Sebagian besar anggota komunitas keamanan mengakui perlunya budaya keamanan yang lebih baik — yang berarti kesadaran, pengukuran, dan pemantauan perusahaan yang sistematis untuk peningkatan keamanan siber guna menurunkan risiko secara keseluruhan. Lihat saja Keynote Kim Zetter Black Hat USA 2022, yang menyerukan peningkatan keamanan penting di seluruh infrastruktur penting.
Seringkali, hambatan terhadap keamanan yang efektif tidak selalu disebabkan oleh masalah teknis, melainkan masalah budaya. Banyak yang sering keliru menyamakan pendidikan dan pelatihan pengguna dengan penciptaan budaya keamanan. Pendidikan pengguna adalah tentang berbagi informasi tentang masalah dan kewajiban — sedangkan budaya keamanan adalah tentang perubahan perilaku dalam mendukung keamanan.
Membangun Budaya Keamanan Melalui Kesadaran Pengguna
Meskipun kesadaran pengguna dan membangun budaya keamanan adalah latihan yang berbeda dengan tantangan yang berbeda, keduanya memiliki satu kesamaan: Mereka membutuhkan perhatian dan dukungan yang serius. Dengan mengingat hal itu, kedua latihan ini sebenarnya saling melengkapi.
Pertimbangkan ini: Meskipun ada banyak perdebatan tentang struktur pelaporan CISO, dukungan yang diperlukan untuk mendorong budaya keamanan tidak bergantung pada hierarki ini; itu tergantung pada modifikasi perilaku pengguna melalui operasi bisnis yang diterima secara umum. Modifikasi proses bisnis holistik inilah yang menjadi alasan mengapa budaya keamanan perlu didorong dari atas ke bawah.
Kesadaran pengguna harus dimasukkan ke dalam alat keamanan organisasi dan dilakukan secara konsisten seperti mencari sistem untuk indikasi kompromi. Kesadaran pengguna tidak menggantikan, dan tidak sama dengan, penciptaan budaya keamanan — melainkan, merupakan komponen penting dari setiap budaya keamanan yang efektif.
Naik Pesawat
Kepemilikan dan dukungan untuk menciptakan budaya keamanan harus didorong di tingkat dewan. Ini karena sementara banyak eksploitasi dan serangan tidak lebih dari peringatan keamanan lain untuk dikelola, ketika musuh yang terampil terlibat, risiko serius muncul. Seperti yang selalu saya katakan: Amatir meretas sistem; profesional meretas orang. Meretas manusia sebagai kategori risiko keamanan memiliki hasil keberhasilan yang tinggi dan melampaui perlindungan teknologi.
Triknya adalah untuk melindungi operator manusia dari perangkap sifat manusia dengan mengendalikan dan membentuk perilaku. Ini sering membutuhkan pemikiran kritis tentang praktik bisnis yang mendarah daging. Dukungan untuk realisasi perubahan yang diperlukan akan sangat bergantung pada pengaruh top-down.
Budaya Keamanan di Lingkungan PL
Lingkungan PL dibebani dengan tantangan yang lebih signifikan dalam memeriksa dan mengembangkan budaya keamanan mereka. Tidak hanya pengguna bisnis memainkan peran integral, tetapi insinyur OT sama pentingnya untuk mencegah dan menanggapi peristiwa keamanan.
Hubungan antara TI dan OT di sinilah penciptaan budaya keamanan holistik akan membutuhkan dukungan top-down untuk melihat secara kritis proses bisnis dan operasional secara keseluruhan. Hal-hal yang dapat menggagalkan upaya paling sungguh-sungguh untuk menopang upaya keamanan bisa sama tidak terduganya dengan proses akuntansi untuk menerapkan anggaran di seluruh lokasi individu atau persepsi kepemilikan untuk keamanan.
Meskipun contoh-contoh ini adalah puncak gunung es, penting untuk membuat program peningkatan proses yang holistik dan berkelanjutan di dalam organisasi untuk terus bertanya, “Bagaimana budaya keamanan kita dapat ditingkatkan?”
Budaya Keamanan di Lingkungan TI
Tidak seperti PL, pengenalan kebutuhan akan teknologi didefinisikan dengan baik dalam TI. Misalnya, inventaris dan visibilitas aset adalah produk komoditas yang ditetapkan untuk TI. Ada banyak vendor manajemen aset yang dapat dipilih, dan tim TI yang terampil dapat dengan cepat mengadopsi alat ini. Proses pemilihan teknologi dapat dipengaruhi oleh proses IT-centric. Perubahan budaya dapat ditemukan yang lebih sesuai dengan pemilihan produk pelengkap di sisi PL.
Inventaris aset, kerentanan, dan manajemen risiko lebih menantang di OT karena sifat dari teknologi dan topologi. Personil biasanya insinyur yang mengkhususkan diri dalam proses dan belum tentu alat (sistem) dengan bagaimana mereka berinteraksi dengan operasi molekul bergerak. Pemilik aset PL memiliki fokus misi yang berbeda dari pemilik TI, dan pelatihan mereka tidak harus mencakup keamanan. Penciptaan budaya keamanan harus mempertimbangkan pola pikir yang berbeda ini dan menggunakan taktik yang relevan untuk mengubah perilaku.
Memadukan Budaya: IT dan OT
Pendekatan berbasis risiko akan membantu profesional TI dan OT dengan menstandardisasi metrik utama seperti kehidupan, kesehatan, keselamatan, belum lagi dampaknya pada kapasitas dan efisiensi produksi. Pendekatan ini juga harus mencakup waktu henti maksimum yang dapat ditoleransi (MTD) dan waktu rata-rata untuk pemulihan (MTR).
Ini akan mendorong jawaban mengapa personel harus peduli dengan keamanan. Organisasi akan ingin memberi tim kolektif kesempatan untuk sukses. Saat melihat proses bisnis untuk menetapkan tugas di seluruh grup, perubahan halus mungkin terlihat saat dilihat melalui lensa keamanan. Sementara kepemilikan sistem harus tetap bercabang karena kebutuhan yang melekat dan didorong secara operasional, semua tim TI/keamanan/OT harus bekerja sama untuk mengatasi kerentanan kritis, potensi peristiwa keamanan, dan respons/pemulihan insiden. Kecepatan dan efisiensi adalah yang terpenting.
Ini hanyalah dua aspek dalam menciptakan budaya keamanan tetapi menjadi contoh yang sangat baik tentang mengapa ada lebih banyak perubahan perilaku daripada berbagi informasi sederhana. Menciptakan budaya keamanan sangat penting bagi organisasi mana pun untuk meningkatkan investasi teknologi keamanan tetapi sangat diperlukan untuk kelangsungan hidup operator OT dalam proses respons pelanggaran yang serba cepat.
