Banyak pandangan sesat berputar pada pelaku UKM seperti: “Mengapa saya harus peduli dengan keamanan IT untuk bisnis saya? Saya terlalu kecil untuk menjadi target – saya tidak punya apa-apa untuk dicuri”. Jawaban cepat dan sederhana untuk pertanyaan ini adalah bahwa setiap sistem IT memiliki sesuatu yang bernilai. Kekayaan intelektual bisnis anda dapat dijual ke pesaing melalui penggunaan web server bisnis. Inilah mengapa pentingnya menerapkan dasar keamanan IT pada bisnis manapun, termasuk UKM.

Pertanyaan selanjutnya yang umum ditanyakan adalah:

“Keamanan IT terlalu mahal dan tidak memberikan pengembalian investasi (ROI), jadi apa untungnya bagi bisnis saya?”.

Pendekatan atas pertanyaan tersebut dapat datang dari sudut yang berbeda. Ini merupakan penjelasan dari para konsultan keamanan IT profesional yang membantu usaha pulih dari pelanggaran keamanan TI. Dari pengalaman mereka, biaya pemulihan dari pelanggaran adalah 100 kali lebih mahal daripada bersikap proaktif dan menerapkan beberapa kontrol dasar keamanan IT. Disini kita akan jelaskan mengenai 5 praktik dasar keamanan IT yang dapat dilakukan oleh para pelaku bisnis UKM.

Contoh Dasar Keamanan IT untuk Sektor Retail

Sebagai contoh, jika Anda menerima kartu kredit sebagai pembayaran dan bisnis Anda mengalami pelanggaran yang menghasilkan data kartu kredit dicuri. Maka kemungkinan besar Anda akan menghadapi beberapa tugas remediasi yang sangat mahal dari pihak bank yang mengakuisisi Anda berdasarkan standar DSS PCI, yang mencakup 5 tip dasar keamanan IT yang akan di jelaskan di artikel ini.

Jadi dengan ketertarikan Anda terhadap dasar keamanan TI, lima tip yang murah dan mudah untuk diterapkan ini akan secara dramatis meningkatkan keamanan IT bisnis anda.

Kelima tip dasar keamanan IT ini didasarkan pada “Strategi 4 Besar untuk Mengurangi Bisnis Menjadi Target Serangan Cyber”. Ini dapat mengurangi sedikitnya 85% teknik serangan cyber saat diterapkan sepenuhnya.

5 Dasar Keamanan IT untuk Perusahaan UKM

Keamanan IT adalah prospek yang menakutkan bagi sebagian besar usaha kecil dan menengah. Terutama karena terlihat rumit dan mahal. Bisnis UKM lebih fokus pada peribahasa tua “menghabiskan satu dolar untuk mendapatkan tiga” dan keamanan IT tidak secara langsung muncul untuk menambahkan apapun ke pendapatan. Tentu saja, cara berpikir ini berbahaya karena bila Anda mengalami pelanggaran, itu jauh lebih mahal dalam hal biaya, waktu dan reputasi merek untuk diperbaiki dan dipulihkan.

Marilah kita fokus untuk meningkatkan keamanan secara dramatis yang akan membantu meningkatkan keamanan IT anda.

Berikut adalah lima rekomendasi yang secara dramatis mengurangi peluang Anda untuk menjadi target serangan cyber jika diterapkan dengan benar. Hanya untuk rekap; Jauh lebih mahal untuk pulih dari serangan daripada bersikap proaktif dan menerapkan beberapa perubahan dasar keamanan IT di sistem Anda.

 Hapus Semua Hak Admin Lokal dari Akun Komputer Staf Anda

Staf anda bisa saja memiliki hak admin lokal untuk komputer mereka. Ini berarti mereka dapat menginstal, memperbarui, dan menghapus perangkat lunak apa pun yang mereka inginkan dari komputer kantor. Anda mungkin bahkan tidak menyadari hal ini dan berpikir itu hanya norma. Namun, karena “hak admin lokal” juga memungkinkan pengguna mematikan layanan, seperti firewall lokal dan perangkat lunak anti-virus, ini menjadikan komputer mereka sangat mudah terkena serangan.

Salah satu isu yang sangat umum adalah download software dari internet untuk membantu tugas. Seringkali, perangkat lunak itu gratis dan mudah untuk diunduh namun, dalam banyak kasus, perangkat lunak berbahaya tersebut dapat berisi perangkat lunak berbahaya dan ransomware “backdoor” yang memungkinkan peretas mencuri data dan mengendalikan komputer Anda. Software gratisan banyak yang mengandung virus. Untuk itu, hak lokal harus di hapus. Sebagai gantinya, anda dapat mengalokasikan 1 komputer yang tidak terhubung ke jaringan untuk uji coba apa yang akan di download.

Dengan menghapus hak “admin lokal” dari akun komputer staf Anda, Anda akan menghentikan serangan malware terjadi.

Ini mungkin akan merepotkan, karena setiap kali seseorang menginginkan sesuatu terinstal, mereka memerlukan orang yang memiliki hak admin lokal untuk menginstal perangkat lunak. Namun, ini adalah langkah besar untuk melindungi sistem komputer Anda dari serangan cyber.

Untuk informasi tentang cara menghapus hak admin lokal dari versi sistem operasi, cukup telusuri Google – misalnya, “bagaimana cara menghapus hak admin lokal dari Windows 7?”

 

Patch Sistem Operasi Anda

Menambal sistem operasi dan aplikasi perangkat lunak tidak sulit. Banyak petunjuk disediakan, termasuk dari akun Twitter Kemkominfo. Terutama pada serangan ransomware WannaCry dan malware petya baru terjadi.

Hal ini sangat penting karena patch sering mengatasi kerentanan keamanan yang baru ditemukan. Ada persaingan konstan antara vendor perangkat lunak dan penjahat untuk menemukan kerentanan. Jika vendor memenangkan perlombaan maka sebuah patch dapat dilepaskan untuk memperbaiki sistem sebelum penjahat dapat memanfaatkan kerentanan tersebut. Tetapi jika bisnis tidak menerapkan patch pada waktu yang tepat (biasanya maksimal sebulan setelah pelepasan patch) maka para hacker bisa memanfaatkannya.

Hacker hitam terus-menerus memindai sistem komputer di seluruh dunia untuk kerentanan agar bisa eksploitasi. Ini adalah proses otomatis sehingga Anda mungkin berpikir bahwa tidak ada yang peduli dengan bisnis Anda atau Anda terlalu kecil untuk ditemukan tapi itu bukan fokus mereka. Sistem apapun dapat bernilai, mulai dari mencuri IP menggunakan sistem Anda untuk meng-host server web karena tujuan yang tidak benar atau bahkan ilegal.

Memeriksa keamanan sistem setiap bulanan adalah yang paling banyak diadopsi oleh perusahaan. Jika tidak teratur dapat menyebabkan gangguan yang konstan terhadap proses bisnis sehari-hari. Jika ada patch keamanan dan terlalu lama diterapkan, ini dapat meningkatkan risiko pelanggaran data pada bisnis anda.

Salah satu pendekatannya adalah menambal subset komputer di tempat kerja Anda seperti sistem yang kurang penting (bukan sistem yang berisi aplikasi penggajian!). Pada akhir setiap bulan dan membiarkan sistem berjalan selama seminggu. Jika tidak ada masalah, seperti patch baru yang menyebabkan crash, maka tempelkan sistem yang tersisa. Tentu, pastikan setiap sistem dicadangkan terlebih dulu sebelum menerapkan patch utama.

 

 Gunakan Password Unik dan Kuat

Anda telah mendengar saran ini dari semua orang, bukan?. Jangan sekali-kali menggunakan kata sandi lebih dari satu kali dan pastikan “kuat”. Ini artinya kata sandinya minimal 7/8 karakter dan gunakan angka, huruf (huruf kecil dan huruf besar) dengan beberapa simbol untuk ukuran yang baik.

Misal: passWorD123%. Ini adalah contoh yang sangat umum mengapa Anda harus menggunakan kata kunci yang unik, setidaknya untuk akun terpenting Anda.

Banyak yang sudah mengetahui bahwa orang akan menggunakan kembali kata kunci yang sama. Ini sangat wajar, karena setiap orang kemungkinan akan memiliki banyak akun seperti e-mail, socialmedia, dan sebagainya.

Hacker juga tahu bahwa orang akan menggunakan kembali kata sandinya. Termasuk kata kunci yang digunakan untuk rekening bank online dan akun sensitif lainnya. Semua kebutuhan hacker adalah satu pelanggaran dari layanan online yang memiliki keamanan yang buruk untuk mencuri basis data akun pengguna yang berisi kata sandi Anda.

Peretas dapat menggunakan media sosial untuk menemukan lebih banyak detail pribadi tentang Anda, seperti tempat Anda tinggal, layanan apa yang Anda gunakan, menemukan keluhan yang Anda buat tentang bank Anda melalui Twitter dan kemudian mencoba mengakses rekening bank online dan akun sensitif lainnya.

Ini juga sangat mudah untuk bekerja keluar dari media sosial tempat Anda bekerja (misal, LinkedIn). sehingga peretas dapat mencoba mengakses sistem kerja Anda dengan menggunakan kata kunci yang dicuri. Bisnis sering kali mengizinkan akses jarak jauh ke sistem komputer mereka (seperti email dan CMS) ntuk staf mereka. Ini memungkinkan peretas dapat mencoba menggunakan kata kunci yang dicuri tanpa kehadiran fisik di kantor Anda.

Anda mungkin bertanya mengapa email menjadi target? Nah, katakanlah akun email yang telah diakses oleh si hacker adalah Linawati yang sedang bertugas menggaji. Peretas dapat membaca kotak masuk Linawati dan mencari tahu apakah bisnis tersebut menggunakan sistem penggajian pihak ketiga. Kemudian hacker akan mengirim email kepada pihak ketiga yang mengubah rekening bank untuk sebagian karyawan terhadap gaji mereka. Rincian rekening bank baru tentu saja dikelola oleh si hacker.

Tips: Gunakan Layanan Manajemen Perlindungan Kata Kunci

Menerapkan sistem perlindungan kata kunci yang dapat digunakan oleh staf Anda seperti LastPass dapat membantu menerapkan penggunaan kata kunci yang unik dan kuat untuk sistem bisnis. Ini termasuk sistem penggajian, faktur, CMS, dll. Sistem perlindungan kata kunci seringkali memungkinkan pengguna masuk ke sistem tanpa menunjukkan kata sandinya. Ini akan menjadi praktik dasar keamanan IT yang perlu diterapkan oleh perusahaan manapun. Dengan cara ini, untuk menggunakan kata kunci yang kuat dan unik tidaklah menjadi hal yang merepotkan.

Sebagai catatan terakhir, ubalah kata sandi setiap 30 hari atau kurang. Ini akan sangat membantu meningkatkan keamanan IT di perusahaan anda. Sayangnya, hacker mengetahui hal ini dan akan menggunakan software yang secara otomatis mencoba varian password. Software password cracker tersebut menggunakan algoritma pola berbasis di sekitar struktur password. Jadi, bahkan jika peretas tidak memiliki kata kunci yang sama persis yang Anda gunakan untuk rekening bank dan sistem kerja Anda, pikiran manusia dapat menyebabkan pola muncul saat memilih varian, yang akan digunakan perangkat lunak peretas untuk menebak kata sandinya.

Pikirkan Sebelum Anda Klik

Ini mungkin yang paling sulit dari lima tip untuk diimplementasikan karena mengandalkan 100% pada perilaku manusia.

Pernyataan “Think before you click” berisi kebutuhan orang untuk berpikir terlebih dahulu sebelum mengklik sebuah URL untuk mengunjungi halaman web atau lampiran email. Seringkali virus dan malware lainnya masuk ke lingkungan bisnis karena orang tidak berpikir sebelum mengklik. Misal staf penggajian mengklik lampiran email bernama “faktur” atau HR mengklik sebuah lampiran bernama “CV”. Akan tetapi lampiran tersebut ternyata merupakan malware yang dapat menyebabkan sistem anda terkunci dan meminta uang tebusan (ransomware).

Sangat sulit untuk mengetahui apakah lampiran email itu berbahaya atau URL tersebut akan membawa Anda ke halaman web dengan muatan malware. Tapi penting untuk mencoba perangkat lunak anti-virus untuk menghentikan semua ancaman seperti ransomware dari menginfeksi komputer anda.

Lantas, Apa yang Dapat Anda Lakukan?

Nah, yang pertama adalah masih menggunakan software anti virus karena masih banyak malware yang akan terdeteksi. Tapi jangan sampai 100% bergantung pada anti-virus untuk memblokir semuanya.

Selanjutnya, diskusikan dengan staf Anda bagaimana email berbahaya dapat di deteksi dengan menggunakan indikator utama seperti siapa pengirimnya, nada dan gaya konten email, kualitas bahasa Inggris, jika email itu tidak sesuai, dan sebagainya. Jika ada yang mencurigakan, secepatnya hubungi si pengirim e-mail apakah benar mereka mengirim e-mail ? atau dicoba pada 1 unit komputer khusus untuk test.

Berikut adalah contoh bagaimana ini bekerja.

Jika bisnis Anda menjual suku cadang mobil ke masyarakat setempat dan Anda menerima email berisi instruksi dalam bahasa Inggris yang buruk untuk membuka lampiran pesanan luar negeri dan alamat email pengirim terlihat aneh, mungkin taruhan yang bagus adalah bahwa lampiran email itu berbahaya.

Tidak ada panduan atau aturan yang akan menjamin Anda akan dapat mendeteksi semua email yang mengandung lampiran yang terinfeksi virus atau URL palsu. Terserah masing-masing bisnis untuk menentukan bagaimana pelanggan, prospek, penyedia layanan, dan lain-lain berkomunikasi dengan mereka.

Jika email ditulis dengan bahasa Inggris yang buruk dan mendorong Anda untuk membuka lampiran pesanan luar negeri dan bisnis Anda hanya berurusan dengan masyarakat setempat, maka Anda harus memperlakukan email itu dengan curiga.

Demikian juga, jika sebuah email masuk memberi kesan bahwa Anda mengklik URL yang ada di email dan URL-nya terlihat aneh bagi Anda, maka itu adalah email lain yang patut dicurigai.

Atau email lain menyatakan bahwa akun Bank Mandiri Anda telah dibekukan dan klik link untuk me-reset kata sandi Anda namun URL di email tidak terlihat seperti URL Bank Mandiri yang asli, maka itu adalah salah satu yang seharusnya menimbulkan kecurigaan. Ini merupakan salah satu bentuk penerobosan keamanan yang dikenal istilah phishing dan umum digunakan untuk menyerang akun nasabah perbankan.

Ubah Default Passwords Pada Perangkat Dan Perangkat Lunak

Sekitar setahun yang lalu ada hacker yang mengakses monitor bayi melalui Internet dan meneriaki bayi melalui monitor bayi?

Bagaimana ini bisa terjadi?

Ini sebenarnya sangat mudah dan sangat umum jika Anda tidak mengubah password default untuk mengakses setting pada perangkat. Sebagian besar monitor bayi yang terhubung ke Internet, atau Webcam dan kamera keamanan dapat juga di akses oleh hacker melalui Internet. Perangkat IoT dapat menjadi senjata bagi para hacker!

Perangkat biasanya dilengkapi dengan kata sandi default dengan akun “admin” untuk nama pengguna dan “admin” atau “password” untuk kata sandinya. Banyak orang tidak mengubah kata sandi default sejak pembelian. Ini berarti siapa saja dapat menggunakan kata sandi default teesbut untuk mengakses ke perangkat anda.

Tapi bagaimana mereka bisa menemukan monitor bayi, webcam, kamera keamanan di Internet?

Ini sangat mudah. Dengan menggunakan layanan gratis, yang sering disebut sebagai “Google for devices”.

Ada beberapa contoh namun situs pencarian perangkat utama adalah https://www.shodan.io/ dan tugasnya adalah mencari seluruh perangkat yang tersambung ke internet. Kemudian web tersebut memberikan informasi bermanfaat tentang masing-masing perangkat.

Jadi jika Anda ingin mencari kamera CCTV di sebuah bank Indonesia yang bisa diakses melalui Internet maka Anda bisa menggunakan Shodan untuk mencari. Ini adalah masalah sederhana untuk mengakses setiap halaman login CCTV Camera (yang disediakan oleh Shodan). Coba login dan password “admin” atau apa pun kredensial defaultnya.

Baca juga mengenai: Kerentanan sistem teknologi informasi di perbankan yang telah kami ulas sebelumnya.

Untuk bisnis, tidak hanya berhenti di sistem keamanan dan IP CCTV Camera. Ini juga mencakup firewall, router dan perangkat jaringan lainnya yang jauh lebih serius karena perangkat ini memungkinkan akses ke jaringan Anda! Http://routerpasswords.com/ adalah situs web yang sangat membantu yang mencatat semua akun dan kata sandi default untuk sebagian besar perangkat jaringan dan gratis untuk digunakan.

Cara untuk memikirkan hal ini adalah bahwa celah keamanan menyediakan ‘pintu depan‘ yang praktis untuk sistem komputer Anda bagi siapa saja yang memiliki akses Internet!

Pelajaran yang harus diingat adalah ketika Anda menginstal perangkat baru atau aplikasi perangkat lunak. Anda harus mengidentifikasi akun default yang tersedia dan mengubah kata sandi default!. Ini merupakan dasar keamanan IT yang sangat mudah namun sering terlupakan.

Ringkasan

Sampai tahap ini, berarti Anda telah serius untuk meningkatkan dasar keamanan IT di bisnis Anda dan itu adalah hal yang sangat baik!

Singkatnya, kelima tips dasar keamanan IT tersebut adalah:

 

Hapus hak admin lokal dari akun pengguna umum

Jangan berikan hak admin lokal pada pengguna umum, karena ini akan memungkinkan staf Anda memasang perangkat lunak yang mereka inginkan ,yang sering mengakibatkan perangkat lunak berbahaya diinstal juga.

Patch secara teratur

Patch setidaknya setiap bulan dan patch keamanan penting harus diinstal secepat mungkin.

 

Gunakan kata sandi yang kuat dan unik

Hindari menggunakan kembali kata kunci yang sama, terutama untuk sistem bisnis Anda, dan gunakan kata sandi yang kuat.

Pikirkan sebelum Anda mengklik

Latihlah staf Anda untuk berpikir sebelum mengklik lampiran email atau URL dalam email (atau melalui aplikasi chatting seperti WhatsApp, dan sebaainya.). Ajari staf Anda seperti apa email yang sah berdasarkan bisnis dan hubungan Anda dengan entitas eksternal. Juga, jika URL terlihat aneh maka jangan klik tanpa meneliti terlebih dahulu atau mintalah rekan kerja apa pendapat mereka tentang URL tersebut.

 

Ubah kata sandi default

Perangkat apa pun yang ditambahkan ke lingkungan Anda mungkin dilengkapi dengan akun admin default dan kata sandi default. Semua password default tersebut telah umum diketahui publik. Ubah password default SEGERA, terutama sebelum terhubung ke jaringan anda. Ini juga berlaku untuk perangkat lunak yang diinstal.

Pin It on Pinterest

Share This