Selamat pagi. Saat konflik AS-Iran berlanjut, bank dan perusahaan menghadapi peningkatan risiko serangan siber dari Iran atau proksinya—tidak hanya pada sistem mereka tapi juga pada vendor dan penyedia layanan yang mendukung operasi keuangan.
Bagi para CFO, ini bukan lagi masalah IT belakang; ini adalah risiko neraca, likuiditas, dan pengungkapan.
“Kami sedang dalam siklus perencanaan tahunan dan pembaruan asuransi, yang membuat ini jendela kritis bagi CFO untuk menilai ulang ketahanan siber vendor dan kecukupan cakupan,” kata Joy Mbanugo, CFO CXApp Inc., sebuah platform pengalaman tempat kerja dan keterlibatan karyawan, kepada saya. “Berinvestasi dalam keamanan siber bukan lagi hal yang baik untuk dimiliki; itu adalah keharusan, setara dengan investasi AI, mengingat lanskap geopolitik tempat kita beroperasi saat ini.”
CXApp memperlakukan risiko siber vendor sebagai risiko perusahaan yang material, mengintegrasikan penilaian ketahanan ke dalam kerangkanya, memperbarui buku pedoman insiden, dan menyelaraskan cakupan asuransi dengan paparan vendor, menurut Mbanugo. “Sangat penting untuk melindungi data sensitif dan mempertahankan kepercayaan pemangku kepentingan, yang berarti beralih dari respons insiden reaktif ke kuantifikasi risiko proaktif dengan ketelitian yang sama yang kami terapkan pada risiko neraca material apa pun,” katanya.
Tapi masalahnya meluas jauh melampaui titik panas geopolitik tunggal mana pun. J. Michael Daniel, presiden dan CEO Cyber Threat Alliance, mengatakan kepada saya bahwa para CFO harus menjaga kewaspadaan terus-menerus dalam keamanan siber terlepas dari momennya. Daniel bergabung dengan CTA pada 2017, setelah menjabat sebagai koordinator keamanan siber Gedung Putih. Sebelum itu, ia menghabiskan 17 tahun di berbagai pemerintahan dalam peran senior di Kantor Manajemen dan Anggaran.
“Lanskap ancaman terus berkembang,” katanya. Lembaga keuangan, karena di situlah uangnya, “akan selalu menjadi sasaran,” ujarnya.
Risiko yang terus-menerus itu, katanya, membutuhkan komunikasi yang lebih jelas di tingkat atas. Daniel membuat perbandingan antara cara seorang CFO berkomunikasi dengan dewan dan cara seharusnya pemimpin keamanan siber.
Dewan tidak tertarik pada setiap detail “bagaimana kami menghitung penyusutan pada empat aset di Indiana?” katanya.
Sebaliknya, mereka ingin gambaran besarnya: “Apakah CFO telah melakukan pekerjaan yang baik dalam mengelola risiko keuangan? Dan dapatkah CFO menjelaskan, dalam bahasa Inggris sederhana, bagaimana mereka mengelola risiko keuangan untuk perusahaan?”
Hal yang sama harusnya berlaku dari perspektif keamanan, kata Daniel. Petugas keamanan utama, CISO, dan CIO harus menjelaskan dengan jelas apa yang mereka lakukan, di mana mereka berinvestasi, bagaimana mereka mentransfer risiko melalui asuransi siber, dan risiko mana yang mereka pilih untuk diterima—dan apakah pendekatan itu berkembang seiring perubahan ancaman.
Namun, bahkan strategi tingkat dewan yang terbaik tidak akan mencegah setiap insiden. Serangan skala besar menjadi perhatian, tetapi begitu juga phising yang menargetkan karyawan dan serangan rekayasa sosial lainnya, yang sering menjadi titik masuk.
“Sebenarnya hal-hal yang biasa kami, profesional keamanan siber, katakan untuk Anda lakukan bukanlah ilmu roket,” katanya. “Ini seperti apa yang nenek Anda katakan: Jika sesuatu terlalu bagus untuk menjadi kenyataan, mungkin memang begitu,” ujarnya.
Penjahat memainkan emosi dan menciptakan urgensi, kata Daniel. Jika sebuah pesan terasa terburu-buru, periksa kembali.
Bagian dari rekomendasi CTA adalah kampanye bernama “Take Nine.” Idenya sederhana: luangkan sembilan detik sebelum Anda merespons, kata Daniel.
Kemudian verifikasi permintaan melalui saluran lain—jika datang melalui email, kirim teks atau telepon; jika melalui teks, kirim email. Jeda dan pemeriksaan silang itu adalah salah satu cara terbaik untuk mengurangi risiko upaya rekayasa sosial berhasil, katanya.
Dalam lingkungan ini, tampaknya CFO yang paling berhasil akan adalah mereka yang memperlakukan keamanan siber sebagai disiplin risiko inti, dan bukan catatan kaki teknis.
Sheryl Estrada
[email protected]
Papan Peringkat
Kenneth (Ken) Sharp ditunjuk sebagai SVP dan CFO L3Harris Technologies (NYSE: LHX), sebuah kontraktor pertahanan, efektif 16 Maret. Sharp, 55, membawa lebih dari 30 tahun kepemimpinan keuangan di bidang pertahanan dan teknologi. Dia menggantikan Ken Bedingfield, yang akan fokus memimpin segmen Missile Solutions sebagai presidennya. Sharp bergabung ke L3Harris dari Peraton Inc., tempat dia menjabat sebagai EVP dan CFO. Sebelumnya, Sharp adalah CFO DXC Technology, dan CFO bisnis Defense Systems Northrop Grumman.
Brad Hill ditunjuk sebagai CFO dan EVP transformasi di Red Lobster, merek restoran seafood. Hill akan memimpin organisasi keuangan Red Lobster, sekaligus memimpin upaya strategis real estate perusahaan. Dia sebelumnya memegang banyak peran eksekutif di P.F. Chang’s. Hill menggantikan Bob Baker, yang telah meninggalkan perusahaan.
Kesepakatan Besar
Klien ETRADE dari Morgan Stanley adalah pembeli bersih di lima dari 11 sektor pada bulan Februari, dengan sebagian besar pembelian terjadi di area pasar yang terjual amid kekhawatiran gangguan AI, menurut perusahaan tersebut.
Sektor dengan pembelian bersih terbanyak adalah keuangan (+6,33%), layanan komunikasi (+2,39%), dan teknologi (+2,03%).
“Sektor keuangan adalah performa terlemah S&P 500 bulan lalu, dengan saham pialang dan asuransi termasuk di antara kelompok yang mengalami penjualan terkait AI, setidaknya untuk sementara,” kata Chris Larkin, direktur pelaksana perdagangan dan investasi, dalam sebuah pernyataan. “Klien juga tampaknya membeli saat penurunan harga di beberapa pemimpin teknologi yang mengalami kemunduran serupa.”
Sementara itu, sektor dengan penjualan bersih tertinggi adalah barang konsumsi pokok (-8,01%), energi (-7,63%), dan utilitas (-3,96%)—“kemungkinan kasus menjual saat kuat, karena semuanya termasuk di antara performa terkuat bulan ini,” ujarnya.
Atas kebaikan ETRADE
Menyelami Lebih Dalam
“Melaporkan Risiko Keamanan Siber kepada Dewan Direksi” adalah makalah putih oleh ISACA, asosiasi profesional global yang berfokus pada tata kelola IT, risiko, keamanan, audit, dan privasi. Makalah ini mencakup topik utama seperti risiko siber sebagai risiko strategis, program pengawasan, masalah hukum dan regulasi, peran intelijen ancaman, serta pelaporan dan pendidikan untuk dewan.
Terdengar
“Eksekutif sekarang menghadapi ancaman sintetis dari dua arah: kemiripan mereka yang dikloning untuk mengotorisasi transfer penipuan atau menyebabkan kerugian reputasi, dan suara yang dihasilkan AI yang menyamar sebagai pejabat pemerintah, anggota dewan, dan mitra bisnis yang digunakan untuk memanipulasi mereka.”
—James Richardson, direktur pelaksana senior di firma hukum global Dentons, menulis dalam artikel opini Fortune berjudul, “Dewan tidak siap untuk usia AI: Apa yang terjadi ketika CEO Anda didalamfake?”