Konferensi Governance Risk and Control (GRC) di Hollywood Florida USA yang telah dilaksanakan pada tanggal 12 - 14 Agustus 2019.
Konferensi diselenggarakan oleh ISACA dan IIA yang dihadiri oleh sekitar 700 orang profesional dari lebih 25 negara. Kehadiran peserta dapat memperoleh 18 CPE (kredit untuk memperpanjang sertifikasi profesional), serta meningkatkan pengetahuan dan wawasan dalam menghadapi tantangan global GRC di masa mendatang dan memperoleh alternatif solusinya.
Konferensi ini adalah diantaranya mendatangkan pembicara Simon T Bailey sebagai coach sekelas Oprah Winfrey dan Tony Robbins, berpengalaman dalam memberikan konsultansi dan motivasi kelas dunia dengan keahliannya fokus pada perubahan, kepemimpinan dan pelayanan kepada customer. Selain itu, Patrick Schwerdfeger adalah bisnis innovasi dengan spesialisasi dalam teknologi dan Artificial Intelligent (AI), Fintech dan Blockchain. Beliau host dari vlog Strategic Business Insights yang memiliki lebih dari 25.000 subscriber dan 6 juta viewer di YouTube.
Pesan dari konferensi adalah untuk menyampaikan kepada peserta bahwa perubahan bisnis berjalan sangat cepat, diiringi dengan kemajuan teknologi informasi yang semakin canggih. Adapun hal-hal penting dan berguna yang kami peroleh dari pelatihan tersebut antara lain :
1) Setiap individu dalam organisasi meningkatkan performansi dan mengubah pola pikir. Kemampuan kepemimpinan kedepan yang diperlukan adalah yang mengarah pada collaborative problem solving, yaitu menjadikan semua anggota organisasi sebagai leader dimana secara bersama-sama mencari solusi permasalahan ke arah yang lebih baik. Tidak mengikuti pola kepemimpinan lama yang hanya mengandalkan arahan top down. Pemikiran kedepan harus penuh dengan inovasi dan didukung dengan budaya perusahaan (coorporate culture). Orientasi perubahan juga harus mengakomodir teknologi informasi dan memastikan bahwa perusahaan masih kompetitif dan tetap percaya diri dalam masa transisi dan kondisi yang tidak menentu.
2) Pengamanan siber (cyber security) sekarang ini menjadi aspek kritikal dalam keberhasilan bisnis. Oleh karena itu perlu dilakukan alignment antara risiko pengamanan siber dengan bisnis outcomes. Pembahasan pengamanan siber harus sudah menjadi agenda pada level board dan pimpinan CEO. Seorang pimpinan pengamanan siber (CISO) harus mampu mengintegrasikan antara manajemen risiko dan pemantauan berkelanjutan (continuous monitoring), yaitu dengan menggunakan standar metodologi sekuriti yang dapat memberikan penjelasan kepada bisnis stakeholders. Diantaranya menggambarkan kondisi siber secara real time yang penyajiannya berupa dashboard, yaitu menjelaskan pencapaian dan target dalam bentuk skor terhadap risiko-risiko yang menghambat tujuan strategis bisnis sehingga lebih mudah dipahami.
3) Dalam konferensi juga memperkenalkan validasi sekuriti secara berkesinambungan yang dikenal dengan konsep “continuous security validation”. Konsep ini menggunakan perspektif para penyerang sekuriti (hackers dan crackers) dan skenario mengujinya, diantaranya mencakup :
- Bagaimana sebuah perusahaan dapat merancang skenario penyerangan dan mengevaluasi efektivitas dari pengendalian sekuriti, dan
- Mengidentifikasi isu terkait pengendalian sekuriti yang sifatnya preventif.
Salah satu saran dengan menggunakan metodologi Mitre Attack framework, yaitu sebuah kerangka kerja yang mudah diakses di internet, yang menjelaskan taktik dan teknik penyerang sekuriti yang terkini dan sering terjadi dari hasil observasi. Adapun gambaran framework tersebut diantaranya : Pelajari pemikiran hacker/cracker, pelajari ancaman atau serangan yang mengenai jaringan (enterprise network), evaluasi tindakan serangan dan tentukan solusi pertahanannya. Hal ini telah diadopsi dalam taktik dan teknik untuk mempertahankan serangan sekuriti yang dikembangkan oleh Lockheed Martin.
4) Sebuah organisasi sudah mulai melakukan identifikasi nilai aset yang berharga dan akan berdampak terhadap perusahaan apabila terjadi penyerangan. Terhadap aset berharga dimaksud perlu diberikan perlakuan berbeda dan perlindungan yang lebih diprioritaskan. Pola yang dilakukan untuk melakukan proteksi antara lain : Membatasi akses user, sentralisasi data, dan mengacak data dengan masking, hashing, token atau enkripsi. Pengendalian pertahanan juga perlu dilakukan berjenjang (multi layer), jadi apabila salah satu layer tidak bekerja (failure) atau bocor (breach) maka layer yang lain masih mampu mempertahankannya. Sehingga perlu dibuatkan model pertahanan berjenjang pada layer perimeter, infrastruktur, end user, aplikasi, atau data.
Selain itu dikarenakan skenario penyerangan juga cukup banyak kemungkinannya, maka analisis skenario sangat diperlukan sehingga diperoleh sejumlah skenario yang dapat dipertanggungjawabkan. Pengendalian harus lebih dalam termasuk evaluasi kontrol dan pelatihan orang-orangnya (Red Team). Dan juga dipelihara governance dan manajemen risikonya yang di-deliver berupa kebijakan dan standar, steering commitee, dan laporan eksekutif.
5) Dalam konferensi juga memaparkan survei penggunaan tools audit analitik di perusahaan, dimana diketahui masih banyak internal audit hanya menggunakan analisa dasar dalam melakukan proses audit (assurance). Konsep terkini dalam audit analitik adalah analitik melalui pendekatan iteratif dimana data yang diolah merupakan data populasi bukan sampling. Manfaat yang diharapkan pemahaman data yang berdampak pada analisis bisnis dengan mengetahui semua simpul kerawanan, mempelajari pola, dan mengevaluasi makna dari analisis.
6) Dalam konferensi ini juga diselipkan materi-materi yang terkait dengan leadership, ethics dalam internal audit, teknik komunikasi dan Fraud Risk Management (FRM). Hal ini dengan pertimbangan untuk memberikan pemahaman bahwa peserta tetap perlu meningkatkan pengetahuan yang sifatnya perilaku (soft skills). Selain itu memberikan pengertian bahwa peserta juga harus memiliki sense terhadap indikasi fraud yang mana saat ini sudah mengalami perkembangan seiring dengan kemajuan teknologi.
Wallahu a'lam.
Konferensi diselenggarakan oleh ISACA dan IIA yang dihadiri oleh sekitar 700 orang profesional dari lebih 25 negara. Kehadiran peserta dapat memperoleh 18 CPE (kredit untuk memperpanjang sertifikasi profesional), serta meningkatkan pengetahuan dan wawasan dalam menghadapi tantangan global GRC di masa mendatang dan memperoleh alternatif solusinya.
Konferensi ini adalah diantaranya mendatangkan pembicara Simon T Bailey sebagai coach sekelas Oprah Winfrey dan Tony Robbins, berpengalaman dalam memberikan konsultansi dan motivasi kelas dunia dengan keahliannya fokus pada perubahan, kepemimpinan dan pelayanan kepada customer. Selain itu, Patrick Schwerdfeger adalah bisnis innovasi dengan spesialisasi dalam teknologi dan Artificial Intelligent (AI), Fintech dan Blockchain. Beliau host dari vlog Strategic Business Insights yang memiliki lebih dari 25.000 subscriber dan 6 juta viewer di YouTube.
Pesan dari konferensi adalah untuk menyampaikan kepada peserta bahwa perubahan bisnis berjalan sangat cepat, diiringi dengan kemajuan teknologi informasi yang semakin canggih. Adapun hal-hal penting dan berguna yang kami peroleh dari pelatihan tersebut antara lain :
1) Setiap individu dalam organisasi meningkatkan performansi dan mengubah pola pikir. Kemampuan kepemimpinan kedepan yang diperlukan adalah yang mengarah pada collaborative problem solving, yaitu menjadikan semua anggota organisasi sebagai leader dimana secara bersama-sama mencari solusi permasalahan ke arah yang lebih baik. Tidak mengikuti pola kepemimpinan lama yang hanya mengandalkan arahan top down. Pemikiran kedepan harus penuh dengan inovasi dan didukung dengan budaya perusahaan (coorporate culture). Orientasi perubahan juga harus mengakomodir teknologi informasi dan memastikan bahwa perusahaan masih kompetitif dan tetap percaya diri dalam masa transisi dan kondisi yang tidak menentu.
2) Pengamanan siber (cyber security) sekarang ini menjadi aspek kritikal dalam keberhasilan bisnis. Oleh karena itu perlu dilakukan alignment antara risiko pengamanan siber dengan bisnis outcomes. Pembahasan pengamanan siber harus sudah menjadi agenda pada level board dan pimpinan CEO. Seorang pimpinan pengamanan siber (CISO) harus mampu mengintegrasikan antara manajemen risiko dan pemantauan berkelanjutan (continuous monitoring), yaitu dengan menggunakan standar metodologi sekuriti yang dapat memberikan penjelasan kepada bisnis stakeholders. Diantaranya menggambarkan kondisi siber secara real time yang penyajiannya berupa dashboard, yaitu menjelaskan pencapaian dan target dalam bentuk skor terhadap risiko-risiko yang menghambat tujuan strategis bisnis sehingga lebih mudah dipahami.
3) Dalam konferensi juga memperkenalkan validasi sekuriti secara berkesinambungan yang dikenal dengan konsep “continuous security validation”. Konsep ini menggunakan perspektif para penyerang sekuriti (hackers dan crackers) dan skenario mengujinya, diantaranya mencakup :
- Bagaimana sebuah perusahaan dapat merancang skenario penyerangan dan mengevaluasi efektivitas dari pengendalian sekuriti, dan
- Mengidentifikasi isu terkait pengendalian sekuriti yang sifatnya preventif.
Salah satu saran dengan menggunakan metodologi Mitre Attack framework, yaitu sebuah kerangka kerja yang mudah diakses di internet, yang menjelaskan taktik dan teknik penyerang sekuriti yang terkini dan sering terjadi dari hasil observasi. Adapun gambaran framework tersebut diantaranya : Pelajari pemikiran hacker/cracker, pelajari ancaman atau serangan yang mengenai jaringan (enterprise network), evaluasi tindakan serangan dan tentukan solusi pertahanannya. Hal ini telah diadopsi dalam taktik dan teknik untuk mempertahankan serangan sekuriti yang dikembangkan oleh Lockheed Martin.
4) Sebuah organisasi sudah mulai melakukan identifikasi nilai aset yang berharga dan akan berdampak terhadap perusahaan apabila terjadi penyerangan. Terhadap aset berharga dimaksud perlu diberikan perlakuan berbeda dan perlindungan yang lebih diprioritaskan. Pola yang dilakukan untuk melakukan proteksi antara lain : Membatasi akses user, sentralisasi data, dan mengacak data dengan masking, hashing, token atau enkripsi. Pengendalian pertahanan juga perlu dilakukan berjenjang (multi layer), jadi apabila salah satu layer tidak bekerja (failure) atau bocor (breach) maka layer yang lain masih mampu mempertahankannya. Sehingga perlu dibuatkan model pertahanan berjenjang pada layer perimeter, infrastruktur, end user, aplikasi, atau data.
Selain itu dikarenakan skenario penyerangan juga cukup banyak kemungkinannya, maka analisis skenario sangat diperlukan sehingga diperoleh sejumlah skenario yang dapat dipertanggungjawabkan. Pengendalian harus lebih dalam termasuk evaluasi kontrol dan pelatihan orang-orangnya (Red Team). Dan juga dipelihara governance dan manajemen risikonya yang di-deliver berupa kebijakan dan standar, steering commitee, dan laporan eksekutif.
5) Dalam konferensi juga memaparkan survei penggunaan tools audit analitik di perusahaan, dimana diketahui masih banyak internal audit hanya menggunakan analisa dasar dalam melakukan proses audit (assurance). Konsep terkini dalam audit analitik adalah analitik melalui pendekatan iteratif dimana data yang diolah merupakan data populasi bukan sampling. Manfaat yang diharapkan pemahaman data yang berdampak pada analisis bisnis dengan mengetahui semua simpul kerawanan, mempelajari pola, dan mengevaluasi makna dari analisis.
6) Dalam konferensi ini juga diselipkan materi-materi yang terkait dengan leadership, ethics dalam internal audit, teknik komunikasi dan Fraud Risk Management (FRM). Hal ini dengan pertimbangan untuk memberikan pemahaman bahwa peserta tetap perlu meningkatkan pengetahuan yang sifatnya perilaku (soft skills). Selain itu memberikan pengertian bahwa peserta juga harus memiliki sense terhadap indikasi fraud yang mana saat ini sudah mengalami perkembangan seiring dengan kemajuan teknologi.
Wallahu a'lam.