Dengan penjahat dunia maya yang menerapkan metode serangan yang semakin canggih, organisasi harus bekerja ekstra untuk melindungi data mereka dan menghindari kerusakan finansial dan reputasi yang mahal. Dengan ancaman baru yang muncul setiap hari, risiko ini tidak bisa dianggap enteng. Hal ini terutama berlaku untuk tim hukum perusahaan dan firma hukum yang menjadi target utama penyerang dunia maya mengingat banyaknya informasi sensitif klien yang mereka pegang.
Menurut Biaya Pelanggaran Data IBM 2022, rata-rata total biaya terkonsolidasi dari pelanggaran data di Inggris Raya adalah £3,36 juta, naik dari £2,37 juta pada tahun 2015. Mengingat kerugian finansial dan reputasi yang dapat ditimbulkan oleh pelanggaran data, tim hukum dan firma hukum tidak dapat memperlakukan keamanan dunia maya sebagai latihan kotak centang. Namun, ada kecenderungan untuk jatuh ke dalam mitos utama keamanan dunia maya: “Kami baik-baik saja selama kami lulus audit keamanan tahunan.”
Meskipun audit keamanan sangat penting untuk menunjukkan akuntabilitas, audit tersebut tidak boleh menjadi ‘menjadi segalanya dan menjadi tujuan segalanya’. Audit perlu menjadi bagian dari strategi yang lebih luas. Bagaimanapun, keamanan dunia maya adalah proses yang konstan, bukan tujuan yang dapat dicapai.
Berikut adalah beberapa langkah penting yang dapat Anda ambil untuk melampaui audit dan membantu memastikan firma hukum dan tim hukum memiliki tingkat perlindungan yang sesuai:
Buat peta seluruh jaringan
Langkah pertama dalam meningkatkan langkah-langkah keamanan adalah memulai dengan jaringan. Alih-alih memulai dengan persyaratan dasar audit, perusahaan harus membuat peta komprehensif dari segala sesuatu yang terhubung ke jaringan.
Ini termasuk:
Router, sakelar, firewall, dan WAFPrinter dan perangkat yang terhubungInternet of Things (smart TV, termostat, kamera, dll.)Perangkat selulerCloud/SaaS — langganan perangkat lunak dan kata sandi
Melihat gambaran lengkap jaringan Anda memungkinkan Anda menerapkan segmentasi. Melakukan hal ini penting karena tidak semua hal dalam jaringan dapat difokuskan sekaligus, sehingga segmentasi memungkinkan bagian jaringan yang rentan dipisahkan dari data yang paling penting.
Ketahui di mana letak kelemahannya
Setelah jaringan dipetakan, penting untuk membuat rencana untuk menilai dan menambal kerentanan. Menurut Forrester’s State of Application Security Report, kerentanan aplikasi adalah metode serangan eksternal yang paling umum, membuat manajemen tambalan menjadi kritis. Penelitian dari Institut Ponemon juga menunjukkan 57 persen korban serangan dunia maya melaporkan pelanggaran mereka dapat dicegah dengan memasang tambalan yang tersedia dan yang mengkhawatirkan, 34 persen korban mengetahui kerentanan tersebut, tetapi tidak mengambil tindakan.
Inilah sebabnya mengapa perusahaan perlu membuat rencana untuk menilai dan menambal kerentanan dan menekankan pentingnya segmentasi jaringan. Jika perusahaan memiliki sistem lawas, mereka mungkin tidak dapat menambalnya, tetapi dapat dipisahkan dari informasi sensitif menggunakan segmentasi jaringan.
Menyebarkan pemindai kerentanan dapat membantu menjaga perusahaan tetap up to date di mana tambalan diperlukan dan memprioritaskan segmen jaringan dengan risiko paling besar.
Bangun program kesadaran pengguna
Satu-satunya ancaman yang lebih mendesak daripada menambal kerentanan adalah risiko yang terkait dengan orang-orang di dalam bisnis. Statistik terbaru dari Kantor Komisaris Informasi (ICO) mengungkapkan bahwa lebih dari dua pertiga (68 persen) pelanggaran data di sektor hukum Inggris disebabkan oleh orang dalam, dibandingkan dengan hanya sepertiga (32 persen) yang disebabkan oleh ancaman dari luar, seperti sebagai aktor jahat eksternal.
Laporan Verizon terpisah menunjukkan 80 persen pelanggaran terkait peretasan menggunakan kata sandi yang digunakan kembali, dicuri, atau lemah. Ada hampir 30 persen peningkatan kredensial yang dicuri sejak 2017, mengukuhkannya sebagai salah satu metode yang paling dicoba dan benar untuk mendapatkan akses ke perusahaan selama empat tahun terakhir.
Peretas tahu tim berinvestasi dalam keamanan dunia maya. Peluang terbaik mereka untuk masuk ke jaringan adalah mendapatkan kredensial dari seseorang yang memiliki izin untuk mengakses jaringan. Oleh karena itu, tidak peduli seberapa baik jaringan dilindungi, jika kredensial karyawan dicuri, itu menimbulkan risiko yang sangat besar.
Untuk menurunkan risiko ini dan memastikan karyawan mengikuti praktik terbaik, ada beberapa tips untuk diikuti:
Kirim buletin keamanan bulanan: Bicarakan secara terbuka tentang ancaman yang ada dan ambil kesempatan untuk mengajarkan satu komponen dalam satu waktu. Didik pengguna tentang cara melindungi data pribadi mereka: Saat mengedukasi bisnis yang lebih luas, hubungkan masalah keamanan dunia maya dengan ancaman nyata yang ada dalam kehidupan pribadi karyawan sehingga mereka dapat berhubungan. Karena mereka dididik tentang praktik terbaik untuk melindungi diri mereka sendiri dan keluarga mereka, mereka akan menerapkan kebiasaan yang lebih baik di tempat kerja.Melakukan kampanye phishing: Keingintahuan manusia membuat orang mengklik tautan, yang mengarah ke masalah. Beberapa perusahaan memiliki kampanye phishing palsu mereka sendiri untuk menguji dan melatih karyawan mereka. Tujuannya adalah untuk menciptakan sedikit paranoia yang sehat sehingga pengguna akan ragu sebelum mengklik tautan apa pun. Berinvestasi dalam brankas kata sandi: Kata sandi yang lemah dan dicuri adalah komponen penting keamanan dunia maya. Menggunakan brankas kata sandi memungkinkan karyawan memiliki kata sandi yang kuat tanpa rasa frustrasi terus-menerus karena melupakannya. Evaluasi vendor Anda
Pepatah “Anda dapat mengukur seseorang dengan perusahaan yang dia pertahankan” juga berlaku untuk perusahaan. Vendor dapat secara langsung memengaruhi postur keamanan perusahaan. Untuk solusi kritis misi, perusahaan perlu memilih vendor yang benar-benar memperkuat operasi dengan kontrol keamanan yang dapat diwariskan dan validasi kepatuhan independen. Saat Anda bekerja dengan vendor yang sudah ada dan mempertimbangkan vendor baru, gunakan poin-poin ini untuk mengevaluasi kekuatan keamanan yang mereka tawarkan sebagai mitra vendor dengan perusahaan Anda:
Apakah vendor memiliki infrastruktur keamanan yang matang? Apakah mereka mengikuti standar yang diakui secara internasional untuk menerapkan kontrol keamanan mereka? Apakah vendor menjalani audit keamanan reguler dan independen oleh pihak ketiga yang terakreditasi untuk memvalidasi kepatuhan mereka terhadap standar internasional tersebut? Apakah mereka membagikan hasil audit tersebut dengan pelanggan dan pihak yang berkepentingan? Apakah vendor berbagi informasi terkini dan berguna tentang sistem keamanan informasi mereka sehingga pelanggan mereka dapat mengetahui dan memahami kontrol dan prosedur keamanan apa yang digunakan vendor? Apakah vendor memiliki staf dan prosedur yang didedikasikan untuk membantu pelanggan vendor memenuhi persyaratan uji tuntas pelanggan?
Pendekatan proaktif yang berkelanjutan
Tidak dapat disangkal bahwa audit keamanan tahunan diperlukan dan berguna untuk memastikan tingkat dasar perlindungan. Namun, departemen TI tidak boleh terjebak bahwa lulus audit berarti semuanya akan aman.
Dari ancaman orang dalam hingga malware jahat, ancaman keamanan dunia maya ada di mana-mana. Untuk memiliki peluang memitigasi risiko, departemen hukum perusahaan dan firma hukum perlu memastikan bahwa mereka mengambil pendekatan proaktif terhadap keamanan dunia maya. Ini berarti membangun proses evaluasi dan peningkatan yang berkelanjutan serta mengadopsi alat yang tepat untuk membangun pertahanan yang kokoh.
Kredit Foto: r.classen/Shutterstock
David Hansen adalah Wakil Presiden Kepatuhan di NetDocuments. Didirikan pada tahun 1999, NetDocuments adalah platform produktivitas dan layanan konten berbasis cloud. NetDocuments menawarkan platform end-to-end lengkap untuk organisasi dan manajemen dokumen dan email, termasuk kemampuan keamanan dan penelitian pemenang penghargaan, kolaborasi yang kuat dan teknologi pencarian, serta integrasi tanpa batas dengan alat lain yang digunakan profesional setiap hari. Baru-baru ini meluncurkan PatternBuilder, sebuah produk baru yang memberdayakan para profesional hukum untuk mereplikasi dan mengotomatiskan template dan proses unik mereka, menghasilkan layanan klien yang lebih cepat dan bernilai lebih tinggi
