Setengah dari pemimpin keamanan IT tidak tahu apakah alat keamanan siber mereka berfungsi, menurut laporan dari Ponemon Institute dan AttackIQ. Saat ini di pertengahan tahun 2019, kasus pencurian data masih terus terjadi dan belum menunjukkan tren penurunan.

Organisasi lintas industri banyak berinvestasi dalam alat dan teknologi keamanan siber. Mereka menghabiskan rata-rata sektiar Rp. 260 milyar per tahun untuk tindakan tersebut. Namun, 53% tim IT tetap tidak yakin apakah alat keamanan yang mereka gunakan benar-benar berfungsi atau tidak. Hal ini merujuk pada laporan dari Institut Ponemon dan AttackIQ.

Laporan itu mensurvei 577 praktisi keamanan IT di Dunia. Sementara 58% dari para profesional ini mengatakan organisasi mereka akan meningkatkan anggaran keamanan IT dengan rata-rata 14% di tahun berikutnya, hanya 39% yang dilaporkan mendapatkan nilai penuh dari investasi keamanan mereka.

Rata-rata, perusahaan menyebarkan 47 solusi dan teknologi keamanan siber yang berbeda, menurut laporan itu. Tetapi kurang dari setengah praktisi IT mengatakan mereka yakin bahwa pelanggaran data dapat dihentikan dengan investasi mereka saat ini dalam teknologi dan staf.

12 alasan mengapa kasus pencurian data masih saja terjadi

Ketika ditanya mengapa pelanggaran data masih terjadi, meskipun ada investasi dalam teknologi cybersecurity, profesional TI dan keamanan memberikan 12 alasan berikut, laporan itu menemukan:

  • 1. Penyerang semakin gigih, canggih, terlatih dan dibiayai dengan baik 70% 70%
  • 2. Sulit untuk melindungi diri dari serangan yang kompleks dan berubah secara dinamis 66% 66%
  • 3. Ada kekurangan staf keamanan yang memadai dengan keterampilan yang diperlukan 65% 65%
  • 4. Kesalahan Manusia 62% 62%
  • 5. Ketidakmampuan untuk mencegah karyawan dari penipuan phishing 61% 61%
  • 6. Jarang memindai jaringan untuk mengetahui kerentanan 58% 58%
  • 7. Kurangnya visibilitas ke dalam operasi program keamanan 56% 56%
  • 8. Kurangnya kontrol atas hak akses 50% 50%
  • 9. Gangguan sistem 49% 49%
  • 10. Alat keamanan yang sulit diperbarui 48% 48%
  • 11. Alat yang salah konfigurasi atau salah pasang 45% 45%
  • 12. Ancaman yang telah menghindari pertahanan keamanan tradisional dan sekarang berada di dalam lingkungan TI 39% 39%

Faktor manusia — termasuk kecanggihan penyerang, kurangnya kecanggihan pengguna akhir, dan kesenjangan dalam keterampilan keamanan siber dalam organisasi — jelas tetap menjadi ancaman keamanan utama bagi perusahaan.

Sementara profesional TI dan keamanan sering mencari alat keamanan dan teknologi untuk mengatasi hal ini, tidak ada pengganti untuk praktik pelatihan karyawan yang kuat dan mencari praktisi keamanan siber yang terampil.

12 hal tersebut di atas merupakan faktor utama kenapa kasus pencurian data atau pelanggaran data kerap terjadi. Dan ini kemungkinan akan terus berlanjut di tahun-tahun mendatang jika tidak ada komitmen yang jelas dari para pimpinan perusahaan dan para pimpinan industri.

Lantas apa solusinya agar kasus pencurian data dapat semakin berkurang? 

Ini memang bukan hanya tugas pimpinan perusahaan saja, harus melibatkan seluruh departemen dan karyawan. Namun, para C-Level setidaknya dapat memulai dengan komitmen dan rencana tugas yang jelas untuk menekan risiko kasus pencurian data.

Sebagai salah satu cara terbaik adalah dengan melakukan pencegahan. Berikut beberapa hal yang dapa dilakukan: 

Kepatuhan

Ada undang-undang tanpa akhir yang mengatur privasi konsumen dan keamanan data, mulai dari Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) hingga Asuransi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA) dan Peraturan Perlindungan Data Umum (GDPR) yang baru.

Bergantung pada industri Anda dan jenis data yang Anda kumpulkan atau simpan, Anda mungkin harus mematuhi sejumlah undang-undang keamanan data.

Cara terbaik untuk mematuhi adalah dengan menciptakan kebijakan keamanan data yang menjaga data tetap aman dari risiko baik di dalam maupun di luar perusahaan.

Mengembangkan Kebijakan Keamanan Data

Cara terbaik untuk menghindari menjadi korban pencurian data adalah dengan memprioritaskan keamanan melalui berbagai praktik, proses, dan prosedur terbaik, dan kemudian merincinya dalam kebijakan.

Mulailah dengan brainstorming apa yang ingin Anda sertakan dalam kebijakan keamanan data Anda (atau gunakan template kebijakan keamanan data untuk melewati langkah ini).

Praktik terbaik yang sering disebutkan dalam kebijakan meliputi:

  • Usahakan transfer data minimum. Hanya memindahkan data dari satu perangkat ke perangkat lainnya jika perlu. Media yang dapat dipindahkan mudah hilang, menempatkan semua data di dalamnya akan sangat berisiko.
  • Selalu hancurkan File kertas.
  • Hanya simpan data yang diperlukan untuk melakukan tugas Anda. Ini adalah bagian penting dari Peraturan Perlindungan Data Umum yang baru.
  • Sering-seringlah mengganti kata sandi, membuat masing-masing tidak dapat diprediksi dan sulit dipecahkan. Simbol dan angka sangat ideal dalam praktik keamanan password.
  • Mendefinisikan dengan jelas kebijakan terkait teknologi informasi dan penggunaan yang dapat diterima.
  • Meminta karyawan menandatangani kebijakan yang menyentuh hal-hal seperti penggunaan akses web (Google, Wikipedia, Youtube) dan situs web yang tidak terpercaya.
  • Gunakan cloud saat itu masuk akal. Server cloud dienkripsi dan dipantau oleh para ahli yang mencari perilaku aneh. Server-server ini juga memudahkan untuk memberi dan menghapus izin akses.

Kebijakan Penggunaan Peralatan

Putuskan apakah Anda akan menyediakan perangkat dan sistem yang dimiliki perusahaan untuk digunakan karyawan. Terutama untuk kebijakan pada “Perangkat yang dibawah sendiri”, temukan mana yang bekerja paling baik untuk situasi Anda.

Jika sesuai anggaran dan Anda memutuskan untuk mendistribusikan perangkat milik perusahaan, amankan terlebih dahulu. Instal langkah-langkah keamanan seperti firewall, pemblokir pop-up, filter email atau aplikasi lain yang melawan risiko unik untuk industri Anda.

Jika Anda akan membiarkan karyawan membawa perangkat mereka sendiri, unduh teknologi yang akan menghapus informasi terkait pekerjaan dari ponsel tanpa menghapus data pribadi mereka. Ini memungkinkan Anda mulai mengambil tindakan segera jika seorang karyawan meninggalkan perusahaan (terutama jika mereka memiliki syarat yang tidak jelas).

Apa pun rute yang Anda ambil, pastikan karyawan menggunakan email khusus untuk pekerjaan. Dengan cara ini, TI dapat memantau apa pun yang mencurigakan. Plus, begitu seorang karyawan pergi, Anda dapat dengan mudah menghapusnya dari database dan mereka tidak lagi dapat mengakses email rahasia.

Otomatisasi Apa Yang Anda Bisa

Human error bertanggung jawab atas sejumlah besar pelanggaran data, tetapi Anda dapat mengurangi jumlah pelanggaran tidak disengaja dengan mengotomatiskan sebanyak mungkin proses dan sistem Anda.

Anda dapat menerapkan perlindungan otomatis seperti sistem yang secara teratur memeriksa kata sandi dan / atau mengingatkan Anda untuk mengubahnya secara berkala. Anda juga dapat menerapkan teknologi yang menilai konfigurasi server dan firewall, memperingatkan Anda jika ada lubang atau kebocoran.

Alih-alih meminta karyawan untuk tidak mengunduh konten yang tidak dikenal, Anda dapat selangkah lebih maju dengan menerapkan pemfilteran pada email dan browser internet. Dengan begitu, ada penjaga ekstra di tempat untuk mencegah karyawan dari mengklik secara tidak sengaja situs web berbahaya atau email.

Melatih dan Mendidik

Melatih dan mendidik staf sangat penting untuk menjaga perusahaan tetap aman dan relatif bebas masalah.

Dalam hal ini, pelatihan tidak hanya memberikan karyawan alat untuk memperhatikan perilaku jahat pada orang lain dan perilaku lalai dalam diri mereka sendiri, tetapi juga membantu mengubah budaya perusahaan menjadi lebih mengutamakan keamanan, mengutamakan keselamatan dan keamanan.

Para ahli menyarankan untuk mengklasifikasikan berbagai jenis data pada skala dan mendidik karyawan tentang sistem baru ini. Misalnya, mengurutkan data ke dalam kelompok (seperti data rahasia, data umum, data internal dan data eksternal), dan mungkin bahkan menetapkan masing-masing dengan warna yang berbeda, kemudian melatih karyawan untuk mengikuti sistem ini.

Gunakan Enkripsi

Jika Anda berurusan dengan data pribadi secara teratur, enkripsi sangat penting. Dokumen atau email terenkripsi hanya dapat diterjemahkan dengan kunci terkait.

Enkripsi dapat membantu Anda melindungi data sensitif di mana pun berada, bahkan jika dokumen dikirim ke email yang salah atau laptop kantor dicuri dan data berakhir di tangan yang salah. Jika penerima tidak mengetahui kunci enkripsi yang tepat, mereka tidak akan dapat mengakses data.

Catatan: jika Anda membiarkan staf membawa perangkat mereka sendiri untuk digunakan untuk tujuan kerja, ingatlah untuk mengenkripsi mereka.

Demikian untuk sebuah website perusahaan, baik untuk folder internal maupun untuk public_html sebaiknya menggunakan SSL. Tanyakan kepada jasa pembuatan website perusahanan Anda apakah mereka menyediakan SSL?.

Otorisasi & Aksesibilitas Pengguna

Lebih masuk akal untuk mengontrol akses data sejak awal daripada membagikannya dengan sembarangan dan mencoba untuk mengambilnya kembali nanti. Tidak perlu bagi semua orang untuk memiliki akses ke semuanya, jadi hanya berikan karyawan akses ke file yang diperlukan bagi mereka untuk menyelesaikan pekerjaan mereka.

Untuk mencegah peretas mengakses akun yang tidak dimaksudkan untuk mereka, terapkan beberapa tingkat otentikasi. Terapkan syarat kata sandi yang rumit yang membutuhkan huruf kecil, huruf besar, angka dan simbol.

Selain itu, sebagian besar aplikasi dan perangkat memiliki pengaturan yang mengeluarkan pengguna jika mereka tidak aktif selama periode waktu tertentu (aplikasi perbankan online melakukannya, laptop juga). Pengaturan seperti ini wajib diterapkan di perusahaan Anda untuk mencegah terjadinya kasus pencurian data yang semakin marak terjadi.

Jangan lupa tentang data pribadi fisik. Jika kantor Anda memiliki ruang file rahasia, terapkan kartu pintar atau sistem sidik jari untuk mencegah pihak yang tidak berwenang keluar.

Lacak Penggunaan Data & Monitor

Meskipun ada sedikit pertentangan etis tentang hal ini, pemantauan sistem mungkin merupakan lapisan keamanan tambahan yang bagus untuk diterapkan di perusahaan Anda.

Pemantauan perilaku orang dalam memungkinkan seseorang dari tim SDM atau TI untuk memutar ulang penggunaan komputer. Dengan cara ini, mereka dapat melacak siapa yang mengakses file apa. Mereka dapat mengikuti urutan siapa yang menyelamatkan atau mengirim sesuatu dan ke mana.

Dengan melacak pergerakan data, Anda dapat menentukan dengan tepat kapan meninggalkan zona aman dan siapa yang bertanggung jawab untuk membiarkan hal itu terjadi.

Konsep seperti ini sangat sesuai dengan konsep keamanan zero trust yang merupakan cara terbaik untuk mempertahankan diri dari kasus pencurian data.

Manajemen Patch

Menambal kerentanan dalam perangkat lunak komputer sangat penting (patching). Terutama mengingat bahwa serangan IT paling sukses mengeksploitasi kerentanan pada kode yang harus diperbarui atau ditambal.

Mintalah tim TI untuk menerapkan strategi manajemen tambalan menyeluruh yang memverifikasi fungsionalitas dan keamanan ketika tambalan diterapkan ke sistem operasi yang ada.

Audit & Penilaian Reguler

Lakukan penilaian kerentanan sebulan sekali atau bahkan mingguan. Secara teratur memindai kontrol keamanan dan konten setiap sistem di jaringan (internal dan eksternal) untuk mengidentifikasi ancaman dan bersiap untuk serangan.

Backup Data

Langkah ini tidak mencegah terjadinya pelanggaran data, tetapi itu akan membuat memperbaiki kerusakan lebih mudah. Tidak semua peretas ingin mencuri file Anda untuk menjualnya, memperdagangkannya, atau menggunakannya untuk kegiatan ilegal. Beberapa penjahat dunia maya bahkan hanya ingin membuat susah perusahaan Anda dengan cara menghapus data Anda.

Jika virus telah menghapus beberapa konten sistem Anda, sistem cadangan yang andal akan membantu Anda memulihkan data alih-alih memulai dari awal.

Kesimpulan

Serangan cyber belum menunjukan tren menurun. Seluruh perusahaan di Indonesia baik perusahaan menengah maupun perusahaan besar harus mulai menerapkan manajamen keamanan teknologi informasi yang update dengan tuntutan zaman.

Para pimpinan perusahaan dapat memulai dengan membuat komitmen dan kebijakan untuk keamanan data untuk mencegah terjadinya pelanggaran atau pencurian data.

Banyak kasus pencurian data karena disebabkan karena karyawan perusahaan. Baik karena kelalaian maupun secara sengaja untuk meng-ekspose data perusahaan. Human error sering terjadi, dan Anda dapat melakukan otomatisasi untuk meningkatkan keamanan jaringan IT di perusahaan Anda untuk mencegah “human error”.

Kebijakan terhadap vendor IT juga perlu diterapkan. Tidak sedikit kasus pelanggaran data disebabkan karena kelalaian dari Vendor IT.

Semoga dengan penjelasan singkat tersebut dapat bermanfaat besar untuk mencegah kasus pencurian data di banyak perusahaan Indonesia.

Pin It on Pinterest

Share This