Bedah Polis Asuransi Siber Bagian 40 – What is not covered – Hacked by Director and Partner
Apa itu Asuransi Siber?
Asuransi siber atau risiko siber adalah perlindungan asuransi yang dirancang secara khusus untuk melindungi bisnis Anda dari ancaman di era digital, seperti pencurian data atau peretasan siber berbahaya pada sistem komputer kerja.
Mengapa Anda membutuhkan Asuransi Siber ?
Di era digital seperti sekarang ini ancaman siber kini telah berubah menjadi masalah besar. Serangan siber dapat menyebabkan, kegagalan bisnis, kegagalan transaksi bank, pemadaman listrik, kegagalan peralatan militer, dan pelanggaran rahasia keamanan perusahaan.
Tidak berlebihan untuk mengatakan bahwa ancaman siber dapat mempengaruhi fungsi kehidupan sehari-hari.
Bisnis apa saja yang membutuhkan asuransi siber?
Semua bisnis berpotensi terkenal resiko siber. Masalahnya “bukan bisa kena atau tidak terkena tapi masalah kapan waktunya serangan itu terjadi pada bisnis Anda”
Siapa yang membutuhkan Asuransi siber?
Semua perusahaan dan organisasi yang menggunakan aplikasi digital memerlukan asuransi ini. Perusahaan, kecil, menengah (UKM), perusahaan besar, organisasi sosial, yayasan Pendidikan, pemerintahan, lembaga lain serta perorangan.
Apakah ada penjelasan yang lengkap dari isi polis asuransi siber/asuransi cyber?
Terus terang tidaknya penjelasan yang bisa anda dapatkan. Tapi sebagai perusahaan broker asuransi dan konsultan asuransi profesional kami ingin membagikan pengetahuan dan penjelasan secara lengkap tentang isi polis asuransi siber untuk Anda.
Kami telah menyiapkan tulisan “Bedah Polis Asuransi Siber/Asuransi Cyber ” di website ini. Agar Anda bisa memahami secara lengkap dan utuh mohon ikuti seluruh judul yang ada di sebelah kanan tulisan ini.
Sebagai sumber tulisan, kami mengambil polis asuransi yang tersedia di website Hiscox: Cyber and Data Policy Wording (PDF)
Jika Anda tertarik dengan tulisan ini segera bagikan kepada rekan-rekan Anda agar mereka juga paham seperti Anda.
Original Wordings
What is not covered
Hack by director or partner 5.
any individual hacker within the definition of you.
Terjemahan Bebas
Diretas oleh Direktur atau mitra 5.
setiap hacker individu dalam definisi Anda. Hack oleh sutradara atau mitra 5.
Untuk penjelasan lebih lanjut dapat dilihat dari referensi di bawah ini. Kami juga sematkan link dari narasumber pada bagian akhir dari tulisan ini.
Penjelasan Tambahan
Referensi
Di balik lonjakan Peretasan oleh orang dalam
Kontributor utama lonjakan pelanggaran data oleh orang dalam termasuk oleh direktur perusahaan adalah pergeseran tingkat retensi di tempat kerja – karyawan saat ini sering berganti pekerjaan dan kurang setia – ditambah dengan fakta bahwa perusahaan belum menyesuaikan protokol perlindungan data mereka dengan realitas baru ini, kata laporan itu.
“Kemungkinannya adalah, orang-orang di organisasi Anda sedang berburu pekerjaan. Pada 2018, 40 juta karyawan di AS berhenti dari pekerjaan mereka, dan jumlahnya terus meningkat,” kata laporan itu. “Tidak seperti generasi pekerja Amerika masa lalu yang tinggal di pekerjaan selama beberapa dekade, hari ini setengah dari angkatan kerja sedang mencari pekerjaan baru.”
Selain itu, konvergensi teknologi telah membuat pencurian orang dalam lebih mudah. “Data lebih portabel dari sebelumnya. Hal-hal seperti daftar pelanggan, desain dan data penggajian dulu di atas kertas. Sekarang mereka digital dan mudah ditransfer. Selain itu, perangkat lunak kolaborasi, seperti Slack dan OneDrive, membuatnya lebih mudah untuk memindahkan file besar.
Kehilangan data dapat disengaja – karyawan yang tidak puas atau berangkat – atau tidak disengaja, melalui penggunaan aplikasi yang tidak sah dan rentan. Alih-alih berpegang pada alat berbagi file dan kolaborasi yang disediakan perusahaan, 1 dari 3 (31%) pembuat keputusan bisnis juga menggunakan platform media sosial, seperti Twitter, Facebook atau LinkedIn; 37% menggunakan WhatsApp; dan 43% menggunakan email pribadi untuk mengirim file dan berkolaborasi dengan rekan-rekan mereka”
Karyawan yang tidak bahagia yang ingin membahayakan dapat membuat “pintu belakang” untuk mengakses data perusahaan yang berharga setelah mereka pergi. “Orang dalam ini biasanya memiliki pengetahuan dan akses yang seharusnya tidak mereka miliki.”
Tips untuk mencegah serangan di dalam
Perusahaan harus lebih sejalan dan mengikut dengan generasi job-hopping saat ini. Sekitar 63% responden mengakui bahwa mereka telah membawa data perusahaan ketika mereka meninggalkan pekerjaan. Organisasi OST memiliki proses untuk mendapatkan lencana dan laptop Anda kembali ketika Anda meninggalkan perusahaan, namun “tidak ada perusahaan yang memiliki proses untuk meninjau data yang Anda ambil bersama Anda.” Ketika kesadaran tumbuh dari ancaman orang dalam, ia mengharapkan organisasi untuk lebih menjaga pintu keluar.
Dewan Direksi, Vendor, dan Pelanggaran Data
Outsourcing layanan seperti teknologi informasi (TI), penggajian, akuntansi, pensiun, dan layanan keuangan lainnya, telah menjadi semakin umum bagi perusahaan saat ini, dan menimbulkan masalah cyber security yang sangat menantang. Misalnya, Laporan Keamanan Global Trustwave 2018 (GSR) menemukan peningkatan yang nyata sebesar 9,5% dalam kompromi yang menargetkan bisnis yang menyediakan layanan TI. Sebaliknya, kompromi penyedia layanan bahkan tidak terdaftar dalam statistik GSR 2016.
Mengingat ledakan mendadak vendor terkait TI ini, dewan direksi harus menyelidiki praktik dan prosedur perusahaan masing-masing sehubungan dengan keamanan siber vendor mereka. Yang paling penting, dewan harus memahami bahwa insiden keamanan data yang melibatkan perusahaan dan vendor mereka adalah “jalan dua arah.” Dengan kata lain, mengingat bahwa penyerang cyber akan sering melintasi jaringan perusahaan dan masuk ke jaringan vendornya atau sebaliknya, serangan cyber sering dapat mengakibatkan perselisihan mengenai kesalahan atas serangan.
Sejalan dengan ini, dewan harus mengkonfirmasi bahwa perusahaan masing-masing mengelola akses vendor dengan hati-hati ke jaringan, data pelanggan, atau informasi sensitif lainnya, dengan menanyakan apakah perusahaan masing-masing:
- Memiliki standar yang tinggi untuk vendor mereka, mengamanatkan misalnya bahwa vendor: telah dalam bisnis untuk jumlah waktu yang wajar; telah memperoleh keamanan data tertentu dan sertifikasi kepatuhan pemerintah (seperti PCI, HIPAA dan SOX); memiliki penilaian risiko dan keamanan pihak ketiga tahunan (yang dapat ditinjau oleh perusahaan); memanfaatkan enkripsi dengan benar; menggunakan metodologi dan teknologi terbaru untuk melindungi dan mengontrol akses ke data dan memastikan bahwa ia memenuhi tren dan peraturan keamanan saat ini; menggunakan autentikasi dua faktor; mempertahankan manajemen kata sandi yang baik; memiliki praktik pelatihan cyber security yang kuat; memiliki rencana respon insiden, rencana pemulihan bencana, latihan serangan cyber table-top dan membatasi masuknya data setiap hari;
- Tempatkan vendor ke dalam kategori risiko yang berbeda berdasarkan sifat dan kuantitas informasi perusahaan yang mereka akses (seperti data identitas pribadi (PII), informasi kartu pembayaran (PCI) atau informasi kesehatan yang dilindungi (PHI)). Misalnya, jika vendor memiliki akses ke PII atau PHI, maka pelanggaran data di vendor akan berdampak pada perusahaan secara substansial. Tetapi jika vendor hanya mengakses informasi yang tersedia untuk umum, pelanggaran data akan memiliki dampak yang jauh lebih sedikit;
- Memetakan aliran data dengan menetapkan kustodian data, menerapkan kontrol sistem, menegakkan kebijakan keamanan dan melaksanakan prosedur penanganan data yang ketat dan audit;
- Meneliti apakah vendor telah mengalami insiden keamanan data di masa lalu dan bagaimana insiden tersebut ditangani;
- Pertimbangkan untuk membangun portal vendor interaktif untuk berbagi pengetahuan dan hotline untuk menjawab dan melaporkan masalah;
- Memastikan bahwa vendor mempertahankan protokol respons insiden yang tepat (misalnya siapa pihak yang bertanggung jawab dalam organisasi untuk memberi tahu kapan vendor mengalami insiden keamanan data? Apa prosedur pemberitahuannya? Apa garis waktu yang diantisipasi?);
- Pertimbangkan kunjungan situs fisik untuk menilai keamanan siber vendor secara langsung;
- Memiliki perjanjian kontraktual dengan vendor yang mencakup hak audit, hak kerja sama dan definisi demarkasi berbasis hubungan lainnya;
- Memastikan bahwa vendor mematuhi semua undang-undang yang berlaku, terutama yang berkaitan dengan privasi data, seperti Peraturan Perlindungan Data Umum (GDPR).
- Melakukan uji tuntas pada vendor untuk menilai praktik keamanan dan privasi mereka sebagai bagian dari proses pengadaan dan sepanjang hubungan vendor yang sedang berlangsung. Ini berarti membangun melalui perjanjian tertulis dan pengawasan yang sedang berlangsung, program manajemen vendor formal yang menilai risiko dan mengidentifikasi potensi masalah cybersecurity sebelum terlibat dalam hubungan bisnis;
- Menyertakan klausul privasi dan keamanan data yang kuat dalam kontrak dengan vendor, termasuk ketentuan pemberitahuan insiden keamanan data yang ketat dan luas;
- Mempertahankan daftar semua vendor dan jenis informasi pribadi dan sensitif terhadap informasi rahasia yang diakses vendor, toko, saham, transfer, dll.;
- Terlibat dalam audit dan penilaian cybersecurity pihak ketiga tahunan;
- Periksa referensi vendor, dan buat prosedur “data out” yang jelas jika perusahaan ingin mengakhiri hubungannya dengan vendor;
- Tinjau tidak hanya seberapa sensitif data akan disimpan, tetapi juga bagaimana hal itu akan ditangani ketika hubungan vendor berakhir (karena hubungan mantan vendor dapat menciptakan risiko yang lebih besar bagi organisasi daripada yang sudah ada); dan
- Buat protokol remediasi praktis dan realistis yang didefinisikan secara kontraktual.
- Jika vendor melakukan pemeliharaan jarak jauh dari jaringan dan perangkat perusahaan, jika terjadi serangan cyber, perusahaan mungkin ingin mengkonfirmasi bahwa ia dapat memperoleh salinan log yang relevan, serta mengakses sistem pihak ketiga untuk memindai ILC.
Bagaimana cara mendapatkan Asuransi Siber/Cyber Insurance?
Asuransi siber/Cyber Insurance adalah asuransi jenis baru. Tidak banyak perusahaan asuransi yang mempunyai produk asuransi ini di Indonesia.
Luas jaminan yang diberikan juga belum banyak yang tahu padahal kini ia menjadi kebutuhan yang sangat penting.
Lalu bagaimana cara mendapatkannya? Untuk mendapatkan jaminan asuransi ini Anda perlu bantuan dan bimbingan dari ahli asuransi. Ahli asuransi yang tepat adalah perusahaan Broker asuransi adalah konsultan asuransi yang berada di pihak Anda.
L&G Insurance Broker adalah perusahaan broker asuransi terkemuka di Indonesia. Untuk semua kebutuhan asuransi Anda hubungi L&G sekarang juga!
Source: