Teknogav.com - Efektivitas perlindungan informasi dan data tak lepas dari dukungan manajemen puncak. Sementara itu, berdasarkan hasil survei Kaspersky menunjukkan bahwa insiden siber banyak disebabkan oleh kesalahpahaman antara departemen keamanan informasi dan bisnis. Hal tersebut diakui oleh 62% manajemen puncak yang disurvei. Dewan direksi perlu memberikan dukungan untuk mengubah cara karyawan dalam menyikapi keamanan informasi suatu perusahaan. Berikut ini adalah lima kunci yang penting bagi para manajemen puncak agar pesan keamanan siber bisa lebih mudah dipahami.
Pelatihan Keamanan Tim Siber
Penting bagi manajemen atas untuk menguasai pelajaran keamanan dasar dan mendapat bimbingan untuk menuju keputusan strategis. Hal ini dibutuhkan karena CEO sendiri kerap menjadi korban serangan ‘swatting’ yang berbahaya. Contohnya adalah skandal di akhir tahun 2022 yang terjadi di Amerika Serikat. Jejaring sosial VIP Infragard yang dipakai FBI untuk menginformasikan CEO perusahaan besar mengenai ancaman siber yang paling serius berhasil dibobol. Peretas pun mencuri database dengan alamat email dan nomor telpon lebih dari 80.000 anggota, kemudian menjualnya dengan harga USD50.000. Pembeli kontan tersebut pun bisa mendapat kepercayaan dari CEO yang terpengaruh atau menggunakan untuk serangan BEC.
Manajemen pun perlu melakukan hal-hal berikut ini agar tidak terjebak ancaman siber layaknya yang terjadi di akhir tahun 2022 tersebut:
- Pakai autentikasi dua faktor dengan token USB atau NFC di seluruh perangkat
- Gunakan kata sandi yang panjang dan unik untuk semua akun kerja
- Pakai perangkat lunak yang sesuai untuk melindungi perangkat pribadi dan perusahaan
- Jaga barang pribadi dan perusahaan secara terpisah
- Periksa ulang seluruh email dan lampiran yang mencurigakan
Bantuan dari departemen keamanan informasi mungkin dibutuhkan beberapa eksekutif untuk menangani tautan atau file yang mencurigakan.
Baca juga: Lebih dari Setengah Insiden Keamanan Siber di Perusahaan Disebabkan Miskomunikasi
Semua karyawan perusahaan juga perlu untuk mendapatkan pelatihan keamanan informasi secara rutin dan mengasimilasi aturan kebersihan siber. Setiap tingkat karyawan memliki persyaratan pengetahuan yang berbeda. Penting untuk mengetahui cara menanggapi situasi yang mencurigakan atau abnormal, termasuk bagi karyawan garis depan.
Pemahaman yang lebih mendalam mengenai cara keamanan diintegrasikan ke dalam produk, kebijakan keamanan yang diterapkan dan pengaruh upaya tersebut terhadap kinerja bisnis akan bermanfaat bagi manajer. Karyawan keamanan informasi juga harus mempelajari proses bisnis yang diterapkan perusahaaan. Hal ini penting untuk lebih memahami cara mengintegrasikan perlindungan yang dibutuhkan.
Integrasi Keamanan Siber dengan Strategi dan Proses Perusahaaan
Lanskap kejahatan siber menjadi kompleks dan regulasi makin intensif ketika ekonomi mengadopsi digital. Berpijak pada hal tersebut, maka perlu untuk memprioritaskan manajemen risiko siber dari berbagai aspek. Aspek-aspek tersebut mencakup teknologi, manusia, keuangan, hukum dan organisasi, sehingga perlu melibatkan para pemimpin di semua bidang tersebut untuk mengadaptasi strategi dan proses perusahaan.
Manajemen puncak perlu diberitahu bahwa membeli sistem perlindungan tak lantas dapat mengatasi segala masalah siber. Beberapa hasil studi mengungkap bahwa 46%-77% dari total insiden siber berkaitan dengan faktor manusia. Faktor tersebut mencakup ketidakpatuhan terhadap kebijakan, kejahatan orang dalam dan kurangnya transparansi TI di pihak kontraktor. Kendati demikian, biasanya masalah keamanan informasi berkaitan dengan anggaran.
Baca juga: Pembahasan Peningkatan Anggaran Solusi Keamanan Merupakan Topik Berat di Perusahaan
Berinvestasi yang Tepat
Anggaran keamanan informasi biasanya terbatas, padahal masalah keamanan siber yang harus diatasi sepertinya tak terbatas. Sesuai persyaratan industri, serta sesuai ancaman paling relevan yang berpotensi menimbulkan kerusakan terbesar, maka perlu untuk memprioritaskan anggaran keamanan informasi.
Laporan lanskap ancaman sesuai industri penting untuk dipelajari, demikian juga menganalisis vektor tipikal serangan. Hal ini karena sulitnya mengurutkan probabilitas risiko ancaman secara mandiri.
Situasi akan lebih kompleks ketika perlu meningkatkan anggaran. Risiko dan biaya aktualisasi, mengurangi serangan, dan padat karya merupakan pendekatan terbaik untik anggaran keamanan. Kendati demikiam, anggaran tetap sulit didapat, sehingga perlu memanfaatkan berbagai tolok ukur yang memaparkan anggaran rata-rata di sektor bisnis dan negara tertentu.
Pertimbangkan Segala Risiko
Fokus pembahasan mengenai keamanan informasi biasanya lebih menekankan pada peretas dan solusi perangkat lunak untuk melawannya. Padahal banyak risiko siber lain yang berkaitan dengan keamanam informasi. Salah satu risiko tersebut adalah pelanggaran undang-undang mengenai penyimpanan dan penggunaan data pribadi; regulasi perlindungan data; privasi pelanggan dam sejenisnya. Hal ini tak dapat diabaikan karena suatu saat regulator akan mengenakan denda yang jumlahnya cukup besar, terutama di Eropa.
Kriteria khusus pun diterapkan di beberapa industri tertentu, yang biasanya lebih ketat. Beberapa industri tersebut mencakup sektor keuangan, telekomunikasi, layanan kesehatan dan operator infrastruktur kritikal. Pemantauan yang rutin dan peningkatan kepatuhan seluruh internal perusahaan terhadap persyaratan peraturan di departemen mereka harus menjadi tugas manajer tingkat atas.
Baca juga: Eksekutif Perusahaan Ternyata Masih Asing dengan Beberapa Istilah Keamanan Siber
Menanggapi dengan benar
Insidem keamanan siber hampir yak bisa dihindari, terlepas dari upaya terbaik. Perhatian saat rapat baru muncul ketika terjadi serangan cukup besar yang berupa gangguan operasi atau kebocoran data penting. Unit bisnis harus siap menanggapi hal ini, tak hanya dari tim keamanan informasi saja. Kesiapan mereka tentunya dapat terbentuk dengan mengikuti pelatihan. Setidaknya manajemen puncak harus mengikuti prosedur keamanan. Berikut ini adalah tiga langkah dasar yang perlu dilakukan CEO:
- Segera beri tahu pihak-pihak kunci tentang suatu insiden; pihak-pihak ini tergantung pada konteksnya. Mereka adalah departemen keuangan dan hukum, perusahaan asuransi, regulator industri, regulator perlindungan data, penegakan hukum, dan pelanggan yang terdampak. Biasanya, jangka waktu pemberitahuan tersebut ditetapkan undang-undang, jika tidak, maka harus diatur dalam peraturan internal. Pemberitahuan harus cepat tetapi informatif; kumpulkan informasi mengenai kriteria insiden sebelum memberi tahu, termasuk penilaian skala awal dan tindakan awal yang dilakukan.
- Selidiki insiden tersebut. Penting untuk mengambil berbagai tindakan agar dapat menilai skala dan konsekuensi serangan dengan benar. Survei karyawan juga penting dilakukan di samping tindakan teknis murni. Tidak merusak bukti digital atau artefak laim merupakan hal yang penting selama penyelidikan. Biasanya melibatkan para pakar dari luar untuk menyelidiki dan membereskan insiden juga menjadi langkah tepat.
- Susun jadwal komunikasi. Kesalahan umum yang dilakukan perusahaan adalah mencoba menyembunyikan atau meremehkan suatu insiden. Ini karena skala masalah yang sebenarnya akan muncul cepat atau lambat. Tindakan menunda-nunda pengungkapan masalah justru akan memperbesar kerusakan, mulai dari reputasi sampai keuangan. Penting untik melakukan komunikasi eksternal dan internal secara teratur dan sistematis. Sampaikan informasi secara konsisten dan bermanfaat bagi pelanggan dan karyawan. Mereka harus dapat memahami secara konkret mengenai tindakan yang harus segera dilakukan dan potensi skenario di masa depan. Komunikasi terpusat merupakan gagasan yang baik, yaitu dengan menunjuk juru bicara internal dan eksternal.