5 Praktik Terbaik Keamanan Siber untuk Melindungi Data Bisnis Anda

Pada tahun 2022 saja, Biro Investigasi Federal menerima 800.944 pengaduan dari perusahaan-perusahaan AS yang menjadi korban serangan siber.

Meskipun benar bahwa serangan siber sedang meningkat, bisnis Anda tidak harus menjadi korban serangan tersebut. Sebaliknya, Anda dapat mengambil inisiatif dengan menerapkan langkah-langkah keamanan siber untuk melindungi diri dari berbagai bahaya keamanan di dunia maya.

Berikut adalah lima praktik terbaik keamanan siber penting yang dapat Anda terapkan untuk menjaga keamanan data bisnis Anda.

1. Aktifkan Otentikasi Dua Faktor

Otentikasi dua faktor (juga disebut "autentikasi multi-faktor") adalah salah satu praktik terbaik keamanan siber paling umum yang dapat Anda terapkan untuk mencegah ancaman siber. Perusahaan seperti Microsoft dan Google menggunakannya untuk menjaga keamanan data pelanggan mereka, dan hal ini direkomendasikan oleh undang-undang seperti Peraturan Perlindungan Data Umum (GDPR) Uni Eropa.

Tindakan keamanan siber sederhana ini dapat melindungi data bisnis Anda dengan mengharuskan karyawan Anda memberikan faktor autentikasi kedua (selain kata sandi) sebelum mereka diberikan akses ke akun mereka. Informasi verifikasi identitas tambahan dapat berupa:

• kata sandi satu kali enam digit dikirimkan ke nomor telepon mereka setiap kali mereka masuk
• biometrik mereka (misalnya, sidik jari, pemindaian retina, atau pemindaian pengenalan wajah)
• suara karyawan itu

Kualitas yang menjadikan autentikasi dua faktor efektif adalah lapisan keamanan ekstra yang diberikannya.

Sebelum penerapannya, nama pengguna dan kata sandi merupakan aktor jahat yang diperlukan untuk mendapatkan akses ke data bisnis. Sekarang, bahkan jika peretas berhasil mendapatkan nama pengguna dan kata sandi karyawan Anda, mereka tidak akan dapat mengakses akun tersebut tanpa ponsel atau data biometrik mereka.

Namun bukan itu saja: autentikasi dua faktor juga dapat mengingatkan Anda akan aktivitas mencurigakan yang terjadi secara real-time. Dalam beberapa kasus, karyawan Anda akan menerima email ketika pengguna yang tidak sah mencoba masuk dengan kredensial mereka dari perangkat yang tidak dikenal. Email tersebut mungkin meminta mereka untuk mengonfirmasi apakah mereka mengenali upaya masuk. Lihat contoh email yang dikirim oleh Google untuk mengonfirmasi login:

Pertimbangkan untuk menggunakan autentikasi multifaktor jika Anda memiliki tenaga kerja terdistribusi dan karyawan Anda masuk dari perangkat di luar jaringan perusahaan Anda. Tindakan keamanan siber ini mudah diterapkan dan tidak akan membebani anggaran keamanan siber Anda.

2. Terapkan Kebijakan Kata Sandi yang Kuat

Penjahat dunia maya menggunakan beberapa teknik seperti rekayasa sosial dan serangan brute force ketika meretas akun karyawan. Kata sandi yang lemah meningkatkan peluang keberhasilannya dan kemungkinan pemilik bisnis seperti Anda mengalami pelanggaran keamanan.

Oleh karena itu, cara lain untuk menjaga data Anda aman dari ancaman keamanan siber adalah dengan menerapkan kebijakan kata sandi yang kuat di tempat kerja Anda.

Menerapkan kebijakan kata sandi yang kuat melibatkan pembuatan serangkaian aturan dasar yang akan dipatuhi karyawan Anda saat menetapkan kata sandi untuk akun mereka. Aturan umum mungkin termasuk penggunaan kata sandi terpisah untuk setiap akun dan membuat kata sandi yang kuat dan panjang yang mencakup kombinasi huruf (huruf besar dan kecil), angka, dan simbol.

Secara kebetulan, Anda harus mendidik karyawan Anda tentang kriteria yang harus dipenuhi kata sandi mereka agar dianggap kuat. Raksasa mesin pencari Google memberikan tips cara mengatur kata sandi yang kuat. Dikatakan Anda harus:

• bersifat unik (dan tidak digunakan kembali untuk akun pribadi karyawan)
• menjadi kenangan
• mengecualikan pola umum (misalnya, “1234”)
• mengecualikan informasi pribadi (misalnya, ulang tahun orang penting lainnya)

Kata sandi yang memenuhi kriteria di atas harus berfungsi sebagai garis pertahanan pertama terhadap akses tidak sah ke kekayaan intelektual bisnis Anda. Jika Anda ingin benar-benar yakin bahwa kata sandinya sulit dibobol, mintalah mereka juga untuk menggunakan tabel ini sebagai panduan saat memilih:

Sumber: CDN

Waspadai kelemahan strategi keamanan siber ini dan solusi yang tersedia.

Kelemahan utama jika karyawan menggunakan kata sandi yang rumit adalah mereka dapat menuliskannya dan menyimpan kertas tersebut di dekat ruang kerja mereka. Anda dapat mencegah praktik ini dengan menerapkan pengelola kata sandi yang membantu mereka menyimpan dan mengingat kata sandi mereka. Alat-alat ini juga akan berguna jika Anda mewajibkan karyawan Anda mengubah kata sandi mereka setiap tiga hingga enam bulan.

3. Buat Cadangan Data

Mencadangkan data secara rutin adalah hal yang bijaksana dari sudut pandang bisnis, namun juga merupakan salah satu praktik terbaik keamanan siber yang paling cerdas. Alasannya adalah Anda dapat kembali menggunakan cadangan data jika terjadi serangan ransomware.

Serangan Ransomware adalah salah satu serangan cyber yang paling umum dilakukan oleh penjahat saat terjadi pelanggaran keamanan. Mereka melibatkan penggunaan perangkat lunak berbahaya (ransomware) untuk membajak file di komputer bisnis dan menahannya untuk meminta tebusan. Pada tahun 2022, ransomware digunakan pada hampir 68% dari seluruh serangan siber yang tercatat di seluruh dunia.

Meskipun kebijakan keamanan siber Anda diharapkan dapat mencegah karyawan terkena ransomware, hanya dibutuhkan satu klik pada tautan berbahaya untuk berubah menjadi insiden keamanan. Statistik manajemen waktu menunjukkan bahwa rata-rata karyawan memeriksa email mereka setiap jam 40 menit. Karena email phishing diketahui sebagai metode pengiriman ransomware yang paling umum dan email yang dikirimkan tampak seperti email sah pada pandangan pertama, kemungkinan terjadinya serangan meningkat.

Lihat contoh email phishing yang dikirim ke karyawan:

Sumber: Keamanan SSL Murah

Satu-satunya cara Anda menyimpulkan bahwa itu adalah email phishing adalah jika Anda memeriksanya secara menyeluruh. Perhatikan bahwa pengirim email seharusnya adalah Damco yang berbasis di Kamboja. Namun, pendaftaran domain alamat email pengirim dilakukan di China (.cn). Lalu ada penggunaan logo Maersk Line. Perusahaan tersebut, meskipun sah, berbasis di Denmark.

Juga, tanyakan pada diri Anda, mengapa rekan layanan pelanggan mengirim email yang seharusnya berisi dokumen ekspor?

Misalkan pengguna yang tidak berwenang mendapatkan akses ke data Anda setelah karyawan yang tidak menaruh curiga mengeklik email phishing seperti di atas. Dalam hal ini, pencadangan rutin akan memastikan bisnis Anda dapat berjalan seperti biasa.

Mengenai cara mencadangkan data bisnis Anda, pertimbangkan untuk menggunakan aturan 3-2-1. Miliki tiga salinan data Anda setiap saat. Cadangkan dua versi pada perangkat penyimpanan terpisah dan versi final di luar lokasi.

Anda memiliki banyak pilihan perangkat cadangan fisik. Hard drive eksternal (baik solid state atau hard disk drive) dan USB flash drive dapat berfungsi. Kapasitas penyimpanannya dapat berkisar dari 500 gigabyte hingga dua terabyte dan lebih tinggi. Selain itu, media optik seperti DVD atau CD berguna untuk menyimpan cadangan file yang lebih kecil.

Sedangkan untuk solusi di luar kantor, penyimpanan cloud tidak ada duanya. Anda dapat menyimpan file bisnis Anda di server jarak jauh dan mengaksesnya dengan koneksi internet dengan biaya bulanan. Layanan seperti Google Drive, OneDrive, dan Dropbox termasuk yang paling populer.

4. Melatih Karyawan tentang Keamanan Siber

Anda juga dapat mengatasi kerentanan keamanan dengan mendidik karyawan Anda tentang keamanan jaringan.

Program dan kursus yang memberikan sertifikasi keamanan untuk pemula dapat membantu karyawan Anda belajar. Minimal, karyawan Anda akan mempelajari email phishing, penipuan phishing, dan trik lain yang digunakan penjahat dunia maya untuk menyusupi sistem penting. Selain itu, mereka akan mempelajari bagaimana pelanggaran keamanan siber ini terjadi di tempat kerja dan bagaimana pelaku kejahatan mengeksploitasi celah keamanan.

Yang lebih penting lagi, karyawan Anda perlu mengetahui bagaimana tindakan mereka tanpa disadari dapat membantu aktivitas jahat. Misalnya, pelatihan keamanan siber dapat menekankan pentingnya mengakses data perusahaan melalui jaringan pribadi dan menghindari penggunaan jaringan publik (misalnya jaringan Wi-Fi publik di kedai kopi).
Penting bagi Anda untuk memasukkan pelatihan keamanan siber ke dalam operasi bisnis Anda.

Daripada mengirim email sesekali dan mengatur sesi pelatihan setiap tahun, pertimbangkan untuk mengundang profesional keamanan siber untuk berbicara dengan karyawan Anda secara berkala.

Anda bahkan dapat memberikan insentif untuk mengikuti kursus keamanan siber dengan menjadikannya bagian dari pengembangan berkelanjutan karyawan Anda. Ketika seorang karyawan yakin bahwa kesadaran keamanan siber mereka akan membantu prospek karier mereka dan mewujudkan keterampilan siap kerja, mereka mungkin lebih cenderung untuk menginternalisasi dan mempraktekkan apa yang mereka pelajari.

Jika Anda menjalankan perusahaan teknologi, pertimbangkan untuk mengajari karyawan Anda bagaimana kecerdasan buatan dapat membantu bertahan dari serangan cyber yang didukung AI.

5. Melakukan Audit Keamanan Siber Secara Reguler

Melakukan audit keamanan siber secara rutin akan membantu Anda mengidentifikasi kerentanan keamanan dan risiko keamanan siber pada bisnis Anda.

Audit keamanan siber melibatkan penilaian kebijakan keamanan bisnis Anda sambil mencoba menemukan ancaman atau area yang perlu ditingkatkan.

Selama audit, Anda akan menentukan apakah bisnis Anda mematuhi peraturan keamanan siber dan mengevaluasi postur keamanan Anda, antara lain. Audit yang lebih sering akan memeriksa validitas perangkat lunak antivirus Anda (yaitu, apakah perangkat lunak tersebut mutakhir). Bukan hal yang aneh jika kita mengganti mitra keamanan siber selama proses tersebut.

Ada dua jenis audit keamanan siber yang dapat Anda lakukan:

• Audit Internal : Saat Anda melakukan audit internal, personel keamanan siber bisnis Anda akan menangani pemeriksaannya. Jenis audit ini umum terjadi pada bisnis kecil.
• Audit Eksternal : Audit eksternal mengundang auditor yang tidak berafiliasi dengan perusahaan untuk melakukan pemeriksaan. Perusahaan besar biasanya memilih jenis audit ini.

Seberapa sering Anda melakukan audit akan bergantung pada bisnis Anda.

Misalnya, jika Anda menyimpan informasi sensitif di sistem komputer, Anda perlu sering melakukan audit untuk memastikan keamanannya. Apakah audit tersebut akan mengganggu bisnis atau tidak, mungkin juga menjadi pertimbangan Anda.

Faktor tambahan yang perlu dipertimbangkan ketika melakukan audit meliputi:

• Ruang Lingkup : Seberapa komprehensif audit yang Anda inginkan? Haruskah hal ini memberikan gambaran lengkap tentang postur keamanan siber bisnis Anda atau fokus pada aspek tertentu dari bisnis Anda?
• Ancaman dan Tanggapan: Jika Anda menemukan ancaman terhadap bisnis Anda, bagaimana tanggapan Anda?

Setelah Anda menyelesaikan audit, Anda akan memiliki gambaran yang lebih jelas tentang seberapa aman (atau sebaliknya) bisnis Anda dari ancaman dunia maya. Dan jika Anda menemukan ancaman apa pun, Anda dapat mengambil tindakan untuk menetralisirnya.

Ikuti Tips Keamanan Siber untuk Melindungi Data Bisnis

Jika Anda ingin menjaga keamanan data bisnis Anda, Anda harus menerapkan dua atau lebih praktik terbaik keamanan siber yang dibahas dalam artikel ini. Statistiknya jelas bahwa kejahatan dunia maya akan meroket di masa depan, yang berarti dunia usaha perlu bersiap.

Singkatnya, pertimbangkan untuk mengaktifkan autentikasi dua faktor dan menerapkan kebijakan kata sandi yang kuat. Cadangkan data Anda secara rutin dan latih karyawan Anda tentang keamanan siber untuk mengurangi risiko yang disebabkan oleh kesalahan manusia. Terakhir, lakukan audit keamanan siber secara rutin untuk selalu mengetahui informasi terkini tentang keamanan bisnis Anda dari ancaman siber.

Temukan pakar keamanan siber yang dapat melindungi data bisnis Anda dari penyerang. Terhubung dengan perusahaan keamanan siber di The Manifest.