10 Prinsip Keamanan Siber

Oleh. Fita Indah Maulani

Dalam konteks revolusi industri 4.0, hampir setiap bisnis mentransformasikan dirinya dengan mengadopsi teknologi terkemuka dan model bisnis berbasis data yang inovatif. Dalam gelombang transformasi digital yang massif, tentu saja ada sisi keamanan yang harus diperhatikan. Berikut 10 prinsip keamanan siber.

Prinsip 1: Berpikir Sebagai Seorang Pemimpin

Oleh karena itu, fungsi dari penanggung jawab IT di perusahaan menjadi lebih strategis yang berpengaruh pada keamanan perusahaan. Di luar itu, setiap karyawan juga memiliki peran penting dalam menjaga dan mencegah agar perusahaan tidak terkena serangan siber.

  • Terkait hal ini, ada beberapa hal yang perlu menjadi perhatian bersama, yaitu:
  • Menumbuhkan transparansi dan kepercayaan.
  • Mengembangkan pemikiran kritis, kreativitas, dan keterampilan memecahkan masalah tidak hanya dari tim keamanan siber, tetapi dari seluruh organisasi.
  • Memahami bisnis dan industri dimana insan Alita bekerja karena ancaman siber unik di setiap industri, termasuk menjelaskan kepada manajemen dengan bahasa yang mudah dipahami semua pihak.
  • Menyelaraskan strategi bisnis dengan strategi keamanan siber perusahaan.

 

Prinsip 2: Tumbuhkan Kemitraan Internal dan Eksternal

Penanggung jawab keamanan siber perlu mengembangkan visi, tujuan, dan target kinerja bersama dengan jajaran direksi untuk memastikan waktu yang tepat dalam meluncurkan produk dan solusi yang aman dan mudah digunakan.

Mengembangkan keamanan siber di perusahaan bukan tugas satu orang atau satu departemen, perlu di buat tim lintas departemen dalam satu komite proyek yang melibatkan bagian legal, compliance, regulatory, dan departemen terkait lainnya.

Di luar itu, pengembangan keamanan siber juga perlu menggandeng kerjasama dengan pihak luar bila diperlukan untuk membantu mempercepat pengembangan sistem yang aman dan mudah diadaptasi.

Prinsip 3: Bangun dan Latih Kekuatan Cyber Hygiene

Prinsip-prinsip inti keamanan merupakan dasar penting untuk membangun kebersihan keamanan yang kuat dalam suatu organisasi, sebagai berikut:

  • Mengembangkan sistem inventaris dan konfigurasi yang terperinci.
  • Kembangkan strategi perbaikan yang kuat.
  • Menerapkan otentikasi yang kuat di seluruh level organisasi .
  • Mengamankan direktori yang aktif.
  • Menegakkan mekanisme keamanan data untuk proses bisnis yang penting.

 

Prinsip 4: Lindungi Akses ke Aset-Aset Penting

Tidak semua akses pengguna dibuat sama. Sebagai contoh, seorang insinyur proyek tidak memerlukan akses ke data keuangan organisasi dan manajer keuangan tidak perlu mengakses repositori kode produksi organisasi.

Harus ada mekanisme akses berlapis untuk pengguna istimewa untuk mendapatkan akses ke data atau aset penting perusahaan. Setiap lapisan harus dibentengi dengan mekanisme otentikasi multi faktor yang berbeda berdasarkan sensitivitas informasi.

Prinsip 5: Lindungi Domain email Anda dari Phishing

Email merupaan salah satu saluran yang paling sering digunakan dalam keseharian setiap karyawan. Hal ini juga yang membuatnya menjadi salah satu kunci masuk utama dari serangan siber. Data WEF mencatat lebih dari 90% perusahaan skala menengah menerima email yang terdeteksi mengandung malware.

Mengurangi risiko penyalahgunaan email dapat dicapai dengan menerapkan langkah-langkah berikut:

  • Latih semua karyawan dalam mengenali email phishing khususnya level manajerial yang memiliki akses ke informasi-informasi sensitif perusahaan.
  • Terus memperbaharui informasi agar dapat memberikan pembaruan informasi secara berkala karena phishing terus berkembang, termasuk melalui telepon (vishing) dan pesan teks (smishing).
  • Mengimplementasikan filter email untuk mengidentifikasi dan mengkarantina email spam, tautan, dan lampiran email yang mencurigakan.
  • Menggunakan piranti lunak anti malware yang terbaru.

 

Prinsip 6: Lakukan Pendekatan Nol Kepercayaan untuk Mengamankan Rantai Pasok Anda

Perusahaan harus membuang keyakinan bahwa keamanan perimeter, dapat dicapai dengan firewall atau perlindungan anti virus, sudah cukup. Mereka perlu mengadopsi pendekatan nol kepercayaan untuk mengamankan rantai pasok dengan mengikuti beberapa tahap sebagai berikut:

  • Batasi akses sesuai dengan kebutuhan.
  • Memeriksa latar belakang vendor dengan tuntas termasuk akses yang dimiliki.
  • Melakukan pembaruan kontrak dengan vendor lama, menambahkan klausa keamanan siber.
  • Melalui kontrak mengikat vendor dengan kebijakan dan standar keamanan.
  • Melakukan audit pada vendor melalui pihak ketiga.
  • Mewajibkan vendor untuk memproses data sensitif yang mengalami insiden serangan siber dalam 72 jam sejak waktu kejadian.

 

Prinsip 7: Cegah, Monitor, dan Respon Segala Ancaman Siber

Ada tiga pendekatan dalam mengantisipasi ancaman serangan siber, yaitu:

  • Strategi pencegahan sangat penting dan harus terus berkembang mengikuti perkembangan dunia digital. Pencegahan multi-layer membantu memperkuat proteksi perusahaan dalam melindungi aset pentingnya.
  • Tindakan pencegahan tidak dapat menjadi satu-satunya tameng kebal peluru dalam menghadapi serangan siber.
  • Deteksi tidak akan berguna tanpa adanya respon dari perusahaan dalam menghadapi serangan siber. Setiap serangan harus di respon dan dicari hingga ke sumber utamanya (patient zero) sehingga serangan tersebut selesai dengan tuntas dan dilakukan pengecekan berkala sesudahnya.

 

Prinsip 8: Kembangkan dan Simulasi Rencana Krisis Manajemen dengan Komperhensif

Manajemen krisis adalah komponen penting dari setiap program keamanan di dunia saat ini, di mana insiden keamanan, sekali lagi, bukan masalah itu, tetapi kapan. Banyak perusahaan berfokus pada bagaimana mencegah dan mempertahankan diri dari serangan siber, sementara tidak cukup fokus pada mempersiapkan pedoman manajemen krisis untuk seluruh organisasi.

Prinsip 9: Kembangan Rencana Pemulihan yang Kuat dari Serangan Siber

Ikuti praktik terbaik saat mengembangakan rencana menghadapi serangan siber, yaitu:

  • Tetapkanlah aset kunci Anda.
  • Identifikasi berbagai solusi pemulihan terbaik.
  • Buka komunikasi dengan regulator yang terkait dengan isu keamanan siber.
  • Tinjau dan latih rencana Anda secara berkala.

 

Prinsip 10: Ciptakan Budaya Keamanan Siber

Ikuti praktik terbaik saat mengembangakan rencana menghadapi serangan siber, yaitu:

  • Mengembangkan kesadaran dan pelatihan pengguna yang disesuaikan dengan unit masing-masing sesuai dengan kebutuhan pengguna.
  • Meningkatkan kesadaran seluruh pegawai melalui kampanye berkelanjutan mengenai pentingnya keamanan siber.
  • Menerapkan sanksi bagi karyawan maupun vendor yang tidak mengimplementasikan langkah-langkah keamanan siber sesuai dengan aturan yang berlaku.

 

Disarikan dari artikel World Economic Forum berjudul “The Cybersecurity Guide for Leaders in Today’s Digital World.”