Kesalahan Umum Penyebab Pelanggaran Data

Kebocoran data merupakan masalah paling besar dihadapi oleh banyak perusahaan di masa sekarang, penyebab utamanya bukan hanya dari faktor eksternal tetapi juga didominasi oleh faktor internal

Jakarta, Kejahatan siber punya banyak motif dibaliknya, seperti pencurian data menggunakan removable media sampai dengan perampasan laptop yang didorong oleh persaingan bisnis, perseteruan hukum atau kejahatan terorganisir. Kelalaian manusia juga bisa menjadi faktor lainnya, yang seringkali terjadi di kehidupan sehari-hari dan bisa menimpa siapa saja, seperti karyawan bahkan pemilik usaha. Hasil riset Forrester Research 2017 menemukan sekitar 54% dari pelanggaran data disebabkan oleh orang dalam..

Ada beragam cara yang biasa dilakukan karyawan yang berakibat fatal sehingga secara tidak sengaja melanggar keamanan perusahaan, sebagai berikut:

Salah Penanganan Informasi Perusahaan Karyawan seringkali salah menangani informasi perusahaa, seperti mengirim email dokumen ke mesin pribadi di rumah dapat dianggap sebagai pelanggaran, dan orang melakukannya masih terus melakukannya. Contoh lain: Seorang tenaga penjualan sedang berada di jalan dan meminta asisten administrasi di kantor pelanggan untuk mencetak dokumen untuknya. Dokumen itu bisa menjadi informasi penting bagi tenaga penjual dan pelanggannya, namun kemudian data ini akan berada di dalam komputer asisten tersebut dan seringkali itu tidak dihapus, dan itu termasuk pelanggaran.

Flash Disk

Terkadang orang menyimpan beberapa flash disk, dan mereka tidak selalu tahu data apa saja yang ada di dalamnya. Banyak orang membawa data pekerjaan dalam flash disk yang seharusnya ditinggalkan saat orang tersebut meninggalkan perusahaan. Kemudian ada kemungkinan data di flash disk bisa terinfeksi dan kemudian menyebarkan virus ke jaringan perusahaan setelah dimasukkan ke komputer kerja. Banyak organisasi saat ini tidak membiarkan karyawan menyalin file ke flash disk. Jika pengguna tidak yakin dengan kebijakan perusahaan, mereka perlu tahu siapa yang bisa ditanya apakah ada cara digital untuk menyimpan file.

Kecerobohan pada Perangkat dengan Alamat IP

Hampir semua hal di kantor dari printer hingga kamera keamanan memiliki alamat IP di dalamnya. Khusus untuk kantor kecil, sangat penting untuk mengganti kata sandi default pada perangkat ini. Kegagalan atau lalai dalam melakukannya dapat membuka celah dalam sistem perusahaan untuk serangan DdoS. Pada bulan Oktober 2017 sempat heboh dengan hadirnya KRACK yang mampu menerobos perangkat WiFi dengan keamanan WPA2, hal ini menuntut semua perangkat pendukung pada jaringan selalu terupdate, seperti Wifi Router untuk menghindari ancaman digital yang mungkin terjadi.

Riskannya BYOD

Kebijakan BYOD atau Bring Your Own Device sudah sangat lazim dijalankan di banyak perusahaan, namun kebijakan tersebut ternyata menghadirkan risiko keamanan. Misalnya, orang sering tidak mengambil tindakan pencegahan saat mereka membuang perangkat BYOD lama. Banyak yang menjual perangkat lama mereka tanpa meluangkan waktu untuk menghapus data-data yang ada di dalamnya, selain itu BYOD yang secara langsung dapat mengakses data perusahaan dapat mengakibatkan kebocoran data semakin mudah.

Pengawasan Hak Akses

Orang mungkin pernah bekerja di beberapa perusahaan selama lima atau 10 tahun, yang masing-masing dilengkapi dengan hak akses yang berbeda. Selain itu, seringkali Administrator dan pengguna tidak saling berkomunikasi tentang hak akses dan tingkat privilege yang dimiliki pengguna. yang berarti pengguna mungkin masih memiliki hak akses yang tidak sesuai dengan posisinya saat ini. Ini menjadi celah lain yang bisa dimasuki oleh insider yang berasal dari mantan karyawan.

Bahaya Penyelinap

Perusahaan benar-benar perlu melatih pengguna untuk menyadari hal berikut, Terkadang orang akan memasuki lokasi perusahaan dan orang kedua akan datang, dengan mengatakan bahwa mereka melupakan kartu akses mereka, dan membiarkannya masuk. Kecuali orang yang memiliki kartu akses tahu dengan pasti bahwa orang yang yang ingin masuk tersebut adalah pegawai lain atau mitra bisnis, selain dari itu mereka seharusnya tidak membiarkan mereka masuk. Karena motifnya belum tentu baik bahkan mungkin punya niat buruk  yang berbahaya bagi perusahaan.

Penanganan Data Tidak Benar

Hal ini dapat terjadi misalnya di klinik atau kantor tempat karyawan menangani data medis sensitif dan informasi pembayaran. Dengan tidak adanya staf TI dipekerjakan, informasi dapat ditinggalkan di komputer, mesin faks dan mesin pemindai yang hanya memiliki sedikit atau tanpa proteksi kata sandi dan terbuka terhadap pencurian. Ini juga biasa terjadi di kantor-kantor ketika karyawan secara tidak sengaja mengirimkan email penting ke mitra bisnis yang seharusnya tidak menerima. Tentu saja, ini juga bisa terjadi secara tidak sengaja di departemen HR pada perusahaan besar dan menengah, jadi ini adalah sesuatu yang harus diperhatikan. Meninggalkan komputer tetap terbuka saat tidak digunakan juga dapat mengakibatkan pencurian data dapat dilakukan dengan mudah.

Blogging/Update Status tentang Urusan Kerja

Blogging telah menjadi begitu umum sehingga orang mungkin mulai ngeblog tentang proyek perusahaan dan tidak menyadari bahwa mereka telah membahayakan perusahaan. Jika karyawan memutuskan untuk blog, mereka harus menjauh dari topik pekerjaan apapun, tetap berpegang pada hobi seperti musik, seni atau olahraga yang mereka ikuti atau ingini. Meskipun dokumen sensitif tidak dibagi, blogger dapat memberikan strategi perusahaan yang merupakan rahasia internal perusahaan. Jadi karyawan harus diberi tahu bahwa begitu blog mereka ada di web, itu ada di ranah publik dan dapat menimbulkan konsekuensi yang tak terduga bagi bisnis.

Laptop di Bandara

Saat melewati jalur keamanan di bandara, Anda harus melepas sepatu, ikat pinggang, mengosongkan kantong. Apa pun yang Anda lakukan, jangan lupa bawa laptop bersama Anda. Apalagi jika itu merupakan laptop kerja yang memiliki informasi perusahaan yang sensitif dan berpotensi terekspos.

Menilik berbagai kasus yang diakibatkan oleh kesalahan karyawan, Technical Consultant PT Prosperita – ESET Indonesia, Yudhi Kukuh mengemukakan: “Kelalaian dan ketidaksengajaan tentu saja bukan sebuah masalah yang bisa diketahui kapan datangnya, karena hal ini dapat terjadi kapan saja dan di mana saja. Kebijakan pengamanan data yang diterapkan perusahaan harus tepat guna selain juga harus mengimplementasikan solusi keamanan yang komprehensif untuk menutup semua celah yang disebabkan oleh faktor-faktor yang sulit diprediksi.”

Untuk mengatasi kasus-kasus yang disebabkan insider atau orang dalam, Yudhi memberikan beberapa tips untuk membantu perusahaan untuk memperkecil risiko bahkan menuntaskan masalah kebocoran data yang disebabkan kecerobohan maupun ketidaksengajaan, sebagai berikut:

·    Data terlalu sering disalahgunakan oleh karyawan, tip yang baik bagi perusahaan adalah meluangkan waktu untuk mengklasifikasi data mereka. Manajemen akses harus ditinjau secara berkala. Jika orang memahami apa yang dianggap sensitif oleh perusahaan, tidak mungkin akan ada salah penanganan.

·         Menggunakan sistem Antimalware yang ringan dan mumpuni untuk pertahanan terhadap serangan yang mungkin muncul akibat kelalaian sudah menjadi keharusan setiap perusahaan. Untuk mempermudah pengoperasian, pemilihan sentralisasi management berbasis cloud atau on premise menggunakan sistem operasi Linux dapat menjadi pilihan utama.

·         Perusahaan bisa menggunakan Data Loss Prevention (solusi DLP) untuk menghindari terjadinya kebocoran data, melalui pembatasan akses terhadap semua data penting dan berharga, di mana hanya pengguna tertentu yang bisa mengakses data tertentu. Termasuk membatasi perangkat yang bisa mengakses komputer perusahaan, seperti printer, flashdisk, harddisk eksternal dan lainnya. Seperti halnya dalam menentukan data mana yang bisa disalin dan tidak. Teknologi seperti yang digunakan oleh Safetica bisa menjadi acuan sebuah sistem DLP.

·         Enkripsi merupakan teknologi yang mengubah pesan (informasi) sehingga tidak dapat dilihat tanpa menggunakan kunci pembuka rahasia. Solusi ini untuk melindungi data yang dicuri atau hilang karena berbagai macam alasan. Enkripsi bisa disesuaikan dengan kebutuhan, seperti enkripsi file untuk mengamankan file, enkripsi folder melindungi folder dan sub folder lalu yang terakhir enkripsi full disk yang mengenkripsi semua data dalam harddisk. Memilih enkripsi dengan teknologi berstandar Military Grade FIPS 140-2 Validated 256 bit AES encryption seperti yang dimiliki oleh ESET Endpoint Encryption menjadi penting. Dengan teknologi ini tidak ada lagi kekuatiran kebocoran data akibat laptop hilang.

·         Backup data merupakan bagian paling penting bagi kelangsungan sebuah perusahaan, orang dalam hanya salah satu masalah dari sekian banyak masalah yang mengancam keberadaan data, dengan memiliki cadangan data yang selalu diperbarui secara berkala dan rutin, stabilitas kelancaran usaha dapat dipertahankan meskipun dalam skenario terburuk seperti data dicuri dan dihilangkan oleh insider atau akibat serangan ransomware.