top of page
Fiat Lux
Fiat Lux Financial | Blog

Tips Proteksi Siber untuk Perusahaan - edisi II/2019


*Bagaimana memilih antivius yang tepat untuk ponsel Android kita?

Saat ini proteksi untuk ponsel kita tidak terhindarkan lagi. Lima tahun yang lalu ketika pennguna Blackberry sudah mulai beralih ke Android, tidak terdengar adanya masalah terkait malware dibandingkan saat ini. Dengan semakin beragam fitur dan aplikasi yang tersedia saat ini, tidak dipungkiri kita masih sering fokus hanya pada perlindungan fisik ponsel kita seperti anti-benturan atau lapisan kaca anti-gores. Kita mungkin baru menyadari adanya keanehan atau masalah di ponsel setelah berhasil menginstall suatu aplikasi yang terlihat menarik untuk dicoba tanpa kecurigaan apapun

Apa yang membuat suatu antivirus dinilai baik atau buruk? Ada beberapa parameter yang mejadi dasar penilaian untuk aplikasi antivirus Android yang digunakan pihak penilai independen yang ada saat ini di dunia.

Tingkat deteksi (detection rate)

Antivirus harus dapat menangkap setiap ancaman apapun yang mencoba untuk menerobos ponsel kita. Semakin tinggi tingkat deteksi yang dinilai berarti semakin bagus antivirus tersebut. Sebagai contoh, berdasarkan hasil penilaian dari AV-TEST, Kaspersky Internet Security for Andoid dan Sophos Mobile Security dapat mendeteksi lebih dari 99% malware dan bahkan mengenali 100% dari ancaman yang ditemukan pada 4 minggu terakhir sebelum penilaian tersebut dirilis. Sebagai perbandingan, dengan tingkat deteksi rata-rata 98% untuk semua semua subyek yang dinilai, performansi Kaspersky dan Sophos dapat melampauinya.

Tingkat kesalahan deteksi (false positives)

Parameter lainnya adalah tingkat kesalahan deteksi dimana antivirus salah mendeteksi adanya suatu ancaman. Sesuai hasil penilaian AV-TEST, Kaspersky dan Sophos hanya mendapatkan 1 kesalahan deteksi per 2.385 aplikasi di Google Play dan tidak mendapatkan kesalahan deteksi apapun ketika mengakses aplikasi tersebut dari sumber resmi.

Performansi

Parameter ketiga adalah seberapa cepat antivirus bekerja dan pengaruhnya pada performansi dan sumber daya yang digunakan pada ponsel kita. Tentunya kita hanya berkenan untuk menggunakan antivirus yang andal namun ringan dan ramah terhadap ponsel kita.

Kelengkapan fitur

Solusi proteksi untuk Android tidak hanya untuk antivirus. Berikut beberapa fitur tambahan yang dapat kita pertimbangkan sesuai kebutuhan kita:

  • Antitheft — kemampuan untuk mengunci atau menghapus secara remote pada saat ponsel hilang atau tercuri.

  • Call-blocker — pengaturan untuk menolak telepon masuk

  • Message filter — pengaturan untuk menolak SMS

  • Safe browsing — agar berselancar di internet lebih aman dari situs-situs yang beresiko tinggi

  • Parental control — pengaturan pihak orangtua untuk memastikan anak-anaknya memakai ponsel sesuai batas waktu, mencegah aplikasi tertentu digunakan atau mengurangi potensi kunjugan ke situs-situs yang tidak diijinkan.

  • Backup — membuat backup data apapun yang tersimpan di ponsel.

  • Encryption — mengenkripsi data yang tersimpan atau membuat koneksi VPN

Kaspersky Internet Security for Android memiliki semua fitur tersebut kecuali Parental Control, Backup, dan Encryption. Terdapat tambahan fitur lainnya seperti antiphising dan privacy protection yang berguna untuk mencegah pihak lain memantau aktifitas penggunaan ponsel kita selama berselancar di internet tanpa ijin.

Sophos Mobile Security memiliki semua fitur kecuali Backup dan Encryption. Tambahan fitur yang disediakan adalah Privacy Advisor, Security Advisor, App Protection, dan Authenticator.

Selain AV-TEST, kita juga dapat membandingkan hasil penilaian independen lainnya yang disediakan oleh AV Comparatives dan PCMag. Apabila antivirus yang kita minati mendapat penilaian yang sangat baik dari ketiga pihak independen tersebut, tidak ada alasan untuk kita menolak menggunakannya. Namun yang menjadi pertanyaan selanjutnya adalah apakah kita perlu membeli antivirus yang berbayar dibanding versi gratisnya? Salah satu pembeda utama versi berbayar dan versi gratis adalah bagaimana proses proteksi dijalankan antivirus tersebut. Pada versi gratis, proses proteksi hanya dilakukan pada saat kita melakukan scanning secara manual setiap kita membutuhkannya termasuk setelah aplikasi baru selesai diinstal. Sedangkan pada versi berbayar, kita cukup melakukan instalasi dan proses scanning dilakukan secara otomatis tanpa perlu diaktifkan. Apabila kita bukan bertipe pelupa dan selalu disiplin, versi gratis sudah cukup menjawab kebutuhan proteksi ponsel kita.

**Bagaimana menggunakan fitur otomatis email balasan “out-of-office” dengan bijak?

Sebelum menjalani liburan atau mengambil cuti, banyak karyawan yang menggunakan fitur balasan otomatis (out-of-office reply) agar pihak pengirim email (klien atau kolega) dapat mengetahui siapa kontak yang dapat dihubungi selanjutnya. Seringkali pesan balasan yang dibuat menginformasikan durasi waktu liburan/cuti yang diambil, informasi lengkap pihak yang menggantikannya sementara, dan informasi lainnya terkait proyek yang sedang dikerjakan.

Penggunaan balasan otomatis terkesan tidak berbahaya namun tetap memiliki risiko bisnis. Apabila karyawan tersebut tidak membatasi siapa saja calon penerimanya, balasan otomatis tersebut dapat diterima oleh siapapun termasuk pihak yang ingin merugikan perusahaan. Informasi yang terkandung dalam balasan otomatis tersebut dapat menjadi celah untuk melakukan serangan.

Apabila kita sering menggunakan fitur balasan otomatis ini, mungkin kita menyadari bahwa folder spam kita cenderung meningkat dengan email sampah selama kita tidak aktif. Hal ini akibat penyebar spam telah memastikan bahwa alamat email kita memang valid dan dimiliki oleh spesifik orang tertentu. Mereka dapat dengan mudah mendapatkan nama lengkap kita, jabatan/posisi, jadwal kerja, nomer telepon, bahkan bentuk tandatangan kita hanya dengan mengandalkan informasi yang kita berikan sendiri. Dengan informasi yang semakin lengkap, pihak jahat dapat dengan mudah merencanaan serangan spear-phising yang lebih spesifik dengan target yang lebih sempit.

Silahkan membayangkan suatu skenario berikut. Anton sedang menjalani cuti tahunan di kantornya dan telah mengaktifkan fitur balasan otomatis di email. Dia membuat pesan seperti berikut, “I will be out of the office until April 27. For issues concerning the Kebayoran project, please contact Susi (susi@abc.com, +62-813-45693845). The Barito redesign is being handled by Chandra (chandra@abc.com, +62-819-89745934).”

Beberapa hari kemudian Chandra menerima sebuah email yang terlihat seperti dari direktur PT Barito Makmur. Dengan beralasan telah berdiskusi dengan Anton sebelumnya, direktur tersebut mengirimkan sebuah email dengan lampiran dokumen untuk dicek oleh Chandra. Karena tidak curiga, Chandra akan membuka lampiran email tersebut dan membuat komputer dan seluruh jaringan di kantornya terpapar risiko serangan.

Untuk mencegah masalah ini, buatlah suatu kebijakan yang dipahami oleh para karyawan seperti berikut:

  1. Tentukan karyawan mana saja yang perlu mengaktifkan fitur ini. Bila karyawan hanya menangani sedikit dan/atau spesifik pihak tertentu saja, mereka dapat memberitahukannya melalui email secara langsung atau cukup melalui telepon.

  2. Apabila tugas karyawan tersebut dialihkan seluruhnya ke satu orang tertentu, lebih baik mengaktifkan fitur auto-forward. Walaupun kurang nyaman bagi penerima, tapi cara ini lebih efektif.

  3. Wajibkan karyawan untuk membuat 2 versi balasan otomatis, satu untuk pihak internal dan lainnya untuk pihak eksternal. Instruksi yang lebih terperinci akan disampaikan hanya untuk pihak internal, sedangkan isi balasan otoatis untuk pihak eksternal dibuat seminimal mungkin.

  4. Apabila karyawan hanya berhubungan dengan pihak internal, dan sama sekali tidak berhubungan dengn pihak eksternal, tidak ada alasan untuk membuat balasan otomatis untuk pihak eksternal.

  5. Pastikan di mail server perusahaan telah terpasang proteksi seperti Kaspersky Endpoint Security for Business – Advanced edition atau Kaspersky for Office 365 untuk mengurangi potensi serangan malware atau upaya phising dari semua email yang masuk.

***Apakah perusahaan kita telah memiliki budaya proteksi siber (cybersecurity)?

Bila kita cek karyawan perusahaan kita saat ini, mungkin akan lebih sulit mencari orang yang tidak punya ponsel dibandingkan sebaliknya. Mungkin sebagian kita sudah sering diingatkan terkait kepedulian terhadap proteksi siber, baik untuk kebutuhan personal/keluarga maupun pekerjaan/usaha. Bila perusahaan kita telah menggunakan firewall di jaringan kantor dan/atau endpoint security di komputer yang kita gunakan, masih banyak anggapan karyawan yang meyakini bahwa mereka sudah aman dari masalah. Perusahaan kita baru kaget atau kembali peduli untuk meninjau ulang solusi proteksi yang mereka gunakan setelah suatu insiden yang berdampak buruk terhadap keuangan atau reputasi perusahaan

Dengan semakin berkembangnya Internet of Things (IoT) dalam kehidupan kita, sudah saatnya perusahaan memiliki suatu budaya proteksi siber. Perusahaan diharapkan tidak hanya membudayakan para karyawannya untuk bisa bertindak cepat dan tepat pada saat mendengar alarm bencana seperti kebakaran atau gempa, namun juga cerdas dalam menghadapi setiap potensi masalah yang dihadapi ketika beraktifitas harian menggunakan internet.

Kaspersky menyadari bahwa tidak semua karyawan membutuhkan materi sosialisasi yang sama dan seragam. Seringkali sosialisasi internal dari pihak bagian IT perusahaan menjadi tidak efektif dan diabaikan karena dianggap tidak sesuai dengan kebutuhan dan kenyataan yang dihadapi setiap harinya. Kaspersky membuat pendekatan yang berbeda agar tercapai hal-hal berikut ini:

  1. Materi tidak murni hanya teori dengan bahasa teknis yang membingungkan pihak awam. Materi harus sesuai dengan fungsi kerja karyawan secara spesifik.

  2. Proses pembelajaran tidak mengganggu kesibukan setiap karyawan

  3. Situasi menggunakan kondisi nyata dengan contoh-contoh yang sering dan mungkin akan dihadapi.

  4. Saran yang diberikan dapat langsung dipraktekan sehingga akan menjadi kebiasaan/budaya.

Berikut faktor materi pelatihan yang disampaikan:

Mudah diaplikasikan

Saran yang umumnya disampaikan adalah password dibuat seunik mungkin, ubah setiap minggu dan jangan tulis di kertas yang ditempel di meja. Terdengar ideal tapi kemungkinan besar tidak akan dilakukan oleh karyawan. Kita tetap akan membuat password “Password123” dan menuliskannya di sticky note. Kalaupun akhirnya mendapat teguran, kertas tersebut ditempel di balik keyboard atau dalam laci meja.

Bagaimana kalau mempertimbangkan opsi lainnya yaitu membuat password yang mengandung satu benda unik yang selalu dapat kita gunakan berulang untuk diri kita sendiri (contohnya sepeda) dan 1 kata kunci yang dapat kita mudah kenali? Sebagai contoh “balon-kring2019kring” dimana selanjutnya kita dapat menggambar sepeda dalam balon di sticky note untuk ditempelkan di kalendar meja kita saat ini.

Kompatibilitas

Pelatihan yang sesuai dengan kondisi nyata harian merupakan faktor lainnya yang sensitive. Ketika manajemen puncak perusahaan membuat suatu perubahan kebijakan (biasanya setelah terjadi insiden), mereka akan menunjuk salah saorang sebagai penanggungjawab dan berharap insiden tidak akan terulang lagi karena karyawan diyakini akan langsung mempunyai kebiasaan yang baru. Perusahaan dapat mengadakan sosialisasi yang mewajibkan semua karyawan untuk mengikuti pada sesi waktu yang tersedia. Seringkali efektifitas sosialisasi seperti itu akan selalu menjadi pertanyaan di kemudian hari karena beragam alasan dari setiap karyawan. Dalam 1-2 minggu atau 1-2 bulan mungkin karyawan masih mengingat materi yang sudah mereka dapatkan. Namun pada akhirnya seringkali karyawan akan mulai abai dan kembali ke pola kerja yang lama karena tidak adanya suatu mekanisme pengawasan yang baik.

Kaspersky Automated Security Awareness Platform dipersiapkan dengan cermat untuk mencegah materi diberikan secara berlebihan dalam waktu yang singkat. Karyawan akan melewati tahapan yang sederhana untuk setiap proses pelatihan, pengujian, dan simulasi yang cukup mudah diintegrasikan dengan rutinitas mingguan yang dijalani. Dengan peranan proses administratif yang sederhana sehingga tidak membutuhkan beban pekerjaan baru untuk pihak pengawas program pelatihan ini di perusahaan.

Relevansi dan visualisasi

Pendekatan terakhir yaitu proses pelatihan harus dibuat menarik untuk semua karyawan yang terlibat. Karyawan akan dikelompokkan berdasarkan jenis pekerjaan yang serupa sehingga memiliki gambaran yang sama dengan pengalaman yang telah dilalui dan tantangan yang akan dihadapi. Pihak yang bertanggungjawab dengan administrasi tentunya tidak relevan untuk mendapatkan materi terkait ancaman serangan di sistem perbankan yang digunakan perusahaan. Sedangkan simulasi interaktif akan memberikan banyak hal selain terkait ancaman dan penyediaan saran yang bersifat praktis. Pendekatan ini lebih tepat untuk diterapkan kepada para manajemen puncak yang memiliki risiko sangat tinggi terhadap ancaman dan serangan pihak jahat namun biasanya enggan untuk mengikuti sesi pelatihan tatap muka.

Apabila perusahaan kita juga sedang mencari bentuk lain dari aktifitas team-building untuk karyawan, Kaspersky Interactive Protection Simulation dapat menjadi salah satu materi yang dapat dipertimbangkan. Dengan keterlibatan semua lini dan jabatan karyawan, para direktur dapat memahami mengapa perusahaan membutuhkan proteksi siber dan bagaimana pengaruhnya terhadap pendapatan perusahaan dengan segala perkembangan ancaman yang terus berkembang saat ini.

fiat lux
Categories :
bottom of page