Daftar Periksa Keamanan Siber IPO: Apa yang Perlu Diketahui Perusahaan?
IPOs

Daftar Periksa Keamanan Siber IPO: Apa yang Perlu Diketahui Perusahaan?

Oleh Isaac Madan, CEO & Co-founder, Nightfall

IPO tampaknya semakin cepat, dengan jumlah IPO naik hampir 200% dari tahun lalu. Hal ini dapat dikaitkan dengan berbagai faktor, termasuk kematangan SPAC yang mengalami pertumbuhan pesat pada kuartal pertama tahun 2021 dan investor ventura dan ekuitas swasta yang saat ini juga berada dalam posisi yang baik untuk memanfaatkan ketersediaan perusahaan yang kuat (terutama di bidang teknologi) yang siap go public.

Meskipun ada banyak sumber daya yang tersedia untuk perusahaan rintisan yang mempersiapkan IPO, satu area proses yang mungkin sulit dinavigasi adalah bagaimana menerapkan keamanan siber dengan benar. Ini sebagian karena mengatasi masalah keamanan siber membutuhkan antisipasi risiko yang diketahui dan tidak diketahui. Namun demikian, melakukan pekerjaan membangun infrastruktur cyber Anda sebelum go public sangat penting mengingat biaya kegagalan kepatuhan serta kerugian reputasi dan moneter.

Sebagian besar pekerjaan ini dimulai dengan daftar periksa keamanan siber. Tujuan inti dari daftar periksa ada dua. Daftar periksa ini pertama dan terutama dimaksudkan untuk memandu organisasi Anda melalui proses uji tuntas, yang mengharuskan perusahaan memiliki pemahaman yang kuat tentang risiko organisasi, termasuk risiko dunia maya. Kedua, daftar periksa adalah untuk membantu membangun infrastruktur yang diperlukan untuk mengelola dan melaporkan insiden keamanan siber saat perusahaan terbuka. Mengembangkan kemampuan ini menjadi semakin penting, karena SEC telah secara menyeluruh mengartikulasikan harapan seputar pengungkapan keamanan siber dalam beberapa tahun terakhir dan telah mulai mengambil tindakan terhadap perusahaan yang gagal memenuhinya.

Merakit daftar periksa Anda

Secara umum, daftar periksa keamanan siber pra-IPO akan membantu Anda mencapai hal-hal berikut:

  1. Tentukan kewajiban dan risiko kepatuhan data khusus untuk organisasi Anda
  2. Buat inventarisasi aset, perangkat lunak, dan data yang dapat menyebabkan kerentanan keamanan siber atau pelanggaran kepatuhan jika disalahgunakan atau diekspos
  3. Memformalkan proses keamanan TI untuk perilaku karyawan, respons insiden, dan memastikan bahwa struktur pelaporan insiden sudah ada

Jika ini terdengar seperti banyak, itu karena memang begitu. Meskipun tidak ada cara mudah untuk menyederhanakan pekerjaan yang membahas masing-masing bidang ini, sisa artikel ini akan menyoroti beberapa pertimbangan penting yang diperlukan untuk melaksanakan tugas-tugas ini.

Bagian 1: Penilaian risiko kepatuhan dan keamanan siber

Salah satu hal pertama yang harus Anda lakukan adalah menentukan keamanan siber dan risiko kepatuhan yang berdampak pada bisnis Anda. Sebagai bagian dari pengajuan S-1 Anda, Anda harus mengungkapkan risiko material yang berdampak pada perusahaan Anda, termasuk risiko keamanan siber. Penemuan dan penilaian risiko ini, kemungkinan akan menjadi bagian dari proses uji tuntas Anda saat bekerja dengan penjamin emisi, dan karenanya masuk akal untuk dilakukan sedini mungkin. Anda dapat memulai proses ini dengan:

  • Meninjau dan menguraikan risiko keamanan siber dan kewajiban kepatuhan khusus untuk industri Anda dan menugaskan pihak yang bertanggung jawab yang akan memiliki bagian berbeda dari program keamanan Anda, termasuk implementasi, evaluasi, dan penegakan. Sementara profil risiko dan lanskap kepatuhan untuk setiap organisasi akan berbeda, semua bisnis ingin memberikan perhatian khusus pada SOX dan bekerja secara lintas fungsi untuk menerapkan kontrol keamanan (SOX 404) dan pengungkapan perubahan kondisi & operasi keuangan (SOX 409).
  • Memutuskan kerangka kerja keamanan, seperti SOC 2, NIST, ISO, ISO/IEC 27001, dll. untuk membantu membangun program keamanan Anda dan menginformasikan penerapan kontrol keamanan yang tepat.

Bagian 2: Inventaris aset

Membuat inventarisasi aset keamanan TI dan perangkat lunak adalah langkah penting lainnya yang harus diambil, karena ini akan memberi Anda gambaran tidak hanya tentang program dan perangkat keras apa yang digunakan organisasi Anda, tetapi bagaimana mereka digunakan dan jenis informasi apa yang mereka simpan. Sebagai bagian dari proses ini, penting untuk menilai data atau aset apa pun yang juga dapat diakses oleh vendor pihak ketiga, mengingat risiko pihak ketiga dapat berdampak besar pada kemungkinan insiden keamanan Anda.

Setelah inventaris aset selesai, dan Anda telah mengadopsi kerangka kerja keamanan, Anda kemudian dapat mulai memetakan bagian-bagian tertentu dari infrastruktur Anda ke kontrol yang sesuai untuk mengamankannya. Misalnya, Anda dapat memilih untuk memanfaatkan kontrol akses seperti sistem masuk tunggal dan perlindungan data cloud untuk aplikasi SaaS dalam tumpukan teknologi Anda karena Anda telah menentukan berdasarkan cara karyawan Anda menggunakan platform ini, data pelanggan dapat dengan mudah berkembang biak dalam sistem ini.

Langkah 3: Memformalkan proses keamanan TI

Untuk memastikan kemampuan organisasi Anda dalam mencegah dan merespons insiden di masa mendatang, Anda perlu memformalkan proses TI untuk melindungi aset yang Anda identifikasi saat membangun inventaris TI Anda. Beberapa proses tersebut antara lain:

  • Buku panduan keamanan karyawan dan pelatihan kesadaran keamanan
  • Rencana kelangsungan bisnis
  • Rencana respons insiden
  • Rencana pengelolaan kerentanan
  • Rencana penilaian risiko pihak ketiga

Selain memformalkan proses ini, Anda harus membangun struktur pelaporan yang akan menentukan seberapa efektif program keamanan informasi Anda untuk mengelola risiko dan mengungkapkan insiden dengan benar. Perhatian khusus juga perlu diberikan pada peran yang akan dimainkan Direksi dalam pengawasan risiko, karena Peraturan SK mengharuskan perusahaan untuk mengungkapkan struktur kepemimpinan dewan dan membenarkan peran yang dimainkan dewan dalam organisasi.

Meskipun daftar ini tidak lengkap, pendekatan ini akan membantu Anda dalam memikirkan bidang investigasi penting untuk menilai risiko keamanan siber Anda. Meskipun ini dimaksudkan sebagai latihan pra-IPO, banyak praktik yang diuraikan dalam artikel ini perlu dipertahankan setelah perusahaan menjadi publik. Ini harus dianggap sebagai latihan berulang yang akan sangat penting untuk melaporkan dan mengurangi risiko keamanan siber.

Pandangan dan pendapat yang diungkapkan di sini adalah pandangan dan pendapat penulis dan tidak mencerminkan pandangan dan pendapat Nasdaq, Inc.

Posted By : totobet hk