
Oktober adalah Bulan Kesadaran Keamanan Siber Nasional di AS ketika tim TI mempersiapkan program pendidikan keamanan dan pelatihan kesadaran tahunan mereka. Bagi banyak karyawan, ini mungkin satu-satunya interaksi mereka dengan tim keamanan di luar orientasi, mengirimkan tiket bantuan, atau potensi insiden. Namun setiap orang berperan dalam fungsi keamanan bisnis setiap hari, disadari atau tidak. Ketika mereka melakukannya, mereka berpotensi menjadi aset atau risiko terhadap postur keamanan tim.
Menurut Laporan Investigasi Pelanggaran Data Verizon 2024 (DBIR), 68% dari seluruh pelanggaran mencakup elemen manusia, dengan keterlibatan orang-orang baik karena kesalahan, penggunaan kredensial yang dicuri, atau rekayasa sosial. Meskipun frekuensi eksploitasi kerentanan teknis semakin meningkat sebagai jalan masuk awal bagi penyerang, kredensial yang dicuri dan phishing masih menjadi penyebab terbesar pelanggaran yang tercatat.
Memprioritaskan keamanan sebagai elemen penting bagi efektivitas dan keberhasilan organisasi akan mengurangi risiko insiden, sekaligus menguntungkan seluruh tim dan reputasi organisasi.
Memberi Harga pada Kepercayaan
Keamanan adalah fungsi bisnis inti, yang sama pentingnya dengan kesuksesan organisasi seperti halnya departemen keuangan, perolehan pendapatan, atau produk. Hal ini juga merupakan faktor kunci dalam membentuk reputasi organisasi, khususnya mempengaruhi persepsi publik dan internal mengenai apakah organisasi tersebut dapat dipercaya dan dapat diandalkan. Untuk memahami dampak mendalam dari persepsi keamanan (atau ketidakamanan) terhadap citra publik dan keuntungan, kita hanya perlu memeriksa ulasan pelanggan atau harga saham perusahaan-perusahaan besar sebelum dan sesudah pelanggaran atau pemadaman yang dipublikasikan.
Keamanan memiliki dampak yang sangat signifikan terhadap apakah perusahaan dipandang dapat diandalkan dan aman untuk bisnis. Perbedaan antara program keamanan yang berhasil dan program yang rentan terletak pada apakah nilai-nilai tersebut dikomunikasikan secara teratur dan efektif.
Apa yang Diukur Itu Penting
Di beberapa organisasi, CISO atau CIO dapat mengadvokasi keamanan di tingkat eksekutif, memberi tahu para pemimpin dan pemangku kepentingan lainnya mengenai kebutuhan dan nilai keamanan. Namun, di sebagian besar bisnis, tanggung jawab ini berada di tangan pemimpin tim TI, sehingga menambah beban kerja mereka yang sudah besar.
Meskipun hal ini tampak seperti promosi diri atau pekerjaan yang tidak relevan, meluangkan waktu ekstra untuk merangkum ancaman yang telah dihentikan, proses yang ditingkatkan, proyek yang diselesaikan, dan anggota tim yang memodelkan perilaku keamanan yang kuat akan sangat bermanfaat. Upaya ini memastikan bahwa manfaat dan nilai program keamanan tetap menjadi prioritas bagi para pemimpin, dan tidak dibayangi oleh kekhawatiran anggaran triwulan berikutnya atau harapan untuk menghindari berita buruk.
Sebelum memulai dari awal, temukan sumber daya yang ada dengan bertanya kepada vendor dan mitra mengenai laporan kinerja dan metrik yang dapat mereka berikan. Banyak alat yang seharusnya sudah memiliki fungsi audit atau pelaporan templat lainnya, dan beberapa bahkan mungkin menawarkan ringkasan khusus atau pengarahan eksekutif yang dirancang untuk memberikan informasi terkini kepada para pemimpin tentang kemajuan yang dicapai.
Saat memilih metrik, tanyakan apakah metrik tersebut benar-benar mendukung sasaran keamanan yang efektif. Sebagai salah satu contoh, kesalahan umum dalam pelatihan phishing adalah hanya melacak jumlah orang yang mengeklik tautan sebelum dan sesudah pelatihan. Meskipun mengurangi klik berisiko merupakan hal yang berharga, kecil kemungkinannya untuk mengurangi angka tersebut menjadi nol. Sebaliknya, berfokus pada seberapa cepat seseorang melaporkan phish dapat mengurangi waktu yang diperlukan untuk mendeteksi dan menghentikan serangan di dunia nyata. Kini, pelatihan dapat menekankan pentingnya melaporkan aktivitas mencurigakan, bahkan jika seorang karyawan pada awalnya terkena phish. Pendekatan ini mendorong keterbukaan dibandingkan sikap diam yang lahir dari rasa takut atau malu, dan perilaku proaktif yang bermanfaat dapat secara signifikan meningkatkan kemungkinan anggota tim untuk menghubungi ketika ada masalah.
Ingat, apa yang diukur akan dikelola. Memilih dan melacak metrik keamanan yang bermakna secara cermat akan meningkatkan postur keamanan dan menunjukkan nilai nyata dari program keamanan bagi organisasi. Pendekatan berbasis data ini dapat membantu mengamankan sumber daya dan dukungan yang diperlukan untuk inisiatif keamanan yang sedang berlangsung, mengubah fungsi keamanan dari pusat biaya menjadi penggerak nilai bagi bisnis.
Menghilangkan Reputasi “Departemen yang Tidak Ada”.
Ada klise keamanan yang sering diulang-ulang sebagai Departemen No: hambatan menuju produktivitas, yang paling tidak terlihat dan tidak pernah terdengar. Dan jika sebagian besar interaksi keamanan dianggap “membosankan dan/atau membingungkan” atau “membuat frustrasi dan/atau menakutkan,” orang-orang akan berusaha menghindari interaksi di masa depan.
Pada kenyataannya, keamanan bekerja tanpa kenal lelah untuk menjaga organisasi dan orang-orang di dalamnya tetap aman dan terlindungi risiko yang tak terhitung banyaknya. Apa yang tampak seperti penolakan sewenang-wenang dari sudut pandang rekan satu tim mungkin didukung oleh kebijakan yang baik.
Memperbaiki persepsi ini tidak berarti mengabaikan kontrol atau menyetujui setiap permintaan. Sebaliknya, hal ini memerlukan penjelasan yang jelas mengapa kebijakan-kebijakan tersebut diterapkan, secara berkala mengumpulkan masukan mengenai proses-proses yang terbukti menjadi hambatan, dan menunjukkan keberhasilan sebagai bagian dari ritme bisnis yang normal.
Kesalahan bisa lebih dari sekadar tiket bantuan tambahan untuk diprioritaskan oleh tim TI atau penyimpangan yang harus diselidiki: kesalahan dapat memberikan umpan balik yang sangat berharga jika suatu proses tidak intuitif atau disalahpahami. Membicarakan “mengapa” seseorang keluar dari jalur resmi dapat membantu mengidentifikasi dokumentasi yang membingungkan, kasus penggunaan yang tidak dipertimbangkan, atau umpan balik kualitatif lainnya yang lolos dari apa yang dapat ditangkap dalam log sistem.
Apa yang Telah Anda Lakukan Untuk Mereka Akhir-akhir ini?
Kebanyakan orang tidak memiliki pakar keamanan yang dapat dihubungi dalam kehidupan pribadi mereka, dan hal ini memberikan tim keamanan peluang unik untuk membantu, sekaligus membangun hubungan mereka dengan tim secara keseluruhan. Daripada hanya meluncurkan modul pelatihan klik-tayang untuk memenuhi persyaratan asuransi dan kepatuhan, perlakukan pendidikan seperti peluang lain untuk memberikan tunjangan karyawan.
Beri tahu karyawan tentang tren serangan dan penipuan, sehingga mereka dapat waspada dan memberi tahu anggota keluarga yang berpotensi rentan. Ajari mereka tentang kebersihan keamanan yang baik, tidak hanya pada sistem kerja tetapi juga pada situs yang mungkin mereka gunakan dalam kehidupan sehari-hari seperti media sosial atau perbankan pribadi. Praktik ini tidak hanya membantu menjaga tim Anda aman dari ancaman saat mereka tidak sedang bekerja, namun juga memberi masukan pada keamanan organisasi dengan menjadikan mereka target yang lebih sulit bagi penyerang. Akan sangat bagus jika penyerang berhenti bekerja pada malam hari dan akhir pekan, namun kenyataannya, kami tahu mereka akan mencari akses di mana pun (dan melalui siapa pun) akses tersebut tersedia.
Berbagi beberapa tips setiap minggu selama rapat tim, dalam obrolan tim, dan pembaruan terkini juga lebih mudah dicerna oleh orang-orang. Lebih mudah untuk menyerap beberapa tip setiap minggu daripada menahan keinginan untuk mengabaikan sesi latihan yang kering dan monoton selama berjam-jam.
Pendekatan ini juga meningkatkan retensi. Menurut penelitian Hermann Ebbinghaus tentang memori dan “melupakan kurva”, kita melupakan sebagian besar informasi yang baru dipelajari dalam beberapa hari setelah mempelajarinya. Namun, pengulangan kedua dalam meninjau informasi yang sama akan meningkatkan persentase informasi yang diingat, dan berapa lama informasi tersebut akan diingat. Penyegaran dan perluasan topik secara teratur akan menghasilkan pemahaman yang lebih lengkap dan ingatan yang kuat terhadap topik tersebut.
Bersama Lebih Kuat
Mengubah hubungan keamanan dari penghindaran menjadi penguatan, keselamatan, dan panduan yang dapat diandalkan akan memotivasi orang untuk mendengarkan pesan keamanan dengan lebih hati-hati. Pemahaman dan dukungan yang lebih besar menumbuhkan pola pikir keamanan yang lebih kuat di seluruh tim, mendefinisikan keamanan sebagai fungsi bersama dan proaktif, bukan fungsi khusus dan reaktif.
Keamanan adalah upaya kolektif, dan membantu tim Anda tetap aman di dalam dan di luar pekerjaan akan bermanfaat bagi mereka dan organisasi. Dengan mendefinisikan ulang keamanan sebagai sekutu tepercaya, bukan email atau undangan rapat yang ditakuti, kita dapat menciptakan lingkungan yang lebih tangguh dan aman bagi semua orang. Ingat, dalam hal keamanan, bersama-sama kita memang lebih kuat!