Organisasi perlu mempertimbangkan risiko keamanan siber dalam keseluruhan pilar strategi ESG (Environmental, Social, dan Governance) di tengah meningkatnya ancaman siber dan pengawasan peraturan, menurut pakar keamanan siber.
Program ESG, dalam banyak hal, merupakan bentuk manajemen risiko untuk memitigasi risiko terhadap bisnis, masyarakat, dan lingkungan, yang semuanya dapat terkena dampak. oleh keamanan siber.
Faktanya, investor telah memilih keamanan siber sebagai salah satu risiko utama yang perlu diatasi oleh program-program ESG karena potensi kerugian finansial, kerusakan reputasi, dan risiko kelangsungan bisnis yang ditimbulkan oleh semakin banyaknya serangan siber dan pelanggaran data.
Perusahaan investasi perlu memperhitungkan kinerja keamanan siber perusahaan dalam model penilaian ESG kreditnya, sementara keamanan siber tidak hanya berlaku pada aspek tata kelola (Governance) dari ESG, namun juga memiliki implikasi sosial (Social) dan lingkungan (Environmental).
Misalnya, sebuah perusahaan manufaktur, yang mungkin sangat peduli dengan dampak lingkungan dari aktivitasnya, perlu memikirkan cara melindungi infrastruktur penting dari serangan dunia siber dan apa yang dapat dilakukan untuk mencegah kesalahan konfigurasi sistem yang dapat menyebabkan kerusakan lingkungan.
Sebaliknya, perusahaan perangkat lunak mungkin lebih peduli dengan dampak sosial melalui data pelanggan yang mereka miliki. Menjaga privasi dan integritas data dan membangun kepercayaan dengan pelanggan dengan tidak menggunakan data mereka secara tidak tepat, atau data tersebut dicuri oleh penjahat yang akan menjualnya di dark web. Tetapi jarang sekali organisasi melihat keamanan siber sebagai fungsi manajemen risiko.
Kepercayaan di bangun dari sudut pandang sosial berasal dari praktik keamanan siber yang baik, sehingga dapat memberi tahu pelanggan bahwa perusahaan telah mengambil langkah yang tepat untuk melindungi identitas dan informasi keuangan mereka. Namun bahkan setelah organisasi mengidentifikasi aspek-aspek bisnis mereka yang beresiko, membangun profil risiko masih merupakan tantangan karena mereka sering tidak menyadari aset teknologi apa yang mereka miliki, ditambah dengan kurangnya upaya untuk menilai risiko teknis.
Berbagai kerangka pelaporan ESG telah muncul dalam beberapa tahun terakhir untuk memberikan pedoman bagi organisasi mengenai bagaimana mereka dapat beroperasi secara etis dan berkelanjutan, serta metrik yang dapat mereka gunakan untuk mengukur kemajuan mereka. Terdapat juga standar dan kerangka keamanan TI tertentu, termasuk ISO 27001 yang terkenal dan pedoman pemerintah seperti Australia’s Essential Eight.
Beberapa regulator telah mewajibkan penerapan standar keamanan dasar oleh operator infrastruktur penting dan perusahaan di industri seperti jasa keuangan, namun hal ini tidak berarti organisasi di luar sektor yang diatur tidak terlalu tertekan untuk memperkuat postur keamanan siber mereka.
Pelanggan kini menjadi lebih paham dan memahami dampak jika informasi mereka terekspos. Jika Anda adalah perusahaan yang tidak menganggap serius privasi data, pelanggan Anda akan mengalihkan bisnisnya ke tempat lain karena mereka tidak ingin bekerja sama dengan perusahaan yang membahayakan mereka.