5 Pertanyaan untuk Ditanyakan kepada Profesional Keamanan Siber Anda

Hampir setiap minggu kami mendengar tentang perusahaan atau organisasi lain yang menjadi korban serangan cyber. Kami tahu penjahat dunia maya lebih gigih dan kami harus lebih rajin melindungi informasi.

Saya pikir dalam kehidupan pribadi kita kebanyakan dari kita mencoba untuk lebih berhati-hati. Lewatlah (saya harap) sudah hari-hari untuk mengatur setiap kata sandi pribadi kami menjadi 123456. Namun, kami tampaknya tidak membawa tingkat kekhawatiran yang sama ke kantor. Karena profesional TI kami pasti memiliki pegangan pada keamanan siber kami, saya tidak perlu khawatir…kan?

Faktanya adalah, kita sebagai karyawan memainkan peran penting dalam melindungi perusahaan tempat kita bekerja, dan hanya perlu satu klik yang salah untuk membahayakan bisnis. Sebuah studi baru-baru ini dari Willis Towers Watson menemukan bahwa 90 persen klaim insiden dunia maya disebabkan oleh beberapa jenis kesalahan atau perilaku manusia. Berikut adalah lima pertanyaan dan jawaban untuk membantu memandu Anda dalam perjalanan membuat perusahaan Anda lebih aman.

1. Apa risiko dunia maya teratas yang dihadapi perusahaan saya?

Risiko perusahaan sangat bervariasi berdasarkan lingkungan operasinya yang unik sehingga ada banyak hal untuk dievaluasi dan dipertimbangkan.

Apakah Anda memiliki banyak karyawan yang menggunakan email? Spear phishing mungkin merupakan risiko utama bagi Anda. Apakah setiap perangkat dengan alamat IP di lantai toko Anda aman? Jika tidak, kode berbahaya, akses dan penggunaan yang tidak sah, atau pemusnahan data dapat menjadi risiko utama.

Melakukan penilaian risiko keamanan siber harus menjadi bagian penting dari program manajemen keamanan informasi organisasi Anda. Semua orang tahu ada beberapa tingkat risiko yang terkait dengan data, aset informasi, dan fasilitas perusahaan yang penting dan aman. Tetapi bagaimana Anda mengukur dan mempersiapkan diri untuk risiko keamanan siber ini? Tujuan penilaian risiko keamanan TI adalah untuk menentukan risiko keamanan apa yang dihadapi aset penting perusahaan Anda dan untuk mengetahui berapa banyak dana dan upaya yang harus digunakan untuk melindunginya.

Kerangka Manajemen Risiko NIST (RMF) adalah sumber yang bagus untuk memulai. RMF memberikan pendekatan terstruktur namun fleksibel untuk mengelola porsi risiko yang dihasilkan dari sistem yang dapat dikontrol perusahaan Anda dan proses bisnis organisasi Anda.

2. Bolehkah menggunakan pengelola kata sandi?

Meskipun menggunakan pengelola kata sandi untuk akun online pribadi Anda adalah cara yang bagus untuk tetap aman, ingatlah untuk memeriksa kebijakan perusahaan Anda sebelum menggunakan perangkat lunak apa pun di tempat kerja.

Pengelola kata sandi dapat membantu Anda menyimpan kata sandi serta membantu Anda membuat kata sandi yang unik untuk setiap situs. Namun, menyimpan semua kata sandi Anda di satu tempat berisiko. Penting untuk memahami bagaimana kata sandi Anda dilindungi dan apakah kata sandi tersebut dienkripsi. Ada berbagai produk komersial yang tersedia yang berfungsi dengan banyak perangkat dan browser, jadi lakukan riset untuk menemukan produk yang paling sesuai dengan kebutuhan Anda.

3. Apakah perusahaan saya mematuhi kerangka kerja atau standar keamanan informasi terkemuka dan apakah itu perlu?

Melindungi kekayaan intelektual Anda serta informasi pelanggan dan karyawan yang sensitif dapat memberikan ketenangan pikiran bagi Anda dan pelanggan Anda. Ini juga merupakan praktik bisnis yang sehat ketika Anda melihat dampak finansial, penurunan produktivitas, dan hilangnya kepercayaan yang dapat ditimbulkan oleh serangan siber.

Bagi perusahaan di rantai pasokan Departemen Pertahanan (DoD), perlindungan semacam itu mutlak harus dilakukan. Perusahaan-perusahaan ini harus memenuhi standar keamanan minimum Defense Federal Acquisition Regulation Supplement (DFARS) atau berisiko kehilangan kontrak DoD mereka.

Berikut adalah beberapa contoh kerangka kerja atau standar keamanan yang dapat membantu Anda memahami dan mengurangi risiko Anda:Kerangka Kerja Keamanan Siber NIST, NIST SP 800-53 - Kontrol Keamanan dan Privasi untuk Sistem dan Organisasi Informasi, Buku Pegangan Penilaian Mandiri Cybersecurity NIST MEP, dan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Sangat mudah untuk menjadi bingung tentang dokumen mana yang harus Anda rujuk, jadi inilah sedikit informasi lebih lanjut tentang masing-masing dokumen:

• Kerangka ini lebih tingkat tinggi (dan lebih ringkas) dibandingkan dengan NIST SP 800-53, yang merupakan katalog kontrol keamanan dan privasi. Kerangka ini lebih mudah dikelola untuk eksekutif dan pengambil keputusan yang mungkin tidak memiliki latar belakang teknis. Ini juga berfokus pada bagaimana menilai dan memprioritaskan fungsi keamanan dan referensi dokumen yang ada seperti NIST SP 800-53, yang paling baik digunakan oleh staf teknis yang akan menerapkan keamanan dan dapat memahami informasi yang lebih rinci tentang kontrol mana yang harus dipilih dan diterapkan.
• Buku Pegangan Penilaian Mandiri Keamanan Siber NIST MEP akan membantu perusahaan Anda mematuhi Persyaratan Keamanan NIST SP 800-171 dalam Menanggapi Persyaratan Keamanan Siber DFARS. Buku pegangan ini memberikan panduan langkah demi langkah untuk menilai sistem informasi produsen kecil terhadap persyaratan keamanan di NIST SP 800-171 rev 1, "Melindungi Informasi Tidak Terklasifikasi Terkendali dalam Sistem dan Organisasi Nonfederal."

• Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah seperangkat kebijakan dan prosedur yang diterima secara luas yang dimaksudkan untuk mengoptimalkan keamanan transaksi kartu kredit, debit, dan kartu tunai. PCI DSS dibuat pada tahun 2004 oleh Visa, MasterCard, Discover, dan American Express. Menjaga keamanan pembayaran diperlukan untuk semua perusahaan yang menyimpan, memproses, atau mengirimkan data pemegang kartu. Pelanggaran atau pencurian data pemegang kartu mempengaruhi seluruh ekosistem kartu pembayaran. Beberapa contoh dampak terhadap perusahaan Anda adalah hilangnya kepercayaan pelanggan, penjualan berkurang, kerugian penipuan, biaya hukum, denda, dan penghentian kemampuan untuk menerima kartu pembayaran. Mempertahankan kepatuhan PCI DSS sangat penting untuk keberhasilan jangka panjang perusahaan yang memproses pembayaran kartu dan menjaga pertahanan siber tetap siap menghadapi serangan yang bertujuan mencuri data pemegang kartu. Sebagian besar perusahaan kecil dapat menggunakan alat validasi mandiri untuk menilai tingkat keamanan data pemegang kartu mereka.

4. Apa itu otentikasi dua faktor dan bagaimana cara mengaktifkannya? Mengapa kata sandi tidak cukup baik?

Otentikasi dua faktor (2FA) adalah lapisan keamanan ekstra yang digunakan untuk memastikan bahwa Anda adalah yang Anda katakan. Masalahnya adalah bahwa nama pengguna dan kata sandi saja mudah ditebak, dan orang-orang menggunakan kata sandi yang sama untuk banyak situs. Insiden yang diungkapkan kepada publik mengungkapkan bahwa  5.518 catatan bocor setiap menit.

2FA mencegah orang lain mendapatkan akses ke akun Anda dengan mudah. Ketika 2FA diaktifkan, Anda memasukkan nama pengguna dan kata sandi Anda ke halaman login. Kemudian, alih-alih segera mendapatkan akses, Anda akan diminta untuk memberikan informasi lain. Faktor kedua ini dapat berupa salah satu dari berikut ini:

• Sesuatu yang Anda ketahui – nomor identifikasi pribadi (PIN), frasa sandi, atau jawaban atas pertanyaan rahasia.
• Sesuatu yang Anda miliki – kartu kredit, kartu kunci, ponsel cerdas, token perangkat keras atau perangkat lunak, atau pemberitahuan dari situs.
• Sesuatu tentang Anda – pola biometrik sidik jari, pemindaian iris mata, atau cetakan suara.

Jika Anda tidak yakin apakah situs atau aplikasi Anda memiliki 2FA atau tidak, kunjungi TwoFactorAuth.org untuk mengetahuinya.

Aktifkan 2FA untuk semua akun. Lihat petunjuk langkah demi langkah Telesign untuk mengaktifkan2FA:https://www.turnon2FA.com.

5. Apakah ada proses persetujuan untuk membeli aplikasi yang menurut saya berguna untuk pekerjaan saya?

Sebagian besar perusahaan memiliki kebijakan tentang cara membeli perangkat lunak (baik yang dikemas/online atau dihosting secara eksternal di cloud). Penting untuk mengetahui aplikasi mana yang dapat Anda gunakan segera, dan aplikasi mana yang mungkin memerlukan penyelidikan lebih lanjut untuk memastikan aplikasi tersebut cukup aman untuk Anda gunakan dan data yang akan diproses dan/atau disimpan di dalamnya. Ketahui apa yang diperlukan dan bekerja sama dengan profesional keamanan siber Anda untuk menjalani proses yang diperlukan guna memastikan informasi akan diamankan dengan benar.

Jika Anda ingin lebih memahami risiko keamanan siber Anda, Anda dapat menggunakan Jaringan Nasional MEP ^TM Alat Penilaian Mandiri Keamanan Siber. Jika Anda memiliki pertanyaan atau ingin berbicara dengan profesional keamanan siber, hubungi Pusat Jaringan Nasional MEP setempat.