Ringkasan Singkat
Saat ini, banyak kuesioner asuransi siber masih menggunakan pertanyaan standar berbasis kepatuhan (compliance).
Masalahnya, pertanyaan seperti ini sering tidak mampu menggambarkan risiko nyata di dalam sebuah perusahaan.
Pendekatan yang lebih efektif adalah:
-
Menanyakan pengecualian (exceptions)
-
Menyoroti area yang tidak sempurna
-
Menggali kelemahan yang memang ada
Dengan cara ini, perusahaan bisa lebih transparan, dan pihak asuransi bisa memahami risiko dengan lebih akurat.
Masalah dengan Pertanyaan Asuransi Saat Ini
Selama bertahun-tahun, banyak formulir asuransi siber berisi pertanyaan seperti:
-
Apakah Anda menggunakan antivirus?
-
Apakah Anda memiliki firewall?
Di tahun sekarang, pertanyaan seperti ini terasa sudah ketinggalan.
Kenapa?
Karena hampir semua perusahaan pasti sudah memiliki hal tersebut. Jika tidak, kemungkinan besar bisnisnya sudah terkena serangan sejak lama.
Artinya, jawaban “ya” tidak memberikan insight yang berarti.
Cara Baru: Fokus pada Pengecualian
Untuk benar-benar memahami risiko, kita perlu membalik cara bertanya.
Alih-alih bertanya:
“Apakah semua sistem menggunakan password yang kuat?”
Lebih baik bertanya:
“Berapa banyak sistem yang masih menggunakan password lemah atau default?”
Kenapa ini penting?
Karena dalam praktiknya:
-
Hampir semua organisasi punya celah
-
Tidak semua sistem mengikuti kebijakan dengan sempurna
Contohnya:
-
Password admin lokal
-
Sistem lama (legacy system)
-
Aplikasi internal yang jarang diperhatikan
Jika tidak ditanyakan secara spesifik, celah ini sering terlewat.
Risiko Nyata di Balik Jawaban “Ya”
Bayangkan sebuah perusahaan menjawab:
“Semua sistem kami menggunakan password yang kuat.”
Namun kenyataannya:
-
Ada satu sistem yang masih menggunakan password lama
-
Sistem tersebut kemudian diretas
-
Serangan menyebar ke seluruh jaringan
Akibatnya:
-
Terjadi kebocoran data
-
Pihak asuransi merasa informasi tidak sesuai
-
Terjadi konflik antara perusahaan dan pihak asuransi
Padahal, jika sejak awal diketahui, risiko tersebut bisa:
-
Dipertimbangkan dalam premi
-
Dikelola dengan kontrol tambahan
Contoh Pertanyaan yang Lebih Efektif
1. Tentang Password
Alih-alih:
Apakah semua password aman?
Tanyakan:
Berapa banyak sistem yang masih menggunakan password lemah atau default?
Tujuannya bukan untuk menyalahkan, tetapi:
-
Mengidentifikasi risiko nyata
-
Memahami alasan di baliknya
-
Melihat bagaimana risiko tersebut dikontrol
2. Tentang Patch dan Update
Alih-alih:
Apakah semua sistem selalu di-update?
Tanyakan:
Sistem mana yang tidak di-update secara rutin, dan kenapa?
Faktanya:
-
Hampir semua perusahaan punya sistem yang tidak di-patch
-
Alasannya bisa karena sistem tersebut penting dan sensitif
Contoh:
-
Update sebelumnya menyebabkan sistem crash
-
Mengganggu operasional bisnis
Akibatnya, tim IT memilih untuk tidak melakukan update.
Yang penting untuk diketahui:
-
Apa risikonya
-
Apa langkah mitigasinya
3. Tentang Enkripsi Data
Alih-alih:
Apakah semua data dienkripsi?
Tanyakan:
Data mana yang belum dienkripsi?
Perusahaan yang matang biasanya tahu:
-
Data mana yang terenkripsi
-
Data mana yang belum
-
Bagaimana kunci enkripsi dikelola
Selain itu, penting juga mengetahui:
-
Apakah data pernah diproses tanpa enkripsi (meskipun sebentar)
4. Tentang MFA (Multi-Factor Authentication)
Alih-alih:
Apakah MFA sudah digunakan?
Tanyakan:
Di mana MFA tidak digunakan, dan bagaimana mitigasinya?
Contoh kasus:
-
Sistem cadangan saat MFA gagal (“break glass system”)
-
Digunakan oleh tim IT saat darurat
Pertanyaannya:
-
Apakah sistem ini aman?
-
Apa kontrol tambahannya?
Selain itu, penting juga:
-
Apakah notifikasi MFA dibatasi untuk mencegah spam (push fatigue)
Kenapa Pendekatan Ini Lebih Baik?
Dengan menanyakan pengecualian:
-
Risiko menjadi lebih jelas
-
Tidak ada asumsi yang salah
-
Semua pihak lebih transparan
Ini tidak berarti risiko bertambah, tetapi:
risiko yang sudah ada menjadi terlihat.
Manfaat untuk Semua Pihak
Untuk Perusahaan
-
Bisa menjelaskan kondisi nyata
-
Tidak terjebak pada jawaban “ideal”
-
Bisa menunjukkan bagaimana risiko dikelola
Untuk Asuransi
-
Mendapat gambaran risiko yang lebih akurat
-
Bisa menentukan premi dengan lebih tepat
-
Menghindari kesalahpahaman di masa depan
Untuk Hubungan Kerja Sama
-
Meningkatkan kepercayaan
-
Mengurangi konflik saat klaim
-
Mendorong perbaikan keamanan
Kesimpulan
Dalam dunia asuransi siber, sekadar memastikan bahwa kontrol keamanan “ada” sudah tidak cukup.
Yang lebih penting adalah:
-
Mengetahui di mana kontrol tersebut tidak berjalan
-
Memahami alasan di baliknya
-
Melihat bagaimana risiko tersebut dikelola
Pendekatan ini membantu:
-
Mengungkap risiko nyata
-
Meningkatkan transparansi
-
Memperkuat keamanan sebelum terjadi insiden
Pada akhirnya, pertanyaan yang tepat bukan hanya membantu proses asuransi, tetapi juga:
membantu perusahaan menjadi lebih aman.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!
