4 Tips Untuk Perkuat Sistem Cybersecurity Perusahaan Finansial

Transformasi digital saat ini terjadi dengan pesat dan dilakukan oleh berbagai sektor industri, dan salah satunya adalah industri finansial. Industri finansial sendiri disebut mengalami pertumbuhan paling banyak dalam transformasi digital.

Namun industri finansial kemudian menghadapi tantangan untuk melakukan transformasi dengan adanya ancaman serangan cybersecurity yang tinggi. Hal ini pun seiring dengan upaya transformasi yang semakin besar.

Oleh karena itu, VP Information Security DANA Indonesia Andri Purnomo dalam webinar ‘Advanced Security for Financial Transaction’ yang merupakan bagian dari rangkaian acara CyberHub Fest 2022, Jumat (11/2/2022) kemudian menyampaikan empat tips untuk memperkuat cybersecurity perusahaan.

“Pertama adalah berhubungan dengan kerangka dan pengembangan dari in house capabilities. Sudah terdapat banyak kerangka keamanan siber mulai dari NIST hingga ISO 27001 yang bisa diadopsi oleh perusahaan,” kata Andri.

Andir melanjutkan, perusahaan perlu memilih dari sekian banyak kerangka cybersecurity. Pemilihan ini untuk mengambil kerangka keamanan yang paling cocok dengan tujuan dari perusahaan, terutama bagi perusahaan finansial.

Ia kemudian mencontohkan, jika perusahaan ingin mengadopsi kerangka cybersecurity dengan tujuan manajemen risiko, maka kerangka keamanan yang paling cocok mungkin adalah ISO 27001, atau PCI DSS untuk kartu pembayaran, dan masih banyak lagi.

“Melalui pemilihan kerangka keamanan siber yang sesuai tujuan perusahaan, baru kita kembangkan implementasi dari best practice-nya. Lalu menyusun cara untuk menyeimbangkan antara proses bisnis dan keamanan sesuai manajemen risiko perusahaan,” jelas Andri

Tips kedua yang bisa diperhatikan adalah melakukan tes simulasi secara berkala. Tes simulasi sendiri perlu dilakukan untuk mengetahui adanya celah kerentanan pada sistem perusahaan, untuk kemudian dapat segera diperbaiki.

Andri menuturkan, jika dahulu tes simulasi wajib dilakukan minimal satu tahun sekali, maka saat ini kewajiban tersebut perlu untuk ditinjau kembali. Hal ini karena dalam satu tahun, akan ada kemungkinan perubahan yang sangat besar dalam ancaman cybersecurity, sehingga perlu ditemukan cara agar tes simulasi keamanan siber dapat dilakukan setiap saat.

Tentunya dalam melakukan tes simulasi ini, perusahaan juga perlu memiliki inventory yang baik. Andri menjelaskan, perusahaan perlu memiliki aset ataupun layanan yang jelas agar perlindungan dapat dilakukan dengan maksimal.

“Dengan memahami sistem yang kita buat dan operasikan, kita dapat mengetahui hal apa yang harus kita lindungi. Nah dari pengelompokan aset berdasarkan risiko, kita kemudian bisa mengetahui mana aset prioritas yang harus segera ditangani,” kata Andri.

Maka setelah mengelompokkan aset berdasarkan risiko, tes simulasi keamanan siber kemudian perlu dilakukan secara berkala. Misalnya, dengan model penyerangan dan pertahanan pada aset. Menurut Andri, pengetesan berkala ini perlu rutin dilakukan karena sindikat kejahatan siber sendiri terus mengawasi kerentanan dari cybersecurity sebuah perusahaan.

Tips ketiga yang bisa dilakukan oleh perusahaan berkaitan dengan manajemen keamanan dari perusahaan itu sendiri. Perusahaan perlu bermigrasi untuk menjadi lebih adaptif pada ekosistem keamanan siber, terutama dengan ancaman kejahatan siber yang terus berkembang.

“Mungkin dari awalnya membuat peta jalan untuk tiga tahun, sekarang harus diubah sedikit. Hal ini karena peta jalan keamanan siber untuk tiga tahun bisa sangat tertinggal, dan perusahaan bisa jadi bulan-bulanan sindikat kejahatan siber,” tutur Andri.

Andri kemudian mengilustrasikan peta jalan manajemen keamanan siber menjadi tiga bulan, di mana perusahaan bisa dengan segera menemukan kerentanan pada layanan mereka. Manajemen keamanan jangka pendek ini kemudian dapat membantu perusahaan untuk segera menemukan kerentanan dan menanganinya sebelum mendapat serangan siber.

Sementara untuk tips yang terakhir, adalah terkait dengan ekosistem bisnis. Andri menegaskan bahwa DANA dalam beroperasi dan menjaga keamanan sibernya tidak bekerja sendirian, melainkan bersama dengan para mitra dan vendor lainnya.

“Kita disini tidak bekerja sendirian, melainkan bekerja sama dengan para partner dan vendor, memastikan bahwa kita harus bersatu. Hal ini karena kriminal pun bersatu dalam melakukan serangan, sehingga kita juga harus bekerja bersama,” kata Andri.

Andri kemudian menuturkan bahwa kerja sama yang dilakukan tidak hanya bergantung pada regulasi, tetapi juga berbagi informasi mengenai keamanan siber antara DANA dengan mitra untuk dapat melakukan pembelajaran dan memperkuat sistem keamanan siber.