. Organisasi yang dianggap tidak memiliki model bisnis etis yang kuat sangat rentan terhadap kerusakan reputasi. Praktik yang baik untuk ranah sosial dalam pengungkapan terkait dunia siber dapat mencakup:
- Menanamkan ketahanan dunia siber dalam kerangka manajemen risiko perusahaan yang ada dan merumuskan kebijakan yang jelas mengenai tebusan dunia siber
- Menilai kemungkinan dampak serangan siber terhadap staf di tempat kerja. Serangan pada dunia siber membuat seluruh karyawan, terutama tim keamanan yang merespons serangan siber, menjadi lebih cemas. Mereka yang terkena dampak cenderung bekerja berjam-jam – termasuk akhir pekan dan mendapat tekanan ekstrim dari para pemimpin bisnis untuk memulihkan sistem dengan cepat.
- Memahami risiko serangan siber terhadap infrastruktur publik yang penting, terutama insiden yang dapat membahayakan nyawa manusia, dan menerapkan tindakan pengendalian dan mitigasi yang tepat
- Mempertimbangkan implikasi keamanan siber AI terhadap peraturan yang mencakup privasi data dan etika.
Governance
Tata kelola yang kuat menghasilkan manajemen risiko yang kuat. Jika tata kelola keamanan siber tidak menjadi bagian dari strategi dan rencana komprehensif, organisasi tidak akan mampu mendeteksi dan merespons serangan dengan percaya diri atau cepat. Praktik tata kelola yang baik dalam pengungkapan ESG terkait dunia siber meliputi:
- Mempraktikkan dan membangun kepercayaan terhadap kemampuan perusahaan untuk mengidentifikasi, mengukur, dan mengelola risiko dan ancaman siber dengan menggunakan pernyataan selera risiko siber untuk menunjukkan bagaimana risiko siber dikelola
- Mengidentifikasi aset penting dan memastikan bahwa hanya mereka yang memiliki otorisasi dan pelatihan yang sesuai yang dapat menggunakannya
- Memiliki orang yang akuntabel di dewan yang bertanggung jawab atas ketahanan siber dan pengungkapan ESG
- Memastikan adanya anggaran cyber terpisah yang selaras dengan total anggaran TI dan mengatasi risiko dan ancaman teknologi paling signifikan yang dihadapi oleh bisnis.
Perusahaan harus menemukan keseimbangan yang tepat antara tekanan dari pemangku kepentingan dan tidak mengekspos perusahaan secara tidak sengaja kepada penyerang (misalnya, dengan mengungkapkan terlalu banyak tentang tingkat dan sifat pertahanan mereka). Mengatasi permasalahan keamanan siber melalui kerangka ESG dengan menambahkan ‘E’ dan ‘G’ ke dalam ‘S’ yang lebih familiar dapat meyakinkan pasar dengan mengartikulasikan bagaimana sebuah organisasi bersiap untuk menahan serangan cyber. Dan pelaporan kesiapan dunia siber melalui kerangka ESG akan memberikan dasar bagi dialog internal yang lebih baik, yang disampaikan dalam bahasa bisnis non-teknis dan mudah dipahami oleh para eksekutif dari semua latar belakang.