DIMENSIONS OF

CYBERSECURITY
PERFORMANCE
AND CRISIS
RESPONSE IN
CRITICAL
INFRASTRUCTURE
ORGANISATIONS:
AN INTELLECTUAL
CAPITAL
PERSPECTIVE

ALEXEIS GARCIA-PEREZ, MARK PAUL

SALLOS AND PATTANAPONG TIWASING
JOURNAL OF INTELLECTUAL CAPITAL
(2021)
INTRODUCTION

 Perkembangan teknologi yang terhubung ke internet: organisasi harus menyeimbangkan usaha untuk mengadopsi
teknologi dg resiko digitalisasi (Alcaraz and Zeadally, 2015) utamanya utk organisasi keamanan, Kesehatan
yg menjamin kehidupan negara
 Organisasi harus berupaya utk membangun sebuah system “smart” aksesibilitas, efisiensi, dan memperluas
fungsionalitas
 Perusahaan harus antisipasi dampak penyalahgunaan dan kegagalan teknologi cyber security threat
to an organisation’s intellectual capital, its sustainability and its competitive performance (Renaud et al., 2019).
 Intelectual capital pelatihan tentang cyber security kpd karyawan (2019)
 Yang memicu eksekutif & manajer senior utk berinvestasi ke dalam intellectual capital adalah spy perusahaan
mampu untuk 1) bertindak dengan cepat dan efektif terhadap insiden dunia maya dan (2) secara efektif beradaptasi
dengan peningkatan aktivitas di ruang digital, di mana penjahat dunia maya melakukan aktivitas jahat yang
berpotensi memengaruhi operasi perusahaan
CYBER RISKS AND CRITICAL INFRASTRUCTURE
ORGANISATIONS

 Resiko cyber security penting utk memahami secara kritis bagaimana memandang, mengatur, dan mengelola risiko
dunia maya hubungan antara biaya pengembangan modal intelektual organisasi dan pemulihan dari insiden cyber
security (biaya modal yang sebenarnya)
 Covid 19 resiko cyber systemic penundaan, penolakan, kerusakan, gangguan, atau kerugian yang signifikan
layanan terpengaruh ke dalam komponen ekosistem terkait (secara logis dan/atau geografis) efek
merugikan yang signifikan terhadap kesehatan atau keselamatan publik, keamanan ekonomi atau keamanan nasional
 Bagaimana organisasi (anggota dewan manajemen ) infrastruktur kritis merespons perubahan iklim risiko dan menilai
indikator utama kinerja cyber security mereka terutama pada situasi pandemic COVID-19? - ketika investasi dalam
modal Intelektual (pelatihan keamanan dunia maya) mungkin tidak diprioritaskan daripada masalah yang lebih
mendesak
 Asumis: (1) pandemic COVID-19 telah memperburuk iklim risiko dunia maya, dan (2) diperlukan pemahaman yang
lebih baik tentang bagaimana organisasi merespons peningkatan potensi dan dampak serangan cyber.
THEORY DEVELOPMENT
 Pandemi COVID-19 telah memperburuk iklim risiko dunia maya (Slade, 2021) di luar dampak sosial ekonomi yang
lebih luas (Nicoladkk.,2020).
 National Institute of Standards and Technology (NIST), International Standards Organization and European Network and
Information Security Agency, Colorossi (2015, p. 507) kerentanan cyber sebagai “. . .cacat, kelemahan, atau kurangnya
kontrol keamanan terhadap perangkat keras, perangkat lunak, atau proses sistem yang mengekspos sistem untuk
dikompromikan;
 Jamilovdkk. (2021) kerentanan dunia maya meningkat secara signifikan pada tahun 2020 karena WFH
menyebabkan peningkatan besar dalam penggunaan perangkat lunak dapat meningkatkan insiden siber
idiosinkratik dan agregat
 Bagiamana organisasi infrastruktur kritis merespon resiko cyber security? Memiliki kepentingan strategis
yang esensial bagi negara-bangsa dan ekonomi mereka (Alcaraz dan Zeadally, 2015) menggambarkan
kemungkinan dampak insiden potensial dalam pengaturan sosial ekonomi utama
 Dengan mengikuti hubungan antara model indikator/konstruksi cyber securityr dan indikator respons
organisasi dalam situasi krisis, peneliti mengidentifikasi faktor pendorong investasi organisasi infrastruktur
yang penting. Lebih khusus lagi, pendekatan ini didasarkan pada eksplorasi hubungan antara kinerja cyber
security yang dirasakan, risiko siber yang dirasakan, dan perubahan dalam investasi cyber security sebagai
akibat dari krisis
 THEORETICAL MODEL AND HYPOTHESES DEVELOPMENT
 Pengembangan cyber security yang efektif dalam organisasi infrastruktur kritis dapat sangat bervariasi berdasarkan
ukuran, area operasi, ketergantungan teknologi dan model bisnis, aset, konteks, dan saling ketergantungan dengan
pemangku kepentingan berisiko tinggi lainnya.
 Model akan menggunakan dua konstruksi denominator umum yaitu persepsi risiko manajer senior dan pola investasi.
Meskipun sederhana, komponen respons ini memungkinkan pelacakan efek dari berbagai indikator cyber security
(misalnya kepatuhan terhadap kebijakan, kecukupan anggaran fungsional, mekanisme komunikasi dan kemitraan
yang efektif, dll.)
 Dalam hal ini, focus, capability, resilience, preparation dianggap sebagai indikator kinerja cyber security utama yang
berkontribusi pada perspektif holistik cyber security organisasi.
HYPOTHESIS CONTINUE….
 H1: The Focus–Investment interdependencies

Penyediaan elemen dasar cyber security oleh organisasi infrastruktur penting [Focus] berkorelasi positif dengan
perubahan dalam investasi cyber security [Invest] menyusul perubahan iklim risiko.
 H2: The Capability–Investment interdependencies

Indikator kapabilitas/praktik terbaik cyber security tingkat tinggi dalam organisasi infrastruktur penting [Capability]
berkorelasi dengan pergeseran dalam investasi cyber security [Invest] menyusul perubahan iklim risiko.
 H3: The Resilience–Investment interdependencies

Indikator ketahanan siber dalam organisasi infrastruktur kritis [resilience] dikaitkan dengan pergeseran dalam
investasi cyber security [Invest] menyusul perubahan iklim risiko.
 H4: The Intellectual Capital–Investment interdependencies

Pelatihan dan upaya persiapan cyber security organisasi infrastruktur penting untuk staf operasional dan eksekutif
[Preparation] terkait dengan pergeseran investasi cyber security [invest] menyusul perubahan iklim risiko.
 H5: The Risk–Investment interdependencies

Persepsi manajer senior dan eksekutif tentang peningkatan iklim risiko dunia maya [RisK] dikaitkan dengan
perubahan dalam investasi keamanan dunia maya mereka [Invest] dalam konteks krisis.
HYPOTHESIS CONTINUE….
DATA AND METHODOLOGY
 Data primer dikumpulkan dari 400 eksekutif tingkat C termasuk direktur, pemilik, dan individu lain yang
memegang posisi senior di organisasi dari sektor infrastruktur kritis di Inggris pada puncak pandemic COVID-19,
pada Juli 2020.
 Sekitar 21,8% adalah pemilik organisasi, diikuti oleh presiden, ketua, CEO dan GM (20,0%), CIO (15,0%) dan
CFO (12,0%).
 Fokus sampel: organisasi manufaktur, energi, transportasi, keuangan, kesehatan, pertanian, dan komunikasi.

 Respon sampel: layanan kesehatan (24,8% dari sampel), keuangan (23. 0%) dan industri manufaktur (21,0%).
Sekitar 62,5% dari total sampel terdiri dari usaha kecil dan menengah (UKM), sedangkan 37,5% adalah
perusahaan besar
 Survei telepon dilakukan pada Juli–Agustus 2020, sekitar 3 bulan setelah WHO menyatakan wabah COVID-19
sebagai pandemi pada 11 Maret tahun 2020. Pada saat itu, sebagian besar organisasi Inggris telah terkena dampak
krisis sosial ekonomi yang berasal dari pandemi.
 Analisis data: PLS-SEM
STRUCTURAL MODEL FRAMEWORK
DISCUSSION
 Penelitian ini telah menemukan korelasi positif yang signifikan antara persepsi organisasi (manajemen senior) atas perubahan risiko
cybersecurity [Risk] dan pola investasi dalam cybersecurity [Investment] pada organisasi infrastruktur kritis (mendukung H5) hubungan
langsung proxy pada saat krisis (pandemic) menentukan prioritas & tindakan (kepekaan atas cyber risk dan perubahan alokasi
sumber daya pada saat pandemic)
 Di luar hubungan persepsi (risiko)- tindakan (investasi dunia maya), hasil penelitian juga menunjukkan bahwa perubahan pola investasi setelah
pergeseran risiko merupakan indikator respons yang berpotensi bermakna – missal seperti jika terjadi peningkatan cyber risk maka senior
manajer otomatis akan memberikan response/action
 Penelitian ini mendukung pandangan Sallos’s et al. (2019) bahwa sebenarnya cyber security itu masalah pengetahuan, dimana pengetahuan ini
sangat penting untuk dipahami organisasi sehingga organisasi perlu mengembangkannya ke dalam modal intelektual dan sangat cocok pada
sektor infrastruktur kritis
 Penelitian ini juga menemukan korelasi positif antara upaya yang dilakukan oleh organisasi infrastruktur penting dalam pengembangan modal
intelektual mereka di domain cyber security (yaitu pelatihan dan persiapan cyber security) [Persiapan] dan perubahan investasi dalam cyber
security mereka [Investasi] setelah krisis (mendukung H4)
 Organisasi (eksekutif) yang memiliki perhatian lebih pada cyber security lebih mungkin untuk mengubah investasi cyber security mereka setelah
krisis COVID-19. Paling tidak dalam upaya peningkatan pengetahuan dan kemampuan SDM dalam cyber security (pelatihan untuk karyawan
dan manajer) (Rothrockdkk., 2018).
 Selaras dengan pandangan Sallos’s et al. (2019) bahwa organisasi semacam itu memiliki mekanisme fungsional untuk umpan balik akuisisi dan
diseminasi yang mendukung adaptasi terhadap perubahan lingkungan. Penelitian ini juga selaras dengan Al-Awadi and Renaud (2007), Disparte
and Furlow (2017) and He et al. (2019) yang telah menyoroti selama dua dekade terakhir perlunya organisasi untuk berinvestasi dalam pelatihan
cyber security secara reguler untuk semua personel dalam rangka mencegah lebih banyak pelanggaran data (Persiapan juga cenderung
berkorelasi dengan ukuran organisasi dan domain operasi)
DISCUSSION CONTINUE…

 Penelitian ini tidak menemukan korelasi yang signifikan antara kehadiran capability cyber security yang lebih tinggi
pada organisasi infrastruktur penting akan menggeser investasi cyber security mereka [Investasi] pada perubahan iklim
risiko, seperti yang awalnya dihipotesiskan (H2).
 Demikian pula, data tidak mendukung korelasi langsung antara ketahanan cyber security organisasi infrastruktur penting
[Ketahanan] dan perubahan adaptifnya dalam investasi cyber security [Investasi] setelah krisis (H3)
 Hal ini menjadi temuan yang signifikan karena tidak adanya korelasi antara Ketahanan dan pergeseran dalam Investasi
tampaknya berlawanan dengan intuisi. Hal ini karena adanya hubungan teoritis yang konsisten antara resiliensi dan
kapasitas adaptasi/adaptif. Pada tingkat operasional, organisasi yang memiliki resiliensi tinggi (diekspresikan melalui
kepatuhan, kecukupan anggaran fungsional dan kemampuan untuk menyerap insiden/gangguan terhadap aset digital)
biasanya tingkat kerentanan mereka terhadap insiden cyber relatif lebih rendah. Bisa jadi juga karena organisasi yang
telah memiliki resiliensi tinggi dikarenakan pola investasinya yang sudah bagus
 Sama halnya dengan H2 dan H3, peneliti juga menemukan bahwa tidak adanya korelasi antara penyediaan elemen dasar
cyber security oleh organisasi infrastruktur penting [Focus] berkorelasi positif dengan perubahan dalam investasi cyber security
[Invest] menyusul perubahan iklim risiko (H1)
THEORETICAL SIGNIFICANCE AND PRACTICAL CONTRIBUTIONS
 Penelitian ini memberikan kontribusi yang signifikan terhadap literatur akademik dengan menyoroti pentingnya
pengembangan modal intelektual sebagai dasar kesuksesan strategi manajemen cyber security. Hasilnya
menunjukkan bahwa adopsi yang efektif dari teknologi terbaru dan aplikasinya bergantung pada pemahaman di
semua tingkatan dalam organisasi tentang risiko yang terlibat
 Penelitian ini berkontribusi pada pemahaman konseptual tentang aspek penting dari konsep digital resilience yang
merupakan kunci upaya saat ini dan masa depan menuju transformasi digital bisnis dan masyarakat
 Penelitian di masa depan dapat mempelajari hubungan antara biaya yang terkait dengan pengembangan modal
intelektual dan pemulihan dari insiden cyber security
KETERBATASAN
 Heterogenitas populasi berfokus pada organisasi dari berbagai ukuran
 Tidak semua responden mampu membuat penilaian yang akurat tentang cyber security dan digital resilience
organisasi mereka keterbatasan pengetahuan
 Upaya organisasi dalam pelatihan cyber security dan persiapan staf operasional dan eksekutif mereka juga
cenderung berkorelasi dengan ukuran organisasi dan domain operasi.