6+1 Langkah Menyusun Program Security Awareness
Maraknya
malware yang menyebar melalui attachment (lampiran) e-mail belakangan ini
menjadi salah satu bukti bahwa user awareness masih menjadi salah satu titik
lemah yang sering kali berhasil dimanipulasi para penjahat maya. bila user awareness diperusahaan anda masih
terlihat lemah, artikel ini bisa anda jadikan panduan untuk menyusun program
peningkatan kesadaran keamanan informasi atau information security awareness.
1.
Tentukan tujuan dan lingkup
Tahap pertama adalah
menetukan tujuan dan lingkup program. Kita bisa membuat sebuah content generik yang mencakup semua
materi security awareness dan
menyampaikannya ksemua orang. Namun jika kita menambah upaya pada area-area
dengan risiko lebih tinggi, hasil program ini tentu akan lebih maksimal.
Beberapa pertimbangan dalam menentukan tujuan dan lingkup antara lain:
Prilaku
yang perlu di ubah
Perhatikan dan
identifikasi perilaku karyawan yang perlu diperbaiki. Beberapa contoh umum
prilaku tersebut antara lain:
·
Apakah
bersikap cuek jika ada orang mencurigakan tanpa tanda pengenal masuk
kelingkungan kantor?
·
Apakah
meja-meja mereka penuh dengan dokumen rahasia ketika mereka pulang?
·
Apakah
perusahaan sering kecolongan infeksi malware
karena karyawan membuka e-mail
attachment tanpa berpikir dua kali?
Tips: pilihlah perilaku yang memiliki
kecendrungan kejadian dan berpotensi menghasilkan dampak paling besar bagi
perusahaan sebagai fokus utama program anda.
Target
peserta program
Identifikasi siapa karyawan yang hendak kita tingkatkan
kesadarannya. Manajement, manajere, fresh,
graduate, office boy, supir, vendor, atau
peserta lain yang ada di perusahaan. Penetuan target peserta program ini
penting karena cara penyampaian pesan belum tentu bisa kita samakan antara satu
peserta dengan yang lain.
Tips: sesuaikan bahasa dan metode yang digunakan
dengan tingkat pemahaman
Lokasi geografis
Lokasi
geografis bisa menjadi tantangan tersendiri jika perusahaan anda memiliki
banyak cabang. Umumnya program securiti
awareness pertama kali dilakukan dikanto pusat.
Tips: awalilah
dengan lingkup yang terbatas sesuai dengan kemampuan. jika berhasil, anda bisa
menggunakan metode yang sama untuk lokasi yang lainnya.
Faktor
External
Faktor0faktor
exsternal yang dapat memengaruhi tujuan dan lingkup program antara lain:
·
Temuan
audit: umumnya auditor akan memeriksa program security awareness sebagai salah satu kontrol umum yang sebaikntya
ada disebuah perusahaan.
·
Regulasi:
peraturan perbankan dan layanan jasa vinansial dibanyak negara sudah mewajibkan
program security awareness.
·
Tren
keamanan informasi: kejadian-kejadian terkini bisa menjadi faktor yang
dipertimbangkan dalam menyusun program security
awareness
2. Susunan rencana
Susunan lah rencana
berdasarkan tujuan dan lingkup yang telah ditentukan. Aspek-aspek yang ada
didalam rencana rencana sebaiknya meliputi paling tidak:
·
Metode,
frekuensi, dan media penyampaian yang akan digunakan
·
Parameter
dan metode pengukuran
·
Program
security awareness dapat dibagi
menjadi dua bagian;
1.
Bagian
umum biasanya dilakukan setahun sekali untuk seluruh karyawan. Media yang
sering digunakan berupa kelas online maupun
offline, dan pesan yang disampaikan
biasanya mencakup seluruh materi terkait
security awareness.
2.
Bagian
tematik berpokus pada perilaku yang ingin diubah. Media yang digunakan umumnya
berupa poster, desktop walpaper, booklet,
dan media lain yang memuat sedikit pesan.
Tips:
-Variasi
media penyampaian program security
awareness dapat dibaca di infocomputer
edisi maret 2015.
-satu
rencana program security awareness
dapat memuat beberapa target perubahan perilaku dan dengan target partisipan
atau peserta yang sama atau berbeda.
3. mendapat dukungan manajemen
Dukungan
manajement adalah salah satu kunci sukses program security awareness. Tanpa dukungan dan komitmen manajement, umunya
akan sulit bagi kita untuk mendorong karyawan berpartisipasi dalam program
tersebut. Target dukungan dari manajement adalah menjadikan perogram ini sebagai
program yang wajib diikuti, dan meminta teladan dari manajement dalam hal
berpartisipasi.
Tips:
temuan audit dan regulasi dapat menjadi alat yang ampuh untuk
mendapatkan dukungan dari manajemen.
4. Buat content
Buatlah content sesuai dengan tema dan media
yang digunakan. Content yang menarik
dan mudah dipahami akan memberikan dampak yang lebih besar bagi partisifan
Jika
menggunakan media kelas (online maupun offline)¸susun lah sebuah tes kecil
untuk mengukur sejauh mana pemahaman peserta terkait materi yang disampaikan.
Tips: dalam menyusun content, ikutilah panduan identitas
perusahaan (umumnya terkait pemilihan warna, jenis tulisan dan tata letak) agar
content yang disusun tidak tampak
seperti “benda asing”.
5. Jalankan perogramnya
Setelah
content siap perogrampun dapat dimulai sampaikan conten kepada para peserta, dan dorong mereka untuk berpartisipasi.
Beberapa hal berikut dapat dilakukan untuk memastikan pesan tersampaikan:
·
Jika menggunakan media poster, pasanglah
dilokasi-lokasi strategis seperti di depan/dalam lift pantry, dan ruang rapat.
·
Jika menggunakan e-mail, gunakan subject yang
menarik dan kirim e-mail tersebut pada waktu dimana e-mail tersebut besar
kemungkinannya dibaca, misalnya setelah makan siang.
·
Jika melalui presentasi, gunakanlah
contoh-contoh nyata dan sampaikan cerita-cerita yang menarik. Lemparkan
pertanyaan pada peserta setiap 10-15menit, dan berikan hadiah kecil bagi yang
bisa menjawab pertanyaan.
Jika anda mengadakan kelas (online/offline), hal-hal berikut bisa dilakukan untuk mendorong
partisipasi karyawan :
·
Pantau dan laporkan tingkat partisipasi dari
waktu kewaktu kepada manajemen dan karyawan. Tingkat partisipasi bisa disusun
per unit kerja. Berikan pujian bagi unit kerja yang aktif baerpartisipasi dan
berikan semangat pada unit kerja yang masih rendah tingkat partisipasinya.
·
Mintalah pada manajemen untuk memberikan
dorongan kepada karyawan untuk berpartisipasi, paling tidak melalui e-mail.
·
Berikan hadiah bagi peserta yang mendapatkan
nilai tes tertinggi, atau penghargaan lainnya.
Tips: bukalah jalur komunikasi bagi karyawan
untuk bertanya seputar program security
awareness.
6. Ukur dan rayakan
Setelah pesan disampaikan dalam jangka waktu tertentu,
lakukanlah pengukuran agar kita tau sejauh mana keberhasilan program ini, jika
pada saat penyampaian pesan diikuti dengan tes kecil, kita tinggal menganalisa
hasil tes tersebut. Jika tidak, kita bisa melakukan wawancara kepada beberapa
karyawan.
Rayakanlah sekecil apapun
keberhasilan program security awareness bersama
dengan seluruh karyawan dan manajemen. Paling tidak dengan cara mengirimkan
e-mail yang berisi :
·
Ucapan
terimakasih dan selamat dari managemen kepada partisipan dan pemenang( Bila ada
)
·
Static
yang menarik seperti tingkat berpartisipasi, unit kerja yang paling aktif dan
hasil pengukuran yang telah di lakukan.
7. Reward dan Punishment
Langkah satu sampai enam berfokus pada
pemahaman materi. Untuk mempercepat perubahan prilaku, kita bisa menerapkan
sistem reward & Punishment. Reward &
punishment terkait kesadaran keamanan informasi bisa dilakukan dengan
ringan dan menyenangkan (fun). Beberapa contoh yang bisa dilakukan :
·
Memasang
bendera hitam yang terlihat semua orang di meja kerja pelanggar
·
Menyampaikan
pesan tertulis (peringatan atau pujian) yang di tanda tangani oleh salah satu
direktur
·
Mengganti
desktop wallpaper pelanggar dengan pesan terkait aturan yang di langgar selama
waktu tertentu
Bagi aturan-aturan yang lebih serius dan berdampak besar
bagi perusahaan sistem reword & punishment tentunya perlu diterapkan dengan
lebih serius sesuai dengan kebijakkan SDM yang berlaku. Selamat mencoba !
EmoticonEmoticon