Spotlight: Ketika serangan siber terjadi: Melindungi dan memperbaiki reputasi merek

Oleh penulis tamu: Sean Wood dan Katherine Goodyear

Selamat datang di edisi terbaru Spotlight. Spotlight adalah cara kami untuk berbagi wawasan dan perspektif dari mitra strategis kami – pengacara, perusahaan asuransi, manajer risiko, dan ahli komunikasi krisis dari berbagai industri – mengenai isu-isu yang berpotensi memengaruhi pandangan perusahaan terhadap insiden di pasar dan manajemen krisis.

Dalam edisi ini, kami didampingi oleh Sean Wood, Wakil Presiden Eksekutif, dan Katherine Goodyear, Direktur Akun diWeber Shandwick, untuk membahas komunikasi keamanan siber. Kami mengulas langkah-langkah yang harus dilakukan perusahaan untuk merencanakan penanggulangan insiden, serta langkah-langkah praktis yang perlu diambil untuk meminimalkan dampak, melindungi, dan meningkatkan reputasi merek jika insiden tersebut terjadi.

Pengantar oleh Chris Harvey, Wakil Presiden Senior Layanan Pelanggan di Sedgwick:

Baca lebih lanjut untuk mendapatkan wawasan lebih lanjut dari Sean Wood dan Katherine Goodyear.

Insiden keamanan siber merupakan salah satu ancaman bisnis dan reputasi paling serius yang dihadapi perusahaan dan dapat dengan cepat merusak kepercayaan dari pemangku kepentingan utama — mulai dari pelanggan, karyawan, hingga masyarakat umum. Selain itu, insiden ini sulit diselesaikan, mahal, dan berkembang dengan cepat.

Kejahatan siberdiperkirakan akan menyebabkan kerugian sebesar $6 triliun USD secara globalpada tahun 2021, meningkat dua kali lipat dibandingkan tahun 2015 — danserangan ransomware melonjak 151%pada paruh pertama tahun 2021, dibandingkan dengan sepanjang tahun 2020. Peningkatan yang konsisten dalam insiden ini, tingkat kecanggihannya, dan dampaknya yang potensial terhadap operasional dan keuangan menyoroti betapa pentingnya bagi perusahaan di semua industri untuk bersiap-siap.

Faktanya,survei globalterbaru yang dilakukan olehKRC ResearchdanWeber Shandwickterhadap eksekutif di 12 negara menunjukkan bahwa keamanan siber dan privasi data merupakan dua kekhawatiran utama bagi eksekutif saat mengambil keputusan bisnis penting.

Mendahului dengan merencanakan terlebih dahulu

Meskipun orang-orang menyadari bahwa insiden keamanan siber dapat terjadi, mereka sering menilai perusahaan dan organisasi berdasarkan cara mereka merespons — dan menuntut pertanggungjawaban mereka ketika informasi terungkap atau disalahgunakan. Oleh karena itu, prioritas utama perusahaan haruslah memiliki rencana pra-insiden yang siap untuk memungkinkan bisnis merespons serangan dengan cepat.

Tidak hanya perencanaan ini merupakan langkah yang tepat untuk melindungi informasi pribadi dan komersial yang sensitif serta reputasi merek, tetapi pelanggan, perusahaan asuransi, dan pemerintah juga menekankan pentingnya memperkuat rencana tanggap insiden. Baru-baru ini, Presiden Amerika Serikat Joe Biden mengadakanpertemuandi mana ia menggambarkan keamanan siber sebagai "tantangan keamanan nasional yang mendasar," dan menyerukan kepada sektor swasta untuk memperkuat keamanan siber negara ini melalui kerja sama dan secara individu, dengan penekanan pada mengatasi kekurangan keterampilan dalam bidang keamanan siber. Setelah pertemuan Inisiatif Anti-Ransomware yang diadakan oleh Dewan Keamanan Nasional Gedung Putih pada Oktober, lebih dari 30 negara dan Uni Eropa mengeluarkanpernyataan bersamatentang kerja sama untuk meningkatkan ketahanan nasional, melawan keuangan ilegal, mengganggu kejahatan ransomware, dan memanfaatkan diplomasi sebagai alat untuk melawan ransomware.

Dalam hal ini, perencanaan berarti:

• Mengembangkan atau memperbarui rencana tanggap insiden.Rencana ini mencakuptanggap operasional dan komunikasi, dan harus terintegrasi serta menjelaskan pihak-pihak yang perlu terlibat, peran dan tanggung jawab, tingkat risiko dan ambang batas, serta proses untuk komunikasi cepat kepada pemangku kepentingan yang terdampak.
• Menyusun perencanaan skenario untuk risiko dan insiden yang berpotensi terjadi.Rencana skenario tersebut harus mencakup pertimbangan dan panduan yang spesifik sesuai situasi, serta pesan-pesan untuk pemangku kepentingan yang dapat diperbarui dengan cepat sesuai fakta situasi sebenarnya jika terjadi insiden.
• Pengujian rencana.Melakukan simulasi latihan yang realistis merupakan bagian penting dari proses perencanaan dan persiapan untuk menguji kemampuan organisasi dalam beroperasi sesuai dengan rencana dan protokol yang telah ditetapkan. Hal ini juga akan mengidentifikasi celah dalam proses yang perlu diperbaiki sebelum kejadian nyata terjadi.
• Berinvestasi secara dini.Beberapa organisasi mungkin merasa tidak mampu berinvestasi secara dini untuk menyiapkan pusat panggilan darurat atau solusi lain, tetapi ini adalah cara terbaik untuk menghindari ketidaksiapan. Investasi ini dapat mencakup penyiapan pusat panggilan darurat untuk pemberitahuan kerugian atau tanggapan atas pelanggaran. Investasi ini juga dapat melibatkan pusat informasi atau microsite sekunder yang dihosting secara terpisah, yang dapat diaktifkan dengan cepat untuk berkomunikasi dengan pemangku kepentingan melalui saluran alternatif jika Anda kehilangan akses ke sistem Anda.

Sekarang, ketika terjadi insiden, perusahaan atau organisasi Anda lebih siap untuk mengelola situasi, mengaktifkan rencana yang telah disiapkan, dan fokus pada mitigasi risiko apa pun.

Menerapkan rencana

Ketika terjadi insiden, perusahaan harus segera mengaktifkan rencana tanggap insiden yang diperbarui secara berkala. Bersikaplah transparan, tetapi jangan terburu-buru menyimpulkan sebelum fakta terungkap. Analisis forensik data sering memakan waktu, jadi penting untuk hanya menyampaikan fakta yang telah dikonfirmasi dan mengakui bahwa situasi masih dinamis dan dapat berubah. Untuk meminimalkan dampak, melindungi, dan bahkan meningkatkan reputasi merek, ada beberapa hal yang perlu diperhatikan:

• Persepsi: Seringkali, persepsi umum adalah bahwa sebuah perusahaan atau organisasi dianggap bertanggung jawab meskipun mereka tidak bertanggung jawab atas kebocoran data. Pemangku kepentingan dapat dan akan memaafkan Anda atas kelalaian keamanan, keberuntungan yang buruk, atau bahkan keduanya. Namun, mencoba mengalihkan kesalahan dapat berbalik merugikan. Mereka yang terdampak oleh insiden tersebut melihatnya dengan sederhana: Mereka mempercayakan informasi mereka kepada Anda, dan Anda kehilangan informasi tersebut.
• Kontrol: Anda(perusahaan atau organisasi) mungkin tidak memiliki kendali atas waktu pengungkapan. Ada banyak faktor yang dapat mempercepat respons Anda. Misalnya, negara-negara dan negara bagian AS memiliki persyaratan pengungkapan yang berbeda. Siklus media atau komentar di media sosial juga dapat memaksa hal tersebut. Hacker dapat bocorkan informasi rahasia ke internet, yang kemudian diambil oleh jurnalis keamanan siber dan blogger. Karyawan juga dapat secara tidak sengaja membocorkan informasi sensitif, yang memperburuk masalah.
• Kewajiban: Perusahaandan organisasi mungkin memiliki kewajiban kontraktual untuk mengungkap insiden tersebut. Semakin banyak kontrak dengan vendor dan mitra yang mencakup klausul yang mewajibkan perusahaan untuk mengungkap pelanggaran, terlepas dari persyaratan regulasi. Jika perusahaan tersebut adalah perusahaan publik, mungkin ada dampak material dan pertimbangan terkait yang perlu dipertimbangkan, selain pengungkapan regulasi.
• Komunikasi: Tidaksetiap insiden memerlukan komunikasi proaktif mengenai seluruh situasi kepada semua pihak terkait. Keputusan untuk bertindak proaktif atau reaktif, serta dengan pihak mana, bersifat kompleks dan tidak dapat diterapkan secara seragam. Meskipun tidak ada persyaratan kontrak atau regulasi, perusahaan mungkin memiliki kewajiban etis untuk mengungkapkan informasi — seringkali dipicu oleh skala pelanggaran dan kemungkinan informasi tersebut menjadi publik. (Tips: Lebih baik bagi pemangku kepentingan Anda untuk mendengarnya langsung dari Anda daripada mengetahui hal tersebut untuk pertama kalinya melalui media. Hal ini menunjukkan bahwa Anda serius dalam melindungi informasi mereka.)
• Nilai-nilai: Selaludasarkan respons bisnis pada nilai-nilai bisnis. Siapa yang Anda wakili sebagai perusahaan dan apa yang diharapkan oleh pemangku kepentingan Anda? Lihat situasi dari sudut pandang mereka dan tanggapi sesuai dengan itu.

Peningkatan yang mengkhawatirkan dalam insiden keamanan siber selama setahun terakhir, serta jumlah pelanggaran yang banyak diberitakan, menunjukkan bahwa tidak pernah ada waktu yang lebih penting untuk bersiap-siap. Dengan semakin banyak organisasi dan perusahaan yang mengadopsi model kerja hybrid, risiko kebocoran data terus meningkat. Aktor ancaman akan melihat peluang dengan tenaga kerja jarak jauh — dan kita harus mengharapkan bahwa mereka akan terus berkembang dan menyesuaikan operasi mereka dengan normal baru.

Menjadikan perencanaan keamanan siber sebagai prioritas saat ini akan membantu memastikan organisasi Anda siap menghadapi insiden yang mungkin terjadi — karena ini bukan soal "apakah" tetapi soal "kapan" serangan siber akan terjadi.

Unduh salinan fitur sorotan ini di sini.

Tentang penulis tamu kami, Sean Wood dan Katherine Goodyear:

Sean Wood adalah Wakil Presiden Eksekutif di divisi Krisis dan Isu Global Weber Shandwick — membantu klien melindungi reputasi mereka dalam situasi berisiko tinggi selama lebih dari 25 tahun. Sean membawa perspektif reputasi korporat dan merek ke dalam manajemen krisis dan isu untuk membantu pemimpin bisnis menangani situasi kompleks dengan strategi terintegrasi guna memitigasi risiko.

Katherine Goodyear adalah direktur di divisi krisis dan isu Weber Shandwick di Kota New York. Katherine memberikan nasihat kepada klien dalam menghadapi isu-isu paling kompleks dan sensitif untuk melindungi reputasi mereka. Ia menyediakan dukungan komunikasi krisis secara menyeluruh — membantu klien mengatasi insiden keamanan siber.