Mengembangkan Cyber Security tanpa strategi yang efektif sangat sulit untuk kita lakukan. Banyak institusi atau organisasi komersil mulai menyadari tingginya risiko terhadap serangan siber (cyber attacks) terhadap operasi kegiatan, keamanan database, reputasi institusi maupun pendapatan.

Sementara itu, untuk melakukan investasi pada security controls, seperti: alat pemantauan (monitoring tools), otentikasi multifaktor (multifactor authentication), kesadaran keamanan (security awareness), dan fasilitas keamanan lainnya haruslah tepat dengan beberapa kerumitan dan cost yang tinggi.

Bisnis yang benar-benar ‘Aman‘, memiliki strategi Cyber Security yang baik dengan memenuhi persyaratan keamanan masa depan. Lalu bagaimana cara dalam mengembangkan Cyber Security yang efektif dan mudah?

Pada artikel ini, DyariNotesCom mencoba merangkum setiap langkah dari proses bagaimana mengembangkan Cyber Security yang efektif. Dengan maksud membagi informasi dalam mengembangkan basis dan pondasi demi meningkatkan keamanan terhadap cyber attacks.

Tentang Cyber Security Strategy

Strategi keamanan siber atau Cyber Security Strategy secara sederhana di artikan sebagai rencana tingkat tinggi tentang bagaimana organisasi atau institusi mengamankan aset di dalamnya selama beberapa tahun ke depan. Aset itu tak lain adalah data dan informasi.

Cyber Security Strategy itu merupakan rencana standarisasi keamanan. Kita sebagai target sasaran, menyusun strategi dari serangan untuk beralih dari keamanan reaktif ke proaktif. Dan memastikan bahwa kita siap dan sigap untuk menanggapi berbagai ancaman yang relevan.

Pertahanan Dalam Beberapa Lapisan (Depth Strategy)

Strategi Cyber Security, harus mempertimbangkan penerapan pertahanan secara mendalam, seperti pada pelapisan pertahanan keamanan. Ketika di terapkan dengan benar, strategi ini meningkatkan kemampuan organisasi untuk meminimalkan dan membatasi kerusakan atau kecolongan data.

Perusahaan atau institusi dapat menerapkan kombinasi dari beberapa alat untuk melindungi perangkat mereka pada titik akhir, seperti: antivirus, anti-spam, VPN, dan firewall host.

Zero Trust Security di tambah Defense In Depth juga bisa kita gunakan dalam Cyber Security. Melapisi beberapa tolls untuk menciptakan pertahanan secara berlapis adalah langkah dan pendekatan yang tepat.

Namun, sebuah institusi harus memiliki Human Resources. Sumber daya yang tersedia kita gunakan untuk mendukung dan memantau fungsionalitas alat tersebut. Ini mungkin menimbulkan kompleksitas tambahan. Banyak dari Human Resources yang ada di Indonesia kurang perduli akan kehati-hatian.

Untuk mengatasi masalah tersebut, model Zero Trust harus di terapkan. Zero Trust itu menyiratkan bahwa jangan pernah percaya dengan sesuatu yang di lakukan oleh manusia, sisihkan waktu untuk selalu verifikasi.

Otentikasi multifaktor (Multifactor authentication) dan pembelajaran mesin (Machine Learning) adalah komponen tanpa kepercayaan. Hal tersebut dapat memberikan pengamatan bagi institusi tentang siapa dan bagaimana aset dapat kita gunakan dalam jaringan.

Mengapa Strategi Keamanan Cyber Penting?

Serangan cyber telah berkembang secara dramatis & dinamis selama bertahun-tahun. Pelaku kriminal sekarang menggunakan alat yang sangat canggih lagi kreatif untuk melakukan perbuatan buruk mereka. Hal ini mengakibatkan peningkatan upaya phishing, ransomware, injeksi SQL, serangan DoS, dan banyak lagi.

Organisasi atau institusi, tidak bisa lagi hanya mengatur firewall atau sekedar menginstal antivirus dan menganggap semua akan baik, selesai dan aman. Ketahui bahwa, jaringan yang paling terlindungi sekali pun mungkin masih memiliki kerentanan di beberapa sisi.

Strategi Keamanan Cyber merupakan tindakan yang di rancang untuk memaksimalkan keamanan dengan menggunakan pendekatan top-down untuk menetapkan serangkaian tujuan dan protokol dan itu dapat membantu kita tetap aman.

Meningkatnya Cyber Attack

Serangan siber (Cyber Attack) tumbuh dan menjadi lebih mengganggu pada beberapa bisnis dan institusi. Dan itu bisa di tempuh dalam kurun waktu semalam. Mereka menemukan beberapa metode serangan baru dan menjadikan hal tersebut menjadi lebih buruk.

Menurut data BSSN (Badan Siber dan Sandi Negara), total serangan sebesar 714.170.967 anomali trafik atau Cyber Attack di sepanjang 2022. Dengan angka serangan paling tinggi terjadi pada bulan Januari dengan angka serangan 272.962.734.

Secara teori, Cyber Attack terbagi menjadi serangan siber teknik dan serangan siber sosial. Beberapa jenis serangan siber teknik, seperti: SQL injection, brute force attack, DOS dan DDoS, man in the middle attack, corss site scripting, dan DNS (Domain Name Server) attack.

Data ASEAN Cyberthreat 2021 yang dirilis Interpol, Indonesia menempati urutan pertama di antara negara-negara ASEAN perihal serangan malware. Indonesia berada di urutan pertama dengan 1,3 juta kasus. Jumlah tersebut hampir setengah dari total keseluruhan ancaman ransomware di antara negara-negara ASEAN.

Laporan terbaru oleh NCSI (National Cyber Security Index) menunjukkan keamanan siber Indonesia berada di peringkat ke-6 di antara negara- negara ASEAN lainnya dan urutan 83 dari 160 negara secara global. Data ini juga dirilis oleh beberapa media lokal di Indonesia.

Langkah Membuat ‘Cyber Security Plan’

Tidak ada satu ukuran atau bentuk yang proven dan paling cocok untuk kita menyusun cyber security bagi kegiatan usaha atau institusi seperti pemerintahan sekalipun. Tetapi paling tidak langkah ini cukup berhasil dan dapat di pergunakan oleh institusi atau organisasi sebagai model pengembangan dalan penerapan security strategy.

Berikut ini DyariNotesCom rangkum beberapa langkah dalam menyusun strategi Cyber Security, antara lain:

1. Penilaian Risiko Keamanan (Security Risk Assessment)

Dalam menilai security risk dalam suatu institusi di lakukan untuk menilai, identifikasi masalah, dan mengubah postur keamanan. Dan itu secara keseluruhan. Penilaian risiko akan membutuhkan kolaborasi dari beberapa kelompok dan pemilik data.

Proses ini kita perlukan untuk mendapatkan komitmen manajemen dalam organisasi untuk mengalokasikan sumber daya dan menerapkan solusi keamanan yang tepat. Penilaian risiko keamanan yang komprehensif juga membantu menentukan nilai dari berbagai jenis data yang akan kita hasilkan dan di simpan di seluruh organisasi.

Tanpa menilai berbagai jenis data dalam organisasi, hampir tidak mungkin untuk memprioritaskan dan mengalokasikan sumber daya teknologi di tempat yang paling membutuhkannya. Untuk menilai risiko secara akurat, manajemen harus mengidentifikasi sumber data yang paling berharga bagi organisasi, di mana penyimpanan berada, dan kerentanan terkait.

Beberapa list yang menjadi sumber penilaian, diantaranya:

Identifikasi Aset

Manfaatkan sistem pelacakan aset kita saat ini (Repositori yang berisi semua aset, yaitu workstation, laptop dan pc, sistem operasi, server, perangkat seluler milik perusahaan).

Tentukan Klasifikasi Data (Data Classifications)

• Publik – Data apa pun yang Anda bagikan secara publik seperti konten situs web, informasi keuangan yang tersedia untuk umum, atau informasi lain apa pun yang tidak akan berdampak negatif pada bisnis karena dilanggar.
• Rahasia – Data yang tidak boleh dibagikan kepada publik. Data rahasia dapat digunakan dengan pihak ketiga atau dalam kasus terbatas yang tersedia untuk badan hukum eksternal, tetapi akan memerlukan Perjanjian Kerahasiaan / Non-Disclosure Agreement (NDA) atau perlindungan lain untuk mencegah data diakses oleh publik.
• Penggunaan Internal (Internal Use) – Mirip dengan data Rahasia, tetapi tidak boleh atau tidak dapat dibagikan dengan pihak ketiga.
• Kekayaan Intelektual – Data yang sangat penting bagi bisnis inti dan akan merusak daya saing perusahaan jika hal ini kita langgar.
• Data Compliance Restricted – Ini adalah data yang harus dikontrol dengan ketat. Akses ke, dan penyimpanan informasi ini harus sesuai dengan kerangka kerjanya seperti: CMMC, HIPAA, HITRUST, NIST.

Pemetaan Aset

Dalam memetakan aset harus dilihat beberapa poin penting, diantaranya:

• Perangkat Lunak – Memelihara repositori untuk perangkat lunak perusahaan resmi.
• Sistem – Manfaatkan Database Manajemen Pusat / Central Management Database (CMDB) untuk pemetaan aset kembali ke sistem atau pemilik aset.
• Pengguna – Katalogkan pengguna ke dalam grup melalui penetapan peran, mis., Direktori Aktif.
• Identitas – Pastikan dan lacak penugasan pengguna secara teratur ke aset/sumber daya berdasarkan peran atau fungsinya saat ini.

Identifikasi Lanskap Ancaman

Dalam identifikasi ancaman, Aset + Vendor dapat bekerja dengan tim Hukum untuk mengidentifikasi kontrak dengan pihak ketiga, termasuk daftar bisnis penyedia layanan kesehatan NDA atau BAA.

Infrastruktur eksternal vs internal juga dibutuhkan dalam upaya identifikasi semua jalur keluar dan masuk jaringan. Peta di mana lingkungan terhubung jugadiperhatikan. Pastikan diagram jaringan tersedia dan terbaru. Jika menjalankan bisnis di cloud, pastikan diagram infrastruktur juga tersedia.

Prioritaskan Risiko

Lakukan Analisis Dampak Usaha / Business Impact Analysis (BIA) untuk mengidentifikasi sistem kritis dan pemilik data. Buat dan pertahankan daftar risiko untuk mengidentifikasi sistem atau aset yang menimbulkan risiko tertinggi terhadap Kerahasiaan, Integritas, dan Ketersediaan sistem bisnis organisasi.

Kurangi Permukaan Serangan Bisnis Anda

Dalam mengurangi serangan bisnis pada Surface, lakukan beberapa hal seperti: Terapkan Segmentasi Jaringan, Lakukan Pengujian Penetrasi dan Lakukan Manajemen Kerentanan.

2. Tetapkan Sasaran Keamanan (Security Goals)

Komponen kunci dari strategi keamanan siber adalah memastikan bahwa strategi itu selaras atau sejalan dengan tujuan bisnis perusahaan. Setelah tujuan bisnis di tetapkan, penerapan program keamanan siber proaktif untuk seluruh organisasi dapat di terapkan. Bagian ini mengidentifikasi berbagai area yang dapat membantu dalam menciptakan tujuan keamanan.

Menentukan Kesiapan Keamanan (Security Maturity)

Ada beberapa hal yang harus diperhatikan, seperti:

• Lakukan Assessment pada Security Program – tinjau kembali architecture, beberapa kesalahan saat ini dan sebelumnya, pelanggaran, dan tinjau kembali kinerja sistem Identitas, Akses, dan Manajemen.
• Determinasi  Status Metrik – Tinjau kembali Perjanjian Tingkat Layanan atau Service Level Agreements (SLA) dan juga Indikator Kinerja Utama atau Key Performance Indicators (KPI).
• Benchmark Kondisi saat ini – pergunakan self-assessment tool yang mengukur kematangan dan kesiapan kemampuan cyber security organisasi secara konsisten.

Memahami Risk Appetite dalam Organisasi

Risk Appetite itu adalah sejumlah risiko, pada tingkatan manajemen/ board, di mana sebuah organisasi bersedia menerima risiko tersebut. Keluaran dari daftar risiko dan analisis dampak (impact analysis) akan membantu menentukan bagaimana dan di mana cyber security harus di prioritaskan.

Tetapkan Ekspektasi Dalam Batas Kewajaran

Yang harus kita perhatikan dalama menetapkan ekspektasi, di antaranya:

• Resources atau Sumber Daya – Apakah ada sumber daya yang ahli untuk memenuhi tujuan cyber strategic goals? Apakah ada anggaran untuk menyewa Penyedia Layanan Keamanan Terkelola atau Managed Security Services Provider (MSSP)?
• Timelines – Tetapkan milestones untuk setiap tujuan strategis dan komunikasikan status secara teratur kepada stakeholders.
• Budget atau Anggaran – Tinjau dengan cermat hasil dari cyber security risk assessment. Anggaran tergantung pada hasil penilaian dan menentukan apakah sistem tambahan harus diperoleh untuk menurunkan atau mengurangi risiko.
• Ability atau Kemampuan untuk mengeksekusi – Setelah harapan kita ketahui, tinjau keadaan sumber daya yang ada untuk menentukan kemampuan untuk mewujudkan.

3. Evaluasi Teknologi

Komponen lain sebagai kunci dari cyber security strategy adalah evaluasi teknologi.

Setelah aset kita identifikasi, langkah selanjutnya adalah menentukan apakah sistem ini memenuhi standarisasi keamanan terbaik, memahami bagaimana fungsi dan kegunaan pada jaringan, dan siapa yang mendukung teknologi tersebut dalam lingkaran bisnis.

Beberapa poin yang dapat membantu pengumpulan informasi di area penting dari Roadmap security strategy.

Apa yang Saat Ini Di gunakan?

Identifikasi keadaan aset dari Sistem Operasi saat ini. Dengan teknologi End-of-Life, terjadinya patch, perbaikan bug, dan upgrades security secara otomatis akan berhenti. Pada akhirnya, aplikasi yang sedang di operasikan pada sistem akan beresiko. Dan itu tidak bisa kita kompromikan.

Apakah Ada Sumber Daya yang Cukup Untuk Mengelola Platform Ini?

Keahlian atau skill untuk mendukung platform dan urusan teknis sangat penting. Sumber daya di perlukan untuk memperbaiki jika terjadi sesuatu pada sistem.

Jika terjadi zero-day attack atau hari di mana terjadi serangan dadakan, tim ahli harus siap dan responsif untuk menahan ancaman, serta dapat memperbaiki dan memulihkan jika terjadi beberapa kerusakan.

Apakah Terdapat Technology Bloat?

Technical bloat adalah masalah yang sering terjadi pada perusahaan besar yang memiliki sistem yang melakukan layanan duplikat.

Pada dasarnya Code di susun kurang baik oleh developers yang dapat menyebabkan ‘technical debt’ atau utang kerja. Dan pada akhirnya menambah cost untuk mengerjakan ulang dan mendokumentasikan Code dengan benar di bandingkan dengan rilis yang pertama.

Instalasi perangkat lunak yang tidak di setujui juga dapat menyebabkan masalah. Sistem ini biasanya di buat oleh tim independen tanpa keterlibatan staf pendukung. Praktek ini di sebut sebagai Shadow IT.

Bagaimana Aliran Data Masuk Dan Keluar Dari Sistem Jika Kita Menggunakan Teknologi Ini?

Dokumentasi sangat penting untuk mengidentifikasi kelemahan keamanan dalam suatu teknologi. Ini jalan terbaik yang harus kita terapkan, sebagai tindakan pengamanan selama sirkulasi, baik pada pengembangan hingga aplikasi tersebut kita gunakan.

4. Pilih Security Framework

Ada beberapa kerangka kerja atau Framework yang tersedia saat ini yang dapat membantu kita membuat dan mendukung cyber security strategy. Namun, kita tentunya tidak dapat mengamankan apa yang tidak dapat kita lihat.

Hasil penilaian risiko keamanan siber (cyber security risk), penilaian kerentanan (vulnerability assessment), dan uji penetrasi (penetration test) dapat membantu menentukan framework mana yang harus kita pilih.

Security framework akan memberikan panduan tentang kontrol yang kita butuhkan untuk terus memantau dan mengukur kerangka dan bentuk dari keamanan dalam organisasi.

Beberapa item dapat membantu dalam pemilihan Security framework.

Tentukan Kematangan Keamanan (Security Maturity) Kita Saat Ini

Manfaatkan output dari hasil yang dapat kita kumpulkan terkait dengan model maturitas.

Identifikasi Apa yang Secara Hukum Kita Harus Lindungi

Bergantung pada sebaran atau sektor organisasi kita, ada peraturan tertentu yang harus di patuhi atau di kenakan sanksi tegas, yaitu The Health Insurance Portability and Accountability Act (HIPAA), The Sarbanes-Oxley Act (SOX), Payment Card Industry Data Security Standard (PCI-DSS), atau GDPR.

Ada kerangka kerja yang membahas persyaratan peraturan khusus organisasi. Pilih kerangka kerja yang layak dan selaras dengan tujuan bisnis strategis perusahaan kita.

Setelah pemahaman tentang persyaratan bisnis kita ketahui, kemudian dapat memulai proses pemilihan framework:

• PCI-DSS untuk consumer kartu kredit;
• CMMC untuk DoD suppliers;
• NIST untuk kesehatan; dan
• CIS top 18 untuk Industri Kecil Menengah.

5. Tinjau Kebijakan Keamanan (Review Security Policies)

Tujuan dari kebijakan keamanan adalah untuk mengatasi ancaman keamanan dan menerapkan strategi keamanan cyber. Sebuah organisasi mungkin memiliki satu kebijakan keamanan menyeluruh, bersama dengan sub kebijakan khusus untuk menangani berbagai teknologi yang ada di organisasi. Untuk memastikan kebijakan keamanan mutakhir dan mengatasi ancaman yang muncul, di sarankan untuk meninjau kebijakan secara menyeluruh.

Ada beberapa langkah yang dapat membantu kita meninjau status kebijakan keamanan Anda. Seperti: Kebijakan apa yang di gunakan dan apakah kebijakan tersebut di berlakukan atau hanya tertulis?

Tinjauan berkala terhadap kebijakan harus di lakukan, untuk memastikannya selaras dengan model bisnis. Kebijakan harus dapat di tegakkan. Setiap orang dalam organisasi bertanggung jawab atas bagaimana mereka mematuhi kebijakan keamanan. Kebijakan harus tersedia untuk di lihat oleh karyawan.

Kebijakan harus di petakan ke kontrol keamanan yang memantau, mencatat, atau mencegah aktivitas yang di dokumentasikan dalam kebijakan. Latih pegawai dalam prinsip keamanan.

Kampanye kesadaran keamanan (Security awareness campaigns) adalah metode penting yang dapat di gunakan untuk menegakkan kebijakan keamanan. Meliputi:

• Pilih platform yang mengelola phishing campaigns melalui email perusahaan untuk memberikan umpan balik langsung kepada manajemen;
• Berinvestasi dalam security awareness training; dan
• Pekerjakan narasumber yang kompeten.

6. Menyusun Manajemen Risiko (Risk Management Plan)

Membuat rencana manajemen risiko adalah komponen penting dari strategi keamanan cyber. Rencana ini memberikan analisis potensi risiko yang dapat berdampak pada organisasi. Pendekatan proaktif ini memungkinkan bisnis untuk mengidentifikasi dan menganalisis risiko yang berpotensi merugikan bisnis sebelum terjadi.

Beberapa contoh kebijakan praktik terbaik yang dapat di masukkan ke dalam rencana manajemen risiko kita. Seperti:

• Kebijakan Privasi Data (Data Privacy Policy) – dengan memberikan tata kelola seputar penanganan data perusahaan yang di tangani dan di amankan dengan baik.
• Kebijakan Retensi(Retention Policy) – dengan menjelaskan bagaimana berbagai jenis data perusahaan harus di simpan atau di arsipkan, di mana, dan untuk berapa lama.
• Kebijakan Perlindungan Data (Data Protection Policy) – dengan Kebijakan ini menyatakan bagaimana bisnis menangani data pribadi karyawan, pelanggan, pemasok, dan pihak ketiga lainnya.
• Rencana Respons Insiden (Incident Response Plan) – rencana ini menguraikan tanggung jawab dan prosedur yang harus di ikuti untuk memastikan respons yang cepat, efektif, dan teratur terhadap Insiden Keamanan.

7. Terapkan Strategi Keamanan

Pada tahap strategi ini, penilaian hampir selesai bersama dengan rencana kebijakan. Sekarang saatnya untuk memprioritaskan upaya remediasi dan menugaskan tugas ke tim. Tetapkan item remediasi berdasarkan prioritas ke tim internal.

Jika organisasi kita memiliki kantor Manajemen Proyek, mintalah tim ini untuk mengelola proyek. Jika tidak ada tim proyek yang tersedia, berikan kepemimpinan dan bekerja dengan tim internal dan rencanakan upaya.

Tetapkan tujuan tenggat waktu perbaikan yang realistis. Menetapkan tenggat waktu yang terlalu agresif dan tidak realistis adalah resep bencana. Lebih baik menetapkan kerangka waktu yang masuk akal dan melebihi harapan.

8. Evaluasi Strategi Keamanan

Langkah ini dalam pembuatan strategi Cyber Security ini adalah awal dari dukungan berkelanjutan terhadap strategi keamanan. Pelaku ancaman akan terus mengeksploitasi kerentanan terlepas dari seberapa besar ukuran organisasi atau institusi.

Sangat penting bahwa strategi keamanan dapat terpantau dan teruji secara terukur untuk memastikan semua dalam keadaan baik. Beberapa poin penting yang perlu di pertimbangkan untuk mempertahankan pengawasan yang berkesinambungan dan komprehensif, seperti: Membentuk dewan pemangku kepentingan kunci di seluruh organisasi.

Pemangku kepentingan sangat penting untuk keberhasilan strategi keamanan. Kelompok ini menyediakan sumber daya dan dukungan berkelanjutan untuk proyek dan bertanggung jawab untuk memungkinkan keberhasilan.

Perlu di ingat untuk melakukan penilaian risiko tahunan. Sasaran strategi keamanan biasanya tidak terlalu sering berubah, karena harus selaras dengan tujuan bisnis, namun lanskap ancaman cukup sering berubah.

Sangat penting bahwa strategi di tinjau kembali untuk menentukan apakah ada kesenjangan dalam program. Tinjauan tahunan adalah periode tinjauan yang di terima secara umum.

Dapatkan umpan balik dari pemangku kepentingan internal dan eksternal. Ketika pemangku kepentingan memahami bahwa kita membuat keputusan strategis tentang keamanan bisnis, mereka akan menerima dan menghargai tindakan yang kita lakukan.

Informasi yang kita terima dari pemangku kepentingan internal dan eksternal akan membantu membenarkan anggaran keamanan, proses, dan strategi bisnis secara keseluruhan.

Notes

Rencana strategi cyber security dapat membantu keamanan pada setiap institusi untuk mengurangi jumlah celah keamanan, memperluas visibilitas mereka terhadap ancaman keamanan, dan membantu memenuhi persyaratan kepatuhan.

Rencana tersebut harus membantu semua pemangku kepentingan memahami peran dan tanggung jawab keamanan siber dan juga memastikan setiap orang berkontribusi untuk meningkatkan postur keamanan organisasi mereka. Adapun beberapa catatan yang kita perhatikan dalam strategi Cyber Security, seperti:

Ciptakan Budaya Keamanan yang Dinamis

Ini mungkin langkah paling penting dalam rencana keamanan Anda karena, bagaimanapun, apa gunanya memiliki strategi terbaik dan semua sumber daya yang tersedia jika tim Anda bukan bagian dari frame ini. Keamanan di mulai dari setiap pegawai. Sebagian besar pelanggaran data dan ancaman keamanan siber adalah akibat dari kesalahan atau kelalaian manusia (human eror).

Buat pelatihan tersedia untuk semua staf, atur sesi penyegaran, buat infografis dan sumber daya, dan kirim email reguler dengan pembaruan dan pengingat. Ada juga opsi yang tersedia untuk menguji tingkat keamanan staf Anda, seperti email phishing palsu yang akan memberikan peringatan jika di buka.

Meskipun Anda harus waspada terhadap peretas yang tidak menyusup ke sistem Anda, seorang anggota staf yang mencolokkan perangkat USB yang di temukan di tempat parkir juga sama berbahayanya.

Tekankan fakta bahwa keamanan adalah tanggung jawab semua orang dan bahwa kecerobohan dapat memiliki konsekuensi yang menghancurkan, tidak hanya ekonomis tetapi juga dalam hal reputasi bisnis Anda. Pelanggaran data tidak menyenangkan dan dapat mempengaruhi jutaan orang. Kesadaran adalah kuncinya.

Ini Semua Tentang Angka

Angka itu adalah biaya. Dan tidak mengherankan uang adalah faktor penentu pada saat menerapkan rencana keamanan Anda. Meskipun mengubah kata sandi atau mengenkripsi dokumen gratis, berinvestasi dalam perangkat keras yang memadai atau mengganti dukungan TI dapat memengaruhi anggaran kita secara signifikan.

Perangkat lunak keamanan komputer (misalnya anti-spyware, sistem pencegahan intrusi, atau perangkat lunak anti-gangguan) terkadang merupakan alat yang efektif yang mungkin perlu Anda pertimbangkan pada saat menyusun anggaran.

Prioritaskan: walaupun perangkat lunak antivirus atau firewall sangat penting untuk setiap organisasi yang menggunakan komputer, manajemen informasi keamanan (SIM) mungkin tidak relevan untuk bisnis ritel kecil. Bersikaplah realistis tentang apa yang kita mampu. Lagi pula, kita tidak memerlukan anggaran besar untuk memiliki rencana keamanan yang sukses. Berinvestasi dalam pengetahuan dan keterampilan juga sangat baik.

Bersikaplah Transparan

Transparansi adalah aset penting lainnya dan membantu membangun kepercayaan di antara rekan kerja dan pemangku kepentingan kita. Berkolaborasi dengan semua orang yang ada di organisasi atau institusi, dapat membantu menyusun rencana yang aman sekaligus memenuhi standar keamanan secara keseluruhan.

Dan jika yang terburuk menjadi yang terburuk dan kita menghadapi pelanggaran data atau serangan siber saat bertugas, ingatlah bahwa transparansi tidak akan pernah menjadi bumerang.

Jika kita melihat jejak dari sejarah, cara terbaik untuk menangani insiden adalah semakin transparan, semakin kita mampu mempertahankan tingkat kepercayaan. Setiap kali ada insiden, kepercayaan pada organisasi Anda turun. Tetapi organisasi yang paling transparan dan komunikatif cenderung mengurangi dampak finansial dari insiden tersebut.

Salam DyariNotesCom