Salah satu perhatian utama perusahaan adalah perlindungan terhadap ancaman digital. Meskipun telah menerapkan serangkaian langkah, aplikasi, dan solusi inovatif untuk mencegah intrusi dan pencurian data, masalah ini tidak hanya bergantung pada teknologi canggih tetapi juga pada perilaku manusia. Hal ini diungkapkan oleh pakar keamanan siber Leonardo Baiardi dari dataRain, yang menunjukkan bahwa 74% serangan siber disebabkan oleh faktor manusia. Eksekutif tersebut menyoroti betapa pentingnya pelatihan karyawan yang memadai bagi strategi keamanan yang efektif.
Baiardi menganggap manusia sebagai mata rantai terlemah dalam menghadapi risiko siber di lingkungan perusahaan. "Setiap orang di perusahaan perlu memahami bahwa mereka bertanggung jawab atas keamanan data, dan ini hanya dapat dicapai melalui pelatihan, akuntabilitas, dan komunikasi antar departemen. Setiap orang perlu menyadari risiko yang mereka hadapi."
Pendapat pakar tersebut melengkapi temuan dalam Laporan Faktor Manusia Proofpoint 2023, yang menyoroti peran signifikan faktor manusia dalam kerentanan keamanan. Studi ini mengungkapkan peningkatan dua belas kali lipat dalam volume serangan rekayasa sosial melalui perangkat seluler, jenis serangan yang dimulai dengan pesan yang tampaknya tidak berbahaya, yang kemudian menghasilkan hubungan. Hal ini terjadi, menurut Baiardi, karena perilaku manusia dapat dimanipulasi. "Seperti yang dikatakan oleh peretas legendaris Kevin Mitnick, pikiran manusia adalah aset yang paling mudah diretas. Lagipula, manusia memiliki lapisan emosional yang sangat rentan terhadap pengaruh eksternal, yang dapat menyebabkan tindakan gegabah seperti mengklik tautan berbahaya atau membagikan informasi sensitif," ujarnya.
Kit phishing yang dirancang untuk menerobos autentikasi multifaktor (MFA), dan serangan berbasis cloud, yang menargetkan sekitar 94% pengguna setiap bulan, juga termasuk di antara ancaman yang paling sering tercatat dalam laporan.
Kesalahan paling umum
Di antara kesalahan paling umum yang menyebabkan pelanggaran keamanan, Baiardi mencantumkan: tidak memverifikasi keaslian email; membiarkan komputer tidak terkunci; menggunakan jaringan Wi-Fi publik untuk mengakses informasi perusahaan; dan menunda pembaruan perangkat lunak.
"Perilaku ini dapat membuka pintu bagi intrusi dan pencurian data," jelasnya. Untuk menghindari penipuan, pakar tersebut menyarankan untuk menghindari mengeklik tautan yang mencurigakan. Oleh karena itu, ia menyarankan untuk memeriksa pengirim, domain email, dan urgensi pesan. "Jika masih ragu, tipsnya adalah membiarkan kursor tetikus di atas tautan tanpa mengekliknya, agar Anda dapat melihat URL lengkapnya. Jika terlihat mencurigakan, kemungkinan besar itu berbahaya," sarannya.
Penipuan
Phishing adalah salah satu ancaman siber terbesar, yang menggunakan email perusahaan sebagai vektor serangan. Untuk melindungi diri darinya, Baiardi menyarankan pendekatan berlapis: kesadaran dan pelatihan bagi karyawan, di samping langkah-langkah teknis yang kuat.
Menjaga perangkat lunak dan sistem operasi tetap mutakhir sangat penting untuk mengurangi kerentanan. "Kerentanan baru muncul setiap hari. Cara paling sederhana untuk mengurangi risiko adalah dengan selalu memperbarui sistem. Dalam lingkungan yang sangat penting, di mana pembaruan terus-menerus tidak memungkinkan, diperlukan strategi yang lebih tangguh."
Ia memberikan contoh nyata bagaimana pelatihan yang efektif membantu mencegah serangan. "Setelah menerapkan simulasi dan pelatihan phishing, kami mengamati peningkatan signifikan dalam laporan upaya phishing dari karyawan, yang menunjukkan tingkat kritis yang lebih tinggi dalam menghadapi ancaman."
Untuk mengukur efektivitas pelatihan, Baiardi menyarankan untuk menetapkan cakupan yang jelas dan melakukan simulasi berkala dengan metrik yang telah ditentukan. "Penting untuk mengukur kuantitas dan kualitas respons karyawan terhadap potensi ancaman."
Eksekutif tersebut mengutip laporan dari perusahaan pendidikan keamanan siber Knowbe4, yang menunjukkan bahwa Brasil tertinggal dari negara-negara seperti Kolombia, Chili, Ekuador, dan Peru. Survei tahun 2024 menyoroti masalah pemahaman karyawan terhadap pentingnya keamanan siber, tetapi tidak benar-benar memahami bagaimana ancaman beroperasi dan berfungsi. Oleh karena itu, survei tersebut menekankan pentingnya budaya organisasi dalam mempromosikan praktik keamanan: "Tanpa program budaya keamanan siber yang diimplementasikan dengan baik, mustahil untuk mengukur tingkat kematangan perusahaan dalam aspek ini."
Spesialis ini juga bertanggung jawab untuk memimpin penyediaan layanan keamanan siber yang dipromosikan oleh dataRain, yang menyediakan solusi tangguh dan cepat diimplementasikan seperti Keamanan Email, Penilaian Kepatuhan dan Kerentanan, Keamanan Titik Akhir, dan Tata Kelola Cloud. “Keamanan siber merupakan tantangan yang berkelanjutan, dan manusia merupakan kunci untuk memastikan perlindungan informasi dan integritas sistem. Berinvestasi dalam pelatihan dan kesadaran berarti berinvestasi dalam keamanan seluruh organisasi. Dan semua layanan kami disertai dengan transfer pengetahuan, yang memungkinkan kami meningkatkan kesadaran klien terhadap ancaman,” pungkasnya.
