Target terhadap para pemimpin perusahaan yang menjadi sasaran penjahat siber, mendorong praktisi keamanan siber untuk mengembangkan mitigasi ancaman eksekutif yang komprehensif.
Dalam hal keamanan siber perusahaan, memimpin dengan memberi contoh adalah hal yang penting. Ya, penting bagi setiap karyawan adalah memainkan peran mereka dalam budaya keamanan sesuai desain.
Namun jika dewan direksi dan pimpinan senior tidak dapat meluangkan waktu untuk mempelajari dasar-dasar praktik keamanan dunia maya, mengapa seluruh perusahaan harus melakukannya. yang lebih parah lagi, para eksekutif sendiri merupakan target yang sangat penting bagi para penjahat dunia maya.
Mengingat akses mereka terhadap informasi sensitif dan kekuatan yang mereka miliki untuk menyetujui transfer uang dalam jumlah besar.
Jadi kegagalan dalam menerapkan apa yang mereka ajarkan dapat mengakibatkan kerugian finansial dan reputasi yang signifikan.
Laporan terbaru mengungkapkan “kesenjangan perilaku” keamanan siber yang signifikan antara apa yang dikatakan para eksekutif senior dan apa yang mereka lakukan. Menutupnya harus menjadi masalah yang mendesak bagi semua perusahaan.
Baca juga: LockBit dan Mitigasi Terbaik |
Kesenjangan Perilaku
Laporan ini bersifat global, hasil dari wawancara dengan lebih dari 6.500 pemimpin eksekutif, profesional keamanan siber, dan pekerja kantoran di Eropa, Amerika Serikat, Tiongkok, Jepang, dan Australia.
Hal ini antara lain menunjukkan kesenjangan besar antara apa yang dikatakan para pemimpin bisnis dan apa yang sebenarnya mereka lakukan. Misalnya:
-
Hampir semua (96%) mengaku “setidaknya cukup mendukung atau berinvestasi dalam mandat keamanan siber organisasi mereka”
-
78% mengatakan organisasi tersebut memberikan pelatihan keamanan wajib
-
88% mengatakan “mereka siap mengenali dan melaporkan ancaman seperti malware dan phising”
Sejauh ini bagus. Namun sayangnya itu bukanlah keseluruhan cerita. Faktanya, banyak pemimpin bisnis juga:
-
Telah meminta untuk menghindari satu atau lebih tindakan keamanan dalam satu tahun terakhir (49%)
-
Gunakan kata sandi yang mudah diingat (77%)
-
Klik tautan phishing (35%)
-
Gunakan kata sandi default untuk aplikasi kerja (24%)
Perilaku eksekutif sering kali tidak sesuai dengan praktik keamanan yang dapat diterima. Ini juga penting jika dibandingkan dengan karyawan biasa.
Hanya 14% karyawan yang mengatakan bahwa mereka menggunakan kata sandi default, dibandingkan 24% karyawan eksekutif.
Dan kelompok yang terakhir ini tiga kali lebih mungkin berbagi perangkat kerja dengan pengguna yang tidak berwenang, menurut laporan tersebut.
Para eksekutif juga dua kali lebih mungkin untuk menggambarkan interaksi masa lalu dengan keamanan TI sebagai “canggung” dan 33% lebih mungkin untuk mengatakan bahwa mereka tidak “merasa aman” melaporkan kesalahan seperti mengklik tautan phising.
Langkah Mitigasi Ancaman Eksekutif
Hal ini penting karena hak akses yang biasanya dimiliki oleh para pemimpin senior dalam suatu perusahaan.
Kombinasi dari praktik keamanan yang buruk dan “keistimewaan eksekutif” menjadikan mereka target yang menarik.
Laporan mengklaim 47% eksekutif diketahui menjadi target phising dalam satu tahun terakhir, dibandingkan 33% pekerja kantoran biasa.
Dan 35% karyawan mengklik tautan berbahaya atau mengirim uang, dibandingkan dengan hanya 8% karyawan.
Pakar keamanan sering kali berbicara tentang perlunya budaya keamanan berdasarkan desain atau budaya yang berpusat pada keamanan.
Dimana kesadaran akan praktik terbaik dan kebersihan dunia maya menyebar ke seluruh organisasi.
Hal ini hampir mustahil dicapai jika kepemimpinan senior tidak mewujudkan nilai-nilai yang sama. Jadi, apa yang dapat dilakukan perusahaan untuk memitigasi risiko terkait dunia maya yang ditimbulkan oleh para eksekutifnya?
Baca juga: 4 Langkah Mitigasi Phising |
1. Melaksanakan audit internal terhadap aktivitas eksekutif
Hal ini dapat mencakup aktivitas internet, potensi perilaku berisiko seperti klik phising yang diblokir, dan interaksi dengan administrator keamanan atau TI.
Apakah ada pola yang perlu diperhatikan seperti pengambilan risiko berlebihan atau miskomunikasi? Apa pelajaran yang didapat?
Tujuan terpenting dari latihan ini adalah untuk memahami seberapa besar kesenjangan perilaku eksekutif, dan bagaimana kesenjangan tersebut terwujud dalam perusahaan Anda.
Audit eksternal bahkan mungkin diperlukan untuk mendapatkan perspektif pihak ketiga mengenai berbagai hal.
2. Tangani yang paling mudah terlebih dahulu.
Ini berarti jenis praktik keamanan buruk paling umum yang paling mudah diperbaiki. Hal ini dapat berarti memperbarui kebijakan akses untuk mewajibkan autentikasi dua faktor (2FA) bagi semua orang, atau menetapkan kebijakan klasifikasi dan perlindungan data yang membatasi materi tertentu bagi eksekutif tertentu.
Hal yang sama pentingnya dengan memperbarui kebijakan adalah mengkomunikasikannya secara teratur dan menjelaskan alasan kebijakan tersebut ditetapkan, untuk menghindari konfrontasi eksekutif.
Fokus seluruh proses ini harus pada penerapan pengendalian yang sebisa mungkin tidak mengganggu, seperti penemuan, klasifikasi, dan perlindungan data otomatis.
Hal ini akan membantu mencapai keseimbangan yang tepat antara keamanan dan produktivitas eksekutif.
3. Menghubungkan titik-titik antara malpraktek keamanan dan risiko bisnis.
Salah satu cara untuk melakukan hal ini adalah dengan mengadakan sesi pelatihan yang menggunakan teknik gamifikasi dan skenario dunia nyata untuk membantu para eksekutif memahami dampak buruknya kebersihan dunia maya.
Misalnya, hal ini dapat menjelaskan bagaimana tautan phising menyebabkan pelanggaran terhadap pesaing utama.
Atau bagaimana serangan kompromi email bisnis menipu seorang eksekutif agar mengirimkan jutaan dolar kepada penipu.
Latihan-latihan tersebut harus fokus tidak hanya pada apa yang terjadi, dan pelajaran apa yang dapat diambil dari sudut pandang operasional.
Namun juga dampak pada manusia, keuangan dan reputasi. Para eksekutif akan sangat tertarik untuk mendengar bagaimana beberapa insiden keamanan serius telah menyebabkan rekan-rekan mereka terpaksa keluar dari peran mereka.
Baca juga: Lonjakan Zero Day Penyebab dan Mitigasinya |
4. Berusahalah membangun rasa saling percaya dengan kepemimpinan senior.
Hal ini akan membawa beberapa pemimpin TI dan keamanan keluar dari zona nyaman mereka. Sebagaimana dijelaskan dalam laporan tersebut.
Hal ini harus berarti “dukungan yang jujur dan ramah” daripada “kecaman atau sikap merendahkan” yang sering terjadi ketika seorang karyawan melakukan kesalahan.
Fokusnya harus pada belajar dari kesalahan daripada hanya memilih individu saja. Ya, mereka harus memahami konsekuensi dari tindakan mereka, namun selalu dalam kerangka perbaikan dan pembelajaran yang berkelanjutan.
5. Pertimbangkan program keamanan siber “white glove” untuk para pemimpin senior.
Para eksekutif lebih cenderung mengatakan bahwa interaksi mereka dengan pihak keamanan terasa canggung dibandingkan karyawan biasa.
Praktik keamanan dunia maya mereka lebih buruk, dan mereka menjadi target yang lebih besar bagi para pelaku ancaman.
Ini semua adalah alasan bagus untuk memberikan perhatian khusus pada kelompok pemimpin senior yang relatif kecil ini.
Pertimbangkan titik kontak khusus untuk interaksi dengan para eksekutif, dan pelatihan yang dirancang khusus serta proses on/offboarding.
Tujuannya adalah untuk membangun kepercayaan dan praktik terbaik, serta mengurangi hambatan dalam melaporkan insiden keamanan.
Banyak dari langkah-langkah ini memerlukan perubahan budaya, yang tentunya memerlukan waktu. Namun dengan bersikap jujur kepada para eksekutif, menerapkan proses dan kontrol yang tepat, serta mengajari mereka konsekuensi dari buruknya praktik keamanan dunia maya, Anda akan memiliki peluang sukses yang besar.
Sumber berita: