Video: Siapkah Perusahaan Anda Mencegah Serangan Cyber? - PQM Consultants Webinar Series (Oktober 2024)
Menjaga perusahaan Anda aman dari serangan cyber tidak semudah menerapkan perangkat lunak perlindungan titik akhir. Anda akan ingin melatih setiap karyawan untuk mengetahui apa yang harus dicari sebelum, selama, dan setelah bekerja setiap hari. Hal-hal seperti phishing, pencurian fisik, dan spam dapat secara dramatis merusak bisnis Anda.
Saya berbicara dengan Michael Kaiser, Direktur Eksekutif Aliansi Keamanan Cyber Nasional, tentang banyak cara di mana perusahaan harus menyediakan informasi dan alat bagi para pekerja untuk tetap waspada tentang kemungkinan serangan cyber. Setelah Anda melatih tim Anda, terserah Anda atau departemen TI Anda untuk menyediakan perangkat lunak dari perusahaan seperti Bitdefender, Kaspersky Lab, dan Symantec yang membantu menjaga keamanan jaringan dan perangkat.
1. Tawarkan Pelatihan Phishing dan Spam
Business Email Compromise (BEC) menyerang perusahaan target dengan pesan penipuan yang mengekstraksi informasi dari penerima yang tidak tahu. Contoh yang sangat baik dari serangan BEC adalah email penipuan yang dikirim dari seseorang yang berpura-pura menjadi CEO perusahaan ke departemen sumber daya manusia (SDM) perusahaan. Tanpa menyadari bahwa ia sedang scammed, seorang manajer SDM dengan rela mengirimkan data karyawan pribadi ke scammer.
Anda dapat melatih karyawan Anda untuk mencari email-email ini atau segala jenis serangan spam lainnya sehingga mereka dapat memberitahukannya jika mereka menerima sesuatu yang terlihat mencurigakan. Anda juga dapat membeli alat pelatihan simulator phishing yang berupaya menjebak karyawan Anda mengklik jenis email yang salah. Karyawan yang mengklik email simulasi serangan jelas akan membutuhkan pelatihan dan pendidikan tambahan.
2. Buat Kebijakan Penggunaan yang Dapat Diterima
Karyawan Anda seharusnya tidak boleh bebas berkuasa atas bagaimana mereka menggunakan perangkat perusahaan saat bekerja. Misalnya, ajari mereka situs web mana yang diizinkan untuk dikunjungi. Ajari mereka file mana yang diizinkan untuk diunduh. Biarkan mereka tahu jaringan nirkabel mana yang dikeluarkan perusahaan dan aman untuk digunakan.
Setelah Anda memiliki kebijakan, penting untuk menetapkan kembali kebijakan tersebut secara berkala dengan tim Anda. Jika Anda tidak secara konsisten menekankan protokol yang dapat diterima, maka karyawan Anda mungkin melupakannya atau mereka mungkin merasa puas.
3. Berikan Pelatihan Kata Sandi Yang Kuat
"Kebijaksanaan baru adalah tidak mengubah kata sandi terlalu sering karena setiap kali diubah, kata sandi baru menjadi semakin lemah, " kata Kaiser. Jadi berbicaralah dengan departemen TI Anda untuk datang dengan frekuensi perubahan kata sandi yang masuk akal (itu akan bervariasi dari perusahaan ke perusahaan) dan mulai menggunakan frekuensi itu segera.
Selain itu, Anda ingin melatih karyawan Anda untuk membuat kata sandi yang kuat. Apa pun yang berisi lebih dari 7 karakter, huruf besar, angka, dan simbol harus cukup kuat untuk mencegah serangan biasa. Namun, Anda harus menyarankan karyawan Anda untuk tidak hanya mengubah salah satu karakter tersebut ketika mereka diminta untuk membuat kata sandi baru; alih-alih, mereka harus mulai dari awal dengan urutan huruf, angka, dan simbol baru.
4. Ajarkan Karyawan untuk Melaporkan Masalah
Sekalipun karyawan Anda mengklik atau mengunduh sesuatu yang seharusnya tidak dimiliki, penting bahwa semua ancaman dilaporkan. Jika Anda membuat karyawan Anda merasa aman untuk melaporkan pelanggaran sehingga dapat membalikkan kerusakan atau mencegah intrusi, maka tim Anda akan jauh lebih mungkin untuk maju.
"Anda harus membangun suasana yang tidak menyalahkan di mana orang dapat membawa masalah ke depan, bahkan jika mereka melakukan kesalahan, " kata Kaiser. "Lebih penting bagi bisnis untuk mengetahui bahwa ada masalah potensial daripada itu."
5. Gunakan Manajemen Perangkat yang Tepat
Perangkat lunak Manajemen Perangkat Seluler (MDM) akan membantu Anda seandainya perangkat lunak perlu diperbarui secara manual, seorang karyawan menjadi nakal, atau jika Anda perlu menghapus dari jarak jauh perangkat yang hilang atau dicuri. Tetapi, jika perusahaan Anda terlalu kecil atau terlalu tidak terampil secara teknologi untuk mempertahankan seluruh armada perangkat, maka Anda akan ingin melatih karyawan Anda untuk merawat perangkat mereka baik secara fisik maupun digital.
Pastikan karyawan Anda tahu bahwa mereka perlu memperbarui semua perangkat lunak ketika pembaruan baru tersedia. Pembaruan ini biasanya berisi perbaikan kerentanan keamanan. Tanpa pembaruan, kerentanan akan terus ada, sehingga memberikan peretas akses ke perangkat dan mungkin seluruh jaringan Anda.
"Pastikan mereka selalu menyadari keamanan fisik perangkat, " kata Kaiser. "Pastikan mereka tidak meninggalkan perangkat tanpa pengawasan dan perangkat disimpan dengan benar ketika berada di dalam kendaraan sehingga tidak terlihat." Kaiser juga mengatakan penting untuk melatih karyawan Anda untuk memahami keterbatasan fisik perangkat Anda. Apakah mereka tahan air? Apakah itu tahan debu? Apa ambang batas suhu tinggi dan rendah yang aman untuk perangkat?
Selain itu, buat persyaratan bahwa setiap perangkat yang menampung data perusahaan akan disandikan atau dibuka melalui pembacaan biometrik. Ini adalah aturan sederhana yang harus diikuti semua orang, bahkan dengan perangkat pribadi, tetapi patut untuk diingatkan kembali bagi karyawan Anda yang lebih naif atau keras kepala.
6. Berikan Akses Jarak Jauh dan Pelatihan Wi-Fi
Jika Anda mengkhawatirkan keamanan (yang seharusnya Anda lakukan), segera atur Virtual Private Network (VPN). Jika ada karyawan yang bekerja dari jarak jauh, maka ia harus menggunakan VPN itu setiap saat untuk semua kegiatan.
Anda juga harus melembagakan kebijakan dan prosedur tentang cara karyawan menggunakan Wi-Fi saat mereka jauh dari kantor. Jaringan Wi-Fi yang mereka akses harus dilindungi kata sandi dan menampilkan pengaturan keamanan yang kuat. Ketika karyawan Anda menggunakan ponsel cerdas dan tablet, mereka harus selalu memilih untuk menggunakan paket data seluler perangkat daripada jaringan Wi-Fi yang tidak dikenal.
