Manajemen risiko siber, juga disebut manajemen risiko keamanan siber, adalah proses mengidentifikasi, memprioritaskan, mengelola, dan memantau risiko terhadap sistem informasi. Perusahaan-perusahaan di berbagai industri menggunakan manajemen risiko siber untuk melindungi sistem informasi dari serangan siber dan ancaman digital dan fisik lainnya.
Manajemen risiko siber telah menjadi bagian penting dari upaya manajemen risiko perusahaan yang lebih luas. Perusahaan lintas industri bergantung pada teknologi informasi untuk menjalankan fungsi bisnis utama saat ini, memaparkan mereka pada penjahat siber, kesalahan karyawan, bencana alam, dan ancaman keamanan siber lainnya. Ancaman ini dapat mengetuk sistem penting secara offline atau mendatangkan malapetaka dengan cara lain, yang menyebabkan hilangnya pendapatan, data curian, kerusakan reputasi jangka panjang, dan denda peraturan.
Risiko-risiko ini tidak dapat dihilangkan, tetapi program manajemen risiko siber dapat membantu mengurangi dampak dan kemungkinan ancaman. Perusahaan menggunakan proses manajemen risiko keamanan siber untuk menentukan ancaman mereka yang paling penting dan memilih langkah-langkah keamanan TI yang tepat berdasarkan prioritas bisnis, infrastruktur TI, dan tingkat sumber daya mereka.
Sulit untuk mengevaluasi risiko siber dengan penuh kepastian. Perusahaan jarang memiliki visibilitas penuh terhadap taktik penjahat siber, kerentanan jaringan mereka sendiri, atau risiko yang lebih tidak terduga seperti cuaca buruk dan kelalaian karyawan. Ditambah lagi, jenis serangan siber yang sama dapat memiliki konsekuensi berbeda di antara perusahaan. Pelanggaran data di sektor perawatan kesehatan menelan biaya rata-rata USD 10,10 juta, sedangkan pelanggaran di bidang perhotelan menelan biaya USD 2,9 juta, menurut laporan IBM Cost of a Data Breach.
Karena alasan ini, pihak berwenang seperti National Institute of Standards and Technology (NIST) menyarankan pendekatan manajemen risiko siber sebagai proses berulang yang berkelanjutan, bukan hanya sekali kejadian. Meninjau kembali proses tersebut secara teratur memungkinkan perusahaan untuk memasukkan informasi baru dan merespons perkembangan baru dalam lanskap ancaman yang lebih luas dan sistem TI-nya sendiri.
Untuk memastikan bahwa keputusan risiko memperhitungkan prioritas dan pengalaman seluruh organisasi, proses ini biasanya ditangani oleh berbagai pemangku kepentingan. Tim manajemen risiko siber dapat terdiri dari direktur, pemimpin eksekutif seperti CEO dan chief information security officer (CISO), anggota tim TI dan keamanan, hukum dan SDM, serta perwakilan dari unit bisnis lainnya.
Perusahaan dapat menggunakan banyak metodologi manajemen risiko siber, termasuk Kerangka Kerja Keamanan Siber NIST (NIST CSF) dan Kerangka Kerja Manajemen Risiko NIST (NIST RMF). Meskipun metode ini sedikit berbeda, namun semuanya mengikuti serangkaian langkah inti yang serupa.
Pembingkaian risiko adalah tindakan mendefinisikan konteks di mana keputusan risiko dibuat. Dengan membingkai risiko di awal, perusahaan dapat menyelaraskan strategi manajemen risiko mereka dengan strategi bisnis secara keseluruhan. Penyelarasan ini membantu menghindari kesalahan yang tidak efektif dan mahal, seperti menerapkan kontrol yang mengganggu fungsi bisnis utama.
Untuk membingkai risiko, perusahaan mendefinisikan hal-hal seperti:
Ruang lingkup proses: Sistem dan aset apa yang akan diperiksa? Ancaman apa saja yang akan diperhatikan? Garis waktu apa yang sedang dikerjakan proses (misalnya, risiko dalam enam bulan ke depan, risiko di tahun depan, dll.)?
Inventarisasi dan prioritas aset: Data, perangkat, piranti lunak, dan aset apa lainnya yang ada di jaringan? Manakah dari aset ini yang paling penting bagi organisasi?
Sumber daya dan prioritas organisasi: Sistem TI dan proses bisnis apa yang paling penting? Sumber daya apa, baik finansial maupun lainnya, yang akan dikomitmenkan oleh perusahaan untuk manajemen risiko siber?
Persyaratan hukum dan peraturan: Hukum, standar, atau mandat lain apa yang harus dipatuhi oleh perusahaan?
Pertimbangan-pertimbangan ini dan pertimbangan lainnya memberikan pedoman umum bagi perusahaan ketika mengambil keputusan risiko. Mereka juga membantu perusahaan menentukan toleransi risikonya yaitu, jenis risiko yang dapat diterima dan yang tidak dapat diterima.
Perusahaan menggunakan penilaian risiko keamanan siber untuk mengidentifikasi ancaman dan kerentanan, memperkirakan potensi dampaknya, dan memprioritaskan risiko yang paling kritis.
Bagaimana perusahaan melakukan penilaian risiko akan bergantung pada prioritas, ruang lingkup, dan toleransi risiko yang ditentukan dalam langkah pembingkaian. Kebanyakan penilaian mengevaluasi hal-hal berikut:
Ancaman adalah orang dan peristiwa yang dapat mengganggu sistem TI, mencuri data, atau membahayakan keamanan informasi. Ancaman termasuk serangan siber yang disengaja (seperti ransomware atau phishing) dan kesalahan karyawan (seperti menyimpan informasi rahasia dalam database yang tidak aman). Bencana alam, seperti gempa bumi dan angin topan, juga dapat mengancam sistem informasi.
Kerentanan adalah kekurangan atau kelemahan dalam sistem, proses, atau aset yang dapat dieksploitasi oleh ancaman untuk menimbulkan kerusakan. Kerentanan bisa bersifat teknis, seperti firewall yang salah konfigurasi yang memungkinkan malware masuk ke dalam jaringan atau bug sistem operasi yang bisa digunakan peretas untuk mengambil alih perangkat dari jarak jauh. Kerentanan juga dapat muncul dari kebijakan dan proses yang lemah, seperti kebijakan kontrol akses yang longgar yang memungkinkan orang mengakses lebih banyak aset daripada yang mereka butuhkan.
Dampak adalah apa yang dapat dilakukan oleh ancaman terhadap perusahaan. Ancaman siber dapat mengganggu layanan penting, yang menyebabkan waktu henti dan hilangnya pendapatan. Peretas dapat mencuri atau menghancurkan data sensitif. Para penipu dapat menggunakan serangan kompromi email bisnis untuk mengelabui karyawan agar mengirimkan uang kepada mereka.
Dampak dari suatu ancaman dapat menyebar ke luar organisasi. Pelanggan yang informasi identitas pribadinya (PII) dicuri saat terjadi pelanggaran data juga menjadi korban serangan.
Karena sulit untuk mengukur dampak pasti dari ancaman keamanan siber, perusahaan sering kali menggunakan data kualitatif seperti tren historis dan kisah serangan terhadap organisasi lain untuk memperkirakan dampaknya. Kekritisan aset juga merupakan faktor: Semakin kritis sebuah aset, semakin mahal biaya yang harus dikeluarkan untuk melawannya.
Risiko mengukur seberapa besar kemungkinan ancaman potensial memengaruhi organisasi dan seberapa besar kerusakan yang akan ditimbulkan oleh ancaman tersebut. Ancaman yang kemungkinan besar terjadi dan kemungkinan besar akan menyebabkan kerusakan yang signifikan adalah yang paling berisiko, sedangkan ancaman yang tidak mungkin terjadi dan akan menyebabkan kerusakan kecil adalah yang paling tidak berisiko.
Selama analisis risiko, perusahaan mempertimbangkan berbagai faktor untuk menilai seberapa besar kemungkinan terjadinya ancaman. Kontrol keamanan yang ada, sifat kerentanan TI, dan jenis data yang dimiliki perusahaan dapat memengaruhi kemungkinan ancaman. Bahkan industri perusahaan pun bisa berperan: Indeks X-Force Threat Intelligence menemukan bahwa organisasi di sektor manufaktur dan keuangan menghadapi lebih banyak serangan siber daripada organisasi di bidang transportasi dan telekomunikasi.
Penilaian risiko dapat memanfaatkan sumber data internal, seperti sistem informasi keamanan dan manajemen peristiwa (SIEM), dan intelijen ancaman eksternal. Mereka juga dapat melihat ancaman dan kerentanan dalam rantai pasokan perusahaan, karena serangan terhadap vendor dapat memengaruhi perusahaan.
Dengan menimbang semua faktor ini, perusahaan dapat membangun profil risikonya. Profil risiko menyediakan katalog potensi risiko perusahaan, yang memprioritaskannya berdasarkan tingkat kekritisan. Semakin berisiko suatu ancaman, semakin penting ancaman tersebut bagi organisasi.
Perusahaan menggunakan hasil penilaian risiko untuk menentukan bagaimana hal itu akan merespons potensi risiko. Risiko yang dianggap sangat tidak mungkin atau berdampak rendah dapat diterima begitu saja, karena berinvestasi dalam langkah-langkah keamanan mungkin lebih mahal daripada risiko itu sendiri.
Kemungkinan risiko dan risiko dengan dampak yang lebih tinggi biasanya akan ditangani. Respons risiko yang mungkin meliputi:
Mitigasi adalah penggunaan kontrol keamanan yang mempersulit eksploitasi kerentanan atau meminimalkan dampak eksploitasi. Contohnya adalah menempatkan sistem pencegahan intrusi (IPS) di sekitar aset berharga dan menerapkan rencana tanggap insiden untuk mendeteksi dan menangani ancaman dengan cepat.
Remediasi berarti sepenuhnya mengatasi kerentanan sehingga tidak dapat dieksploitasi. Contohnya termasuk menambal bug perangkat lunak atau menghentikan aset yang rentan.
Jika mitigasi dan remediasi tidak praktis, perusahaan dapat mengalihkan tanggung jawab atas risiko tersebut kepada pihak lain. Membeli polis asuransi cyber adalah cara paling umum perusahaan mentransfer risiko.
Organisasi memantau kontrol keamanan barunya untuk memverifikasi bahwa kontrol tersebut berfungsi sebagaimana mestinya dan memenuhi persyaratan peraturan yang relevan.
Organisasi ini juga memantau lanskap ancaman yang lebih luas dan ekosistem TI-nya sendiri. Perubahan pada salah satunya — munculnya ancaman baru, penambahan aset TI baru — dapat membuka kerentanan baru atau membuat kontrol yang sebelumnya efektif menjadi usang. Dengan mempertahankan pengawasan konstan, perusahaan dapat mengubah program keamanan siber dan strategi manajemen risikonya hampir secara real time.
Seiring dengan semakin banyaknya perusahaan yang menggunakan teknologi untuk segala hal, mulai dari operasi sehari-hari hingga proses bisnis yang penting, sistem TI mereka pun menjadi semakin besar dan kompleks. Ledakan layanan cloud, maraknya pekerjaan jarak jauh, dan meningkatnya ketergantungan pada penyedia layanan TI pihak ketiga telah membawa lebih banyak orang, perangkat, dan piranti lunak ke dalam jaringan perusahaan pada umumnya. Seiring dengan pertumbuhan sistem TI, begitu pula dengan permukaan serangannya. Inisiatif manajemen risiko siber menawarkan cara bagi perusahaan untuk memetakan dan mengelola permukaan serangan yang terus berubah, sehingga dapat meningkatkan postur keamanan.
Lanskap ancaman yang lebih luas juga terus berkembang. Setiap bulannya, sekitar 2.000 kerentanan baru ditambahkan ke Basis Data Kerentanan Nasional NIST (tautan berada di luar ibm.com). Ribuan varian malware baru terdeteksi setiap bulannya (tautan berada di luar ibm.com) terdeteksi setiap bulannya, dan itu hanya satu jenis ancaman siber.
Tidak realistis dan tidak mungkin secara finansial bagi perusahaan untuk menutup semua kerentanan dan melawan semua ancaman. Manajemen risiko siber dapat menawarkan cara yang lebih praktis bagi perusahaan untuk mengelola risiko dengan memfokuskan upaya keamanan informasi pada ancaman dan kerentanan yang paling mungkin berdampak pada mereka. Dengan begitu, perusahaan tidak menerapkan kontrol yang mahal pada aset yang bernilai rendah dan tidak penting.
Inisiatif manajemen risiko siber juga dapat membantu organisasi mematuhi Peraturan Perlindungan Data Umum (GDPR), Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS), dan peraturan lainnya. Selama proses manajemen risiko siber, perusahaan mempertimbangkan standar-standar ini ketika merancang program keamanan mereka. Laporan dan data yang dihasilkan selama tahap pemantauan dapat membantu perusahaan membuktikan bahwa mereka telah melakukan uji tuntas selama audit dan investigasi pasca-pelanggaran.
Terkadang, perusahaan mungkin diminta untuk mengikuti kerangka kerja manajemen risiko tertentu. Badan-badan federal AS harus mematuhi RMF NIST dan CSF NIST. Kontraktor federal mungkin juga perlu mematuhi kerangka kerja ini, karena kontrak pemerintah sering kali menggunakan standar NIST untuk menetapkan persyaratan keamanan siber.
Mengelabui serangan dengan rangkaian keamanan yang terhubung dan modern Portofolio QRadar ditanamkan dengan AI tingkat perusahaan dan menawarkan produk terintegrasi untuk keamanan titik akhir, manajemen log, SIEM, dan SOAR— semuanya dengan antarmuka pengguna yang sama, wawasan bersama, dan alur kerja yang terhubung.
Perburuan ancaman secara proaktif, pemantauan berkelanjutan, dan investigasi mendalam terhadap ancaman hanyalah beberapa prioritas yang dihadapi departemen TI yang sudah sangat sibuk. Memiliki tim respons insiden tepercaya yang siap siaga dapat mengurangi waktu tanggap Anda, meminimalkan dampak serangan siber, dan membantu Anda pulih lebih cepat.
Kelola risiko TI dengan membangun struktur tata kelola yang meningkatkan kematangan keamanan siber dengan pendekatan tata kelola, risiko, dan kepatuhan (GRC) yang terintegrasi
Laporan Biaya Pelanggaran Data membagikan wawasan terbaru tentang lanskap ancaman yang berkembang dan menawarkan rekomendasi cara menghemat waktu dan membatasi kerugian.
Temukan wawasan yang dapat ditindaklanjuti yang membantu Anda memahami cara pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.
Manajemen risiko adalah proses mengidentifikasi, menilai, dan mengendalikan risiko keuangan, hukum, strategis, dan keamanan terhadap modal dan pendapatan organisasi.