7 Cara Bagaimana Kesalahan Manusia Dapat Menyebabkan Pelanggaran Keamanan Siber

Menurut laporan keamanan siber ekstensif yang diterbitkan oleh Verizon pada tahun 2021, “85% pelanggaran data disebabkan oleh kesalahan manusia.” Dalam keamanan siber dan perlindungan data, kesalahan manusia didefinisikan sebagai tindakan karyawan yang tidak disengaja yang dapat menyebabkan pelanggaran keamanan yang paling sering menyebabkan kebocoran data.

Satu kesalahan bisa berakibat fatal bagi perusahaan dan menelan biaya jutaan dolar. Misalnya, Target mengalami pelanggaran data besar-besaran pada tahun 2013 yang menyebabkan perusahaan memperoleh $90 juta. Setelah kejadian tersebut, reputasi perusahaan rusak, dan butuh waktu lama untuk mendapatkan kembali kepercayaan pelanggan.

Bisakah perusahaan meramalkan bahwa pelanggaran keamanan dapat terjadi dan mencegahnya? Mari kita bahas kesalahan manusia yang paling umum dan cara mencegahnya.

7 Kesalahan Manusia Kritis yang Menyebabkan Pelanggaran Keamanan Siber

Sifat kesalahan manusia yang tidak disengaja tidak berarti kesalahan itu tidak dapat dihindari. Namun, perusahaan dapat mengidentifikasi kerentanan dalam kebijakan keamanan mereka dan mengambil tindakan untuk mengurangi risikonya. Berikut adalah tujuh kesalahan manusia paling umum yang dapat menyebabkan pelanggaran keamanan.

Direkomendasikan untuk Anda: 17 Tips Keamanan Siber Terbaik untuk Tetap Terlindungi Saat Online di Tahun 2022.

1. Kebersihan Kata Sandi

Penelitian tahun 2021 yang dilakukan oleh NordPass di 50 negara mengungkapkan bahwa kombinasi “123456” digunakan untuk tujuan masuk oleh 130 juta orang. Kata sandi kedua dan ketiga yang paling sering digunakan adalah "123456789" dan "qwerty" yang masing-masing digunakan oleh 46 juta dan 22,3 juta orang. Seorang peretas yang terampil dapat memecahkan kata sandi yang begitu lemah dalam waktu kurang dari satu detik.

Selain menyetel kata sandi yang buruk, kebanyakan orang menggunakan kombinasi yang sama untuk email pribadi dan perusahaan, akun media sosial, dan layanan lainnya. Beberapa orang tidak mengubah kata sandi mereka selama bertahun-tahun dan bahkan membaginya dengan rekan kerja atau menuliskannya di catatan tempel dan menempelkannya ke monitor mereka. Sikap ceroboh terhadap kata sandi menyebabkan 61% pelanggaran keamanan, kata Verizon.

2. Kontrol Akses Data yang tidak memadai

Menetapkan hak akses yang tidak memadai kepada seseorang adalah kesalahan manusia lain yang dapat menyebabkan pelanggaran keamanan. Di beberapa organisasi, orang yang tidak kompeten memiliki izin untuk mengakses data sensitif. Namun, dalam kebanyakan kasus, hak akses yang luas tersebut diberikan kepada karyawan secara default kecuali ada permintaan khusus untuk membatasinya.

Berikut adalah kesalahan paling umum yang disebabkan oleh kontrol akses yang tidak memadai:

• Menghapus data sensitif secara tidak sengaja atau sengaja.
• Membuat konfigurasi sistem yang dapat menyebabkan pelanggaran data dan kebocoran data.
• Melakukan perubahan yang tidak sah dalam sistem.
• Mengirim email dengan data berharga ke penerima yang salah.

3. Spyware

Saat karyawan sedang online mencari informasi untuk melakukan tugas yang ada, mereka mungkin mengunduh file dari sumber yang tidak sah, mengklik tautan yang tidak dikenal, atau menekan "ya" pada pop-up acak. Tindakan seperti itu bisa mendapatkan spyware di perangkat Anda tanpa sepengetahuan Anda. Anda bahkan tidak akan menduga bahwa saat Anda sedang melakukan pekerjaan sehari-hari, itu merekam aktivitas online Anda dan memperoleh kredensial login dan informasi pribadi Anda. Kemudian, malware jahat ini mentransfer informasi yang terkumpul ke pihak ketiga yang menggunakannya tanpa persetujuan Anda.

Bagian terburuknya adalah spyware dapat menyebar dari satu komputer dan menginfeksi seluruh jaringan perusahaan. Jika tidak terdeteksi tepat waktu, hal itu menyebabkan kerugian jutaan dolar bagi bisnis.

4. Kurangnya Kesadaran akan Cybersecurity

Dalam kebanyakan kasus, kesalahan manusia yang menyebabkan pelanggaran keamanan dilakukan secara tidak sengaja atau karena kurangnya pengetahuan. Sayangnya, beberapa organisasi begitu berkonsentrasi untuk mendapatkan hasil sehingga mereka mengabaikan kebutuhan untuk mendidik karyawannya tentang keamanan siber. Berikut adalah beberapa kesalahan umum yang dapat dilakukan orang karena kurangnya pengetahuan:

• Mengunduh perangkat lunak dari sumber yang mencurigakan dan resmi.
• Menghubungkan ke Wi-Fi publik di restoran atau hotel tanpa enkripsi VPN.
• Memasukkan perangkat seperti penyimpanan USD yang tidak diketahui asalnya.

5. Email Phishing

Menurut investigasi yang dilakukan oleh Verizon pada tahun 2020, 20% pelanggaran keamanan siber terjadi karena email phishing. Mengklik tautan jahat di dalam email semacam itu adalah salah satu kesalahan manusia yang paling merugikan. Dilaporkan, biaya rata-rata dari satu rekaman yang dicuri adalah $133. Bayangkan berapa banyak kerusakan yang dapat terjadi pada organisasi jika seluruh jaringan terinfeksi selain komputer pengguna akhir!

6. Keamanan Perangkat Lunak yang Tidak Memadai

Ketika karyawan melakukan tugas harian yang berulang, mereka menjadi ceroboh dan mengabaikan prosedur keamanan dari waktu ke waktu. Mereka mengira jika pekerjaan mereka mulus kemarin, tidak ada yang bisa mengancam mereka hari ini. Sikap ceroboh terhadap prosedur keamanan ini terkadang dapat membahayakan sistem keamanan seluruh perusahaan. Berikut adalah prosedur keamanan yang diabaikan karyawan:

• Pembaruan perangkat lunak: Sebagian besar karyawan melewatkan pembaruan perangkat lunak karena memakan waktu terlalu lama atau muncul pada waktu yang paling tidak nyaman.
• Terkadang karyawan dapat mematikan antivirus atau fitur keamanan karena mengganggu pekerjaan mereka. Berbahaya meninggalkan komputer tanpa perlindungan bahkan untuk satu menit pun saat aktif menggunakan Internet.

7. Penambalan Tertunda

Penambalan yang tertunda terkait erat dengan poin sebelumnya tetapi lebih berfokus pada pembaruan perangkat lunak. Penjahat dunia maya terus mencari kerentanan dalam keamanan perangkat lunak, tetapi pengembang perangkat lunak juga melakukannya. Begitu mereka menemukan kerentanan semacam itu, mereka segera memperbaikinya dan mengirimkan tambalan yang dikenal sebagai pembaruan perangkat lunak. Mereka yang menginstal pembaruan tepat waktu melindungi perangkat mereka dari pelanggaran keamanan, sementara penundaan setiap menit meningkatkan risiko disusupi.

Kasus agen pelaporan kredit Equifax adalah contoh bagus mengapa pembaruan perangkat lunak tidak boleh diabaikan. Pada 2017 perangkat lunak mereka memiliki kerentanan keamanan. Perusahaan mengetahuinya tetapi menunda proses penambalan. Akibatnya, sistem mereka diretas, dan informasi pribadi lebih dari 140 juta pelanggan Amerika dan 8.000 pelanggan Kanada disusupi.

Anda mungkin menyukai: Dokumen dan Protokol yang Dibutuhkan Bisnis Anda untuk Keamanan Siber.

Cara Mengurangi Risiko Kesalahan Manusia dan Mencegah Pelanggaran Keamanan Siber

Setelah perusahaan mengidentifikasi celah dalam kebijakan keamanan mereka, mereka dapat mengambil tindakan pencegahan. Membuat kesalahan adalah manusiawi; itulah mengapa tidak mungkin untuk sepenuhnya menghilangkan risiko tetapi mungkin untuk meminimalkannya. Simak tujuh langkah berikut ini.

1. Tingkatkan Manajemen Kata Sandi

Karena sebagian besar pelanggaran keamanan siber disebabkan oleh kebersihan kata sandi yang buruk, perusahaan harus memberi perhatian khusus pada pengelolaan kata sandi. Organisasi harus menetapkan kebijakan yang jelas untuk tidak menggunakan kata sandi sederhana atau menetapkan satu kombinasi untuk semua akun mereka. Alat penghasil kata sandi dapat membantu membuat kata sandi yang kuat dan andal yang terdiri dari huruf, angka, dan simbol.

Selain itu, aktivasi autentikasi dua faktor di semua akun perusahaan juga harus menjadi bagian wajib dari kebijakan. Ini akan meningkatkan perlindungan akun Anda dan membuatnya tidak dapat diretas oleh peretas.

2. Kontrol Akses ke Data Sensitif

Memberikan akses tanpa batas ke data sensitif kepada semua karyawan adalah kesalahan besar yang dilakukan perusahaan. Secara default, akses harus ditolak untuk semua karyawan. Kemudian, manajer harus memberikan izin saat bepergian setiap kali karyawan memerlukan akses ke data untuk melakukan pekerjaan mereka. Sebagian besar sistem bahkan memiliki tingkat izin pengguna yang berbeda tergantung pada perannya. Misalnya, spesialis junior hanya dapat melihat dokumen sementara manajer berhak mengedit atau menghapusnya. Pembagian hak pengguna seperti itu melindungi data sensitif agar tidak dimodifikasi atau terhapus secara tidak sengaja.

3. Instal Perangkat Lunak Antivirus dan Anti-spyware

Virus dan spyware dapat menyebabkan kerusakan yang merusak pada perangkat dan jaringan Anda. Oleh karena itu, lebih bijaksana untuk dilindungi daripada melawan konsekuensinya yang menghancurkan. Perlindungan terbaik terhadap virus dan spyware adalah perangkat lunak antivirus dan anti-spyware. McAfee Total Protection, Norton 360, dan Bitdefender Total Security adalah tiga solusi anti-spyware teratas yang layak digunakan. Perangkat lunak ini menyediakan VPN untuk penggunaan Internet terenkripsi dan Firewall untuk melindungi perangkat dari ancaman eksternal.

4. Mendidik Karyawan Tentang Cybersecurity

Sebagian besar kesalahan manusia terjadi karena kurangnya pengetahuan tentang keamanan siber. Dan cara terbaik untuk mengurangi risiko kesalahan tersebut adalah dengan mengedukasi dan meningkatkan kesadaran karyawan Anda tentang keamanan informasi. Perusahaan harus sering mengadakan pelatihan dan mengajari karyawan mereka tentang serangan dunia maya, jenisnya, dan prosedur perlindungannya. Mereka harus tahu cara membedakan email phishing dari yang asli, cara melaporkannya, dan apa yang harus dilakukan jika mendeteksi pelanggaran keamanan. Jika perusahaan Anda memiliki kebijakan keamanan khusus, pastikan karyawan Anda mengetahuinya.

5. Saring Email Masuk

Salah satu cara untuk melindungi diri Anda dari email phishing adalah dengan menandai pesan yang diterima dari luar perusahaan Anda. Tapi itu bukan solusi 100% karena beberapa email spam dapat meniru domain email perusahaan Anda. Jadi, menggunakan perangkat lunak keamanan yang mendeteksi email mencurigakan adalah pilihan lain.

Tidak peduli bagaimana Anda memutuskan untuk berjuang melawan phishing, buatlah aturan praktis untuk tidak pernah mengunduh file atau mengklik tautan di dalam email yang mencurigakan.

6. Perbarui Kebijakan Keamanan Anda

Perusahaan Anda tidak boleh mengandalkan sikap hati-hati karyawan untuk mengikuti prosedur keamanan siber. Anda harus memiliki kebijakan keamanan perusahaan yang dijelaskan dengan jelas yang menjelaskan cara menangani data sensitif, bagaimana dan kapan memperbarui kata sandi dan aturan keamanan lainnya. Namun, panduan ini tidak boleh ketinggalan zaman. Pastikan untuk memperbaruinya secara teratur dan beri tahu karyawan Anda agar terbiasa dengan prosedur keamanan baru.

Anda mungkin juga menyukai: Bagaimana Pembelajaran Mesin Digunakan dalam Keamanan Siber?

7. Perbarui Perangkat Lunak Secara Teratur

Pengembang perangkat lunak merilis tambalan karena mereka telah menemukan kerentanan dan ingin membantu Anda terlindungi darinya. Jadi, mengabaikan dan melewatkan pembaruan perangkat lunak meningkatkan risiko perangkat Anda disusupi. Oleh karena itu, disarankan untuk menginstal tambalan segera setelah tersedia.