Biaya dan Kompleksitas Kepatuhan yang Semakin Meningkat
Seiring dengan meningkatnya ancaman siber yang dihadapi oleh lembaga keuangan (FI/Financial Institutions), regulator keuangan merespons dengan regulasi baru atau yang diperbarui untuk menangani perlindungan data, keamanan data, kebersihan siber, risiko pihak ketiga, dan ketahanan operasional. Bagi FI, hal ini berarti mereka harus mengalokasikan waktu, sumber daya, dan biaya tambahan untuk memenuhi persyaratan regulasi — yang mungkin bertentangan dengan tujuan pertumbuhan bisnis dan efisiensi operasional.
FI yang beroperasi di berbagai yurisdiksi harus memenuhi kewajiban dan ekspektasi regulasi yang berbeda-beda. Terdapat perbedaan halus dalam berbagai regulasi tersebut, yang menambah beban kepatuhan. Untuk menunjukkan kepatuhan terhadap berbagai regulasi ini, FI menghabiskan waktu yang tidak sedikit serta memerlukan banyak sumber daya manusia dan teknologi untuk mengumpulkan dan memberikan bukti bahwa proses dan kontrol yang sesuai telah dilakukan untuk setiap pemeriksaan atau audit. Beberapa Chief Information Security Officer (CISO) bahkan dilaporkan menghabiskan hingga 40% waktunya untuk aktivitas terkait kepatuhan.
Namun, sering kali terdapat kesamaan antara elemen-elemen yang dibutuhkan dalam berbagai pemeriksaan tersebut. Daripada menanganinya secara terpisah dan berulang, bukti yang telah dikumpulkan bisa digunakan kembali untuk menunjukkan kepatuhan terhadap kewajiban serupa di berbagai audit dan yurisdiksi.
Efisiensi melalui Konsolidasi
Dengan memanfaatkan pendekatan ini, FI dapat mengurangi beban dari berbagai pemeriksaan dengan menggunakan pendekatan konsolidasi untuk menilai keamanan siber, ketahanan, dan efektivitas. Di sinilah Cyber Risk Institute (CRI) Financial Services Cybersecurity Profile (umumnya dikenal sebagai “Profile”) berperan.
Apa Itu Financial Services Cybersecurity Profile?
Profile ini mengharmonisasikan lebih dari 3.000 ekspektasi regulasi dari seluruh dunia menjadi kurang dari 300 pernyataan diagnostik (tujuan kontrol). Terjemahan dan konsolidasi ini menyelaraskan tumpang tindih topik dan perbedaan bahasa, sehingga menyederhanakan serta mengurangi biaya dan kompleksitas dalam pekerjaan keamanan siber dan kepatuhan FI.
Contohnya, dalam Profile terdapat pernyataan diagnostik (DE.CM-1.3) yang mewajibkan implementasi kemampuan deteksi dan pencegahan intrusi. Setelah bukti yang sesuai dikumpulkan satu kali, FI dapat menggunakannya kembali untuk memenuhi kewajiban serupa dalam alat penilaian seperti FFIEC Cybersecurity Assessment Tool (CAT) dan ECB Cyber Resilience Oversight Expectations. Bahkan, untuk FI berskala besar, jumlah pertanyaan dalam Profile hampir 50% lebih sedikit dibandingkan alat penilaian umum lainnya di sektor ini.
Hasilnya, penggunaan ulang bukti dan jumlah pernyataan diagnostik yang lebih kecil menghasilkan pengurangan besar dalam upaya kepatuhan. Misalnya, satu FI melaporkan bahwa mereka mengalami pengurangan rata-rata 35% dalam upaya pemeriksaan regulasi sejak mengadopsi Profile.
Karena Profile dapat digunakan sebagai baseline bersama untuk pemeriksaan oleh berbagai regulator keuangan, FI dapat mengalokasikan sumber daya mereka secara lebih efektif untuk pekerjaan kepatuhan, mengurangi waktu untuk menyelesaikan masalah pemeriksaan, dan menyederhanakan pengawasan keamanan.
Penerimaan Global dan Evolusi Profile
Profile ini telah digunakan bersama regulator keuangan di Amerika, Asia, dan Eropa. Beberapa lembaga yang mengakui atau mengadopsi Profile antara lain:
- Departemen Keuangan AS (U.S. Treasury)
- FFIEC
- Federal Reserve Board
- NIST
- IOSCO
- ENISA
- Reserve Bank of New Zealand
CRI sendiri adalah organisasi nirlaba yang terdiri dari FI dan asosiasi industri, dengan lebih dari 50 anggota, termasuk bank besar, pasar keuangan, perusahaan asuransi, bank komunitas, dan perusahaan global. CRI bekerja bersama anggotanya untuk mengembangkan dan menyempurnakan Profile sesuai kebutuhan industri keuangan.
Ribuan FI telah mengadopsi Profile, termasuk beberapa di AS yang beralih dari FFIEC CAT. Di luar AS, di mana beberapa organisasi enggan menggunakan NIST Cybersecurity Framework (CSF), Profile menjadi alternatif yang layak.
CRI berencana meluncurkan Profile versi 2.0 pada awal 2024. Selain itu, CRI juga merilis Cloud Profile, hasil kolaborasi dengan FI dan penyedia layanan cloud untuk memperjelas tanggung jawab, termasuk bahasa kontrak dan panduan implementasi. FI yang belum mempertimbangkan Profile CRI (atau Cloud Profile) sangat disarankan untuk mengevaluasinya, demi mengurangi beban kepatuhan dan mendapatkan manfaat dari pemantauan serta otomatisasi kontrol secara berkelanjutan.
Meningkatkan Profile dengan Otomatisasi
Meskipun Profile menyederhanakan kepatuhan dengan mengonsolidasikan ekspektasi regulasi 10x lipat, proses mengidentifikasi, mengumpulkan, dan memvalidasi bukti untuk setiap pernyataan diagnostik masih merupakan pekerjaan manual yang memakan waktu dan sumber daya.
Untuk meringankan beban ini, otomatisasi dan pemantauan kontrol secara berkelanjutan dapat digunakan untuk menghasilkan bukti secara real-time.
Misalnya:
- Untuk pernyataan diagnostik tentang sistem deteksi dan pencegahan intrusi, alat manajemen keamanan jaringan dapat menghasilkan laporan perangkat IDPS yang ada di lingkungan FI sebagai bukti.
- Alat cloud security posture management (CSPM) dapat secara otomatis menghasilkan laporan kepatuhan terhadap CRI Profile untuk infrastruktur cloud FI.
Dengan otomatisasi yang selaras dengan pernyataan diagnostik dalam Profile, FI dapat lebih jauh mengurangi upaya yang dibutuhkan untuk audit dan pemeriksaan keamanan siber.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!