Keamanan Siber tidak dimulai dengan teknologi, tetapi dengan kepercayaan
Keamanan siber sering digambarkan sebagai tantangan teknis. Firewall, kontrol akses, sistem pemantauan, dan alat respons insiden cenderung mendominasi diskusi. Meskipun langkah-langkah ini penting, bukan di sinilah keamanan siber benar-benar dimulai. Dalam praktiknya, ini dimulai jauh lebih awal — pada saat suatu organisasi memutuskan dengan siapa ia berbisnis.
Bisnis modern sangat saling terhubung. Perusahaan bergantung pada penyedia layanan eksternal, vendor, perantara keuangan, dan mitra lintas batas. Setiap koneksi menciptakan nilai operasional, tetapi juga memperkenalkan risiko. Ketika identitas mitra bisnis tidak jelas, usang, atau sulit diverifikasi, menjadi tidak mungkin untuk menilai risiko tersebut dengan andal.
Keamanan siber dibangun di atas kepercayaan. Dan kepercayaan dimulai dengan mengetahui dengan siapa Anda sebenarnya berurusan.
Mengapa keamanan teknis saja tidak lagi memadai
Kontrol keamanan teknis dirancang untuk melindungi sistem, tetapi mereka mengasumsikan bahwa akses diberikan kepada entitas yang tepat. Jika akses diberikan kepada organisasi yang salah — atau kepada organisasi yang latar belakangnya kurang dipahami — bahkan kontrol teknis yang kuat pun mungkin gagal mencegah kerugian.
Banyak insiden keamanan siber serius tidak berasal dari pelanggaran sistem langsung, tetapi dari penyalahgunaan hubungan tepercaya. Ketika aktor ancaman beroperasi melalui mitra, pemasok, atau kontraktor yang tampaknya sah, pertahanan teknis menjadi jauh kurang efektif.
Ini menggeser pertanyaan inti dari “Bagaimana kita melindungi sistem kita?” menjadi “Siapa yang seharusnya kita percayai dengan akses sejak awal?”
Risiko pihak ketiga sebagai masalah keamanan siber utama
Sebagian besar risiko keamanan siber dan operasional berasal dari pihak ketiga. Ini mungkin termasuk pemasok, penyedia layanan TI, pemroses pembayaran, mitra logistik, atau fungsi dukungan yang dialihdayakan. Setiap pihak ketiga menjadi bagian dari perimeter digital organisasi yang diperluas.
Risiko pihak ketiga tidak terbatas pada kerentanan perangkat lunak atau infrastruktur yang tidak aman. Ini juga mencakup:
- status hukum yang tidak jelas
- struktur kepemilikan yang tidak transparan
- data registri yang tidak konsisten atau usang
- kesulitan dalam menetapkan akuntabilitas
Untuk mengelola risiko-risiko ini secara efektif, organisasi mengandalkan proses verifikasi terstruktur, termasuk KYC dan verifikasi bisnis
Ketika suatu organisasi tidak dapat dengan jelas mengidentifikasi pihak lawannya, risiko keamanan dan kepatuhan meningkat secara signifikan.
Arah regulasi: berbasis risiko dan berfokus pada identitas
Di seluruh yurisdiksi, kerangka kerja regulasi bergerak menuju pendekatan keamanan siber yang lebih berbasis risiko dan berfokus pada identitas. Daripada menetapkan kontrol teknis tertentu, regulator semakin mengharapkan organisasi untuk memahami dan mengelola risiko di seluruh lingkungan operasional mereka, termasuk pemasok dan penyedia layanan.
Di Uni Eropa, pergeseran ini jelas tercermin dalam Arahan NIS2 dan persyaratan keamanan siber
Untuk kerangka hukum resmi, lihat Arahan NIS2
Meskipun kerangka kerja berbeda secara global, harapan yang mendasari adalah konsisten: organisasi harus dapat menunjukkan bahwa mereka tahu siapa yang mereka andalkan dan bagaimana hubungan tersebut memengaruhi postur keamanan mereka.
Identitas bisnis sebagai fondasi keamanan siber
Ketika keamanan siber dilihat lebih luas, identitas bisnis menjadi konsep inti. Pendekatan terstandardisasi secara global untuk identifikasi bisnis disediakan oleh Legal Entity Identifier (LEI)
Identitas bisnis jauh melampaui nama perusahaan atau nomor registrasi. Ini mencakup:
- keberadaan dan status hukum
- informasi registri resmi
- struktur kepemilikan dan kontrol
- hubungan dengan entitas hukum lainnya
- akurasi dan ketepatan waktu data
Tanpa identitas bisnis yang jelas dan terstandardisasi, penilaian risiko yang andal menjadi sulit. Tantangan ini diperkuat di lingkungan lintas batas, di mana data bersumber dari berbagai registri nasional menggunakan format dan standar yang berbeda.
Dalam lingkungan digital dan otomatis, identitas bisnis harus tidak ambigu, dapat dibaca mesin, dan konsisten secara internasional untuk mendukung manajemen risiko yang efektif.
Perspektif bisnis kecil: menjadi mitra tepercaya
Diskusi tentang keamanan siber dan regulasi sering kali berfokus pada organisasi besar. Namun, dinamika yang sama sangat memengaruhi usaha kecil dan menengah yang ingin bekerja dengan korporasi, lembaga keuangan, atau klien internasional.
Bagi bisnis yang lebih kecil, penghalang utama sering kali bukan kualitas produk atau kemampuan teknis, melainkan kepercayaan. Organisasi besar harus menilai risiko untuk setiap mitra baru, namun mereka tidak dapat melakukan ini secara manual dan mendalam untuk setiap pemasok potensial. Akibatnya, mereka mengandalkan standar, sinyal, dan data terstruktur untuk memutuskan hubungan mana yang layak untuk dieksplorasi lebih lanjut.
Banyak peluang kerja sama terhenti bukan karena penawaran kurang bernilai, tetapi karena pihak lawan tidak dapat dengan cepat dan jelas dipahami.
LEI sebagai akselerator kepercayaan dan orientasi
Di sinilah Legal Entity Identifier (LEI) menjadi relevan. LEI adalah standar global yang dirancang untuk mengidentifikasi entitas hukum secara unik dan menghubungkannya dengan data referensi terverifikasi dari sumber otoritatif.
Bagi perusahaan yang lebih kecil, LEI bukan hanya persyaratan regulasi dalam konteks tertentu. Ini adalah alat praktis yang memungkinkan mereka untuk menampilkan diri dengan cara yang selaras dengan bagaimana organisasi besar mengelola risiko.
LEI menandakan bahwa:
- entitas tersebut dapat diidentifikasi secara unik
- data referensi intinya terhubung ke registri resmi
- informasi kepemilikan dinyatakan dalam bentuk standar
- data dapat digunakan dalam proses otomatis dan lintas batas
Dari perspektif organisasi besar, ini mengurangi ketidakpastian awal dan mempercepat keputusan apakah kemitraan potensial dapat dilanjutkan. LEI tidak menjamin kerja sama, juga tidak menggantikan uji tuntas, tetapi membantu bisnis menjadi mudah dipahami dan dinilai jauh lebih awal dalam proses.
Keamanan siber sebagai tanggung jawab bersama di seluruh rantai pasokan
Keamanan siber bukan hanya tanggung jawab pembeli besar atau platform pusat. Setiap peserta dalam rantai pasokan berkontribusi pada profil risiko keseluruhan. Ketika satu pihak tidak dapat dengan jelas menyajikan identitasnya atau memperbarui datanya, seluruh rantai menjadi lebih rentan.
Karena alasan ini, bisnis yang lebih kecil juga mendapatkan manfaat dari mengadopsi standar yang membuat mereka lebih mudah diverifikasi dan diintegrasikan ke dalam kerangka kerja manajemen risiko mitra mereka — seringkali sebelum ekspektasi tersebut secara formal diwajibkan.
Akurasi berkelanjutan sebagai prasyarat untuk kepercayaan
Baik keamanan siber maupun identitas bisnis tidak bersifat statis. Perusahaan berubah, struktur kepemilikan berkembang, dan data menjadi usang. Pemeriksaan identitas yang hanya dilakukan sekali dengan cepat kehilangan nilainya.
Manajemen risiko yang efektif bergantung pada informasi identitas yang tetap akurat dan terkini seiring waktu. Keandalan berkelanjutan ini mendukung tidak hanya kepatuhan, tetapi juga kepercayaan jangka panjang antara mitra bisnis.
Kesimpulan
Keamanan siber tidak dimulai di ruang server, juga tidak berakhir dengan perangkat lunak. Ini dimulai dengan memahami dengan siapa Anda berbisnis dan atas dasar apa hubungan itu ada.
Kontrol teknis tetap penting, tetapi tanpa identitas bisnis yang jelas, terstandardisasi, dan terkini, kontrol tersebut tidak lengkap. Dalam ekonomi yang saling terhubung dan teregulasi saat ini, mengetahui pihak lawan Anda adalah salah satu langkah keamanan terpenting yang tersedia.
LEI menyediakan kerangka kerja global bersama yang membantu organisasi besar dan kecil membangun kepercayaan, meningkatkan transparansi, dan berkolaborasi lebih efektif lintas batas.