TEMPO.CO, Jakarta - Sebuah survei mengungkapkan sebanyak 62 persen para manajer puncak atau bos perusahaan mengakui bahwa kesalahpahaman antara departemen keamanan informasi (TI) dan bisnis telah menyebabkan insiden dunia maya yang serius. Survei itu dilakukan oleh perusahaan keamanan siber asal Rusia, Kaspersky.

“Untuk mengubah cara karyawan menyikapi keamanan informasi di suatu organisasi, perlu mendapatkan dukungan di tingkat tertinggi, yaitu dari para dewan direksi,” ujar Kaspersky lewat keterangan tertulis pada Jumat, 7 April 2023.

Jadi, apa saja yang harus diberitahukan kepada CEO atau direktur, mengingat mereka selalu sibuk dan bisa jadi soal keamanan informasi menjadi terlewat? Berikut adalah lima kunci sederhana bagi para manajemen puncak agar pesan keamanan siber dapat lebih mudah dipahami:

1. Pelatihan keamanan tim siber

Kapsersky mencontohkan skandal akhir 2022 di Amerika Serikat ketika penyerang menembus jejaring sosial VIP Infragard. Platform tersebut digunakan oleh FBI untuk secara rahasia memberi tahu CEO perusahaan besar tentang ancaman dunia maya yang paling serius.

Peretas atau hacker mencuri database dengan alamat email dan nomor telepon lebih dari 80 ribu anggota dan menjualnya seharga US$ 50 ribu. Berbekal informasi kontak ini, mereka yang membelinya memperoleh kepercayaan dari CEO yang terpengaruh atau menggunakannya dalam serangan BEC.

“Terkadang CEO menjadi korban serangan swatting yang cukup berbahaya,” kata Kaspersky.

Selanjutnya: Dengan mempertimbangkan hal itu....

<!--more-->

Dengan mempertimbangkan hal itu, sangat penting bagi manajemen untuk menggunakan autentikasi dua faktor dengan token USB atau NFC di semua perangkat. Selain itu, memiliki kata sandi yang panjang dan unik untuk semua akun kerja, melindungi seluruh perangkat pribadi dan perusahaan dengan perangkat lunak yang sesuai, serta menjaga barang pribadi dan digital terpisah.

Penting untuk memeriksa ulang semua email dan lampiran yang mencurigakan. Beberapa eksekutif mungkin memerlukan bantuan dari seseorang dari departemen keamanan informasi untuk menangani tautan atau file yang sangat mencurigakan.

Setelah manajemen atas menguasai pelajaran keamanan dasar, lalu dapat membimbing menuju keputusan strategis, yaitu pelatihan keamanan informasi reguler untuk semua karyawan perusahaan. Ada persyaratan pengetahuan yang berbeda untuk setiap tingkat karyawan.

“Setiap orang, termasuk karyawan garis depan, perlu mengasimilasi aturan kebersihan dunia maya serta tips tentang cara menanggapi situasi yang mencurigakan atau abnormal,” tutur Kaspersky.

Manajer—terutama yang berada di departemen TI—akan mendapat manfaat dari pemahaman lebih dalam tentang bagaimana keamanan diintegrasikan ke dalam pengembangan produk, kebijakan keamanan, dan bagaimana upaya itu bisa mempengaruhi kinerja bisnis. Sebaliknya, karyawan infosec sendiri harus mempelajari proses bisnis di perusahaan untuk mendapatkan pemahaman lebih baik tentang cara mengintegrasikan perlindungan yang diperlukan.

Selanjutnya: 2. Integrasi keamanan siber dengan strategi perusahaan....

<!--more-->

2. Integrasi keamanan siber dengan strategi perusahaan

Kasperksy menjelaskan, saat ekonomi merangkul digital, lanskap kejahatan dunia maya menjadi rumit, dan regulasi semakin intensif, serta manajemen risiko dunia maya menjadi tugas prioritas. Ada aspek teknologi, manusia, keuangan, hukum, dan organisasi untuk ini, sehingga para pemimpin di semua bidang perlu dilibatkan dalam adaptasi strategi dan proses perusahaan.

Penting untuk mengingatkan para bos bahwa membeli sistem perlindungan bukanlah obat mujarab untuk semua masalah dunia maya. Karena, menurut berbagai studi, antara 46 dan 77 persen dari semua insiden siber berhubungan dengan faktor manusia, dari ketidakpatuhan terhadap kebijakan dan orang dalam yang jahat hingga kurangnya transparansi TI di pihak kontraktor.

“Meskipun demikian, masalah keamanan informasi akan selalu berkisar pada anggaran,” tutur Kaspersky.

3. Investasi yang tepat

Menurut Kaspersky, anggaran untuk keamanan informasi selalu terbatas, sementara masalah yang harus diselesaikan di bidang ini tampaknya tidak terbatas. Penting untuk memprioritaskan sejalan dengan persyaratan industri dan dengan ancaman paling relevan terhadap organisasi yang berpotensi menyebabkan kerusakan terbesar.

“Namun, hampir tidak mungkin untuk mengurutkan probabilitas risiko ancaman secara mandiri, maka penting untuk mempelajari laporan lanskap ancaman bagi industri dan menganalisis vektor tipikal serangan,” katanya.

Selanjutnya: Ketika anggaran perlu ditingkatkan, maka....

<!--more-->

Ketika anggaran perlu ditingkatkan, maka situasi akan menjadi lebih kompleks. Pendekatan paling matang untuk anggaran keamanan siber didasarkan pada risiko dan biaya aktualisasi dan minimalisasi serangan, tetapi juga yang paling padat karya.

Contoh langsung—idealnya dari pengalaman kompetitor—memainkan peran pendukung yang penting dalam diskusi anggaran. Meski begitu, anggaran tetap tidak mudah didapat. “Oleh karena itu, upaya lainnya dapat menggunakan berbagai tolok ukur melaui pemaparan anggaran rata-rata di area bisnis dan negara tertentu,” ujar dia.

4. Pertimbangkan semua jenis risiko

Diskusi tentang keamanan informasi biasanya terlalu fokus pada hacker dan solusi perangkat lunak untuk mengalahkan mereka. Tetapi banyak organisasi masih menghadapi risiko dunia maya lainnya terkait keamanan informasi.

Salah satu yang paling lazim dalam beberapa tahun terakhir adalah risiko pelanggaran undang-undang tentang penyimpanan dan penggunaan data pribadi, seperti regulasi umum perlindungan data, privasi konsumen, dan sejenisnya. Praktik penegakan hukum saat ini menunjukkan bahwa mengabaikannya bukanlah suatu pilihan.

“Cepat atau lambat regulator akan mengenakan denda, dan dalam banyak kasus—terutama di Eropa—nominalnya cukup besar,” ucap Kaspersky.

Selanjutnya: Sejumlah industri memiliki kriteria sendiri....

<!--more-->

Sejumlah industri memiliki kriteria sendiri, bahkan lebih ketat, khususnya sektor keuangan, telekomunikasi, dan medis, serta operator infrastruktur kritikal. Ini harus menjadi tugas manajer tingkat atas untuk memantau secara teratur dan meningkatkan kepatuhan seluruh internal perusahaan terhadap persyaratan peraturan di departemen mereka.

5. Menanggapi dengan benar

Secara umum, terlepas dari upaya terbaik, insiden keamanan siber hampir tidak dapat dihindari. Jika skala serangan cukup besar untuk menarik perhatian di ruang diskusi, hampir pasti itu berarti gangguan operasi atau kebocoran data penting.

“Tidak hanya keamanan informasi, unit bisnis juga harus siap merespon, idealnya dengan mengikuti pelatihan. Paling minimal, manajemen puncak harus mengetahui dan mengikuti prosedur keamanan,” tutur dia.

Ada tiga langkah mendasar untuk para CEO perusahaan menurut Kaspersky. Pertama, segera beri tahu pihak-pihak kunci tentang suatu insiden, tergantung pada konteksnya: departemen keuangan dan hukum, perusahaan asuransi, regulator industri, regulator perlindungan data, penegakan hukum, pelanggan yang terkena dampak.

Dalam banyak kasus, jangka waktu pemberitahuan itu ditetapkan oleh undang-undang, tapi jika tidak, maka harus diatur dalam peraturan internal. Pemberitahuan harus cepat tetapi informatif; yaitu, sebelum memberi tahu, informasi tentang kriteria insiden harus dikumpulkan, termasuk penilaian skala awal dan tindakan respons pertama yang diambil.

“Kedua, selidiki insiden tersebut,” kata Kaspersky.

Selanjutnya: Langkah itu penting untuk mengambil berbagai tindakan....

<!--more-->

Langkah itu penting untuk mengambil berbagai tindakan agar dapat menilai skala dan konsekuensi serangan dengan benar. Selain tindakan teknis murni, survei karyawan juga penting. Selama penyelidikan, sangat penting untuk tidak merusak bukti digital serangan atau artefak lainnya. Dalam beberapa kasus, melibatkan para ahli dari luar untuk menyelidiki dan membereskan insiden juga menjadi langkah tepat.

Ketiga, menyusun jadwal komunikasi. Kesalahan umum yang dilakukan perusahaan adalah mencoba menyembunyikan atau meremehkan suatu insiden. Cepat atau lambat, skala masalah yang sebenarnya akan muncul, memperpanjang dan memperbesar kerusakan—dari reputasi hingga keuangan.

“Oleh karena itu, komunikasi eksternal dan internal harus teratur dan sistematis, sampaikan informasi secara konsisten dan bermanfaat bagi pelanggan dan karyawan,” tutur dia.

Kaspersky menyarankan, para bos itu harus memiliki pemahaman konkret tentang tindakan apa yang harus segera dilakukan dan potensi scenario di masa depan. “Merupakan ide bagus untuk memusatkan komunikasi; yaitu, menunjuk juru bicara internal dan eksternal,” tutur Kaspersky.

Pilihan Editor: Sri Mulyani Paparkan Postur Fiskal 2024, Ada Belanja Khusus Pemilu dan IKN

Ikuti berita terkini dari Tempo di Google News, klik di sini