Keamanan siber mengacu pada praktik melindungi sistem komputer, jaringan, dan data dari pencurian, kerusakan, atau akses tidak sah. Di era digital saat ini, di mana perusahaan sangat bergantung pada teknologi, keamanan siber sangat penting bagi kelangsungan bisnis karena beberapa alasan:
Keamanan siber mengacu pada praktik melindungi sistem komputer, jaringan, dan data dari pencurian, kerusakan, atau akses tidak sah. Di era digital saat ini, di mana perusahaan sangat bergantung pada teknologi, keamanan siber sangat penting bagi kelangsungan bisnis karena beberapa alasan:
- Perlindungan Data Perusahaan - Menyimpan data sensitif, termasuk informasi pelanggan, catatan keuangan, dan kekayaan intelektual. Pelanggaran dapat mengakibatkan kerugian finansial dan reputasi yang parah.
- Kepatuhan Hukum dan Peraturan – Menurut Konferensi PBB tentang Perdagangan dan Pembangunan, banyak negara telah memberlakukan undang-undang perlindungan data dan privasi yang ketat yang harus dipatuhi oleh perusahaan atau mereka akan membayar denda yang besar.
- Kelangsungan Operasional – Serangan siber dapat mengganggu operasional, menyebabkan waktu henti yang tidak direncanakan dan kerugian finansial yang signifikan.
Keamanan siber saat ini dianggap sebagai bagian integral dari ESG. Topik ini mulai mendapatkan perhatian sebagai topik ESG pada akhir tahun 2010an, terutama sebagai isu tata kelola (sehingga sesuai dengan “G” dari ESG). Kerangka pelaporan ESG seperti Global Reporting Initiative (GRI) dan Sustainability Accounting Standards Board (SASB), telah mengakui pentingnya keamanan siber dalam strategi keberlanjutan perusahaan. Contoh bagaimana serangan siber dapat berdampak pada permasalahan ESG meliputi:
- Pencemaran lingkungan - Sistem pendeteksi kebocoran suatu fasilitas gagal atau peretas mengambil kendali sistem industri, sehingga menyebabkan pencemaran air dan tanah. Pada tahun 2021, peretas menyusup ke instalasi pengolahan air di Florida, memungkinkan mereka mengubah tingkat bahan kimia dalam pasokan air dari jarak jauh. Serangan serupa terhadap instalasi pengolahan air dan air limbah juga terjadi di AS, Australia, dan Israel.
- Kesehatan dan keselamatan kerja - Terjadi penghentian sistem keselamatan yang tidak terduga, yang menyebabkan kecelakaan serius termasuk cedera dan kematian (khususnya dalam aktivitas manufaktur). Pada tahun 2014, serangan siber yang menargetkan pabrik baja Jerman memaksa penutupan tanur tinggi, menyebabkan kerusakan signifikan pada fasilitas tersebut dan membuat pekerja menghadapi risiko keselamatan.
- Keamanan produk dan layanan - Produk mungkin perlu ditarik kembali karena kerentanan keamanan sibernya atau kerentanannya terhadap peretasan. Pada tahun 2017, Badan Pengawas Obat dan Makanan AS menarik kembali 500.000 alat pacu jantung karena risiko peretas menghabiskan baterai atau mengubah detak jantung pasien, yang berpotensi menyebabkan kematian. Pada tahun 2020, sebuah rumah sakit di Jerman terpaksa menutup unit gawat daruratnya setelah serangan ransomware, yang menyebabkan kematian seorang pasien.
Karena urgensi keamanan siber masih relatif baru, perusahaan diharuskan untuk segera merekrut tenaga kerja di bidang yang mungkin belum mereka miliki pengalamannya. Tantangan ini diperburuk oleh kelangkaan besar-besaran profesional keamanan siber di pasar kerja, sehingga banyak dari mereka yang kesulitan menemukan talenta dan keahlian yang diperlukan. Meskipun demikian, karena serangan siber merupakan ancaman yang terus terjadi, perusahaan juga menghadapi tekanan internal dan eksternal untuk bertindak cepat dan efisien.
Menyadari perlunya mekanisme tata kelola yang kuat untuk mengatasi urgensi keamanan siber, banyak perusahaan telah memulai dengan menciptakan akuntabilitas di tingkat C-suite di bawah payung risiko bisnis dan bukan risiko Teknologi Informasi. Misalnya, mereka dapat menunjuk komite yang memimpin keamanan siber atau melakukan penilaian risiko secara berkala, yang menunjukkan praktik tata kelola yang unggul. Contoh lain dari tata kelola keamanan siber yang baik adalah penerapan kerangka kerja standar untuk mengubah ancaman keamanan siber menjadi ancaman finansial. Pendekatan ini memberikan struktur manajemen yang diterima secara luas dan memungkinkan komunikasi yang jelas antara pakar dan non-ahli, biasanya dengan tujuan akhir mencapai sertifikasi dan standar seperti ISO/IEC 27001, ISAE 3402/3000, dan SSAE 18.
Beberapa organisasi terkemuka telah mengambil langkah-langkah berikut untuk memitigasi paparan mereka terhadap risiko keamanan siber:
- Pelatihan dan Budaya Karyawan – Melatih seluruh karyawan tentang praktik terbaik keamanan siber dan menciptakan budaya kesadaran keamanan. Misalnya, peningkatan kesadaran secara berkala, kuis dan sesi pendidikan online wajib, atau simulasi serangan siber, semuanya membantu mencegah serangan siber pada sumbernya.
- Teknologi – Investasi pada teknologi, keahlian, dan alat keamanan siber yang canggih membantu perusahaan tetap terdepan dalam menghadapi ancaman siber. Misalnya, perusahaan dapat menerapkan Rencana Pemantauan Keamanan 24/7 dan Respons Insiden.
- Pengembalian Investasi Keamanan – Menilai efektivitas investasi keamanan perusahaan. Misalnya, perusahaan dapat menilai nilai finansial dari solusi keamanan email dengan menentukan biaya dan mengukur manfaat dari investasi itu sendiri.
Bahkan dengan langkah-langkah praktik terbaik, tidak ada perusahaan yang kebal terhadap serangan siber; namun, hal ini memberikan perlindungan yang memungkinkan perusahaan memitigasi dan mengendalikan potensi dampak ancaman siber. Ke depan, terdapat beberapa kemampuan baru yang kini memberikan jalan bagi perusahaan untuk lebih meningkatkan upaya keamanan siber mereka:
- Kecerdasan Buatan (AI) dan Pembelajaran Mesin – Teknologi ini dapat mendeteksi anomali dan potensi ancaman secara real-time, sehingga meningkatkan respons terhadap insiden.
- Intelijen Ancaman Cyber – Memanfaatkan intelijen ancaman untuk secara proaktif mengidentifikasi ancaman dan kerentanan yang muncul dapat mencegah serangan sama sekali.
- Arsitektur Zero Trust – Mengadopsi pendekatan "jangan pernah percaya, selalu verifikasi", di mana akses diberikan berdasarkan kebutuhan untuk mengetahui, mengurangi kemungkinan serangan.
- Dengan kompleksitas serangan siber yang terus meningkat, perusahaan harus merancang program siber canggih yang memanfaatkan AI untuk terus beradaptasi terhadap ancaman yang bergerak cepat dan memiliki banyak sisi ini. Hal ini sangat relevan bagi industri yang mengandalkan data sensitif seperti informasi medis, keuangan, pemerintahan, atau pribadi pelanggan, yang sangat rentan terhadap risiko siber dan keamanan data.
- Mengintegrasikan Keamanan Siber ke dalam Strategi ESG - Sadarilah bahwa keamanan siber kini menjadi komponen penting dalam pertimbangan ESG dan gabungkan inisiatif dan pelaporan keamanan siber ke dalam agenda ESG. Sangat penting bahwa dorongan ini datang dari atas ke bawah dan didukung oleh pimpinan senior.
- Membangun Mekanisme Tata Kelola yang Kuat - Menciptakan akuntabilitas untuk keamanan siber di tingkat C-suite, memperlakukannya sebagai risiko bisnis dan bukan hanya risiko TI, dengan masing-masing komite dan penilaian risiko secara berkala.
- Berinvestasi dalam Pelatihan dan Budaya Karyawan - Latih semua karyawan tentang praktik terbaik keamanan siber dan tumbuhkan budaya kesadaran keamanan melalui aktivitas peningkatan kesadaran, kuis, dan simulasi serangan siber secara rutin.
- Memanfaatkan Teknologi Keamanan Siber yang Canggih - Berinvestasi pada teknologi, keahlian, dan alat keamanan siber yang canggih untuk tetap terdepan dalam menghadapi ancaman siber, idealnya dengan Pemantauan Keamanan 24/7 dan Rencana Respons Insiden untuk mendeteksi dan merespons ancaman dengan segera.
- Jelajahi Kemampuan yang Muncul - Pertimbangkan untuk mengadopsi teknologi dan praktik baru untuk meningkatkan upaya keamanan siber, seperti AI dan Pembelajaran Mesin untuk deteksi ancaman secara real-time, Intelijen Ancaman Siber, dan Arsitektur Zero Trust.