edukasi siber karyawan
Dunia maya tidak dapat dihindari oleh karyawan dengan dunia kerja yang makin terhubung. Sehingga mendorong perlunya edukasi siber karyawan.
Penggunaan perangkat milik karyawan, koneksi yang tidak aman, dan penggunaan perangkat yang tidak tepat membuat perusahaan rentan terhadap sejumlah intrusi jaringan.
Di sinilah melatih atau edukasi siber karyawan tentang kesadaran keamanan siber adalah suatu keharusan.
Baca juga: Pencurian Data oleh Karyawan
Kesadaran Cybersecurity
Perusahaan harus berasumsi bahwa pihak jahat akan menguasai perangkat dan berupaya mencuri data sensitif atau memanfaatkan perangkat untuk mendapatkan akses ke jaringan perusahaan.
Beberapa cara mereka dapat memperoleh akses meliputi:
- Kehilangan atau pencurian perangkat
- Taktik social engineering
- Phising
- Malware dan ransomware
- Eksploitasi zero-day
- Serangan makro dan skrip
- Serangan botnet
- Mengabaikan patch OS, pembaruan antivirus, dan pemutakhiran penting lainnya.
Edukasi Siber Karyawan
Untuk meminimalkan risiko intrusi jaringan, Anda perlu memperkuat garis pertahanan pertama terhadap ancaman eksternal, alias melatih karyawan Anda tentang kesadaran keamanan siber.
Berikut adalah cara untuk mengedukasi siber karyawan tentang praktik keamanan terbaik.
Jadikan Cybersecurity Jelas Bagi Karyawan
Langkah pertama untuk membiasakan karyawan dengan pendidikan keamanan siber adalah menguraikan pesan yang jelas tentang apa yang terjadi di perusahaan Anda terkait keamanan siber. Pesan seperti itu harus dapat dipahami, dapat dihubungkan, dan beragam.
- Dapat Dimengerti – Hindari jargon teknis yang dapat membingungkan karyawan dan mengaburkan pesan Anda. Jika memungkinkan, gunakan istilah yang disederhanakan yang dapat diakses oleh orang awam yang tidak berpikiran teknologi.
- Relatable – Ketika berbicara tentang ancaman eksternal, kurangi tentang jaringan pusat dan lebih banyak tentang keamanan komputer pribadi dan intrusi jaringan rumah. Dengan cara ini, karyawan dapat secara pribadi memahami bahaya jika dibingkai dalam ponsel atau laptop mereka. Hal ini memungkinkan mereka memiliki kepentingan pribadi dalam rencana keamanan: tidak ada yang ingin menjadi alasan pelanggaran data yang memengaruhi seluruh perusahaan .
- Diversifikasi – Email sederhana yang menguraikan semuanya mungkin tidak cukup. Pikirkan tentang berapa banyak email yang diterima masing-masing karyawan. Dengan mendiversifikasi strategi komunikasi, Anda dapat memastikan bahwa karyawan membaca pesan tersebut alih-alih mengabaikannya hanya sebagai pengumuman lainnya.
- Dorong untuk berhati-hati terhadap perangkat Anda
- Survei Forrester menemukan bahwa 15% pelanggaran perusahaan disebabkan oleh perangkat yang hilang atau hilang. Baik itu perangkat perusahaan atau pribadi, melatih karyawan Anda tentang keamanan siber mencakup penyadaran bahwa gadget mereka berfungsi sebagai pintu gerbang ke jaringan perusahaan Anda. Ini membuatnya penting untuk merawat perangkat mereka dan menggunakannya dengan benar bahkan di rumah mereka.
Baca juga: Ancaman Laten Mantan Karyawan
Penggunaan perangkat yang baik
- Ajarkan perbedaan antara penggunaan pribadi dan perusahaan.
- Wajibkan untuk memiliki akun kerja yang tunduk pada pemantauan, penginstalan terbatas, dan pemfilteran web.
- Waspadalah terhadap kehilangan dan pencurian.
- Pastikan tambalan keamanan dan pembaruan OS diikuti.
- Solusi manajemen dan pemantauan perangkat, yang dapat membantu mengurangi risiko dengan mengotomatiskan pembaruan push dan melacak status perangkat dan lokasinya setiap saat. Tapi ini seharusnya hanya berfungsi sebagai cadangan, dan praktik terbaik keamanan pengguna akhir harus berada di tangan karyawan.
Ajari Cara Menemukan Aktivitas Mencurigakan
Tingkatkan mata karyawan dalam menemukan aktivitas yang mencurigakan untuk meningkatkan kesadaran keamanan siber mereka dengan mengajari mereka untuk memperhatikan tanda-tanda berikut:
- Tiba-tiba muncul aplikasi atau program baru di perangkat mereka
- Pop-up aneh selama startup, operasi normal, atau sebelum shutdown
- Perangkat melambat
- Ekstensi atau tab baru di browser
- Kehilangan kontrol mouse atau keyboard
- Dorong karyawan Anda untuk segera melaporkan tanda-tanda yang mencurigakan. Bahkan jika ternyata itu adalah alarm palsu, hal itu mungkin tetap bermanfaat bagi karyawan tersebut dengan memperbaiki kesalahan pada perangkat mereka yang menghambat produktivitas.
Perkuat Kerahasiaan
Untuk menghindari ancaman keamanan siber terkait kerahasiaan, latih karyawan dengan melakukan hal berikut:
- Terapkan perubahan kata sandi secara berkala dan unik.
- Ajari karyawan tentang bahaya menggunakan kata sandi universal, dan gunakan contoh dunia nyata dari pelanggaran data di masa lalu. Mereka bahkan mungkin ingin melihat apakah kata sandi akun pribadi mereka telah digadaikan.
- Diskusikan alasan di balik VPN, autentikasi multi-faktor, dan proses log-on aman lainnya, dan mengapa itu penting meskipun memakan waktu.
Untuk mengatasi penyimpanan data perusahaan yang tidak aman, berikan contoh nyata insiden data yang dicuri yang disebabkan oleh kesalahan drive atau akun Dropbox pribadi yang disusupi.
Periksa Kasus Individu Pelanggaran Keamanan Siber
Tidak seperti lingkungan kantor dengan jaringan terkontrol, keamanan komputer rumah karyawan bisa sangat bervariasi.
Beberapa mungkin terhubung melalui Wi-Fi rumah mereka, sementara yang lain mungkin menggunakan koneksi dari Wi-Fi publik di kedai kopi.
Beberapa mungkin memiliki perangkat lama yang tidak lagi didukung oleh tambalan keamanan, dan mungkin perlu mengatasi masalah tersebut dengan:
- Mendorong karyawan untuk menggunakan perangkat yang disediakan perusahaan. Jika itu BYOD, periksa merek perangkat dan tahun model untuk melihat apakah ada eksploitasi yang luar biasa.
- Lakukan sapuan keamanan jaringan rumah. Misalnya, beberapa router lama mungkin memiliki protokol WEP yang lebih lemah daripada WPA-2, atau beberapa bahkan mungkin memiliki kata sandi default!
- Perhatikan karyawan nomaden dan buat kebijakan keamanan untuk mereka, karena data roaming atau hotspot Wi-Fi publik membawa ancaman unik sendiri.
- Manfaatkan Kursus Cybersecurity Online
- Ada banyak sumber daya online untuk melatih karyawan tentang kesadaran keamanan siber, dan tidak semuanya harus dibayar.
Baca juga: Kontrol Perangkat Cegah Kebocoran Data dari Karyawan
Untuk manajemen:
- Situs web FTC (Komisi Perdagangan Federal) memiliki sumber daya pendidikan untuk pemilik dan manajer usaha kecil. Mereka juga memiliki kuis keamanan siber untuk menguji apa yang Anda pelajari.
- Perangkat pembelajaran pertahanan dunia maya dari Departemen Keamanan Dalam Negeri ini juga dirancang khusus untuk pemilik usaha kecil.
- Program kontrol organisasi 20 langkah Center for Internet Security mengajarkan kebiasaan pertahanan dunia maya yang baik, identifikasi perilaku mencurigakan, dan menghasilkan analisis kesenjangan keterampilan.
- Lingkungan Pelatihan Virtual Federal menyediakan kursus 6 jam yang komprehensif untuk anggota tingkat manajerial, dibagi menjadi 30 modul.
Untuk karyawan:
- NIST memiliki daftar konten pelatihan online gratis dan murah yang dirancang khusus untuk karyawan, termasuk webinar, kursus singkat, kuis, dan sertifikasi.
- Seri webinar dari National Cybersecurity Alliance ini merilis satu video setiap dua bulan sekali, mulai November 2019, dan berakhir pada November 2020.
- ESET menawarkan kursus pelatihan satu jam gratis yang mengajarkan praktik terbaik untuk karyawan jarak jauh. Versi berbayar mencakup pelacakan dasbor kemajuan karyawan, simulator phishing, sertifikasi, dan lencana Linkedin.
- Kursus IS-0906 FEMA tentang kesadaran keamanan tempat kerja hanya membutuhkan waktu 1 jam dan menangani risiko, tindakan pencegahan, dan tindakan respons untuk karyawan jarak jauh.
- Jadikan Kesadaran Cybersecurity sebagai Percakapan yang Berkelanjutan
- Rata-rata, pekerja korporat menghabiskan hingga seperempat hari kerja mereka untuk tugas yang berhubungan dengan email. Hal ini membuat pesan email one-shot tentang cybersecurity menjadi pilihan yang buruk, karena mereka mungkin tidak dapat menghargai signifikansi atau menyerap informasi sekaligus.
Pendekatan keamanan siber kepada karyawan:
- Gunakan pendekatan berbeda untuk pendidikan keamanan siber, seperti pengumuman rutin atau pembaruan buletin.
- Untuk setiap pembaruan, ikuti aturan KISS: Keep It Short and Simple. Dengan cara ini mereka dapat mengumpulkan pesan dan menyimpan informasi di tengah hari yang sibuk.
- Ikuti tren saat ini. Jika ada jenis malware kripto baru atau eksploit yang membuat ponsel crash dengan satu pesan, pastikan info itu menjangkau anggota Anda.
- Gunakan taktik yang eye-catching setiap kali untuk membuat mereka menyerap pesan. Alih-alih membuat daftar statistik kering atau yang boleh dan tidak boleh dilakukan, cobalah infografis yang penuh warna. Untuk topik yang panjang, coba penjelasan video.
- Anda bahkan dapat mencoba tes keamanan siber untuk melihat sejauhmana pengetahuan yang didapat. Misalnya, sebagai bagian dari pendidikan keamanan emailnya, HP mengirimkan pesan pengujian phising dan memberi selamat kepada karyawan yang melaporkannya ke TI.
Edukasi siber karyawan Anda tentang kesadaran keamanan siber memungkinkan mereka memahami bagaimana mereka berperan dalam melindungi perusahaan Anda.
Alih-alih hanya menjadi roda penggerak dalam organisasi, mereka adalah pertahanan terdepan yang menjaga dari ancaman eksternal.
Dengan mendorong kewaspadaan dan kesadaran keamanan siber yang baik, adalah sesuatu yang dapat mereka lakukan jauh di luar batas kantor, bahkan setelah semuanya kembali normal.
|
Baca lainnya: |
Sumber berita:
