Mitigation Strategy #20 – User education

Muhammad Akbar Jamaludin (23213020)

Elian Daiva (23213021)

Introduction

Saat ini, teknologi informasi telah berkembang dengan sangat pesat dan digunakan di berbagai area seperti bisnis, organisasi, perusahaan, dan pemerintahan. Penggunaan teknologi informasi di berbagai area penting membuat keamanan informasi menjadi bagian penting yang tidak dapat dipisahkan dari teknologi informasi. Hal ini terkait kebutuhan akan confidentiallyintegrity, dan availability dari informasi-informasi yang berada di jaringan IT. Keamanan informasi semakin dirasa penting setelah meningkatnya pelanggaran keamanan informasi yang membuat keugian yang sangat besar pada bisnis, organisasi, perusahaan, ataupun pemerintahan yang terkena dampak.

Sebagian orang berpikiran bahwa teknologi sudah dapat menjadi solusi untuk menjaga keamanan  informasi. Seringkali perhatian utama di keamanan informasi ini banyak difokuskan pada aspek teknis saja. Akan tetapi, pada kenyataannya, teknologi saja tidak dapat menangani semua risiko kemanan informasi, justru penggunalah yang menjadi garda terdepan dalam pertahanan di keamanan informasi. Setiap organisasi yang memikirkan mitigasi risiko keamanan informasi melalui penanggulangan teknologi saja akan gagal pada akhirnya (Mitnick and Simon, 2003).

Dalam organisasi, setiap karyawan  (pengguna) harus yakin dan diajarkan untuk berkontribusi dan mematuhi aturan keamanan informasi, implementasi, dan pengendalian dalam rangka menyukseskan dan mengefektifkan manajemen keamanan informasi (Ashenden, 2008 and Williams, 2008). .

Ketika membicarakan tentang pengguna, hal yang dapat meningkatkan keamanan informasi terletak pada pelatihan dan pendidikan. Pelatihan dan pendidikan ini tidak hanya terkait keamanan teknis staff IT saja, tetapi juga terkait penumbuhan kesadaran dan kepedulian akan keamanan informasi.

Pendidikan keamanan informasi untuk pengguna dilakukan agar pengguna dapat menghindari:

  1. Memilih passphrase yang lemah
  2. Menggunakan kata sandi yang sama terus menerus pada sistem yang sama
  3. Menggunakan kata sandi yang sama di tempat yang berbeda
  4. Mengunjungi situs web yang tidak terkait dengan pekerjaan
  5. Mengekspos alamat email dan informasi pribadi lainnya
  6. Menggunakan perangkat USB dan peralatan lainnya yang diragukan keamanannya.

Mendidik pengguna tentang kepedulian keamanan informasi membantu pengguna untuk melindungi dan menangani dengan tepat informasi-informasi sensitif yang telah dipercayakan untuk ditangani pengguna tersebut. Pendidikan pengguna ini dapat mengurangi tingkat resistensi pengguna dalam pelaksanaan strategi mitigasi.

Pendidikan pengguna ini perlu disesuaikan dengan peran yang pekerjaan pengguna itu sendiri. Pendidikan khusus harus diberikn untuk pengguna dengan peran khusus, misalnya:

  1. Pengembang perangkat lunak diberikan pendidikan untuk menulis kode dengan aman
  2. Penguji perangkat lunak diberikan pendidikan terkait metode pendeteksian vulnerabilities (kerentanan) dari perangkat lunak yang diuji.
  3. Staf yang memiliki peran teknis administratif (seperti admin jaringan, admin jaringan, dll) diberikan pendidikan terkait keamanan IT dan teknik-teknik yang mungkin dilakukan pihak penyerang.
  4. Bagian bisnis diberikan pendidikan terkait pemahaman akan risiko dan bagaimana mengintegrasikan fungsi bisnis dengan risiko

Keberhasilan program pendidikan terhadap pengguna ini dapat dilihat dari penurunan frekuensi dan tingkat keparahan dari insiden yang terjadi terutama insiden-insiden yang terkait dengan pengguna secara langsung, contohnya adalah dengan adanya laporan terkait adanya email-email yang mencurigakan.

Contoh studi kasus 1 :

Detecting Socially-Engineering Emails

sumber: http://www.asd.gov.au/publications/csocprotect/socially_engineered_email.htm

Mengirimkan email socially-engineering adalah salah satu teknik yang paling umum digunakan dalam intrusi cyber yang berbahaya yang menargetkan lembaga pemerintahan Australia. Cara ini dilakukan dengan cara menipu penerima email untuk mendownload perangkat lunak berbahaya dengan mengklik link atau lampiran. Link atau lampiran ini mungkin terlihat seperti terkait dengan pekerjaan atau terkait dengan sebuah kepentingan tertentu, dan dapat muncul dari orang yang dikenal. Secara tidak sengaja mengakses file-file ini dapat menyebabkan konsekuensi yang serius., termasuk pencurian informasi pemerintah Australia.

Email-email ini ditargetkan kepada pejabat senior dan staf mereka, admin, pengguna dengan akses ke informasi sensitif, pengguna yang mempunyai akses.Pengguna tersebut harus sangat waspada dan menerapkan strategi untuk mengurangi risiko.

Email socially-engineering ini dapat sangat canggih, tetapi ada beberapa cara yang dapat dilakukan untuk membedakannya dari email yang sah. Beberapa hal yang perlu dipertimbangkan diantaranya:

–          Apakah anda benar-benar tahu siapa yang mengirim email?

  • Apakah anda mengenali pengirim dan alaman email mereka?
  • Apakah isi konten selaras dengan apa yang Anda harpkan dri pengirim?
  • Apakah pengirim meminta anda untuk membuka lampiran atau mengakses situs web?

–          Apakah anda mengharapkan email dari mereka?

Email socially-engineering ini dapat dibuat dari sumber yang terpercaya, termasuk dari dalam organisasi anda.

–          Apakah isi email relevan dengan pekerjaan anda?

Pelaku cyber yang berbahaya dapat menggunakan email penipuan yang berhubungan dengan bidang yang anda minati.

–          Apakah email meminta Anda untuk mengkses situs web atau membuka lampiran? Teknik ini biasanaya digunakan untuk menjalankan kode berbahaya pada komputer korban yang dapat membahayakan data-data di dalamnya. Lebih baik mengetikkan alamat web langsung ke browser daripada mengklik link. Lakukan penilaian dan berhati-hati saat membuka lampiran atau mengakses website.

–          Apakah alamat web relevan dengan isi email?

Selalu temptkan mouse di atas link dan memeriksa bahwa alamat link konsisten dengan link. Mengklik link bisa mengarahkan Anda ke situs web berbahaya.

–          Apakah email tersebut berasal dari alamat email pribadi? Jika isi email terlihat tidak biasa, email bisa berbahaya. Hubungi pengirim untuk memverifikasi email sebelum membuka lampiran atau mengklik link apapun.

–          Apakah anda curiga dengan penulisan email?

–          Salah ejaan,  kapitalisasi, penggunaa bahasa, atau adanya penerima tertentu dapat menunjukkan email tersebut tidak sah

–          Apakah anda menerima email yang sama dua kali? Ini bisa menjadi pertanda bahwa pelaku berusaha meningkatkan peluang Anda untuk membuka email dan melakukan tindakan sesuai permintaan pengirim.

Untuk menangani email-email yang berbahaya dapat dilakukan dengan cara menghubungi tim keamanan IT di tempat bekerja, dan jangan menghapus atau meneruskan email yang dicurigai berbahaya.

Contoh studi kasus 2 :

Studi kasus ini didapatkan dari paper berjudul “The positive outcomes of information security awareness training in companies A case study”. Studi kasus ini dilakukan pada sebuah perusahaan transportasi terbesar di Turki yang memiliki sekitar 3000 karyawan. Untuk privasi dan keamanan perusahaan, nama resmi perusahaan, nama orang dan departemen tidak dinyatakan secara eksplisit dalam penelitian ini.

Situasi awal : Masalah dan kebutuhan

Dalam beberapa tahun terakhir telah terjadi beberapa insiden keamanan informasi terutama yang berkaitan dengan kontrol akses pada sistem TI. Insiden ini diantaranya adalah pengungkapan beberapa data rahasia kepada beberapa klien atau perusahaan lain, menghapus atau mengubah beberapa ctatatn dengan menggunakan kredensial akses karyawan lain, dan pengungkapan semua gaji karyawan dengan mengakses file bagian SDM. Insiden ini terjadi akibat penyalahgunaan hak akses pengguna dengan memberikan password komputer, menggunakan password yang sangat mudah dan sederhana, meninggalkan layar komputer aktif selama jam makan siang atau setelah jam kantor.

Manajemen senior menginginkan adanya penanggulangan yang tepat dan efektif untuk mengurangi pelanggaran tersebut. Ia juga menetapkan bahwa sebagian pelangaran yang terjadi merupakan kesalahan yang tidak disengaja dan ketidaktahuan adalah maslaah utama. Salah satu perhatian dari manajemen senior adalah untuk mengembangkan standar dan kepatuhan untuk penggunaan yang tepat dari password dalam keseluruhan perusahaan. Pada saat itu, perusahaan belum menerapkan Sistem Manajemen Keamanan Informasi (SMKI). Perusahaan juga tidak memiliki kebijakaan atau prosedur keamanan resmi yang tertulis.

Program untuk menumbuhkan kepedulian terhadap keamanan informasi

Tujuan utama dari program ini adalah untuk memperluas penggunaan passord yang tepat di perusahaan dan untuk meminimalkan risiko yang relevan. Pembentukan kesadaran keamanan informasi pada level yang dapat diterima adalah strategi daar untuk mencapai tujuan ini. Level ini diputuskan bersama oeh Manajer Keamanan Informasi dan Manajer senior lainnya. Semua metode, dan program-program terkait kampanye kesadaran keamanan informasi diputuskan bersama juga.

Strategi

Langkah awal yang dilakukan adalah dengan melihat situasi saat ini, melihat insiden keamanan yang relevan yang terjadi sebelumnya beserta dampak yang ditimbulkannya, tingkat risiko saat ini (dianalisis dengan analisis risiko kualitatif sederhana). Audit tingkat kelemahan sandi dilakukan di seluruh perusahaan.

Sebuah rencana yang rinci disiapkan untuk kampanye kesadaran keamanan informasi dengan semua tugas yang diperlukan, batasan waktu, dan juga sumber daya. Beberapa penanggulangan proyek untuk mitigasi risiko dimasukan dalam rencana. Proyek pertama adalah dengan menyiapkan dan mengaktifkan akses kontrol, serta kebijakan, dan prosedur penggunaan password. Materi pelatihan terkait kepedulian terhadap keamanan informasi dan pelatihan dikerjakan secara paralel.

Audit dilakukan setelah 6 bulan proyek berjalan dan juga di akhir tahun. Pada saat yang sama, audit non-teknis dilakukan pada beberapa karyawn yang dipilih secara acak. Semua hasil audit dan hasil feedback dari pengguna dikumpulkan dan dianalisis oleh manajemen senior. Semua manajer memiliki kesempatan untuk meninjau hasil, membandingkan hasil dengan tujuan awal dan indikator kunci dari tujuan serta memutuskan apakah perlu untuk mencari perbaikan lebih lanjut atau tidak.

Seluruh strategi / tahapan dalam proyek ini disusun mirip “PDCA – Plan, Do, Check, Act” model untuk manajemen keamanan inormasi seperti yang terdapat pada ISO 27001 : 2005.

Ruang Lingkup dan Tujuan Proyek

Proyek ini akan dilakukan untuk semua karyawan di perusahaan, di mana semua karyawan ini ikut berpartisipasi daam pealtihan dan dalam emua kegiatan kampanye kesadaran keamanan informasi.

Tujuan proyek ini adalah:

  1. Durasi proyek pelatihan adalah persis 1 tahun . Setelah mendapatkan dan meninjau hasil untuk efisiensi dan efektivitas pelatihan , pelatihan lebih lanjut dan / atau kegiatan kesadaran tambahan akan direncanakan dan diimplementasikan.
  2. Dalam satu tahun , semua kebijakan keamanan informasi yang relevan dan prosedur harus disetujui dan harus ditindak secara resmi
  3. Seperti saat sesi pelatihan , semua kampanye kesadaran lain dalam rencana harus diaktifkan
  4. Pada akhir tahun pertama , setidaknya penurunan 30 % dalam password yang sangat lemah harus diperhatikan ( manajemen senior menyimpulkan bahwa password rusak dalam waktu kurang dari 15 menit dianggap sangat lemah ).
  5. Pada akhir tahun pertama , setidaknya 75 % dari karyawan dalam perusahaan harus telah dilatih .
  6. Di antara karyawan secara acak disurvei dan diaudit , setidaknya 50 % dari mereka harus menggunakan password mereka aman dan benar dan harus sesuai dengan kebijakan keamanan informasi dan prosedur .

Metode dan tools yang digunakan

Pelatihan untuk peningkatan kesadaran keamanan informasi ini dibimbing oleh tim instruktur berpengalaman dari konsultan keamanan informasi yang digunakan perusahaan. Pelatihan dilaksanakan dalam waktu 120 menit yang dibagi menjadi 2 sesi. Khusus staff IT, pelatihannya dipisahkan karena ada pembahasan aspek-aspek yang sifatnya teknis. Untuk manajer juga dberikan pelatihan  khusus oleh manajer keamanan informasi dalam ssi tunggal 60 menit. Pelatihan ini tidak hanya terkait penggunaan password, tetapi konsep lain terkait keamanan informasi yang penting bagi perusahaan.

Kampanye kesadaran keamanan informasi juga dilakukan dengan berbagai cara seperti pemasangan poster, pembuatan animasi flash, pembuatan pesan berbasis web, karikatur dan video, teka-teki yang menarik, dan kuis yang dapat diakses oleh semua karyawan.

Bagian lain dari proyek ini adalah audit keamanan informasi. Audit ini dilakukan 3 kali, yaitu sebelum inisiasi proyek, 6 bulan keberjalanan proyek, dan terakhir dilakukan 1 tahun setelah inisiasi proyek. Audit ini dilakukan paralel dengan kegiatan pelatihan dan kampanye.

Hasil Audit

Hasil utama dari proyek ini adalah:

  • 85 % dari semua karyawan kerah putih di perusahaan mengikuti pelatihan kesadaran .
  • 100 % dari personil TI menghadiri pelatihan kesadaran .
  • 85 % dari manajer perusahaan dan departemen mengikuti pelatihan .
  • Semua kebijakan keamanan informasi dan prosedur dalam lingkup proyek telah diaktifkan dan diterapkan .
  • Enam dari delapan kegiatan kesadaran dilakukan .
  • Di antara karyawan 190 yang dipilih secara acak dan diaudit , 114 dari mereka memenuhi kedua kebijakan password dan kebijakan keamanan lainnya / prosedur .

Gambar di bawah ini menunjukkan penggunaan password yang dapat dibobol dalam waktu kurang dari 1 menit :

akbar 3

Gambar di bawah ini menunjukkan penggunaan password yang dapat dibobol dalam waktu kurang dari 2 jam :

akbar 4

Gambar di bawah ini menunjukkan penggunaan password yang dapat dibobol dalam waktu kurang dari 24 jam :

akbar 5

Detailnya dapat dilihat pada tabel di bawah ini:

akbar 7

Tabel di bawah ini menunjukkan pemilihan password sebelum dilakukan pelatihan peningkatan kesadaran dalam keamanan informasi.

akbar 6

Referensi

[1] Mete Eminağaoğlu, Erdem Uçar, and Şaban Eren, The positive outcomes of information security awareness training in companies – A case study, Information Security Technical Report, Volume 14, Issue 4, November 2009, Pages 223–229,  http://dx.doi.org/10.1016/j.istr.2010.05.002

[2] http://www.asd.gov.au/publications/csocprotect/socially_engineered_email.htm (diakses tanggal 30 Oktober 2013 pukul 20.00)

[3] H.F. Tipton, M. Krause, Information security management handbook, Auerbach Publications (2007)

[4] IT Governance Institute, Information security governance: guidance for information security managers, ITGI Publishing (2008)

Leave a Reply

Your email address will not be published. Required fields are marked *