Program Kesadaran Keamanan Informasi (Information Security Awareness)
Restia Moegiono
1. Pentingnya Program Security Awareness
Security awareness merupakan aktivitas yang bertujuan untuk memengaruhi perilaku di karyawan agar sadar akan keamanan informasi dan terampil untuk mengurangi risiko keamanan informasi bagi organisasi. Berikut ini adalah beberapa tujuan dari security awareness:
Memenuhi persyaratan ISO 27001-2013: Annex A.7.2.2 Information security awareness, education and training;
Mengatasi ancaman keamanan informasi (Confidentiality, Integrity, Availability - CIA) yang cepat dan selalu berubah, berupa Disclosure, Alteration, Denial - DAD;
Menjaga nilai organisasi yang selaras dengan tujuan manajemen risiko;
Mencegah serangan social engineering dengan memastikan karyawan menyadari pentingnya:
1) Melindungi informasi sensitif;
2) Apa yang harus dilakukan untuk menangani informasi dengan aman;
3) Risiko kesalahan penanganan informasi;
4) Konsekuensi organisasi dan pribadi dari kesalahan penanganan informasi sensitif.
Adapun program security awareness diperlukan untuk memastikan kegiatan security awareness tidak hanya disampaikan sebagai kegiatan tahunan, melainkan dilakukan secara berkala sebagai aktivitas untuk mempertahankan tingkat security awareness yang tinggi setiap hari. Sesuai dengan CIS Critical Security Control versi 8 pada kontrol ke-14 yaitu security awareness and skills training, program security awareness harus diterapkan pada semua tipe organisasi sebagaimana penjabaran sub kontrol berikut.
Tabel 1. Penjabaran sub kontrol dari security awareness and skills training.
| No. | Sub Kontrol | Deskripsi | IG1 | IG2 | IG3 |
|---|---|---|---|---|---|
1. | Menetapkan dan memelihara program security awareness | Membangun dan memelihara program security awareness untuk mendidik personel organisasi tentang cara berinteraksi dengan aset dan data dengan cara yang aman. Kegiatan ini dilakukan selama personel masih bekerja dan, minimal, setiap tahun. Tinjau dan perbarui konten setiap tahun, atau ketika terjadi perubahan organisasi yang signifikan. | |||
2. | Melatih personel organisasi untuk mengenali serangan social engineering |
| |||
3. | Melatih personel organisasi tentang best practice penanganan data | Melatih personel organisasi tentang cara mengidentifikasi dan menyimpan, mentransfer, mengarsipkan, dan menghancurkan data sensitif dengan benar. Hal ini juga termasuk melatih personel organisasi tentang best practice dari clear screen dan clear desktop, menerapkan screen lock, menghapus papan tulis fisik dan virtual di akhir rapat, serta menyimpan data dan aset dengan aman. | |||
4. | Melatih personel organisasi tentang penyebab kebocoran data yang tidak disengaja | Melatih personel organisasi untuk mengetahui penyebab kebocoran data yang tidak disengaja, mencakup pengiriman data sensitif yang salah, kehilangan perangkat end user portabel, atau memublikasikan data ke audiens yang tidak berhak. | |||
5. | Melatih personel organisasi tentang mengenali dan melaporkan insiden keamanan informasi | Melatih personel organisasi untuk dapat mengenali potensi insiden keamanan informasi dan dapat melaporkan insiden tersebut. | |||
6. | Melatih personel organisasi tentang cara mengidentifikasi dan melaporkan jika aset informasi kehilangan security updates | Personel organisasi untuk memahami cara memverifikasi dan melaporkan patch perangkat lunak yang kedaluwarsa atau kegagalan apa pun dalam proses dan alat otomatis. Bagian dari pelatihan ini harus mencakup memberi tahu personel TI tentang segala kegagalan dalam proses dan tools otomatis. | |||
7. | Melatih personel organisasi tentang bahaya terhubung dan mengirim data melalui jaringan yang tidak aman | Melatih personel organisasi tentang bahaya terhubung dan mengirimkan data organisasi melalui jaringan yang tidak aman. Jika organisasi memiliki personel yang bekerja secara jarak jauh, maka pelatihan harus menyertakan panduan untuk memastikan bahwa semua pengguna mengonfigurasi infrastruktur jaringan rumah dengan aman. | |||
8. | Melakukan pelatihan kesadaran dan keterampilan keamanan | Personel dengan peran khusus harus diberi pelatihan khusus, misalnya kursus system administration yang aman untuk profesional TI, pelatihan kesadaran dan pencegahan kerentanan Top 10 OWASP® untuk pengembang aplikasi web, dan pelatihan kesadaran social engineering tingkat lanjut untuk peran yang high profile. |
2. Membuat Program Security Awareness
a. Membentuk Tim Security Awareness
Tim ini bertanggung jawab atas pengembangan, penyampaian, dan pemeliharaan program security awareness. Direkomendasikan tim ini diisi dengan personel dari berbagai area organisasi, dengan tanggung jawab berbeda yang mewakili lintas bagian organisasi. Ukuran dan keanggotaan tim security awareness akan bergantung pada kebutuhan spesifik setiap organisasi dan budayanya.
b. Membuat Program Security Awareness Berbasis Peran
1) Semua Personel
Bertujuan agar mampu mengenali ancaman, menjadikan budaya keamanan informasi sebagai kebiasaan di tempat kerja dan di rumah, dan merasa nyaman ketika melaporkan kerentanan/insiden keamanan informasi.
2) Pihak Manajemen
Bertujuan agar dapat memahami kebijakan keamanan dan persyaratan keamanan organisasi, mendorong kesadaran personel, dan mengenali serta bertanggung jawab dalam menangani masalah keamanan informasi, jika terjadi.
3) Peran Khusus
Berfokus pada kewajiban personel dengan oeran khusus di organisasi untuk mengikuti prosedur aman dalam menangani informasi sensitif dan mengenali risiko jika hak akses istimewa disalahgunakan.
c. Membangun Minimum Security Awareness
Program security awareness berbasis peran memberi organisasi referensi untuk melatih personel pada tingkat yang sesuai berdasarkan fungsi pekerjaannya. Tujuannya adalah untuk membantu organisasi memberikan pelatihan yang tepat kepada orang yang tepat pada waktu yang tepat. Setidaknya terdapat 3 (tiga) jenis peran dalam organisasi, yaitu:
Menetapkan tingkat security awareness minimum untuk semua personel.
Menyampaikan konten security awareness dengan banyak cara, termasuk pelatihan formal, pelatihan berbasis komputer, email dan surat edaran, memo, pemberitahuan, buletin, poster, dan lainnya.
Menyampaikan program security awareness dengan cara yang sesuai dengan budaya keseluruhan organisasi dan memiliki dampak paling besar bagi personel.
Menjalankan program security awareness sesuai dengan tingkat risiko yang terkait pada berbagai peran yang berbeda.
d. Menentukan Konten Security Awareness
Konten security awareness dapat dipetakan ke persyaratan keamanan informasi yang berlaku, yaitu kebijakan dan prosedur di organisasi. Selain itu, dapat menggunakan referensi berikut:
National Institute of Standards and Technology (NIST) Special Publication 800-50, Building an Information Technology Security Awareness and Training Program, www.nist.gov.
ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements, www.iso.org.
ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls, www.iso.org.
e. Menentukan media penyampaian security awareness
Saluran komunikasi yang digunakan harus sesuai dengan audiens, jenis konten, dan materi konten itu sendiri.
Metode komunikasi elektronik dapat mencakup pemberitahuan email, e-learning, media sosial internal, dan lainnya. Sedangkan metode komunikasi non-elektronik dapat mencakup poster, surat internal, buletin, dan kegiatan pelatihan.
Penting untuk menargetkan notifikasi security awareness elektronik kepada audiens yang tepat untuk memastikan informasi tersebut dibaca dan dipahami.
Catatan
Acara security awareness secara langsung yang melibatkan partisipasi aktif oleh personel bisa sangat efektif.
Ukuran audiens dalam presentasi yang dipimpin instruktur perlu diperhatikan karena semakin besar kelompok, semakin besar risiko bahwa konten tidak dapat dikomunikasikan secara efektif, karena individu dapat kehilangan fokus pada materi yang disajikan jika mereka tidak merasa terlibat.
3. Mempertahankan Program Security Awareness
Setelah program security awareness berhasil dibangun, maka langkah selanjutnya adalah mempertahankan program security awareness dengan cara:
Menentukan kapan organisasi harus meninjau program security awareness setiap tahun.
Mengidentifikasi ancaman baru, perubahan atas standar kepatuhan, dan pembaruan yang diperlukan yang dapat memengaruhi program security awareness.
Melakukan penilaian berkala terhadap security awareness organisasi dan membandingkan dengan penilaian dasar (baseline).
Melakukan survei untuk mendapatkan feedback, misalnya manfaat, efektivitas, kemudahan pemahaman, kemudahan implementasi, perubahan yang direkomendasikan, aksesibilitas.
Menjaga komitmen pihak manajemen untuk mendukung dan mempromosikan program security awareness.
4. Mendokumentasikan Program Security Awareness
Dokumentasikan program security awareness yang sudah dijalankan pada tahapan:
Membuat program security awareness.
Menerapkan program security awareness.
Mempertahankan kesadaran keamanan.
5. Referensi
PCI Data Security Standard (PCI DSS) Information Supplement: Best Practices for Implementing a Security Awareness Program, October 2014.
Tentang Penulis
Restia Moegiono {CEH|CHFI|ECSA|QRMO}
Saya adalah seorang yang senang belajar dan juga senang berbagi ilmu. Karena saya ingin menjadi sebaik-baik manusia, yaitu manusia yang bermanfaat bagi orang lain. Dengan bekerja saya berharap bisa memberikan kontribusi yang positif bagi Indonesia, sehingga negara Indonesia dapat mencapai cyber resilience.
Last updated
