Dengan dimulainya musim sibuk , penting untuk diingat bahwa penyerang dunia maya juga sibuk. Dengan informasi yang siap dimonetisasi yang dapat dijual dengan mudah di pasar gelap, latihan Anda adalah target yang sangat menarik bagi penyerang.

Laporan berita yang sering tentang pelanggaran di organisasi besar dan entitas pemerintah mungkin membuat Anda percaya bahwa Anda tidak memiliki peluang jika ditargetkan. Untungnya, ini tidak terjadi. Tindakan pencegahan dasar berikut dapat secara signifikan mengurangi risiko Anda dan mengurangi kerusakan jika Anda mengalami insiden keamanan siber.

1. Cari, klasifikasikan dan pisahkan informasi berdasarkan tingkat risiko.

 Informasi risiko tertinggi bagi sebagian besar perusahaan adalah informasi akun keuangan seperti perutean bank dan nomor rekening, nomor kartu kredit dan debit, serta nama pengguna dan kata sandi untuk akses akun online. Informasi ini harus dilindungi dengan tingkat keamanan yang tinggi dan disimpan secara terpisah dari catatan klien lainnya. Karena perlindungan industri biasanya memerlukan nama pengguna yang berwenang, alamat penagihan, nomor identifikasi pemberi kerja, dan nomor Jaminan Sosial untuk mendapatkan akses ke akun, sistem yang menyimpan informasi yang digunakan untuk mengautentikasi nomor akun secara terpisah dari nomor itu sendiri dapat mengurangi kerugian jika terjadi pelanggaran keamanan.

2. Menilai proses bisnis.

Sekarang setelah Anda mengklasifikasikan informasi Anda, saatnya untuk melihat bisnis Anda Bagaimana informasi sensitif dikirimkan antara klien dan kantor Anda? Portal klien yang aman atau email terenkripsi harus digunakan untuk mengurangi risiko penyadapan informasi. Anggota staf mana di kantor Anda yang memiliki akses ke informasi sensitif dan mengapa? Akses harus dibatasi bagi mereka yang memiliki kebutuhan bisnis tertentu atas informasi tersebut. Sistem Anda harus secara otomatis membuat entri log setiap kali informasi sensitif diakses. Karena peretas semakin menghindari tindakan keamanan dengan menipu anggota staf yang memiliki akses sah, penting untuk melatih staf Anda tentang kebijakan dan teknik keamanan informasi yang digunakan peretas untuk mendapatkan akses melalui rekayasa sosial. Anda tidak boleh menyimpan informasi risiko tertinggi Anda pada perangkat portabel yang tidak terenkripsi seperti laptop, tablet, smartphone, dan thumb drive.

3. Tinjau teknologi keamanan.

Mulailah dengan firewall jaringan Anda. Itu harus diinstal dan dikonfigurasi oleh profesional keamanan jaringan, diperbarui secara otomatis dan ditinjau setiap tahun. PC harus memiliki perangkat lunak perlindungan virus yang diinstal dan diatur untuk menerima pembaruan otomatis untuk perlindungan virus dan sistem operasi. Perangkat portabel apa pun, termasuk laptop, tablet, smartphone—dan terutama thumb drive—yang digunakan untuk menyimpan atau mengakses informasi sensitif harus dienkripsi. Jika Anda menerima pembayaran kartu kredit dan debit, mulai 1 Oktober 2015, terminal kartu dan sistem pemrosesan Anda harus mematuhi EMV untuk menghindari kewajiban jika terjadi jenis penipuan tertentu.

4. Melakukan uji tuntas terhadap penyedia layanan.

Penyedia perangkat lunak berbasis cloud dan penyedia layanan lainnya dapat menjadi sumber yang bagus untuk menjaga praktik Anda tetap efisien dan aman. Namun, mereka juga bisa rentan terhadap serangan. Mintalah untuk melihat laporan SOC 2® penyedia layanan Anda. Apakah mereka mendeteksi adanya pelanggaran keamanan, dan, jika demikian, bagaimana cara mengatasinya? Dan, terakhir, tanyakan tentang seberapa aman koneksi antara komputer Anda dan server mereka. Penyedia mana pun yang masih menggunakan SSL daripada protokol enkripsi TLS yang lebih baru rentan terhadap serangan.

5. Kembangkan rencana tanggap insiden.

Jika terjadi pelanggaran keamanan yang tidak menguntungkan, Anda harus memiliki rencana untuk menentukan kapan insiden itu terjadi, mengidentifikasi informasi klien yang terpengaruh, dan persyaratan pemberitahuan. Menurut Konferensi Nasional Badan Legislatif Negara Bagian, empat puluh tujuh negara bagian, Distrik Columbia, Guam, Puerto Rico, dan Kepulauan Virgin telah memberlakukan undang-undang yang mewajibkan entitas swasta, pemerintah, atau pendidikan untuk memberi tahu individu tentang pelanggaran keamanan informasi yang melibatkan informasi pengenal pribadi. Klik di sini untuk mencari hukum di yurisdiksi Anda. Meskipun ketentuannya berbeda-beda, secara umum Anda harus memahami definisi yurisdiksi Anda tentang “informasi pribadi”, yang merupakan persyaratan pelanggaran dan pemberitahuan. Banyak yurisdiksi memberikan pengecualian untuk informasi terenkripsi.