Saat ini banyak perusahaan sedang memikirkan bagaimana melindungi asetnya. Beberapa masalah kriminal seperti penyusupan (cyber vulnerability), perdagangan orang (convergence of cyber and financial crimes), Foreign Corrupt Practices Act (FCPA), email compromise dan kegiatan memata-matai berbagai aktivitas dan strategi ekonomi dari pesaing bisnis (economic espionage). Perusahaan harus mempertimbangkan kemungkinan terjadinya korupsi internal atau korupsi eksternal, dan faktor lingkungan yang memberikan berkontribusi terhadap kejahatan tersebut. Sebagai perlindungan, organisasi dapat menggunakan cyber security, pen testing and data loss prevention tactics.
Apa Itu Cyber Security?
Cyber Security adalah teknologi, proses dan praktik yang dirancang untuk melindungi jaringan, komputer, program dan data dari serangan, kerusakan atau akses yang tidak sah. Istilah “Cyber Security” mengacu pada fungsi bisnis dan alat teknologi yang digunakan untuk melindungi aset informasi. Data perusahaan yang bertransformasi menjadi data berbasis digital digunakan untuk menyimpan, mengakses dan mengambil informasi penting. Melindungi informasi dan data sudah bukan lagi prioritas tetapi sudah menjadi kebutuhan sebagian besar perusahaan dan instansi pemerintah di seluruh dunia.
Berikut adalah beberapa definisi utamanya:
- Data breaches sebagai sebuah aktivitas penggunaan data sensitif, protected, atau rahasia hasil dari aktivitas hacking yang digunakan, atau dicuri oleh pihak yang tidak berkepentingan.
- Cyber criminals mengacu kepada aktivitas kejahatan dengan komputer atau jaringan komputer menjadi alat, sasaran atau tempat terjadinya kejahatan. Mereka biasanya mencuri uang atau informasi data yang pada akhirnya dapat dimonetisasi (mis., Nomor Jaminan Sosial, riwayat kredit, kartu kredit, catatan kesehatan, dll.).
- Cyber attacks dalam operasi informasi adalah semua jenis tindakan yang sengaja dilakukan untuk mengganggu kerahasiaan (confidentiality), integritas (integrity), dan ketersedian (availability) informasi. Mungkin berasal dari pihak luar yang berbahaya, kehilangan yang tidak disengaja, orang dalam yang jahat, hacktivists dan aktor yang disponsori negara.
Mendifinisikan Peraturan Internal Audit dalam Cyber Security
Ketika memilih framework untuk kontrol cyber security, panduan dan framework tidak perlu ditemukan kembali. Organisasi harus memilih salah satu yang sesuai untuk perusahaan mereka (mis., ITIL atau COBIT), dengan menambahkannya dan bertanggung jawab untuk hal tersebut. Berikut adalah beberapa framework yang dapat dipilih:
- NIST Framework for Improving Critical Infrastructure Cybersecurity
- ISACA COBIT 5 and the Emerging Cyber Nexus
- SANS Institute and the Top 20 Critical Security Controls
- PCI DSS Control Catalog
- ISO/IEC 27001
- Other Industry Specific Frameworks: FFIEC, HITRUST, etc.
Resiko Cyber: Peran dan Tanggung Jawab
Manajemen risiko yang efektif adalah produk dari beberapa lapisan pertahanan risiko. Audit internal harus mendukung dalam memahami efektivitas pengendalian cyber security.
Baca :
Ketiga jalur pertahanan untuk risiko keamanan cyber ini dapat digunakan sebagai sarana utama untuk mendemonstrasikan dan menyusun peran, tanggung jawab dan akuntabilitas untuk pengambilan keputusan, risiko dan kontrol untuk mencapai pengelolaan dan jaminan risiko tata kelola yang efektif.
Operasi bisnis dilakukan day-to-day aktivitas manajemen risiko seperti identifikasi risiko dan penilaian risiko terhadap risiko TI. Mereka memberikan respons risiko dengan mendefinisikan dan menerapkan kontrol untuk mengurangi risiko utama TI, dan melaporkan perkembangannya.
Manajemen risiko adalah proses penyusunan dan penerapan kebijakan dan prosedur, memastikan bahwa prosedur yang ada selalu diperbaharui, menanggapi prioritas dan risiko strategis baru, memantau untuk memastikan kepatuhan terhadap kebijakan yang diperbarui, dan memberikan pengawasan mengenai efektivitas pengendalian kepatuhan dalam bisnis.
Sebagai lini pertahanan ke-3, langkah apa yang bisa diambil dari internal audit?
- Bekerja sama dengan manajemen dan dewan direksi untuk mengembangkan strategi dan kebijakan cyber security.
- Mengidentifikasi peluang untuk memperbaiki kemampuan organisasi untuk mengidentifikasi, menilai dan mengurangi risiko cyber security ke tingkat yang dapat diterima.
- Mengakui bahwa risiko cyber security tidak hanya bersifat eksternal; Menilai dan mengurangi ancaman potensial yang dapat timbul dari tindakan karyawan atau mitra bisnis.
- Memperluas hubungan dengan komite audit dan dewan untuk meningkatkan kesadaran dan pengetahuan tentang cyber security, dan memastikan bahwa dewan direksi tetap terlibat dalam masalah cyber security dan mengetahui perubahan sifat risiko cyber security.
- Pastikan risiko cyber security terintegrasi secara formal ke dalam rencana audit.
- Kembangkan pemahaman tentang bagaimana teknologi dan tren yang muncul dapat mempengaruhi perusahaan dan profil risiko cyber security.
- Mengevaluasi program cyber security organisasi terhadap Cybersecurity NIST framework, dengan menyadari bahwa framework tidak mencapai tingkat kontrol, program cyber security mungkin memerlukan evaluasi tambahan terhadap ISO 27001 dan 27002.
- Carilah kesempatan untuk mengkomunikasikan kepada manajemen bahwa, sehubungan dengan cyber security, kemampuan untuk melakukan pencegahan memerlukan integrasi keamanan antar sumber daya manusia dan teknologi.
- Tekankan bahwa kontrol cyber security dan cyber incident response harus menjadi prioritas manajemen puncak; Sebuah protokol eskalasi yang jelas dapat membantu membuat kasus ini – mempertahankan – dan membuat prioritas ini.
- Mengkaji setiap staf IT/audit dan kekurangan sumber daya serta kurangnya teknologi / alat pendukung, yang dapat menghambat upaya pengelolaan risiko cyber security.
Baca juga :
Area Fokus Audit Internal
Ada lima komponen kunci yang penting bagi kesiagaan cyber. Inilah bagaimana audit internal dapat berkontribusi pada masing-masing area:
Perlindungan: Audit internal memberikan pendekatan holistik untuk mengidentifikasi kerentanan organisasi. Pengujian dengan metode kebijakan bring-your-own-device (BYOD) atau meninjau kontrak pihak ketiga untuk mematuhi protokol keamanan, audit internal menawarkan pengetahuan berharga mengenai upaya perlindungan. Memiliki tata kelola IT yang efektif juga penting, dan audit internal dapat memberikan jaminan untuk area tersebut.
Deteksi: Analisis data yang baik sering memberi organisasi petunjuk pertama bahwa ada sesuatu yang tidak tepat. Semakin banyak, audit internal menggabungkan analisis data dan teknologi lainnya dalam pekerjaannya. Survei praktisi CBOK 2015 menemukan bahwa lima dari 10 responden menggunakan data mining dan analisis data untuk pemantauan risiko dan pengendalian, serta identifikasi penipuan.
Business Continuity: Perencanaan yang tepat dan penting untuk menangani dan mengatasi sejumlah skenario risiko yang dapat mempengaruhi operasi yang sedang berlangsung bagi organisasi, termasuk serangan cyber, bencana alam atau suksesi.
Manajemen atau Komunikasi Krisis: Kesiapsiagaan dalam manajemen krisis dan komunikasi krisis dapat secara signifikan dan positif mempengaruhi pelanggan, pemegang saham dan reputasi organisasi. Audit internal dapat membantu mengembangkan rencana, memberikan jaminan pengecekan atas efektivitas dan ketepatan waktu, dan pada akhirnya menawarkan analisis dan feedbacksetelah rencana dijalankan.
Perbaikan Terus-menerus: Audit internal dapat memberikan nilai terbaik dengan memberikan kontribusi wawasan yang diperoleh dari lingkup kerjanya yang luas. Kesiapsiagaan cyber mengasumsikan kelangsungan hidup serangan cyber, namun tidak ada gunanya jika organisasi tersebut tidak berevolusi dan memperbaiki strategi dan protokol agar lebih siap menghadapi serangan berikutnya.
Informasi ini dirinci lebih lanjut dalam Peran Audit Internal dalam Panduan Cybersecurity, termasuk peran audit internal dengan dewan direksi dan contoh masalah cyber security yang harus diwaspadai.
ITG.ID sebagai lembagai IT Training, IT Assessment dan IT Consulting memandang sangat penting kesadaran terhadap dampak perkembangan kejahatan dengan menggunakan teknologi internet baik bagi pemerintah, perusahaan dan individu. Oleh Karena itu ITG.ID menyelenggarakan Pelatihan cyber security series ini kepada pemerintah, perusahaan dan individu dalam rangka untuk memberikan pemahaman dan awareness serta kesiapan dalam menghadapi cybercrime. untuk informasi lebih lanjut dapat lihat di: //itgid.org/training/