Ketika Digital Operational Resilience Act (DORA) diadopsi oleh Uni Eropa, hal ini menandakan pergeseran mendasar tentang bagaimana lembaga keuangan harus melakukan pendekatan terhadap keamanan siber, manajemen risiko, dan kelangsungan operasional. Untuk pertama kalinya, regulator tidak hanya menyebutkan keamanan identitas secara sepintas - mereka menyematkannya secara langsung ke dalam struktur kepatuhan.
Evolusi ini mengakui kenyataan yang telah diketahui oleh banyak profesional keamanan selama bertahun-tahun: bahwa identitas merupakan fondasi keamanan digital dan penopang ketahanan operasional. Mari kita lihat apa saja yang berubah, dampak DORA terhadap keamanan identitas, tantangan yang dihadapi lembaga keuangan, dan bagaimana CISO harus mempersiapkan diri untuk memastikan bahwa organisasi mereka memenuhi persyaratan DORA pada tenggat waktu 2025.
Di bawah DORA, setiap operasi digital dalam lembaga keuangan - mulai dari pembayaran, penerimaan pelanggan, hingga sistem perdagangan - harus aman, tangguh, dan terus tersedia. Dan hal ini menempatkan keamanan identitas sebagai hal yang utama. Karena jika Anda tidak dapat memverifikasi siapa yang mengakses apa, kapan, dan dari mana, strategi identitas Anda akan gagal.
Dalam realitas peraturan DORA yang baru, identitas tidak lagi menjadi fungsi TI back-office. Sekarang ini merupakan keharusan strategis yang dimiliki oleh para pemimpin risiko, petugas kepatuhan, dan eksekutif bisnis.
Beberapa pasal dalam DORA secara langsung atau implisit menuntut kemampuan manajemen identitas dan akses (IAM) yang kuat. Sebagai contoh:
- Kontrol akses dan tata kelola: DORA mengamanatkan agar institusi mengelola hak akses pengguna secara real time dan melakukan peninjauan akses secara berkala untuk mencegah terjadinya pergeseran hak dan akses yang tidak sah.
- Persyaratan otentikasi: Metode autentikasi yang kuat, seperti autentikasi multi-faktor (MFA), diharapkan dapat melindungi sistem dari akses yang tidak sah.
- Kesinambungan operasional: Institusi harus memastikan fungsi-fungsi penting tetap tersedia selama insiden, pemadaman, atau gangguan siber. Hal ini termasuk mempertahankan layanan identitas dalam keadaan darurat.
- Pemantauan dan deteksi anomali: Organisasi harus mendeteksi, merespons, dan pulih dari insiden cyber dengan cepat. Anomali terkait identitas, seperti pola akses yang tidak biasa, merupakan indikator penting.
Persyaratan ini menggarisbawahi perlunya program keamanan identitas yang modern dan sadar risiko.
Tahun 2025 menandai tahun di mana kepatuhan memasuki tahap penegakan, yang berarti organisasi yang tidak mematuhi DORA akan dikenakan denda sebesar 2% dari rata-rata omset global atau 1% dari rata-rata omset harian dengan tambahan denda harian yang dikenakan kepada organisasi yang tidak patuh hingga mencapai kepatuhan. Pertaruhannya sekarang tinggi.
Meskipun investasi dalam bidang keamanan telah meningkat, banyak lembaga keuangan masih bergelut dengan kesenjangan terkait identitas dalam fungsi keamanan dan operasional mereka, termasuk:
- Sistem IAM lama yang tidak memiliki kemampuan beradaptasi dan visibilitas
- Alat bantu identitas yang terkotak-kotak di seluruh lingkungan lokal dan cloud
- Metode autentikasi yang lemah yang rentan terhadap phishing
- Proses tata kelola manual yang membuat pelaporan kepatuhan menjadi lambat dan rentan terhadap kesalahan
Tantangan-tantangan ini membuat organisasi terekspos - tidak hanya pada penyerang, tetapi juga pada pengawasan peraturan dan denda kepatuhan.
CISO di sektor keuangan harus memimpin dalam menyelaraskan strategi identitas dengan DORA. Itu artinya:
- Mengadopsi akses berbasis risiko model yang menyesuaikan kontrol berdasarkan konteks dan perilaku
- Memastikan kesinambungan bisnis dengan failover hibrida untuk autentikasi dan akses
- Memperkuat tata kelola dengan penyediaan, tinjauan, dan sertifikasi akses otomatis
- Merangkul otentikasi tanpa kata sandi untuk membasmi vektor serangan yang umum
Di RSA, kami membantu lembaga keuangan mengoperasionalkan identitas sebagai pilar ketahanan. Platform identitas kami yang mengutamakan keamanan, RSA ID Plus, dibangun untuk lingkungan yang diatur seperti keuangan.
- RSA Risiko AI menganalisis sinyal perilaku dan kontekstual untuk menegakkan kebijakan akses adaptif
- Kunci Ponsel RSA melindungi akses pada perangkat yang tidak dikelola atau dikompromikan
- RSA iShield Seri Kunci 2 autentikator memungkinkan autentikasi FIDO dan OTP yang tahan phishing
- Tata Kelola & Siklus Hidup RSA mengotomatiskan tata kelola akses dan alur kerja kepatuhan
- Failover Hibrida RSA memastikan otentikasi tanpa gangguan selama pemadaman listrik
Bersama-sama, solusi ini memberikan kontrol yang diperlukan untuk menyelaraskan dengan DORA - dan memperkuat organisasi Anda lebih dari sekadar kepatuhan.
DORA menandai titik balik identitas dalam layanan keuangan. DORA meningkatkan IAM dari masalah teknis menjadi mandat peraturan - dan pendorong strategis ketahanan operasional.
Lembaga keuangan yang menerapkan strategi keamanan yang mengutamakan identitas tidak hanya akan memenuhi persyaratan DORA, tetapi juga mendapatkan keunggulan kompetitif dalam hal keamanan, ketangkasan, dan kepercayaan pelanggan. Sekaranglah waktunya untuk memikirkan kembali postur identitas Anda sebelum penerapan DORA dimulai.
