Belajar dari Yahoo

Manajemen-ti.com –Salah satu sisi positif dari sebuah bencana adalah adanya pelajaran yang dapat diambil darinya sedemikian sehingga dapat mencegah berulangnya kejadian serupa di kemudian hari. Pada artikel ini adalah apa yang dapat kita ambil sebagai hikmah dari bencana luar biasa yang dialami oleh Yahoo pada 2016 yang lalu.

Untuk menyegarkan ingatan kita tentang bencana besar yang dialami oleh Yahoo tersebut serta respon perusahaan terhadapnya dalam poin-poin berikut:

  • Pada September 2016, Yahoo mengatakan adanya pencurian data 500 juta akun pengguna Yahoo pada 2014 yang berarti kejadiannya sudah dua tahun berselang. Yahoo mengungkapkan adanya keterlibatan negara pada insisden tersebut.
  • Pada Desember 2016, perusahaan ini juga membuka telah terjadi peretasan terhadap 1 milyar akun pada 2013, yang 3 tahun setelah kejadian.
  • Pada bulan berikutnya:
    • Kongres Amerika memberikan peringatan pada Yahoo karena sangat lambatnya mereka melaporkan kejadian peretasan yang sangat besar itu,
    • CEO Marissa Mayer menghukum dirinya dengan tidak mengambil bonus tahunannya,
    • Kepala staf ahli perusahaan mengundurkan diri,
    • Kesepakatan dengan Verizon senilai 4,83 milyar dollar ditunda dan nilainya merosot sebesar 350 juta dollar,
    • Departemen kehakiman Amerika Serikat menuduh lembaga intelijen Rusia berkonspirasi dengan para peretas untuk melancarkan serangan tersebut.

(Baca juga: Meyer Terpaksa Lupakan Milyaran Dolar Bonus Tahunannya)

Sebuah bencana biasanya terjadi akibat kombinasi dari beberapa sebab yang akhirnya tiba-tiba kemudian meledak menjadi sebuah bencana besar. Salah satu jebakan yang sering menyesatkan ketika terjadi sebuah bencana adalah dengan terlalu menyalahkan faktor eksternal dibanding internal. Seperti dalam kasus ini adalah ketika banyak pihak di internal perusahaan menuding para peretas Rusia sebagai biang bencana yang mereka alami ini. Ini merupakan kesalahan langkah yang justru melemahkan dan akan mengakibatkan kondisi akan semakin buruk karena tidak mendorong untuk memperbaiki diri.

Kalau mereka melihat ke dalam, maka akan banyak pelajaran yang akan didapat untuk perbaikan perusahaan ke depan. Diantara pelajaran tersebut adalah sebagaimana yang disampaikan oleh Jacob Oicott yang kiranya juga masih relevan dan berguna untuk perusahaan manapun.

Pertama, keteribatan CEO adalah sangat penting. Walaupun di era sekarang ini kesadaran mengenai risiko keamanan cyber sudah cukup baik, namun sayangnya CEO dan para pemimpin senior lainnya seringkali justru angkat tangan terkait masalah ini. Mereka mendelegasikan tanggung-jawab penting ini ke pejabat tertentu yang ditunjuk sebagai pengelola keamanan (misal: CISO), dan mengasumsikan mereka semua telah bekerja dengan baik.

Semua perusahaan, apapun industrinya, haruslah memahami bahwa keamanan cyber harus dimulai dari atas. Para CEO harus secara aktif terlibat dalam strategi keamanan, memahami bagaimana mengelola risiko, menyediakan sumber daya yang dibutuhkan oleh tim security, dan yang paling penting adalah merasa bertanggung-jawab atas kinerjanya. Musibah yang dialami Yahoo seharusnya dapat menjadi bukti penting tentang pentingnya keterlibatan eksekutif puncak pada keamanan cyber.

Kedua, Respon terhadap krisis yang terjadi perlu direncanakan secara komprehensif. Dalam hal ini Yahoo terlihat kurang peduli terhadap pentingnya perencanaan penanganan krisis, sehingga mereka terlihat tidak siap merespon insiden yang mereka alami.

Kita lihat misalnya bagaimana lambatnya Yahoo dalam merespon, dan ketika melakukan respon justru menimbulkan banyak pertanyaan susulan. Semua ini menunjukkan lemahnya perencanaan yang disiapkan oleh Yahoo untuk menghadapi hal-hal seperti ini.

Seandainya memang benar bahwa Yahoo terpaksa melakukan ini karena adanya tekanan dari FBI, tapi tetap saja harusnya mereka juga memiliki tanggung-jawab terhadap para pelanggan, pemegang saham, dan publik secara luas.

Perusahaan lain harus belajar dari kesalahan yang dilakukan oleh Yahoo ini. Salah satu bagian penting dari rencana penanganan krisis adalah strategi komunikasi dengan para pihak terkait ketika sebuah krisis terjadi. Strategi komunikasi yang tepat dapat membangkitkan kepercayaan dari para pelanggan, karyawan, pemegang saham, media, dan para pihak terkait lainnya. Antara lain dengan komunikasi yang jelas, cepat, dan transparan menyusul sebuah insiden yang terjadi.

Ketiga, bahwa sebelum melakukan merger dan akuisisi diperlukan kajian yang mendalam dan komprehensif. Kasus Yahoo ini menjadi peringatan bagi para investor akan pentingnya melakukan penelitian terhadap profil keamanan cyber dari sebuah perusahaan sebelum mengambil keputusan investasi.

Kejadian yang dialami oleh Yahoo tersebut telah menyebabkan akuisisi yang dilakukan Verizon pada Yahoo menjadi mengambang. Akibat kejadian tersebut, nilai perusahaan jadi terkoreksi sebesar 350 juta dollar dari penawaran sebelumnya. Ini merupakan bukti nyata mengenai pentingnya mengevaluasi profil cybersecurity sebuah perusahaan disamping evaluasi terhadap aspek finansial, kekayaan intelektual, dan item-item yang biasa digunakan dalam due dillgence sebuah investasi.

Lebih jauh, profil keamanan cyber ini tidak hanya dapat menekan valuasi perusahaan atau bahkan dapat menyebabkan mentahnya kesepakatan yang hampir dibuat. Tapi juga sebaliknya, bahwa perusahaan yang memiliki profil keamanan cyber yang baik akan dapat menjadi daya tarik tersendiri bagi investor.

Keempat, perlunya penguatan pada pengawasan Dewan Direksi. Dewan direksi memang tidak perlu turun tangan dalam pengelolaan cyber security sehari-hari. Namun mereka perlu sadar bahwa mereka punya akuntabilitas dan perlu memiliki mekanisme komunikasi yang baik dengan para eksekutif perusahaan dalam pengelolaan risiko-risiko cyber. Kelemahan umum yang jamak terjadi adalah kurangnya kompetensi dewan direksi terkait dengan keamanan cyber ini. Walaupun sebenarnya adalah hal yang wajar karena pada umumnya orang-orang yang duduk pada tingkatan dewan direksi adalah orang-orang generalis. Sehingga seringkali mereka membutuhkan bantuan staf ahli bidang keuangan, misalnya, untuk membantu mereka memonitor kinerja keuangan. Mereka terkadang butuh bantuan ahli-ahli spesifik tertentu untuk memonitor kinerja aspek yang vital bagi perusahaan. Lalu apakah kinerja keamanan cyber kurang vital untuk dimonitor kinerjanya oleh Dewan Direksi? Apakah kurang cukup bukti yang begitu berlimpah bagaimana faktor keamanan cyber ini berdampak signifikan terhadap reputasi bahkan kelangsungan perusahaan? Lalu mengapa tidak dapat setidaknya diperlakukan sama dengan hal-hal vital yang lain?

Kita berharap bahwa tragedi yang menimpa Yahoo –yang notabene adalah salah satu kejadian peretasan terburuk sepanjang sejarah hingga saat ini—dapat membawa berkah bagi duna cyber yang lebih aman dan konstruktif bagi dunia.[af/darkreading/picture:nst]