![Mengapa strategi keamanan Anda harus pre-emptive [Q&A]](https://www.eri-salary-survey.com/wp-content/uploads/2022/12/Mengapa-strategi-keamanan-Anda-harus-pre-emptive-QA.jpg)
Pada tahun 2023, regulator akan memberikan ‘tantangan pelaporan’, dan mengamanatkan perusahaan yang terdaftar untuk mengungkapkan serangan siber dalam waktu singkat. Perubahan legislatif ini tidak hanya akan mengintensifkan kebutuhan akan perlindungan yang memadai terhadap serangan, tetapi juga akan mengharuskan perusahaan untuk mengidentifikasi dan melaporkan insiden kepada pemegang saham mereka dan Badan Keamanan Infrastruktur Cybersecurity (CISA) dalam waktu 72 jam.
Regulator telah mencatat bahwa bisnis berjuang untuk kalah melawan kriminalitas dunia maya asing dan domestik, dan dengan memperkenalkan peraturan keamanan dunia maya yang lebih ketat, fokus mereka adalah untuk memastikan perusahaan memperlakukan serangan dunia maya sebagai ancaman yang semakin sistemik.
Dengan kejahatan dunia maya yang diperkirakan akan merugikan dunia sebesar $10,5 triliun per tahun pada tahun 2025, sebuah titik terang kini menyoroti pentingnya mengamankan infrastruktur penting seperti energi, transportasi, dan layanan keuangan, yang sangat penting bagi masyarakat yang berfungsi dan ekonomi yang kuat. Regulator juga berupaya menurunkan risiko bagi pemangku kepentingan bisnis. Dalam kata-kata Ketua SEC Gary Gensler, “Investor mencari pengungkapan yang konsisten, dapat dibandingkan, dan berguna untuk pengambilan keputusan sehingga mereka dapat menaruh uang mereka di perusahaan yang sesuai dengan kebutuhan mereka”.
Perubahan Legislatif yang Disambut Baik?
Pada 9 Maret 2022, Securities and Exchange Commission (SEC) menerbitkan proposal bernama Cybersecurity Risk Management, Strategy, Governance and Incident Disclosure. Undang-undang ini mengharuskan perusahaan terdaftar untuk melaporkan insiden keamanan siber “materi” pada Formulir 8-K kepada investor dalam waktu 72 jam. Ini terjadi setelah tren penurunan dalam pengungkapan insiden dunia maya Formulir 8-K dan 10-K pada tahun 2020 dan 2021, meskipun ada rekor jumlah serangan dunia maya.
Undang-undang selanjutnya akan mewajibkan perusahaan untuk mengungkapkan kepada CISA apakah cybersecurity merupakan bagian dari strategi bisnis, alokasi modal, dan perencanaan keuangan organisasi. Langkah-langkah tata kelola dunia maya yang disertakan juga akan mengamanatkan pelaporan berkala tentang pengawasan dewan atas risiko keamanan dunia maya, serta setiap direktur perusahaan aktif dengan keahlian keamanan dunia maya sebelumnya untuk menjelaskan sifat pengalaman tersebut.
Aturan yang tersebar luas bertujuan untuk meningkatkan transparansi bagi investor dan pemangku kepentingan, memungkinkan mereka untuk membuat keputusan yang tepat tentang ekuitas dan data mereka dan meningkatkan pemahaman mereka tentang bagaimana perusahaan mengelola eksposur risiko dunia maya mereka. Organisasi akan menghadapi denda besar jika gagal mematuhi peraturan SEC, yang berarti perlindungan keamanan siber dan manajemen risiko yang memadai kini menjadi lebih penting dari sebelumnya.
Program keamanan praktik terbaik pada tahun 2023 harus memiliki kapasitas untuk menguji, mengevaluasi, dan melaporkan keefektifan operasinya, serta mengadopsi peningkatan berkelanjutan untuk mempertahankan kinerja saat ancaman baru muncul.
Kemajuan Teknologi
Keamanan dunia maya sebagai kebutuhan bisnis bukanlah hal baru atau revolusioner, tetapi karena jenis ancaman yang dihadapi bisnis berubah, demikian pula pertahanannya. Aktivitas negara bangsa pada tahun 2022 melihat infrastruktur nasional kritis global diserang, karena perang Rusia berlanjut.
Analisis dari raksasa keamanan siber Mandiant menemukan serangan rantai pasokan perangkat lunak yang menargetkan lembaga pemerintah Ukraina dan serangan malware menghantam institusi Polandia dalam upaya bersama untuk melumpuhkan dan melemahkan bisnis dan infrastruktur negara. Organisasi sekarang berada di garis depan perang dunia maya yang melampaui sektor dan batas geografis, dengan Goldman Sachs memperkirakan bahwa serangan Rusia terhadap infrastruktur AS dapat merugikan ekonomi hingga $1 triliun.
Untuk memerangi ancaman yang meningkat, bisnis mencari kesiapan tempur untuk sistem dan tim siber mereka. Perlindungan tingkat militer seperti rentang dunia maya memberikan replika lingkungan virtual dengan ketelitian tinggi dan realistis yang secara komprehensif menguji tim dan alat hingga gagal. Dengan mensimulasikan berbagai skenario keamanan, jangkauan siber berpotensi untuk mengompresi serangan selama tiga tahun menjadi pengujian selama 24 jam.
Dengan melampaui alat pemantauan titik akhir dan perencanaan teoretis, tim dapat membentuk ikatan dan mengembangkan memori otot yang diperlukan untuk berhasil melindungi aset strategis organisasi. Yang terpenting, penurunan laporan berbasis metrik juga dapat berperan penting dalam memenuhi tuntutan badan legislatif dan menjawab pertanyaan anggota dewan, seperti ‘Seberapa siapkah perusahaan kami untuk mengungkapkan informasi?’, ‘Sudahkah kami melakukan penilaian kesenjangan?’ , dan ‘Praktik risiko dunia maya apa yang harus diubah dan tetap sama?’
Meskipun ancaman material yang ditimbulkan oleh kelompok yang didukung negara dalam 12 bulan terakhir telah menyadarkan banyak organisasi terhadap risiko sistemik yang ditimbulkan oleh serangan terhadap infrastruktur kritis, kita tidak dapat berpuas diri dalam perang kita melawan penyerang. Mempersiapkan organisasi untuk melanjutkan perang dunia maya, serta peraturan baru SEC, akan menjadi pemikiran setiap CEO di tahun mendatang, dan solusi di dalamnya akan sangat penting dalam mengurangi risiko.
Perusahaan harus mengubah cara mereka membingkai paparan dunia maya mereka ke pendekatan berbasis hasil. Beralih dari mentalitas kotak centang dari liputan, dan berbagai tes yang telah mereka lewati, menuju inspirasi kepercayaan pada keterpaduan interaksi sistem mereka, ke totalitas keyakinan dalam program keamanan siber terukur dan berpatokan yang beroperasi secara keseluruhan, akan menjadi metrik utama yang menjadi dasar kesuksesan.
Kredit Foto: Alexander Supertramp/Shutterstock
James Gerber adalah Chief Financial Officer perusahaan Keamanan Siber Global SimSpace. Dengan keahlian di bidang teknik dan c-suite, Jamie telah mengumpulkan pengalaman selama lebih dari 30 tahun dalam memprediksi risiko dan menetapkan strategi dari beberapa bisnis konstruksi dan transportasi terbesar di dunia. Jamie sebelumnya memegang gelar CFO di IronNet, Worldstrides dan Pension Benefit Guarantee Corporation (PBGC). Selama masa jabatannya di PBGC, sebuah perusahaan asuransi pensiun multi-miliar dolar, Jamie berfokus pada pembentukan kebijakan melalui identifikasi risiko sistemik, memanfaatkan tuntutan perusahaan asuransi dan komite audit sambil mengarahkan portofolio investasi yang tumbuh dari $32 miliar, menjadi lebih dari $50 miliar.
