Jika melihat semakin canggihnya dunia cybercrime, maka ternyata banyak kelemahan yang dihasilkan justru dari orang dalam atau dari pegawai perusahaan yang diserang. John N. Stewart, kepala keamanan dari Cisco telah melakukan survey melalui InsightExpress, sebuah perusahan peneliti pasar yang bertugas mengamati keamanan data bisnis dari kelakuan pegawai dan lingkungan kerja. Survey dilakukan pada 1000 pegawai dan 1000 professional IT dari berbagai industri dan perusahaan yang tersebar di 10 negara, yakni Amerika, Inggris, Perancis, Jerman, Italia, Jepang, Cina, India, Australia, dan Brazil, yang di masing-masing negara memiliki perbedaan social budaya, ekonomi, dan adopsi Internet. Berikut hasil pengamatan InsightExpress dari gaya hidup pegawai dan professional IT yang berpotensi merugikan perusahaan :
Mengubah setting keamanan di computer. Satu dari lima pegawai telah mengubah setting keamanan komputernya untuk melewati aturan yang ada sehingga mereka dapat mengakses website yang tidak memiliki otorisasi. Hal ini sering terjadi di Cina dan India, dan terdapat lebih dari 52 persen mereka menjawab, hanya penasaran ingin mengakses website tersebut.
Menggunakan aplikasi yang tidak memiliki otoritas. Tujuh dari sepuluh professional IT mengatakan bahwa pegawainya telah menggunakan aplikasi unauthorized dan website, seperti download music dan shopping online, yang mengakibatkan lebih dari separuh data perusahaan hilang dalam insiden tersebut. Hal ini biasa terjadi di Amerika sekitar 74 persen dan India, 79 persen.
Menggunakan jaringan atau fasilitas yang tidak memiliki otoritas. Dua dari lima orang pegawai IT telah mengakses jaringan atau fasilitas yang tidak sah. Hal ini biasa terjadi di Cina, dan sekitar 14 persen insiden terjadi di bulan ini.
Berbagi informasi rahasia corporate. Satu dari empat pegawai atau sekitar 24% mengakui bahwa mereka secara verbal telah berbagi informasi sensitive dengan non pegawai, seperti teman, keluarga ataupun orang asing. Ketika diselidiki, mereka beralasan, membutuhkan teman berbagi ide, dan mereka kebanyakan tidak menyadari bahwa semua itu adalah salah.
Berbagi device dari perusahaan. Sekitar 44 persen para pegawai IT telah berbagi alat kerja dengan non pegawai, tanpa seizin pihak perusahaan.
Tidak bisa membedakan perangkat kerja dan personal. Dua dari tiga pegawai mengakui telah menggunakan computer kantor setiap harinya untuk keperluan personal, termasuk download musik, shopping online, banking, blogging, chatting, dan sebagainya. Lebih dari 60 persen mereka telah menggunakan email personal untuk melayani pelanggan dan kolega.
Menggunakan device yang tidak terproteksi. Setidaknya satu dari tiga pegawai yang meninggalkan computer mereka log on dan unlocked, ketika mereka tidak berada di meja mereka. Komputer yang ditinggal terutama tanpa log off, dapat membuat insiden pencurian data, akses ke data corporate, dan data personal.
Pencurian login dan password. Satu dari lima pegawai IT menyimpan data login dan password di computer mereka dan menulisnya, kemudian meninggalkannya di meja mereka, ataupun di cabinet yang tidak terkunci, atau ditempel di depan computer. Sekitar 28 persen terjadi di Cina, dan karena ini mereka kehilangan data login dan password untuk account financial personal.
Mengajak orang asing atau teman masuk ke wilayah kantor. Lebih dari satu dari lima professional IT di Jerman atau sekitar 22 persen telah mempersilakan masuk non pegawai di lingkungan kantor. Sekitar 18 persen, orang yang bukan pegawai tersebut telah diperbolehkan untuk memakai fasilitas corporate di balik pegawai.
Kehilangan media penyimpanan portable. Sekitar 22 persen atau satu dari empat pegawai telah membawa data corporate di media portable, di luar kantor. Hal ini 41 persen biasa terjadi di Cina, dan telah menimbulkan resiko untuk kehilangan atau pencurian data perusahaan.
John N. Stewart merekomendasikan beberapa step untuk mencegah hilangnya data :
* Kenali data, atur data dengan baik, ketahui bagaimana data disimpan, diakses dan digunakan
* Jagalah data, baik corporate atau personal seperti menjaga uang
* Bagi pemilik perusahaan, beritahu pegawai bagaimana harus melindungi data sama halnya demi mendapatkan uang
* Membuat kebijakan global secara objektif agar pegawai merasa nyaman ketika harus melaporkan insiden sehingga masalah dapat terselesaikan lebih cepat
* Membangun kewaspadaan keamanan, edukasi, dan training, juga teamwork untuk proteksi data perusahaan.
(h_n)
Tidak ada komentar:
Posting Komentar