7 Menit Membaca–
Setiap perusahaan atau organisasi memiliki sejumlah bentuk informasi yang setiap hari digunakan untuk keperluan bisnis. Untuk melindungi informasi yang bersifat sensitif seperti: informasi pembayaran pelanggan, data karyawan, atau informasi strategis lainnya.
Perusahaan sangat penting untuk mengambil langkah-langkah pengamanan informasi. Organisasi harus memastikan bahwa informasi tersebut tidak pernah memasuki akses yang bisa dibuka oleh publik.
Mencapai keamanan informasi, perusahaan dapat memberikan edukasi kepada karyawan tentang pentingnya keamanan informasi. Berikut ini uraian tentang keamanan siber dan informasi milik perusahaan.
Pentingnya Edukasi Keamanan Informasi
Berdasarkan, laporan Tempo.co pada Juli 2019 disebutkan bahwa banyak karyawan yang abaikan keamanan data kredensial perusahaan.
Penelitian Kaspersky mengungkapkan bahwa 80 persen karyawan merasa tidak perlu bertanggung jawab untuk memastikan email, file, dan dokumen memiliki izin akses yang tepat, terlepas dari mereka yang membuatnya atau tidak.
Head of Information Security Kaspersky Andrey Evdokimov, mengatakan bahwa data pribadi yang sensitif, rincian pembayaran, dan kode otorisasi hanyalah beberapa contoh dari data kredensial dalam perusahaan untuk menjaga bisnis tetap berjalan secara efisien.
Namun para staf tidak menyimpan rincian ini dengan aman atau benar. Hanya lebih dari setengah (56 persen) karyawan secara teratur menghapus item yang sudah tidak digunakan dari kotak masuk e-mail, dan hanya sepertiga (34 persen) yang menyingkirkan file usang pada perangkat keras mereka.
Certification of ISO 27001:2013
Kekacauan digital ini menjadi masalah yang lebih besar ketika informasi disimpan di tempat-tempat yang sulit dikendalikan, seperti cloud, folder bersama, atau saat file ditransfer. Peningkatan pesat dalam jumlah file yang dihasilkan menjadi lebih sulit bagi organisasi untuk mengelola informasi perusahaan.
Meskipun demikian, mereka masih bertanggung jawab untuk memastikan bahwa data sensitif atau rahasia tidak mudah diakses dan ditemukan oleh pihak luar. Jika seorang karyawan saja dapat menemukan gaji rekan kerja mereka, lalu mengapa peretas tidak?
Bisnis mengandalkan staf dalam mengelola data dengan aman. Jika karyawan dan organisasi dapat mengatasi tantangan keamanan informasi bersama, besar kemungkinan untuk menumbuhkan etos dan budaya perusahaan di mana semua orang peduli untuk melindungi bisnis dan keamanannya, serta membantu satu sama lain untuk mencapainya.
Di sinilah memberikan edukasi kepada karyawan sangat penting demi memahami pentingnya keamanan data, peran mereka di dalamnya dan langkah-langkah yang perlu diambil untuk menjaga keamanan data. Hanya dengan langkah tersebut karyawan dapat mengelola informasi profesional dan pribadi mereka jauh lebih baik.
6 Alasan Karyawan Harus Paham Keamanan Informasi atau Siber
Karyawan dalam organisasi perlu mulai mengambil inisiatif untuk memperkuat keamanan siber mereka. Berikut uraian 6 alasan utama mengapa setiap perusahaan harus berinvestasi dalam program pelatihan kesadaran keamanan siber untuk karyawan dan bagaimana mereka dapat memberi manfaat bagi organisasi secara keseluruhan.
- Serangan Meningkat Karena banyak Karyawan Bekerja Dari Rumah
Banyak organisasi tidak siap dengan perubahan dramatis yang disebabkan oleh pandemi Covid-19 dan terpaksa bekerja dari jarak jauh. Penjahat dunia maya memanfaatkan perubahan ini di lingkungan kerja untuk mengejar perangkat yang tidak aman.Banyaknya pekerjaan jarak jauh telah memperluas penggunaan layanan yang berpotensi rentan seperti jaringan pribadi virtual (VPN), Mesin Windows yang tidak ditambal, dan tidak adanya keamanan di rumah, sehingga meningkatkan bahaya bagi orang dan perusahaan.Oleh karena itu, penting bagi karyawan untuk mengambil langkah-langkah keamanan yang tepat untuk menghindari menjadi korban potensi ancaman dunia maya. - Meningkatkan Standar Keamanan Informasi
Setiap organisasi bekerja untuk menerapkan kebijakan dan kontrol keamanan. Program pelatihan keamanan siber menjelaskan kebijakan ini dan menunjukkan kepada karyawan bagaimana berbagai prosedur dan kerangka kerja berkoordinasi dan bekerja sama.Modul pelatihan memastikan anggota staf memahami tantangan yang dihadapi oleh masalah keamanan dan mengetahui cara menangani masalah apa pun yang muncul. Pada skala yang lebih luas, ini membantu karyawan melacak masalah keamanan yang muncul dan menguranginya sebelum meningkat dan menjadi lebih buruk.Sebagian besar insiden kejahatan dunia maya dimulai dalam skala yang lebih kecil dan tidak menjadi pelanggaran data besar-besaran sampai semuanya terlambat. Dengan demikian, program pelatihan keamanan siber membantu menghindari kasus seperti itu dengan mengedukasi pengguna dan meningkatkan protokol keamanan informasi. - Mengatasi Masalah yang Berkaitan Dengan Kesalahan Manusia
Menurut IBM Cyber Security Intelligence Index, 95% pelanggaran keamanan informasi disebabkan oleh kesalahan manusia, dan firewall tidak dapat mencegah anggota staf menyerah pada email phishing.Organisasi dapat menghabiskan jutaan perangkat lunak keamanan mutakhir, tetapi semua ini tidak akan menjadi masalah jika karyawan dipersiapkan dengan tepat tentang cara terbaik untuk mengenali dan bereaksi terhadap serangan siber.Jauh lebih mudah bagi penjahat dunia maya untuk menghabiskan waktu yang singkat untuk membuat email phishing daripada menghabiskan waktu berbulan-bulan untuk menyelidiki kerentanan zero-day.Jika karyawan tidak siap menghadapi serangan siber, fakta yang disayangkan adalah perusahaan juga menjadi tidak siap. Dengan demikian, program pelatihan dapat membantu meningkatkan kesadaran dan pengetahuan agar lebih rentan terhadap ancaman apa pun, mulai dari phishing hingga keamanan fisik. - Mengurangi Tingkat Kecemasan dan Stres di Tempat Kerja
Semua orang bisa gelisah setelah adanya insiden kejahatan dunia maya, karena menimbulkan kurangnya kepercayaan dan adanya suasana negatif di tempat kerja setelah sebuah kasus. Karena kurangnya kesadaran dunia maya, karyawan tidak tahu apa yang salah atau apakah ada orang di tempat kerja yang berperan dalam peristiwa tersebut.Program pelatihan keamanan siber karyawan yang baik dapat menghilangkan stres di tempat kerja dengan menanamkan kepercayaan diri karyawan tentang teknologi dan prosedur keamanan siber. Ketika karyawan tahu bagaimana berinteraksi dengan data rahasia dan berkomunikasi dengan tim keamanan dan anggota staf secara online, mereka cenderung minim membuat kesalahan. - Mencegah Kerusakan Moneter Pada Organisasi
Seringkali ketika anggaran keamanan dikompilasi, fokus utamanya adalah pada teknologi seperti perangkat lunak dan AI. Tetapi ada satu area signifikan dari penganggaran keamanan siber yang sangat mempengaruhi organisasi namun sering diabaikan karyawan.Ketika karyawan memiliki pelatihan kesadaran keamanan terbaik, mereka lebih mungkin untuk segera melacak potensi ancaman dan melaporkan setiap insiden yang masuk.Gangguan operasional dalam organisasi dapat dicegah, dan Mencapai keamanan informasi, perusahaan dapat memberikan edukasi kepada karyawan tentang pentingnya keamanan informasi. dapat mengkarantina ancaman sebelum meningkat, sehingga tidak akan menyebabkan lebih banyak kerusakan finansial. Tetapi semua ini dimungkinkan ketika semua orang bekerja secara terkoordinasi, dan adanya kesadaran siber yang cukup. - Persyaratan Kepatuhan untuk Organisasi Secara Progresif Dipusatkan di Sekitar Pelatihan Karyawan
Kepatuhan seperti HIPAA dan PCI-DSS semuanya memiliki persyaratan yang menekankan pada pelatihan karyawan. Hal ini karena mereka memahami pentingnya melatih setiap karyawan dalam suatu organisasi, bukan hanya divisi TI. Ini juga termasuk menjamin bahwa semua karyawan benar-benar siap dengan peraturan ini dan memahami kewajiban yang mereka pegang.Peraturan seperti GDPR dan CCPA semuanya mencakup seperangkat aturan yang harus dipatuhi. Jika tidak, sebuah organisasi dapat didenda dan pada akhirnya membahayakan reputasi mereka. Oleh karena itu, dengan pelatihan kesadaran keamanan yang baik, organisasi dapat bersiap jika terjadi pelanggaran di dunia maya
7 Tips Edukasi Karyawan Tentang Keamanan Siber
Untuk meminimalkan risiko intrusi jaringan, perusahaan perlu memperkuat lini pertahanan pertama terhadap ancaman eksternal, alias melatih karyawan tentang kesadaran keamanan siber. Berikut 7 cara mengedukasi karyawan tentang praktik keamanan terbaik.
- Buat Keamanan Siber Jelas Bagi Karyawan
Langkah pertama untuk membiasakan karyawan dengan keamanan siber adalah dengan menguraikan pesan yang jelas tentang apa yang terjadi di perusahaan terkait keamanan siber. Pesan seperti itu harus dapat dimengerti, berhubungan, dan beragam. Rinciannya yaitu:
- Dapat Dimengerti
Hindari jargon teknis yang dapat membingungkan karyawan dan mengaburkan pesan. Jika memungkinkan, gunakan istilah yang disederhanakan dan dapat diakses oleh orang awam yang tidak berpikiran teknologi.
- Berhubungan
Saat berbicara tentang ancaman eksternal, kurangi tentang jaringan pusat dan lebih banyak tentang keamanan komputer pribadi dan intrusi jaringan rumah. Dengan cara ini, karyawan dapat secara pribadi berhubungan dengan bahaya jika dibingkai dalam bentuk ponsel atau laptop mereka.Hal ini memungkinkan mereka untuk memiliki kepentingan pribadi dalam rencana keamanan, sehingga tidak ada alasan pelanggaran data yang mempengaruhi seluruh perusahaan.
- Beragam
Sebuah email sederhana yang menguraikan semuanya mungkin tidak cukup. Pikirkan tentang berapa banyak email yang diterima oleh masing-masing karyawan. Dengan mendiversifikasi strategi komunikasi, perusahaan dapat memastikan bahwa karyawan membaca pesan, bukan mengabaikannya sebagai pengumuman biasa.
- Dorong Karyawan untuk Berhati-hati Pada Perangkat
Survei Forrester menemukan bahwa 15% pelanggaran perusahaan disebabkan oleh perangkat yang hilang. Baik itu perangkat perusahaan atau pribadi. Melatih karyawan tentang keamanan siber termasuk memberikan kesadaran bahwa gadget mereka bertindak sebagai pintu gerbang ke jaringan organisasi perusahaan. Hal ini membuatnya penting untuk merawat perangkat mereka dan menggunakannya dengan benar bahkan di dalam rumah mereka.
Bantu tingkatkan kepemilikan perangkat yang baik dengan melakukan hal berikut:
- Ajarkan perbedaan antara penggunaan pribadi dan perusahaan.
- Jadikan wajib untuk memiliki akun kerja yang tunduk pada pemantauan, penginstalan terbatas, dan pemfilteran web.
- Waspadalah terhadap kehilangan dan pencurian kuno.
- Pastikan patch keamanan dan pembaruan OS diikuti.
Certification of ISO 27001:2013
Solusi manajemen dan pemantauan perangkat, seperti Manajemen Jarak Jauh Perangkat Multi-OS dapat membantu mengurangi risiko dengan mengotomatiskan pembaruan push dan melacak status perangkat dan lokasinya setiap saat. Tapi ini hanya berfungsi sebagai cadangan, dan praktik terbaik keamanan pengguna akhir harus berada di tangan karyawan.
- Ajari Karyawan Cara Menemukan Aktivitas Mencurigakan
Tingkatkan kemampuan karyawan dalam menemukan aktivitas mencurigakan untuk meningkatkan kesadaran keamanan siber mereka dengan mengajari mereka untuk memperhatikan tanda-tanda berikut:
- Munculnya aplikasi atau program baru secara tiba-tiba di perangkat mereka.
- Munculan aneh selama startup, operasi normal, atau sebelum shutdown.
- Perangkat melambat.
- Ekstensi atau tab baru di browser.
- Kehilangan kendali atas mouse atau keyboard.
Dorong karyawan untuk segera melaporkan tanda-tanda yang mencurigakan. Bahkan jika ternyata itu adalah alarm palsu, mungkin masih bermanfaat bagi karyawan dengan membersihkan kesalahan di perangkat mereka yang menghambat produktivitas.
- Perkuat Kerahasiaan
Bekerja dari rumah cenderung membuat orang lebih puas, dan ini berpengaruh ke keamanan siber. Pelajari pentingnya kata sandi dan otentikasi bahkan jika mereka bekerja di PJ mereka masing-masing. Hanya karena mereka santai bukan berarti harus ada keamanan.Untuk menghindari ancaman keamanan siber terkait kerahasiaan, latih karyawan dengan melakukan hal berikut:
- Berlakukan perubahan kata sandi secara berkala dan unik.
- Ajari karyawan tentang bahaya menggunakan kata sandi universal, dan gunakan contoh nyata dari pelanggaran data masa lalu.
- Mereka bahkan mungkin ingin melihat apakah kata sandi akun pribadi mereka telah digadaikan.
- Diskusikan alasan di balik VPN, autentikasi multi-faktor, dan proses masuk aman lainnya, dan mengapa itu penting meskipun memakan waktu.
- Untuk memerangi penyimpanan data perusahaan yang tidak aman, berikan contoh nyata insiden data curian yang disebabkan oleh thumb drive yang salah atau akun Dropbox pribadi yang disusupi.
- Periksa Kasus Individual Pelanggaran Keamanan Siber
Tidak seperti lingkungan kantor dengan jaringan terkontrol, keamanan komputer rumah karyawan dapat sangat bervariasi. Beberapa mungkin terhubung melalui Wifi rumah mereka, sementara yang lain mungkin menggunakan koneksi dari Wifi publik di kedai kopi.
Certification of ISO 27001:2013
Beberapa mungkin memiliki perangkat lama yang tidak lagi didukung oleh patch keamanan, dan mungkin perlu untuk mengatasi masalah tersebut dengan:
- Mendorong karyawan untuk menggunakan perangkat yang disediakan perusahaan. Jika itu BYOD, periksa merek perangkat dan tahun model untuk melihat apakah ada eksploitasi yang luar biasa.
- Lakukan pemeriksaan keamanan jaringan rumah. Misalnya, beberapa router lama mungkin memiliki protokol WEP yang lebih lemah daripada WPA-2, atau beberapa bahkan mungkin memiliki kata sandi default.
- Perhatikan karyawan nomaden dan buat kebijakan keamanan untuk mereka, karena data roaming atau hotspot Wifi publik membawa ancaman unik mereka.
- Manfaatkan Kursus Keamanan Siber Online
Ada banyak sumber daya online untuk melatih karyawan tentang kesadaran keamanan siber, dan tidak semuanya harus dibayar. Sejumlah lembaga menyediakan kursus keamanan siber baik untuk tingkat manajemen dan karyawan.
- Jadikan Kesadaran Keamanan Siber Sebagai Percakapan yang Berkelanjutan
Rata-rata pekerja perusahaan menghabiskan hingga seperempat hari kerja mereka untuk tugas-tugas yang berhubungan dengan email. Hal ini membuat pesan email sekali pakai tentang keamanan siber menjadi pilihan yang buruk, karena mereka mungkin tidak dapat memahami pentingnya atau menyerap informasi dalam sekali duduk.
Berikut adalah beberapa praktik terbaik yang dapat diambil dengan menguraikan pengumuman keamanan informasi atau siber kepada karyawan:
- Gunakan pendekatan berbeda untuk pendidikan keamanan siber, seperti pengumuman reguler atau pembaruan buletin.
- Untuk setiap pembaruan, ikuti aturan KISS: Keep It Short and Simple. Dengan cara ini mereka dapat mengumpulkan pesan dan menyimpan informasi di tengah hari mereka yang sibuk.
- Ikuti tren saat ini. Jika ada jenis malware kripto baru atau eksploitasi yang membuat ponsel mogok dengan satu pesan, pastikan pesan itu sampai ke karyawan. Gunakan taktik yang menarik setiap kali membuat mereka menyerap pesan. Alih-alih membuat daftar statistik kering atau apa yang harus dan tidak boleh dilakukan, cobalah infografis yang penuh warna. Untuk topik yang panjang bisa mencoba penjelasan video.
- Mencoba tes keamanan siber untuk melihat apakah pelajarannya berhasil. Misalnya, sebagai bagian dari pendidikan keamanan email, HP mengirimkan pesan uji phishing dan memberi selamat kepada karyawan yang melaporkannya ke TI.
Menerapkan Sistem Manajemen Keamanan Informasi ISO 27001
ISO 27001 merupakan suatu standar Internasional dalam menerapkan sistem manajemen keamanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS).
Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS).
Sistem Manajemen Keamanan Informasi atau ISO 27001 merupakan suatu metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional.
ISO 27001 merupakan dokumen sistem manajemen keamanan informasi yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh suatu perusahaan maupun organisasi dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi yang dimiliki berdasarkan praktik terbaik dalam pengamanan informasi. (DF02)