Kita telah mengamati secara langsung bahwa meskipun teknologi memainkan peran penting dalam melindungi organisasi, elemen manusia juga sama pentingnya. Sering dikatakan bahwa protokol keamanan yang paling canggih pun bisa dirusak oleh satu klik dari karyawan yang kurang informasi atau ceroboh. Mari kita bahas ‘faktor manusia’ yang sering diabaikan dan memberikan rekomendasi untuk membantu bisnis memperkuat mata rantai terlemah dalam rantai keamanan siber.
Lanskap ancaman saat ini
Lanskap keamanan siber global sangat kompleks dan terus berubah, dengan kerentanan dan ancaman baru yang muncul hampir setiap hari. Kami telah menempuh perjalanan panjang dalam menerapkan Arsitektur Zero Trust, menerapkan algoritme kecerdasan buatan (AI) yang canggih, firewall, sistem deteksi intrusi, dan banyak lagi untuk melindungi organisasi. Namun, cukup mengejutkan untuk dicatat bahwa sebagian besar insiden ancaman keamanan tidak semata-mata disebabkan oleh teknik peretasan yang canggih, tetapi sering kali disebabkan oleh kesalahan manusia.
Kesalahan manusia, seperti tertipu oleh email phishing, praktik kata sandi yang lemah, atau kebocoran data yang tidak disengaja, dapat membuat jaringan yang dibentengi oleh organisasi menjadi rentan. Kesalahan-kesalahan ini tidak hanya terbatas pada staf junior, bahkan para eksekutif pun bisa menjadi mangsa serangan semacam itu. Jelaslah bahwa tidak ada yang kebal, sehingga faktor manusia menjadi perhatian penting bagi setiap organisasi.
Biaya kelalaian
Mengabaikan faktor manusia bisa mengakibatkan kerugian finansial yang cukup besar, reputasi yang rusak, dan hilangnya kepercayaan pelanggan. Terkadang, kerusakan tidak dapat dipulihkan. Setelah terjadi insiden, organisasi sering kali menyadari bahwa mereka dapat menghindari pelanggaran seandainya mereka berinvestasi dalam langkah-langkah keamanan yang berpusat pada manusia yang memadai.
Strategi untuk Mengurangi Risiko yang Diakibatkan oleh Manusia
Di dunia yang dipenuhi dengan ancaman siber, hanya berfokus pada solusi teknologi sama saja dengan membangun benteng tetapi membiarkan pintu gerbangnya tidak dijaga. Faktanya, Rupal Hollenbeck, Presiden Check Point, sering mengatakan bahwa keamanan siber sebenarnya adalah tentang “orang, proses, dan teknologi, dalam urutan itu.” Dengan meningkatkan kesadaran dan pemahaman tentang faktor manusia dalam keamanan siber, organisasi dapat membangun pertahanan yang lebih kuat dan komprehensif terhadap ancaman siber.
Kita dapat melakukan perubahan tertentu untuk mengurangi risiko ini dengan melakukan hal-hal berikut:
Serangan phishing
Seni menipu adalah alat terbaik peretas. Karyawan sering menjadi korban email atau pesan yang terlihat asli, tetapi dirancang untuk mengumpulkan informasi sensitif atau menginstal malware. Sebagian besar organisasi menjaga pertahanan mereka terbatas pada email perusahaan dan mengabaikan vektor ancaman terbesar di sekitar Pertahanan Ancaman Seluler, melindungi karyawan agar tidak menjadi mangsa serangan SMS atau smishing melalui aplikasi obrolan yang berbeda atau email pribadi yang berjalan pada perangkat seluler yang sama. Faktanya, biaya rata-rata pelanggaran phishing adalah $4,76 juta. Hal ini jelas perlu menjadi fokus untuk perlindungan yang lebih baik.
Pelatihan dunia maya
Sebagian besar organisasi melakukan latihan phishing satu kali untuk memenuhi kebutuhan kepatuhan dan lupa bahwa ancaman siber terus berkembang. Karyawan harus terus memperbarui pertahanan mereka terhadap ancaman yang terus berkembang ini.
Pelatihan rutin mengenai kebersihan siber yang baik sangat penting untuk mengurangi kemungkinan kesalahan manusia yang menyebabkan pelanggaran. Kabar baiknya, ada banyak pilihan pelatihan, mulai dari ruang pelarian virtual, permainan phishing, hingga kursus siber tingkat lanjut.
Manajemen kredensial
Para pemimpin keamanan di seluruh industri memiliki tugas yang menantang untuk memastikan bahwa aset digital organisasi mereka terlindungi. Salah satu aspek kunci dari hal ini adalah manajemen kata sandi. Berikut ini beberapa praktik terbaik yang direkomendasikan.
- Arsitektur Tanpa Kepercayaan: Terapkan model tanpa kepercayaan di mana tidak ada pengguna atau sistem yang dipercaya secara default. Semua harus melalui verifikasi dan autentikasi, terlepas dari lokasi mereka relatif terhadap perimeter jaringan.
- Sistem Masuk Tunggal (SSO): Pertimbangkan untuk menerapkan solusi SSO untuk mengurangi jumlah kata sandi yang harus diingat oleh karyawan. Namun, pastikan bahwa solusi SSO itu sendiri sangat aman
- Autentikasi Multi-Faktor (MFA): Menerapkan MFA menambahkan lapisan keamanan ekstra, biasanya melibatkan sesuatu yang diketahui pengguna (kata sandi) dan sesuatu yang dimiliki pengguna (perangkat seluler untuk menerima kode sekali pakai pada Aplikasi Autentikator atau pesan teks)
- Audit Berkala: Lakukan audit berkala untuk memastikan bahwa kebijakan kata sandi dipatuhi. Banyak sistem modern yang memungkinkan admin untuk melihat apakah pengguna menggunakan ulang kata sandi atau jika mereka tidak cukup sering menggantinya.
- Kebijakan Penguncian Akun: Terapkan kebijakan penguncian akun yang mengunci akun untuk sementara waktu setelah sejumlah percobaan login yang gagal. Hal ini bisa menggagalkan serangan brute force, tetapi harus diimbangi dengan tidak mengunci pengguna yang sah secara tidak sengaja.
- Masa Berlaku dan Rotasi Kata Sandi: Mewajibkan pengguna untuk mengganti kata sandi mereka secara teratur dapat mencegah penyerang untuk mendapatkan akses yang lama ke sebuah akun. Namun, hal ini perlu diimbangi karena perubahan yang sangat sering dapat menyebabkan pilihan kata sandi yang buruk.
Checkpoint sebagai salah satu partner Berca Hardayaperkasa siap menjadi konsultasi dan memberikan solusi Perusahaan Anda dapat menanyakan langsung terkait keamanan Checkpoint pada tim Berca di Marketing@berca.co.id atau WhatsApp.
