Cara Melindungi Bisnis Kecil Anda dari Pelanggaran Data

Keamanan siber telah menjadi masalah yang berdampak pada bisnis dari semua ukuran di banyak industri di lanskap ancaman siber saat ini.

Sementara sepuluh tahun yang lalu peretas menargetkan pengecer besar dan organisasi seperti Target atau Yahoo! berharap untuk menangkap sejumlah besar data yang dapat dijual dengan satu pelanggaran jaringan, hari ini mereka sering menargetkan pengecer kecil dan penyedia layanan.

Biaya keseluruhan dari satu pelanggaran data rata-rata lebih dari $4 juta pada tahun 2018, dan biaya tersebut kemungkinan akan terus bertambah.

Pengecer kecil dan waralaba seperti SPBU, restoran, dan hotel terus menjadi korban pelanggaran data dalam jumlah yang meningkat, menunjukkan bahwa tidak ada bisnis yang terlalu kecil untuk menjadi target.

Dalam artikel ini, kami akan membahas bagaimana dan mengapa pelanggaran data terjadi pada bisnis kecil, dan kemudian kami akan menjelaskan sembilan praktik terbaik yang dapat mereka ikuti untuk menghindari peretasan.

Gambar | Pixabay

Apa itu Pelanggaran Data?

Pelanggaran data adalah pelepasan data pribadi atau berharga tanpa izin .

Pelanggaran data klasik yang sering kita dengar di berita adalah serangan jaringan.

Peretas luar , terkadang duduk dengan aman di belahan dunia lain, mendapatkan akses ke jaringan perusahaan dan mentransfer data curian ke diri mereka sendiri melalui internet. Peretas juga dapat menonaktifkan sistem TI perusahaan karena dendam.

Pelanggaran data terkadang terjadi ketika orang dalam mencuri data dan merilisnya juga.

Aktor yang paling umum?

Seorang karyawan yang tidak puas atau baru saja dipecat, atau kontraktor pihak ketiga yang menerima suap atau tidak memiliki langkah-langkah keamanan yang baik dan telah menjadi titik masuk oleh penjahat luar untuk mencuri data perusahaan.

Cara ketiga pelanggaran data terjadi secara tidak sengaja . Terkadang staf TI atau karyawan lain membiarkan data terbuka untuk dilihat publik di internet.

Contoh lain adalah ketika karyawan melupakan laptop perusahaan di tempat umum atau saat dicuri.

Pelanggaran ini terjadi karena kurangnya perhatian dan kebijakan keamanan yang buruk .

Bagaimana Pelanggaran Data Terjadi?

Pertanyaan di benak setiap profesional keamanan siber adalah “Bagaimana pelanggaran data bisa terjadi?”

Ini adalah pertanyaan yang sulit karena memiliki banyak jawaban, dan sulit untuk menebak semuanya terlebih dahulu.

Pelanggaran data sering terjadi karena kebijakan dan personel keamanan tidak melihat cara penjahat dapat melanggar keamanan mereka.

Yang mengatakan, ada beberapa cara umum peretas membobol jaringan bisnis pribadi (atau pribadi):

• Email phishing : Ini adalah cara paling umum jaringan perusahaan mengalami pelanggaran. Tujuan utama email phishing adalah untuk berhasil mencuri kredensial karyawan atau mengelabui mereka agar mengunduh malware ke komputer kerja mereka. Peretas membuat karyawan percaya bahwa email palsu adalah komunikasi bisnis yang sah atau email dari vendor. Selalu ada kemungkinan kecil seorang karyawan akan menjadi mangsa serangan ini, jadi peretas mengirimkan rentetan email phishing terus-menerus ke target mereka menunggu hal itu terjadi. Satu klik biasanya cukup untuk mendapatkan akses.

Gambar | Pixabay

• Eksploitasi zero- day : Eksploitasi zero-day adalah cacat perangkat lunak yang belum ditemukan oleh pembuatnya. "Zero-day" berarti hari mereka mulai memperbaiki bug belum tiba.
  Selama eksploitasi tetap hanya diketahui oleh peretas, mereka dapat terus menggunakannya untuk membobol jaringan komputer tanpa terdeteksi.
• Unduhan Drive-by : Situs web memuat banyak skrip yang berjalan di latar belakang – sebagian besar untuk menayangkan iklan di browser web. Saat skrip berbahaya disuntikkan ke jaringan penempatan iklan, skrip tersebut dapat menggunakan eksploitasi untuk memasang malware ke komputer tanpa sepengetahuan karyawan.
• Serangan rekayasa sosial : Rekayasa sosial adalah istilah yang bagus untuk penipu. Serangan ini dapat melibatkan penyamaran karyawan perusahaan, penyelidik polisi, atau pelanggan selama panggilan telepon.
  Mereka juga dapat melibatkan pencurian lencana karyawan dan menggunakannya untuk mengakses tempat kerja.

Konsekuensi dari Pelanggaran Data

Pelanggaran data akan memaparkan bisnis pada banyak biaya – finansial, berwujud, dan tidak berwujud.

Biaya keuangan langsung dapat berupa tuntutan hukum, denda, dan hukuman kontrak jika investigasi menunjukkan keamanan yang lemah yang menyebabkan pelanggaran tersebut.

Pelanggan cenderung mengajukan gugatan class action, dan merek perusahaan akan menderita selama bertahun-tahun setelah pelanggaran yang dipublikasikan secara luas.

Bisnis yang memproses transaksi kartu kredit untuk pelanggan mereka terkena denda peraturan dan hukuman kontrak dengan vendor kartu kredit ketika data pembayaran pelanggan dicuri.

Bank yang kehilangan uang karena penipuan keuangan berikutnya dapat mengejar perusahaan yang dilanggar untuk bertanggung jawab.

Perusahaan yang terlibat dalam industri keuangan dan perawatan kesehatan juga tunduk pada persyaratan peraturan yang ketat untuk mengamankan privasi catatan pelanggan dan pasien serta informasi keuangan.

Kegagalan untuk menjaga mereka tetap aman akan menyebabkan hukuman yang dapat melumpuhkan atau membuat bangkrut usaha kecil bila digabungkan dengan biaya lain yang mungkin timbul setelah pelanggaran data.

Pelanggaran data dapat merusak merek bisnis dan keuangan yang cukup untuk membuat perusahaan kecil gulung tikar, tetapi konsekuensinya bisa mengerikan ketika itu terjadi pada pemerintah lokal dan negara bagian.

Gangguan yang terjadi pada sistem TI mereka dapat mencegah lembaga pemerintah memberikan layanan penting kepada masyarakat , seperti yang terjadi ketika kota Atlanta dilanda serangan ransomware.

Cara Menghindari Pelanggaran Data

Keamanan siber sulit diterapkan untuk bisnis kecil yang tidak mampu menambahkan profesional keamanan khusus ke staf TI mereka.

Ada beberapa aturan praktis yang dapat membuat bisnis Anda lebih aman dari pelanggaran data , baik yang diakibatkan oleh penipuan orang dalam maupun peretas dari luar.

Gambar | Pixabay

1. Sewa konsultan keamanan dari luar : Jika perusahaan Anda tidak memiliki rencana keamanan, langkah pertama adalah mendatangkan konsultan untuk membantu Anda membuatnya. Opsi ini lebih murah daripada mempekerjakan staf permanen, dan Anda akan mendapatkan penilaian keamanan menyeluruh dan rekomendasi untuk diikuti.
2. Lindungi semua data : Pelanggaran data bukan hanya peretasan jaringan. Anda juga harus menilai keamanan fisik data Anda. Bisakah penjahat menyusup ke bisnis Anda? Dapatkah karyawan mengakses catatan sensitif, baik kertas atau elektronik, dan mencurinya? Jika Anda menemukan data tidak aman dalam bentuk apa pun, temukan cara untuk membatasi akses ke data tersebut.
3. Simpan hanya data yang Anda perlukan : Salah satu cara untuk meminimalkan kerusakan akibat pelanggaran data adalah dengan tidak memiliki data pelanggan dan karyawan saat itu terjadi. Kebijakan yang baik untuk dimiliki adalah menyimpan hanya data yang diperlukan dan membuangnya setelah mencapai tujuannya. Contohnya adalah tidak menyimpan detail transaksi pelanggan setelah mereka melakukan pembelian.
4. Latih karyawan tentang taktik peretas umum : Titik terlemah keamanan jaringan adalah karyawan Anda.
   Sebagian besar pelanggaran data dimulai dengan seorang karyawan yang terjerumus dalam upaya phishing email dengan mengklik tautan yang menginstal malware atau memberikan kredensial akun mereka. Jika Anda memiliki tenaga kerja yang melek keamanan, peretas akan lebih sulit untuk berhasil.
5. Perbarui perangkat lunak Anda : Cara paling umum kedua yang dilakukan peretas untuk menembus jaringan pribadi adalah dengan mengeksploitasi kelemahan perangkat lunak untuk mendapatkan akses. Vendor perangkat lunak sering merilis patch keamanan, dan seringkali, Anda dapat mengonfigurasi perangkat lunak Anda untuk diperbarui secara otomatis melalui internet.
6. Batasi penggunaan perangkat penyimpanan portabel : USB stick adalah alat yang nyaman bagi peretas untuk menginfeksi komputer di jaringan pribadi. Kadang-kadang mereka akan menyamar sebagai karyawan atau kontraktor untuk mendapatkan akses ke tempat kerja Anda dan menginfeksi komputer akan malware dengan mencolokkan stik USB.
   Mereka bahkan mungkin menjatuhkannya ke lantai mengetahui bahwa seseorang akan mencolokkannya ke komputer untuk memeriksa isinya.
7. Lindungi situs web dan jaringan dengan layanan keamanan : Layanan keamanan membantu bisnis mempertahankan situs web dan jaringan mereka dari pelanggaran. Mereka terus-menerus memantau jaringan mereka untuk aktivitas mencurigakan dan segera menaikkan bendera merah. Sebagian besar pelanggaran membutuhkan waktu berminggu-minggu atau berbulan-bulan untuk dieksekusi, jadi deteksi penyusup yang cepat adalah kunci untuk menghentikan pelanggaran jaringan di jalurnya.
8. Enkripsikan semua transfer data : Enkripsi yang kuat ada saat ini yang mencegah siapa pun mengakses data tanpa kunci khusus untuk memecahkan kodenya. Jika Anda menerapkan kebijakan enkripsi yang kuat, peretas tidak akan dapat menggunakan data yang mereka curi selama pelanggaran data.
9. Kontrol hak administratif : Peretas perlu mendapatkan hak administrator penuh begitu mereka mendapatkan akses ke jaringan Anda untuk mencuri data Anda. Anda dapat mencegah potensi pelanggaran data dengan memperhatikan keamanan akun administrator jaringan Anda secara serius. Batasi jumlah akun admin, berikan hanya hak istimewa yang mereka butuhkan, dan gunakan kata sandi yang kuat untuk melindungi mereka.

Pikiran Akhir

Frekuensi pelanggaran data dan tingginya biaya menjadi korban mengharuskan setiap perusahaan membuat rencana keamanan yang kuat dan mematuhinya .

Meskipun tidak ada cara untuk menghindari pelanggaran data, Anda dapat meminimalkan kerusakan yang disebabkan olehnya dengan persiapan yang tepat.

Dengan berkonsultasi dengan perusahaan keamanan siber dan mengikuti serangkaian kebijakan keamanan praktis , usaha kecil dapat menjaga keamanan data mereka. Kebijakan keamanan tersebut termasuk menjaga perangkat lunak diperbarui, memastikan jaringan dikonfigurasi dengan benar untuk mencegah akses yang tidak sah.

Jangan pernah lupa bahwa keamanan Anda hanya sekuat tautan terlemah Anda, dan pastikan Anda menyertakan pelatihan karyawan tentang keamanan siber sebagai bagian dari strategi Anda.

Ketika karyawan Anda tahu cara menghindari email yang mencurigakan, dan mengetahui praktik yang baik untuk menjaga laptop bisnis mereka tetap aman saat berada di tempat terbuka, Anda akan mengurangi kemungkinan menjadi korban.

Rencana keamanan yang solid dan kemauan untuk menerapkannya adalah kunci untuk mengamankan bisnis, besar atau kecil.