7 Cara Bagaimana Kesalahan Manusia Dapat Menyebabkan Pelanggaran Keamanan Siber

Menurut laporan keamanan siber ekstensif yang diterbitkan oleh Verizon pada tahun 2021, “85% pelanggaran data disebabkan oleh kesalahan manusia.” Dalam keamanan siber dan perlindungan data, kesalahan manusia didefinisikan sebagai tindakan karyawan yang tidak disengaja yang dapat menyebabkan pelanggaran keamanan yang paling sering menyebabkan kebocoran data.

Satu kesalahan bisa berakibat fatal bagi perusahaan dan menelan biaya jutaan dolar. Misalnya, Target mengalami pelanggaran data besar pada tahun 2013 yang menyebabkan perusahaan $90 juta. Setelah kejadian itu, reputasi perusahaan rusak, dan butuh waktu lama untuk mendapatkan kembali kepercayaan pelanggan.

Bisakah perusahaan meramalkan bahwa pelanggaran keamanan dapat terjadi dan mencegahnya? Mari kita bahas kesalahan manusia yang paling umum dan bagaimana mencegahnya.

7 Kesalahan Manusia Kritis yang Menyebabkan Pelanggaran Keamanan Siber

Sifat kesalahan manusia yang tidak disengaja bukan berarti tidak dapat dihindari. Namun, perusahaan dapat mengidentifikasi kerentanan dalam kebijakan keamanan mereka dan mengambil tindakan untuk mengurangi risiko. Berikut adalah tujuh kesalahan manusia paling umum yang dapat menyebabkan pelanggaran keamanan.

Direkomendasikan untuk Anda: 17 Tips Keamanan Siber Terbaik untuk Tetap Terlindungi Saat Daring pada tahun 2022.

1. Kebersihan Kata Sandi

Sebuah penelitian tahun 2021 yang dilakukan oleh NordPass di 50 negara mengungkapkan bahwa kombinasi “123456” digunakan untuk tujuan login oleh 130 juta orang. Kata sandi kedua dan ketiga yang paling sering digunakan adalah "123456789" dan "qwerty" yang masing-masing digunakan oleh 46 juta dan 22,3 juta orang. Peretas yang terampil dapat memecahkan kata sandi yang lemah seperti itu dalam waktu kurang dari satu detik.

Selain mengatur kata sandi yang buruk, kebanyakan orang menggunakan kombinasi yang sama untuk email pribadi dan perusahaan, akun media sosial, dan layanan lainnya. Beberapa orang tidak mengubah kata sandi mereka selama bertahun-tahun dan bahkan membaginya dengan rekan kerja atau menuliskannya di catatan tempel dan menempelkannya ke monitor mereka. Sikap ceroboh terhadap kata sandi menyebabkan 61% pelanggaran keamanan, kata Verizon.

2. Kontrol Akses Data Tidak Memadai

Menetapkan hak akses yang tidak memadai kepada seseorang adalah kesalahan manusia lainnya yang dapat menyebabkan pelanggaran keamanan. Di beberapa organisasi, orang yang tidak kompeten memiliki izin untuk mengakses data sensitif. Namun, dalam banyak kasus, hak akses luas tersebut diberikan kepada karyawan secara default kecuali ada permintaan khusus untuk membatasi mereka.

Berikut adalah kesalahan paling umum yang disebabkan oleh kontrol akses yang tidak memadai:

• Menghapus data sensitif secara tidak sengaja atau sengaja.
• Membuat konfigurasi sistem yang dapat menyebabkan pelanggaran data dan kebocoran data.
• Melakukan perubahan yang tidak sah dalam sistem.
• Mengirim email dengan data berharga ke penerima yang salah.

3. Spyware

Saat karyawan sedang online mencari informasi untuk melakukan tugas yang ada, mereka dapat mengunduh file dari sumber yang tidak sah, mengklik tautan yang tidak dikenal, atau menekan "ya" pada pop-up acak. Tindakan tersebut bisa mendapatkan spyware pada perangkat Anda tanpa sepengetahuan Anda. Anda bahkan tidak akan curiga bahwa saat Anda melakukan pekerjaan sehari-hari, itu merekam aktivitas online Anda dan memperoleh kredensial login dan informasi pribadi Anda. Kemudian, malware berbahaya ini mentransfer informasi yang dikumpulkan ke pihak ketiga yang menggunakannya tanpa persetujuan Anda.

Bagian terburuknya adalah spyware dapat menyebar dari satu komputer dan menginfeksi seluruh jaringan perusahaan. Jika tidak terdeteksi tepat waktu, hal itu menyebabkan kerugian jutaan dolar bagi bisnis.

4. Kurangnya Kesadaran Keamanan Siber

Dalam kebanyakan kasus, kesalahan manusia yang menyebabkan pelanggaran keamanan dilakukan secara tidak sengaja atau karena kurangnya pengetahuan. Sayangnya, beberapa organisasi begitu berkonsentrasi untuk mendapatkan hasil sehingga mereka mengabaikan kebutuhan untuk mendidik karyawan mereka tentang keamanan siber. Berikut adalah beberapa kesalahan umum yang dapat dilakukan orang karena kurangnya pengetahuan:

• Mengunduh perangkat lunak dari sumber yang mencurigakan dan resmi.
• Menghubungkan ke Wi-Fi publik di restoran atau hotel tanpa enkripsi VPN.
• Memasukkan perangkat seperti penyimpanan USD yang tidak diketahui asalnya.

5. Email Phishing

Menurut penyelidikan yang dilakukan oleh Verizon pada tahun 2020, 20% pelanggaran keamanan siber terjadi karena email phishing. Mengklik tautan berbahaya di dalam email semacam itu adalah salah satu kesalahan manusia yang paling mahal. Dilaporkan, biaya rata-rata satu catatan curian adalah $133. Bayangkan berapa banyak kerusakan yang dapat ditimbulkannya pada sebuah organisasi jika seluruh jaringan terinfeksi selain komputer pengguna akhir!

6. Keamanan Perangkat Lunak Tidak Memadai

Ketika karyawan melakukan tugas sehari-hari yang berulang, mereka menjadi ceroboh dan mengabaikan prosedur keamanan dari waktu ke waktu. Mereka berpikir jika pekerjaan mereka kemarin mulus, tidak ada yang bisa mengancam mereka hari ini. Sikap ceroboh terhadap prosedur keamanan ini terkadang dapat membahayakan sistem keamanan seluruh perusahaan. Berikut adalah prosedur keamanan yang diabaikan oleh karyawan:

• Pembaruan perangkat lunak: Sebagian besar karyawan melewatkan pembaruan perangkat lunak karena terlalu lama atau muncul pada waktu yang paling tidak nyaman.
• Terkadang karyawan dapat mematikan antivirus atau fitur keamanan karena mengganggu pekerjaan mereka. Sangat berbahaya meninggalkan komputer tanpa perlindungan bahkan untuk satu menit pun saat aktif menggunakan Internet.

7. Penambalan Tertunda

Penambalan yang tertunda terkait erat dengan poin sebelumnya tetapi lebih berfokus pada pembaruan perangkat lunak. Penjahat dunia maya terus mencari kerentanan dalam keamanan perangkat lunak, tetapi pengembang perangkat lunak juga melakukannya. Begitu mereka menemukan kerentanan seperti itu, mereka segera memperbaikinya dan mengirimkan tambalan yang dikenal sebagai pembaruan perangkat lunak. Mereka yang menginstal pembaruan tepat waktu melindungi perangkat mereka dari pelanggaran keamanan, sementara penundaan setiap menit meningkatkan risiko disusupi.

Kasus agen pelaporan kredit Equifax adalah contoh bagus mengapa pembaruan perangkat lunak tidak boleh diabaikan. Pada tahun 2017 perangkat lunak mereka memiliki kerentanan keamanan. Perusahaan mengetahuinya tetapi menunda proses penambalan. Akibatnya, sistem mereka diretas, dan informasi pribadi lebih dari 140 juta pelanggan Amerika dan 8.000 pelanggan Kanada dikompromikan.

Anda mungkin menyukai: Dokumen dan Protokol Kebutuhan Bisnis Anda untuk Keamanan Siber.

Cara Mengurangi Risiko Kesalahan Manusia dan Mencegah Pelanggaran Keamanan Siber

Setelah perusahaan mengidentifikasi celah dalam kebijakan keamanan mereka, mereka dapat mengambil tindakan pencegahan. Membuat kesalahan adalah manusiawi; itulah mengapa tidak mungkin untuk sepenuhnya menghilangkan risiko tetapi mungkin untuk meminimalkannya. Simak tujuh langkah berikut.

1. Tingkatkan Manajemen Kata Sandi

Karena bagian terbesar dari pelanggaran keamanan siber disebabkan oleh kebersihan kata sandi yang buruk, perusahaan harus memberi perhatian khusus pada manajemen kata sandi. Organisasi harus menetapkan kebijakan yang jelas terhadap penggunaan kata sandi sederhana atau pengaturan satu kombinasi untuk semua akun mereka. Alat pembuat kata sandi dapat membantu membuat kata sandi yang kuat dan andal yang terdiri dari huruf, angka, dan simbol.

Selain itu, ini juga harus menjadi bagian wajib dari kebijakan untuk mengaktifkan otentikasi dua faktor di semua akun perusahaan. Ini akan meningkatkan perlindungan akun Anda dan membuatnya tidak dapat diretas oleh peretas.

2. Kontrol Akses ke Data Sensitif

Diberikan akses tak terbatas ke data sensitif untuk semua karyawan adalah kesalahan besar oleh perusahaan. Secara default, akses harus ditolak untuk semua karyawan. Kemudian, manajer harus memberikan izin saat bepergian setiap kali karyawan memerlukan akses ke data untuk melakukan pekerjaan mereka. Sebagian besar sistem bahkan memiliki tingkat izin pengguna yang berbeda tergantung pada perannya. Misalnya, spesialis junior hanya dapat melihat dokumen sementara manajer memiliki hak untuk mengedit atau menghapusnya. Pembagian hak pengguna tersebut melindungi data sensitif agar tidak diubah atau dihapus secara tidak sengaja.

3. Instal Perangkat Lunak Antivirus dan Anti-spyware

Virus dan spyware dapat menyebabkan kerusakan destruktif pada perangkat dan jaringan Anda. Oleh karena itu, lebih bijaksana untuk dilindungi daripada melawan konsekuensi yang menghancurkan. Perlindungan terbaik terhadap virus dan spyware adalah perangkat lunak antivirus dan anti-spyware. McAfee Total Protection, Norton 360, dan Bitdefender Total Security adalah tiga solusi anti-spyware teratas yang layak digunakan. Perangkat lunak ini menyediakan VPN untuk penggunaan Internet terenkripsi dan Firewall untuk melindungi perangkat dari ancaman eksternal.

4. Mendidik Karyawan Tentang Keamanan Siber

Sebagian besar kesalahan manusia dilakukan karena kurangnya pengetahuan tentang keamanan dunia maya. Dan cara terbaik untuk mengurangi risiko kesalahan tersebut adalah dengan mendidik dan meningkatkan kesadaran karyawan Anda tentang keamanan informasi. Perusahaan harus sering mengadakan pelatihan dan mengajari karyawan mereka tentang serangan siber, jenisnya, dan prosedur perlindungannya. Mereka harus tahu cara membedakan email phishing dari email asli, cara melaporkannya, dan apa yang harus dilakukan jika mendeteksi pelanggaran keamanan. Jika perusahaan Anda memiliki kebijakan keamanan khusus, pastikan karyawan Anda mengetahuinya.

5. Filter Email Masuk

Salah satu cara untuk melindungi diri Anda dari email phishing adalah dengan menandai pesan yang diterima dari luar perusahaan Anda. Tapi itu bukan solusi 100% karena beberapa email spam dapat meniru domain email perusahaan Anda. Jadi, menggunakan perangkat lunak keamanan yang mendeteksi email mencurigakan adalah pilihan lain.

Tidak peduli bagaimana Anda memutuskan untuk berjuang melawan phishing, buat aturan praktis untuk tidak pernah mengunduh file atau mengklik tautan di dalam email yang mencurigakan.

6. Perbarui Kebijakan Keamanan Anda

Perusahaan Anda tidak boleh bergantung pada sikap hati-hati karyawan dalam mengikuti prosedur keamanan siber. Anda harus memiliki kebijakan keamanan perusahaan yang dijelaskan dengan jelas yang menjelaskan cara menangani data sensitif, bagaimana dan kapan memperbarui kata sandi dan aturan keamanan lainnya. Namun, panduan ini tidak boleh ketinggalan zaman. Pastikan untuk memperbaruinya secara teratur dan beri tahu karyawan Anda agar terbiasa dengan prosedur keamanan baru.

Anda mungkin juga menyukai: Bagaimana Pembelajaran Mesin Digunakan dalam Keamanan Siber?

7. Perbarui Perangkat Lunak Secara Teratur

Pengembang perangkat lunak merilis tambalan karena mereka telah menemukan kerentanan dan ingin membantu Anda terlindungi darinya. Jadi, mengabaikan dan melewatkan pembaruan perangkat lunak meningkatkan risiko perangkat Anda disusupi. Oleh karena itu, disarankan untuk menginstal tambalan segera setelah tersedia.