Oleh Ken Berani
Maret 2024
Ketika peretas mencuri $101 juta dari Bank Sentral Bangladesh pada tahun 2016 dengan menargetkan SWIFT, sistem pesan pembayaran elektronik paling populer di dunia, hal ini mengirimkan gelombang kejutan ke seluruh industri jasa keuangan. Tiba-tiba, jelas terlihat bahwa serangan siber dapat menghancurkan lembaga keuangan dan mengancam stabilitas sistem keuangan global. Kini, delapan tahun setelah serangan tersebut, risiko dunia maya bagi perusahaan jasa keuangan menjadi lebih besar dari sebelumnya. Akibatnya, perusahaan fintech berada dalam posisi sulit karena mereka harus menyeimbangkan antara menjaga keamanan siber tingkat tinggi dan meningkatkan produktivitas dan kinerja.
Organisasi jasa keuangan secara konsisten mengambil keputusan yang dapat berdampak positif pada satu sisi paradigma produktivitas keamanan dan berdampak negatif pada sisi lainnya. Bersandar terlalu jauh pada sisi produktivitas, maka risiko kehilangan data, waktu henti, dan kerusakan reputasi akan meningkat. Bersandar terlalu jauh ke sisi keamanan, dan kinerja akan menurun. Dalam Tanya Jawab ini, Akash Kilaru, yang merupakan wakil presiden sebuah bank terkemuka, memiliki pengalaman lebih dari satu dekade di semua fase manajemen siklus hidup proyek teknis dan berpengalaman dalam mempelopori integrasi langkah-langkah keamanan ke dalam proses pengembangan, membahas isu-isu penting saat ini. tantangan keamanan teknologi yang paling sering berdampak pada produktivitas dan kinerja tempat kerja. Kilaru menawarkan wawasan tentang bagaimana perusahaan jasa keuangan dapat mengatasi masalah keamanan siber dengan sebaik-baiknya saat ini dan di masa depan.
T: Apa risiko keamanan siber yang dihadapi perusahaan jasa keuangan saat ini?
Kilar: Singkatnya, ini “tinggi.” Pelanggaran data di industri jasa keuangan AS berjumlah 744 pada tahun 2023—jauh lebih banyak dari 138 insiden yang dilaporkan pada tahun 2020, menurut Statista. Perusahaan riset tersebut juga menyatakan bahwa sektor keuangan saat ini merupakan industri kedua yang paling menjadi sasaran insiden keamanan siber yang mengakibatkan kebocoran data. Serangan Ransomware terhadap perusahaan jasa keuangan juga meningkat. Sentinel One, sebuah perusahaan keamanan siber, melaporkan bahwa 64 persen perusahaan jasa keuangan menjadi target serangan ransomware pada tahun 2023, hampir dua kali lipat dari 34 persen yang ditargetkan pada tahun 2021.
T: Apa yang mendorong meningkatnya risiko serangan siber di industri jasa keuangan?
Kilar: Ada beberapa faktor yang mendorong peningkatan kejahatan dunia maya. Beberapa permasalahan utama yang ada di antaranya adalah tren transformasi digital yang melanda industri ini, meningkatnya permintaan terhadap layanan keuangan online, dan semakin banyaknya peretas yang berpengetahuan dan terampil. Faktor lainnya termasuk kerentanan rantai pasokan, teknologi baru, ancaman orang dalam, dan pekerjaan jarak jauh. Meskipun demikian, sebagian besar perusahaan jasa keuangan telah menerapkan beberapa langkah keamanan sebagai respons terhadap serangan yang semakin intensif. Sayangnya, banyak hal yang dianggap memakan waktu, mengganggu alur kerja, dan menurunkan produktivitas.
T: Apa lima tantangan paling umum yang harus diatasi ketika menyeimbangkan keamanan siber dan produktivitas?
Kilar: Dengan meningkatnya kompleksitas ancaman siber, menjaga keamanan aset digital dan informasi sensitif menjadi perhatian utama para pemimpin perusahaan jasa keuangan. Penting bagi para pemimpin untuk mempertimbangkan potensi manfaat penerapan langkah-langkah keamanan siber baru dan kemungkinan dampak negatifnya terhadap produktivitas. Menurut saya, ada lima tantangan umum yang perlu diatasi agar dunia usaha dapat mencapai keseimbangan yang sehat antara keamanan siber yang kuat dan produktivitas yang tinggi:
Tantangan pertama adalah implementasi perangkat lunak keamanan. Seringkali, instalasi dan pemeliharaan perangkat lunak keamanan menurunkan produktivitas dengan menghasilkan waktu respons yang lebih lambat, penundaan akses file, dan gangguan sistem sementara.
Selanjutnya, kita mendapatkan hasil positif palsu. Salah satu dampak negatif paling umum yang menyertai solusi keamanan baru adalah positif palsu atau peringatan yang menunjukkan adanya ancaman padahal sebenarnya ancaman tersebut tidak ada. Menyelidikinya memerlukan waktu dan sumber daya yang berharga serta mengalihkan perhatian dari tugas-tugas penting lainnya, sehingga berdampak buruk pada produktivitas.
Tantangan ketiga adalah otentikasi pengguna. Otentikasi multi-faktor dan kebijakan kata sandi yang rumit dapat menunda akses staf ke sistem dan aplikasi serta mengurangi produktivitas.
Tantangan keempat adalah gangguan operasional. Meskipun gangguan operasional akibat serangan siber tidak mendapat perhatian seperti pelanggaran data, hal ini masih dapat sangat merusak produktivitas perusahaan dan mengakibatkan hilangnya pendapatan secara signifikan.
Terakhir, keamanan pembangunan merupakan tantangan umum bagi perusahaan. Penerapan langkah-langkah keamanan tambahan dalam proses pengembangan perangkat lunak dapat memperpanjang waktu yang dibutuhkan untuk penerapan kode dan memperlambat siklus pengembangan.
T: Mengingat tantangan-tantangan ini, langkah apa yang dapat diambil oleh perusahaan jasa keuangan untuk menjaga keseimbangan antara keamanan siber dan produktivitas?
Kilar: Salah satu kunci terbesar untuk menjaga kekuatan keamanan siber dan produktivitas yang tinggi adalah memasang platform keamanan yang tepat. Perusahaan jasa keuangan memerlukan platform dengan kontrol keamanan tingkat lanjut, seperti pemantauan peristiwa, jalur audit lapangan untuk melacak aktivitas pengguna dan perubahan data penting, serta enkripsi platform untuk bidang sensitif saat data disimpan dan dalam perjalanan. Platform ini juga harus menyediakan pemantauan dan audit berkelanjutan serta pemeriksaan keamanan otomatis langsung di jalur rilis untuk menghindari perlambatan yang terputus-putus dan cakupan yang tidak memadai dari pemantauan dan audit berkala.
Solusi lainnya adalah memastikan kolaborasi yang kuat antara tim keamanan dan pengembangan. Kedua tim ini perlu bekerja sama untuk mengidentifikasi potensi risiko yang terkait dengan fitur atau perubahan baru dan kemudian merencanakan strategi mitigasi. Tujuannya adalah untuk menanamkan pemeriksaan keamanan ke dalam alur integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD). Ketika keamanan merupakan bagian integral dari proses pengembangan, perusahaan dapat memastikan bahwa setiap rilis mematuhi standar keamanan yang ditetapkan. Selain itu, staf keamanan harus berkolaborasi dengan personel TI untuk mengembangkan rencana respons insiden yang menjamin respons cepat dan efektif terhadap insiden keamanan. Kolaborasi yang efektif dimulai dengan komunikasi yang jelas dan diskusi rutin dengan pemangku kepentingan di berbagai tim, sehingga semua orang mempunyai pemahaman yang sama mengenai tujuan, kekhawatiran, dan prioritas keamanan.
T: Apakah ada strategi lain yang Anda rekomendasikan bagi perusahaan jasa keuangan yang ingin menghadapi tantangan produktivitas keamanan?
Kilar: Salah satu bidang penting yang tidak dapat diabaikan adalah perencanaan yang tepat. Perencanaan proaktif yang melibatkan departemen terkait memungkinkan perusahaan untuk memasukkan pertimbangan keamanan ke dalam tahap perencanaan daripada hanya sekedar memikirkan hal-hal yang ada di belakang dan mempertimbangkan kemungkinan dampak tindakan keamanan terhadap produktivitas untuk menjaga keseimbangan terbaik di antara keduanya.
Perusahaan juga perlu memperhatikan sistem autentikasi multifaktor mereka dengan cermat. Penting untuk meluangkan waktu untuk memilih mekanisme MFA yang kuat namun tidak terlalu rumit. Mekanisme otentikasi harus sesuai dengan lingkungan perusahaan dan mencerminkan perilaku manusia, sehingga karyawan tidak frustrasi dengan proses login yang memakan waktu terlalu lama.
Penting juga untuk melakukan pemeriksaan kepatuhan secara konsisten. Untuk memastikan kepatuhan berkelanjutan terhadap undang-undang perlindungan data, kebijakan internal, dan peraturan industri, perusahaan perlu melakukan pemeriksaan ke dalam proses pengembangan. Kegagalan melakukan hal ini dapat mengakibatkan penundaan dan penerapan solusi yang berdampak negatif terhadap produktivitas.
Selain itu, organisasi perlu menyiapkan rilis perangkat lunak otomatis. Alat otomatisasi yang baik yang digunakan selama penerapan akan memberikan manfaat keamanan dan produktivitas dengan mengurangi kesalahan manusia.
Selain itu, perusahaan harus mendukung pendidikan dan pelatihan berkelanjutan bagi tim keamanan mereka. Ketika personel berkomitmen untuk selalu mengikuti perkembangan rilis, patch, dan pembaruan keamanan terkini, mereka membantu perusahaan memaksimalkan produktivitas dengan memanfaatkan teknologi terbaru dan terbaik.
Berbicara mengenai teknologi terbaru dan terhebat, penting juga untuk mengatasi tantangan keamanan unik yang ditimbulkan oleh teknologi baru, seperti Internet of Things (IoT) dan komputasi awan. Hal ini berarti mengevaluasi potensi kerentanan, memahami aliran data, mengidentifikasi kemungkinan titik kompromi, dan membuat rencana respons yang jelas untuk meminimalkan waktu henti jika terjadi kesalahan.
T: Mengapa perusahaan jasa keuangan harus segera fokus dan mengatasi tantangan-tantangan ini?
Kilar: Perusahaan tidak boleh melupakan betapa destruktifnya serangan siber. Cybercrime Magazine melaporkan bahwa 60 persen perusahaan kecil gulung tikar dalam waktu enam bulan setelah mengalami serangan siber besar dan biaya rata-rata pelanggaran data bagi perusahaan besar adalah $3,62 juta. Karena konsekuensi seperti ini, keamanan siber tidak bisa lagi menjadi bagian belakang produktivitas. Untuk memastikan keamanan siber tetap menjadi prioritas, perusahaan harus menekankan pelatihan keamanan siber bagi karyawannya. Mereka juga harus berinvestasi pada alat kolaborasi canggih yang memungkinkan karyawan bekerja sama untuk melindungi data penting perusahaan. Sesi pelatihan untuk anggota tim non-teknis dapat berfokus pada prinsip dasar keamanan siber, mengenali upaya phishing, dan memahami pentingnya praktik aman dalam pekerjaan sehari-hari.
T: Menurut pengalaman Anda, apa yang penting untuk memitigasi risiko keamanan siber sekaligus meningkatkan produktivitas dan kinerja yang lebih efisien di perusahaan?
Kilar: Komunikasi yang baik sangat penting. Sering kali, departemen-departemen beroperasi secara terpisah dan menangani permasalahan hanya dari sudut pandang mereka sendiri. Hal ini dapat menimbulkan dampak negatif pada area lain perusahaan. Penting bagi para pemangku kepentingan untuk sering berdiskusi guna memastikan semua orang memahami permasalahan dan tujuan keamanan serta kemungkinan dampaknya terhadap produktivitas. Saat berbicara dengan pemangku kepentingan non-teknis, hindari bahasa teknis, fokuslah pada risiko dan tujuan bisnis, tekankan bagaimana keamanan siber berkontribusi terhadap misi perusahaan, dan soroti potensi dampak bisnis dari insiden keamanan.
Q: Apakah Anda punya tips penting lainnya untuk perusahaan jasa keuangan?
Kilar: Ya, penting juga bagi para pemimpin organisasi untuk tetap mengikuti tantangan saat ini dan masa depan. Organisasi jasa keuangan mungkin menghadapi beberapa tren dan tantangan potensial di masa depan, termasuk keamanan cloud, ancaman siber tingkat lanjut, risiko transformasi digital, keamanan kerja jarak jauh, serta ancaman kecerdasan buatan dan pembelajaran mesin. Sangat penting bagi para pemimpin untuk memahami dan menyadari pentingnya bagaimana tantangan-tantangan ini dapat berdampak pada kesuksesan perusahaan secara keseluruhan.
Sudah saatnya perusahaan jasa keuangan proaktif
Lebih baik bersikap proaktif dibandingkan reaktif dalam menghadapi kemajuan teknologi dan keamanan, khususnya di sektor jasa keuangan. Perusahaan yang selalu mengikuti perkembangan teknologi dan ancaman terbaru serta memiliki rencana strategis memiliki posisi yang lebih baik untuk menjaga keamanan data dan mempertahankan produktivitas yang tinggi. Perusahaan-perusahaan yang berwawasan ke depan memahami bahwa jika diterapkan dengan benar, keamanan siber yang kuat dapat meningkatkan produktivitas melalui pengurangan waktu henti, pekerjaan jarak jauh yang lebih aman, dan penurunan gangguan akibat masalah keamanan.
Tentang Penulis:
Ken Dare adalah penulis lepas dengan pengalaman lebih dari 20 tahun meliput berita keuangan dan topik bisnis, termasuk layanan keuangan, kecerdasan buatan, dan manajemen perubahan. Untuk informasi lebih lanjut hubungi [email protected].