Tools untuk Membantu Perusahaan Mengukur Resiliensi atau Ketahanan Cyber
HBR
CYBERSECURITY AND DIGITAL PRIVACY
Tools untuk Membantu Perusahaan Mengukur Resiliensi atau Ketahanan Cyber
by Keri Pearlson
Saat ini, sebagian besar pimpinan perusahaan mengetahui bahwa keamanan siber adalah risiko bisnis yang harus mereka awasi dan memastikan mitigasi yang tepat sudah tersedia. Dalam artikel sebelumnya, kami telah menjelaskan percakapan yang harus dilakukan oleh pimpinan untuk menjalankan peran ini. Kami mendiskusikan sebuah kasus mengenai resiliensi siber dan bukan proteksi siber. Organisasi tidak dapat melindungi diri mereka sendiri hanya dengan mengandalkan investasi tambahan dalam perlindungan. Tentu saja, melindungi aset, sistem, dan data sangatlah penting, tetapi seperti yang telah ditunjukkan oleh berita utama sebelumnya, fokus pada perlindungan saja tidak cukup. Perusahaan, dan para pimpinan yang mengawasi mereka, telah gagal menemukan cara yang tepat untuk mendapatkan perlindungan yang cukup (sebagaimana dibuktikan dengan berita utama yang terus menerus membagikan pelanggaran inovatif terbaru pada organisasi yang kurang terlindungi). Sebaliknya, kami menganjurkan agar para pimpinan perusahaan melakukan pembicaraan tentang resiliensi atau ketahanan, bukan hanya tentang perlindungan.
Untuk memitigasi risiko siber dengan benar, para pemimpin perusahaan harus memiliki rencana yang kuat untuk merespons dan pulih dengan cepat sehingga meskipun menghadapi serangan siber, perusahaan dapat terus beroperasi. Itulah pembicaraan yang tepat untuk dilakukan oleh para direktur dengan para kepala keamanan siber mereka. Dalam artikel ini, kami membagikan penelitian tentang jenis informasi yang dibutuhkan direksi untuk diskusi-diskusi tersebut.
Studi tentang Pengawasan Dewan Direksi
Direksi memberikan pengawasan terhadap keputusan operasional dan strategis serta memiliki tanggung jawab penuh untuk mengelola risiko siber. Kami memulai penelitian kami dengan mencoba memahami jenis informasi yang dilaporkan oleh CISO dan kepala eksekutif siber kepada direksi, dan membandingkannya dengan informasi yang dibutuhkan direksi untuk menjalankan tugasnya. Kami membuat survei dengan berbagai jenis indikator kinerja, mulai dari teknis hingga operasional. Namun hasil dari survei tersebut memperjelas bahwa kami berada di jalur yang salah.
Meskipun paling mudah bagi para kepala eksekutif siber untuk melaporkan metrik teknologi atau metrik organisasi, seperti hasil latihan phishing, informasi ini tidak membantu Direksi dalam tugas mereka untuk memastikan ketahanan siber. Itu hanyalah informasi yang salah. Penting bagi para kepala operasional siber untuk memahami bagaimana kontrol keamanan mereka diatur, bagaimana mereka berfungsi, dan di mana mereka gagal. Itulah tugas pimpinan operasional. Namun, itu adalah informasi yang salah - setidaknya pada awalnya - untuk percakapan dengan dewan direksi.
Kami mengubah arah dan menerapkan konsep balanced scorecard (yang dibuat oleh profesor Harvard Bob Kaplan dan David Norton) untuk keamanan cyber. Kami mengajukan pertanyaan kepada para pemimpin cyber yang melapor kepada dewan direksi, anggota dewan direksi, dan ahli bidang lainnya tentang informasi yang paling berguna bagi dewan direksi dari sudut pandang bisnis, bukan dari sudut pandang teknis. Pendekatan ini menghasilkan kerangka kerja dan serangkaian rekomendasi.
Pendekatan ini menghasilkan kerangka kerja dan serangkaian rekomendasi yang menjanjikan untuk membantu pimpinan perusahaan dalam memahami risiko nyata yang mereka hadapi, menyediakan sarana bagi para kepala eksekutif cyber untuk mengkomunikasikan risiko tersebut, dan menciptakan peluang dialog yang bermanfaat antara kedua kelompok tersebut.
Perlunya Pelaporan Keamanan Siber Dewan Direksi yang Lebih Baik
Selama penelitian, kami bertanya kepada para kepala keamanan siber, dewan direksi, dan pakar bidang lainnya tentang diskusi keamanan siber dewan direksi dan pelaporan yang diberikan kepada dewan direksi sebagai persiapan untuk diskusi ini. Semua responden memiliki pendapat yang kuat tentang diskusi keamanan siber di ruang rapat. Secara umum, para peserta setuju bahwa dewan direksi mengalami kesulitan dalam mendiskusikan masalah keamanan cyber pada tingkat yang berarti, dewan direksi membutuhkan informasi yang berbeda, dan diperlukan pendekatan baru. Misalnya, seorang direktur menanggapi dengan mengatakan, "Menurut saya, diskusi tentang metrik keamanan siber sangat bermanfaat. Sulit untuk mengukur dan mengomunikasikan 'nilai' keamanan. Jadi, beberapa pemikiran tentang hal itu akan menarik bagi saya."
Namun, keamanan siber bahkan tidak menjadi topik di tingkat direksi bagi beberapa responden. Salah satu responden berkomentar, "Tidak ada satu pun dari Dewan yang saya ikuti yang memiliki fokus khusus pada masalah keamanan cyber. Di satu department, hal ini termasuk dalam topik IT yang kami diskusikan. Di tempat lain, hal ini merupakan bagian dari komite audit."
Salah satu responden yang diidentifikasi sebagai pemimpin teknis tingkat C mengamati bahwa dewan direksi menginginkan adanya komparasi, terutama untuk membuat penilaian tentang ketahanan siber. Dia berkata, "Pimpinan saya tertarik dengan ketahanan cyber, tetapi juga ingin tahu tentang apa yang dilakukan orang lain. Mereka menghargai wawasan dan penilaian dari rekan kerja."
Para responden menginginkan informasi penting tentang aset sistem, kemampuan proaktif, dan seberapa cepat mereka dapat pulih ketika ditanya informasi apa yang akan membantu mereka menilai risiko operasional. Salah satunya adalah anggota dewan dari layanan teknologi yang mengidentifikasi informasi yang ingin diketahuinya, "Jenis data apa saja yang kami miliki, di mana kami menyimpannya, kemungkinan adanya gangguan pada kerahasiaan, integritas, ketersediaan, dan dampak gangguan keamanan terhadap operasi bisnis kami."
Lebih dari separuh peserta ingin mengetahui nilai dolar finansial yang terlibat dalam pelanggaran atau serangan siber terhadap organisasi mereka. Hampir setengah dari peserta menyebutkan penggunaan penilaian risiko teknis pihak ketiga, yang mereka laporkan kepada dewan dan diperbarui setiap kuartal. Untuk rantai pasokan, responden menganggap penting untuk mengetahui tentang kemampuan dan perlindungan terhadap pemasok dan opsi yang berlebihan. Namun, sebagian besar responden tidak yakin apakah rincian teknis dan rantai pasokan harus menjadi bagian dari pengawasan dewan.
Terdapat tanggapan beragam ketika ditanya tentang apa yang menurut mereka akan membantu mengakses risiko organisasi akibat kerentanan keamanan siber. Beberapa responden tidak yakin apa yang dibutuhkan untuk menilai risiko organisasi. Beberapa menyebutkan peninjauan rincian pelatihan, yang lain berkomentar bahwa penilaian keterampilan karyawan untuk menangani potensi kerentanan organisasi.
Hasil survei menunjukkan bahwa dewan direksi sering mendelegasikan tanggung jawab keamanan siber kepada komite audit dan risiko. Responden berkomentar bahwa umpan balik dari komite-komite ini disambut baik ketika dewan menerima laporan keamanan siber.
Penilaian ketahanan juga dieksplorasi. Setengah dari responden tidak memiliki metode untuk menilai ketahanan organisasi secara keseluruhan terhadap risiko keamanan siber. Responden berkomentar bahwa penilaian risiko keuangan, supply-chain, teknologi, dan organisasi dapat membuat mereka menarik kesimpulan terhadap ketahanan organisasi secara keseluruhan, tetapi peran kepala bagian operasional adalah mempresentasikan risiko-risiko ini kepada dewan direksi agar Direksi memiliki strategi yang tepat untuk menangani risiko-risiko ini.
Diskusi lanjutan dengan responden memperjelas bahwa anggota direksi tertarik untuk memastikan bahwa organisasi mereka memiliki ketahanan terhadap risiko siber, dan bahwa terdapat kekurangan perangkat yang dapat membantu direksi dalam melakukan pengawasan keamanan cyber yang tepat untuk masalah ini.
The Balanced Scorecard untuk Ketahanan Siber (BSCR)
Berdasarkan karya Kaplan dan Norton yang asli, kartu skor yang seimbang menggabungkan indikator kinerja penting dari berbagai perspektif perusahaan yang memberikan informasi kompleks yang mudah dipahami oleh para pemimpin. Tujuan utama dari kartu skor mereka adalah untuk memberikan wawasan tentang kinerja keuangan dan operasional dengan menggabungkan informasi tentang aktivitas inti yang mungkin terisolasi satu sama lain. Dengan melihat indikator-indikator ini bersama-sama dalam satu kerangka kerja, para pemimpin dapat menarik kesimpulan yang mungkin terlewatkan. Pekerjaan kami memperluas ide-ide ini ke ranah keamanan siber untuk memberikan wawasan kepada para pimpinan tentang ketahanan siber.
Balanced scorecard tingkat dewan untuk ketahanan siber. Kartu ini menggabungkan indikator keuangan, teknologi, organisasi, dan rantai pasokan, serta indikator gabungan ketahanan. Masing-masing dari empat kuadran memiliki tiga komponen: 1) risiko terbesar, 2) rencana tindakan untuk mengelola risiko tersebut, dan 3) indikator keseluruhan (hijau, kuning, atau merah) untuk penilaian cepat risiko pada area tersebut. Keempat kuadran ini didasarkan pada temuan dari penelitian saat ini, namun tidak menutup kemungkinan adanya area tambahan yang mungkin relevan untuk menilai ketahanan siber di masa depan.
Komponen-komponen dari BSCR Tingkat Direksi
Setiap kuadran BSCR tingkat dewan direksi dirancang untuk memberikan indikator yang relevan bagi direksi mengenai kekuatan ketahanan dan risiko terbesar dari area tersebut.
Indikator Stoplight adalah indikator yang mudah dipahami untuk penilaian kuantitatif dari komponen utama risiko siber. Indikator ini disusun dari data operasional yang digunakan oleh para pemimpin cyber untuk mengelola aktivitas cyber. Indikator ini dapat berasal dari kerangka kerja seperti CISA Cybersecurity Performance Goals (CPG) atau metrik yang dikembangkan sendiri yang digunakan oleh tim keamanan siber untuk memantau aktivitas.
Jendela Risiko Terbesar adalah penilaian kualitatif yang dibuat oleh para pemimpin keamanan siber yang berpengetahuan luas, seperti CISO atau CIO, tentang masalah yang paling bermasalah di area tersebut. Ini adalah jawaban singkat untuk pertanyaan, "apa risiko terbesar yang dihadapi organisasi saat ini?" dan "seberapa besar risiko ini?"
Rencana Aksi adalah rencana tingkat tinggi pemimpin untuk mengelola risiko terbesar. Rencana Aksi adalah jawaban dari pertanyaan "Apa yang kita lakukan terhadap risiko ini saat ini?" dan "Seberapa mendesak risiko ini?"
BSCR tingkat direksi ini memberikan informasi yang dapat dimengerti dengan cepat oleh direksi berdasarkan wawasan kualitatif, wawasan manajerial, dan data kumulatif kuantitatif untuk memicu percakapan yang lebih dalam dengan manajer operasional.
Memberikan Informasi yang Tepat kepada Direksi
Para direktur memahami bahwa organisasi mereka menghadapi risiko dari berbagai sumber, termasuk risiko keamanan siber. Memberikan Informasi yang Tepat kepada Dewan Direksi
Para direktur memahami bahwa organisasi mereka menghadapi risiko dari berbagai sumber, termasuk risiko keamanan siber. Namun, masalahnya adalah bagaimana mendiskusikan dan mengelola risiko ini dengan tepat. Para eksekutif keamanan siber mengetahui bahwa organisasi mereka tidak mungkin 100% aman, karena vektor ancaman baru muncul secara teratur, dan kerentanan baru ditemukan dengan kecepatan yang sama. Mengelola risiko berarti membuat keputusan tentang cara terbaik untuk menggunakan sumber daya untuk melindungi organisasi kita dan pada saat yang sama, mempersiapkan diri untuk kemungkinan insiden dan memastikan ketahanan operasi. Untuk itu, dewan direksi membutuhkan pandangan yang seimbang tentang kerentanan dan ancaman siber serta pemahaman tentang bagaimana para pemimpin operasional mengelolanya.
Meskipun sangat menggoda bagi direktur dan pemimpin operasional untuk fokus pada detail teknis dan metrik, ini bukan tempat yang tepat untuk memulai. Misalnya, ketika pemimpin keamanan siber hanya melaporkan hasil latihan phishing terbaru, dewan direksi hanya terlibat pada tingkat itu. Ukuran kuantitatif mudah diperoleh, dibagikan, dan dibandingkan. Namun, ukuran-ukuran tersebut tidak memberikan gambaran yang dapat membantu pimpinan mengawasi risiko keamanan cyber. Selanjutnya, para direktur menggunakan informasi yang diberikan kepada mereka, dan diskusi selanjutnya berfokus pada rencana taktis yang dilakukan oleh para pemimpin operasional untuk mengurangi kemungkinan email phishing yang berhasil. Namun, hal tersebut bukanlah cara terbaik untuk memusatkan perhatian para direksi. Hal itu hanya memfokuskan perhatian direksi pada satu aspek keamanan siber organisasi dan mungkin melewatkan aspek lainnya.
Para eksekutif keamanan siber mengetahui bahwa organisasi mereka tidak mungkin 100% aman, karena vektor ancaman baru muncul secara teratur, dan kerentanan baru ditemukan dengan kecepatan yang sama. Mengelola risiko berarti membuat keputusan tentang cara terbaik untuk menggunakan sumber daya dalam melindungi organisasi kita dan pada saat yang sama, mempersiapkan diri untuk kemungkinan insiden dan memastikan ketahanan operasi. Untuk itu, dewan direksi membutuhkan pandangan yang seimbang tentang dunia maya, dan sebaliknya, dewan direksi harus mendiskusikan risiko tingkat bisnis yang dilihat oleh para pemimpin, dan apa yang dilakukan oleh para pemimpin operasional untuk memastikan ketahanan. Pertanyaan yang lebih luas ini membuka peluang bagi kerentanan organisasi apa pun, bukan hanya kerentanan email phishing.
Apa Langkah Selanjutnya?
Dari pekerjaan kami, kami melihat bahwa perubahan pola pikir dari perlindungan menjadi ketahanan diperlukan dan untuk mendorong perubahan itu, para pemimpin operasional harus mengubah cara mereka melapor kepada dewan.
Para manajer berfokus pada langkah-langkah yang diambil untuk perlindungan cyber, tetapi dewan direksi perlu mengetahui tentang ketahanan cyber. Para manajer berpikir bahwa dewan direksi ingin mengetahui tentang metrik operasional, namun direksi benar-benar ingin mengetahui risiko bisnis yang diantisipasi oleh para manajer dan rencana tindakan apa yang tersedia untuk mengurangi risiko tersebut.
Para manajer melaporkan metrik yang dapat mereka hitung, tetapi dewan direksi membutuhkan penilaian yang lebih luas tentang di mana masalah siber berikutnya dapat terjadi dan hal itu mungkin tidak dapat diukur. Direksi membutuhkan informasi tentang dampak bisnis dari risiko siber, baik dari sisi identifikasi risiko maupun dari sisi kemungkinan risiko. Direksi membutuhkan informasi mengenai dampak bisnis dari risiko siber, baik dari identifikasi risiko maupun dari perspektif kemungkinan risiko. Melaporkan secara kualitatif risiko bisnis secara umum dari ancaman dan kerentanan siber dalam konteks bagaimana hal tersebut dapat mengganggu organisasi, dan mendiskusikan pentingnya risiko tersebut dengan dewan direksi memungkinkan direksi untuk menilai apakah fokus perhatian telah diberikan pada risiko yang tepat dan strategi mitigasi.
Nilai dari mendiskusikan pandangan yang seimbang mengenai risiko keamanan siber di tingkat dewan direksi tidak datang dari membandingkan kondisi hari ini dengan kondisi kemarin, tetapi dari memastikan bahwa bisnis siap hari ini dan esok hari untuk menghadapi potensi gangguan dari insiden siber. Risiko siber bersifat dinamis. Apa yang menjadi risiko hari ini mungkin tidak menjadi risiko besok, atau mungkin menjadi risiko terbesar besok. Untuk membuat penilaian tersebut, pimpinan perusahaan perlu melakukan diskusi yang tepat dengan pihak-pihak yang mengetahui risiko siber dan dampak bisnis dari risiko tersebut.
Ini bukan tentang seberapa terlindungnya kita, tetapi seberapa tangguh kita. Balanced Scorecard untuk Ketahanan Siber adalah titik awal untuk diskusi tentang bagaimana bisnis akan melanjutkan operasi ketika suatu peristiwa terjadi. Tidaklah cukup hanya berinvestasi pada perlindungan saat ini. Kita perlu fokus pada ketahanan bisnis terhadap kerentanan dan ancaman siber. Untuk melakukan itu, kita membutuhkan penilaian kualitatif yang seimbang dari para kepala operasional yang mengetahui.
CYBERSECURITY AND DIGITAL PRIVACY
Tools untuk Membantu Perusahaan Mengukur Resiliensi atau Ketahanan Cyber
by Keri Pearlson
Saat ini, sebagian besar pimpinan perusahaan mengetahui bahwa keamanan siber adalah risiko bisnis yang harus mereka awasi dan memastikan mitigasi yang tepat sudah tersedia. Dalam artikel sebelumnya, kami telah menjelaskan percakapan yang harus dilakukan oleh pimpinan untuk menjalankan peran ini. Kami mendiskusikan sebuah kasus mengenai resiliensi siber dan bukan proteksi siber. Organisasi tidak dapat melindungi diri mereka sendiri hanya dengan mengandalkan investasi tambahan dalam perlindungan. Tentu saja, melindungi aset, sistem, dan data sangatlah penting, tetapi seperti yang telah ditunjukkan oleh berita utama sebelumnya, fokus pada perlindungan saja tidak cukup. Perusahaan, dan para pimpinan yang mengawasi mereka, telah gagal menemukan cara yang tepat untuk mendapatkan perlindungan yang cukup (sebagaimana dibuktikan dengan berita utama yang terus menerus membagikan pelanggaran inovatif terbaru pada organisasi yang kurang terlindungi). Sebaliknya, kami menganjurkan agar para pimpinan perusahaan melakukan pembicaraan tentang resiliensi atau ketahanan, bukan hanya tentang perlindungan.
Untuk memitigasi risiko siber dengan benar, para pemimpin perusahaan harus memiliki rencana yang kuat untuk merespons dan pulih dengan cepat sehingga meskipun menghadapi serangan siber, perusahaan dapat terus beroperasi. Itulah pembicaraan yang tepat untuk dilakukan oleh para direktur dengan para kepala keamanan siber mereka. Dalam artikel ini, kami membagikan penelitian tentang jenis informasi yang dibutuhkan direksi untuk diskusi-diskusi tersebut.
Studi tentang Pengawasan Dewan Direksi
Direksi memberikan pengawasan terhadap keputusan operasional dan strategis serta memiliki tanggung jawab penuh untuk mengelola risiko siber. Kami memulai penelitian kami dengan mencoba memahami jenis informasi yang dilaporkan oleh CISO dan kepala eksekutif siber kepada direksi, dan membandingkannya dengan informasi yang dibutuhkan direksi untuk menjalankan tugasnya. Kami membuat survei dengan berbagai jenis indikator kinerja, mulai dari teknis hingga operasional. Namun hasil dari survei tersebut memperjelas bahwa kami berada di jalur yang salah.
Meskipun paling mudah bagi para kepala eksekutif siber untuk melaporkan metrik teknologi atau metrik organisasi, seperti hasil latihan phishing, informasi ini tidak membantu Direksi dalam tugas mereka untuk memastikan ketahanan siber. Itu hanyalah informasi yang salah. Penting bagi para kepala operasional siber untuk memahami bagaimana kontrol keamanan mereka diatur, bagaimana mereka berfungsi, dan di mana mereka gagal. Itulah tugas pimpinan operasional. Namun, itu adalah informasi yang salah - setidaknya pada awalnya - untuk percakapan dengan dewan direksi.
Kami mengubah arah dan menerapkan konsep balanced scorecard (yang dibuat oleh profesor Harvard Bob Kaplan dan David Norton) untuk keamanan cyber. Kami mengajukan pertanyaan kepada para pemimpin cyber yang melapor kepada dewan direksi, anggota dewan direksi, dan ahli bidang lainnya tentang informasi yang paling berguna bagi dewan direksi dari sudut pandang bisnis, bukan dari sudut pandang teknis. Pendekatan ini menghasilkan kerangka kerja dan serangkaian rekomendasi.
Pendekatan ini menghasilkan kerangka kerja dan serangkaian rekomendasi yang menjanjikan untuk membantu pimpinan perusahaan dalam memahami risiko nyata yang mereka hadapi, menyediakan sarana bagi para kepala eksekutif cyber untuk mengkomunikasikan risiko tersebut, dan menciptakan peluang dialog yang bermanfaat antara kedua kelompok tersebut.
Perlunya Pelaporan Keamanan Siber Dewan Direksi yang Lebih Baik
Selama penelitian, kami bertanya kepada para kepala keamanan siber, dewan direksi, dan pakar bidang lainnya tentang diskusi keamanan siber dewan direksi dan pelaporan yang diberikan kepada dewan direksi sebagai persiapan untuk diskusi ini. Semua responden memiliki pendapat yang kuat tentang diskusi keamanan siber di ruang rapat. Secara umum, para peserta setuju bahwa dewan direksi mengalami kesulitan dalam mendiskusikan masalah keamanan cyber pada tingkat yang berarti, dewan direksi membutuhkan informasi yang berbeda, dan diperlukan pendekatan baru. Misalnya, seorang direktur menanggapi dengan mengatakan, "Menurut saya, diskusi tentang metrik keamanan siber sangat bermanfaat. Sulit untuk mengukur dan mengomunikasikan 'nilai' keamanan. Jadi, beberapa pemikiran tentang hal itu akan menarik bagi saya."
Namun, keamanan siber bahkan tidak menjadi topik di tingkat direksi bagi beberapa responden. Salah satu responden berkomentar, "Tidak ada satu pun dari Dewan yang saya ikuti yang memiliki fokus khusus pada masalah keamanan cyber. Di satu department, hal ini termasuk dalam topik IT yang kami diskusikan. Di tempat lain, hal ini merupakan bagian dari komite audit."
Salah satu responden yang diidentifikasi sebagai pemimpin teknis tingkat C mengamati bahwa dewan direksi menginginkan adanya komparasi, terutama untuk membuat penilaian tentang ketahanan siber. Dia berkata, "Pimpinan saya tertarik dengan ketahanan cyber, tetapi juga ingin tahu tentang apa yang dilakukan orang lain. Mereka menghargai wawasan dan penilaian dari rekan kerja."
Para responden menginginkan informasi penting tentang aset sistem, kemampuan proaktif, dan seberapa cepat mereka dapat pulih ketika ditanya informasi apa yang akan membantu mereka menilai risiko operasional. Salah satunya adalah anggota dewan dari layanan teknologi yang mengidentifikasi informasi yang ingin diketahuinya, "Jenis data apa saja yang kami miliki, di mana kami menyimpannya, kemungkinan adanya gangguan pada kerahasiaan, integritas, ketersediaan, dan dampak gangguan keamanan terhadap operasi bisnis kami."
Lebih dari separuh peserta ingin mengetahui nilai dolar finansial yang terlibat dalam pelanggaran atau serangan siber terhadap organisasi mereka. Hampir setengah dari peserta menyebutkan penggunaan penilaian risiko teknis pihak ketiga, yang mereka laporkan kepada dewan dan diperbarui setiap kuartal. Untuk rantai pasokan, responden menganggap penting untuk mengetahui tentang kemampuan dan perlindungan terhadap pemasok dan opsi yang berlebihan. Namun, sebagian besar responden tidak yakin apakah rincian teknis dan rantai pasokan harus menjadi bagian dari pengawasan dewan.
Terdapat tanggapan beragam ketika ditanya tentang apa yang menurut mereka akan membantu mengakses risiko organisasi akibat kerentanan keamanan siber. Beberapa responden tidak yakin apa yang dibutuhkan untuk menilai risiko organisasi. Beberapa menyebutkan peninjauan rincian pelatihan, yang lain berkomentar bahwa penilaian keterampilan karyawan untuk menangani potensi kerentanan organisasi.
Hasil survei menunjukkan bahwa dewan direksi sering mendelegasikan tanggung jawab keamanan siber kepada komite audit dan risiko. Responden berkomentar bahwa umpan balik dari komite-komite ini disambut baik ketika dewan menerima laporan keamanan siber.
Penilaian ketahanan juga dieksplorasi. Setengah dari responden tidak memiliki metode untuk menilai ketahanan organisasi secara keseluruhan terhadap risiko keamanan siber. Responden berkomentar bahwa penilaian risiko keuangan, supply-chain, teknologi, dan organisasi dapat membuat mereka menarik kesimpulan terhadap ketahanan organisasi secara keseluruhan, tetapi peran kepala bagian operasional adalah mempresentasikan risiko-risiko ini kepada dewan direksi agar Direksi memiliki strategi yang tepat untuk menangani risiko-risiko ini.
Diskusi lanjutan dengan responden memperjelas bahwa anggota direksi tertarik untuk memastikan bahwa organisasi mereka memiliki ketahanan terhadap risiko siber, dan bahwa terdapat kekurangan perangkat yang dapat membantu direksi dalam melakukan pengawasan keamanan cyber yang tepat untuk masalah ini.
The Balanced Scorecard untuk Ketahanan Siber (BSCR)
Berdasarkan karya Kaplan dan Norton yang asli, kartu skor yang seimbang menggabungkan indikator kinerja penting dari berbagai perspektif perusahaan yang memberikan informasi kompleks yang mudah dipahami oleh para pemimpin. Tujuan utama dari kartu skor mereka adalah untuk memberikan wawasan tentang kinerja keuangan dan operasional dengan menggabungkan informasi tentang aktivitas inti yang mungkin terisolasi satu sama lain. Dengan melihat indikator-indikator ini bersama-sama dalam satu kerangka kerja, para pemimpin dapat menarik kesimpulan yang mungkin terlewatkan. Pekerjaan kami memperluas ide-ide ini ke ranah keamanan siber untuk memberikan wawasan kepada para pimpinan tentang ketahanan siber.
Balanced scorecard tingkat dewan untuk ketahanan siber. Kartu ini menggabungkan indikator keuangan, teknologi, organisasi, dan rantai pasokan, serta indikator gabungan ketahanan. Masing-masing dari empat kuadran memiliki tiga komponen: 1) risiko terbesar, 2) rencana tindakan untuk mengelola risiko tersebut, dan 3) indikator keseluruhan (hijau, kuning, atau merah) untuk penilaian cepat risiko pada area tersebut. Keempat kuadran ini didasarkan pada temuan dari penelitian saat ini, namun tidak menutup kemungkinan adanya area tambahan yang mungkin relevan untuk menilai ketahanan siber di masa depan.
Komponen-komponen dari BSCR Tingkat Direksi
Setiap kuadran BSCR tingkat dewan direksi dirancang untuk memberikan indikator yang relevan bagi direksi mengenai kekuatan ketahanan dan risiko terbesar dari area tersebut.
Indikator Stoplight adalah indikator yang mudah dipahami untuk penilaian kuantitatif dari komponen utama risiko siber. Indikator ini disusun dari data operasional yang digunakan oleh para pemimpin cyber untuk mengelola aktivitas cyber. Indikator ini dapat berasal dari kerangka kerja seperti CISA Cybersecurity Performance Goals (CPG) atau metrik yang dikembangkan sendiri yang digunakan oleh tim keamanan siber untuk memantau aktivitas.
Jendela Risiko Terbesar adalah penilaian kualitatif yang dibuat oleh para pemimpin keamanan siber yang berpengetahuan luas, seperti CISO atau CIO, tentang masalah yang paling bermasalah di area tersebut. Ini adalah jawaban singkat untuk pertanyaan, "apa risiko terbesar yang dihadapi organisasi saat ini?" dan "seberapa besar risiko ini?"
Rencana Aksi adalah rencana tingkat tinggi pemimpin untuk mengelola risiko terbesar. Rencana Aksi adalah jawaban dari pertanyaan "Apa yang kita lakukan terhadap risiko ini saat ini?" dan "Seberapa mendesak risiko ini?"
BSCR tingkat direksi ini memberikan informasi yang dapat dimengerti dengan cepat oleh direksi berdasarkan wawasan kualitatif, wawasan manajerial, dan data kumulatif kuantitatif untuk memicu percakapan yang lebih dalam dengan manajer operasional.
Memberikan Informasi yang Tepat kepada Direksi
Para direktur memahami bahwa organisasi mereka menghadapi risiko dari berbagai sumber, termasuk risiko keamanan siber. Memberikan Informasi yang Tepat kepada Dewan Direksi
Para direktur memahami bahwa organisasi mereka menghadapi risiko dari berbagai sumber, termasuk risiko keamanan siber. Namun, masalahnya adalah bagaimana mendiskusikan dan mengelola risiko ini dengan tepat. Para eksekutif keamanan siber mengetahui bahwa organisasi mereka tidak mungkin 100% aman, karena vektor ancaman baru muncul secara teratur, dan kerentanan baru ditemukan dengan kecepatan yang sama. Mengelola risiko berarti membuat keputusan tentang cara terbaik untuk menggunakan sumber daya untuk melindungi organisasi kita dan pada saat yang sama, mempersiapkan diri untuk kemungkinan insiden dan memastikan ketahanan operasi. Untuk itu, dewan direksi membutuhkan pandangan yang seimbang tentang kerentanan dan ancaman siber serta pemahaman tentang bagaimana para pemimpin operasional mengelolanya.
Meskipun sangat menggoda bagi direktur dan pemimpin operasional untuk fokus pada detail teknis dan metrik, ini bukan tempat yang tepat untuk memulai. Misalnya, ketika pemimpin keamanan siber hanya melaporkan hasil latihan phishing terbaru, dewan direksi hanya terlibat pada tingkat itu. Ukuran kuantitatif mudah diperoleh, dibagikan, dan dibandingkan. Namun, ukuran-ukuran tersebut tidak memberikan gambaran yang dapat membantu pimpinan mengawasi risiko keamanan cyber. Selanjutnya, para direktur menggunakan informasi yang diberikan kepada mereka, dan diskusi selanjutnya berfokus pada rencana taktis yang dilakukan oleh para pemimpin operasional untuk mengurangi kemungkinan email phishing yang berhasil. Namun, hal tersebut bukanlah cara terbaik untuk memusatkan perhatian para direksi. Hal itu hanya memfokuskan perhatian direksi pada satu aspek keamanan siber organisasi dan mungkin melewatkan aspek lainnya.
Para eksekutif keamanan siber mengetahui bahwa organisasi mereka tidak mungkin 100% aman, karena vektor ancaman baru muncul secara teratur, dan kerentanan baru ditemukan dengan kecepatan yang sama. Mengelola risiko berarti membuat keputusan tentang cara terbaik untuk menggunakan sumber daya dalam melindungi organisasi kita dan pada saat yang sama, mempersiapkan diri untuk kemungkinan insiden dan memastikan ketahanan operasi. Untuk itu, dewan direksi membutuhkan pandangan yang seimbang tentang dunia maya, dan sebaliknya, dewan direksi harus mendiskusikan risiko tingkat bisnis yang dilihat oleh para pemimpin, dan apa yang dilakukan oleh para pemimpin operasional untuk memastikan ketahanan. Pertanyaan yang lebih luas ini membuka peluang bagi kerentanan organisasi apa pun, bukan hanya kerentanan email phishing.
Apa Langkah Selanjutnya?
Dari pekerjaan kami, kami melihat bahwa perubahan pola pikir dari perlindungan menjadi ketahanan diperlukan dan untuk mendorong perubahan itu, para pemimpin operasional harus mengubah cara mereka melapor kepada dewan.
Para manajer berfokus pada langkah-langkah yang diambil untuk perlindungan cyber, tetapi dewan direksi perlu mengetahui tentang ketahanan cyber. Para manajer berpikir bahwa dewan direksi ingin mengetahui tentang metrik operasional, namun direksi benar-benar ingin mengetahui risiko bisnis yang diantisipasi oleh para manajer dan rencana tindakan apa yang tersedia untuk mengurangi risiko tersebut.
Para manajer melaporkan metrik yang dapat mereka hitung, tetapi dewan direksi membutuhkan penilaian yang lebih luas tentang di mana masalah siber berikutnya dapat terjadi dan hal itu mungkin tidak dapat diukur. Direksi membutuhkan informasi tentang dampak bisnis dari risiko siber, baik dari sisi identifikasi risiko maupun dari sisi kemungkinan risiko. Direksi membutuhkan informasi mengenai dampak bisnis dari risiko siber, baik dari identifikasi risiko maupun dari perspektif kemungkinan risiko. Melaporkan secara kualitatif risiko bisnis secara umum dari ancaman dan kerentanan siber dalam konteks bagaimana hal tersebut dapat mengganggu organisasi, dan mendiskusikan pentingnya risiko tersebut dengan dewan direksi memungkinkan direksi untuk menilai apakah fokus perhatian telah diberikan pada risiko yang tepat dan strategi mitigasi.
Nilai dari mendiskusikan pandangan yang seimbang mengenai risiko keamanan siber di tingkat dewan direksi tidak datang dari membandingkan kondisi hari ini dengan kondisi kemarin, tetapi dari memastikan bahwa bisnis siap hari ini dan esok hari untuk menghadapi potensi gangguan dari insiden siber. Risiko siber bersifat dinamis. Apa yang menjadi risiko hari ini mungkin tidak menjadi risiko besok, atau mungkin menjadi risiko terbesar besok. Untuk membuat penilaian tersebut, pimpinan perusahaan perlu melakukan diskusi yang tepat dengan pihak-pihak yang mengetahui risiko siber dan dampak bisnis dari risiko tersebut.
Ini bukan tentang seberapa terlindungnya kita, tetapi seberapa tangguh kita. Balanced Scorecard untuk Ketahanan Siber adalah titik awal untuk diskusi tentang bagaimana bisnis akan melanjutkan operasi ketika suatu peristiwa terjadi. Tidaklah cukup hanya berinvestasi pada perlindungan saat ini. Kita perlu fokus pada ketahanan bisnis terhadap kerentanan dan ancaman siber. Untuk melakukan itu, kita membutuhkan penilaian kualitatif yang seimbang dari para kepala operasional yang mengetahui.
Komentar
Posting Komentar