Mengubah Cara Bertanya dalam Asuransi Siber untuk Menemukan Risiko Nyata

Ringkasan Singkat

Saat ini, banyak kuesioner asuransi siber masih menggunakan pertanyaan standar berbasis kepatuhan (compliance).
Masalahnya, pertanyaan seperti ini sering tidak mampu menggambarkan risiko nyata di dalam sebuah perusahaan.

Pendekatan yang lebih efektif adalah:

  • Menanyakan pengecualian (exceptions)

  • Menyoroti area yang tidak sempurna

  • Menggali kelemahan yang memang ada

Dengan cara ini, perusahaan bisa lebih transparan, dan pihak asuransi bisa memahami risiko dengan lebih akurat.


Masalah dengan Pertanyaan Asuransi Saat Ini

Selama bertahun-tahun, banyak formulir asuransi siber berisi pertanyaan seperti:

  • Apakah Anda menggunakan antivirus?

  • Apakah Anda memiliki firewall?

Di tahun sekarang, pertanyaan seperti ini terasa sudah ketinggalan.

Kenapa?
Karena hampir semua perusahaan pasti sudah memiliki hal tersebut. Jika tidak, kemungkinan besar bisnisnya sudah terkena serangan sejak lama.

Artinya, jawaban “ya” tidak memberikan insight yang berarti.


Cara Baru: Fokus pada Pengecualian

Untuk benar-benar memahami risiko, kita perlu membalik cara bertanya.

Alih-alih bertanya:

“Apakah semua sistem menggunakan password yang kuat?”

Lebih baik bertanya:

“Berapa banyak sistem yang masih menggunakan password lemah atau default?”

Kenapa ini penting?

Karena dalam praktiknya:

  • Hampir semua organisasi punya celah

  • Tidak semua sistem mengikuti kebijakan dengan sempurna

Contohnya:

  • Password admin lokal

  • Sistem lama (legacy system)

  • Aplikasi internal yang jarang diperhatikan

Jika tidak ditanyakan secara spesifik, celah ini sering terlewat.


Risiko Nyata di Balik Jawaban “Ya”

Bayangkan sebuah perusahaan menjawab:

“Semua sistem kami menggunakan password yang kuat.”

Namun kenyataannya:

  • Ada satu sistem yang masih menggunakan password lama

  • Sistem tersebut kemudian diretas

  • Serangan menyebar ke seluruh jaringan

Akibatnya:

  • Terjadi kebocoran data

  • Pihak asuransi merasa informasi tidak sesuai

  • Terjadi konflik antara perusahaan dan pihak asuransi

Padahal, jika sejak awal diketahui, risiko tersebut bisa:

  • Dipertimbangkan dalam premi

  • Dikelola dengan kontrol tambahan


Contoh Pertanyaan yang Lebih Efektif

1. Tentang Password

Alih-alih:

Apakah semua password aman?

Tanyakan:

Berapa banyak sistem yang masih menggunakan password lemah atau default?

Tujuannya bukan untuk menyalahkan, tetapi:

  • Mengidentifikasi risiko nyata

  • Memahami alasan di baliknya

  • Melihat bagaimana risiko tersebut dikontrol


2. Tentang Patch dan Update

Alih-alih:

Apakah semua sistem selalu di-update?

Tanyakan:

Sistem mana yang tidak di-update secara rutin, dan kenapa?

Faktanya:

  • Hampir semua perusahaan punya sistem yang tidak di-patch

  • Alasannya bisa karena sistem tersebut penting dan sensitif

Contoh:

  • Update sebelumnya menyebabkan sistem crash

  • Mengganggu operasional bisnis

Akibatnya, tim IT memilih untuk tidak melakukan update.

Yang penting untuk diketahui:

  • Apa risikonya

  • Apa langkah mitigasinya


3. Tentang Enkripsi Data

Alih-alih:

Apakah semua data dienkripsi?

Tanyakan:

Data mana yang belum dienkripsi?

Perusahaan yang matang biasanya tahu:

  • Data mana yang terenkripsi

  • Data mana yang belum

  • Bagaimana kunci enkripsi dikelola

Selain itu, penting juga mengetahui:

  • Apakah data pernah diproses tanpa enkripsi (meskipun sebentar)


4. Tentang MFA (Multi-Factor Authentication)

Alih-alih:

Apakah MFA sudah digunakan?

Tanyakan:

Di mana MFA tidak digunakan, dan bagaimana mitigasinya?

Contoh kasus:

  • Sistem cadangan saat MFA gagal (“break glass system”)

  • Digunakan oleh tim IT saat darurat

Pertanyaannya:

  • Apakah sistem ini aman?

  • Apa kontrol tambahannya?

Selain itu, penting juga:

  • Apakah notifikasi MFA dibatasi untuk mencegah spam (push fatigue)


Kenapa Pendekatan Ini Lebih Baik?

Dengan menanyakan pengecualian:

  • Risiko menjadi lebih jelas

  • Tidak ada asumsi yang salah

  • Semua pihak lebih transparan

Ini tidak berarti risiko bertambah, tetapi:
risiko yang sudah ada menjadi terlihat.


Manfaat untuk Semua Pihak

Untuk Perusahaan

  • Bisa menjelaskan kondisi nyata

  • Tidak terjebak pada jawaban “ideal”

  • Bisa menunjukkan bagaimana risiko dikelola

Untuk Asuransi

  • Mendapat gambaran risiko yang lebih akurat

  • Bisa menentukan premi dengan lebih tepat

  • Menghindari kesalahpahaman di masa depan

Untuk Hubungan Kerja Sama

  • Meningkatkan kepercayaan

  • Mengurangi konflik saat klaim

  • Mendorong perbaikan keamanan


Kesimpulan

Dalam dunia asuransi siber, sekadar memastikan bahwa kontrol keamanan “ada” sudah tidak cukup.

Yang lebih penting adalah:

  • Mengetahui di mana kontrol tersebut tidak berjalan

  • Memahami alasan di baliknya

  • Melihat bagaimana risiko tersebut dikelola

Pendekatan ini membantu:

  • Mengungkap risiko nyata

  • Meningkatkan transparansi

  • Memperkuat keamanan sebelum terjadi insiden

Pada akhirnya, pertanyaan yang tepat bukan hanya membantu proses asuransi, tetapi juga:
membantu perusahaan menjadi lebih aman.


Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!