Penting untuk mengingatkan manajemen puncak bahwa "membeli sistem perlindungan ini [atau itu]" bukanlah obat mujarab untuk semua masalah dunia maya, karena, menurut berbagai studi, antara 46% dan 77% dari semua insiden siber berhubungan dengan faktor manusia: dari ketidakpatuhan terhadap kebijakan dan orang dalam yang jahat hingga kurangnya transparansi TI di pihak kontraktor. Meskipun demikian, masalah keamanan informasi akan selalu berkisar pada anggaran.
Investasikan dengan tepat
Anggaran untuk keamanan informasi selalu terbatas, sementara masalah yang harus diselesaikan di bidang ini tampaknya tidak terbatas. Penting untuk memprioritaskan sejalan dengan persyaratan industri dan dengan ancaman paling relevan terhadap organisasi Anda dan yang berpotensi menyebabkan kerusakan terbesar.
Namun, hampir tidak mungkin untuk mengurutkan probabilitas risiko ancaman secara mandiri, maka penting untuk mempelajari laporan lanskap ancaman bagi industri Anda dan menganalisis vektor tipikal serangan.
Ketika anggaran perlu ditingkatkan, maka situasi akan menjadi lebih kompleks. Pendekatan paling matang untuk anggaran keamanan adalah yang didasarkan pada risiko dan biaya aktualisasi dan minimalisasi serangan, tetapi juga yang paling padat karya.
Contoh langsung — idealnya dari pengalaman kompetitor — memainkan peran pendukung yang penting dalam diskusi anggaran. Meski begitu, anggaran tetap tidak mudah didapat. Oleh karena itu upaya lainnya dapat menggunakan berbagai tolok ukur yang memaparkan anggaran rata-rata di area bisnis dan negara tertentu.
Pertimbangkan semua jenis risiko
Diskusi tentang keamanan informasi biasanya terlalu fokus pada peretas (hacker) dan solusi perangkat lunak untuk mengalahkan mereka. Tetapi banyak organisasi masih menghadapi risiko dunia maya lainnya terkait keamanan informasi.
Tanpa diragukan lagi, salah satu yang paling lazim dalam beberapa tahun terakhir adalah risiko pelanggaran undang-undang tentang penyimpanan dan penggunaan data pribadi: Regulasi umum perlindungan data, privasi konsumen, dan sejenisnya. Praktik penegakan hukum saat ini menunjukkan bahwa mengabaikannya bukanlah suatu pilihan: cepat atau lambat regulator akan mengenakan denda, dan dalam banyak kasus — terutama di Eropa — nominalnya cukup besar.
Sejumlah industri memiliki kriteria sendiri, bahkan lebih ketat, khususnya sektor keuangan, telekomunikasi, dan medis, serta operator infrastruktur kritikal. Ini harus menjadi tugas manajer tingkat atas untuk memantau secara teratur dan meningkatkan kepatuhan seluruh internal perusahaan terhadap persyaratan peraturan di departemen mereka.
Menanggapi dengan benar
Secara umum, terlepas dari upaya terbaik, insiden keamanan siber hampir tidak dapat dihindari. Jika skala serangan cukup besar untuk menarik perhatian di ruang diskusi, hampir pasti itu berarti gangguan operasi atau kebocoran data penting. Tidak hanya keamanan informasi, unit bisnis juga harus siap merespon, idealnya dengan mengikuti pelatihan. Paling minimal, manajemen puncak harus mengetahui dan mengikuti prosedur keamanan. Ada tiga langkah mendasar untuk para CEO:
Segera beri tahu pihak-pihak kunci tentang suatu insiden; tergantung pada konteksnya: departemen keuangan dan hukum, perusahaan asuransi, regulator industri, regulator perlindungan data, penegakan hukum, pelanggan yang terkena dampak. Dalam banyak kasus, jangka waktu pemberitahuan tersebut ditetapkan oleh undang-undang, tetapi jika tidak, maka harus diatur dalam peraturan internal. Pemberitahuan harus cepat tetapi informatif; yaitu, sebelum memberi tahu, informasi tentang kriteria insiden harus dikumpulkan, termasuk penilaian skala awal dan tindakan respons pertama yang diambil.
Selidiki insiden tersebut. Penting untuk mengambil berbagai tindakan agar dapat menilai skala dan konsekuensi serangan dengan benar. Selain tindakan teknis murni, survei karyawan juga penting. Selama penyelidikan, sangat penting untuk tidak merusak bukti digital serangan atau artefak lainnya. Dalam beberapa kasus, melibatkan para ahli dari luar untuk menyelidiki dan membereskan insiden juga menjadi langkah tepat.
Menyusun jadwal komunikasi. Kesalahan umum yang dilakukan perusahaan adalah mencoba menyembunyikan atau meremehkan suatu insiden. Cepat atau lambat, skala masalah yang sebenarnya akan muncul, memperpanjang dan memperbesar kerusakan — dari reputasi hingga keuangan. Oleh karena itu, komunikasi eksternal dan internal harus teratur dan sistematis, sampaikan informasi secara konsisten dan bermanfaat bagi pelanggan dan karyawan. Mereka harus memiliki pemahaman konkret tentang tindakan apa yang harus segera dilakukan dan potensi scenario di masa depan. Merupakan ide bagus untuk memusatkan komunikasi; yaitu, menunjuk juru bicara internal dan eksternal.
Mengkomunikasikan masalah keamanan informasi kepada manajemen puncak adalah tugas yang mungkin memakan waktu dan tidak selalu memperoleh hasil, jadi lima tips diatas tidak mungkin disampaikan dan ditanggapi hanya dalam satu atau dua pertemuan. Interaksi antara departemen bisnis dan keamanan informasi merupakan proses berkelanjutan yang membutuhkan upaya bersama untuk memahami satu sama lain. Melalui pendekatan langkah-demi-langkah yang sistematis, yang dilakukan secara teratur dan melibatkan hampir semua eksekutif, perusahaan Anda dapat mengungguli pesaing dalam menavigasi lanskap dunia maya terkini.
| Penulis | : | Adam Rizal |
| Editor | : | Adam Rizal |
KOMENTAR