Thursday, October 13, 2016

10 Kecerobohan Terbesar Perilaku Security Karyawan (bagian #4-habis)

sebelumnya......

10 Kecerobohan terbesar bidang Security ini merupakan catatan dan survey yang dilakukan dari hari ke hari, begitu banyak masalah keamanan yang terjadi tetapi 10 hal inilah yang paling sering dan ceroboh dilakukan oleh karyawan baik di dalam perusahaan maupun diluar perusahaan mereka.

Bagaimana dengan Counter Measure 10 Hal yang luar biasa tersebut ?

1.     Mengamankan Laptop, ungkapan bahwa laptop punya kaki jangan sampai terjadi pada kita dan karyawan dilingkungan kita karena laptop adalah sumber informasi yang harus dijaga, mungkin laptop yang hilang dapat dibeli kembali, tetapi informasi yang berada di dalamnya sangat penting dan tidak dapat dibeli dimanapun, informasi penting dan sensitive jangan sampai bocor karena laptop yang hilang dan dibongkar informasi di dalamnya oleh pihak lain. Untuk mengamankan cukup mudah, physical security dapat ditambahkan kabel dan gembok khusus laptop, tambahkan alarm di laptop/tas laptop dan yang paling penting adalah mengunci laptop dengan password termasuk meng-enkripsi file, document bahkan hardisk, bila laptop ini hilang maka tidak ada satupun yang dapat membukanya. Untuk mencari laptop yang hilang dapat dicari di www.icloud.com (khusus mac), untuk selain mac memerlukan bantuan aplikasi seperti www.dropbox.com, www.gmail.com, www.facebook.com dsbnya, karena pada saat login yang gagal, hanya IP address dan lokasi IP address terakhir dapat di tracking di maps.google.com.


Gambar : Pencurian laptop di Mobil sangat merugikan pemilik, karena informasi sensitive akan hilang/bocor di dalam laptop tersebut. (illustrasi).


Gambar : Norton Anti Theft, salah satu aplikasi berbasis GPS untuk tracking laptop yang hilang.

2.     Sakit hati karyawan, karyawan yang nakal dan memiliki kesalahan akan dikeluarkan dari perusahaan dengan tidak hormat, hal ini sangat membahayakan informasi sensitive yang dimilikinya, termasuk informasi yang berada di dalam tim/departemen tersebut, terlebih administrator network/database/security akan memiliki kemampuan di atas rata-rata di dalam memanage IT secara keseluruhan, bayangkan jantung operasional IT diambil alih dan dilakukan perusakan/destruktif karena sakit hati karyawan yang telah dikeluarkan dari perusahaan, dengan uang berapapun tidak akan menebus sakit psikologis seperti ini, sebaiknya seluruh password diganti dan dilakukan management password, termasuk memecah beban pekerjaan admin kepada beberapa orang dan tim, sehingga operasional IT tidak bergantung kepada 1 atau 2 orang saja, dan tentu saja siapkan form dan log file untuk menyimpan segala bentuk jejak kejahatan computer agar dapat dilaporkan kepada cybercrime unit POLRI.

3.     Hati-hati berbicara ditempat umum, pada saat kita sedang hangout diluar perusahaan, sangat rawan membicarakan masalah pekerjaan dan hal-hal informasi sensitive kepada kawan dan tim perusahaan, karena di sekeliling kita banyak mata dan telinga, bisa jadi tembok dapat mendengar dan berbicara maka informasi sensitive dapat berpindah ke pihak lain yang tidak kita inginkan, sebaiknya berhati-hati dan melihat sekitarnya, bila perlu pergi ke suatu ruangan kedap suara bila untuk membicarakan informasi sensitive. Untuk peralatan antieavesdropping banyak sekali, baik hardware maupun software, tersedia berbayar maupun gratis, tinggal bagaimana menggunakan peralatan tersebut.

4.     Penegakan Security Policy, hal yang paling sulit adalah penegakan Security Policy, ketegasan perusahaan dalam menerapkan security policy harus dilakukan top down, mulai atasan sampai bawahan (staf), ada reward & punishment bila perlu, security policy mudah untuk dibuat tetapi sangat sulit diterapkan, butuh komitmen semua pihak untuk mengikutinya, sebagai contoh : kebijakan smartphone tidak diperbolehkan masuk di perusahaan maka semua karyawan (staf), manager sampai direksipun harus taat dan patuh untuk tidak membawa smartphone tersebut ke dalam kantor.

5.     Auto update patch, melakukan patch seyogyanya dilakukan terus menerus tanpa henti, sebaiknya auto update patch, sehingga tidak ada update yang tertinggal, dan tentu saja aplikasi yang digunakan sebaiknya aplikasi resmi, bisa berbayar maupun open, tetapi aplikasi harus dapat dilakukan update untuk menutup vulnerability (kerentanan) yang terjadi, semakin vulnerable maka semakin mudah hacker untuk masuk ke dalam system, tentu akan mencoba untuk melakukan penetrasi dan mengambil file-file yang sensitive.

Kesimpulan

10 hal Kecerobohan terbesar tentang security karyawan ini merupakan survey sekilas yang dilakukan penulis kepada 10 karyawan perusahaan besar, memang ada kesenjangan antara aturan security (belum ada security policy) yang diterapkan secara jelas, ada sudah memiliki tetapi masih setengah hati untuk menegakkannya, staf diperketat tapi middle level management masih banyak yang melakukan pelanggaran, begitu juga sebaliknya. Intinya adalah untuk dapat mengurangi dan menghilangkan 10 kecerobohan security karyawan tersebut diperlukan komitmen bersama dalam penegakan security policy di dalam perusahaan tersebut. Keamanan adalah milik bersama, seperti mata rantai, satu ada vulnerable maka semuanya akan terancam keamanannya.

No comments: