Sebagian besar diskusi keamanan menggambarkan karyawan sebagai beban. Selanjutnya, pelatihan yang diberikan memperkuat gagasan ini – dengan presentasi tahunan yang panjang, dan konsekuensi yang mengkhawatirkan yang diuraikan untuk setiap kesalahan yang mungkin dilakukan karyawan. Pendekatan ini menanamkan rasa takut, ketidakpedulian, dan hampir tidak ada perubahan perilaku. Namun, pendekatan alternatif tersedia, premisnya hanya perlu dibalik.
Mengapa pelatihan berbasis rasa takut tidak efektif?
Menurut Laporan Investigasi Pelanggaran Data VerizonSebanyak 74% dari semua pelanggaran data melibatkan unsur manusia. Baik itu serangan rekayasa sosial yang berhasil, kesalahan, atau penyalahgunaan. Orang-orang yang membagikan statistik ini sering menggunakannya untuk menunjukkan bahwa karyawan adalah kelemahan, namun, statistik tersebut sebenarnya menunjukkan bahwa perilaku manusia adalah target serangan – dan perilaku manusia juga merupakan titik di mana Anda dapat menghentikannya.
Pelatihan berbasis rasa takut melihat statistik itu sebagai sebuah penilaian. Pelatihan berbasis kesadaran melihatnya sebagai sebuah peluang. Ketika orang-orang Anda menyadari bahwa mereka adalah garda terdepan dalam deteksi – bukan mata rantai yang lemah – mereka mengubah pola pikir mereka. Mereka memperhatikan hal-hal yang sebelumnya tidak pernah mereka perhatikan. Mereka berani berbicara, daripada diam-diam berharap mereka salah.
Kontrol teknis kurang penting dibandingkan kontrol psikologis ini.
Melangkah lebih jauh dari sekadar memenuhi persyaratan tahunan.
Jika Anda mendekati pelatihan keamanan karyawan dengan pola pikir yang mengutamakan kepatuhan, maka Anda akan terjebak dalam siklus ini. Sesi dijadwalkan, tim Anda hadir (semoga saja), menonton video atau presentasi, sebuah kotak dicentang pada audit keamanan Anda, dan tidak ada yang berubah hingga waktu yang sama tahun depan, ketika Anda mengulanginya lagi. Pada saat itu, hampir semua informasi dan konteks tersebut telah lama hilang dari ingatan jangka pendek tim Anda. Terus berulang.
Ini bukan kegagalan tim, melainkan kegagalan struktural. Penurunan daya ingat manusia tidak beroperasi dalam siklus 12 bulan (akan sangat bagus jika memang demikian), banyak informasi pelatihan yang berharga itu tidak lagi ada di benak tim pada saat mereka paling membutuhkannya – yaitu saat sesuatu yang jahat menargetkan organisasi Anda.
Siklus pelatihan otomatis telah terbukti mengungguli lokakarya manual tahunan karena satu alasan: dengan selalu memprioritaskan keamanan sepanjang tahun, bukan hanya selama seminar. Pelatihan kesadaran keamanan Disampaikan melalui platform otomatis memungkinkan Anda menjangkau semua orang, melacak kemajuan, dan beradaptasi berdasarkan perilaku aktual – sehingga tim yang menerapkan praktik keamanan yang baik saat bekerja dari rumah selama bulan Maret yang penuh tekanan jauh lebih kecil kemungkinannya untuk melakukan kesalahan di bulan Desember.
Model pembelajaran tepat waktu (just-in-time learning)
Pelatihan kesadaran keamanan karyawan paling efektif jika diberikan pada waktu yang optimal. Misalnya, ketika seorang karyawan mengklik tautan simulasi phishing, responsnya seharusnya bukan hanya melaporkan mereka dan selesai begitu saja. Sebaliknya, itu adalah kesempatan yang tepat untuk segera memberikan modul pembelajaran singkat dan terfokus kepada mereka.
Pendekatan ini, yang juga dikenal sebagai pembelajaran tepat waktu (just-in-time learning), melaporkan tingkat retensi yang lebih baik daripada pelatihan yang dijadwalkan sebelumnya. Pelajaran tersebut terkait langsung dengan apa yang terjadi. Karyawan tidak merasa dihukum, tetapi justru mempelajari apa yang harus dihindari tepat pada saat informasi ini paling dibutuhkan.
Membangun budaya pelaporan tanpa menyalahkan.
Tak dapat dipungkiri bahwa bahkan karyawan yang paling terlatih pun akan melakukan kesalahan dari waktu ke waktu. Perbedaan antara insiden kecil dan pelanggaran besar seringkali terletak pada seberapa cepat kesalahan tersebut dilaporkan. Jika karyawan takut akan pembalasan, mereka akan tetap diam. Pelanggaran akan semakin membesar. Dan pada saat seseorang akhirnya menyadarinya, pemulihan akan jauh lebih mahal.
Itulah mengapa proses pelaporan yang terdefinisi dengan baik dan tidak bersifat menghukum adalah salah satu hal terpenting yang dapat diterapkan oleh sebuah organisasi. Hal ini menunjukkan kepada karyawan bahwa menemukan dan melaporkan kesalahan segera adalah respons yang benar – bukan sesuatu yang harus ditutupi. Hal ini juga menciptakan peringatan yang dapat digunakan oleh staf keamanan Anda sebelum pelanggaran menjadi di luar kendali.
Dan ini benar-benar menunjukkan risiko ancaman dari dalam (insider threat) dengan cara yang jarang kita bicarakan. Sebagian besar insiden dari dalam bukanlah tindakan jahat. Itu adalah kesalahan – seseorang memasang perangkat lunak yang tidak sah, tertipu oleh serangan yang mengelabui pihak lain, salah mengkonfigurasi server cloud. Budaya keamanan dalam pelaporan akan mencegah hal-hal tersebut sebelum meningkat. Budaya saling menyalahkan akan membiarkan mereka bersembunyi.
Membuat keamanan terasa seperti keterampilan profesional.
Terkadang gamifikasi dianggap sebagai hal sepele, tetapi sebenarnya efektif karena mengubah konteksnya: pelatihan ini bukan sesuatu yang diberikan kepada karyawan, melainkan sesuatu yang dapat mereka kuasai. Papan peringkat, pengakuan, dan lencana penyelesaian memicu motivasi kompetitif dan pencapaian yang sama yang mendorong orang untuk mengejar sertifikasi profesional.
Ketika karyawan mulai menandai kemajuan kesadaran keamanan mereka atau memperhatikan kinerja tim mereka yang kuat dalam simulasi phishing, keamanan bukan lagi masalah seorang ahli komputer, melainkan identitas seorang profesional. Dan di situlah budaya keamanan siber yang sesungguhnya terbentuk – bukan dari poster, alas mouse, atau mainan empuk, juga bukan dari stiker peringatan di buku panduan karyawan.
Penerapan MFA, pengurangan shadow IT, dan bahkan aspek budaya keamanan fisik seperti penindakan yang tepat untuk tindakan membuntuti atau menumpang, akan meningkat ketika karyawan menerima gagasan bahwa ini adalah hal mendasar yang harus dipenuhi oleh seorang profesional yang baik. Anda tidak mendorong kepatuhan; Anda mendorong kompetensi.
Organisasi yang paling baik merespons insiden bukanlah organisasi yang memiliki teknologi keamanan paling luar biasa dan layak mendapatkan penghargaan X-Prize. Organisasi tersebut adalah organisasi yang karyawannya termotivasi untuk kompeten secara profesional dan, ketika melihat sesuatu yang aneh, segera mencari bantuan.