Kesalahan karena manusia (brainware) selalu dianggap sebagai penyebab utama kebocoran data. Faktanya, karyawan di sebuah perusahaan adalah salah satu ancaman terbesar terhadap keamanan siber.

Infosec melansir, karyawan juga bisa menjadi aset terbesar keamanan siber perusahaan. Jika karyawan diberikan pengetahuan untuk mengidentifikasi ancaman melalui program pelatihan, mereka adalah garis pertahanan lain di organisasi.

Pelatihan kemanan siber yang baik harus mencakup kemungkinan ancaman yang akan dihadapi perusahaan. Artikel ini menguraikan sepuluh topik pelatihan kesadaran keamanan yang paling penting untuk dimasukkan dalam program kesadaran keamanan.

1. Penipuan (phising) melalui email

Phising menjadi metode paling umum dalam kejahatan dunia maya untuk mendapatkan akses ke jarngan komputer. Memanfaatkan kelengahan manusia untuk mengelabui target dengan penawaran-penawaran menarik (barang gratis, peluang bisnis, dan sebagainya).

Kesadaran terhadap phising melalui email harus menjadi komponen penting program pelatihan keamanan perusahaan. Pelatihan harus mencakup contoh email phishing yang umum dan relevan serta tip untuk mengidentifikasi percobaan serangan, termasuk:

  • Anjuran untuk tidak mempercayai email apa pun yang tidak diinginkan.
  • Tidak mengirim data apa pun kepada orang yang meminta melui email, penting untuk melakukan konfirmasi kembali kepada pimpinan
  • Selalu aktifkan filter spam
  • Konfigurasikan email client dengan benar
  • Pasang anivirus dan firewall yang selalu diperbaharui
  • Tidak mengeklik tautan tidak dikenal yang dikirim melalui email
  • Waspada terhadap lampiran email. Verifikasi lampiran yang dikirim (melalui telepon atau media lain) sebelum membukannya.
  • Phising bisa terjadi melalui media apa pun selalui email.

2. Perangkat Lunak Perusak (Malware)

Malware adalah perangkat lunak berbahaya yang digunakan penjahat dunia maya untuk mencuri data sensitif (informasi rahasia pengguna, informasi keuangan, dan sebagainya) atau menyebabkan kerusakan pada sistem (misalnya, ransomware dan malware yang menghapus data). Malware dapat masuk  ke jaringan komputer dengan berbagai cara, termasuk email phishing, unduhan, dan USB flash drive.

Pelatihan kesadaran keamanan karyawan tentang malware harus mencakup metode pengiriman umumnya, ancaman, dan dampak terhadap organisasi. Kiat penting harus meliputi:
  • Curiga terhadap file di email, situs web, dan tempat lain.
  • Jangan instal perangkat lunak yang tidak sah.
  • Tetap jalankan antivirus dan selalu perbarui.
  • Hubungi tim IT/keamanan jika Anda mungkin terkena infeksi malware.

3. Keamanan kata sandi

Kata sandi adalah sistem otentikasi yang paling umum dan paling mudah digunakan yang ada. Sebagian besar karyawan memiliki banyak akun online yang diakses dengan memberikan nama pengguna (biasanya alamat email mereka) dan kata sandi.

Keamanan kata sandi yang buruk adalah salah satu ancaman terbesar bagi keamanan perusahaan modern. Beberapa tip keamanan sandi penting untuk disertakan dalam konten pelatihan:
  • Selalu gunakan kata sandi unik untuk setiap akun online
  • Kata sandi harus dibuat secara acak
  • Kata sandi harus berisi campuran huruf, angka, dan simbol
  • Gunakan pengelola kata sandi untuk menghasilkan dan menyimpan kata sandi yang kuat untuk setiap akun.
  • Gunakan otentikasi multi-faktor (MFA) bila tersedia untuk mengurangi dampak kata sandi yang dibobol.

4. Removable media

Removable media (seperti USB, CD, dan sebagainya) adalah alat yang sering digunakan malware untuk melewati pertahanan keamanan berbasis jaringan organisasi. Malware dapat diinstal pada media dan dikonfigurasi untuk dijalankan secara otomatis dengan autorun atau memiliki nama file yang menarik untuk mengelabui karyawan agar mengklik. Removable media dapat digunakan untuk mencuri data, memasang ransomware, atau bahkan menghancurkan komputer tempat mereka dimasukkan.

Removable media dapat didistribusikan dengan cara dijatuhkan di tempat parkir dan area umum atau dibagikan pada konferensi dan acara publik lainnya. Karyawan harus dilatih untuk mengelola media lepas-pasang yang tidak tepercaya dengan benar:
  • Jangan pernah mencolokkan removable media yang tidak tepercaya ke komputer
  • Bawa semua media lepas tepercaya ke TI/keamanan untuk pemindaian
  • Nonaktifkan autorun di semua komputer

5. Kebiasaan internet yang aman

Hampir setiap pekerja, khususnya di bidang teknologi, memiliki akses ke internet. Untuk alasan ini, penggunaan internet yang aman menjadi sangat penting bagi perusahaan.

Program pelatihan keamanan harus memasukkan kebiasaan internet yang aman yang mencegah penyerang menembus jaringan perusahaan. Beberapa konten penting untuk disertakan dalam pelatihan:

  • Kemampuan untuk mengenali domain yang mencurigakan dan palsu (seperti yahooo.com, bukan yahoo.com)
  • Perbedaan antara HTTP dan HTTPS dan cara mengidentifikasi koneksi yang tidak aman
  • Bahaya mengunduh perangkat lunak yang tidak tepercaya atau mencurigakan dari internet
  • Risiko memasukkan informasi login ke situs web yang tidak tepercaya atau berisiko (termasuk halaman palsu dan phishing)
  • Serangan pada celah keamanan, unduhan drive-by, dan ancaman lain dari menjelajahi situs yang mencurigakan

6. Bahaya jejaring sosial

Perusahaan menggunakan jejaring sosial sebagai alat yang ampuh untuk membangun merek (baik secara lokal maupun global) dan menghasilkan penjualan online. Sayangnya, penjahat dunia maya juga menggunakan media sosial untuk serangan yang membahayakan sistem dan reputasi organisasi.

Untuk mencegah hilangnya data penting, perusahaan harus memiliki program pelatihan jejaring sosial yang layak yang harus membatasi penggunaan jejaring sosial dan menginformasikan karyawan tentang ancaman media sosial:

  • Serangan phishing dapat terjadi di media sosial maupun melalui email
  • Penjahat dunia maya yang meniru merek tepercaya dapat mencuri data atau menyebarkan malware
  • Informasi yang dipublikasikan di media sosial dapat digunakan untuk membuat email spearphishing

7. Keamanan fisik dan pengendalian lingkungan

Kesadaran keamanan bukan hanya tentang apa yang ada di komputer atau perangkat genggam perusahaan Anda. Karyawan harus menyadari potensi risiko keamanan dalam aspek fisik tempat kerja, seperti:
  • Pengunjung atau karyawan baru menonton saat karyawan mengetik sandi (dikenal sebagai "selancar bahu")
  • Mengizinkan pengunjung yang mengaku sebagai inspektur, pembasmi serangga, atau tamu tidak biasa lainnya yang mungkin ingin masuk ke sistem (disebut "peniruan identitas")
  • Mengizinkan seseorang mengikuti Anda melalui pintu ke area terlarang (disebut "tailgating")
  • Meninggalkan kata sandi di selembar kertas di atas meja seseorang
  • Membiarkan komputer hidup dan tidak dilindungi kata sandi saat berangkat kerja malam itu
  • Meninggalkan ponsel atau perangkat yang dikeluarkan kantor di depan mata
  • Kontrol keamanan fisik (pintu, kunci, dan sebagainya) tidak berfungsi

8. Kebijakan meja bersih

Informasi sensitif di meja seperti catatan tempel, kertas, dan hasil cetak dapat dengan mudah diambil oleh tangan pencuri dan dilihat dengan mengintip. Kebijakan meja bersih harus menyatakan bahwa informasi yang terlihat di meja harus dibatasi pada apa yang saat ini diperlukan. Sebelum meninggalkan ruang kerja karena alasan apa pun, semua informasi sensitif dan rahasia harus disimpan dengan aman.

9. Manajemen data dan privasi

Sebagian besar organisasi mengumpulkan, menyimpan, dan memproses banyak informasi sensitif. Ini termasuk data pelanggan, catatan karyawan, strategi bisnis, dan data lain yang penting untuk pengoperasian bisnis yang benar. Jika salah satu dari data ini diungkapkan kepada publik atau dapat diakses oleh pesaing atau penjahat dunia maya, maka organisasi dapat menghadapi sanksi peraturan yang signifikan, kerusakan pada hubungan konsumen, dan hilangnya keunggulan kompetitif.

Karyawan dalam suatu organisasi perlu dilatih tentang cara mengelola data sensitif bisnis dengan benar untuk melindungi keamanan data dan privasi pelanggan. Konten pelatihan penting meliputi:
  • Strategi klasifikasi data bisnis dan cara mengidentifikasi dan melindungi data di setiap tingkat
  • Persyaratan regulasi yang dapat memengaruhi operasi sehari-hari karyawan
  • Lokasi penyimpanan yang disetujui untuk data sensitif di jaringan perusahaan
  • Gunakan kata sandi dan MFA yang kuat untuk akun dengan akses ke data sensitif

10. Kebijakan Bring-your-own-device (BYOD)

Kebijakan BYOD memungkinkan karyawan untuk menggunakan perangkat pribadi mereka di tempat kerja. Meskipun hal ini dapat meningkatkan efisiensi - dengan memungkinkan karyawan menggunakan perangkat yang paling nyaman bagi mereka - hal ini juga menimbulkan potensi risiko keamanan.

Kebijakan BYOD dan pelatihan kesadaran keamanan karyawan harus mencakup tip-tip berikut:

Semua perangkat yang digunakan di tempat kerja harus diamankan dengan kata sandi yang kuat untuk melindungi dari pencurian
  • Aktifkan enkripsi disk penuh untuk perangkat BYOD
  • Gunakan VPN pada perangkat saat bekerja dari Wi-Fi yang tidak tepercaya
  • Perangkat yang disetujui BYOD harus menjalankan antivirus yang disetujui perusahaan
  • Hanya unduh aplikasi dari toko aplikasi besar atau langsung dari situs web produsen 
Karyawan memainkan peran penting dalam menjalankan bisnis yang sukses. Tenaga kerja yang tidak terlatih dan lalai dapat membahayakan perusahaan Anda karena banyak pelanggaran data. Oleh karena itu, organisasi harus mengadopsi program pelatihan keamanan yang layak yang harus mencakup pedoman penting yang diperlukan untuk menggagalkan insiden dunia maya yang akan terjadi.

Organisasi Anda juga harus mengatur pertemuan pelatihan bulanan, sering memberikan pengingat, melatih semua personel baru tentang kebijakan baru saat mereka tiba, menyediakan materi pelatihan dan menerapkan insentif kreatif untuk memberi penghargaan kepada karyawan karena bersikap proaktif dalam memastikan keamanan organisasi. [FZ/1]

Sumber: infosecinstitute.com
Foto: smh.com.au

Post a Comment

Apa pendapat Anda tentang artikel ini? Silakan tinggalkan komentar Anda di bawah ini.

Lebih baru Lebih lama