Ada pepatah lama dalam dunia keamanan siber bahwa manusia adalah mata rantai terlemah dalam rantai keamanan. Hal ini sangat dipahami dengan baik oleh para penjahat dunia maya sehingga mereka terus mengeksploitasi karyawan yang mudah percaya atau ceroboh. Tetapi ini bukan berarti tidak ada jalan keluar untuk mengubah tautan lemah itu menjadi garis pertahanan pertama yang tangguh, kuncinya adalah meluncurkan program pelatihan kesadaran keamanan yang efektif.
Penelitian mengungkapkan bahwa 82% pelanggaran data yang dianalisis pada tahun 2021 melibatkan “elemen manusia.” Ini adalah fakta yang tak terbantahkan dari ancaman siber modern bahwa karyawan merupakan target utama serangan. Namun, beri mereka pengetahuan yang diperlukan untuk mengenali tanda-tanda peringatan serangan, dan untuk memahami kapan mereka dapat membahayakan data sensitif, maka akan tercipta peluang besar untuk memajukan upaya mitigasi risiko.
|
Baca juga: Kesadaran Keamanan Generasi Z & Baby Boomers Tidak Impresif |
Pelatihan kesadaran keamanan
Pelatihan kesadaran mungkin bukan sesuatu yang yang dipertimbangkan atau bahkan dipikirkan oleh para pemimpin TI dan keamanan dalam program mereka. Pada kenyataannya, tujuannya dari program ini dapat mengubah perilaku melalui peningkatan pendidikan tentang di mana letak risiko siber utama dan praktik terbaik apa yang dapat dipelajari untuk menguranginya.
Ini adalah proses formal yang idealnya mencakup berbagai bidang topik dan teknik untuk memberdayakan karyawan agar dapat membuat keputusan yang tepat. Dengan demikian, ini dapat dilihat sebagai pilar dasar bagi organisasi yang ingin menciptakan budaya perusahaan yang dirancang dengan keamanan.
Mengapa pelatihan kesadaran keamanan diperlukan?
Seperti program pelatihan apa pun, idenya adalah untuk meningkatkan keterampilan individu agar mereka menjadi karyawan yang lebih baik. Dalam hal ini, meningkatkan kesadaran keamanan mereka tidak hanya akan memberikan manfaat yang baik bagi individu saat mereka menavigasi berbagai peran, tetapi juga akan mengurangi risiko pelanggaran keamanan yang berpotensi merusak.
Yang perlu disadari adalah bahwa pengguna korporat duduk di jantung organisasi mana pun. Jika mereka bisa diretas maka organisasi juga bisa. Dengan cara yang sama, akses yang mereka miliki ke data sensitif dan sistem TI meningkatkan risiko kecelakaan yang juga dapat berdampak negatif bagi perusahaan.
Beberapa tren menyoroti kebutuhan mendesak untuk program pelatihan kesadaran keamanan:
Kata sandi: Kredensial statis telah ada selama sistem komputer ada dan telah menjadi metode otentikasi pengguna yang paling populer. Alasannya sederhana: orang tahu secara naluriah bagaimana menggunakannya. Tantangannya adalah mereka juga merupakan target besar bagi peretas, yang terus berupaya untuk mengelabui karyawan agar menyerahkannya, atau bahkan menebaknya (brute force) dan seringkali tidak ada hal lain yang menghalangi akses jaringan penuh.
Lebih dari setengah karyawan Amerika telah menuliskan kata sandi di atas kertas menurut satu studi. Praktik kata sandi yang buruk membuka pintu bagi peretas, dan seiring bertambahnya jumlah kredensial yang perlu diingat karyawan, kemungkinan penyalahgunaan juga meningkat.
|
Baca juga: Kesadaran Siber Kunci Kemanan SIber |
Social engineering: Manusia adalah makhluk sosial. Itu membuat kita rentan terhadap persuasi. Kita ingin mempercayai cerita yang kita ceritakan dan orang yang menceritakannya. Inilah sebabnya mengapa rekayasa sosial berhasil. Penggunaan teknik persuasif seperti dengan tekanan waktu dan peniruan identitas untuk mengelabui korban agar mau melakukan apa yang diinginkan pelaku. Contoh terbaik adalah email phising, teks (alias smishing) atau panggilan telepon (alias vishing), hal yang sama juga digunakan dalam serangan Business Email Compromises (BEC) dan penipuan lainnya.
Infrastruktur kejahatan siber: Saat ini para pelaku ancaman ini memiliki jaringan bawah tanah yang kompleks dan canggih dari situs web gelap untuk membeli dan menjual data dan layanan, semuanya mulai dari hosting hingga ransomware-as-a-service. Infrastuktur tersebut bernilai triliunan. “Profesionalisasi” industri kejahatan dunia maya ini secara alami telah mengarahkan pelaku ancaman untuk memfokuskan upaya mereka di mana laba atas investasi tertinggi. Dalam banyak kasus, itu berarti menargetkan pengguna itu sendiri: karyawan perusahaan dan konsumen.
Pekerja hybrid: Pekerja rumahan dianggap lebih cenderung mengeklik tautan phising dan terlibat dalam perilaku berisiko seperti menggunakan perangkat kerja untuk penggunaan pribadi. Dengan demikian, munculnya era baru kerja hibrida telah membuka pintu bagi peretas untuk menargetkan pengguna korporat saat mereka berada pada posisi paling rentan. Belum lagi fakta bahwa jaringan rumah dan komputer mungkin kurang terlindungi dengan baik dibandingkan jaringan berbasis kantor.
Mengapa pelatihan itu penting?
Pada akhirnya, pelanggaran keamanan yang serius, baik yang diakibatkan oleh serangan pihak ketiga atau pengungkapan data yang tidak disengaja, dapat mengakibatkan kerugian finansial dan reputasi yang besar. Sebuah studi baru-baru ini mengungkapkan bahwa 20% bisnis yang mengalami pelanggaran semacam itu hampir bangkrut sebagai hasilnya. Penelitian terpisah mengklaim biaya rata-rata pelanggaran data secara global sekarang lebih tinggi dari sebelumnya: lebih dari US$4,2 juta.
Ini bukan hanya perhitungan biaya bagi pemberi kerja. Banyak peraturan seperti HIPAA, PCI DSS, dan Sarbanes-Oxley (SOX) mengharuskan perusahaan yang mematuhinya untuk menjalankan program pelatihan kesadaran keamanan karyawan.
|
Baca juga: Antivirus Solusi Keamanan Siber Modern |
Bagaimana membuat program kesadaran bekerja
CISO harus memulai dengan berkonsultasi dengan tim SDM, yang biasanya memimpin program pelatihan perusahaan. Mereka mungkin dapat memberikan saran ad hoc atau dukungan yang lebih terkoordinasi.
Di antara area yang akan dicakup dapat berupa:
- Social engineering dan phising/vishing/smishing
- Pengungkapan tidak disengaja melalui email
- Perlindungan web (pencarian aman dan penggunaan Wi-Fi publik)
- Praktik terbaik kata sandi dan otentikasi multi-faktor
- Kerja jarak jauh dan rumah yang aman
- Cara mengenali ancaman orang dalam
Di atas segalanya, ingatlah bahwa pelajaran harus:
- Menyenangkan dan gamified (pikirkan penguatan positif daripada pesan berbasis rasa takut)
- Berbasis di sekitar latihan simulasi dunia nyata
- Berjalan terus menerus sepanjang tahun dalam pelajaran singkat (10-15 menit)
- Termasuk setiap anggota staf termasuk eksekutif, pekerja paruh waktu dan kontraktor
- Mampu menghasilkan hasil yang dapat digunakan untuk menyesuaikan program agar sesuai dengan kebutuhan individu
- Disesuaikan dengan peran yang berbeda
Setelah semua ini diputuskan, penting untuk menemukan penyedia pelatihan yang tepat. Kabar baiknya adalah ada banyak pilihan online dengan kisaran harga, termasuk alat gratis. Mengingat lanskap ancaman saat ini, kelambanan bukanlah suatu pilihan.
|
Baca lainnya: |
