Inilah Kesalahan Umum yang Membuat Keamanan Data Perusahaan Bobol
A
A
A
JAKARTA - Kejahatan siber punya banyak modus dibaliknya seperti pencurian data menggunakan removable media sampai perampasan laptop yang didorong oleh persaingan bisnis, perseteruan hukum atau kejahatan terorganisir.
Kelalaian manusia juga bisa menjadi faktor lainnya yang seringkali terjadi di kehidupan sehari-hari. Kejadian itu bisa menimpa siapa saja, seperti karyawan bahkan pemilik usaha.
Hasil riset Forrester Research 2017 menemukan sekitar 54% dari pelanggaran data disebabkan oleh orang dalam. Ada beragam cara yang biasa dilakukan karyawan yang berakibat fatal sehingga secara tidak sengaja melanggar keamanan perusahaan.
“Kelalaian dan ketidaksengajaan tentu saja bukan sebuah masalah yang bisa diketahui kapan datangnya, karena hal ini dapat terjadi kapan dan di mana saja. Kebijakan pengamanan data yang diterapkan perusahaan harus tepat guna. Selain juga harus mengimplementasikan solusi keamanan yang komprehensif untuk menutup semua celah yang disebabkan oleh faktor-faktor yang sulit diprediksi,” ujar Technical Consultant PT Prosperita ESET Indonesia, Yudhi Kukuh melalui keterangan tertulisnya, Sabtu (18/11/2017).
Lalu apa saja yang menyebabkan pencurian data dapat dengan mudah dibobol penjahat siber? Berikut beberapa hal yang terkadang dianggap sepele tapi akhirnya berakibat fatal:
Salah Penanganan Informasi Perusahaan
Karyawan seringkali salah menangani informasi perusahaan, misalnya mengirim email dokumen ke mesin pribadi di rumah. Padahal ini dapat dianggap sebagai pelanggaran dan fatalnya orang masih terus melakukannya.
Contoh lain, seorang tenaga penjualan sedang berada di jalan dan meminta asisten administrasi di kantor pelanggan untuk mencetak dokumen untuknya. Dokumen itu bisa menjadi informasi penting bagi tenaga penjual dan pelanggannya, tapi kemudian data ini akan berada di dalam komputer asisten tersebut dan seringkali itu tidak dihapus. Dan itu juga termasuk pelanggaran.
Flash Disk
Terkadang orang menyimpan beberapa flash disk dan mereka tidak selalu tahu data apa saja yang ada di dalamnya. Banyak orang membawa data pekerjaan dalam flash disk yang seharusnya ditinggalkan saat orang tersebut meninggalkan perusahaan.
Kemudian ada kemungkinan data di flash disk bisa terinfeksi dan kemudian menyebarkan virus ke jaringan perusahaan setelah dimasukkan ke komputer kerja. Banyak organisasi saat ini tidak membiarkan karyawan menyalin file ke flash disk. Jika pengguna tidak yakin dengan kebijakan perusahaan, mereka perlu tahu siapa yang bisa ditanya apakah ada cara digital untuk menyimpan file.
Kecerobohan Alamat IP
Hampir semua hal di kantor dari printer hingga kamera keamanan memiliki alamat IP di dalamnya. Khusus untuk kantor kecil, sangat penting mengganti kata sandi default pada perangkat ini. Kegagalan atau lalai dalam melakukannya dapat membuka celah dalam sistem perusahaan untuk serangan DdoS.
Pada bulan Oktober 2017 sempat heboh dengan hadirnya KRACK yang mampu menerobos perangkat WiFi dengan keamanan WPA2. Hal ini menuntut semua perangkat pendukung pada jaringan selalu ter-update, seperti Wifi Router untuk menghindari ancaman digital yang mungkin terjadi.
Riskannya BYOD
Kebijakan BYOD atau Bring Your Own Device sudah sangat lazim dijalankan di banyak perusahaan. Namun kebijakan tersebut ternyata menghadirkan risiko keamanan.
Misalnya, orang sering tidak mengambil tindakan pencegahan saat mereka membuang perangkat BYOD lama. Banyak yang menjual perangkat lama mereka tanpa meluangkan waktu untuk menghapus data-data yang ada di dalamnya. Lalu BYOD yang secara langsung dapat mengakses data perusahaan dapat mengakibatkan kebocoran data semakin mudah.
Pengawasan Hak Akses
Orang mungkin pernah bekerja di beberapa perusahaan selama 5 atau 10 tahun yang masing-masing dilengkapi dengan hak akses berbeda. Selain itu, seringkali Administrator dan pengguna tidak saling berkomunikasi tentang hak akses dan tingkat privilege yang dimiliki pengguna.
Ini berarti pengguna mungkin masih memiliki hak akses yang tidak sesuai dengan posisinya saat ini. Ini menjadi celah lain yang bisa dimasuki oleh insider yang berasal dari mantan karyawan.
Bahaya Penyelinap
Perusahaan benar-benar perlu melatih pengguna untuk menyadari hal berikut. Terkadang orang akan memasuki lokasi perusahaan dan orang kedua akan datang dengan mengatakan bahwa mereka melupakan kartu akses mereka dan membiarkannya masuk.
Kecuali orang yang memiliki kartu akses tahu dengan pasti bahwa orang yang yang ingin masuk tersebut adalah pegawai lain atau mitra bisnis. Di samping itu, mereka seharusnya tidak membiarkan mereka masuk. Karena motifnya belum tentu baik bahkan mungkin punya niat buruk yang berbahaya perusahaan.
Penanganan Data Tidak Benar
Hal ini dapat terjadi misalnya di klinik atau kantor tempat karyawan menangani data medis sensitif dan informasi pembayaran. Dengan tidak adanya staf TI dipekerjakan, informasi dapat ditinggalkan di komputer, mesin faks dan mesin pemindai yang hanya memiliki sedikit atau tanpa proteksi kata sandi dan terbuka terhadap pencurian. Ini juga biasa terjadi di kantor-kantor ketika karyawan secara tidak sengaja mengirimkan email penting ke mitra bisnis yang seharusnya tidak menerima.
Tentu saja, ini juga bisa terjadi secara tidak sengaja di departemen HR pada perusahaan besar dan menengah. Karena itu kondisi tersebut adalah sesuatu yang harus diperhatikan. Meninggalkan komputer tetap terbuka saat tidak digunakan juga dapat mengakibatkan pencurian data dapat dilakukan dengan mudah.
Laptop di Bandara
Saat melewati jalur keamanan di bandara, Anda harus melepas sepatu, ikat pinggang, mengosongkan kantong. Apa pun yang Anda lakukan, jangan lupa bawa laptop bersama Anda. Apalagi jika itu merupakan laptop kerja yang memiliki informasi perusahaan yang sensitif dan berpotensi terekspos.
Kelalaian manusia juga bisa menjadi faktor lainnya yang seringkali terjadi di kehidupan sehari-hari. Kejadian itu bisa menimpa siapa saja, seperti karyawan bahkan pemilik usaha.
Hasil riset Forrester Research 2017 menemukan sekitar 54% dari pelanggaran data disebabkan oleh orang dalam. Ada beragam cara yang biasa dilakukan karyawan yang berakibat fatal sehingga secara tidak sengaja melanggar keamanan perusahaan.
“Kelalaian dan ketidaksengajaan tentu saja bukan sebuah masalah yang bisa diketahui kapan datangnya, karena hal ini dapat terjadi kapan dan di mana saja. Kebijakan pengamanan data yang diterapkan perusahaan harus tepat guna. Selain juga harus mengimplementasikan solusi keamanan yang komprehensif untuk menutup semua celah yang disebabkan oleh faktor-faktor yang sulit diprediksi,” ujar Technical Consultant PT Prosperita ESET Indonesia, Yudhi Kukuh melalui keterangan tertulisnya, Sabtu (18/11/2017).
Lalu apa saja yang menyebabkan pencurian data dapat dengan mudah dibobol penjahat siber? Berikut beberapa hal yang terkadang dianggap sepele tapi akhirnya berakibat fatal:
Salah Penanganan Informasi Perusahaan
Karyawan seringkali salah menangani informasi perusahaan, misalnya mengirim email dokumen ke mesin pribadi di rumah. Padahal ini dapat dianggap sebagai pelanggaran dan fatalnya orang masih terus melakukannya.
Contoh lain, seorang tenaga penjualan sedang berada di jalan dan meminta asisten administrasi di kantor pelanggan untuk mencetak dokumen untuknya. Dokumen itu bisa menjadi informasi penting bagi tenaga penjual dan pelanggannya, tapi kemudian data ini akan berada di dalam komputer asisten tersebut dan seringkali itu tidak dihapus. Dan itu juga termasuk pelanggaran.
Flash Disk
Terkadang orang menyimpan beberapa flash disk dan mereka tidak selalu tahu data apa saja yang ada di dalamnya. Banyak orang membawa data pekerjaan dalam flash disk yang seharusnya ditinggalkan saat orang tersebut meninggalkan perusahaan.
Kemudian ada kemungkinan data di flash disk bisa terinfeksi dan kemudian menyebarkan virus ke jaringan perusahaan setelah dimasukkan ke komputer kerja. Banyak organisasi saat ini tidak membiarkan karyawan menyalin file ke flash disk. Jika pengguna tidak yakin dengan kebijakan perusahaan, mereka perlu tahu siapa yang bisa ditanya apakah ada cara digital untuk menyimpan file.
Kecerobohan Alamat IP
Hampir semua hal di kantor dari printer hingga kamera keamanan memiliki alamat IP di dalamnya. Khusus untuk kantor kecil, sangat penting mengganti kata sandi default pada perangkat ini. Kegagalan atau lalai dalam melakukannya dapat membuka celah dalam sistem perusahaan untuk serangan DdoS.
Pada bulan Oktober 2017 sempat heboh dengan hadirnya KRACK yang mampu menerobos perangkat WiFi dengan keamanan WPA2. Hal ini menuntut semua perangkat pendukung pada jaringan selalu ter-update, seperti Wifi Router untuk menghindari ancaman digital yang mungkin terjadi.
Riskannya BYOD
Kebijakan BYOD atau Bring Your Own Device sudah sangat lazim dijalankan di banyak perusahaan. Namun kebijakan tersebut ternyata menghadirkan risiko keamanan.
Misalnya, orang sering tidak mengambil tindakan pencegahan saat mereka membuang perangkat BYOD lama. Banyak yang menjual perangkat lama mereka tanpa meluangkan waktu untuk menghapus data-data yang ada di dalamnya. Lalu BYOD yang secara langsung dapat mengakses data perusahaan dapat mengakibatkan kebocoran data semakin mudah.
Pengawasan Hak Akses
Orang mungkin pernah bekerja di beberapa perusahaan selama 5 atau 10 tahun yang masing-masing dilengkapi dengan hak akses berbeda. Selain itu, seringkali Administrator dan pengguna tidak saling berkomunikasi tentang hak akses dan tingkat privilege yang dimiliki pengguna.
Ini berarti pengguna mungkin masih memiliki hak akses yang tidak sesuai dengan posisinya saat ini. Ini menjadi celah lain yang bisa dimasuki oleh insider yang berasal dari mantan karyawan.
Bahaya Penyelinap
Perusahaan benar-benar perlu melatih pengguna untuk menyadari hal berikut. Terkadang orang akan memasuki lokasi perusahaan dan orang kedua akan datang dengan mengatakan bahwa mereka melupakan kartu akses mereka dan membiarkannya masuk.
Kecuali orang yang memiliki kartu akses tahu dengan pasti bahwa orang yang yang ingin masuk tersebut adalah pegawai lain atau mitra bisnis. Di samping itu, mereka seharusnya tidak membiarkan mereka masuk. Karena motifnya belum tentu baik bahkan mungkin punya niat buruk yang berbahaya perusahaan.
Penanganan Data Tidak Benar
Hal ini dapat terjadi misalnya di klinik atau kantor tempat karyawan menangani data medis sensitif dan informasi pembayaran. Dengan tidak adanya staf TI dipekerjakan, informasi dapat ditinggalkan di komputer, mesin faks dan mesin pemindai yang hanya memiliki sedikit atau tanpa proteksi kata sandi dan terbuka terhadap pencurian. Ini juga biasa terjadi di kantor-kantor ketika karyawan secara tidak sengaja mengirimkan email penting ke mitra bisnis yang seharusnya tidak menerima.
Tentu saja, ini juga bisa terjadi secara tidak sengaja di departemen HR pada perusahaan besar dan menengah. Karena itu kondisi tersebut adalah sesuatu yang harus diperhatikan. Meninggalkan komputer tetap terbuka saat tidak digunakan juga dapat mengakibatkan pencurian data dapat dilakukan dengan mudah.
Laptop di Bandara
Saat melewati jalur keamanan di bandara, Anda harus melepas sepatu, ikat pinggang, mengosongkan kantong. Apa pun yang Anda lakukan, jangan lupa bawa laptop bersama Anda. Apalagi jika itu merupakan laptop kerja yang memiliki informasi perusahaan yang sensitif dan berpotensi terekspos.
(mim)