Seperti halnya aspek lain dalam menjalankan bisnis, mengelola risiko keamanan cyber secara efektif didasarkan pada pembuatan keputusan yang tepat. Kemudian keputusan tersebut dijalankan dengan andal dalam konteks yang sesuai. Dengan pemikiran tersebut, dewan direksi dan eksekutif senior harus memastikan bahwa organisasi mereka dapat mencapai keduanya. Untuk alasan yang dijelaskan di bawah, saat ini juga banyak organisasi yang tidak dapat melakukannya.
Ada dua komponen utama untuk membuat keputusan yang tepat mengenai lanskap risiko keamanan cyber yang kompleks dan dinamis. Visibilitas dan analisis – dan manajemen eksekutif harus memeriksa keduanya.
Visibilitas Pada Risiko Keamanan Cyber
Visibilitas bisa menjadi masalah karena organisasi tidak sering melacak perubahan teknologi, konektivitas jaringan, dan penggunaan data sensitif yang diperlukan oleh kebutuhan bisnis yang berkembang pesat. Hal ini karena usaha yang diperlukan untuk menjaga visibilitas yang baik di bidang ini biasanya dipandang sebagai overhead yang tidak perlu yang menambah biaya dan memperlambat pertumbuhan bisnis. Namun, tanpa informasi ini, sebuah organisasi tidak dapat secara realistis mengklaim untuk memahami berapa banyak risiko keamanan cyber yang dimilikinya atau prioritasnya.
Analisa Risiko Keamanan Cyber
Sebagian besar organisasi juga memperjuangkan analisis. Sebenarnya, banyak praktisi telah menemukan bahwa 90% masalah berisiko tinggi di organisasi salah diberi label mengenai signifikansinya. Ini berarti organisasi tersebut tidak dapat memprioritaskan secara efektif.
Tantangan yang paling umum yang berkontribusi terhadap masalah ini adalah sebagai berikut:
-
Nomenklatur
Kebanyakan orang tidak akan antusias untuk melakukan misi antariksa jarak jauh jika mereka tahu bahwa para insinyur dan ilmuwan yang merencanakan misinya dan merancang pesawat ruang angkasa tidak dapat menyetujui definisi massa, berat, dan kecepatan. Kemungkinannya bagus, bagaimanapun, bahwa jika eksekutif senior bertanya kepada enam orang di dalam organisasi manajemen risiko mereka untuk menentukan risiko atau mencatat 10 risiko utama di organisasi tersebut, mereka akan mendapatkan beberapa jawaban berbeda, mungkin sangat berbeda. Oleh karena itu, kemungkinannya rendah bahwa organisasinya akan dapat mengukur risiko keamanan cyber secara konsisten dan andal.
Kondisi ini juga memperkenalkan peluang yang signifikan untuk miskomunikasi dan kebingungan. Selanjutnya, ini akan mengurangi kemampuan organisasi untuk mengelola risiko keamanan cyber dengan baik. -
Model yang rusak
Saat ini ada ketergantungan besar pada model mental informal (yaitu, gagasan informal yang dimiliki seseorang tentang bagaimana sesuatu bekerja) dari personil yang mengevaluasi risiko keamanan cyber. Akibatnya, sangat sering fokus dari “penilaian risiko” sangat didasarkan pada kekurangan kontrol, ancaman yang dirasakan, dan / atau berbagai bias kognitif daripada risiko bisnis yang sebenarnya.
Hasil yang paling umum adalah peningkatan peringkat risiko secara signifikan. Hal ini dapat sangat menghambat kemampuan untuk mengidentifikasi risiko yang paling penting.
Bahkan di industri keuangan, yang telah mulai menerapkan proses untuk memvalidasi model analitik, fokusnya terbatas pada model kuantitatif formal. Ini meninggalkan ketiga hal yang tidak teruji seperti sebagai berikut:
- Model mental profesional risiko keamanan cyber dan apakah perkiraan risiko off-the-cuff mereka cukup akurat
- Homegrown kualitatif dan model ordinal
- Model tertanam dalam alat pengendali risiko keamna cyber
Namun, model-model tersebut berasumsi secara implisit dan terdapat kelemahan potensial. Mereka bertanggung jawab untuk mendorong keputusan penting tentang bagaimana organisasi mengelola risiko keamanan cyber.
Kombinasi Keahlian
Menjadi ahli materi informasi keamanan tidak secara otomatis memenuhi syarat seseorang untuk menganalisis dan mengukur risiko keamanan cyber dengan andal. Personil yang dituntut untuk mengukur pentingnya masalah keamanan cyber harus termasuk:
- Pemikir kritis yang kuat
- Sesuai dengan prinsip probabilitas dasar
- Dilatih dalam metode analisis formal
Kenyataan bahwa banyak personil yang menilai risiko keamanan cyber dalam organisasi kehilangan satu atau lebih dari karakteristik tersebut. Tentunya, ini akan mengurangi kemampuan dalam pengukuran risiko yang akurat.
Ketergantungan Pada Daftar Periksa
Meskipun daftar “praktik terbaik” dan model jatuh tempo banyak tersedia untuk risiko keamanan cyber, mereka sebenarnya tidak dapat mengukur risiko. Hampir selalu, setiap kekurangan yang diidentifikasi dengan menggunakan daftar periksa tersebut tunduk pada tantangan “penilaian risiko” yang telah dijelaskan sebelumnya. Banyak organisasi gagal mengenali fakta ini dan menganggap penggunaan daftar periksa dan model kematangan sama dengan mengelola risiko dengan baik.
Eksekusi yang Handal
Bahkan ketika sebuah organisasi membuat keputusan risiko yang terinformasi dengan baik, pelaksanaan yang dapat diandalkan terhadap keputusan tersebut harus dilakukan untuk mengelola risiko secara efektif. Dalam dimensi manajemen risiko, ada tiga area dimana organisasi sering berjuang.
-
Kesadaran
Sebagian besar organisasi saat ini memiliki kebijakan keamanan informasi, dan bahkan banyak yang meminta personil untuk membaca dan mengetahui kebijakan tersebut setiap tahunnya. Seringkali, bagaimanapun, kebijakan ditulis oleh konsultan keamanan cyber atau ahli materi pelajaran yang menggunakan verbiage yang kompleks. Akibatnya, personil mungkin dengan mudah membaca dan mengakui kebijakan tersebut namun mereka mungkin tidak memiliki pemahaman yang jelas tentang apa yang sebenarnya diharapkan dari mereka.
-
Kemampuan
Ketika anggaran dikurangi, organisasi sering mengurangi pelatihan. Mengingat pesatnya perubahan dalam ancaman cyber, ini bisa menciptakan kesenjangan keterampilan serius bagi IT dan profesional risiko keamanan cyber. Tetap mengikuti perubahan risiko keamanan cyber harus menjadi harapan yang ditetapkan dan didukung oleh manajemen senior. Masalah terkait dengan anggaran ketat adalah kekurangan personil. Dalam kedua kasus tersebut, eksekusi yang andal sering menjadi korban.
-
Motivasi
Analisis penyebab akar yang dilakukan pada kekurangan keamanan cyber telah menemukan bahwa personil secara rutin memilih untuk tidak mematuhi kebijakan keamanan cyber. Ini karena manajemen memberi penekanan lebih besar pada pendapatan, anggaran, dan / atau tenggat waktu. Sebagian hal ini dipengaruhi oleh tantangan yang telah dicatat sebelumnya mengenai ketidak-akuratan penilaian terhadap risiko. Bukan tidak biasa menemukan bahwa penilaian risiko yang terlalu tinggi menciptakan sindrom kesesatan di dalam organisasi. Hasilnya adalah bahwa organisasi tidak secara konsisten atau bermakna memberikan insentif bagi eksekutif untuk mencapai tujuan pengelolaan keamanan cyber karena ada pengakuan diam-diam bahwa sebagian besar dari apa yang diklaim berisiko tinggi sebenarnya tidak.
Faktor lain adalah bahwa pendapatan, biaya, dan tenggat waktu dapat diukur dalam waktu dekat, sementara banyak skenario risiko tinggi cenderung tidak terwujud sebelum mereka “menjadi masalah” yang nyata. Ini sama halnya dengan penggunaan Disaster Recovery Center untuk misi kritis operasional bisnis, ketika downtime terjadi, konsekuensi biaya downtime yang sangat tinggi melebihi biaya DRC selama beberapa tahun harus dipikul oleh perusahaan.
Kesimpulan:
Intinya adalah bahwa pengambilan risiko yang hati-hati hanya akan terjadi jika eksekutif diberi informasi risiko keamanan yang akurat.
Dengan memastikan organisasi anda memiliki landasan untuk membuat keputusan keamanan cyber yang terinformasi dengan baik dan dijalankan dengan andal, eksekutif senior dapat memiliki keyakinan lebih besar bahwa program pengelolaan risiko keamanan cyber mereka secara efektif dapat meminimalkan potensi kejutan yang menyakitkan.
