Jakarta: Dalam era digital saat ini, risiko siber menjadi perhatian utama bagi banyak eksekutif bisnis. Di antara berbagai risiko yang ada, risiko dari pihak ketiga atau rantai pasokan adalah yang paling menantang dan sering terlupakan. Hal ini termasuk penyedia layanan Cloud dan Software as a Service (SaaS). Data sensitif perusahaan sering kali dikirimkan, diproses, dan disimpan di server pihak ketiga. Namun, masalah yang sering dihadapi adalah ketika pihak ketiga tersebut melibatkan pihak keempat untuk mendukung operasional mereka, sehingga timbul pertanyaan: seberapa baik pihak tersebut melindungi data yang menjadi tanggung jawab mereka?
Risiko pihak keempat, yang berasal dari keterlibatan vendor eksternal, dapat menyebabkan konsekuensi yang serius, termasuk kerugian finansial, dampak operasional, dan kerusakan reputasi jika tidak dikelola dengan benar. Menurut penelitian, lebih dari 50% organisasi di Singapura tidak menganggap penting manajemen risiko keamanan siber dalam rantai pasokan mereka. Meskipun lebih dari 70% responden melaporkan pelanggaran yang mempengaruhi operasi mereka, kurangnya prioritas terhadap manajemen risiko menjadi perhatian serius. Teong Eng Guan, Direktur Regional untuk Asia Tenggara & Korea dari Check Point Software Technologies, menyatakan bahwa untuk memahami dan mengelola risiko ini, diperlukan visibilitas yang jelas, proses yang efektif, dan alat yang tepat.
Langkah pertama dalam mengelola risiko pihak keempat adalah mengidentifikasi siapa saja yang menangani informasi sensitif organisasi. Penting bagi manajer risiko untuk melakukan uji tuntas terhadap vendor, terutama dalam sektor yang diatur ketat seperti perbankan dan layanan kesehatan. Jika perjanjian kontrak yang ada tidak mencakup ketentuan untuk mengevaluasi pihak keempat, perusahaan dapat menggunakan alat Manajemen Permukaan Serangan Eksternal (EASM) untuk mengidentifikasi kerentanan terkait pihak ketiga dan keempat.
Setelah mengidentifikasi risiko ini, ada beberapa langkah yang harus diambil untuk mengelolanya, antara lain:
Meninjau Kontrol Keamanan: Pastikan untuk meminta pihak ketiga menjelaskan bagaimana mereka mengamankan hubungan dengan pihak keempat.
Mengevaluasi SLA: Sesuaikan waktu respons insiden keamanan pihak ketiga dengan kebutuhan organisasi dan standar peraturan yang berlaku.
- Pemantauan Berkelanjutan: Gunakan alat penilaian keamanan untuk terus memantau kerentanan yang mungkin terjadi dan mendeteksi pelanggaran secara proaktif.
Risiko konsentrasi juga harus diwaspadai, terutama jika organisasi tergantung pada satu vendor pihak keempat. Kegagalan satu penyedia dapat menyebabkan dampak luas di seluruh rantai pasokan. Oleh karena itu, penting untuk mendorong diversifikasi dalam pemilihan vendor.
Berkaitan dengan manajemen risiko, komunikasi yang dapat dilakukan untuk meningkatkan kolaborasi lintas departemen meliputi:
Membangun platform manajemen vendor yang terintegrasi untuk meningkatkan pengawasan terhadap keamanan dan pembaruan informasi.
Memastikan pembaruan rutin untuk platform ini, terutama terkait dengan perpanjangan kontrak.
- Menggunakan bagan RACI untuk memperjelas peran dan tanggung jawab antara tim terpusat dan terdesentralisasi.
Pengelolaan risiko pihak keempat yang efektif memerlukan pendekatan proaktif dan terkoordinasi. Mengandalkan teknologi saja tidak cukup; diperlukan gabungan antara orang, proses, dan teknologi yang terintegrasi untuk menangani kompleksitas yang ada. Dengan strategi yang tepat, organisasi tidak hanya dapat melindungi operasi mereka tetapi juga membangun kepercayaan dengan pelanggan dan pemangku kepentingan dalam dunia yang terus berubah.
