- Keamanan adalah fungsi bisnis inti yang memengaruhi reputasi organisasi dan bisnis.
- Pelatihan keamanan yang efektif dapat meningkatkan postur keamanan organisasi dan mengurangi risiko pelanggaran.
- Implementasi fungsi keamanan yang komprehensif dapat meningkatkan ketahanan bisnis dan organisasi dalam menghadapi ancaman siber.
pibitek.biz -Oktober merupakan Bulan Kesadaran Keamanan Siber Nasional di Amerika Serikat, di mana tim TI biasanya menyiapkan program pelatihan dan kesadaran keamanan tahunan. Bagi banyak karyawan, ini mungkin merupakan interaksi mereka yang pertama dan terakhir dengan tim keamanan di luar masa orientasi, mengajukan tiket bantuan, atau melaporkan potensi insiden. Namun, setiap individu berperan dalam fungsi keamanan perusahaan setiap hari, baik mereka sadari atau tidak. Hal ini menjadikan setiap orang berpotensi menjadi aset atau risiko bagi postur keamanan tim.
2 – Samsung: Pembaruan Galaxy S22 Oktober 2024, Perbaiki 42 Kerentanan 2 – Samsung: Pembaruan Galaxy S22 Oktober 2024, Perbaiki 42 Kerentanan
3 – Ancaman Cerberus, Trojan Perbankan yang Sulit Dideteksi 3 – Ancaman Cerberus, Trojan Perbankan yang Sulit Dideteksi
Menurut laporan "Data Breach Investigations Report 2024" dari Verizon, 68% dari semua pelanggaran melibatkan faktor manusia, di mana individu terlibat baik melalui kesalahan, penggunaan kredensial yang dicuri, atau rekayasa sosial. Meskipun mengeksploitasi kerentanan teknis semakin sering digunakan sebagai cara awal bagi penyerang, kredensial yang dicuri dan phishing masih menjadi penyebab utama pelanggaran yang tercatat. Keamanan merupakan fungsi bisnis inti, sama pentingnya dengan keuangan, pembangkitan pendapatan, atau departemen produk bagi keberhasilan organisasi.
Keamanan juga merupakan faktor utama dalam membentuk reputasi perusahaan, khususnya memengaruhi persepsi publik dan internal tentang apakah perusahaan dapat dipercaya dan dapat diandalkan. Untuk memahami dampak mendalam dari keamanan yang dirasakan (atau ketidakamanan) terhadap citra publik dan laba, seseorang hanya perlu melihat ulasan pelanggan atau harga saham bisnis besar sebelum dan sesudah pelanggaran atau gangguan yang dipublikasikan. Keamanan memiliki dampak yang signifikan terhadap penilaian perusahaan sebagai entitas yang dapat diandalkan dan aman untuk berbisnis.
Perbedaan antara program keamanan yang sukses dan rentan terletak pada komunikasi nilai tersebut secara teratur dan efektif. Di beberapa organisasi, CISO atau CIO dapat mengadvokasi keamanan di tingkat eksekutif, menginformasikan pemimpin dan pemangku kepentingan lainnya tentang kebutuhan dan nilainya. Namun, di sebagian besar bisnis, tanggung jawab ini jatuh ke tangan pemimpin tim TI, yang menambah beban kerja mereka yang sudah berat. Meskipun mungkin tampak seperti promosi diri atau pekerjaan tambahan, meluangkan waktu untuk meringkas ancaman yang dihentikan, proses yang ditingkatkan, proyek yang diselesaikan, dan anggota tim yang menunjukkan perilaku keamanan yang kuat sangat berharga.
Upaya ini memastikan bahwa manfaat dan nilai dari program keamanan tetap menjadi prioritas bagi kepemimpinan, daripada dibayangi oleh masalah anggaran kuartal berikutnya atau harapan untuk menghindari berita buruk. Sebelum memulai dari awal, cari sumber daya yang ada dengan menanyakan kepada vendor dan mitra mereka tentang laporan kinerja dan metrik apa yang dapat mereka berikan. Banyak alat kemungkinan sudah memiliki fungsi audit atau pelaporan template lainnya, dan beberapa bahkan mungkin menawarkan ringkasan khusus atau pengarahan eksekutif yang dirancang untuk memperbarui pemimpin tentang kemajuan.
Saat memilih metrik, tanyakan apakah metrik tersebut benar-benar memajukan tujuan keamanan yang efektif. Sebagai contoh, kesalahan umum dalam pelatihan phishing adalah hanya melacak jumlah orang yang mengklik tautan sebelum dan sesudah pelatihan. Meskipun mengurangi klik berisiko bermanfaat, mengurangi jumlah tersebut menjadi nol tidak mungkin. Sebaliknya, fokus pada seberapa cepat seseorang melaporkan phish secara material dapat mengurangi waktu yang dibutuhkan untuk mendeteksi dan menghentikan serangan dunia nyata.
Sekarang pelatihan dapat menekankan pentingnya melaporkan aktivitas yang mencurigakan, bahkan jika karyawan awalnya tertipu oleh phish. Pendekatan ini mendorong keterbukaan daripada keheningan yang muncul dari rasa takut atau malu, dan memberi penghargaan kepada perilaku proaktif dapat secara signifikan meningkatkan kemungkinan anggota tim untuk menjangkau ketika ada sesuatu yang tidak beres. Ingatlah bahwa apa yang diukur akan dikelola. Dengan hati-hati memilih dan melacak metrik keamanan yang bermakna akan meningkatkan postur keamanan dan menunjukkan nilai nyata dari program keamanan kepada organisasi.
Pendekatan yang berfokus pada data ini dapat membantu mengamankan sumber daya yang diperlukan dan mendukung inisiatif keamanan yang berkelanjutan, mengubah fungsi keamanan dari pusat biaya menjadi pendorong nilai bagi bisnis. Sering kali, keamanan dipandang sebagai Departemen Tidak: penghalang produktivitas, yang terbaik tidak terlihat dan tidak terdengar. Jika sebagian besar interaksi keamanan dianggap membosankan dan/atau membingungkan atau membuat frustrasi dan/atau menakutkan, orang-orang akan menghindari interaksi di masa mendatang.
Pada kenyataannya, keamanan bekerja tanpa lelah untuk menjaga organisasi dan orang-orang di dalamnya tetap aman dan terlindungi dari berbagai risiko. Apa yang mungkin terasa seperti penolakan sewenang-wenang dari perspektif rekan kerja mungkin sangat didukung oleh kebijakan yang baik. Meningkatkan persepsi ini bukan berarti meninggalkan kontrol atau menyetujui setiap permintaan. Sebaliknya, hal itu mengharuskan penjelasan yang jelas tentang mengapa kebijakan diterapkan, pengumpulan umpan balik secara teratur tentang proses yang terbukti menjadi hambatan, dan memamerkan kemenangan sebagai bagian dari alur bisnis normal.
Kesalahan dapat lebih dari sekadar tiket bantuan tambahan bagi tim TI untuk ditangani atau ketidakteraturan untuk diselidiki: Kesalahan tersebut dapat memberikan umpan balik yang berharga tentang di mana suatu proses tidak intuitif atau tidak dipahami. Membahas mengapa seseorang menyimpang dari jalur yang diizinkan dapat membantu mengidentifikasi dokumentasi yang membingungkan, kasus penggunaan yang tidak dipertimbangkan, atau umpan balik kualitatif lainnya yang terlewat melalui apa yang dapat ditangkap dalam log sistem. Sebagian besar orang tidak memiliki pakar keamanan yang siap siaga dalam kehidupan pribadi mereka, dan ini memberi tim keamanan kesempatan unik untuk membantu, sambil membangun hubungan mereka dengan tim secara keseluruhan.
Alih-alih hanya merilis modul pelatihan klik-melalui untuk memenuhi persyaratan asuransi dan kepatuhan, perlakukan pendidikan sebagai kesempatan lain untuk memberikan manfaat karyawan. Beri tahu karyawan tentang serangan dan penipuan yang sedang tren, sehingga mereka dapat mengetahui dan menginformasikan anggota keluarga yang berpotensi rentan. Ajarkan kepada mereka tentang kebiasaan keamanan yang baik, tidak hanya pada sistem kerja tetapi juga pada situs yang mungkin mereka gunakan dalam kehidupan sehari-hari, seperti media sosial atau perbankan pribadi.
Praktik ini tidak hanya membantu menjaga tim kamu tetap aman dari ancaman ketika mereka tidak sedang bekerja, tetapi juga memberi umpan balik ke dalam keamanan organisasi dengan menjadikan mereka target yang lebih sulit bagi penyerang. Akan sangat bagus jika penyerang libur pada malam hari dan akhir pekan, tetapi pada kenyataannya kita tahu mereka akan mengejar akses di mana pun (dan melalui siapa pun) akses tersebut tersedia. Membagikan beberapa kiat setiap minggu selama pertemuan tim, di obrolan tim, dan dalam pembaruan semua tangan juga lebih mudah dicerna oleh orang-orang.
Lebih mudah untuk menyerap beberapa kiat setiap minggu daripada menahan keinginan untuk tidak mendengarkan sesi pelatihan berjam-jam yang kering dan monoton. Pendekatan ini juga meningkatkan retensi. Menurut penelitian Hermann Ebbinghaus tentang memori dan "kurva lupa", kita lupa sebagian besar informasi yang baru dipelajari dalam beberapa hari setelah mempelajarinya. Namun, iterasi kedua dari meninjau informasi yang sama akan meningkatkan baik persentase informasi yang diingat dan berapa lama informasi tersebut akan diingat.
Pengingat dan perluasan reguler tentang suatu topik akan menghasilkan pemahaman yang lebih lengkap dan pemanggilan kembali topik yang tangguh. Mengubah hubungan keamanan dari penghindaran menjadi penguatan, keselamatan, dan bimbingan yang andal akan memotivasi orang untuk mendengarkan pesan keamanan dengan lebih saksama. Pemahaman dan penerimaan yang lebih besar menumbuhkan pola pikir keamanan yang lebih kuat di seluruh tim, mendefinisikan keamanan sebagai fungsi bersama yang proaktif daripada fungsi yang reaktif dan khusus.
Keamanan adalah upaya kolektif, dan membantu tim kamu tetap aman di dalam dan di luar tempat kerja akan menguntungkan mereka dan organisasi. Dengan mendefinisikan kembali keamanan sebagai sekutu tepercaya daripada email atau undangan rapat yang ditakutkan, kita dapat menciptakan lingkungan yang lebih tangguh dan aman untuk semua. Ingatlah, ketika berbicara tentang keamanan, kita memang lebih kuat bersama.
