Statisik menunjukkan, 62% manajer puncak yang disurvei oleh Kaspersky mengakui bahwa kesalahpahaman antara departemen keamanan informasi (TI) dan bisnis telah menyebabkan insiden dunia maya yang serius. Untuk mengubah cara karyawan dalam menyikapi keamanan informasi di suatu organisasi, sangat penting untuk mendapatkan dukungan di tingkat tertinggi — yaitu dari para dewan direksi.
Jadi, apa saja yang harus diberitahukan kepada CEO atau direktur Anda, mengingat mereka selalu sibuk dan bisa jadi hal terkait keamanan informasi menjadi terlewat?
Berikut adalah lima kunci sederhana bagi para manajemen puncak agar pesan keamanan siber dapat lebih mudah dipahami.
Memberikan Pelatihan Keamanan Tim Siber Mulai Dari C-Level
Sebagai contoh, skandal akhir tahun 2022 di Amerika Serikat ketika penyerang menembus jejaring sosial VIP Infragard, yang digunakan oleh FBI untuk secara rahasia memberi tahu CEO perusahaan besar tentang ancaman dunia maya yang paling serius. Peretas mencuri database dengan alamat email dan nomor telepon lebih dari 80.000 anggota dan menjualnya seharga US$50.000. Berbekal informasi kontak ini, mereka yang membelinya memperoleh kepercayaan dari CEO yang terpengaruh, atau menggunakannya dalam serangan BEC. Terkadang CEO menjadi korban serangan “swatting” yang cukup berbahaya.
Dengan mempertimbangkan hal di atas, sangat penting bagi manajemen untuk menggunakan autentikasi dua faktor dengan token USB atau NFC di semua perangkat, memiliki kata sandi yang panjang dan unik untuk semua akun kerja, melindungi seluruh perangkat pribadi dan perusahaan dengan perangkat lunak yang sesuai, serta menjaga barang pribadi dan digital terpisah.
Penting untuk memeriksa ulang semua email dan lampiran yang mencurigakan. Beberapa eksekutif mungkin memerlukan bantuan dari seseorang dari departemen keamanan informasi untuk menangani tautan atau file yang sangat mencurigakan.
Setelah manajemen atas menguasai pelajaran keamanan dasar, Anda dapat membimbing mereka dengan lembut menuju keputusan strategis: pelatihan keamanan informasi reguler untuk semua karyawan perusahaan. Ada persyaratan pengetahuan yang berbeda untuk setiap tingkat karyawan. Setiap orang, termasuk karyawan garis depan, perlu mengasimilasi aturan kebersihan dunia maya yang disebutkan di atas serta tips tentang cara menanggapi situasi yang mencurigakan atau abnormal.
Manajer — terutama yang berada di departemen TI — akan mendapat manfaat dari pemahaman yang lebih dalam tentang bagaimana keamanan diintegrasikan ke dalam pengembangan produk, kebijakan keamanan apa yang diterapkan di divisi mereka, dan bagaimana upaya tersebut dapat memengaruhi kinerja bisnis.
Sebaliknya, karyawan infosec sendiri harus mempelajari proses bisnis yang diterapkan di perusahaan untuk mendapatkan pemahaman yang lebih baik tentang cara mengintegrasikan perlindungan yang diperlukan.
Integrasikan Keamanan Siber Ke Dalam Strategi Dan Proses Perusahaan
Saat ekonomi merangkul digital, lanskap kejahatan dunia maya menjadi rumit, dan regulasi semakin intensif, manajemen risiko dunia maya menjadi tugas prioritas. Ada aspek teknologi, manusia, keuangan, hukum, dan organisasi untuk ini, sehingga para pemimpin di semua bidang ini perlu dilibatkan dalam mengadaptasi strategi dan proses perusahaan.
Penting untuk mengingatkan manajemen puncak bahwa "membeli sistem perlindungan ini [atau itu]" bukanlah obat mujarab untuk semua masalah dunia maya, karena, menurut berbagai studi, antara 46% dan 77% dari semua insiden siber berhubungan dengan faktor manusia: dari ketidakpatuhan terhadap kebijakan dan orang dalam yang jahat hingga kurangnya transparansi TI di pihak kontraktor. Meskipun demikian, masalah keamanan informasi akan selalu berkisar pada anggaran.
Investasikan dengan tepat
Anggaran untuk keamanan informasi selalu terbatas, sementara masalah yang harus diselesaikan di bidang ini tampaknya tidak terbatas. Penting untuk memprioritaskan sejalan dengan persyaratan industri dan dengan ancaman paling relevan terhadap organisasi Anda dan yang berpotensi menyebabkan kerusakan terbesar.
Namun, hampir tidak mungkin untuk mengurutkan probabilitas risiko ancaman secara mandiri, maka penting untuk mempelajari laporan lanskap ancaman bagi industri Anda dan menganalisis vektor tipikal serangan.
Ketika anggaran perlu ditingkatkan, maka situasi akan menjadi lebih kompleks. Pendekatan paling matang untuk anggaran keamanan adalah yang didasarkan pada risiko dan biaya aktualisasi dan minimalisasi serangan, tetapi juga yang paling padat karya.
Contoh langsung — idealnya dari pengalaman kompetitor — memainkan peran pendukung yang penting dalam diskusi anggaran. Meski begitu, anggaran tetap tidak mudah didapat. Oleh karena itu upaya lainnya dapat menggunakan berbagai tolok ukur yang memaparkan anggaran rata-rata di area bisnis dan negara tertentu.
Pertimbangkan semua jenis risiko
Diskusi tentang keamanan informasi biasanya terlalu fokus pada peretas (hacker) dan solusi perangkat lunak untuk mengalahkan mereka. Tetapi banyak organisasi masih menghadapi risiko dunia maya lainnya terkait keamanan informasi.
Tanpa diragukan lagi, salah satu yang paling lazim dalam beberapa tahun terakhir adalah risiko pelanggaran undang-undang tentang penyimpanan dan penggunaan data pribadi: Regulasi umum perlindungan data, privasi konsumen, dan sejenisnya. Praktik penegakan hukum saat ini menunjukkan bahwa mengabaikannya bukanlah suatu pilihan: cepat atau lambat regulator akan mengenakan denda, dan dalam banyak kasus — terutama di Eropa — nominalnya cukup besar.
Sejumlah industri memiliki kriteria sendiri, bahkan lebih ketat, khususnya sektor keuangan, telekomunikasi, dan medis, serta operator infrastruktur kritikal. Ini harus menjadi tugas manajer tingkat atas untuk memantau secara teratur dan meningkatkan kepatuhan seluruh internal perusahaan terhadap persyaratan peraturan di departemen mereka.
Menanggapi dengan benar
Secara umum, terlepas dari upaya terbaik, insiden keamanan siber hampir tidak dapat dihindari. Jika skala serangan cukup besar untuk menarik perhatian di ruang diskusi, hampir pasti itu berarti gangguan operasi atau kebocoran data penting. Tidak hanya keamanan informasi, unit bisnis juga harus siap merespon, idealnya dengan mengikuti pelatihan. Paling minimal, manajemen puncak harus mengetahui dan mengikuti prosedur keamanan. Ada tiga langkah mendasar untuk para CEO:
Segera beri tahu pihak-pihak kunci tentang suatu insiden; tergantung pada konteksnya: departemen keuangan dan hukum, perusahaan asuransi, regulator industri, regulator perlindungan data, penegakan hukum, pelanggan yang terkena dampak. Dalam banyak kasus, jangka waktu pemberitahuan tersebut ditetapkan oleh undang-undang, tetapi jika tidak, maka harus diatur dalam peraturan internal. Pemberitahuan harus cepat tetapi informatif; yaitu, sebelum memberi tahu, informasi tentang kriteria insiden harus dikumpulkan, termasuk penilaian skala awal dan tindakan respons pertama yang diambil.
Selidiki insiden tersebut. Penting untuk mengambil berbagai tindakan agar dapat menilai skala dan konsekuensi serangan dengan benar. Selain tindakan teknis murni, survei karyawan juga penting. Selama penyelidikan, sangat penting untuk tidak merusak bukti digital serangan atau artefak lainnya. Dalam beberapa kasus, melibatkan para ahli dari luar untuk menyelidiki dan membereskan insiden juga menjadi langkah tepat.
Menyusun jadwal komunikasi. Kesalahan umum yang dilakukan perusahaan adalah mencoba menyembunyikan atau meremehkan suatu insiden. Cepat atau lambat, skala masalah yang sebenarnya akan muncul, memperpanjang dan memperbesar kerusakan — dari reputasi hingga keuangan. Oleh karena itu, komunikasi eksternal dan internal harus teratur dan sistematis, sampaikan informasi secara konsisten dan bermanfaat bagi pelanggan dan karyawan. Mereka harus memiliki pemahaman konkret tentang tindakan apa yang harus segera dilakukan dan potensi scenario di masa depan. Merupakan ide bagus untuk memusatkan komunikasi; yaitu, menunjuk juru bicara internal dan eksternal.
Mengkomunikasikan masalah keamanan informasi kepada manajemen puncak adalah tugas yang mungkin memakan waktu dan tidak selalu memperoleh hasil, jadi lima tips diatas tidak mungkin disampaikan dan ditanggapi hanya dalam satu atau dua pertemuan. Interaksi antara departemen bisnis dan keamanan informasi merupakan proses berkelanjutan yang membutuhkan upaya bersama untuk memahami satu sama lain. Melalui pendekatan langkah-demi-langkah yang sistematis, yang dilakukan secara teratur dan melibatkan hampir semua eksekutif, perusahaan Anda dapat mengungguli pesaing dalam menavigasi lanskap dunia maya terkini.
| Penulis | : | Adam Rizal |
| Editor | : | Adam Rizal |
KOMENTAR