Nihilisme Keamanan Menempatkan Perusahaan Anda — dan Karyawannya — dalam Risiko

Nihilisme Keamanan Menempatkan Perusahaan Anda — dan Karyawannya — dalam Risiko


Ketika berbicara tentang tetap aman dan terlindungi di dunia digital kita, terkadang rasanya menyerah adalah satu-satunya pilihan. Gagasan “nihilisme keamanan” ini bukanlah hal baru. Tim keamanan selalu menghadapi masalah yang sangat menantang saat mencoba menghadirkan pengalaman yang aman dan tepercaya di semua teknologi yang kami gunakan. Ini bisa menjadi jebakan yang sulit untuk diatasi bagi praktisi keamanan, tetapi bahkan lebih berbahaya ketika karyawan mulai merasakannya. Nihilisme keamanan menciptakan masalah baru dan memperburuk masalah yang ada yang menempatkan knowledge perusahaan — dan karyawan yang mengelola knowledge itu — dalam risiko.

Sayangnya, tim keamanan dan TI secara tidak sengaja dapat menimbulkan rasa nihilisme keamanan. Beberapa taktik keamanan perusahaan, meskipun bermaksud baik, dapat berakhir dengan mengadu tim TI dan keamanan dengan karyawan yang mereka coba lindungi. Strategi yang mengandalkan taktik menakut-nakuti, yang mempermalukan karyawan karena membuat kesalahan, atau membanjiri karyawan dengan informasi dapat menyebabkan frustrasi dan kurangnya keterlibatan. Lebih buruk lagi, mereka dapat menyebabkan orang menyerah begitu saja. Jika pelanggaran tampaknya tidak dapat dihindari dan mendapatkan keamanan yang benar sangat sulit dan memberatkan bagi karyawan, mengapa repot-repot?

Tim keamanan harus bertanggung jawab untuk menjaga keterlibatan karyawan. Saatnya mengalihkan pesan untuk memberdayakan karyawan dan menciptakan budaya di mana semua orang berada di pihak yang sama. Berikut adalah tiga langkah menuju tujuan itu.

1. Akhiri Taktik Gaya “Gotcha” yang Mempermalukan Kesalahan Karyawan
Menyalahkan atau mempermalukan karyawan yang melakukan kesalahan adalah kontraproduktif dan dapat mengarah pada nihilisme keamanan. Karyawan dapat berkecil hati dan menyerah, atau mereka tidak akan memberi tahu tim keamanan saat mereka menerima electronic mail phishing atau mengklik tautan berbahaya. Karyawan bukan bagian dari masalah; mereka adalah bagian dari solusi. Tim keamanan tidak dapat menanggapi ancaman atau pelanggaran jika mereka tidak mengetahuinya, yang berarti karyawan adalah sekutu penting dalam menjaga knowledge perusahaan.

Gaya “Gotcha” tes phising adalah contoh yang baik dari masalah ini. Salah satu tes tersebut melibatkan electronic mail semua karyawan perusahaan dengan informasi tentang bonus liburan. Orang-orang yang mengklik tautan “dihukum” dengan lebih banyak pelatihan keamanan siber. Taktik seperti ini menciptakan dinamika permusuhan alih-alih menyatukan karyawan, tim keamanan, dan tim TI di bawah tujuan bersama untuk menjaga keamanan perusahaan. Akuntabilitas harus beralih dari karyawan ke tim keamanan. Tidak masuk akal untuk mengharapkan setiap karyawan menjadi ahli keamanan saat mencoba melakukan pekerjaan mereka. Narasi perlu diubah dari menyalahkan karyawan menjadi bertanya mengapa mereka berada dalam posisi untuk membuat kesalahan sejak awal.

2. Gunakan Insentif Positif untuk Memerangi Kelelahan Keamanan
Hadiah jauh lebih efektif daripada hukuman. Insentif positif dapat membantu memerangi nihilisme keamanan, membuat karyawan tetap terlibat, dan memperkuat pola pikir kemitraan antara tim keamanan dan karyawan.

Contoh ini dapat dilihat pada sisi keamanan konsumen dan telah bekerja dengan baik. Epic Video games memberi penghargaan kepada pengguna yang mengaktifkan otentikasi dua faktor di akun mereka dengan memberi mereka emotes baru (gerakan dansa atau tindakan lain yang dapat Anda lakukan dalam sport Fortnite) dan merchandise untuk karakter mereka. Perusahaan menyadari bahwa ia memiliki tanggung jawab dan kesempatan untuk memerangi pengguna akhir kelelahan keamanan dan menambahkan kesenangan pada keamanan siber konsumen, yang seringkali negatif atau berlebihan.

Insentif positif dapat diberikan ketika karyawan menemukan electronic mail yang mencurigakan, menyelesaikan pelatihan, memperbarui kata sandi mereka, atau mengakui kesalahan seperti mengirim knowledge sensitif kepada orang yang salah. Organisasi tidak perlu menghabiskan banyak sumber daya untuk ini; pengakuan dan stiker sangat membantu.

3. Keluarkan FUD dari Pelatihan Kesadaran Keamanan
Pelatihan kesadaran keamanan telah mendapatkan reputasi membosankan dan tidak relevan. Sangat menggoda untuk menggunakan ketakutan, ketidakpastian, dan keraguan (FUD) untuk membuat karyawan memperhatikan, tetapi pendekatan yang lebih efektif melibatkan pelatihan particular person yang merayakan kemenangan keamanan.

Daripada triwulanan, pelatihan check-the-box untuk seluruh perusahaan, pelatihan harus disesuaikan dengan kelompok atau individu yang lebih kecil menggunakan skenario yang relevan dan kontekstual. Misalnya, pelatihan untuk karyawan jarak jauh baru di tim penjualan dapat menggunakan teknik phishing dunia nyata yang biasanya menargetkan jenis karyawan tersebut. Fokusnya harus pada apa yang perlu dicapai oleh seorang karyawan untuk mendeteksi dan mencegah ancaman keamanan dan mempraktikkan perilaku aman.

Pelatihan semacam ini juga harus berbagi dan merayakan pencapaian, seperti ketika seorang karyawan menandai permintaan yang mencurigakan. Menyoroti kemenangan dan hasil yang sukses dalam menghadapi risiko keamanan memperkuat keterlibatan dan perilaku dari karyawan yang sangat penting untuk kesuksesan di seluruh perusahaan.

Keamanan Tidak Harus Menakutkan
Salah satu penghalang utama untuk melindungi knowledge perusahaan adalah asosiasi keamanan dengan hukuman, ketakutan, dan kesulitan. Orang cenderung mengabaikan atau menghindari hal-hal yang sulit dan menakutkan, atau mereka hanya mengangkat bahu dan berkata, “Siapa yang peduli?” Pola pikir nihilistik ini harus diatasi, dan terserah tim keamanan untuk menangkalnya.

Cara ke depan yang lebih baik melibatkan penciptaan lingkungan di mana karyawan dapat melakukan pekerjaan mereka sambil menghindari risiko keamanan. Bawa mereka ke dalam kelompok dengan menghargai kemenangan, menghilangkan rasa malu karena kesalahan, dan menciptakan pelatihan yang menghargai karyawan sebagai hal yang penting untuk melindungi organisasi.

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts