Cara Mengidentifikasi Risiko Keamanan Siber Perusahaan Anda

Artikel ini awalnya muncul di IndustryWeek. Entri blog tamu oleh Traci Spencer, Manajer Program Hibah untuk TechSolve, Inc., mitra regional barat daya Ohio MEP, bagian dari Jaringan Nasional MEP ^TM .

Artikel ini adalah bagian pertama dari seri lima bagian yang menguraikan praktik terbaik terkait "Keamanan Siber untuk Produsen". Rekomendasi ini mengikuti kerangka kerja keamanan siber National Institute of Standards and Technology (NIST), yang telah menjadi standar untuk sektor manufaktur AS.

Menurut studi yang disponsori IBM tahun 2018 oleh Ponemon Institute, rata-rata global untuk pelanggaran data adalah $3,86 juta. Itu rusak menjadi hampir $ 150 per catatan yang dicuri. Jika Anda adalah produsen kecil atau menengah, Anda mungkin tidak berpikir statistik seperti ini berlaku untuk Anda. Namun dari 17 industri yang terwakili dalam laporan tersebut, sektor yang paling terkena dampak adalah keuangan, jasa, dan menunggu — manufaktur.

Karena produsen sering kali menggunakan lebih sedikit sumber daya untuk keamanan informasi, mereka menjadi target populer bagi penjahat dunia maya. Dan hanya perlu satu serangan dunia maya untuk menghancurkan seluruh sistem operasional pabrikan yang lebih kecil. Mesin jaringan, pemasok, distributor, atau bahkan pelanggan semuanya dapat diretas melalui satu komputer/perangkat di fasilitas manufaktur.

Risiko lainnya termasuk:

• Kehilangan informasi penting untuk menjalankan bisnis Anda
• Dampak negatif pada kepercayaan pelanggan
• Denda peraturan dan biaya hukum yang diakibatkannya
• Penurunan atau penghentian produktivitas.

Untungnya, Anda dapat belajar melindungi operasi Anda dengan bantuan Institut Nasional Standar dan Teknologi (NIST), yang telah mengembangkan kerangka kerja lima langkah untuk keamanan siber yang dapat diterapkan oleh bisnis dalam skala apa pun. Tersedia secara online, Kerangka Kerja Keamanan Siber NIST dapat dijelaskan lebih lanjut oleh perwakilan lokal Anda dari Jaringan Nasional MEP, pakar yang siap untuk memajukan manufaktur AS. Anda juga dapat melihat Panduan Produsen untuk Keamanan Siber (tambahkan link setelah kami mengetahui lokasi dokumen) yang memberikan praktik dasar dan alat yang dibutuhkan produsen untuk mengembangkan program keamanan siber.

Siap untuk mengambil langkah pertama Anda menuju keamanan data? Prosesnya dimulai dengan mengidentifikasi risiko Anda.

Mengontrol Siapa yang Memiliki Akses ke Informasi Anda

Buat daftar karyawan dengan akses komputer dan sertakan semua akun bisnis Anda, jenis akses (fisik atau kata sandi), dan amankan secara fisik semua laptop dan perangkat seluler saat tidak digunakan. Minta karyawan Anda menggunakan layar privasi atau posisikan layar komputer sehingga orang yang lewat tidak dapat melihat informasi yang ditampilkan, dan minta mereka menyetel kunci layar agar aktif saat komputer tidak digunakan.

Jangan izinkan akses fisik ke komputer atau sistem oleh personel yang tidak berwenang, seperti:  

• Kru pembersih atau personel pemeliharaan
• Petugas perbaikan komputer atau jaringan tanpa pengawasan yang bekerja pada sistem atau perangkat
• Orang tak dikenal yang masuk ke kantor atau lantai toko Anda tanpa ditanyai oleh karyawan

Hanya butuh beberapa detik bagi penjahat untuk mengakses mesin yang tidak terkunci. Jangan membuatnya mudah bagi mereka untuk mencuri informasi sensitif Anda.

Melakukan Pemeriksaan Latar Belakang &Keamanan untuk Semua Karyawan

Pemeriksaan latar belakang sangat penting untuk mengidentifikasi risiko keamanan siber Anda. Pencarian nasional penuh harus dilakukan untuk semua calon karyawan atau orang lain yang akan memiliki akses ke komputer dan sistem serta peralatan perusahaan Anda.

Pemeriksaan ini harus mencakup:

• Pemeriksaan latar belakang kriminal
• Pemeriksaan pelaku seksual
• Cek kredit, jika memungkinkan (beberapa negara bagian A.S. membatasi penggunaan cek kredit)
• Referensi untuk memverifikasi tanggal bekerja untuk perusahaan sebelumnya
• Verifikasi pendidikan dan gelar

Anda juga dapat mempertimbangkan untuk melakukan pemeriksaan latar belakang pada diri Anda sendiri, yang dapat dengan cepat memperingatkan Anda jika Anda tanpa sadar menjadi korban pencurian identitas.

Mewajibkan Akun Pengguna Perorangan untuk Setiap Karyawan

Jika Anda mengalami kehilangan data atau manipulasi data yang tidak sah, mungkin sulit untuk menyelidiki tanpa akun individu untuk setiap pengguna. Siapkan akun terpisah untuk setiap karyawan dan kontraktor yang membutuhkan akses. Mengharuskan mereka menggunakan sandi yang kuat dan unik untuk setiap akun.

Batasi jumlah karyawan yang memiliki akses administratif, terutama jika tidak diharuskan bagi mereka untuk melakukan tugas pekerjaan sehari-hari. Pertimbangkan akun tamu dengan akses Internet hanya untuk pengunjung atau pelanggan di fasilitas Anda.

Buat Kebijakan &Prosedur Keamanan Siber

Meskipun membuat kebijakan keamanan siber pertama Anda mungkin tampak seperti tugas yang berat, ada banyak tips yang mudah diikuti dari Jaringan Nasional MEP yang dapat membantu Anda memulai. Anda mungkin juga ingin berkonsultasi dengan profesional hukum yang memahami hukum cyber untuk meninjau kebijakan Anda guna memastikan Anda mematuhi hukum dan peraturan setempat.

Kebijakan keamanan siber Anda yang baru harus mencakup:

• Harapan Anda dari karyawan Anda untuk melindungi informasi perusahaan
• Sumber daya penting yang perlu dilindungi dan bagaimana Anda mengharapkan karyawan Anda melindungi informasi tersebut
• Perjanjian yang ditandatangani dari setiap karyawan untuk mengonfirmasi bahwa mereka telah membaca kebijakan dan memahaminya.

Simpan perjanjian yang telah ditandatangani di file HR setiap karyawan. Tinjau kebijakan setidaknya setahun sekali dan buat pembaruan saat Anda membuat perubahan apa pun pada teknologi perusahaan Anda. Anda kemudian dapat menggunakan kebijakan keamanan siber untuk melatih karyawan baru Anda tentang tanggung jawab keamanan informasi mereka dan menetapkan praktik yang dapat diterima untuk semua operasi bisnis Anda.

Sekarang setelah Anda mempelajari cara mengidentifikasi risiko dan menilai sumber daya Anda, inilah saatnya untuk berpikir tentang melindunginya. Di bagian kedua dari lima bagian seri “Keamanan Siber untuk Produsen” dari Jaringan Nasional MEP, kami membahas langkah-langkah utama untuk melindungi data dan informasi berharga Anda dari ancaman dunia maya.