Ada 3 area yang harus diperhatikan di 2024, dengan memahami area ini akan memudahkan dalam persiapan menghadapi ancaman siber tahun depan.
Menurut Verizon, tiga perempat (74%) dari seluruh pelanggaran global selama setahun terakhir mencakup “elemen manusia”, yang dalam banyak kasus berarti kesalahan, kelalaian, atau pengguna menjadi korban phising dan rekayasa sosial.
Pelatihan keamanan dan program kesadaran adalah cara penting untuk memitigasi risiko ini. Namun tidak ada jalan yang cepat dan mudah menuju sukses, karena keduanya bisa saja terlupakan seiring berjalannya waktu. Ini tentang mengubah perilaku pengguna untuk jangka panjang. Hal ini hanya dapat terjadi jika Anda menjalankan program secara terus-menerus, agar pembelajaran selalu diingat setiap saat.
Pembelajaran bahkan dapat disesuaikan dengan peran dan sektor tertentu, agar lebih relevan bagi individu. Dan teknik gamifikasi mungkin merupakan tambahan yang berguna untuk membuat pelatihan lebih melekat dan menarik.
3 Area yang Harus Diperhatikan di 2024
Menjelang akhir tahun 2023, ada baiknya kita memikirkan apa saja yang perlu disertakan dalam program tahun depan. Pertimbangkan hal berikut:
BEC dan Phising
Penipuan Business Email Compromise (BEC), yang memanfaatkan pesan phising yang ditargetkan, masih menjadi salah satu kategori kejahatan dunia maya dengan pendapatan tertinggi.
Dalam kasus-kasus yang dilaporkan ke FBI tahun lalu, para korban mengalami kerugian lebih dari $2,7 miliar. Ini adalah kejahatan yang pada dasarnya didasarkan pada rekayasa sosial, biasanya dengan menipu korban agar menyetujui transfer dana perusahaan ke rekening yang berada di bawah kendali penipu.
Ada berbagai metode yang mereka gunakan untuk mencapai hal ini, seperti dengan menyamar sebagai CEO atau pemasok, dan metode ini dapat dimasukkan ke dalam latihan kesadaran phising. Hal ini harus dikombinasikan dengan investasi pada keamanan email tingkat lanjut, proses pembayaran yang kuat, dan pemeriksaan ulang setiap permintaan pembayaran.
Phising telah ada selama beberapa dekade namun masih menjadi salah satu vektor utama untuk akses awal ke jaringan perusahaan. Dan berkat para pekerja rumahan dan pekerja lapangan yang teralihkan perhatiannya, orang-orang jahat memiliki peluang lebih besar untuk mencapai tujuan mereka.
Namun dalam banyak kasus, taktik berubah, begitu pula latihan kesadaran phising. Di sinilah simulasi langsung dapat sangat membantu mengubah perilaku pengguna. Untuk tahun 2024, pertimbangkan untuk menyertakan konten tentang phising melalui aplikasi teks atau perpesanan (smishing), panggilan suara (vishing), dan teknik baru seperti bypass autentikasi multifaktor (MFA).
Taktik social engineering tertentu sangat sering berubah, jadi sebaiknya bermitra dengan penyedia kursus pelatihan yang dapat memperbarui kontennya.
Keamanan Kerja Jarak Jauh dan hybrid
Para ahli telah lama memperingatkan bahwa karyawan cenderung mengabaikan panduan/kebijakan keamanan atau melupakannya saat bekerja dari rumah. Sebuah penelitian menemukan bahwa 80% pekerja mengakui bahwa bekerja dari rumah pada hari Jumat di musim panas membuat mereka lebih rileks dan terganggu, misalnya.
Hal ini dapat menempatkan mereka pada risiko yang lebih tinggi untuk disusupi, terutama ketika jaringan dan perangkat rumah kurang terlindungi dibandingkan jaringan dan perangkat korporat.
Dan di sinilah program pelatihan harus memberikan saran mengenai pembaruan keamanan untuk laptop, pengelolaan kata sandi, dan penggunaan hanya perangkat yang disetujui perusahaan. Ini harus dilakukan bersamaan dengan pelatihan kesadaran phising.
Selain itu, sistem kerja hybrid telah menjadi hal yang lumrah bagi banyak bisnis saat ini. Sebuah studi menyatakan bahwa 53% masyarakat kini memiliki kebijakan, dan angka tersebut pasti akan terus bertambah.
Namun, bepergian ke kantor atau bekerja di tempat umum memiliki risiko tersendiri. Salah satunya adalah ancaman dari hotspot Wi-Fi publik yang mungkin membuat pekerja lapangan terkena serangan adversary-in-the-middle (AitM).
Di mana peretas mengakses jaringan dan menguping data yang berpindah antara perangkat yang terhubung dan router, serta ancaman “evil twin” di mana penjahat membuat duplikat hotspot Wi-Fi yang menyamar sebagai hotspot Wi-Fi sah di lokasi tertentu.
Risiko “teknologi tinggi” juga lebih sedikit di luar sana. Sesi pelatihan dapat menjadi kesempatan yang baik untuk mengingatkan staf akan bahaya selancar bahu.
Perlindungan Data
Denda GDPR meningkat 168% setiap tahun menjadi lebih dari €2,9 miliar ($3,1 miliar) pada tahun 2022, karena regulator menindak ketidakpatuhan. Hal ini menjadi alasan yang cukup kuat bagi organisasi untuk memastikan staf mereka mengikuti kebijakan perlindungan data dengan benar.
Pelatihan rutin adalah salah satu cara terbaik untuk selalu mengutamakan praktik terbaik penanganan data. Hal ini berarti penggunaan enkripsi yang kuat, pengelolaan kata sandi yang baik, menjaga keamanan perangkat, dan segera melaporkan setiap insiden ke kontak yang relevan.
Staf juga dapat memperoleh manfaat dari penyegaran dalam penggunaan blind carbon copy (BCC), sebuah kesalahan umum yang menyebabkan kebocoran data email yang tidak disengaja, dan pelatihan teknis lainnya. Dan mereka harus selalu mempertimbangkan apakah apa yang mereka posting di media sosial harus dirahasiakan.
Kursus pelatihan dan kesadaran adalah bagian penting dari strategi keamanan apa pun. Tapi mereka tidak bisa bekerja sendirian. Organisasi juga harus menerapkan kebijakan keamanan yang ketat dengan kontrol dan alat yang kuat seperti pengelolaan perangkat seluler. “Manusia, proses, dan teknologi” adalah mantra yang akan membantu membangun budaya perusahaan yang lebih aman di dunia maya.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: