Jika kita ditugaskan untuk mengamankan perusahaan, seorang karyawan biasanya menjadi salah satu prioritas pertama.
Pelaku ancaman tahu betul, bahwa dengan menargetkan karyawan merupakan cara mudah untuk masuk ke perusahaan dan banyak jenis serangan yang paling umum, seperti berikut:
Email spam yang mencoba membuat karyawan mengklik dan mengunduh tautan berbahaya atau memasukkan kredensial mereka di situs yang meniru halaman masuk yang sah.
- Business Email Compromise (BEC):
Pelaku ancaman akan mengirimkan faktur atau email serupa ke karyawan yang dapat melakukan wire transfer.
Ini adalah cara mudah bagi pelaku ancaman untuk menyedot uang tunai dari bisnis.
- Brute Force/Pengambilalihan Akun:
Jika karyawan kita menggunakan kata sandi yang lemah atau tidak berhati-hati, pelaku ancaman mungkin dapat menemukan jalan untuk mencuri akun tersebut dan dapat membahayakan perusahaan kita.
Ini dapat mencakup peniruan identitas TI, SDM atau keuangan di mana karyawan diminta untuk menyerahkan file atau informasi sensitif yang dapat merusak perusahaan.
Serangan tersebut kerap digunakan penyerang, apalagi saat pandemi seperti ini, telah melonjak secara dramatis.
Anti-Phishing Working Group (APWG) melaporkan bahwa pada Juni 2021 terjadi lebih dari 200 ribu serangan phishing, ini merupakan bulan terburuk ketiga sejak mereka mulai melacak, membawa tren rekor jumlah serangan di paruh pertama tahun 2021.
Ransomware juga meningkat secara besar-besaran, dengan industri perbankan mengalami peningkatan serangan 1300%+ pada tahun 2021.
Meskipun ada risk mitigation tools yang dapat mencegah dan mengurangi risiko serangan, menerapkan program security awareness training (SAT) dapat menjadi cara yang sangat efektif untuk memastikan karyawan kita tidak menjadi vektor risiko karena kurangnya pengetahuan mereka.
Namun, ada sejumlah jebakan yang harus kita hindari untuk memastikan program ini seefektif mungkin.
Berikut beberapa hal yang perlu diingat:
Kesalahan #1 – Menjalankan Security Awareness Training Sekali dalam Setahun (atau hanya selama orientasi)
Banyak program security awareness training atau kesadaran siber yang dilakukan hanya setahun sekali atau dilakukan selama orientasi.
Hal ini akan menimbulkan sejumlah masalah.
Security awareness training tidak diperbarui
Jika kita menggunakan program SAT yang sama dengan yang digunakan tiga tahun lalu atau bahkan lebih jauh dari itu.
Kita mungkin menggunakan informasi yang sudah ketinggalan zaman dan bahkan mungkin tidak menangani risiko umum atau kritis yang mungkin dihadapi karyawan kita.
Penyedia SAT harus memperbarui program mereka secara konstan dan kita perlu memvalidasi bahwa pelatihan keamanan tersebut telah diperbarui dan menawarkan solusi terkini untuk potensi ancaman atau kerentanan.
Security awareness training bukan prioritas bagi karyawan baru
Selama proses orientasi, karyawan tidak berpikir “bagaimana saya bisa menjaga keamanan perusahaan?”, melainkan “bagaimana saya bisa melakukan pekerjaan saya?”
Security awareness training dan kesadaran dunia maya bukanlah prioritas bagi karyawan baru, tergantung pada seberapa tidak nyamannya.
Pelatihan ini mungkin hanya masuk telinga kanan, kemudian keluar dari telinga kiri, sebagian besar menghapus manfaat keamanan apa pun yang dirancang untuk disediakan oleh program SAT.
Kesalahan #2 – Tidak menguji atau menindaklanjuti dengan tes simulasi
Security awareness training harus menjadi upaya berkelanjutan selama itu wajar.
Secara realistis, kita tidak ingin menghabiskan semua waktu karyawan kita untuk melatih mereka tentang cara supaya sistem tetap aman.
Banyak penyedia program SAT yang memberikan simulasi atau tes dalam bentuk tes phishing atau rekayasa sosial.
Ini akan membantu kita melihat apakah karyawan kita, terutama di departemen kunci, tahu apa yang harus dilakukan dalam menghadapi potensi serangan spam, phishing atau email BEC.
Tidak hanya penting, tapi juga bisa untuk mengetahui bahwa mereka tidak akan mengklik atau mengunduh lampiran apa pun tanpa berpikir.
Mereka juga harus memperingatkan kita dan menandai email.
Tes dan simulasi real-world memungkinkan kita untuk melihat karyawan atau departemen yang mungkin tidak siap.
Ini bukan kesempatan untuk mempermalukan atau secara terbuka mencela individu/departemen, melainkan cara untuk memprioritaskan siapa yang membutuhkan pelatihan dan penindaklanjutan.
Kesalahan #3 – Memiliki SAT standar untuk semua karyawan
Tidak semua karyawan menanggung risiko yang sama dan pelatihan keamanan, kita harus mencerminkan hal itu.
Beberapa karyawan yang harus mengikuti security awareness training meliputi:
- Pemiliki akses ke aset, akun atau bagian sensitif dari jaringan yang dapat menyebabkan kerusakan signifikan jika disusupi atau diekspos.
- VIP/Eksekutif yang secara tidak sengaja dapat membocorkan informasi sensitif, detail tentang rencana yang akan datang, atau IP yang berharga jika akun mereka disusupi
- Departemen keuangan yang jika disusupi, dapat menyebabkan kerugian finansial atau bagian SDM yang biasanya menyimpan semua data pribadi tenaga kerja perusahaan kita.
Saat kita membangun program security awareness training, kita harus mempertimbangkan berbagai jenis risiko dan prioritas ini:
- Baseline SAT: Ini adalah jumlah minimum pelatihan keamanan yang harus dimiliki semua karyawan.
- Critical Departments: Ini disesuaikan oleh departemen dan memperhitungkan jenis serangan yang mungkin dialami perusahaan kita, jika salah satu departemen ini menjadi sasaran.
Departemen kunci dapat mencakup: teknik & pengembangan, SDM, keuangan, dan hukum.
- VAP (Very Attacked People): Ini mengacu pada individu tertentu yang mungkin paling menjadi sasaran penyerang, baik karena profil tinggi mereka dan akses unik ke data tertentu atau karena mereka adalah salah satu dari sedikit orang yang dapat mengirimkan muatan tertentu kepada peretas (misalnya: orang yang menyetujui faktur). Menjaga mereka dalam pikiran dan memberikan pelatihan khusus VAP sangat penting.
Pastikan Security Awareness Training Melengkapi Upaya Keamanan Kita
Dengan memberdayakan karyawan dengan pengetahuan untuk mengenali dan meningkatkan alarm jika terjadi serangan adalah penting, tetapi tanggung jawab kita tidak berakhir disini.
Kita juga harus memastikan jika kita memiliki kemampuan pencegahan, deteksi dan respons dasar (melalui alat, vendor, mitra, dll.) seperti Bitdefender Gravityzone adalah bagian dari postur keamanan keseluruhan yang kuat.
Jika kita disusupi, alat semacam ini, ditambah dengan karyawan yang berpengetahuan luas akan membantu kita untuk pulih lebih cepat sambil mengidentifikasi apa yang salah sehingga tidak terjadi lagi.
Yukk! Pastikan untuk Menyangkal Mitos Keamanan Siber ini dalam Pelatihan SAT Kita 😊
Recent Comments