Tingkat kebocoran data (data breach) yang beberapa tahun belakangan ini menimbulkan pertanyaan mengenai kecukupan investasi atas teknologi berupa network security ataupun computer security. Ya benar sekali, teknologi selalu menjadi pusat perhatian untuk setiap insiden keamanan terjadi. Dan sering di kaitkan dengan nominal yang sudah di keluarkan, makanya budget dari cyber security biasanya akan meningkat setelah insiden terjadi. Sementara ada hal lain yang kadang terlupakan, yaitu: People sebagai stakeholder dari system tersebut. Sekitar 35% dari data breach yang terjadi dapat di hindari bilamana faktor people lebih di perhatikan. People sebagai stakeholder dari system mungkin tidak dapat terlibat dalam perancangan arsitektur keamanan. Hal ini mengapa Cyber Security Awareness yang di bangun secara konsisten di percaya bisa turut meningkatkan pertahanan perusahaan. Tidak hanya sampai di sini, Cyber Security Awareness ternyata juga dapat berperan menekan potensi Cyber Crime yang dapat terjadi di sebabkan insider threat. User mungkin tidak bisa membantu merancang system keamanan, akan tetapi bukan berarti tidak bisa mengambil peranan dalam pencegahan insiden cyber pada area lain. Bukankah bentuk serangan siber tidak hanya selalu mentargetkan security perimeter perusahaan?

Apakah arti Cyber Security Awareness?

Sebuah analogi sederhana jika di dalam rumah, kita ingin menjaga keamanan dari pencurian dan tindak kejahatan lainnya. Yang pertama kali dan paling penting untuk di lakukan adalah dengan mengajarkan penghuni rumah cara mengunci pintu dengan benar. Demikiannya dengan pengamanan cyber di tempat kerja, perusahaan perlu untuk mengajak sebanyak mungkin karyawan untuk terlibat. Secara umum, Cyber Security Awareness di artikan sebagai tingkat pemahaman stakeholder terhadap cyber security threat yang potensial. Setelah memahaminya, maka penting pula untuk mengetahui behaviour yang dapat memicu ancaman dan yang dapat mencegah ancaman cyber tersebut. Karyawan bisa menjadi the weakest link dalam mata rantai cyber security jika kurang mendapatkan perhatian.

Mengapa Cyber Security Awareness itu Penting?

Studi menyebutkan bahwa cyber security attack sebagian besar selalu di awali dengan upaya untuk meng-exploit human factor. Hampir 90% dari data breach yang terjadi di sebabkan oleh Human Factor. Apalagi jika kita lihat yang terjadi selama tahun 2020 saat lebih banyak karyawan yang bekerja dari rumah (Work From Home). Peretas akan mencari titik lengah dari user melalui phishing dan upaya social engineering lainnya. Tidak sedikit yang bahkan membaca postingan karyawan yang menjadi target di social media untuk mengumpulkan sebanyak mungkin informasi. Mulai dari foto yang di unggah, check-in location, hingga sampai membaca teks yang tertulis pada foto yang di unggah sebelumnya. Meski semua informasi ini tidak ada kaitan dengan arsitektur keamanan perusahaan, serangan phishing yang berhasil di lancarkan dapat berpotensi mem-bypass system security yang aktif.
Cyber Security Awareness lebih memfokuskan kepada behaviour. Pengetahuan adalah langkah awal, namun untuk mencapai awareness itu sendiri perlu ada konsistensi antara pengetahuan dengan tindakan (behaviour). Meskipun sifat curiosity atau penasaran yang tinggi dari karyawan kadang bisa menjadi masalah lain. Perusahaan tentunya tidak boleh menyerah dan berhenti sampai di sini. Di samping peningkatan teknologi, perlu ada upaya yang di lakukan agar karyawan bisa di tingkatkan cyber security awareness -nya secara berkelanjutan.

Membangun culture Cyber Security Awareness

Pernah melakukan yang namanya fire-drill atau latihan kebakaran? Meski musibah ini tidak di harapkan, tentunya harapan dari latihan ini adalah dapat terbangun konsistensi antara pengetahuan dan tindakan. Dalam membangun culture Cyber Security Awareness, user di ajarkan mengenai jenis-jenis cyber threat lengkap dengan antisipasi dan mekanisme pelaporan. Hal ini biasanya di rencanakan melalui awareness training program. Melalui pengenalan cyber threat, user akan belajar menghindari. Jika user mengenal phishing lebih mendalam, maka potensi kegagalan serangan ini pun pasti dapat di tekan semakin dalam.
Culture hanya bisa di bentuk serta di pertahankan dengan keterlibatan semua pihak (atau minimal sebagian besar pihak). Termasuk pengambil keputusan di perusahaan. Untuk meningkatkan buy-in terhadap awareness, selain pelatihan, policy (administrative control) juga perlu di susun dan terus di update. Administrative control yang tertuang di tambah technical control yang terdapat pada arsitektur keamanan akan meningkatkan cyber security ke level yang lebih tinggi. Di sinilah pengaruh people, proses, dan technology terhadap arah kesempurnaan cyber security menjadi semakin terlihat.

Empat Tips Membangun Cyber Security Awareness

Proses membangun cyber security awareness membutuhkan pendekatan pragmatis. Ini artinya ada langkah yang perlu di ambil dan terus di sempurnakan dalam prosesnya. Setiap organisasi atau perusahaan adalah entitas yang unik. Sehingga mungkin saja di perlukan pendekatan yang berbeda satu sama lainnya. Empat tips membangun cyber security awareness di bawah ini adalah hal yang penulis sarankan secara umum.

1. Menyediakan Alamat Email Pelaporan

Mekanisme yang paling penting adalah menyediakan point of contact agar user dapat melaporkan dugaan insiden atau kejadian yang sudah pasti atas sebuah cyber threat. Email address biasanya paling umum di pergunakan sebagai channel pelaporan. Bisa juga melalui WhatsApp, Telegram, ataupun Slack. Intinya gunakan media channel yang paling mudah bagi user untuk memberikan laporan, di samping tentunya sekaligus mekanisme verifikasi si pengirim laporan.

2. Menyediakan Sistem Peringatan Dini

Verifikasi perlu di lakukan atas setiap informasi yang di terima untuk kemudian segera di teruskan oleh media channel yang sama yang di pilih pada point no 1 di atas. Kecepatan verifikasi dan respon atas ini tentunya akan sangat menentukan kesuksesan sistem peringatan dini dalam menekan tingkat kerusakan atas sebuah insiden. Jika verifikasi menyeluruh belum dapat di lakukan, setidaknya bisa di informasikan early warning pada user agar lebih berhati-hati akan potensi serangan.

3. Perbincangan dan Pelatihan (P2)

Membangun culture awareness perlu menyentuh sebanyak mungkin user. Tidak setiap orang dapat mengalokasikan waktu secara rutin untuk belajar tentang dinamisasi cyber threat. Kadang perbincangan non-formal dapat membantu, setidaknya untuk mengumpulkan feedback tentang sejauh mana pengetahuan yang sudah di miliki. Perusahaan juga dapat memperhatikan passion dan concern dari user terhadap hal ini. Selanjutnya dapat di jadwalkan pelatihan sesuai kebutuhan. Pelatihan dan perbincangan ini bisa di lakukan secara bergantian untuk saling memberikan masukan (improvement) satu sama lainnya.

4. Gamification

Tidak ada salahnya untuk membuat proses peningkatan awareness ini menjadi lebih menarik. Gamification dalam beberapa penelitian di percaya bisa mampu mendorong peningkatan passion terhadap target tertentu. Tentunya ini cocok dengan proses membangun culture melalui proses yang lebih fun. Pemenang akan menjadi contoh sekaligus motivator bagi user lainnya. Dalam beberapa kasus, tidak perlu hadiah yang mahal. Sebuah certificate dan pesta kecil sebagai pengakuan mungkin sudah cukup. Yang penting, terbentuk role model yang bisa di contoh dan membuat ketertarikan semakin banyak user lain untuk terus terlibat.
Ketahanan cyber security tidak cukup dengan di bangun arsitektur keamanan. Perlu human factor sebagai penyempurna sekaligus meningkatkan manfaat atas arsitektur keamanan tersebut. Mekanisme serangan yang tidak hanya variatif namun juga kreatif membutuhkan lebih banyak awareness dari user. Untuk membangun cyber security awareness ini tidaklah cukup dengan satu proses, melainkan diperlukan repetisi sampai konsistensi terbentuk. Prosesnya tentu jangan sampai membuat jenuh, upayakan variasi sehingga user menikmati setiap alurnya. Pada akhirnya keberhasilan akan terlihat dengan semakin turunnya insiden keamanan yang terjadi.
Punya tips lainnya yang ingin di bagi? Yuk bagi idenya dengan mengisi di kolom komentar.