Data sensitif dan kepemilikan organisasi dikirimkan ke, diproses oleh, dan disimpan di lingkungan komputasi pihak ketiga. Namun, ketika pihak ketiga juga melibatkan pihak eksternal lainnya (yaitu, pihak keempat) untuk mendukung operasi mereka dan menangani data organisasi, seberapa baik pihak tersebut melindunginya?
Risiko pihak keempat adalah ancaman yang sering diabaikan namun signifikan dalam lanskap digital yang saling terhubung saat ini. Risiko ini, yang berasal dari pihak eksternal yang melibatkan vendor untuk mendukung operasi mereka, dapat menyebabkan konsekuensi keuangan, operasional, dan reputasi yang parah jika salah penanganan.
"Yang mengkhawatirkan, penelitian telah menunjukkan bahwa lebih dari 50% organisasi Singapura tidak memprioritaskan manajemen risiko keamanan siber rantai pasokan, meskipun memiliki lebih dari 70% organisasi yang melaporkan pelanggaran yang berdampak pada operasi mereka tahun ini. Memahami dan mengelola risiko ini membutuhkan visibilitas yang jelas, proses yang efektif, dan alat yang tepat," kata Teong Eng Guan, Direktur Regional, Asia Tenggara & Korea, Check Point Software Technologies.
Mengidentifikasi risiko pihak keempat
Karena mungkin ada banyak pihak keempat yang terlibat dalam rantai pasokan, mengidentifikasi siapa yang menangani informasi sensitif organisasi di belakang layar adalah langkah pertama yang paling penting.
Persyaratan uji tuntas vendor yang kuat dari undang-undang dan pedoman keamanan siber untuk sektor yang diatur dengan ketat seperti perbankan, perusahaan asuransi, penyedia layanan kesehatan mungkin sebelumnya mengamanatkan manajer risiko untuk meminta informasi pihak keempat dari pihak ketiga.
Namun, jika kontrak yang ada tidak memiliki ketentuan tersebut, organisasi dapat beralih ke alat Manajemen Permukaan Serangan Eksternal (EASM). EASM mengidentifikasi kerentanan di seluruh aset organisasi yang menghadap publik, termasuk yang terkait dengan pihak ketiga dan keempat. Alat-alat ini terus memindai aset digital, menandai kerentanan dan risiko yang mungkin tetap tidak terlihat.
Setelah diidentifikasi, mengelola risiko ini melibatkan:
Meninjau Kontrol Keamanan: Minta pihak ketiga untuk mengklarifikasi bagaimana mereka memantau dan mengamankan hubungan pihak keempat mereka. Pastikan proses mereka memenuhi standar organisasi.
Mengevaluasi SLA: Selaraskan waktu respons insiden keamanan pihak ketiga dengan persyaratan pemulihan dan peraturan organisasi.
Pemantauan Berkelanjutan: Gunakan alat seperti platform penilaian keamanan dan EASM untuk terus menilai kerentanan di sistem pihak ketiga dan keempat. Lacak pihak keempat berisiko tinggi secara proaktif untuk mendeteksi pelanggaran atau waktu henti yang dapat mengganggu operasi.
Mengurangi risiko konsentrasi
Ketergantungan yang berlebihan pada satu vendor pihak keempat menimbulkan risiko konsentrasi. Misalnya, jika beberapa pihak ketiga bergantung pada penyedia layanan yang sama, kegagalan di pihak keempat tersebut dapat mengakibatkan serangkaian gangguan. Nilai risiko ini dengan vendor Anda dan dorong diversifikasi jika memungkinkan.
"Vendor yang lebih besar mungkin sudah memiliki strategi untuk mengurangi risiko tersebut, dan melibatkan mereka dalam diskusi dapat memberikan wawasan yang berharga," lanjut Teong.
Manajemen risiko pihak ketiga dan keempat yang efektif membutuhkan kolaborasi lintas departemen. Sementara tim manajemen vendor biasanya menangani orientasi dan uji tuntas. Dalam banyak kasus, interaksi langsung dengan pihak ketiga – menerima layanan, menentukan tingkat layanan, dan mengetahui siapa pihak keempat – dilakukan oleh pemilik TI dan aplikasi, yang terdesentralisasi dari departemen perusahaan.
Seringkali pemutusan hubungan antara departemen perusahaan dan pemilik garis depan yang berurusan dengan hubungan pihak ketiga secara langsung ada ketika tingkat layanan aktual tidak (tepat waktu) dikomunikasikan. Ini sangat dekat ketika tidak ada pengadaan di seluruh perusahaan, vendor pihak ketiga, atau platform manajemen rantai pasokan.
Untuk meningkatkan koordinasi, organisasi dapat:
1. Bangun platform manajemen vendor di seluruh perusahaan yang mengintegrasikan skor keamanan dan melacak pembaruan informasi pihak ketiga dan keempat.
2. Memerlukan pembaruan tahunan untuk platform ini, selaras dengan perpanjangan kontrak dan tinjauan SLA.
3. Gunakan bagan RACI untuk mendefinisikan peran dan tanggung jawab dengan jelas, memastikan tim terpusat dan terdesentralisasi bekerja secara kohesif.
Mengelola risiko pihak keempat secara efektif membutuhkan pendekatan proaktif dan multi-cabang. Organisasi harus melampaui strategi manajemen vendor tradisional untuk mengatasi kompleksitas rantai pasokan yang saling berhubungan.
Penggunaan alat canggih seperti EASM, dikombinasikan dengan pemantauan berkelanjutan dan perjanjian kontrak yang ditingkatkan, memberikan dasar untuk mengidentifikasi dan mengurangi kerentanan.
Teknologi saja tidak cukup. Juga terbukti bahwa hanya menggabungkan orang, proses, dan teknologi dengan cara yang bijaksana dan koheren yang dapat memungkinkan pengelolaan risiko pihak keempat. Pada akhirnya, mengelola risiko pihak keempat adalah tentang tetap menjadi yang terdepan dalam lanskap ancaman yang berkembang pesat.
"Mereka yang berhasil tidak hanya akan melindungi operasi mereka tetapi juga mendapatkan kepercayaan dari pelanggan dan pemangku kepentingan mereka di dunia yang semakin saling terhubung," pungkas Teong.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
