User aware and accountable

Security Awareness Training for End User

Photo of author

By admin

Apa yang perlu Anda ketahui sebelum menyusun program User Awareness Training di perusahaan Anda

Pelatihan Kesadaran Pengguna (user awareness training) adalah komponen penting dari strategi keamanan informasi perusahaan mana pun. Semua rujukan framework Tata Kelola Keamanan Informasi, pasti mengamanatkan betapa pentingnya user awareness training. Pelatihan ini membantu karyawan memahami risiko yang terkait dengan ancaman siber dan mengajarkan mereka cara melindungi organisasi mereka dari potensi serangan. Dengan perencanaan dan pelaksanaan yang tepat, Anda bisa memastikan bahwa karyawan Anda diperlengkapi dengan baik untuk bertahan dari kejahatan siber.

Pada artikel ini, kita akan membahas apa yang perlu Anda ketahui sebelum menyiapkan program Pelatihan Kesadaran Pengguna di perusahaan Anda.

Tentukan Tujuan Program Security Awareness Training

Anda harus menentukan tujuan program Anda. Apa yang ingin Anda capai dari program ini?

Apakah Anda ingin meningkatkan kesadaran karyawan akan ancaman siber atau mengajarkan mereka langkah-langkah keamanan tertentu?

Ketika Anda telah menentukan tujuan, maka berikutnya tujuan tersebut bisa mengarahkan Anda dalam memilih beberapa hal di bawah ini: 

  1. Jenis materi: over view, detail in-depth training 
  2. Training Delivery Media: Online, Offline, Video on Demand
  3. Frekuensi: Sebulan sekali, Setahun Sekali
  4. Kebutuhan anggaran

Tujuan ini juga menentukan bagaimana Anda mengukur apakah program yang dibuat dan dijalankan sudah efektif atau belum

Faktor yang mempengaruhi efektivitas dari program user awareness training

User Security Awareness Training pada dasarnya adalah upaya merubah budaya orang orang di semua level, dari staff hingga direksi. Khususnya terkait kepedulian akan keamanan informasi, maka perubahan budaya lewat training ini akan menjadi efektif oleh faktor-faktor berikut ini:

  1. Top Down: dukungan dan dorongan penuh mulai dari level tertinggi terhadap budaya peduli menjaga keamanan informasi. Tanpa dukungan penuh dari lapis tertinggi di organisasi, maka perubahan di all level user menjadi sangat sulit
  2. Engagement / Keterlibatan: untuk meningkatkan engagement bisa dilakukan dengan memberi mereka insentif untuk berpartisipasi pada setiap proses. Ini bisa termasuk menawarkan hadiah untuk menyelesaikan modul kesadaran keamanan, melakukan kontes pembuatan video singkat terkait awareness yang melibatkan semua user.
  3. Simple / Sederhana / Mudah dimengerti: Materi training sebaiknya sederhana, informatif, dan singkat sehingga mudah dimengerti.
  4. Test / Pengujian: Menguji pengguna secara berkala mengenai pemahaman mereka tentang konsep keamanan. Hal ini bisa dilakukan melalui kuis atau atau simulasi test seperti phishing test, USB drop test, dll
  5. Frequency & Berkelanjutan: User harus selalu diingatkan. Oleh karenanya program dibuat berkala, misal 1 bulan sekali berupa newsletter. Setiap quartal ada diberikan pengingat, misal saat dilakukan town hall. dst
  6. Punishment / Hukuman: Jika semua proses untuk awareness training ini sudah dijalankan, maka jika ada kesalahan atau kelalaian yang dilakukan, punishment perlu diberikan sebagai bentuk pembelajaran juga untuk user yang lain. Hukuman ini bisa dalam bentuk teguran, surat peringatan.
ISACA: People Process Technology and Organization Pyramid

ISACA: People Process Technology and Organization Pyramid

Materi wajib yang harus ada dalam program security awareness training

Materi yang Anda susun tentu pada dasarnya ditentukan oleh tujuan program itu sendiri. Akan tetapi berikut adalah materi yang wajib ada disampaikan dalam bentuk security awareness training apapun:

  1. Karyawan harus diajarkan bahwa mereka harus bekerja sesuai SOP dan Kebijakan yang telah ditetapkan perusahaan
  2. Karyawan harus diajarkan bagaimana mereka melaporkan jika mereka melihat ada ketidaksesuaian atau hal apapun yang beresiko mengganggu keamanan informasi
  3. Karyawan harus diajari bagaimana menangani dokumen atau file berisi informasi rahasia dan confidential atau berisi data personal
  4. Karyawan harus diajari dasar-dasar penipuan phishing, serangan rekayasa sosial, dan bentuk-bentuk kejahatan siber lainnya.
  5. Karyawan harus memahami apa yang diharapkan dari mereka dalam hal penggunaan kata sandi dan menjaganya agar tetap aman.
  6. Karyawan harus mengetahui hukum atau peraturan yang berlaku terkait keamanan informasi untuk industri atau wilayah geografis mereka.
  7. Karyawan harus memahami konsekuensi yang akan diterima jika mereka tidak mematuhi kebijakan keamanan yang ditetapkan oleh perusahaan.

Champion from End User & Security Ambassador 

User awareness training khususnya terkait keamanan cyber atau keamanan informasi, bukanlah tanggung jawab team IT atau team InfoSec saja, atau bukan juga murni tanggung jawab team Human Resources (HR) atau Human Capital (HC). Tapi adalah tanggung jawab semua team/departemen/divisi.

Oleh karenanya, mungkin Anda bisa mempertimbangkan untuk memilih champion atau security ambassador dari end user Anda yang bisa Anda pilih untuk setiap divisi atau departemen.

Berikut ini adalah manfaat jika Anda memilih end user dari setiap departemen untuk menjadi champion security awareness program atau menjadi security ambassador:

  1. Pengetahuan yang relevan: End user yang dipilih sebagai champion atau security ambassador akan memiliki pengetahuan yang relevan tentang aktivitas dan kebutuhan departemen mereka. Ini akan membantu mereka dalam memahami lebih baik risiko dan tantangan yang dihadapi dalam hal keamanan informasi.
  2. Pemahaman yang lebih baik tentang end user: Champion atau security ambassador dari setiap departemen akan memiliki pemahaman yang lebih baik tentang kebutuhan dan preferensi end user mereka. Hal ini akan memungkinkan mereka untuk mengkustomisasi pelatihan dan komunikasi keamanan sesuai dengan kebutuhan departemen mereka.
  3. Pengaruh dan kepercayaan yang lebih besar: End user yang dipilih sebagai champion atau security ambassador akan memiliki pengaruh dan kepercayaan yang lebih besar di antara rekan-rekannya. Mereka dapat membantu dalam membangun keyakinan dan kesadaran tentang pentingnya keamanan informasi dan mendorong partisipasi yang lebih aktif dalam program pelatihan.
  4. Kolaborasi antar departemen yang lebih baik: Melibatkan end user dari setiap departemen dalam program kesadaran keamanan akan membantu dalam membangun kolaborasi yang lebih baik antar departemen. Ini akan memungkinkan pertukaran pengetahuan dan pengalaman, serta penciptaan strategi keamanan yang lebih efektif dan holistik di seluruh organisasi.
  5. Dukungan yang lebih besar dari manajemen: Melibatkan end user sebagai champion atau security ambassador juga akan memperoleh dukungan yang lebih besar dari manajemen. Mereka akan melihat langkah ini sebagai bukti komitmen organisasi terhadap keamanan informasi dan investasi dalam sumber daya manusia.
  6. Rasa memiliki yang lebih tinggi: End user yang dipilih sebagai champion atau security ambassador akan merasakan rasa memiliki yang lebih tinggi terhadap program kesadaran keamanan. Mereka akan menjadi pemimpin dalam mendorong kepatuhan dan partisipasi dari tim mereka sendiri.

Pilihlah end user yang memiliki minat dan kecakapan dalam hal keamanan informasi, serta memiliki kualitas kepemimpinan yang baik, kemudian berikan pelatihan dan dukungan yang memadai untuk mereka bisa terjun di departemen masing masing. 

Tata Kelola Keamanan Informasi

Manajer Keamanan Informasi

Satu pemikiran pada “Security Awareness Training for End User”

  1. Ping-balik: IT Basic Hygiene (System Hygiene) SEBAGAI Pertahanan Penting Terhadap Ancaman Siber dan ransomware - Rujukan Praktis Untuk Pengelola Keamanan Informasi

Tinggalkan komentar

Share This

Share This

Share this post with your friends!