Ini Saran Pakar untuk Uji Seberapa Besar Keamanan Siber Sebuah Organisasi
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Untuk mengetahui seberapa besar kesadaran karyawan terhadap keamanan siber, sebuah organisasi bisa melakukan uji coba. Misal, menjebak para stafnya dengan sebuah pesan penipuan.
Pakar teknologi informasi, Onno W. Purbo, mengatakan, uji coba tersebut bisa berbentuk serangan email phishing atau taktik rekayasa sosial (social engineering).
Menurut Onno, sejumlah organisasi/perusahaan melakukan hal itu, yang disebutnya sebagai penetration testing, bahkan sekelas Bank Indonesia.
“BI melakukan pentest, melakukan social engineering ke diri sendiri. Yang kena banyak banget tuh, ditipu,” ujar Onno dalam sedaring yang diselenggarakan Badan Kepegawaian Negara (BKN) bertajuk “Webinar Security Awareness”, Senin (19 Oktober 2020).
Dari hasil pengujian itu, organisasi bisa melihat seberapa tinggi tingkat kesadaran keamanan siber para staf. Selanjutnya, Onno menyarankan agar divisi yang dinilai rawan mendapatkan perhatian lebih.
Menurut Onno, kesadaran terhadap keamanan siber tidak cukup hanya dengan aturan. “Soalnya kalau pakai aturan doang tidak mempan,” ujarnya.
Memiliki pemahaman dan sadar akan keamanan siber, kata dia, sangat penting karena ancaman siber, seperti malware atau ransomware berpotensi menargetkan pekerja jarak jauh (daring).
Selain pentest ke internal organisasi, kata Onno, praktik lain adalah edukasi tentang keamanan berinternet bagi seluruh karyawan. Edukasi di sini bisa berisi pengetahuan dasar keamanan informasi dan kemudian dibuat sebuah ujian dengan soal-soal tentang keamanan informasi.
“Dari nilainya bisa tahu, pegawai sudah cukup paham tentang keamanan informasi. Kalau pakai webinar seperti ini, agak susah ngukur-nya, pada ngerti belum sih,” ujar dia
“Internet safety itu langkah pertama, fondasinya di situ.”
Lebih lanjut, Onno mengatakan perlu juga melakukan audit TI sesuai standar ISO 31000 dan 27001 untuk keamanan informasi. Selanjutnya, merancang desain jaringannya mengikuti infrastruktur informasi kritis.
“Logikanya gini, semua server dipisah; misal web server dan database server, pisah server-nya. Kemudian, komunikasi antar server diproteksi pakai firewall. Jangan pakai jalur yang sama semuanya,” kata Onno menjelaskan bagaimana desain infrastruktur informasi kritis yang dimaksud.
Jika tidak melakukan pemisahan, kata Onno, saat terjadi insiden siber, seluruhnya akan terkena dampak. Namun, ia mengingatkan kembali bahwa keamanan siber tetap berpatokan pada karyawan sebagai titik lemah.[]
Redaktur: Andi Nugroho
