Cyberthreat.id – Keamanan siber (cybersecurity) yang baik tidak hanya butuh penilaian secara internal sebuah perusahaan/instansi, tapi perlu pendekatan mitra/pihak ketiga.

Di sinilah, pengembangan strategi Manajemen Risiko Maya Pihak Ketiga (TPCRM) bisa dilakukan.

Ada dua pendekatan umum strategi TPCRM yang digunakan di pasar saat ini, yaitu alat peringkat keamanan dan penilaian lembar kerja (spreadsheet).

Masalahnya adalah perusahaan/instansi tidak bisa membuat keputusan berdasarkan informasi tentang risiko yang dibawa vendor atau mitra hanya berdasarkan pemindaian permukaan, dengan hanya melihat data domain publik atau kuesioner berbasis spreadsheet tahunan.

“Agar benar-benar efektif, Chief Executive Officer (CEO) CyberGRX Fred Kneip mengatakan, program manajemen risiko siber mitra tidak sekadar pemeiksaan awal, tapi harus mengevaluasi keamanan dari dalam ke luar.

“Tentu saja dengan data yang valid dan dinamis sehingga Anda dapat mengidentifikasi dengan percaya diri: apa celah keamanan yang ada,” tutur Kneip seperti dikutip dari Security Week, Kamis (21 November 2019). CyberGRX adalah perusahaan AS yang fokus dalam penilaian dan analisis data untuk mitigasi risiko.

Kneip mengatakan, program-program perusahaan yang telah disusun pun harus membantu mengidentifikasi risiko-risiko pada tingkat individu. Ini berguna untuk membuat keputusan berdasarkan informasi apa saja yang harus diprioritaskan dan dikurangi di seluruh ekosistem perusahaan.

Karena memilih kinerja mitra akan sangat berkorelasi dengan waktu dan anggaran, “Jika Anda tidak dapat mengidentifikasi celah kontrol dalam keamanan mitra Anda atau bahkan mitra yang seharusnya tidak Anda mitrakan, lalu apa gunanya menilai mereka? Manajemen risiko siber pihak ketiga harus memungkinkan Anda melakukan hal itu, mengelola risiko (sampai tingkat individu),” tutur Kneip.

Untuk mendapatkan akar dari sebagian besar masalah keamanan siber mitra, menurut dia, butuh identifikasi mitra mana yang paling berisiko bagi perusahaan.

Menurut Kneip, mitigasi siber yang mengandalkan penilaian statis yang hanya mengandalkan cek lembar kerja memang baik, tapi seringkali sulit untuk mendapatkan wawasan. Justru, kata dia, pendekatan dinamis dan tervalidasi akan memberi wawasan yang dapat ditindaklanjuti oleh perusahaan.

Namun begitu, mengingat kerugiaan pelanggaran data yang bisa mencapai miliaran rupiah, menurut Kneip, investasi dalam program TPCRM adalah pilihan yang cukup baik untuk mencegahnya.