Cybersecurity pada Riset Akuntansi

ARTICLES

Ketergantungan yang semakin meningkat dari perusahaan baik publik maupun perusahaan swasta terhadap teknologi informasi dan jaringan untuk sistem manajemen keuangan mereka, semakin meningkatkan kerentanan mereka terhadap ancaman siber. Perlindungan akan aset informasi telah menjadi agenda utama bagi para akuntan dan manajer. Keamanan Siber menjadi salah satu tantangan pengelolaan risiko yang paling signifikan yang dihadapi oleh setiap jenis organisasi dalam waktu singkat. Saat ini, audit internal menghadapi kebutuhan untuk beradaptasi mengatasi risiko kritis yang berkaitan dengan keamanan siber. Untuk menghindari ancaman siber, setiap organisasi harus menerapkan program keamanan siber atau strategi keamanan siber. Selain itu, pada level international, banyak negara yang secara rutin mengidentifikasi badan pemerintah yang bertanggung jawab untuk menetapkan standar minimum dan merespons insiden siber.

Tema-tema penelitian terkait keamanan siber, diidentifikasi sbb: Cybersecurity dan Information Sharing, Cybersecurity Investment, internal auditing and controls related to cybersecurity, dan disclosure of cybersecurity activities.

Cybersecurity dan Information Sharing

Berbagi informasi mengenai keamanan cyber menjadi sangat penting bagi akuntansi dan kebijakan publik. Berbagi informasi tentang ancaman dan pelanggaran keamanan komputer dapat mengurangi biaya keseluruhan untuk mencapai tingkat keamanan cyber tertentu. Kerentanan yang terkait dengan serangan cyber sering dieksploitasi oleh berbagai ancaman: mulai dari peretas, pihak internal, penjahat, teroris, atau mungkin kombinasi dari semuanya. Untuk menghindari serangan cyber, setiap organisasi harus menerapkan program keamanan cyber. Secara umum diasumsikan bahwa elemen kunci yang diperlukan untuk meningkatkan keamanan cyber adalah berbagi informasi, karena memiliki informasi tentang ancaman dan insiden yang dialami oleh orang lain dapat membantu sebuah organisasi memahami risiko yang dihadapi dan menentukan langkah-langkah pencegahan yang harus diimplementasikan. Informasi tanpa diragukan lagi telah menjadi salah satu aset paling berharga bagi organisasi, dan ketergantungannya terhadapnya terus meningkat. Pada saat yang sama, frekuensi dan keganasan serangan cyber juga semakin meningkat dan menimbulkan ancaman besar bagi lingkungan bisnis.

Oleh karena itu organisasi harus mempertahankan visibilitas terhadap ancaman yang muncul dan berkembang, serta mempertahankan diri dari berbagai jenis lawan dengan berbagai tingkat motivasi, kemampuan, dan akses ke sumber daya. Lawan-lawan ini biasanya bervariasi mulai dari peretas amatir hingga tim yang terorganisir dengan baik dan sangat mampu yang memiliki akses langsung ke kerentanan dan eksploitasi. Dampak dari serangan cyber yang canggih, dinamis, dan otomatis dapat sangat merusak.

Kalangan bisnis telah mengakui perlunya berbagi Informasi Ancaman Cyber (CTI) secara tepat waktu dan dapat diandalkan untuk meningkatkan kemampuan dalam mengidentifikasi aktivitas atau sumber-sumber jahat dan mitigasi serangan dengan tepat waktu, sebelum merusak aset organisasi (Rantos, 2020).

Cybersecurity Investments

Berapa banyak yang harus diinvestasikan dalam kegiatan terkait keamanan cyber? Gordon dan Loeb enyajikan sebuah model untuk menjawab pertanyaan penelitian ini, dan model ini telah mendapatkan perhatian yang cukup besar dalam literatur, yang dikenal sebagai Model Gordon-Loeb (Lawrence A. Gordon, Martin P. Loeb, Lei Zhou (2016)). Model Gordon-Loeb ini berlaku untuk investasi yang terkait dengan berbagai tujuan keamanan informasi, misalnya melindungi kerahasiaan, ketersediaan, dan integritas informasi.

Model Gordon-Loeb dapat ditafsirkan sebagai saran bahwa jumlah yang harus dihabiskan oleh sebuah perusahaan untuk melindungi kumpulan informasi pada umumnya hanya sebagian kecil dari kemungkinan kerugian yang bisa terjadi. Manajer yang mengalokasikan anggaran keamanan informasi seharusnya lebih fokus pada informasi yang memiliki kerentanan keamanan yang tinggi.

Investasi dalam keamanan cyber adalah langkah penting bagi organisasi untuk melindungi sistem, data, dan aset mereka dari serangan cyber. Dalam era di mana serangan cyber semakin kompleks dan sering terjadi, investasi dalam keamanan cyber dapat membantu organisasi mengurangi risiko kehilangan data sensitif, kerugian finansial, dan kerusakan reputasi.

Internal auditing and controls related to cybersecurity.

Arus penelitian ketiga berfokus pada auditing internal, pengendalian, dan keamanan siber. Adanya dampak dari konvergensi teknologi pada mekanisme pengendalian internal suatu perusahaan, maka penting bagi seorang auditor untuk mengetahui ancaman keamanan yang dihadapi oleh sistem informasi keuangan atau bahkan seluruh organisasi. Perusahaan harus mengembangkan desain sistem keamanan dan kerentanan organisasi dalam konteks konvergensi teknologi komunikasi dan jaringan dengan kompleksitas TI dalam proses bisnis. Auditor harus menyadari manajemen risiko teknologi dan dampaknya terhadap pengendalian internal perusahaan dan kerentanan organisasi.

Perusahaan beroperasi dalam lingkungan dinamis yang terus berubah dan di mana perusahaan terancam oleh berbagai risiko. Salah satu risiko yang sangat penting adalah keamanan cyber. Auditor internal, melalui peran mereka yang kompleks, dapat berkontribusi dalam mengurangi pelanggaran sistem informasi. Berbagai variabel dianalisis untuk melihat pengaruhnya terhadap keamanan cyber dan pada saat yang sama relevan bagi audit internal. Temuan dari survei mengidentifikasi faktor-faktor kunci yang mempengaruhi keamanan cyber, yaitu termasuk tingkat dan sifat kerja sama antara staf TI dan auditor, serta pelatihan mengenai teknologi informasi (Lois et al 2021).

Disamping itu model eksploratori menjelaskan faktor-faktor yang memengaruhi sifat hubungan antara IAF (fungsi audit internal) dan fungsi keamanan informasi. Beberapa faktor tersebut adalah tingkat pengetahuan TI auditor internal, keterampilan komunikasi auditor internal, dan sikap auditor internal. Hubungan antara fungsi keamanan informasi dan IAF (fungsi audit internal) dari sudut pandang para profesional keamanan informasi telah dilakukan melalui survei terhadap persepsi para profesional keamanan informasi. Persepsi para profesional keamanan informasi tentang tingkat keahlian teknis yang dimiliki oleh auditor internal dan sejauh mana audit internal meninjau keamanan informasi berhubungan secara positif dengan penilaian mereka tentang kualitas hubungan antara kedua fungsi tersebut.

Keamanan cyber memengaruhi kinerja suatu organisasi, karena perkiraan biaya rata-rata serangan cyber sangat tinggi. Terkait dengan kompetensi auditor dalam area keamanan cyber yang sangat teknis ini menimbulkan pertanyaan seperti, apakah auditor saat ini dilatih untuk terlibat dalam masalah keamanan cyber? Oleh karena itu, auditor mungkin memiliki pelatihan dalam bidang lain yang mungkin tumpang tindih dengan keamanan cyber. Meskipun beberapa perusahaan memberikan keterampilan spesialisasi audit TI kepada karyawan mereka, cakupan yang lebih luas dari pelatihan akuntan menghambat perkembangan keterampilan ini. Auditor memiliki peranan penting dalam hal mengintegrasikan informasi risiko keuangan dan cyber ke dalam bentuk jaminan keamanan yang dapat diberikan kepada pemegang saham. Dengan demikian dibutuhkan penelitian substantif tentang bagaimana mengintegrasikan isu-isu yang umumnya bersifat kualitatif tentang risiko paparan cyber ke dalam model audit tradisional (Elina Haapamäki, Jukka Sihvonen, 2019).

Disclosure of cybersecurity activities

Keamanan cyber telah menarik banyak perhatian dalam sepuluh tahun terakhir. Baik masyarakat umum maupun dunia bisnis khawatir tentang meningkatnya kejahatan cyber yang mengungkapkan informasi pribadi sensitif, menyebabkan gangguan bisnis, atau mencuri rahasia perdagangan, terutama setelah serangkaian pelanggaran data yang terkenal seperti yang terjadi di Equifax, Sony, dan Target. Karena potensi dampaknya pada nilai perusahaan dan operasional, keamanan cyber menjadi salah satu prioritas utama bagi dewan direksi dan eksekutif perusahaan (Li et.al 2018).

Untuk merespons ancaman cyber yang semakin meningkat, Securities and Exchange Commission (SEC) mengadakan diskusi panel untuk membahas panorama keamanan cyber dan masalah pengungkapan keamanan cyber (SEC, 2014). Pengujian mengenai kebermanfaatan faktor risiko terkait keamanan cyber yang diungkapkan dalam laporan 10-K telah dilakukan. Keberadaan faktor risiko dalam periode sebelum panduan dan panjang faktor risiko tersebut berhubungan dengan insiden keamanan cyber yang dilaporkan di masa depan. Hubungan antara keberadaan pengungkapan risiko keamanan cyber dan insiden keamanan cyber yang dilaporkan kemudian menjadi tidak signifikan setelah diterbitkannya panduan pengungkapan keamanan cyber oleh SEC. Hal tersebut, secara umum, mendukung keputusan SEC dalam menekankan pengungkapan risiko keamanan cyber.

Pengungkapan sukarela tentang keamanan cyber dalam laporan tahunan tentang keamanan cyber memungkinkan sebuah perusahaan memberikan sinyal kepada pasar bahwa “perusahaan secara aktif terlibat dalam mencegah, mendeteksi, dan memperbaiki pelanggaran keamanan.” Jumlah organisasi yang secara sukarela mengungkapkan informasi terkait keamanan cyber semakin meningkat. Pengungkapan sukarela terkait keamanan cyber berkaitan secara positif dan signifikan dengan harga saham. Pengungkapan sukarela terkait tindakan keamanan proaktif oleh sebuah perusahaan memiliki dampak terbesar pada pasar perusahaan tersebut. Perusahaan yang mengambil tindakan proaktif memiliki insentif untuk secara jujur mengungkapkan sikap mereka terkait keamanan informasi (Henry R.K. Skeoch, 2022).

Penelitian mengenai pengungkapan informasi keamanan cyber telah meningkat dalam beberapa tahun terakhir, dan penelitian mendatang sebaiknya menyelidiki bagaimana validasi informasi yang diungkapkan dilakukan dan peran apa yang dimainkan oleh auditor dalam manajemen risiko keamanan cyber. Para peneliti dapat mengkaji bagaimana pelatihan dan kompetensi auditor terkait dengan keamanan cyber. Selanjutnya, penelitian mendatang dapat menggunakan metode kualitatif, karena banyak pertanyaan penelitian yang disarankan dimulai dengan istilah “bagaimana”. Teknik studi kualitatif adalah yang paling sesuai untuk penelitian tentang praktik kehidupan nyata di mana tujuannya adalah untuk memahami “bagaimana” dan “mengapa” (Yapa et al., 2017).

Elina Haapamäki, Jukka Sihvonen, 2019.Cybersecurity in accounting research, Managerial Auditing Journal Vol. 34 No. 7, 2019 pp. 808-834 Emerald Publishing Limited 0268-6902 DOI 10.1108/MAJ-09-2018-2004.

Henry R.K. Skeoch, Expanding the Gordon-Loeb model to cyber-insurance, Computers & Security, Volume 112, 2022, 102533, ISSN 0167-4048, https://doi.org/10.1016/j.cose.2021.102533.

Lawrence A. Gordon, Martin P. Loeb, Lei Zhou, Investing in Cybersecurity: Insights from the Gordon-Loeb Model, Journal of Information Security
Vol.07 No.02(2016), Article ID:64892,11 pages
10.4236/jis.2016.72004

Liu et al., 2022, Cyber security threats: A never-ending challenge for e-commerce Front. Psychol., 19 October 2022. Sec. Organizational Psychology. Volume 13 – 2022 | https://doi.org/10.3389/fpsyg.2022.927398

Petros Lois , George Drogalas, Alkiviadis Karagiorgos, Alkis Thrassou and Demetris Vrontis (2021), Internal auditing and cyber security: audit role and procedural contribution, International Journal of Managerial and Financial Accounting Vol. 13, No. 1, https://doi.org/10.1504/IJMFA.2021.116207.

Rantos K, Spyros A, Papanikolaou A, Kritsas A, Ilioudis C, Katos V. Interoperability Challenges in the Cybersecurity Information Sharing Ecosystem. Computers. 2020; 9(1):18. https://doi.org/10.3390/computers9010018

Tawei Wang, Ju-Chun Yen, Kyunghee Yoon, 2022, Responses to SEC comment letters on cybersecurity disclosures: An exploratory study, International Journal of Accounting Information Systems, Volume 46, 2022, 100567,ISSN 1467-0895, https://doi.org/10.1016/j.accinf.2022.100567.

Wang, Y., Kannan, K. and Ulmer, J. (2013), “The association between the disclosure and the realization of information security risk factors”, Information Systems Research, Vol. 24 No. 2, pp. 201-218.

Yapa, P.W.S., Ukwatte Jalathge, S.L. and Siriwardhane, P. (2017), “The professionalization of auditing in less developed countries: the case of Sri Lanka”, Managerial Auditing Journal, Vol. 32 Nos 4/5, pp. 500-523

<a href=”https://www.freepik.com/free-photo/3d-internet-secuirty-badge_38007814.htm#query=cybersecurity&position=1&from_view=search&track=sph”>Image by kjpargeter</a> on Freepik