Kegagalan keamanan terjadi. Sayangnya, di dunia yang selalu aktif dan sangat digital saat ini, hal itu tidak dapat dihindari dan pertanyaannya bukan jika tetapi kapan. Kami hanya perlu melihat berita selama beberapa minggu pertama tahun 2023 untuk melihat beberapa pelanggaran profil tinggi yang dilaporkan, termasuk T-Mobile dan Mailchimp. Perusahaan, pelanggan, dan karyawannya harus tetap waspada dalam beberapa bulan mendatang untuk peningkatan upaya phishing dari pelaku ancaman yang menggunakan kredensial dari serangan tersebut.
Begitu banyak dari pelanggaran ini disalahkan pada karyawan yang direkayasa secara sosial, menyoroti pentingnya bagi karyawan untuk lebih sadar akan peran mereka dalam keamanan dunia maya dan bagi perusahaan untuk memiliki pelatihan keamanan yang efektif dan bijaksana serta sistem keamanan yang intuitif. Pengguna adalah kerentanan terbesar organisasi; vektor serangan terkenal untuk eksfiltrasi data yang sayangnya tidak dapat ditutup sepenuhnya. Saat ini, organisasi memiliki beragam pengguna dan setiap karyawan, mitra, atau pemasok dari tingkat mana pun dalam perusahaan dapat menghadirkan vektor yang dapat digunakan peretas untuk menyusup ke dalam organisasi.
Mengadopsi budaya keamanan
Para pemimpin bisnis harus lebih menyadari peran yang mereka mainkan dan bagaimana mereka menumbuhkan budaya keamanan, sekaligus mendorong sistem keamanan yang lebih komprehensif untuk mempertahankan organisasi. Strategi ini juga harus mencakup pemahaman menyeluruh tentang siapa yang memiliki akses ke apa dan siapa yang menggunakan dan berinteraksi dengan sistem kritis. Intinya, keamanan adalah tanggung jawab semua orang dan jika manajemen di semua tingkatan tidak mematuhi dan secara teratur mendorong kesadaran keamanan di seluruh organisasi, hal ini harus dilihat oleh bisnis sebagai kesenjangan kinerja yang sangat besar.
Pada saat yang sama, kesalahan manusia terlalu sering digunakan sebagai alasan utama ketika terjadi pelanggaran, dengan karyawan disalahkan karena tidak cukup waspada. Pola pikir ini menunjukkan bahwa bisnis mengandalkan sistem yang mengharuskan manusia untuk berperilaku sempurna dan tidak pernah melakukan kesalahan, seperti mengklik tautan phishing atau salah mengarahkan email. Tim yang bertanggung jawab untuk merancang dan mengimplementasikan sistem perlu memikirkan apa yang mungkin salah, berdasarkan asumsi bahwa kesalahan akan terjadi. Menggunakan contoh klasik dari karyawan yang sibuk atau terganggu mengklik tautan yang menciptakan kompromi, setiap perusahaan harus mempertimbangkan bagaimana sistem mereka dapat mendeteksi dan mencegah vektor serangan ini tetapi juga harus mengambil langkah-langkah untuk menghentikan dan menahan serangan ketika itu pasti terjadi. melewati pertahanan.
Minum kopi beracun
Melihat hal ini dengan cara lain, jika pelanggan mendapatkan kopi yang diracuni, apakah salah pelanggan jika meminumnya? Tidak, kami biasanya menyalahkan sistem yang memungkinkan hal seperti itu terjadi sejak awal. Dalam hal manajemen risiko, sangat kecil kemungkinan pelanggan akan diracuni, tetapi jika itu terjadi, perlu ada perubahan sistemik yang mencegah hal ini terjadi lagi, daripada menyalahkan orang yang meminum kopi beracun tersebut.
Agar kesadaran keamanan bekerja perlu diperluas ke seluruh bisnis sambil mempertimbangkan bagaimana karyawan melakukan pekerjaan mereka, dengan asumsi mereka akan lelah, stres, dan kemudian membuat kesalahan. Sistem harus memperhitungkan semua skenario ini. Sistem yang sempurna tidak ada, tetapi para pemimpin bisnis perlu mengakomodasi perilaku dengan membangun perubahan sistemik, dan membidik pertahanan secara mendalam saat ancaman terungkap.
Selain itu, budaya keamanan perlu menyertakan pelatihan yang menarik, dan dengan hati-hati menghindari menyalahkan korban dan menghukum mereka yang jatuh ke dalam perangkap penjahat. Sampai batas tertentu, keamanan harus selalu bertentangan dengan kegunaan — seharusnya tidak semudah itu untuk mengakses data dan seharusnya membuat orang berhenti dan berpikir. Harus ada keseimbangan antara kegunaan dan keamanan – akses tidak boleh terlalu sulit sehingga karyawan tidak mau bekerja di organisasi, juga tidak terlalu mudah sehingga siapa pun dapat mengakses sistem.
Berada di zona aman
Jadi, solusi apa yang dapat dilakukan organisasi untuk membantu pengguna tetap berada di zona aman?
– Pengelola kata sandi memudahkan pengguna untuk tidak perlu mengingat kata sandi, yang akan mengarah pada penggunaan kata sandi yang lebih kompleks dan unik untuk setiap situs.
– Otentikasi dua faktor juga membantu menempatkan lapisan kontrol lain untuk melindungi data.
– Mengotomatiskan sistem masuk tunggal untuk karyawan onboarding dan offboarding berarti mereka hanya mendapatkan akses ke data yang mereka butuhkan dan ketika mereka tidak memerlukan akses, hak istimewa ini segera dicabut.
– Kubah kredensial dan segmentasi organisasi memungkinkan organisasi untuk memahami partisi akses sehingga hanya mereka yang membutuhkan akses yang mendapatkan ini dan hanya ketika mereka membutuhkannya.
– Menerapkan pendekatan Zero Trust ‘trust no-one’ memastikan hanya individu tertentu yang memiliki akses ke bagian jaringan. Firewall internal dan firewall aplikasi menambahkan kontrol granular tingkat tinggi.
– Menggunakan pembelajaran mesin untuk mengawasi jaringan dan melakukan pemodelan ancaman memberikan wawasan berharga dan reaksi cepat terhadap ancaman.
Manusia dapat diretas tanpa batas, oleh karena itu sistem harus dirancang berdasarkan bagaimana mereka akan gagal. Organisasi perlu menerapkan lapisan keamanan dan memikirkan bagaimana mereka dapat mempersulit orang untuk melakukan hal yang salah. Perubahan sistemik perlu diterapkan untuk bereaksi ketika situasi benar-benar terjadi. Organisasi harus merancang sistem yang aman dan mudah dinavigasi sehingga pengguna tidak bekerja di sekitar keamanan tetapi menerimanya.
Jadikan pelatihan menarik dan menyenangkan
Dan terakhir, organisasi harus membuat pelatihan menjadi menyenangkan dan memperkuat pentingnya memiliki budaya keamanan yang positif. Ini berarti memastikan para eksekutif memodelkan perilaku yang tepat dan memastikan karyawan di semua tingkatan organisasi memahami hal ini.
Ketika ada pelanggaran, pelatihan perusahaan sering dikeluarkan sebagai hukuman atau organisasi menggunakan pelatihan hanya untuk mendapatkan sertifikasi untuk membuktikan bahwa karyawan telah dilatih dalam keamanan siber. Akibatnya, pelatihan menjadi membosankan, tidak ada yang memperhatikannya, dan menjadi latihan kotak centang. Insentif harus ada dan pelatihan harus menarik dan efektif sehingga menghasilkan hasil yang tepat: kesadaran keamanan untuk meningkatkan keamanan, tidak hanya lulus audit. Idealnya, organisasi harus memiliki budaya positif seputar keamanan, sehingga mereka tidak harus selalu mengandalkan pengecekan racun pada kopi mereka.
Kredit Gambar: Goodluz / Shutterstock
Brian Knudtson adalah Direktur Intelijen Pasar Produk, Sistem 11:11,
