Menurut Bard, Security Awareness atau Kesadaran Keamanan adalah aspek fundamental dalam keamanan informasi dan siber. Alasannya adalah:
Bertanya Kepada Bard Gemini
1. Faktor Manusia: Kesalahan manusia sering menjadi akar permasalahan dalam pelanggaran keamanan. Kurangnya kesadaran akan praktik keamanan yang baik dapat membuat individu rentan terhadap serangan siber.
2. Pertahanan Terdepan: Kesadaran keamanan bertindak sebagai garis pertahanan pertama melawan berbagai ancaman. Dengan pengetahuan dan kewaspadaan yang memadai, individu dapat mengidentifikasi dan mencegah potensi bahaya sebelum terjadi.
3. Budaya Keamanan: Membangun budaya keamanan yang kuat dalam organisasi membutuhkan partisipasi aktif dari seluruh anggota. Kesadaran keamanan menjadi fondasi untuk membangun budaya tersebut.
4. Manfaat: Meningkatkan kesadaran keamanan membawa banyak manfaat, seperti:
- Mengurangi risiko pelanggaran data dan serangan siber
- Meningkatkan kepatuhan terhadap peraturan dan standar keamanan
- Memperkuat kepercayaan dan kredibilitas organisasi
- Meningkatkan produktivitas dan efisiensi
Tantangan:
Meningkatkan kesadaran keamanan tidak selalu mudah. Beberapa tantangan yang dihadapi:
- Ketidakpedulian: Kurangnya pemahaman tentang pentingnya keamanan siber dapat menyebabkan apatisme.
- Kesulitan memahami: Materi keamanan siber seringkali dianggap rumit dan teknis.
- Kebiasaan: Mengubah kebiasaan lama dan beradaptasi dengan praktik keamanan baru membutuhkan waktu dan usaha.
Solusi:
- Pendidikan dan pelatihan: Memberikan edukasi dan pelatihan yang mudah dipahami dan relevan dengan kebutuhan individu.
- Komunikasi yang efektif: Menyebarkan informasi keamanan melalui berbagai platform dan media secara konsisten.
- Simulasi dan latihan: Memberikan kesempatan untuk mempraktikkan pengetahuan dan keterampilan keamanan dalam situasi yang realistis.
- Pemberian insentif: Memberikan penghargaan dan pengakuan atas partisipasi dan peningkatan kesadaran keamanan.
Kesimpulan:
Security Awareness adalah komponen vital dalam menjaga keamanan informasi dan siber. Dengan meningkatkan kesadaran dan membangun budaya keamanan yang kuat, organisasi dan individu dapat melindungi diri dari berbagai ancaman siber.
Kita Cari Berdasarkan NIST 800-50
Building an Information Technology Security Awareness and Training Program
4.1.1 Selecting Awareness
- Password usage and management – including creation, frequency of changes, and protection
- Protection from viruses, worms, Trojan horses, and other malicious code – scanning, updating definitions
- Policy – implications of noncompliance
- Unknown e-mail/attachments
- Web usage – allowed versus prohibited; monitoring of user activity
- Spam
- Data backup and storage – centralized or decentralized approach
- Social engineering
- Incident response – contact whom? “What do I do?”
- Shoulder surfing
- Changes in system environment – increases in risks to systems and data (e.g., water, fire, dust or dirt, physical access)
- Inventory and property transfer – identify responsible organization and user responsibilities (e.g., media sanitization)
Kita Cari Berdasarkan NIST 800-50 (Cont.)
- Personal use and gain issues – systems at work and home
- Handheld device security issues – address both physical and wireless security issues
- Use of encryption and the transmission of sensitive/confidential information over the Internet – address agency policy, procedures, and technical contact for assistance
- Laptop security while on travel – address both physical and information security issues
- Personally owned systems and software at work – state whether allowed or not (e.g., copyrights)
- Timely application of system patches – part of configuration management
- Software license restriction issues – address when copies are allowed and not allowed
- Supported/allowed software on organization systems – part of configuration management
- Access control issues – address least privilege and separation of duties
- Individual accountability – explain what this means in the organization
- Use of acknowledgement statements – passwords, access to systems and data, personal use and gain
- Visitor control and physical access to spaces – discuss applicable physical security policy and procedures, e.g., challenge strangers, report unusual activity
- Desktop security – discuss use of screensavers, restricting visitors’ view of information on screen (preventing/limiting “shoulder surfing”), battery backup devices, allowed access to systems
- Protect information subject to confidentiality concerns – in systems, archived, on backup media, in hardcopy form, and until destroyed
- E-mail list etiquette – attached files and other rules.
Selanjutnya Kita Cek ISO 27001
The purpose of the ISO 27001 Security Awareness Training Policy is to ensure all employees receive appropriate awareness education and training in all aspects of information security. It ensures that they get regular updates in policies and procedures that are relevant to their role.
7.3 Kesadaran
Person yang bekerja di bawah kontrol organisasi harus memiliki kesadaran akan:
- a) kebijakan keamanan informasi;
- b) kontribusi mereka terhadap efektivitas sistem manajemen keamanan informasi, termasuk keuntungan dari peningkatan kinerja keamanan informasi; dan
- c) implikasi dari ketidaksesuaian dengan persyaratan sistem manajemen keamanan informasi.
6.3
Kesadaran, pendidikan dan pelatihan keamanan informasi
Kontrol
Personel organisasi dan pihak terkait yang relevan harus menerima kesadaran keamanan informasi yang tepat, pendidikan dan pelatihan dan pembaruan reguler dari kebijakan keamanan informasi organisasi, kebijakan dan prosedur khusus topik, yang relevan untuk fungsi pekerjaannya.
8.7
Proteksi terhadap perangkat perusak
Kontrol
Proteksi terhadap perangkat perusak harus diimplementasikan dan didukung oleh kesadaran pengguna yang tepat.
