Insiden phishing sedang meningkat. Sebuah laporan dari IBM menunjukkan bahwa phishing adalah vektor serangan paling populer pada tahun 2021, mengakibatkan satu dari lima karyawan menjadi korban teknik peretasan phishing.
Perlunya Pelatihan Kesadaran Keamanan
Meskipun solusi teknis melindungi dari ancaman phishing, tidak ada solusi yang 100% efektif. Akibatnya, perusahaan tidak punya pilihan selain melibatkan karyawan mereka dalam memerangi peretas. Di sinilah pelatihan kesadaran keamanan berperan.
Kesadaran keamanan pelatihan memberi perusahaan kepercayaan diri bahwa karyawan mereka akan melakukan respons yang tepat ketika mereka menemukan pesan phishing di kotak masuk mereka.
Seperti kata pepatah, “pengetahuan adalah kekuatan,” tetapi efektivitas pengetahuan sangat bergantung pada bagaimana pengetahuan itu disampaikan. Dalam hal serangan phishing, simulasi adalah salah satu bentuk pelatihan yang paling efektif karena peristiwa dalam simulasi pelatihan secara langsung meniru bagaimana seorang karyawan akan bereaksi jika terjadi serangan yang sebenarnya. Karena karyawan tidak tahu apakah email mencurigakan di kotak masuk mereka adalah simulasi atau ancaman nyata, pelatihan menjadi lebih berharga.
Simulasi Phishing: Apa saja yang termasuk dalam pelatihan?
Sangat penting untuk merencanakan, menerapkan, dan mengevaluasi program pelatihan kesadaran dunia maya untuk memastikannya benar-benar mengubah perilaku karyawan. Namun, agar upaya ini berhasil, itu harus melibatkan lebih dari sekadar mengirim email kepada karyawan. Praktik utama yang perlu dipertimbangkan meliputi:
- Simulasi phishing kehidupan nyata.
- Pembelajaran adaptif – respons langsung dan perlindungan dari serangan siber yang sebenarnya.
- Pelatihan yang dipersonalisasi berdasarkan faktor-faktor seperti departemen, masa kerja, dan tingkat pengalaman dunia maya.
- Memberdayakan dan melengkapi karyawan dengan pola pikir keamanan siber yang selalu aktif.
- Kampanye berbasis data
Karena karyawan tidak mengenali perbedaan antara simulasi phishing dan serangan cyber nyata, penting untuk diingat bahwa simulasi phishing membangkitkan emosi dan reaksi yang berbeda, jadi pelatihan kesadaran harus dilakukan dengan serius. Karena organisasi perlu melibatkan karyawan mereka untuk memerangi serangan yang terus meningkat dan melindungi aset mereka, penting untuk menjaga moral tetap tinggi dan menciptakan budaya positif kebersihan dunia maya.
Tiga kesalahan simulasi phishing yang umum.
Berdasarkan pengalaman bertahun-tahun, perusahaan cybersecurity CybeReady telah melihat perusahaan jatuh ke dalam kesalahan umum ini.
Kesalahan #1: Menguji alih-alih mendidik
Pendekatan menjalankan simulasi phishing sebagai ujian untuk menangkap dan menghukum “pelanggar berulang” dapat lebih banyak merugikan daripada menguntungkan.
Pengalaman pendidikan yang melibatkan stres kontraproduktif dan bahkan traumatis. Akibatnya, karyawan tidak akan mengikuti pelatihan tetapi mencari cara untuk menghindari sistem. Secara keseluruhan, “pendekatan audit” berbasis rasa takut tidak bermanfaat bagi organisasi dalam jangka panjang karena tidak dapat memberikan pelatihan yang diperlukan selama periode yang diperpanjang.
Solusi #1: Jadilah sensitif
Karena mempertahankan moral karyawan yang positif sangat penting untuk kesejahteraan organisasi, berikan pelatihan tepat waktu yang positif.
Pelatihan tepat waktu berarti bahwa setelah karyawan mengklik tautan dalam serangan yang disimulasikan, mereka diarahkan ke sesi pelatihan singkat dan ringkas. Idenya adalah untuk mendidik karyawan dengan cepat tentang kesalahan mereka dan memberi mereka tips penting untuk menemukan email berbahaya di masa depan.
Ini juga merupakan kesempatan untuk penguatan positif, jadi pastikan untuk menjaga agar pelatihan tetap singkat, padat, dan positif.
Solusi #2: Beri tahu departemen terkait.
Berkomunikasi dengan pemangku kepentingan terkait untuk memastikan mereka mengetahui pelatihan simulasi phishing yang sedang berlangsung. Banyak organisasi lupa memberi tahu pemangku kepentingan terkait, seperti SDM atau karyawan lain, bahwa simulasi sedang dilakukan. Belajar memiliki efek terbaik ketika peserta memiliki kesempatan untuk merasa didukung, membuat kesalahan, dan memperbaikinya.
Kesalahan #2: Gunakan simulasi yang sama untuk semua karyawan
Penting untuk memvariasikan simulasi. Mengirim simulasi yang sama kepada semua karyawan, terutama pada saat yang sama, tidak hanya tidak instruktif tetapi juga tidak memiliki metrik yang valid dalam hal risiko organisasi.
“Efek peringatan” – karyawan pertama yang menemukan atau jatuh untuk simulasi memperingatkan yang lain. Ini mempersiapkan karyawan Anda untuk menanggapi “ancaman” dengan mengantisipasi simulasi, sehingga melewati simulasi dan kesempatan pelatihan.
Dampak negatif lainnya adalah bias keinginan sosial, yang menyebabkan karyawan melaporkan insiden ke TI secara berlebihan tanpa memperhatikannya agar dipandang lebih baik. Hal ini menyebabkan sistem kelebihan beban dan departemen TI.
Bentuk simulasi ini juga menghasilkan hasil yang tidak akurat, seperti rasio klik-tayang yang sangat rendah dan rasio pelaporan yang berlebihan. Dengan demikian, metrik tidak menunjukkan risiko nyata perusahaan atau masalah yang perlu ditangani.
Solusi: Mode tetes
Mode tetes memungkinkan pengiriman beberapa simulasi ke karyawan yang berbeda pada waktu yang berbeda. Solusi perangkat lunak tertentu bahkan dapat melakukan ini secara otomatis dengan mengirimkan berbagai simulasi ke berbagai kelompok karyawan. Penting juga untuk menerapkan siklus berkelanjutan untuk memastikan bahwa semua karyawan baru telah ditempatkan dengan benar dan untuk memperkuat bahwa keamanan itu penting 24/7 – tidak hanya mencentang kotak untuk kepatuhan minimum.
Kesalahan #3: Mengandalkan data dari satu kampanye
Dengan lebih dari 3,4 miliar serangan phishing per hari, aman untuk mengasumsikan bahwa setidaknya satu juta dari mereka berbeda dalam kompleksitas, bahasa, pendekatan, atau bahkan taktik.
Sayangnya, tidak ada satu pun simulasi phishing yang dapat mencerminkan risiko organisasi secara akurat. Mengandalkan satu hasil simulasi phishing tidak mungkin memberikan hasil yang andal atau pelatihan yang komprehensif.
Pertimbangan penting lainnya adalah bahwa kelompok karyawan yang berbeda merespons ancaman secara berbeda, bukan hanya karena kewaspadaan, pelatihan, posisi, masa kerja, atau bahkan tingkat pendidikan mereka, tetapi karena respons terhadap serangan phishing juga kontekstual.
Solusi: Terapkan berbagai program pelatihan
Perubahan perilaku adalah proses evolusi dan karenanya harus diukur dari waktu ke waktu. Setiap sesi pelatihan berkontribusi pada kemajuan pelatihan. Efektivitas pelatihan, atau dengan kata lain, refleksi akurat dari perubahan perilaku organisasi yang sebenarnya, dapat ditentukan setelah beberapa sesi pelatihan dan dari waktu ke waktu.
Solusi paling efektif adalah dengan terus melakukan berbagai program pelatihan (minimal sebulan sekali) dengan beberapa simulasi.
Sangat disarankan untuk melatih karyawan sesuai dengan tingkat risikonya. Program simulasi yang beragam dan komprehensif juga menyediakan data pengukuran yang andal berdasarkan perilaku sistematis dari waktu ke waktu. Untuk memvalidasi upaya mereka dalam pelatihan yang efektif, organisasi harus dapat memperoleh indikasi yang valid tentang risiko mereka pada titik waktu tertentu sambil memantau kemajuan dalam pengurangan risiko.
Menerapkan program simulasi phishing yang efektif.
Membuat program seperti itu mungkin tampak berlebihan dan memakan waktu. Itu sebabnya kami telah membuat pedoman dari 10 praktik utama yang dapat Anda gunakan untuk membuat simulasi phishing yang sederhana dan efektif. Cukup unduh CybeReady Playbook atau temui salah satu pakar kami untuk demo produk dan pelajari bagaimana platform pelatihan kesadaran keamanan yang sepenuhnya otomatis dari CybeReady dapat membantu organisasi Anda mencapai hasil tercepat dengan hampir tanpa usaha TI.