Keamanan Siber: Yang Harus Diketahui Setiap CEO dan CFO

Ringkasan bisnis plan

pengantar

Pikirkan [keamanan dunia maya] lebih sebagai keselamatan dan keamanan di jalan dan mobil. Mobil tidak benar-benar berubah dalam 30 tahun terakhir, tetapi banyak keamanan dibangun di dalamnya, dan itu tidak seksi sampai saat itu menyelamatkan hidup Anda. Anda memiliki bagian-bagian yang tersembunyi – airbag – dan bagian-bagian di sana untuk mengingatkan Anda agar aman seperti sabuk pengaman… Beberapa tentang perilaku yang baik dan sikap yang baik, beberapa tentang keamanan fisik untuk mengingatkan Anda bahwa ada risiko, dan beberapa di antaranya dipanggang untuk menyelamatkan Anda.

– Sian John, Ahli Strategi Keamanan Siber Senior di Symantec

Kami akan mengakuinya. Keamanan siber tidak seksi. Namun, di era digital saat ini, keamanan siber menjadi semakin penting bagi perusahaan besar dan perusahaan rintisan kecil. Saat ini, taruhannya lebih tinggi dari sebelumnya, karena “setiap perusahaan telah menjadi perusahaan teknologi.” Teknologi telah menjadi lebih dari sekadar suplemen untuk operasi perusahaan, dan dalam banyak kasus, aset yang hidup di jaringan mereka adalah operasi inti mereka. Hal ini diperparah oleh fakta bahwa peretasan menjadi hal biasa karena meningkatnya penggunaan seluler dan internet, serta ekosistem yang berkembang dari penjahat dunia maya.

Artikel ini menguraikan jenis-jenis penjahat dunia maya, taktik kejahatan dunia maya, dan faktor-faktor yang berkontribusi. Bagian ini juga mencakup solusi nyata yang dapat digunakan perusahaan untuk melindungi diri mereka sendiri. Solusi mencakup perlindungan teknologi dan komponen manusia. Misalnya, kepemimpinan harus mengenali keamanan siber sebagai masalah bisnis strategis dan bukan hanya “masalah TI”. Selain itu, beberapa solusi paling efektif cukup mendasar, seperti pendidikan karyawan atau otentikasi dua faktor untuk pengguna.

Apa Itu Kejahatan Dunia Maya?

Sederhananya, kejahatan dunia maya adalah kejahatan dengan semacam komputer atau aspek dunia maya di dalamnya. Ini dapat terbentuk dalam berbagai format, dan dari individu atau kelompok dengan faktor motivasi yang berbeda. Ancaman dunia maya pada dasarnya adalah risiko asimetris karena kelompok kecil individu dapat menyebabkan kerusakan dalam jumlah besar yang tidak proporsional.

Kategori penjahat dunia maya

1. Kelompok kejahatan terorganisir yang bermotivasi finansial: Sebagian besar dari kelompok-kelompok ini berlokasi di Eropa Timur

2. Aktor negara-bangsa: Orang yang bekerja secara langsung atau tidak langsung untuk pemerintah mereka untuk mencuri informasi sensitif dan mengganggu kemampuan musuh. Mereka umumnya adalah penyerang siber tercanggih, dengan 30% berasal dari China.

3. Kelompok aktivis, atau “hacktivists”: Biasanya tidak keluar untuk mencuri uang. Mereka keluar untuk mempromosikan agama, politik, atau tujuan mereka; untuk memengaruhi reputasi atau memengaruhi klien.

4. Orang dalam: Ini adalah karyawan yang “kecewa, diperas, atau bahkan terlalu membantu” yang beroperasi dari dalam perusahaan. Namun, mereka tidak boleh terlibat dalam aktivitas kejahatan dunia maya dengan sengaja; beberapa mungkin hanya mengambil daftar kontak atau dokumen desain tanpa menyadari bahaya yang dapat ditimbulkannya.

Usia rata-rata penjahat dunia maya adalah 35 tahun, dan 80% peretas kriminal berafiliasi dengan kejahatan terorganisir. Singkatnya, orang memilih ini sebagai profesi.

Taktik Kejahatan Dunia Maya

Penjahat dunia maya menggunakan metode statis dan dinamis untuk melakukan kejahatan mereka. Mari kita selidiki.

Penolakan Layanan Terdistribusi (DDoS)

Serangan DDoS mencoba mengganggu layanan jaringan. Penyerang mengirim data atau lalu lintas dalam jumlah besar melalui jaringan hingga menjadi kelebihan beban dan berhenti berfungsi. Lalu lintas masuk yang membanjiri korban berasal dari berbagai sumber, berpotensi ratusan ribu. Hal ini membuat tidak mungkin untuk menghentikan serangan dengan memblokir satu alamat IP, dan mempersulit untuk membedakan lalu lintas yang sah dari lalu lintas serangan.

Pengelabuan

Seringkali menyamar sebagai permintaan data dari pihak ketiga yang tepercaya, serangan phishing dikirim melalui email dan meminta pengguna untuk mengklik tautan dan memasukkan data pribadi mereka. Ini sering melibatkan manipulasi psikologis, menimbulkan urgensi atau ketakutan, membodohi individu yang tidak menaruh curiga agar menyerahkan informasi rahasia.

Ada beberapa faktor yang menyangkut. Pertama, email phishing telah menjadi canggih dan sering kali terlihat seperti permintaan informasi yang sah. Kedua, teknologi phishing sekarang dilisensikan ke penjahat dunia maya, termasuk layanan phishing sesuai permintaan dan kit phishing siap pakai. Mungkin yang paling mengkhawatirkan adalah fakta bahwa layanan web gelap telah memungkinkan penjahat dunia maya untuk menyempurnakan kampanye dan keterampilan mereka. Faktanya, email phishing enam kali lebih mungkin diklik daripada email pemasaran konsumen biasa.

Perangkat lunak perusak

Malware, kependekan dari "malicious software", dirancang untuk mendapatkan akses atau merusak komputer. Malware adalah istilah umum untuk sejumlah ancaman dunia maya termasuk Trojan, virus, dan worm. Ini sering diperkenalkan ke sistem melalui lampiran email, unduhan perangkat lunak, atau kerentanan sistem operasi.

Penyalahgunaan Hak Istimewa Internal

Sementara orang dalam jahat yang membocorkan informasi ke WikiLeaks menerima semua pers dan kemuliaan, skenario yang lebih umum adalah bahwa rata-rata tapi oportunistik karyawan atau pengguna akhir diam-diam mengambil data rahasia berharap untuk menguangkan suatu tempat di telepon (60% dari waktu) . Terkadang, karyawan menjadi sedikit terlalu ingin tahu dan melakukan pengintaian (17%). Informasi pribadi dan catatan medis (71%) ditargetkan untuk kejahatan keuangan, seperti pencurian identitas atau penipuan pengembalian pajak, tetapi terkadang hanya untuk gosip.

Skimmer Kartu Fisik

Serangan-serangan ini termasuk menanamkan secara fisik pada aset yang membaca data strip magnetik dari kartu pembayaran (misalnya, ATM, pompa bensin, terminal POS). Relatif cepat dan mudah untuk melakukan serangan seperti ini, dengan potensi hasil yang relatif tinggi—begitu juga dengan tipe aksi yang populer (8%).

Konsekuensi dan Biaya Keamanan Siber

Biaya untuk Perusahaan

Tiga tahun lalu, Wall Street Journal memperkirakan bahwa biaya kejahatan dunia maya di AS adalah $100 miliar. Laporan lain memperkirakan bahwa angka itu sebanyak sepuluh kali lebih tinggi dari ini. Pada tahun 2017, biaya rata-rata pelanggaran data adalah $7,35 juta, dibandingkan dengan $5,85 pada tahun 2014. Biaya mencakup segala hal mulai dari deteksi, penahanan, dan pemulihan hingga gangguan bisnis, kehilangan pendapatan, dan kerusakan peralatan. Di luar masalah moneter, pelanggaran dunia maya juga dapat merusak hal-hal tidak berwujud, seperti reputasi perusahaan atau niat baik pelanggan.

Menariknya, perusahaan dengan tingkat inovasi bisnis tertinggi seringkali mengalami serangan yang lebih mahal. Sebuah "inovasi bisnis" bisa apa saja dari akuisisi atau divestasi untuk masuk ke pasar geografis baru. Akuisisi atau divestasi perusahaan terbukti meningkatkan biaya kejahatan dunia maya sebesar 20% sementara peluncuran aplikasi baru yang signifikan meningkatkan biaya sebesar 18%.

Untuk perusahaan jasa keuangan, biaya setelah pelanggaran keamanan dapat dikaitkan dengan gangguan bisnis, kehilangan informasi, kehilangan pendapatan, dan biaya lainnya.

Cybersecurity Diucapkan untuk Industri Jasa Keuangan

Kebenaran yang disayangkan adalah bahwa, meskipun tidak ada industri yang kebal, masalah keamanan siber sangat menonjol untuk layanan keuangan. Menurut Laporan Investigasi Pelanggaran Data Verizon 2017, 24% pelanggaran memengaruhi organisasi keuangan (industri teratas), diikuti oleh layanan kesehatan dan sektor publik. Sebagai perbandingan, pada 2012, industri ini menduduki peringkat ketiga, setelah industri pertahanan dan utilitas dan energi. Di luar frekuensi, biaya untuk membiayai perusahaan adalah yang tertinggi dari semua industri, kehilangan rata-rata $16,5 juta pada tahun 2013.

Dalam layanan keuangan, jenis pelanggaran dunia maya yang paling umum melibatkan serangan DDoS. Dan, untuk semua serangan DDoS, industri keuangan paling terpukul.

Peretasan Layanan Keuangan Terkenal

Serangan terhadap Enam Bank Amerika (2012)

Pada tahun 2012, enam bank besar Amerika (Bank of America, JPMorgan Chase, Citigroup, US Bank, Wells Fargo, dan PNC) menjadi sasaran dalam gelombang serangan komputer oleh kelompok yang mengklaim hubungan Timur Tengah. Serangan tersebut menyebabkan pemadaman internet dan penundaan perbankan online, mengakibatkan pelanggan frustrasi yang tidak dapat mengakses akun mereka atau membayar tagihan secara online.

Ini adalah serangan DDoS, di mana para peretas membanjiri situs web bank hingga ditutup. Serangan itu juga memanfaatkan botnet, jaringan komputer yang terinfeksi yang melakukan penawaran para penjahat. Terkadang, botnet disebut sebagai "komputer zombie" yang mematuhi perintah "botnet utama". Sayangnya, ini bisa disewa melalui pasar gelap atau dipinjamkan oleh penjahat atau pemerintah.

JPMorgan (2014)

Pada musim panas 2014, dalam pelanggaran keamanan terbesar bank Amerika hingga saat ini, nama, alamat, nomor telepon, dan alamat email dari sekitar 83 juta akun dikompromikan oleh peretas. Ironisnya, JPMorgan menghabiskan sekitar $250 juta untuk keamanan komputer setiap tahun. Pelanggaran 2014 bukanlah hasil dari skema yang canggih. Serangan itu tidak menggunakan serangan zero day, bug perangkat lunak baru yang dijual jutaan di pasar gelap. Itu juga tidak menggunakan malware yang digunakan peretas di Korea Utara dalam serangan cyber mereka terhadap Sony. Sebaliknya, sumber masalahnya adalah dasar: Bank tidak menggunakan otentikasi dua faktor, yang merupakan lapisan keamanan tambahan saat pengguna masuk untuk mengakses data atau aplikasi. Tim keamanan JPMorgan lalai memperbarui salah satu server jaringannya dengan skema kata sandi ganda—hanya itu yang diperlukan.

Sistem Pembayaran SWIFT (2016)

Pada bulan Februari 2016, Society for Worldwide Interbank Financial Telecommunication (SWIFT), sebuah konsorsium internasional dengan lebih dari 11.000 bank yang memfasilitasi transfer lintas batas, diretas. Bank Bangladesh, pengguna di jaringan SWIFT, diretas senilai $81 juta. Hanya sebagian kecil yang dipulihkan sebelum Federal Reserve Bank of New York memblokir 30 transaksi lain yang mungkin telah mentransfer tambahan $850 juta.

Serangan-serangan ini menunjukkan bahwa jaringan pembayaran hanya dapat dipercaya sebagai tautan terlemah mereka. Banyak orang di industri tidak terkejut dengan serangan itu. Menurut Justin Clarke-Salt, salah satu pendiri Gotham Digital Science, sebuah perusahaan keamanan siber, serangan tersebut mengeksploitasi kelemahan dalam sistem: bahwa tidak setiap institusi melindungi akses ke SWIFT dengan cara yang sama. Lagi pula, “Penyerang sering menyerang orang yang lebih mudah diserang… Sejauh ini dari apa yang kami ketahui telah dilaporkan ke publik, mereka sangat menargetkan lembaga keuangan yang lebih kecil. Ini mungkin karena mereka memiliki kontrol yang kurang canggih.”

Apakah Perusahaan Kecil atau Besar Lebih Rentan?

Meskipun berita sering kali mencakup serangan terhadap perusahaan besar (Target, Yahoo, Home Depot, Sony), perusahaan kecil tidak kebal. Dalam 12 bulan terakhir, peretas telah membobol setengah dari semua bisnis kecil di Amerika Serikat, menurut Laporan Keamanan Siber SMB Negara Bagian 2016.

Di satu sisi, beberapa orang berpendapat, perusahaan kecil mungkin tidak dapat pulih dari serangan dunia maya**. **Menurut Sian John, ahli strategi keamanan siber senior di Symantec, perusahaan yang terkena masalah keamanan mengalami "pukulan reputasi dan keuangan yang besar" bagi perusahaan di tahun berikutnya, sebelum kembali normal. Dia bertanya, "Jika Anda adalah perusahaan yang lebih kecil, dapatkah Anda bertahan dari penurunan itu?"

Di sisi lain, yang lain berpendapat, perusahaan kecil diuntungkan: “Perusahaan besar lebih rentan daripada perusahaan kecil: Mereka memiliki kumpulan data besar dan ratusan orang harus memiliki akses…Jika Anda berada di ujung yang lebih kecil dari skala, menjadi cerdas tentang proses bisnis dan memahami di mana proses bisnis tersebut dapat dieksploitasi lebih mudah daripada untuk organisasi besar, ”kata Richard Horne, mitra di PricewaterhouseCoopers.

Tantangan Keamanan Siber

Faktor-Faktor yang Berkontribusi pada Meningkatnya Kejahatan Dunia Maya

Sebuah "Perusahaan" Jenis Penjahat Cyber ​​Telah Muncul

Penjahat dunia maya sekarang mengadopsi praktik terbaik perusahaan untuk meningkatkan efisiensi serangan mereka. Beberapa penjahat paling giat menjual atau melisensikan alat peretasan kepada penjahat yang kurang canggih. Misalnya, penjahat profesional telah menjual teknologi zero-day kepada penjahat di pasar terbuka, di mana mereka dengan cepat menjadi komoditas. Geng juga menawarkan ransomware sebagai layanan, yang membekukan file komputer sampai korban memenuhi tuntutan moneter, dan kemudian mengambil potongan untuk memberikan lisensi.

Sekarang ada seluruh ekosistem sumber daya untuk dimanfaatkan oleh penjahat dunia maya. “Kelompok penyerang kriminal tingkat lanjut sekarang menggemakan keahlian penyerang negara-bangsa. Mereka memiliki sumber daya yang luas dan staf teknis yang sangat terampil yang beroperasi dengan efisiensi sedemikian rupa sehingga mereka mempertahankan jam kerja normal dan bahkan mengambil cuti pada akhir pekan dan hari libur…Kami bahkan melihat penyerang kriminal tingkat rendah membuat operasi pusat panggilan untuk meningkatkan dampak mereka penipuan,” kata Kevin Haley, direktur di Symantec.

Keamanan Vendor Pihak Ketiga

Jika pihak ketiga diretas, perusahaan Anda berisiko kehilangan data bisnis atau membahayakan informasi karyawan. Misalnya, pelanggaran data Target 2013 yang membahayakan 40 juta akun pelanggan adalah hasil dari kredensial jaringan yang dicuri dari vendor pemanas dan pendingin udara pihak ketiga. Sebuah studi tahun 2013 menunjukkan bahwa 63% dari investigasi pelanggaran data tahun itu terkait dengan komponen pihak ketiga.

Peningkatan Penggunaan Teknologi Seluler oleh Pelanggan

Karena semakin banyak target online, peretasan menjadi lebih mudah dari sebelumnya. Di perbankan konsumen, penggunaan perangkat seluler dan aplikasi telah meledak. Menurut studi Bain & Company tahun 2014, seluler adalah saluran perbankan yang paling banyak digunakan di 13 dari 22 negara dan mencakup 30% dari semua interaksi secara global. Selain itu, konsumen telah mengadopsi sistem pembayaran mobile. Bagi bank yang bersaing dengan startup fintech, kenyamanan nasabah tetap penting. Mereka mungkin harus mempertimbangkan potensi kerugian penipuan dengan kerugian dari pengalaman pengguna yang lebih tidak nyaman. Beberapa institusi menggunakan otentikasi tingkat lanjut untuk menghadapi risiko keamanan tambahan ini, memungkinkan pelanggan untuk mengakses akun mereka melalui pengenalan suara dan wajah.

Proliferasi Internet of Things (IoT)

Internet of things (IoT) dikhususkan untuk gagasan bahwa beragam perangkat, termasuk peralatan, kendaraan, dan bangunan, dapat saling terhubung. Misalnya, jika alarm Anda berdering pada pukul 07.00, itu dapat secara otomatis memberi tahu pembuat kopi Anda untuk mulai menyeduh kopi untuk Anda. IoT berkisar pada komunikasi mesin-ke-mesin; itu mobile, virtual, dan menawarkan koneksi instan. Ada lebih dari satu miliar perangkat IoT yang digunakan saat ini, jumlah yang diperkirakan akan mencapai lebih dari 50 miliar pada tahun 2020. Masalahnya adalah banyak perangkat pintar yang lebih murah seringkali tidak memiliki infrastruktur keamanan yang memadai. Ketika setiap teknologi memiliki risiko tinggi, risiko tersebut tumbuh secara eksponensial ketika digabungkan.

Kesadaran Keamanan Siber vs. Kesiapan untuk Mengatasi

Terlepas dari berita utama seputar keamanan siber dan ancamannya, masih ada kesenjangan antara kesadaran perusahaan dan kesiapan mereka untuk mengatasinya. Pada tahun lalu, peretas telah melanggar setengah dari semua bisnis kecil AS. Dalam survei Ponemon Institute tahun 2013, 75% responden menunjukkan bahwa mereka tidak memiliki rencana respons insiden keamanan siber formal. 66% responden tidak yakin dengan kemampuan organisasi mereka untuk pulih dari serangan. Lebih lanjut, survei tahun 2017 dari perusahaan keamanan siber Manta menunjukkan bahwa satu dari tiga usaha kecil tidak memiliki alat untuk melindungi diri mereka sendiri.

Secara taktik, perusahaan jasa keuangan harus banyak meningkatkan dalam hal mendeteksi dan merespons serangan. Pada tahun 2013, 88% serangan yang dilakukan terhadap perusahaan FS berhasil dalam waktu kurang dari sehari. Namun, hanya 21% di antaranya yang ditemukan dalam sehari, dan pada periode pasca-penemuan, hanya 40% di antaranya yang dipulihkan dalam jangka waktu satu hari.

Solusi Keamanan Siber Memerlukan Pendekatan Multi-cabang

Tidak ada solusi “satu ukuran untuk semua” untuk keamanan siber. Namun, secara umum, solusi harus mencakup teknologi canggih dan komponen yang lebih “manusiawi” seperti pelatihan karyawan dan penentuan prioritas di ruang rapat.

Intelijen Ancaman yang Dapat Ditindaklanjuti

Kecerdasan Waktu Nyata:

Kecerdasan waktu nyata adalah alat yang ampuh untuk mencegah dan menahan serangan dunia maya. Semakin lama waktu yang dibutuhkan untuk mengidentifikasi peretasan, semakin mahal konsekuensinya. Sebuah studi tahun 2013 oleh Ponemon Institute mengungkapkan bahwa eksekutif TI percaya bahwa kurang dari 10 menit pemberitahuan sebelumnya tentang pelanggaran keamanan adalah waktu yang cukup untuk menonaktifkan ancaman. Dengan pemberitahuan kompromi hanya dalam 60 detik, biaya yang dihasilkan dapat dikurangi hingga 40%.

Menurut James Hatch, direktur layanan siber di BAE Systems, “Mendeteksi [serangan dunia maya] lebih awal adalah kuncinya… Ini bisa menjadi perbedaan antara kehilangan 10% [komputer] Anda dan 50%.” Sayangnya, pada kenyataannya, rata-rata perusahaan membutuhkan lebih dari tujuh bulan untuk menemukan serangan berbahaya.

Tindakan Pelengkap:

Perusahaan dapat mengambil beberapa langkah taktis yang lebih kecil untuk melindungi diri mereka sendiri. Ini termasuk:

• Menerapkan strategi pertahanan berlapis. Pastikan itu mencakup seluruh perusahaan Anda, semua titik akhir, perangkat seluler, aplikasi, dan data. Jika memungkinkan, gunakan enkripsi dan otentikasi dua atau tiga faktor untuk jaringan dan akses data.

• Melakukan penilaian vendor pihak ketiga atau membuat perjanjian tingkat layanan dengan pihak ketiga: Terapkan kebijakan "hak istimewa terkecil" mengenai siapa dan apa yang dapat diakses orang lain. Biasakan untuk meninjau penggunaan kredensial dengan pihak ketiga. Anda bahkan dapat melangkah lebih jauh dengan perjanjian tingkat layanan (SLA), yang secara kontraktual mewajibkan pihak ketiga untuk mematuhi kebijakan keamanan perusahaan Anda. SLA Anda harus memberi perusahaan Anda hak untuk mengaudit kepatuhan pihak ketiga.

• Back-up data secara terus menerus. Ini dapat membantu melindungi dari ransomware, yang membekukan file komputer hingga korban memenuhi tuntutan moneter. Mencadangkan data dapat menjadi sangat penting jika komputer atau server Anda terkunci karena Anda tidak perlu membayar untuk akses ke data Anda.

• Sering melakukan patch. Patch perangkat lunak adalah pembaruan kode dalam perangkat lunak yang ada. Mereka sering merupakan perbaikan sementara antara rilis penuh perangkat lunak. Patch dapat memperbaiki bug perangkat lunak, mengatasi kerentanan keamanan baru, mengatasi masalah stabilitas perangkat lunak, atau menginstal driver baru.

• Aplikasi perangkat lunak daftar putih. Daftar putih aplikasi akan mencegah komputer menginstal perangkat lunak yang tidak disetujui. Hal ini memungkinkan administrator untuk memiliki lebih banyak kontrol.

Asuransi anti-peretas

Tren yang muncul adalah asuransi anti-hacker, atau asuransi cyber. Cakupannya bervariasi antar penyedia, tetapi biasanya melindungi dari pelanggaran dan kerugian keamanan. Penanggung biasanya membatasi kapasitas mereka antara $5 juta dan $100 juta per klien. Pada Oktober 2016, hanya 29% bisnis AS yang telah membeli asuransi cyber. Namun, pasar asuransi cyber secara keseluruhan diperkirakan mencapai $20 miliar pada tahun 2025, naik dari $3,25 miliar saat ini. Penanggung optimis, memperkirakan bahwa premi akan tiga kali lipat selama beberapa tahun ke depan.

Bagi sebuah organisasi untuk menentukan berapa banyak asuransi siber yang dibutuhkannya, ia harus mengukur risiko sibernya. Itu harus memahami bagaimana aset mereka dipengaruhi oleh serangan dunia maya dan bagaimana memprioritaskannya.

Program Hadiah Bug

Ide baru lainnya di industri ini adalah sesuatu yang disebut program bug bounty, di mana sebuah organisasi membayar orang luar ("peretas ramah") untuk memberi tahu mereka tentang kelemahan keamanan. Perusahaan mulai dari Google dan Dropbox hingga AT&T dan LinkedIn telah mengadopsi praktik ini.

Jangan Lupakan Komponen Manusia

• Sebuah "masalah TI" menjadi masalah bisnis strategis. Bagi banyak CEO dan CFO, peretasan bisa membuat frustrasi karena mereka tidak memahami musuh. Menurut Richard Anderson, ketua Institute of Risk Management, "Masih banyak orang yang duduk di atas perusahaan besar yang masih menganggapnya sebagai sesuatu yang diperhatikan oleh para geeks, bukan sebagai masalah bisnis." Namun, seperti yang ditunjukkan statistik, ini tidak bisa jauh dari kebenaran.

  Buku putih Deloitte menyarankan untuk membentuk tim manajemen ancaman dunia maya yang berdedikasi dan menciptakan “budaya sadar risiko dunia maya.” Juga direkomendasikan bahwa organisasi menunjuk seorang chief information security officer (CISO). Misalnya, baik JPMorgan maupun Target tidak memiliki CISO ketika dilanggar masing-masing pada tahun 2014 dan 2013.

• Kembali ke dasar: Pelatihan karyawan. Pelanggaran data seringkali merupakan akibat dari kelemahan psikologis manusia. Oleh karena itu, penting untuk mendidik karyawan Anda tentang tanda-tanda peringatan pelanggaran keamanan, praktik yang aman (berhati-hati saat membuka lampiran email, tempat mereka berselancar), dan bagaimana menanggapi dugaan pengambilalihan.

Pikiran Perpisahan

Sanggahan umum terhadap meningkatnya perhatian terhadap bahaya keamanan siber adalah, “Lalu, apa? Apakah kita seharusnya berhenti berinovasi karena takut akan serangan?” Jawabannya adalah, tidak persis. Namun, akan sangat membantu bagi perusahaan untuk memandang keamanan siber sebagai masalah etika. Artinya, keamanan siber seharusnya tidak hanya menjadi masalah teknologi, tetapi juga moralitas. Lagi pula, apakah etis untuk menciptakan dan menjual teknologi yang membuat konsumen rentan? Dengan "pertumbuhan atau kematian" Lembah Silikon dan budaya yang terkadang picik, ini mungkin merupakan sikap yang tidak populer.

Namun, ada preseden di sektor lain. Misalnya, American Medical Association dan American Bar Association mewajibkan para profesional untuk mengikuti kode etik masing-masing. Dokter harus mengucapkan sumpah Hipokrates, salah satu dokumen mengikat tertua dalam sejarah, yang mengamanatkan bahwa dokter bersumpah untuk melindungi pasien mereka. Demikian pula, pengacara mengikuti Model Aturan Perilaku Profesional, bersumpah untuk melindungi dan menghormati klien mereka.

Kita semua sebaiknya mengingat bahwa meskipun teknologi mungkin datang dan pergi, benar dan salah tidak pernah berubah.