Apa saja yang harus diberitahukan kepada CEO atau direktur perusahaan terkait keamanan siber perusahaan?
Statisik menunjukkan, 62% manajer puncak yang disurvei oleh Kaspersky mengakui bahwa kesalahpahaman antara departemen keamanan informasi (TI) dan bisnis telah menyebabkan insiden dunia maya yang serius.
Untuk mengubah cara karyawan dalam menyikapi keamanan informasi di suatu organisasi, sangat penting untuk mendapatkan dukungan di tingkat tertinggi — yaitu dari para dewan direksi.
Dalam siaran pers, 07/04/2023, Kaspersky membagikan 5 kunci sederhana bagi para manajemen puncak agar pesan keamanan siber dapat lebih mudah dipahami.
Memberikan Pelatihan Keamanan Tim Siber – Dan Mulai Dari C-Level
Sangat penting bagi manajemen untuk menggunakan autentikasi dua faktor dengan token USB atau NFC di semua perangkat, memiliki kata sandi yang panjang dan unik untuk semua akun kerja, melindungi seluruh perangkat pribadi dan perusahaan dengan perangkat lunak yang sesuai, serta menjaga barang pribadi dan digital terpisah.
Penting untuk memeriksa ulang semua email dan lampiran yang mencurigakan. Beberapa eksekutif mungkin memerlukan bantuan dari seseorang dari departemen keamanan informasi untuk menangani tautan atau file yang sangat mencurigakan.
Setelah manajemen atas menguasai pelajaran keamanan dasar, Anda dapat membimbing mereka dengan lembut menuju keputusan strategis: pelatihan keamanan informasi reguler untuk semua karyawan perusahaan. Ada persyaratan pengetahuan yang berbeda untuk setiap tingkat karyawan. Setiap orang, termasuk karyawan garis depan, perlu mengasimilasi aturan kebersihan dunia maya yang disebutkan di atas serta tips tentang cara menanggapi situasi yang mencurigakan atau abnormal.
Manajer — terutama yang berada di departemen TI — akan mendapat manfaat dari pemahaman yang lebih dalam tentang bagaimana keamanan diintegrasikan ke dalam pengembangan produk, kebijakan keamanan apa yang diterapkan di divisi mereka, dan bagaimana upaya tersebut dapat memengaruhi kinerja bisnis. Sebaliknya, karyawan infosec sendiri harus mempelajari proses bisnis yang diterapkan di perusahaan untuk mendapatkan pemahaman yang lebih baik tentang cara mengintegrasikan perlindungan yang diperlukan.
Integrasikan Keamanan Siber Ke Dalam Strategi Dan Proses Perusahaan
Penting untuk mengingatkan manajemen puncak bahwa “membeli sistem perlindungan ini [atau itu]” bukanlah obat mujarab untuk semua masalah dunia maya, karena, menurut berbagai studi, antara 46% dan 77% dari semua insiden siber berhubungan dengan faktor manusia: dari ketidakpatuhan terhadap kebijakan dan orang dalam yang jahat hingga kurangnya transparansi TI di pihak kontraktor. Meskipun demikian, masalah keamanan informasi akan selalu berkisar pada anggaran.
Investasikan dengan tepat
Penting memprioritaskan anggaran untuk keamanan informasi sejalan dengan persyaratan industri dan dengan ancaman paling relevan terhadap organisasi Anda dan yang berpotensi menyebabkan kerusakan terbesar. Namun, hampir tidak mungkin untuk mengurutkan probabilitas risiko ancaman secara mandiri, maka penting untuk mempelajari laporan lanskap ancaman bagi industri Anda dan menganalisis vektor tipikal serangan.
Ketika anggaran perlu ditingkatkan, maka situasi akan menjadi lebih kompleks. Pendekatan paling matang untuk anggaran keamanan adalah yang didasarkan pada risiko dan biaya aktualisasi dan minimalisasi serangan, tetapi juga yang paling padat karya, contohnya memlihat dari pengalaman kompetitor. Upaya lainnya dapat menggunakan berbagai tolok ukur yang memaparkan anggaran rata-rata di area bisnis dan negara tertentu.
Pertimbangkan semua jenis risiko
Diskusi tentang keamanan informasi harus juga memperhatikan risiko pelanggaran undang-undang tentang penyimpanan dan penggunaan data pribadi: Regulasi umum perlindungan data, privasi konsumen, dan sejenisnya. Praktik penegakan hukum saat ini menunjukkan bahwa mengabaikannya bukanlah suatu pilihan: cepat atau lambat regulator akan mengenakan denda, dan dalam banyak kasus — terutama di Eropa — nominalnya cukup besar.
Sejumlah industri memiliki kriteria sendiri, bahkan lebih ketat, khususnya sektor keuangan, telekomunikasi, dan medis, serta operator infrastruktur kritikal. Ini harus menjadi tugas manajer tingkat atas untuk memantau secara teratur dan meningkatkan kepatuhan seluruh internal perusahaan terhadap persyaratan peraturan di departemen mereka.
Menanggapi dengan benar
Jika terjadi serangan siber dalam skala serangan cukup besar, tidak hanya keamanan informasi, unit bisnis juga harus siap merespon, idealnya dengan mengikuti pelatihan. Paling minimal, manajemen puncak harus mengetahui dan mengikuti prosedur keamanan. Ada tiga langkah mendasar untuk para CEO:
- Segera beri tahu pihak-pihak kunci tentang suatu insiden; tergantung pada konteksnya: departemen keuangan dan hukum, perusahaan asuransi, regulator industri, regulator perlindungan data, penegakan hukum, pelanggan yang terkena dampak. Dalam banyak kasus, jangka waktu pemberitahuan tersebut ditetapkan oleh undang-undang, tetapi jika tidak, maka harus diatur dalam peraturan internal. Pemberitahuan harus cepat tetapi informatif; yaitu, sebelum memberi tahu, informasi tentang kriteria insiden harus dikumpulkan, termasuk penilaian skala awal dan tindakan respons pertama yang diambil.
- Selidiki insiden tersebut. Penting untuk mengambil berbagai tindakan agar dapat menilai skala dan konsekuensi serangan dengan benar. Selain tindakan teknis murni, survei karyawan juga penting. Selama penyelidikan, sangat penting untuk tidak merusak bukti digital serangan atau artefak lainnya. Dalam beberapa kasus, melibatkan para ahli dari luar untuk menyelidiki dan membereskan insiden juga menjadi langkah tepat.
- Menyusun jadwal komunikasi. Kesalahan umum yang dilakukan perusahaan adalah mencoba menyembunyikan atau meremehkan suatu insiden. Cepat atau lambat, skala masalah yang sebenarnya akan muncul, memperpanjang dan memperbesar kerusakan — dari reputasi hingga keuangan. Oleh karena itu, komunikasi eksternal dan internal harus teratur dan sistematis, sampaikan informasi secara konsisten dan bermanfaat bagi pelanggan dan karyawan. Mereka harus memiliki pemahaman konkret tentang tindakan apa yang harus segera dilakukan dan potensi scenario di masa depan. Merupakan ide bagus untuk memusatkan komunikasi; yaitu, menunjuk juru bicara internal dan eksternal.
Baca: Kiat Melindungi Diri dan Organisasi dari Serangan Siber Selama Mudik
