Setiap karyawan perlu menyadari risiko keamanan dunia maya dan tindakan dasar yang mungkin perlu mereka ambil, seperti melaporkan dugaan dengan benar pengelabuan serangan. Lainnya, termasuk staf TI, membutuhkan pelatihan yang lebih mendalam.
Ada juga persyaratan legislatif untuk pelatihan keamanan siber. Itu Undang-Undang Perlindungan Data 2018 menyatakan dalam bab 4, pasal 71, ayat 2, bahwa:
“Berkaitan dengan kebijakan sebagaimana dimaksud pada ayat (1)(e), tugas petugas perlindungan data meliputi:
- Menetapkan tanggung jawab berdasarkan kebijakan tersebut.
- Meningkatkan kesadaran akan kebijakan tersebut.
- Melatih staf yang terlibat dalam operasi pemrosesan.
- Melakukan audit yang diwajibkan berdasarkan kebijakan tersebut.”
Sementara itu, bagian B6 dari Pusat Keamanan Siber Nasional‘s Kerangka Penilaian Cyber pendukung bimbingan pelatihan keamanan untuk staf.
Metode tradisional untuk mendidik staf dalam kesadaran akan keamanan, seperti melalui presentasi, terkadang dapat menemui kebosanan dan sikap apatis. Beberapa mungkin juga melihat pelatihan keamanan sebagai latihan mencentang kotak.
Untuk melindungi diri mereka sendiri dan staf mereka, organisasi perlu menemukan cara yang menarik untuk mempresentasikan pelatihan keamanan siber mereka, sehingga akan menarik karyawan secara aktif.
Teknik yang digunakan secara luas untuk meningkatkan keterlibatan adalah melakukan tes di akhir sesi pelatihan. Ketika peserta diberitahu bahwa mereka akan diharapkan untuk menjawab serangkaian pertanyaan untuk lulus sesi pelatihan, mereka cenderung penuh perhatian. “Di mana pelatihan tidak memiliki ujian pada akhirnya, orang-orang hanya mencoba menyelesaikannya secepat mungkin,” kata Colin Tankard, direktur pelaksana Jalur Digital.
Gamifikasi pelatihan
Gamifikasi adalah upaya untuk meningkatkan sistem dan aktivitas dengan menciptakan pengalaman serupa dengan yang ada di game, untuk memotivasi dan melibatkan pengguna, sambil membangun kepercayaan diri mereka. Ini biasanya dilakukan melalui penerapan elemen desain game dan prinsip game (dinamika dan mekanik) dalam konteks non-game. Penelitian tentang gamifikasi telah membuktikan bahwa ia memiliki efek positif.
Teknik gamifikasi dimaksudkan untuk memanfaatkan keinginan alami kita untuk bersosialisasi, belajar, penguasaan, daya saing, pencapaian, atau sekadar respons alami kita terhadap situasi yang dibingkai sebagai permainan. Beberapa teknik yang digunakan dalam pendekatan ini antara lain menambahkan pilihan yang bermakna, memperkenalkan konsep baru melalui tutorial, meningkatkan tantangan, dan menambahkan narasi pada pengalaman.
Gamifikasi telah dibubarkan oleh beberapa orang sebagai iseng, tetapi penerapan elemen yang ditemukan dalam permainan, seperti bersaing atau berkolaborasi dengan orang lain dan mencetak poin, dapat secara efektif diterjemahkan ke dalam pelatihan staf dan meningkatkan keterlibatan dan minat.
“Cara sesi pelatihan keamanan siber berubah dan menjadi lebih baik,” kata Helen McCullagh, spesialis risiko siber untuk organisasi pengguna akhir. “Jika Anda melihat keterlibatan orang duduk dan mereka melakukan kursus satu jam setiap tahun, maka itu hanyalah latihan mencentang kotak. Organisasi berusaha untuk mendapatkan kepatuhan 100%, tetapi yang Anda miliki adalah orang-orang yang duduk di sana mengerjakan daftar belanja mereka.”
Menanamkan kolaborasi dalam pelatihan
Cukup membagi peserta menjadi beberapa kelompok dan membuat mereka bersaing satu sama lain akan mendorong keterlibatan. Inilah sebabnya mengapa latihan membangun tim sering didasarkan pada serangkaian tugas kelompok yang membutuhkan kolaborasi. “Jika Anda mendudukkan sekelompok orang dewasa di sebuah ruangan dan kemudian menempatkan mereka dalam tim, Anda membuat mereka kompetitif dan mereka akan melakukannya, sangat menyukai kulit,” kata McCullagh. “Mereka akan keluar dari cangkang mereka dan mereka akan berbicara satu sama lain.”
McCullagh mengenang: “Sekitar empat tahun lalu, kami memiliki pemikiran yang menarik bahwa ada banyak ruang pelarian [where players need to work together to solve a series of puzzles to escape from a room] dan itu memicu percakapan di tim kami. Kami menyadari bahwa jika kami melakukan ini sedikit berbeda, orang akan lebih tertarik. Cara kami mengembangkan ruangan adalah dengan membuat mereka jeli tentang kontrol keamanan dalam sebuah ruangan. Kami akan meminta mereka melihat foto ruang kantor, menunjukkan di mana risikonya. Itu adalah hal yang paling menyenangkan untuk dilakukan, tetapi juga sangat berdampak.”
Contoh lain adalah a Trump Teratas-permainan kartu gaya, di mana pemain memiliki anggaran yang ditetapkan dan perlu menciptakan kemampuan keamanan dunia maya yang mencakup orang, teknologi, dan proses. Setelah setiap pemain selesai, setiap strategi dinilai dan pemain dengan kemampuan terkuat menang.
Meskipun ini mungkin tampak menyenangkan dan sembrono, itu dapat meningkatkan pengalaman belajar. Dengan menanamkan prinsip keamanan siber ke dalam media permainan, pemain dapat terlibat dengan subjek tanpa merasa kewalahan atau terintimidasi. “Gamifikasi terkadang dapat membungkamnya,” kata Tankard. “Di situlah, di dunia maya, Anda harus benar-benar berhati-hati antara membuatnya menyenangkan bagi karyawan dan tetap serius. Saya telah melihat beberapa cara yang sangat menarik untuk melakukan pelatihan di jalan tengah itu.”
Ada juga simulasi penanggulangan bencana, di mana insiden dunia maya disimulasikan untuk memberikan pengalaman praktis kepada staf tentang peretasan tanpa risiko apa pun pada jaringan. Staf dapat dinilai berdasarkan tindakan mereka selama simulasi dan seberapa baik mereka berkolaborasi satu sama lain. Dengan catatan penilaian terperinci yang sesuai, organisasi akan dapat mengidentifikasi area utama untuk fokus pada pelatihan.
Ada juga video game yang mengajarkan konsep keamanan. Contohnya adalah CyberCIEGEyang terstruktur mirip dengan Sim video game. Di CyberCIEGE, pemain berperan sebagai manajer TI untuk organisasi kecil dan terserah mereka untuk bertahan dari berbagai jenis serangan dunia maya. Pemain membeli dan mengonfigurasi workstation, server, sistem operasi, aplikasi, dan perangkat jaringan. Mereka harus menjaga keseimbangan antara produktivitas dan keamanan, dalam batasan anggaran yang ketat. Dalam skenario yang lebih lama, pemain maju melalui serangkaian tahapan dan harus melindungi aset perusahaan yang semakin berharga dari serangan yang meningkat.
“Kami menyematkan simulasi keamanan jaringan ke dalam video game melalui penggunaan ketegangan manajemen sumber daya yang digunakan oleh game seperti SimCity dan Tycoon Roller Coasteryang merupakan game yang relatif baru saat CyberCIEGE pertama kali dikembangkan 20 tahun lalu,” kata Michael Thompson, a asosiasi penelitian di Sekolah Pascasarjana Angkatan Laut.
“Siswa harus menyediakan karakter permainan dengan sumber daya komputasi untuk memungkinkan mereka mencapai tujuan mereka, termasuk akses ke aset informasi. CyberCIEGE memiliki beberapa skenario pengantar dan pelatihan sederhana, tetapi inti dari permainan ini adalah skenario yang mengharuskan siswa mengembangkan pemahaman tentang konsep keamanan komputer dan jaringan.”
Pelatihan target untuk audiens
Untuk memaksimalkan kegunaan dan keterlibatan, pelatihan juga perlu disampaikan secara tepat kepada audiens dengan memahami kebutuhan dan keterampilan mereka saat ini. Tankard mengatakan: “Pelatihan perlu dilakukan pada tingkat yang tepat untuk individu, yang terkadang Anda lihat saat pelatihan tidak dilakukan secara menyeluruh. Tidak ada yang lebih membuat frustrasi daripada saat Anda berada jauh di atas level mereka.”
Semua staf memerlukan beberapa tingkat pelatihan keamanan berkelanjutan, tetapi pelatihan mendalam harus ditargetkan kepada orang-orang tertentu yang paling membutuhkannya. “Anda dapat melihat orang-orang yang jeli dan mereka yang membutuhkan sedikit lebih banyak pelatihan,” kata Tankard. “Skor memudahkan tim TI dan orang-orang tata kelola untuk mengetahui di tingkat mana tenaga kerja berada.”
Sektor keamanan, terutama yang berada di bidang operasi, akrab dengan game, dan banyak juga yang merupakan gamer itu sendiri. Dengan demikian, mereka akan merasa nyaman dengan banyak elemen dan bahasa yang digamifikasi dalam pelatihan yang digamifikasi. Namun, mereka yang tidak terlibat langsung mungkin tidak terbiasa dengan permainan dan mungkin tidak menghargai metodologi yang digunakan, atau mungkin gagal melihat manfaatnya.
Memindahkan pelatihan secara online
Sejak pandemi, pelatihan keamanan telah berpindah ke online dan begitu pula proses gamifikasi, meskipun secara virtual. Meskipun sesi pelatihan online secara alami mengurangi aspek tatap muka, mereka dapat meningkatkan kolaborasi yang lebih besar antar tim, karena mereka tidak lagi terikat secara geografis. Dengan membuat semua orang berfokus pada tujuan tertentu, mereka dapat bekerja sama dalam lingkungan virtual. “Dengan mengikuti pelatihan online, kolaborasi menjadi lebih baik, karena Anda dapat berkolaborasi dengan orang-orang di berbagai negara,” kata McCullagh.
Tetapi berfokus pada pelatihan yang digamifikasi dapat merugikan diri sendiri karena dapat menunda penerapan rezim pelatihan, dan pelatihan apa pun lebih baik daripada tidak ada pelatihan. “Membuatnya menghibur – itu hal kedua,” kata Tankard. “Hal pertama adalah mendapatkan sesuatu di tempat dan menjalankannya – itulah kuncinya.”
Pelatihan keamanan dunia maya, dan cara penyajiannya, sedang berubah, tetapi di dunia kita yang terhubung, dengan ancaman yang terus meningkat, pelatihan perlu berkembang dan menjadi lebih menarik. McCullagh menyimpulkan: “Jika Anda mendudukkan orang dengan anggota tim lain dan melakukan sesi singkat, itu melibatkan mereka dan membawa mereka masuk. Jika Anda mengajak mereka dalam perjalanan, atau membuat mereka bersaing satu sama lain, tiba-tiba mereka menjadi terlibat dan perlu tahu, misalnya, berapa lama waktu yang diperlukan untuk menebak kata sandi ini.”
Indonesian
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Russian
Spanish