Asuransi dunia maya telah menjadi a bisnis penting.
Selama lima tahun terakhir, nilai pasar meningkat tiga kali lipat, dan premi meningkat tajam karena ransomware dan serangan siber lainnya meningkatkan pembayaran.
Sebagai tanggapan, perusahaan asuransi menuntut bukti yang lebih kuat keamanan kontrol, menciptakan “standar minimum” yang jelas dan divalidasi secara eksternal untuk tim keamanan.
Meskipun diperlukan, garis dasar ini hanyalah sebuah titik awal.
Ketahanan yang sebenarnya tidak hanya bergantung pada adanya pengendalian, namun juga pada seberapa efektif penerapannya dan apakah data yang memandu pengendalian tersebut akurat dan lengkap.
Tantangan visibilitas
Salah satu rintangan terbesar dalam asuransi siber adalah sebagian besar organisasi tidak mengetahui keseluruhan aset mereka atau status kendali mereka.
Asuransi siber masih relatif muda, baru berusia 25–30 tahun, dan kerangka kerja serta model risikonya terus berkembang seiring dengan lanskap ancaman yang berubah dengan cepat. Pada saat yang sama, lingkungan TI semakin kompleks.
Alat yang mengukur efektivitas pengendalian sering kali mengetahui lokasi pengendalian yang diterapkan namun tidak dapat mendeteksi apa yang hilang. Hasilnya adalah visibilitas parsial, dan kepercayaan parsial.
Pelanggaran tidak terjadi karena organisasi kekurangan teknologi atau keahlian; hal ini terjadi karena kontrol tidak diterapkan secara efektif, atau kinerjanya tidak terlihat oleh pihak yang bertanggung jawab.
Inventaris aset menjadi basi, akses istimewa pengelolaan dapat dilewati, pemindai kerentanan kehilangan titik akhir, dan sistem patching gagal menjangkau semua perangkat.
Tanpa pemahaman yang jelas mengenai apa yang ada, di mana pengendalian diterapkan, dan apakah pengendalian tersebut berfungsi sebagaimana mestinya, organisasi tidak dapat mengambil keputusan berdasarkan informasi dan berbasis risiko. Bahkan program keamanan yang paling canggih sekalipun dapat menciptakan rasa aman yang palsu jika mereka tidak dapat melihat apa yang tidak tercakup di dalamnya.
Menyelaraskan ketahanan siber dengan asuransi
Perusahaan asuransi dan tertanggung memiliki tujuan yang sama untuk meminimalkan kerugian, namun prioritas mereka tidak selalu selaras. Perusahaan asuransi fokus pada pencegahan pelanggaran dan membatasi pembayaran, sementara organisasi bertujuan untuk mengelola risiko sesuai selera mereka – yang bervariasi berdasarkan sektor, geografi, dan model bisnis.
Persyaratan asuransi dunia maya memberikan dasar yang berguna, namun ketahanan sejati menuntut lebih dari sekadar daftar periksa.
CISO menjembatani kesenjangan ini dengan memastikan layanan bisnis penting terus beroperasi selama terjadi insiden, daripada berupaya mencegah setiap kemungkinan pelanggaran. Hal ini memerlukan cakupan yang komprehensif di seluruh aset dan keyakinan bahwa pengendalian berfungsi secara efektif.
SIEM yang tidak disesuaikan dengan profil ancaman organisasi, atau MFA yang tidak diterapkan di semua tempat, akan meninggalkan kesenjangan dan titik buta yang berisiko tinggi.
Organisasi mendapat manfaat dari sistem pencatatan yang memberikan wawasan yang andal dan berkelanjutan mengenai aset mana yang ada, pengendalian apa yang diterapkan, dan seberapa efektif aset tersebut beroperasi. Hal ini memungkinkan CISO untuk memprioritaskan remediasi, mengalokasikan sumber daya berdasarkan dampak bisnis, dan memberikan bukti kepada perusahaan asuransi dan regulator.
Dengan beralih dari asumsi ke bukti, asuransi siber menjadi lebih dari sekadar jaring pengaman; hal ini mendukung akuntabilitas, menyelaraskan prioritas operasional dengan manajemen risiko, dan memungkinkan organisasi untuk menunjukkan ketahanan yang sesungguhnya.
CISO juga menerjemahkan postur teknis ke dalam bahasa bisnis, membantu dewan direksi dan eksekutif memahami risiko, batasan pertanggungan, dan investasi strategis. Dengan cara ini, asuransi siber memvalidasi tata kelola dan memperkuat akuntabilitas organisasi.
Dari standar minimum hingga manajemen risiko proaktif
Berfokus pada kontrol individu saja tidak cukup. Multi-faktor otentikasipatching rutin, kesadaran phishing, dan manajemen risiko pihak ketiga semuanya penting, namun ketahanan bergantung pada melihat sistem secara keseluruhan.
Sama seperti rumah yang bergantung pada detektor asap, alarm kebakaran, dan alat penyiram agar tetap aman, organisasi juga mengandalkan berbagai kontrol untuk mengelola risiko. Kegagalan apa pun dapat menyebabkan insiden, namun perlindungan abadi berasal dari semua kontrol yang bekerja secara efektif dan terpadu.
CISO yang memetakan kontrol terhadap aset-aset penting dan layanan bisnis, menguji efektivitas, dan terus memantau penerapan akan membangun kepercayaan di antara perusahaan asuransi, regulator, dan pemangku kepentingan, serta mengubah organisasi dari standar minimum ke perbaikan berkelanjutan, di mana investasi keamanan selaras dengan risiko bisnis aktual.
Asuransi dunia maya berkembang dari mekanisme pembayaran reaktif menjadi pendukung strategis, yang memberi insentif pada praktik yang lebih baik dan membantu organisasi tetap terdepan dalam lanskap ancaman yang terus berubah.
Standar dan peraturan, termasuk NIS2 dan DORA, memberikan tolok ukur dan kerangka tata kelola, namun kepatuhan saja tidak cukup. Organisasi mendapatkan keuntungan dengan menunjukkan bahwa pengendalian diterapkan secara efektif, risiko dipantau secara aktif, dan layanan bisnis penting terlindungi.
Pengawasan berbasis bukti dan wawasan berkelanjutan sangat penting untuk menjembatani kesenjangan antara asumsi dan kenyataan.
Mengubah wawasan menjadi ketahanan
Asuransi dunia maya hanya dapat memenuhi janjinya ketika asumsi digantikan dengan bukti. Visibilitas dan bukti postur dunia maya semakin penting bagi organisasi, sementara perusahaan asuransi mengandalkan informasi yang andal dan berkelanjutan data untuk menginformasikan keputusan.
Wawasan yang jelas mengenai aset dan kontrol memberikan satu sumber kebenaran, menyelaraskan penerapan teknis dengan prioritas bisnis dan memungkinkan pengambilan keputusan yang tepat.
Dengan menutup kesenjangan antara asumsi dan bukti, asuransi siber beralih dari jaring pengaman reaktif menjadi proaktif yang mendukung ketahanan.
Organisasi yang memprioritaskan visibilitas, tata kelola yang efektif, dan perbaikan berkelanjutan dapat mempertahankan fungsi-fungsi penting, melindungi pelanggandan terus berkembang bahkan ketika terjadi insiden – menjadikan asuransi sebagai alat yang memperkuat akuntabilitas dan kepercayaan diri dalam perekonomian digital.
Kami telah menampilkan kursus keamanan siber online terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-proc
