McSkidy dan Glitch berencana untuk menyewa perusahaan eDiscovery guna memproses data forensik dalam penyelidikan mereka. Mereka telah mengundang beberapa perusahaan pihak ketiga untuk mengajukan penawaran atas proyek ini. Saat ini, tiga perusahaan telah mengajukan penawaran, dan McSkidy bersama Glitch harus melakukan penilaian risiko terhadap ketiga perusahaan tersebut untuk memilih yang memiliki tingkat risiko paling rendah.
Embedded Files
Pendahuluan ke GRC
Pendahuluan ke GRC
Governance, Risk, and Compliance (GRC) adalah elemen penting dalam setiap organisasi untuk memastikan bahwa praktik keamanan mereka sesuai dengan kewajiban personal, regulasi, dan hukum. Meskipun praktik keamanan yang baik secara umum melindungi bisnis dari risiko kebocoran data, ada kalanya organisasi harus mematuhi regulasi keamanan eksternal tertentu, tergantung pada sektor tempat mereka beroperasi.
Contoh GRC di Sektor Keuangan
Regulasi Bank Sentral: Di banyak negara, bank wajib mematuhi regulasi keamanan yang ditetapkan oleh bank sentral. Regulasi ini memastikan bahwa setiap bank mencapai tingkat keamanan minimum untuk melindungi dana dan informasi pelanggan.
SWIFT Customer Security Programme (CSP): Setelah kasus kebocoran bank besar yang menyebabkan transfer SWIFT sebesar $81 juta, SWIFT memperkenalkan CSP untuk memastikan keamanan dalam komunikasi antar bank melalui jaringan SWIFT.
Perlindungan Data: Karena bank menyimpan data sensitif pelanggan, mereka harus mengikuti standar keamanan yang ditetapkan oleh regulator data, yang biasanya adalah bank sentral.
Fungsi GRC
Governance
Fungsi ini menciptakan kerangka kerja bagi organisasi untuk membuat keputusan terkait keamanan informasi. Governance mencakup strategi, kebijakan, standar, dan praktik keamanan yang selaras dengan tujuan organisasi.Risk
Fungsi ini berfokus pada identifikasi, penilaian, dan mitigasi risiko terhadap aset TI organisasi. Risiko membantu organisasi memahami potensi ancaman, kerentanan, dan dampak yang mungkin terjadi.Compliance
Fungsi ini memastikan organisasi mematuhi semua standar hukum, regulasi, dan industri. Contohnya adalah kepatuhan terhadap GDPR atau standar keamanan seperti NIST atau ISO 27001.
Pendahuluan ke Penilaian Risiko
Pendahuluan ke Penilaian Risiko
Sebelum McSkidy dan Glitch memilih perusahaan eDiscovery, mereka harus memastikan mana yang paling aman. Penilaian risiko adalah proses untuk mengidentifikasi potensi masalah sebelum terjadi, seperti memeriksa cuaca sebelum mendaki gunung.
Mengapa Penilaian Risiko Penting?
Penilaian risiko membantu menghubungkan keamanan siber dengan gambaran besar bisnis, sehingga meminimalkan risiko kerugian. Sebagai contoh, jika toko online Anda mengalami kebocoran data karena sistem keamanan yang lemah, reputasi, kepercayaan pelanggan, dan keuntungan Anda juga akan terancam.
Langkah-Langkah Penilaian Risiko
Langkah-Langkah Penilaian Risiko
Identifikasi Risiko
Risiko potensial diidentifikasi dengan menganalisis permukaan serangan organisasi, seperti:Server web yang tidak diperbarui.
Akun pengguna dengan hak istimewa tanpa kontrol keamanan yang memadai.
Vendor pihak ketiga yang terinfeksi malware dan terhubung ke jaringan organisasi.
Menentukan Kemungkinan Risiko
Kemungkinan risiko dinilai dengan skala 1-5, seperti:Improbable: Sangat kecil kemungkinannya terjadi.
Probable: Kemungkinan terjadi beberapa kali.
Menentukan Dampak Risiko
Dampak risiko diukur dengan skala 1-5, seperti:Low: Dampak pada sebagian kecil operasi organisasi.
Critical: Mengancam keberlangsungan organisasi.
Kepemilikan Risiko
Risiko yang ditemukan harus ditugaskan kepada pemilik risiko untuk memastikan mitigasi atau penerimaan risiko dilakukan secara efektif.
Penilaian Risiko Internal dan Pihak Ketiga
Penilaian Risiko Internal dan Pihak Ketiga
Organisasi melakukan penilaian risiko internal untuk mengidentifikasi kelemahan keamanan dalam sistem mereka. Namun, penilaian risiko juga perlu dilakukan terhadap pihak ketiga seperti vendor atau mitra bisnis.
Mengapa Penilaian Risiko Pihak Ketiga Penting?
Ketika pihak ketiga memiliki kelemahan keamanan, hal itu dapat memengaruhi data dan aset sensitif organisasi. Oleh karena itu, McSkidy dan Glitch harus mengevaluasi apakah perusahaan eDiscovery:
Memiliki langkah keamanan yang memadai.
Mematuhi aturan perlindungan data.
Sesuai dengan standar keamanan McSkidy dan Glitch.
Dengan melakukan penilaian risiko pihak ketiga, McSkidy dan Glitch dapat memastikan proyek investigasi mereka berjalan tanpa gangguan dari rantai pasokan yang lemah.
GRC.pdfGoogle Sites
Report abuse