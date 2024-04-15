Temuan terbaru dari laporan IBM® X-Force Threat Intelligence Index menyoroti pergeseran taktik penyerang. Alih-alih menggunakan metode peretasan tradisional, ada lonjakan 71% yang signifikan dalam serangan di mana penjahat mengeksploitasi kredensial yang valid untuk menyusup ke sistem. Terdapat peningkatan yang mengejutkan sebesar 266% dalam pemanfaatan pencuri informasi (infostealer), yang menekankan peran alat tersebut dalam memperoleh kredensial ini. Tujuan mereka sangat jelas: mengeksploitasi jalur dengan ketahanan paling lemah, sering kali melalui karyawan yang tidak menaruh curiga, untuk mendapatkan kredensial yang valid.
Organisasi telah menghabiskan jutaan untuk mengembangkan dan menerapkan teknologi mutakhir untuk meningkatkan pertahanan mereka terhadap ancaman semacam itu, dan banyak yang sudah memiliki kampanye kesadaran keamanan, jadi mengapa kita gagal menghentikan serangan ini?
Sebagian besar program kesadaran keamanan saat ini memberi karyawan informasi yang mereka butuhkan tentang penanganan data, aturan GDPR, dan ancaman umum, seperti phishing.
Namun, ada satu kelemahan utama dengan pendekatan ini: program tidak mempertimbangkan perilaku manusia. Program biasanya mengikuti pendekatan satu cara untuk semua kondisi, dengan karyawan menyelesaikan pelatihan generik tahunan berbasis komputer dengan beberapa animasi apik dan kuis singkat.
Meskipun ini memberikan informasi yang diperlukan, sifat pelatihan yang tergesa-gesa dan kurangnya relevansi pribadi sering mengakibatkan karyawan melupakan informasi hanya dalam 4-6 bulan. Hal ini dapat dijelaskan oleh teori Daniel Kahneman tentang kognisi manusia. Menurut teori tersebut, setiap individu memiliki proses berpikir yang cepat, otomatis, dan intuitif, yang disebut Sistem 1. Orang juga memiliki proses berpikir yang lambat, saksama, dan analitis, yang disebut Sistem 2.
Program kesadaran keamanan tradisional terutama menargetkan Sistem 2, karena informasi perlu diproses secara rasional. Namun, tanpa motivasi, pengulangan, dan signifikansi pribadi yang memadai, informasi biasanya masuk ke satu telinga dan keluar telinga lainnya.
Hampir 95% pemikiran manusia dan pengambilan keputusan dikendalikan oleh Sistem 1, yang merupakan cara berpikir kebiasaan kita. Manusia dihadapkan dengan ribuan tugas dan stimulus per hari, dan banyak pemrosesan kita dilakukan secara otomatis dan tidak sadar melalui bias dan heuristik. Rata-rata karyawan bekerja secara otomatis, dan untuk memastikan bahwa masalah dan risiko keamanan siber tertanam dalam keputusan sehari-hari mereka, kita perlu merancang dan membangun program yang benar-benar memahami cara kerja intuitif mereka.
Untuk memahami perilaku manusia dan bagaimana mengubahnya, ada beberapa faktor yang harus kita nilai dan ukur, didukung oleh Model Perubahan Perilaku (Behavior Change Wheel) COM-B.
Setelah memahami dan mengevaluasi ketiga bidang ini, kita dapat menentukan area untuk perubahan perilaku dan merancang intervensi yang menargetkan perilaku intuitif karyawan. Pada akhirnya, pendekatan ini membantu organisasi dalam membentuk garis pertahanan pertama melalui pengembangan tenaga kerja yang lebih sadar siber.
Setelah akar penyebab masalah perilaku diidentifikasi, perhatian secara alami bergeser ke arah membangun budaya keamanan. Tantangan yang terdapat dalam budaya keamanan siber saat ini adalah fondasinya untuk menghindari kesalahan dan tindakan tidak benar. Pola pikir ini sering menumbuhkan persepsi negatif tentang keamanan siber, menghasilkan tingkat penyelesaian pelatihan yang rendah dan akuntabilitas minimal. Pendekatan ini membutuhkan perubahan, tetapi bagaimana kita mencapainya?
Yang pertama dan terpenting, kita harus mempertimbangkan kembali pendekatan kita terhadap inisiatif, meninggalkan model yang hanya berfokus pada kesadaran dan berbasis kepatuhan. Meskipun pelatihan kesadaran keamanan tetap penting dan tidak boleh diabaikan, kita harus mendiversifikasi metode pendidikan kita untuk menumbuhkan budaya yang lebih positif. Di samping pelatihan organisasi yang luas, kita harus mengadakan program-program khusus untuk peran tertentu yang menggabungkan pembelajaran berdasarkan pengalaman dan gamifikasi, seperti jangkauan siber menarik yang difasilitasi oleh IBM X-Force. Selain itu, kampanye di seluruh organisasi dapat memperkuat gagasan budaya positif, melibatkan kegiatan seperti membangun jaringan juara keamanan siber atau menyelenggarakan bulan-bulan kesadaran dengan berbagai acara.
Setelah inisiatif ini dipilih dan diimplementasikan untuk menumbuhkan budaya keamanan siber yang positif dan kuat, inisiatif tersebut harus mendapatkan dukungan dari semua tingkat organisasi, mulai dari kepemimpinan senior hingga profesional tingkat pemula. Hanya ketika ada pesan yang seragam dan afirmatif, kita dapat benar-benar mengubah budaya dalam organisasi.
Sekarang setelah kita mengidentifikasi tantangan perilaku dan menerapkan program yang bertujuan untuk menumbuhkan budaya positif, langkah selanjutnya adalah menetapkan metrik dan parameter keberhasilan. Untuk mengukur efektivitas program kita, kita harus menjawab pertanyaan mendasar: sejauh mana kita telah mengurangi risiko insiden keamanan siber yang berasal dari kesalahan manusia? Sangat penting untuk menetapkan seperangkat metrik komprehensif yang mampu mengukur pengurangan risiko dan keberhasilan program secara keseluruhan.
Secara tradisional, organisasi mengandalkan metode seperti kampanye phishing dan tes kecakapan, dengan hasil yang beragam. Salah satu pendekatan modern adalah kuantifikasi risiko, metode yang menetapkan nilai keuangan untuk risiko manusia yang terkait dengan skenario tertentu. Dengan mengintegrasikan metrik tersebut ke dalam program budaya keamanan kita, kita dapat menilai keberhasilannya dan terus meningkatkannya dari waktu ke waktu.
Lanskap keamanan siber yang berubah menuntut pendekatan komprehensif yang memenuhi faktor manusia penting. Organisasi perlu menumbuhkan budaya keamanan siber positif yang didukung oleh keterlibatan kepemimpinan dan inisiatif inovatif. Faktor ini perlu digabungkan dengan metrik yang efektif untuk mengukur kemajuan dan menunjukkan nilainya.
