Kesalahan Keamanan Paling Umum di Lingkungan Kerja

Teknologi bersifat transformatif. Selama 50 tahun terakhir, kita telah menyaksikan perubahan-perubahan besar yang tidak diduga dalam cara kita bekerja dan hidup. Namun, teknologi, seperti segala hal lainnya, punya kekurangan – dan keamanan adalah salah satunya. Laporan Thales di tahun 2019 tentang keamanan cyber menunjukkan bahwa masalah terkait keamanan cyber tidak akan kunjung membaik. Mereka menemukan bahwa hampir semua perusahaan (97%) menggunakan data dengan teknologi transformatif. Selama berdirinya sebuah perusahaan, 61% dari mereka akan mengalami pelanggaran akses cyber.

Masalahnya adalah bahwa banyak ancaman yang berubah menjadi insiden keamanan terjadi akibat kesalahan, dan sering kali kesalahan yang dilakukan sederhana atau bisa dihindari. Dalam artikel ini kami akan menjelaskan beberapa kesalahan keamanan yang mudah dilakukan, tapi juga mudah dicegah.

Kesalahan Keamanan dan Cara Menghindarinya

Saat kita membayangkan ancaman-ancaman keamanan cyber, sering kali yang muncul dalam gambaran adalah seorang peretas yang menggunakan jaket bertudung dan sedang mengetik di ruangan gelap. Namun, riset IBM telah menunjukkan bahwa sekitar 60% insiden keamanan diakibatkan oleh orang-orang di sekitar kita. Ini disebut sebagai ‘ancaman internal’. Mendukung data ini, Netwrix menemukan bahwa sekitar 58% organisasi menyalahkan pihak-pihak dalam atas insiden keamanan yang terjadi. Riset Kaspersky menunjukkan hasil mirip, dengan 52% bisnis mengklaim bahwa karyawan mereka adalah resiko terbesar bagi keamanan IT. Singkatnya, dapat dikatakan bahwa bahaya nyata terhadap keamanan online kita bukan selamanya datang dari peretas bertudung yang mencoba untuk mencuri dokumen pribadi kita (meskipun hal ini juga mengganggu), melainkan orang-orang yang bekerja dan hidup di sekitar kita.

Pihak dalam sering kali tidak punya niat berbahaya. CA Technologies menemukan bahwa 51% ancaman internal terjadi secara tidak sengaja, diakibatkan oleh perilaku yang lalai dan ceroboh. Hal ini menunjukkan bahwa pengetahuan, dalam kasus ini, adalah keamanan. Saat Anda paham akan hal yang harus diwaspadai, keamanan Anda sudah jauh lebih kuat dibanding sebelumnya. Jadi, area apa saja yang menyebabkan insiden-insiden keamanan ini? Kami akan berikan empat kesalahan umum yang dibuat oleh pihak dalam.

Berbagi kata sandi dan hak akses

Apa salahnya? Penguasaan akses ada pada inti permasalahan banyak insiden keamanan dan pelanggaran data. Menurut Centrify, 74% kasus pelanggaran data terjadi dengan cara menyalahgunakan hak atas akses. Ini bisa melalui hal sederhana seperti berbagi sebuah kata sandi dengan seorang kolega. Bisa juga karena sebuah serangan spear phishing yang fokus pada seorang target dengan hak akses tingkat tinggi. Setelah akses didapatkan, maka pelaku kejahatan dapat mencuri data, membocorkan informasi hak milik, menginfeksi jaringan, dan secara umum membuat kerusakan.

Bagaimana cara membenahinya? Ada sejumlah cara untuk mengunci dan mengatur akses secara lebih ketat:

1. Gunakan autentikasi dua faktor (2FA) kapan pun dimungkinkan.
2. Jika memungkinkan, gunakan pendekatan berbasis resiko untuk mengatur akses. Contohnya, terapkan pengaturan yang lebih ketat jika seseorang berusaha mengakses dari sebuah koneksi Wi-Fi eksternal.
3. Laksanakan pelatihan kesadaran keamanan untuk memastikan bahwa karyawan paham pentingnya tidak sembarangan membagikan kata sandi.

Menekan tautan phishing (atau mengunduh lampiran yang terinfeksi)

Apa salahnya? Phishing tetap menjadi cara utama malware menginfeksi jaringan. Lebih dari itu, semakin sulit sekarang untuk mengenali email phishing dan situs palsu. Menurut Proofpoint, terjadi 76% peningkatan serangan phishing di tahun 2018, dengan 83% ahli keamanan melaporkan bahwa organisasi mereka mengalaminya. Email phishing yang mengarahkan ke situs-situs palsu yang menginfeksi mesin atau mencuri data juga semakin sering berhasil mengelabui para korban supaya berpikir bahwa mereka aman. Saat ini, lebih dari setengah jumlah situs palsu phishing menggunakan HTTPS untuk menunjukkan bahwa mereka ‘aman’.

Bagaimana cara membenahinya? Phishing adalah sebuah bentuk social engineering yang menipu orang-orang untuk melakukan sebuah hal spesifik, seperti menekan tautan berbahaya. Salah satu bentuk perlindungan terbaik untuk melawan phishing adalah edukasi. Gunakan jasa firma kesadaran keamanan untuk melakukan pelatihan terhadap karyawan Anda supaya dapat mengenali tanda-tanda phishing. Ini termasuk latihan simulasi phishing. Selain itu, kita harus sadar bahwa situs yang menggunakan HTTPS tidak selamanya merupakan situs yang sah.

Berbagi data yang sensitif di portal kolaborasi berbasis Cloud

Apa salahnya? Banyak organisasi sekarang yang rutin menggunakan portal kolaborasi berbasis Cloud untuk berbagi informasi dan mengerjakan proyek. Peningkatan jumlah kebocoran data, sering kali yang bersifat sangat sensitif, terjadi via portal kolaborasi tersebut. Contoh terbarunya adalah penemuan yang menunjukkan bahwa lebih dari 100.000 ruang penyimpanan GitHub punya keamanan atau kunci API yang bocor. Masalah serupa ditemukan pada portal kolaborasi Slack. Slack juga telah dikritik karena kerentanan keamanannya yang memungkinkan kunci-kunci sesi untuk diretas dan digunakan untuk log in ke akun-akun pengguna, sehingga peretas punya akses ke pesan, file, dll. Kerentanan ini sudah dibenahi, tapi kasus ini menunjukkan kerapuhan kolaborasi online yang menggunakan informasi sensitif.

Bagaimana cara membenahinya? Sangat berhati-hatilah dengan jenis data yang Anda bagikan di portal kolaborasi online. Lebih dari itu, ada baiknya untuk secara cermat mempertimbangkan hak apa yang Anda berikan ke pengguna pada portal tersebut. Karyawan yang tidak puas dapat berpotensi menggunakan hak akses tersebut untuk membocorkan informasi tentang organisasi Anda. Hal ini khususnya terjadi saat mereka keluar dari perusahaan Anda. Maka, Anda harus selalu pastikan bahwa Anda sudah menghapus akses ke akun-akun portal saat seseorang keluar perusahaan.

Kebocoran email

Apa salahnya? Email terkenal buruk karena membocorkan informasi sensitif dan bahkan yang memalukan. Kebocoran email bisa terjadi secara tidak sengaja atau atas dasar niat berbahaya. Insiden tidak disengaja yang menjadi tajuk utama berita baru-baru ini adalah email pemerintah Inggris tentang Skema Penyelesaian EU pasca Brexit. Email ini, sayangnya, menggunakan CC dibanding BCC sehingga memperingatkan pihak yang lain di email tersebut terkait siapa yang meminta status itu. Meskipun tidak disengaja, kebocoran email ini merupakan kasus pelanggaran privasi yang besar.

Bagaimana cara membenahinya? Kecelakaan terjadi, khususnya saat seseorang sedang buru-buru. Sebagian besar dari kita mungkin pernah menggunakan CC di saat seharusnya menggunakan BCC, paling tidak sekali dalam hidup. Pelatihan kesadaran keamanan bisa membantu karyawan supaya lebih sadar akan kemungkinan kesalahan mengirim email yang berisi informasi sensitif. Namun, Anda juga bisa menggunakan upaya teknis seperti Data Leak Prevention (DLP). Jenis solusi ini menggunakan peraturan-peraturan spesifik untuk mencari kata kunci dan frase atau mencari lampiran yang spesifik. Cara ini juga selanjutnya bisa mengasingkan atau memeriksa hal-hal yang ditemukan untuk melihat apakah ada potensi masalah keamanan.

Apa Kita Bisa Sepenuhnya Mencegah Kesalahan Keamanan?

Pernyataan menarik dari IBM di tahun 2018 menggambarkan secara tepat hal yang sedang kita hadapi dalam urusan keamanan online, kesalahan online, dan kemungkin pelanggaran akses online:

“Kemungkinannya lebih tinggi bagi Anda untuk mengalami pelanggaran data (27,9%) atas paling tidak 10.000 dokumen dibanding kemungkinan Anda untuk mendapat flu saat musim dingin.”

Hampir mustahil untuk mencegah terjadinya kesalahan. Dalam lingkungan kerja yang karyawannya ingin berkolaborasi dengan satu sama lain menggunakan platform berbasis cloud, sulit untuk menjaga keamanan data bisnis kita. Namun, kita bisa memitigasi resikonya. Karyawan kita mungkin menjadi titik lemah, tapi mereka bisa menjadi perlindungan terbaik bagi kita juga. Langkah awal yang baik adalah dengan membuat karyawan sadar akan bagaimana hal sederhana bisa menyebabkan insiden keamanan. Jika hal ini dipadukan dengan penggunaan teknologi-teknologi kunci seperti autentikasi dua faktor dan Data Leak Prevention maka bisa meningkatkan upaya Anda. Kesalahan akan selalu mungkin terjadi, tapi Anda bisa mengurangi dampaknya dengan melakukan edukasi terhadap semua pihak di dalam perusahaan Anda dan cermat dalam menggunakan aset Anda.