Miskonsepsi Perusahaan mengenai Keamanan Siber

PRAKTIK KEAMANAN IT HANYA UNTUK PERUSAHAAN BESAR

Sungguh sangat fatal apabila pemikiran ini dimiliki oleh para pemangku kebijakan atau bahkan oleh pemilik perusahaan itu sendiri.

Serangan siber saat ini semakin tidak memandang besar-kecilnya sebuah perusahaan, frekuensi serangan kini semakin masif, acak, bahkan melibatkan kecerdasan buatan alias dapat diotomisasi.

Serangan siber yang kerap muncul di media atau menjadi sorotan memang hanya serangan yang diarahkan ke perusahaan besar, karena itu memang mampu mendatangkan audience.

Diluar dari yang tidak muncul di media atau tersebar beritanya, tidak sedikit perusahaan-perusahaan kecil, menengah atau yang sedang merintis langsung gulung tikar akibat serangan siber.

Semakin masifnya serangan siber saat ini datang seiring dengan laju digitalisasi yang juga begitu masif, apalagi ditambah dengan percepatan digitalisasi yang dipicu oleh pandemi covid-19.

Kesadaran akan pentingnya keamanan siber seharusnya bisa terbangun dengan mudah dari sudut pandang yang sederhana, yaitu dimana menjalankan perusahaan hari ini, baik kecil maupun besar, cenderung sangat bergantung pada infrastruktur IT.

ANTIVIRUS SAJA SUDAH CUKUP

Antivirus hanya salah satu upaya praktis untuk meningkatkan keamanan, tidak bisa menjadi satu-satunya lapisan pertahanan yang diandalkan untuk menjamin keamanan. mekanisme dan daya infeksi malware terus berkembang dengan cepat, dan tidak selalu lebih dulu terdeteksi oleh antivirus.

Disamping itu serangan phishing atau sejenisnya yang melibatkan social engineering atau rekayasa sosial tidak mungkin bisa ditangani oleh antivirus, jadi jelas jika antivirus merupakan salah satu alat bantu yang perlu dilengkapi dengan upaya praktik keamanan lainnya.

HANYA MENGANDALKAN BACKUP 

Membuat salinan data atau backup merupakan upaya standar yang seharusnya memang perlu dilakukan tanpa adanya tekanan dari potensi serangan siber, misalnya untuk berjaga-jaga apabila perangkat rusak, dsb.

Dalam skenario serangan siber, salinan data dapat bermanfaat dalam upaya pemulihan saja, sedangkan keamanan siber adalah tentang analisa resiko, penerapan perlindungan, monitoring, respon ketika terjadi insiden, dan pemulihan.

Salinan data merupakan hal mendasar yang sudah pasti dipikirkan oleh pelaku serangan siber, dan salinan data dapat menjadi hal yang tidak benar-benar efektif apabila data asli yang didapatkan pelaku mengandung banyak informasi sensitif atau rahasia menuju hal-hal atau platform-platform external lainnya.

Disamping itu salinan data belum tentu menjadi hal yang mudah untuk perusahaan dengan frekuensi penambahan atau perubahan data yang tinggi, akan cukup kompleks atau tidak mungkin melakukan penyalinan data secara manual setiap jam / menit atau bahkan detik, dan berbagai kasus spesifik lainnya. belum lagi untuk skenario dimana pelaku mampu mendapatkan akses hingga ke salinan data.

MERASA AMAN KARENA SUDAH MEMBATASI AKTIVITAS

Justru ini menunjukkan bahwa sudah terbentuk rasa aman yang begitu nyaman, yang pada kondisi tertentu justru mudah untuk dieksploitasi karena pengguna perangkat tidak lagi jeli atau terlalu memperhatikan keamanan pada standar aktivitas pekerjaan yang sudah biasa dilakukan.

Tidak melakukan aktivitas komputasi diluar lingkup pekerjaan adalah hal mendasar yang memang sudah seharusnya dan bukan jaminan untuk terhindar dari serangan siber, ibarat berkendara, meskipun tidak ugal-ugalan dan melanggar lalu lintas, itu tidak menjamin terhindar dari kecelakaan.

HANYA SEBATAS KERUGIAN FINANSIAL 

Dampak serangan siber tidak melulu hanya berhenti sejauh kerugian finansial yang disebabkan oleh lumpuhnya produktivitas dan layanan, namun dapat hingga menjatuhkan reputasi perusahaan, kehilangan kepercayaan client, bahkan hingga gugatan hukum karena kelalaian atau ketidakpatuhan terhadap standar dalam menjaga privasi dan keamanan data client.

SERANGAN HANYA DARI LUAR

Selain melakukan upaya-upaya praktik keamanan untuk mengantisipasi serangan dari luar, upaya praktik keamanan yang mengarah kedalam juga tidak kalah penting.

Serangan dari dalam bahkan dapat lebih sulit dideteksi dan menimbulkan dampak yang lebih signifikan, karena pelaku yang berada secara fisik didalam perusahaan sangat berpotensi untuk memiliki informasi yang sangat lengkap untuk melancarkan serangan yang terstruktur dan cepat.

TIDAK MENERAPKAN PRAKTIK KEAMANAN SECARA BERKELANJUTAN

Serangan siber terus berinovasi dengan metode atau strategi baru, sehingga tidak mungkin untuk sebuah perusahaan bisa membentuk dinding pertahanan digital yang kuat dengan menjadikan praktik keamanan hanya sebagai tugas sekali jalan.

Praktik keamanan berkelanjutan yang dimaksud adalah pengawasan rutin, hanya ini yang memungkinkan perusahaan untuk bisa mengevaluasi dan menciptakan penerapan praktik keamanan yang relevan secara berkelanjutan.

HANYA MENGANDALKAN DIVISI IT

Strategi praktik keamanan yang dibentuk oleh divisi IT dapat menjadi lemah apabila tidak diimbangi dengan kerjasama yang baik oleh divisi lain didalam perusahaan.

Pertahanan digital perusahaan yang kuat hanya dapat tercipta ketika divisi IT secara proaktif melakukan evaluasi dan meningkatkan praktik keamanan secara berkelanjutan, dan diimbangi dengan literasi keamanan digital yang juga baik oleh divisi-divisi lain.

Literasi keamanan digital pada divisi non IT akan sulit terbentuk apabila perusahaan tidak menjadikan praktik keamanan menjadi bagian integral dari budaya perusahaan.

Sampai hari ini tidak sedikit orang-orang didalam perusahaan bahkan tidak bisa membedakan antara peretasan dan social engineering atau rekayasa sosial, seringkali ini masih menjadi kesalahpahaman yang tumpang tindih antara divisi IT dan divisi lain.

Sebuah insiden akan tepat disebut peretasan apabila pelaku melancarkan serangan dengan mengeksploitasi kerentanan pada infrastruktur IT perusahaan, baik itu jaringan atau perangkat. sedangkan rekayasa sosial dilakukan dengan memanipulasi psikologi atau mengeksploitasi literasi keamanan digital yang rendah, dimana pelaku berhasil membuat orang didalam perusahaan tanpa sadar telah memberikan akses untuk melancarkan serangan.

Jadi jelas jika hal-hal teknis yang dapat menimbulkan kerentanan pada infrastruktur IT memang merupakan tanggung jawab dan porsi divisi IT, namun serangan siber yang bahkan sudah canggih dengan berbagai kombinasi teknisnya, ditambah dengan melibatkan teknik rekayasa sosial, menjadikan perusahaan tidak bisa hanya mengandalkan divisi IT saja untuk membentuk pertahanan digital yang solid.

HANYA MENGANDALKAN KARYAWAN

Kondisi yang lebih rentan apabila perusahaan tidak memiliki divisi khusus untuk mengawasi keamanan IT dan hanya mengandalkan karyawan.

Meskipun seluruh karyawan sudah diberikan arahan atau bahkan pelatihan mengenai keamanan digital, mereka memiliki fokus dan porsi pekerjaan utama yang pada saat tertentu maklum saja jika mereka bisa benar-benar lengah mengenai keamanan.

AMAN PASTI TIDAK NYAMAN

Yang terakhir ini adalah pemikiran yang paling sering ditemukan, tidak sedikit perusahaan yang pada akhirnya enggan menerapkan praktik keamanan karena sudah terlebih dulu beransumsi jika menerapkan keamanan pasti akan memperumit proses pekerjaan, padahal sebenarnya ini kembali pada kompetensi atau tingkat kemampuan sdm dalam beradaptasi dengan perkembangan teknologi yang minimal terkait dengan pekerjaan.

Tanggapan untuk pemikiran ini cukup sulit, karena memang tidak setiap orang memiliki tingkat adaptasi yang baik terhadap perkembangan teknologi, namun kembali lagi bahwa faktanya saat ini mau tidak mau perusahaan sedang berada ditengah laju digitalisasi yang begitu masif, hari ini sebagian besar tingkat kelancaran produktivitas dan layanan perusahaan bergantung pada infrastruktur IT, maka dari itu pendekatan terbijak adalah menyadari fakta ini dan bersinergi untuk mengimplementasikan praktik-praktik keamanan yang paling mungkin mengimbangi kenyamanan.

CATATAN

  • Serangan siber seringkali berhasil ketika target merasa nyaman dan aman
  • Pertahanan digital yang baik hanya mungkin terbentuk apabila perusahaan menerapkan atau menjadikan keamanan digital sebagai bagian integral dari budaya perusahaan.
  • Divisi atau mitra yang berfokus pada keamanan IT hanya bisa melakukan upaya maksimal pada hal-hal teknis, literasi keamanan digital untuk menghadapi rekayasa sosial dan sejenisnya adalah tanggung jawab bersama seluruh orang didalam perusahaan.