Diterbitkan : 11 jam yang lalupada
Pengarang: Shilpa Doreswamy, Direktur Sektor Perbankan Ritel, GFT
Industri jasa keuangan semakin bergulat dengan masalah kritis berupa waktu henti. Di era digital saat ini, bahkan penghentian sementara dapat menimbulkan dampak yang parah, merugikan bank hampir $5 juta per jam, belum termasuk denda dan biaya apa pun.
Mencegah gangguan TI dalam lembaga keuangan merupakan pendorong utama di balik Undang-Undang Ketahanan Operasional Digital (DORA) Uni Eropa. Undang-Undang tersebut menyediakan kerangka kerja rumit berupa persyaratan regulasi yang harus diikuti lembaga keuangan untuk memperkuat ketahanan digital mereka dan memastikan kelangsungan layanan selama gangguan.
Bagi perusahaan keuangan Inggris yang beroperasi di UE, mereka akan diharuskan untuk secara strategis merencanakan dan memperkuat langkah-langkah keamanan untuk memenuhi persyaratan ketahanan DORA yang lebih ketat, yang berfokus pada manajemen risiko TI; pelaporan insiden; pengujian ketahanan operasional; dan manajemen risiko pihak ketiga.
Saat lembaga keuangan di Inggris bersiap menghadapi regulasi yang akan datang pada Januari 2025, pertimbangan utama harus dibuat terkait proyek digital yang sedang berlangsung untuk memastikan kepatuhan terhadap DORA.
Memperkuat Infrastruktur Keamanan Siber
Mengakui meningkatnya ancaman serangan siber canggih terhadap lembaga keuangan, DORA menempatkan penekanan tinggi pada keamanan siber sebagai landasan ketahanan operasional. Karena lembaga keuangan semakin bergantung pada layanan berbasis cloud, big data, dan kecerdasan buatan (AI), lanskap risiko menjadi semakin menguntungkan, sehingga memerlukan langkah-langkah keamanan siber yang lebih kuat.
Hal ini membuat bisnis di sektor jasa keuangan harus meningkatkan kerangka kerja keamanan siber mereka agar mencakup deteksi ancaman secara real-time, respons insiden, dan teknologi enkripsi data tingkat lanjut. Hal ini juga dapat melibatkan penerapan solusi berbasis AI yang mampu memantau sistem secara terus-menerus dan merespons ancaman secara mandiri.
Salah satu celah dalam praktik ketahanan saat ini adalah banyaknya organisasi yang masih kesulitan mempertahankan pertahanan keamanan siber yang memadai meskipun menghadapi ancaman siber yang semakin kompleks. Kekurangan ini dapat diatasi dengan mengintegrasikan AI dan teknologi baru lainnya, yang dapat membantu bisnis beradaptasi dengan risiko baru dengan mengidentifikasi potensi kerentanan secara otomatis sebelum dieksploitasi.
Investasi juga harus dilakukan pada tindakan pencegahan lain seperti mekanisme enkripsi yang lebih kuat, kontrol akses yang lebih baik, dan alat pemantauan waktu nyata yang dapat segera mendeteksi dan mengisolasi pelanggaran, sehingga mengurangi kemungkinan terjadinya gangguan berskala besar.
Meningkatkan Manajemen Risiko Pihak Ketiga
Salah satu persyaratan ketat DORA adalah pengelolaan risiko pihak ketiga, mengingat ketergantungan lembaga keuangan yang besar pada vendor eksternal untuk layanan penting seperti komputasi awan, pemrosesan pembayaran, dan analisis data. Risiko yang terkait dengan pihak ketiga ini, khususnya yang berkaitan dengan keamanan siber dan kelangsungan layanan, dapat menjadi substansial sebagaimana dicontohkan oleh berbagai pelanggaran siber terhadap bank dan lembaga keuangan. Lebih sering daripada tidak, pelanggaran tersebut muncul dari eksploitasi kerentanan dalam postur keamanan penyedia pihak ketiga.
Untuk memastikan kepatuhan terhadap DORA, lembaga keuangan perlu melakukan uji tuntas dan penilaian risiko secara menyeluruh sebelum merekrut vendor baru dan menetapkan kewajiban kontraktual yang jelas terkait ketahanan operasional dan keamanan siber. Selain itu, penting bagi lembaga untuk mengkategorikan vendor berdasarkan kekritisan layanan yang mereka berikan, dengan penyedia berisiko tinggi tunduk pada pemantauan dan kontrol yang lebih ketat. Menetapkan rencana respons insiden yang terdefinisi dengan baik dengan vendor merupakan persyaratan DORA yang sama pentingnya, karena hal ini memastikan tindakan terkoordinasi selama krisis atau gangguan dalam lembaga keuangan mana pun.
Penyesuaian penting lainnya adalah pemantauan berkelanjutan terhadap kinerja vendor pihak ketiga. Untuk mencapai hal ini, lembaga keuangan harus menggunakan alat otomatis yang melacak status operasional vendor secara real time, yang memungkinkan respons cepat terhadap risiko yang muncul. Pengujian penetrasi dan pengujian berbasis skenario juga harus menjadi bagian rutin dari manajemen pihak ketiga karena hal ini memberikan jaminan bahwa vendor siap menangani gangguan potensial apa pun.
Memperbarui Sistem Lama
Tantangan utama lainnya yang dihadapi banyak lembaga keuangan adalah ketergantungan pada sistem lama yang sudah ketinggalan zaman. Sistem ini sering kali sulit diamankan dan diintegrasikan dengan teknologi modern, sehingga rentan terhadap serangan siber dan gangguan operasional. DORA mengamanatkan lembaga keuangan untuk memiliki infrastruktur digital yang kuat yang dapat menahan tekanan operasional, ancaman siber, dan kegagalan teknologi.
Untuk memenuhi persyaratan ini, proyek digital yang sedang berjalan perlu memprioritaskan modernisasi sistem perbankan inti. Ini dapat mencakup migrasi ke solusi berbasis cloud yang menawarkan skalabilitas, keamanan, dan ketahanan yang lebih baik dibandingkan dengan sistem lokal tradisional. Namun, perlu dicatat bahwa transisi ke teknologi cloud perlu dilakukan dengan hati-hati dan dengan mitra tepercaya, untuk memastikan gangguan minimal pada operasi, dan kepatuhan terhadap standar perlindungan data dan ketahanan DORA yang ketat tetap terjaga.
Selain itu, lembaga keuangan dapat berinvestasi dalam otomatisasi dan perangkat AI untuk mengefisienkan operasi mereka dan meningkatkan ketahanan sistem secara keseluruhan. Otomatisasi dapat memainkan peran penting dalam mengurangi risiko yang terkait dengan sistem lama dengan mengoptimalkan proses, mengurangi kesalahan manusia, dan memastikan keberlanjutan layanan selama gangguan.
Meningkatkan Ketahanan Operasional
Ketahanan operasional lebih dari sekadar pemulihan bencana; hal itu mencakup kemampuan lembaga untuk beradaptasi dan menanggapi gangguan yang berkepanjangan, baik yang berasal dari serangan siber, pandemi, atau peristiwa geopolitik. Kepatuhan terhadap DORA mengharuskan lembaga keuangan untuk mempertahankan rencana kelangsungan bisnis dan pemulihan bencana (BCP) yang diuji dan diperbarui secara berkala untuk menghadapi ancaman baru dan yang terus berkembang.
Lembaga keuangan juga perlu memastikan bahwa strategi ketahanan operasional mereka terintegrasi sepenuhnya di semua tingkat organisasi. Ini termasuk mengembangkan rencana kesinambungan yang tangkas yang mampu mengatasi berbagai skenario, mulai dari gangguan kecil hingga krisis besar, pengujian stres secara berkala, dan perencanaan skenario karena ini penting untuk mengidentifikasi potensi kelemahan dalam kerangka ketahanan lembaga. Pengujian ini harus mensimulasikan guncangan pasar dan kegagalan operasional, memberikan wawasan tentang kekuatan sistem operasional lembaga dalam kondisi ekstrem.
AI dan analitik tingkat lanjut juga dapat dimanfaatkan untuk meningkatkan kemampuan pengujian stres. Dengan mensimulasikan berbagai skenario risiko, lembaga keuangan dapat lebih memahami bagaimana sistem mereka akan bekerja di bawah tekanan, sehingga memungkinkan pengambilan keputusan yang lebih tepat saat menyusun strategi ketahanan operasional.
Meningkatkan Pelaporan Regulasi dan Pemantauan Kepatuhan
DORA menetapkan standar yang ketat untuk pelaporan regulasi dan pemantauan kepatuhan. Lembaga keuangan harus memastikan bahwa sistem pelaporan mereka akurat, tepat waktu, dan mampu menangani kompleksitas dan volume persyaratan regulasi. Hal ini tentu saja dapat dipermudah melalui penggunaan otomatisasi, selain meningkatkan efisiensi secara signifikan, mengurangi kesalahan manusia, dan memastikan kepatuhan terhadap kerangka regulasi yang terus berkembang.
Terkait proyek digital yang sedang berlangsung, analisis data real-time dan alat pelaporan otomatis harus disertakan untuk menyederhanakan proses kepatuhan. Dengan menggunakan AI dan otomatisasi proses robotik (RPA), lembaga keuangan dapat mengotomatiskan pengumpulan, analisis, dan pelaporan data yang diperlukan untuk pengajuan regulasi, sehingga meningkatkan kecepatan dan keakuratan pengajuan.
Selain itu, pemantauan metrik operasional utama secara real-time juga dapat membantu lembaga menjaga kepatuhan terhadap DORA dengan memberikan wawasan tepat waktu tentang ketahanan dan paparan risiko mereka. Pemantauan berkelanjutan ini akan memungkinkan lembaga untuk merespons lebih cepat terhadap permintaan regulasi dan beradaptasi dengan perubahan dalam lanskap regulasi.
Kesimpulannya, seiring lembaga keuangan bergerak lebih jauh ke era digital dan mengintegrasikan teknologi baru dalam operasinya, kepatuhan terhadap Undang-Undang Ketahanan Operasional Digital (DORA) tidak hanya sekadar persyaratan regulasi, melainkan menjadi langkah vital menuju perlindungan sektor tersebut terhadap lanskap risiko yang semakin kompleks.
Lembaga keuangan yang memprioritaskan penyesuaian yang disebutkan di atas, tidak hanya akan mematuhi DORA tetapi juga meningkatkan kapasitas mereka untuk mengantisipasi dan menanggapi ancaman yang muncul, memastikan keberlanjutan, dan menjaga kepercayaan nasabah. Seiring dengan semakin kompleksnya dan saling terhubungnya ekosistem keuangan, ketahanan akan menjadi dasar untuk mempertahankan keunggulan kompetitif di era digital.