Menyelam Lebih Dalam dalam Keamanan Siber: Apa Itu BYOD & 9 Risiko Keamanannya

Infeksi Perangkat dengan Malware

Risiko terbesar dari kebijakan Bawa-Perangkat-Sendiri (BYOD) adalah infeksi malware. Karyawan cenderung kurang hati-hati tentang keamanan perangkat pribadi mereka dan akan kurang memperhatikan aplikasi apa yang mereka instal.

Mereka mungkin mengunduh file PDF, memasang game, dan aplikasi lain untuk penggunaan pribadi, dan banyak dari aplikasi ini mungkin terinfeksi malware.

Karena perangkat tersebut juga mengandung data perusahaan, malware akan mendapatkan akses ke data tersebut, menyebabkan pelanggaran data.

Lebih lanjut lagi, ketika karyawan datang bekerja dan menghubungkan perangkat mereka ke jaringan perusahaan, malware akan menyebar ke seluruh jaringan, menyebabkan krisis.

Ada beberapa jenis malware, termasuk:

• Virus
• Trojan
• Alat phishing
• Keylogger
• Adware
• Cacing
• Spyware
• Ransomware
• Malware tanpa file

Hal terburuknya adalah bahwa apa pun di internet bisa terinfeksi oleh salah satu malware ini. Yang Anda perlukan hanyalah kecerobohan saat mengakses situs web aneh atau mengunduh aplikasi dan perangkat Anda terinfeksi.
Sebagai pemberi kerja, Anda hampir tidak memiliki kontrol atas bagaimana karyawan menggunakan perangkat pribadi mereka di rumah.

Jadi, Anda tidak tahu apakah perangkat mereka terinfeksi atau tidak.

Solusi

• Melakukan pemasangan solusi antimalware pada perangkat karyawan Anda. Ini akan memberi mereka peringatan tentang aplikasi atau situs web yang mencurigakan, mencegah infeksi malware
• Mengevaluasi semua aplikasi yang telah dipasang karyawan di perangkat pribadi mereka saat datang bekerja. Melakukan pemindaian keamanan untuk memastikan tidak ada risiko infeksi malware
• Menerapkan kebijakan penggunaan yang ketat untuk menghentikan karyawan Anda dari penggunaan perangkat pribadi mereka secara bebas sambil mengabaikan risiko keamanan siber (misalnya, melarang karyawan untuk memasang
  game atau aplikasi non-kerja di perangkat mereka)
• Melakukan pemeriksaan rutin secara teratur pada perangkat BYOD untuk memastikan tidak ada aplikasi tak terduga yang dipasang atau bahwa mereka tidak terinfeksi malware

Mencampur Penggunaan Pribadi dan Profesional

Ketika Anda menerapkan BYOD, tidak terelakkan bahwa karyawan akan mencampur penggunaan pribadi dan bisnis pada perangkat mereka.

Hal ini menciptakan kerentanan keamanan karena data perusahaan akan disimpan di perangkat yang digunakan untuk aktivitas tidak aman seperti belanja online.

Anda hampir tidak bisa mengontrol perangkat karyawan karena Anda tidak tahu bagaimana mereka menggunakannya di rumah.

Inilah yang mungkin terjadi sebagai hasilnya:

• Karyawan meminjamkan perangkatnya kepada teman, yang membahayakan data sensitif
• Perangkat terhubung ke jaringan Wi-Fi yang tidak aman
• Karyawan mengakses situs web yang terinfeksi, yang membahayakan data sensitif
• Karyawan mengunduh file yang terinfeksi, yang akhirnya mengakses data korporat pribadi pada perangkat

Sangat sulit untuk mengendalikan hal-hal ini. BYOD menimbulkan risiko keamanan siber yang berat dan tidak mudah dihindari.

Solusi

• Memisahkan antara penggunaan pribadi dan bisnis untuk memastikan bahwa pengguna tidak mempengaruhi data kerja saat menggunakan perangkat untuk kebutuhan pribadi. Ini mungkin dicapai dengan enkripsi data, sistem keamanan tanpa kepercayaan, dan prinsip hak akses minimum
• Menerapkan penggunaan VPN untuk mencegah penyadapan komunikasi yang berbahaya saat perangkat terhubung ke jaringan Wi-Fi yang tidak aman
• Memutus akses ke aplikasi dan data kerja saat karyawan keluar untuk mencegah akses tidak sah atau pelanggaran data dalam kasus kelalaian karyawan
• Menerapkan kesadaran keamanan untuk menghindari kelalaian dan kecerobohan dalam penggunaan pribadi di rumah

Perangkat Hilang atau Dicuri

Kemungkinan seorang karyawan kehilangan perangkat pribadinya jauh lebih tinggi dibandingkan dengan perangkat kerja.

Satu survei menunjukkan bahwa 68% pelanggaran data di sektor kesehatan disebabkan oleh kehilangan atau pencurian perangkat karyawan.

Hal ini terjadi karena perangkat pribadi lebih rentan dicuri atau hilang karena bagaimana, di mana, dan kapan digunakan.

Perangkat kerja hanya digunakan di tempat kerja, sementara perangkat pribadi digunakan di mana saja pemiliknya pergi.

Siapa pun yang berinteraksi dengan pengguna dapat mencuri atau mengakses perangkat mereka dan mendapatkan akses ke data korporat sensitif.

Solusi

• Ajarkan karyawan Anda untuk menggunakan sandi dan keamanan biometrik pada perangkat mereka untuk menghindari akses tidak sah jika perangkat hilang atau dicuri
• Ajarkan karyawan Anda untuk segera melaporkan perangkat yang hilang/dicuri agar kredensial aksesnya dapat dibatalkan dan mencegah pelanggaran data
• Enkripsi data kerja pada perangkat karyawan sehingga tidak bisa diakses di luar lingkungan kerja

Penggunaan Wi-Fi Tidak Aman

Hal ini layak mendapatkan tempat tersendiri dalam daftar ini karena betapa berbahayanya Wi-Fi bagi keamanan data pada perangkat karyawan.

Jaringan Wi-Fi publik adalah salah satu jebakan keamanan siber terburuk karena sangat rentan terhadap manipulasi eksternal.

Serangan man-in-the-middle sangat efektif untuk menyusup ke koneksi Wi-Fi dan menginfeksi perangkat yang terhubung.

Wi-Fi honeypot lebih umum daripada yang Anda kira, dan sangat mudah untuk menjadi korban jika Anda tidak bisa membedakan antara jaringan Wi-Fi yang berbahaya dan yang sah.

Jenis serangan Wi-Fi lainnya adalah Snooping, di mana peretas mengeksploitasi titik akses yang tidak terenkripsi atau nakal untuk menyusup ke perangkat yang terhubung ke jaringan Wi-Fi publik. Karena sebagian besar jaringan Wi-Fi publik tidak terenkripsi, risikonya lebih nyata.

Solusi

• Instruksikan karyawan untuk tidak menggunakan jaringan Wi-Fi publik untuk langsung menghindari risiko keamanan siber utama
• Wajibkan penggunaan VPN bagi semua karyawan, yang melindungi dari serangan Wi-Fi
• Promosikan kesadaran keamanan siber, terutama mengenai penggunaan Wi-Fi publik saat bepergian
• Enkripsi data perusahaan pada perangkat untuk mencegah akses tidak sah bahkan jika perangkat disusupi setelah menggunakan jaringan Wi-Fi publik

Kesadaran Keamanan Siber yang Kurang dan Kelalaian

Menurut Verizon dalam Laporan Investigasi Pelanggaran Data mereka tahun 2023, 74% dari semua pelanggaran data melibatkan unsur manusia.

Dengan “unsur manusia“, mereka merujuk pada karyawan perusahaan yang membuat kesalahan, lalai, atau bertindak dalam ketidaktahuan. Social engineering, singkatnya.

Kelalaian dan kurangnya kesadaran keamanan siber dapat menjadi bencana bagi setiap korporasi yang beroperasi di web.

Berbagai serangan siber difasilitasi melalui unsur manusia. Malware, phishing, worm, ransomware, Anda sebutkan dan Anda akan menemukan orang yang bersalah karena kelalaian.

Berikut adalah contohnya:

• Mengunduh lampiran phishing dari email palsu
• Memasang aplikasi terinfeksi dari Play Store, yang akhirnya menemukan data sensitif pada perangkat
• Mengunjungi situs web terinfeksi, yang mengunduh ransomware di perangkat Anda, yang akhirnya menginfeksi basis data perusahaan
• Menggunakan jaringan Wi-Fi yang tidak aman tanpa VPN dan menjadi korban serangan man-in-the-middle
• Kehilangan perangkat Anda, yang akhirnya mengungkapkan data korporat sensitif

Kelalaian, ketidaktertarikan, kemalasan, kecerobohan, semuanya bermasalah bagi karyawan yang memiliki akses ke data sensitif.

Ketika mereka membawa perangkat mereka sendiri ke kantor, berbagai vektor serangan menjadi kenyataan dan Anda harus mempersiapkan diri untuk itu.

Solusi

• Ajarkan karyawan Anda tentang serangan siber dan pelaku ancaman. Karyawan harus mengetahui tentang berbagai jenis serangan siber, risiko yang terkait dengan berselancar online, cara mengenali penipuan, bagaimana bereaksi terhadap serangan, dan apa yang tidak boleh dilakukan saat online

• Lakukan pemeriksaan rutin dan terapkan aturan keamanan yang ketat. Anda tidak ingin karyawan Anda lalai atau tidak peduli tentang keamanan data korporat. Pelatihan keamanan adalah satu hal, tetapi pemeriksaan rutin adalah cara Anda membuat karyawan tetap waspada dan sadar

Akses Tidak Sahke Data Sensitif

Dalam penerapan BYOD, salah satu risiko tertinggi adalah seseorang mengakses data sensitif tanpa otorisasi.

Hal ini bisa berarti pencurian tapi juga bisa berarti menggunakan perangkat karyawan tanpa sepengetahuan mereka.

Karena karyawan akan membawa perangkat mereka pulang, seseorang dengan niat buruk mungkin membukanya, mengakses data sensitif, dan mengungkapkannya.

Ada juga risiko perangkat dicuri oleh seseorang dengan niat jahat. Hal ini bisa berujung pada pelanggaran data jika perangkat tidak diamankan dengan benar.

Mengingat bahwa 79% orang Amerika membawa smartphone mereka selama 22 dari 24 jam sehari, jelas terlihat bagaimana risiko pencurian data penting untuk dipertimbangkan.

Kehilangan perangkat juga merupakan kemungkinan. Kesalahan manusia dan kelalaian adalah faktor yang harus Anda pertimbangkan saat menerapkan BYOD di perusahaan Anda.

Solusi

• Password yang kuat untuk semua perangkat kerja. Pastikan bahwa karyawan Anda menggunakan password yang kuat untuk perangkat mereka. Idealnya, mereka harus memasang password lain pada file dan folder korporat
• Verifikasi biometrik akan mengurangi risiko ini lebih lanjut, memastikan bahwa siapa pun yang mendapatkan perangkat tidak bisa menggunakannya
• Sistem 2FA yang diterapkan sehingga meskipun seseorang mendapatkan perangkat, mereka tidak bisa mengakses data sensitif tanpa kode 2FA yang tepat (atau kunci fisik)
• Laporan segera atas kehilangan/pencurian perangkat agar pihak atasan dapat membatalkan kode akses apa pun di perangkat yang mungkin digunakan pihak ketiga untuk mengakses basis data perusahaan

Kehilangan Patch Keamanan dan Perangkat Lunak

Alasan lain mengapa BYOD mungkin menimbulkan risiko keamanan yang serius adalah karena karyawan mungkin tidak memperbarui patch keamanan dan perangkat lunak mereka.

Kita semua tahu bahwa kebanyakan orang cenderung lalai dengan perangkat pribadi mereka. Semua ini masalah kenyamanan.

Namun, kenyamanan ini berdampak besar pada keamanan pribadi (dan korporat) ketika Anda tidak menginstal patch keamanan terbaru.

Berikut adalah apa yang mungkin terjadi dalam kasus ini:

• Sebuah eksploitasi zero-day yang baru ditemukan (yang Anda tidak tahu) akan memungkinkan peretas menyusup ke ponsel Anda dan mencuri data sensitif
• Sebuah serangan siber baru yang merusak jenis OS Anda mungkin mempengaruhi Anda karena Anda belum memasang patch keamanan terbaru
• Berbagai kerentanan sistem dapat membuka perangkat Anda untuk serangan oleh pihak ketiga dengan niat jahat

Di luar kantor, karyawan mungkin kurang cenderung mengikuti tindakan pencegahan keamanan dan tidak sehati-hati seperti di kantor.
Namun, hal ini sama pentingnya, jika tidak lebih, untuk menjaga keamanan data korporat pada perangkat.

Solusi

• Lakukan pemeriksaan rutin pada versi OS terbaru dari perangkat karyawan Anda untuk memastikan mereka menjalankan perangkat lunak dan patch keamanan terbaru
• Tekankan pentingnya memasang patch keamanan dan perangkat lunak kepada karyawan Anda agar mereka mengubah pola pikir mereka sejak dini. Mengabaikan ini dapat memiliki konsekuensi serius pada bisnis Anda

Shadow IT

Shadow IT terjadi ketika karyawan menggunakan perangkat tidak sah atau memasang perangkat lunak tidak sah pada perangkat kerja tanpa memberitahu tim IT.

Sekitar 80% pekerja mengakui bahwa mereka menggunakan aplikasi SaaS yang tidak diketahui oleh departemen IT.

Alasannya bisa bermacam-macam, tetapi dalam banyak kasus, pekerja mengklaim bahwa melaporkan segalanya ke departemen IT akan memperlambat alur kerja.

Meskipun ini mungkin benar, risiko keamanan yang ditimbulkan oleh Shadow IT juga tidak boleh diabaikan.

Karyawan bukanlah ahli keamanan, sehingga mereka bisa memperkenalkan kerentanan keamanan baru dengan menggunakan perangkat lunak atau perangkat keras yang tidak disetujui.

Beberapa aplikasi ini mungkin memiliki standar keamanan yang rendah, tidak ada enkripsi, dan bahkan kerentanan keamanan.

Solusi

• Tekankan fakta bahwa perangkat keras atau perangkat lunak tidak sah tidak diperbolehkan sehingga karyawan tidak akan terlibat dalam Shadow IT. Jelaskan risiko keamanan dari awal dan ketatlah dengan peraturan
• Usahakan agar semua alat terkait pekerjaan tersedia untuk karyawan sehingga mereka tidak perlu terlibat dalam Shadow IT. Seringkali, hal ini terjadi karena Departemen IT membuang waktu menyetujui alat yang dibutuhkan karyawan untuk melakukan pekerjaan mereka
• Terapkan deteksi keamanan yang lebih baik terhadap perangkat keras atau perangkat lunak yang tidak disetujui agar Anda dapat menemukannya lebih awal

Kelalaian dalam Mematuhi Kebijakan Keamanan

Beberapa karyawan mungkin akan lalai, ceroboh, dan tidak peduli tentang kebijakan keamanan yang telah Anda tetapkan.

Hal ini bisa terjadi karena berbagai alasan seperti:

• Masalah pribadi
• Kepercayaan diri berlebihan dalam menghindari risiko keamanan tanpa mematuhi peraturan yang ketat
• Ketidaktertarikan

Salah satu dari alasan-alasan ini merupakan masalah besar untuk keamanan bisnis Anda. Anda harus menanganinya secepat mungkin.

Solusi

• Temukan alasan karyawan ceroboh dan cobalah untuk menyelesaikan masalah ini. Jelaskan kepada mereka dampak potensial dari pelanggaran data dan konsekuensi yang mungkin terjadi jika mereka yang bertanggung jawab
• Pecat karyawan yang terus-menerus ceroboh. Lebih baik melepaskan karyawan yang terus-menerus ceroboh dan tidak bisa mematuhi aturan

Apakah BYOD Layak di Akhirnya?

Kebijakan BYOD memiliki beberapa keuntungan jelas yang perlu Anda ketahui:

• Biaya awal yang jauh lebih rendah untuk perangkat keras yang diberikan kepada karyawan. Karena mereka membawa perangkat mereka sendiri ke tempat kerja, Anda akan hemat pada pengeluaran ini
• Produktivitas karyawan meningkat karena keakraban mereka dengan perangkat mereka sendiri
• Kepuasan karyawan meningkat karena mereka membawa elemen keakraban ke tempat kerja dan tidak harus bergonta-ganti antara perangkat pribadi dan kerja secara bersamaan
• Mobilitas yang lebih besar karena karyawan selalu tersedia, bahkan selama waktu luang resmi mereka. Ini seharusnya meningkatkan responsivitas dan keterlibatan
• Lebih banyak fleksibilitas dalam mengakses sumber daya perusahaan dari mana saja, yang meningkatkan moral, keterlibatan, dan loyalitas karyawan

Ini adalah manfaat utama kebijakan Bawa-Perangkat-Sendiri bagi perusahaan dan karyawannya.
Tapi saya juga telah menjelaskan risiko keamanannya di atas. Ada pelanggaran keamanan yang berpotensi bencana yang menunggu untuk terjadi jika kebijakan BYOD disalahgunakan dan dimanipulasi.

Anda perlu menetapkan beberapa aturan dasar saat menerapkan BYOD. Pemeriksaan keamanan, kesadaran keamanan siber, pencegahan aktif kelalaian keamanan dan Shadow IT, semuanya adalah langkah-langkah yang diperlukan menuju ekosistem BYOD yang sehat.

Ini bukan hal yang tidak mungkin dicapai, meskipun. Dengan alat dan perencanaan yang tepat, BYOD dapat meningkatkan kinerja bisnis Anda secara substansial.

Tetaplah bersama kami untuk lebih banyak konten keamanan siber dari PrivacyAffairs!

Sumber

BitGlass – Laporan Keamanan BYOD 2021
Privacy Affairs – Mengapa Phishing Begitu Umum & Bagaimana Cara Melindungi Diri dari Itu?
Perception Point – Keamanan BYOD: Ancaman, Tindakan Keamanan dan Praktik Terbaik
Privacy Affairs – Pandangan Mendalam Keamanan Siber: Apa Itu Prinsip Hak Akses Minimum?
Kiteworks – Perangkat Mobile yang Hilang dan Dicuri adalah Penyebab Utama Pelanggaran Data di Sektor Kesehatan
Forbes – Risiko Nyata Wi-Fi Publik: Statistik Kunci dan Data Penggunaan
Verizon – Laporan Investigasi Pelanggaran Data 2023
Privacy Affairs – Seni Penipuan Siber: Social Engineering dalam Keamanan Siber
Privacy Affairs – Pandangan Mendalam Keamanan Siber: 18 Jenis Serangan Siber & Metode Pencegahan
Leftronic – 29+ Statistik Penggunaan Smartphone: Di Seluruh Dunia di Tahun 2023
Track – 21 Statistik Manajemen Shadow IT yang Perlu Anda Ketahui
Jumpcloud – Manfaat Bisnis BYOD