Pembobolan data dan insiden keamanan tidak selalu berasal dari penjahat siber yang memiliki niat jahat. Mereka sering kali lahir dari dalam diri sendiri, dari kecerobohan, kebiasaan digital yang buruk, atau ketidaktahuan.
Tidak perlu konspirasi untuk membuka celah: cukup dengan meneruskan file sensitif secara tidak sengaja, melampirkan dokumen yang salah, atau membiarkan sesi terbuka di komputer bersama.
Hal yang paling penting dari ancaman orang dalam yang tidak berbahaya ini adalah mereka tidak diketahui. Ancaman ini tidak memicu alarm, tidak merusak penghalang keamanan... tetapi memiliki konsekuensi yang nyata dan mahal.
Apa yang dimaksud dengan ancaman orang dalam yang tidak berbahaya
Ini adalah insiden yang disebabkan oleh orang-orang yang tidak bertindak dengan maksud yang membahayakantetapi keputusan atau kebiasaannya menyebabkan kerentanan. Bisa jadi rekan kerja, pemasok, atau bahkan diri Anda sendiri. Beberapa contoh umum:
- Mengirimkan informasi sensitif ke penerima yang salah.
- Penggunaan email perusahaan untuk berbagi dokumen pribadi (atau sebaliknya).
- Penyimpanan file dengan data penting pada layanan yang tidak sah atau tidak terenkripsi.
- Akses dari perangkat pribadi tanpa tindakan perlindungan minimum.
- Penanganan kata sandi yang tidak tepat (berbagi, menyimpannya dalam teks biasa, menggunakannya kembali).
Setiap tindakan sehari-hari ini dapat dieksploitasi oleh penyerang atau memicu kebocoran data, sanksi peraturan, atau hilangnya kepercayaan pelanggan.
Mengapa hal itu terjadi: penyebab umum
- Kurangnya pelatihan khususBanyak orang tidak memahami implikasi dari tindakan digital mereka. Mereka berasumsi bahwa jika sesuatu tidak "rusak", maka itu aman.
- Proses-proses yang tidak terdefinisi dengan baikKetika tidak ada kebijakan yang jelas tentang penggunaan alat, pengguna melakukan improvisasi solusi yang bisa berisiko.
- Terlalu percaya diriUmumnya orang berpikir bahwa insiden hanya terjadi di perusahaan besar atau bahwa perlindungan adalah tanggung jawab tim TI.
- Tekanan atau urgensidengan merespons permintaan dengan cepat atau mengirimkan file "tepat pada waktunya", tidak diperlukan validasi penerima, izin, atau rute pengiriman.
Cara mengurangi risiko tanpa memperlambat produktivitas
Tidak ada organisasi yang terbebas dari kesalahan manusia, namun organisasi dapat mengelolanya dengan lebih baik dengan menerapkan praktik-praktik nyata:
1. Berlatihlah terus menerus, tidak hanya pada saat orientasi.
Keamanan digital tidak bisa dipelajari dalam satu sesi saja. Anda perlu menghasilkan budaya dan itu membutuhkan penguatan yang konstan. Anda dapat melakukannya dengan kapsul pelatihan mikro, contoh nyata, atau buletin internal yang membagikan kesalahan umum dan cara menghindarinya.
2. Menerapkan validasi pada tugas-tugas penting.
Tidak semua hal memerlukan validasi ganda, tetapi tindakan tertentu memerlukannya: mengirim file sensitif, memodifikasi izin, atau berbagi kredensial. Menetapkan langkah kedua sebelum menjalankan tugas-tugas ini secara signifikan mengurangi margin kesalahan.
3. Gunakan kontrol otomatis
Penyaring konten, kebijakan klasifikasi dokumen otomatis, atau blok pengiriman berbasis kata kunci (seperti "rahasia" atau "kontrak") dapat menghentikan kesalahan sebelum terjadi. Semua itu tidak sempurna, namun sangat efektif.
4. Tinjau dan batasi izin akses
Memberikan akses umum "untuk berjaga-jaga" adalah salah satu kesalahan yang paling umum. Pastikan untuk menerapkan prinsip hak istimewa minimumsetiap orang hanya memiliki akses ke apa yang dia butuhkan. Tidak lebih.
5. Menumbuhkan budaya tanpa rasa takut akan kesalahan
Jika tim takut akan adanya pembalasan karena melakukan kekeliruan, maka tim akan menyembunyikannya. Hal ini memperburuk masalah. Idealnya, setiap orang dapat melaporkan kesalahan atau kecurigaan tanpa merasa bersalah, dan harus ada protokol yang jelas untuk segera ditindaklanjuti.
Contoh yang tidak dilupakan
Pada tahun 2024, sebuah perusahaan layanan keuangan Eropa menghadapi denda jutaan dolar karena pelanggaran GDPR. Penyebabnya? Seorang karyawan secara tidak sengaja melampirkan spreadsheet yang berisi data pribadi lebih dari 2.000 pelanggan ke email internal yang akhirnya diteruskan ke luar organisasi. Tidak ada malware, tidak ada peretas. Hanya salah klik.
Intinya bukanlah rasa takut, tetapi pencegahan.
Kesalahan manusia tidak bisa dihilangkan, tetapi bisa diantisipasi. Jika semua orang dalam organisasi Anda memahami peran mereka dalam melindungi informasi, Anda akan menambah aset paling kuat dalam keamanan dunia maya: kesadaran.
Teknologi memang membantu, tetapi pertahanan yang sesungguhnya dimulai dari manusia. Di MasterBase® kami siap dan memiliki platform untuk membantu Anda, dengan cara yang sederhana, efektif, dan berbiaya rendah, untuk mengotomatiskan proses bisnis Anda dan mengurangi margin kesalahan manusia. Anda juga dapat mengandalkan dukungan konsultan untuk membantu Anda merancang dan mengimplementasikan proses otomatis Anda dengan fokus pada keselamatan dan efisiensi.
