Cara Ilmu Perilaku Kurangi Human Error & Tingkatkan Keamanan Siber

Ancaman keamanan siber menjadi salah satu perhatian utama bagi perusahaan dan individu. Meskipun teknologi keamanan semakin berkembang, salah satu titik lemah terbesar yang sering kali tidak disadari adalah human error atau kesalahan manusia. Kesalahan manusia, seperti mengklik tautan phishing atau menggunakan kata sandi yang lemah, sering menjadi pintu masuk bagi serangan siber.

Ilmu perilaku, yang mempelajari bagaimana manusia berpikir, bertindak, dan bereaksi dalam berbagai situasi, menawarkan solusi inovatif untuk mengatasi risiko ini. Dengan memahami faktor psikologis yang mendorong perilaku manusia, perusahaan dapat lebih efektif dalam mengurangi risiko human error dalam keamanan siber. Artikel ini akan membahas bagaimana ilmu perilaku dapat diterapkan dalam konteks keamanan siber untuk membantu mengurangi risiko tersebut.

Apa Itu Human Error dalam Keamanan Siber?

Sebelum membahas bagaimana ilmu perilaku dapat membantu, penting untuk memahami apa yang dimaksud dengan human error dalam konteks keamanan siber. Human error terjadi ketika seseorang melakukan tindakan yang tidak disengaja atau kelalaian yang berpotensi membahayakan keamanan data. Beberapa contoh human error dalam keamanan siber antara lain:

Phishing: Karyawan atau individu mengklik tautan berbahaya dalam email phishing, yang menyebabkan pencurian kredensial atau malware diinstal pada perangkat mereka.

Penggunaan kata sandi yang lemah: Banyak orang masih menggunakan kata sandi yang mudah ditebak, seperti "123456" atau "password," yang memudahkan penyerang untuk mengakses akun mereka.

Mengabaikan pembaruan sistem: Pengguna sering kali mengabaikan atau menunda pembaruan perangkat lunak keamanan, yang menyebabkan kerentanan yang dapat dieksploitasi oleh peretas.

Kesalahan konfigurasi: Administrator sistem yang salah mengonfigurasi sistem atau perangkat keamanan, yang membuka celah bagi serangan siber.

Dalam banyak kasus, human error disebabkan oleh kurangnya pengetahuan, perhatian yang terbatas, atau kebiasaan yang buruk. Di sinilah ilmu perilaku dapat berperan untuk mengubah perilaku individu dan mengurangi risiko tersebut.

Bagaimana Ilmu Perilaku Membantu Mengurangi Human Error?
Ilmu perilaku berfokus pada memahami mengapa manusia melakukan tindakan tertentu dan bagaimana mereka merespons berbagai rangsangan atau situasi. Dengan menerapkan prinsip-prinsip ini, perusahaan dapat mengembangkan strategi keamanan siber yang lebih baik yang memperhitungkan kelemahan manusia dan membantu mencegah kesalahan yang dapat menyebabkan pelanggaran keamanan. Berikut adalah beberapa pendekatan yang dapat diambil dari ilmu perilaku untuk mengurangi risiko human error:

1. Nudging: Mendorong Perilaku Positif

Nudging adalah teknik dalam ilmu perilaku yang melibatkan memberikan dorongan lembut kepada individu untuk membuat keputusan yang lebih baik tanpa memaksakan mereka. Dalam konteks keamanan siber, nudging dapat digunakan untuk mendorong karyawan agar lebih berhati-hati dalam tindakan mereka. Contoh penerapan nudging dalam keamanan siber antara lain:

Pengingat kata sandi: Mengirimkan pengingat berkala kepada karyawan untuk memperbarui kata sandi mereka, disertai dengan rekomendasi untuk menggunakan kata sandi yang kuat.
Peringatan phishing: Menampilkan peringatan visual ketika karyawan mencoba mengklik tautan yang mencurigakan dalam email.
Gamifikasi keamanan siber: Menerapkan elemen permainan, seperti poin atau penghargaan, untuk mendorong partisipasi aktif karyawan dalam pelatihan keamanan siber.
Dengan memberikan dorongan yang tepat, nudging dapat membantu mengubah perilaku karyawan tanpa membuat mereka merasa terpaksa atau diawasi secara berlebihan.

2. Menggunakan Prinsip Pembelajaran Bertahap (Chunking) untuk Pelatihan

Salah satu alasan mengapa karyawan sering gagal dalam menjaga keamanan siber adalah karena pelatihan keamanan tradisional cenderung terlalu panjang dan rumit. Berdasarkan prinsip chunking dalam ilmu perilaku, pelatihan dapat dibuat lebih efektif dengan memecah informasi menjadi potongan-potongan kecil yang mudah dicerna dan dipahami.

Misalnya, alih-alih memberikan satu pelatihan panjang tentang semua aspek keamanan siber, perusahaan dapat membagi materi menjadi beberapa sesi pelatihan singkat yang fokus pada satu topik spesifik. Metode ini tidak hanya membuat pelatihan lebih mudah dipahami, tetapi juga membantu karyawan lebih mengingat informasi yang disampaikan.

Pelatihan semacam ini dikenal sebagai microlearning, dan terbukti efektif dalam membantu karyawan mempertahankan pengetahuan serta mengubah kebiasaan perilaku yang lebih baik dalam menjaga keamanan siber. Banyak perusahaan besar sudah mulai mengadopsi pelatihan jenis ini karena hasilnya lebih efektif daripada pelatihan tradisional.

3. Memanfaatkan Bias Kognitif untuk Keamanan yang Lebih Baik

Ilmu perilaku telah mengidentifikasi berbagai bias kognitif yang dapat mempengaruhi pengambilan keputusan manusia. Memahami bias ini dapat membantu perusahaan merancang intervensi yang lebih baik untuk mengurangi human error. Beberapa bias kognitif yang relevan dengan keamanan siber antara lain:

Optimisme berlebihan (Optimism Bias): Banyak orang cenderung berpikir bahwa mereka tidak akan menjadi korban serangan siber, sehingga mereka kurang berhati-hati. Untuk mengatasi bias ini, perusahaan dapat memberikan contoh konkret tentang bagaimana serangan siber dapat mempengaruhi siapa saja, termasuk mereka yang merasa aman.

Bias konfirmasi (Confirmation Bias): Orang cenderung mencari informasi yang mendukung keyakinan mereka dan mengabaikan bukti yang bertentangan. Dalam konteks keamanan siber, hal ini dapat diatasi dengan menyajikan informasi yang jelas dan tak terbantahkan tentang pentingnya tindakan pencegahan keamanan, seperti menggunakan kata sandi yang kuat atau waspada terhadap email phishing.

Efek status quo: Banyak orang lebih memilih untuk tidak melakukan perubahan dan tetap dengan kebiasaan yang ada, bahkan jika kebiasaan tersebut tidak aman. Untuk melawan bias ini, perusahaan dapat membuat tindakan keamanan menjadi pilihan default yang mudah diikuti, misalnya mengaktifkan otentikasi dua faktor secara otomatis bagi semua pengguna.

Dengan memanfaatkan pengetahuan tentang bias kognitif, perusahaan dapat merancang pendekatan keamanan yang lebih manusiawi dan efektif.

4. Membangun Budaya Keamanan Siber melalui Penguatan Positif

Pendekatan lain yang dapat diambil dari ilmu perilaku adalah penguatan positif, yaitu memberikan penghargaan atau pengakuan atas perilaku yang diinginkan. Dalam konteks keamanan siber, perusahaan dapat memberikan insentif atau penghargaan kepada karyawan yang menunjukkan kepatuhan terhadap kebijakan keamanan atau yang berhasil mendeteksi dan melaporkan ancaman siber.

Misalnya, perusahaan dapat menerapkan program penghargaan bulanan bagi karyawan yang berhasil menyelesaikan pelatihan keamanan, mendeteksi upaya phishing, atau melaporkan insiden keamanan. Penguatan positif ini dapat memotivasi karyawan untuk lebih proaktif dalam menjaga keamanan data perusahaan.

Pengakuan atas perilaku yang baik juga membantu membangun budaya keamanan siber yang kuat di dalam perusahaan. Ketika karyawan melihat bahwa rekan mereka mendapatkan penghargaan atas tindakan yang benar, mereka akan lebih termotivasi untuk mengikuti jejak yang sama.

5. Otentikasi Multi-Faktor sebagai Intervensi Perilaku

Mengandalkan hanya pada satu faktor otentikasi, seperti kata sandi, menempatkan keamanan data pada risiko besar jika terjadi human error. Otentikasi multi-faktor (MFA) adalah langkah keamanan yang memperkuat perlindungan data dengan meminta pengguna untuk menyediakan lebih dari satu bukti identitas.

Dari sudut pandang ilmu perilaku, penggunaan MFA bisa dianggap sebagai intervensi perilaku yang mengurangi risiko human error secara signifikan. Dengan memperkenalkan hambatan tambahan (seperti verifikasi melalui telepon seluler atau sidik jari), MFA dapat membantu pengguna lebih berhati-hati sebelum mengakses sistem. Ini secara otomatis mengurangi kemungkinan bahwa data atau akun akan terkompromi hanya karena kesalahan manusia dalam menjaga kata sandi.

Beberapa perusahaan besar seperti Google dan Microsoft sudah mulai menerapkan otentikasi multi-faktor sebagai kebijakan wajib untuk semua pengguna dan karyawan. Langkah ini terbukti secara signifikan mengurangi insiden keamanan yang disebabkan oleh kata sandi yang dicuri atau terkompromi.

6. Simulasi Phishing sebagai Alat Edukasi Berkelanjutan

Salah satu alat paling efektif yang dikembangkan dari ilmu perilaku adalah simulasi phishing. Dengan menempatkan karyawan dalam situasi yang mensimulasikan ancaman nyata, perusahaan dapat mengajarkan mereka cara bereaksi dengan benar ketika dihadapkan pada email phishing.

Simulasi phishing ini harus diikuti oleh umpan balik yang konstruktif, yang membantu karyawan memahami di mana mereka melakukan kesalahan dan bagaimana mereka dapat menghindari kesalahan tersebut di masa depan. Dalam hal ini, simulasi bertindak sebagai pembelajaran berbasis pengalaman, yang sangat efektif dalam membentuk perilaku baru dan mengurangi risiko human error di masa mendatang.

Simulasi ini juga berfungsi sebagai alat evaluasi untuk menilai sejauh mana karyawan menyadari risiko keamanan siber. Perusahaan dapat menggunakan hasil simulasi untuk mengidentifikasi area di mana karyawan memerlukan pelatihan tambahan, serta memantau perkembangan mereka dari waktu ke waktu.

7. Personalisasi Kebijakan Keamanan

Ilmu perilaku juga menunjukkan bahwa semakin relevan dan personal suatu informasi, semakin besar kemungkinan orang akan mengambil tindakan. Oleh karena itu, kebijakan dan pelatihan keamanan siber yang dipersonalisasi sesuai dengan peran atau tanggung jawab karyawan dapat meningkatkan efektivitas.

Contohnya, karyawan di departemen keuangan mungkin lebih sering menjadi target serangan phishing yang berkaitan dengan transfer dana, sehingga mereka memerlukan pelatihan khusus tentang bagaimana mendeteksi email yang mencurigakan terkait transaksi keuangan. Dengan menyelaraskan pelatihan dengan tantangan spesifik yang dihadapi oleh setiap departemen atau individu, perusahaan dapat memastikan bahwa karyawan lebih waspada dan siap menghadapi ancaman siber yang relevan dengan pekerjaan mereka.

Selain itu, dengan mempersonalisasi pelatihan berdasarkan perilaku sebelumnya, perusahaan dapat memberikan solusi yang lebih relevan kepada karyawan yang menunjukkan kecenderungan untuk melakukan human error. Misalnya, seorang karyawan yang berulang kali menggunakan kata sandi lemah dapat diminta untuk mengikuti pelatihan keamanan kata sandi yang lebih intensif.

8. Pengaturan Pilihan Default yang Lebih Aman

Penelitian dalam ilmu perilaku menunjukkan bahwa banyak orang cenderung tetap pada pilihan default yang ditetapkan oleh sistem, terlepas dari apakah pilihan itu optimal atau tidak. Ini dikenal sebagai efek default. Oleh karena itu, perusahaan dapat mengurangi risiko human error dengan memastikan bahwa pengaturan default dalam sistem keamanan mereka sudah dioptimalkan untuk keamanan yang lebih baik.

Sebagai contoh, perusahaan dapat mengaktifkan secara otomatis enkripsi untuk semua email dan dokumen yang dikirim oleh karyawan, atau mengatur otentikasi dua faktor sebagai pilihan default ketika karyawan mengakses sistem dari jarak jauh. Dengan demikian, karyawan tidak perlu mengambil tindakan ekstra untuk memastikan bahwa mereka mematuhi praktik keamanan terbaik.

Penetapan pengaturan default yang lebih aman ini tidak hanya melindungi perusahaan dari potensi ancaman, tetapi juga membantu karyawan menghindari kesalahan yang disebabkan oleh kurangnya perhatian atau pengetahuan teknis.

Studi Kasus: Penerapan Ilmu Perilaku dalam Keamanan Siber

Untuk memberikan pemahaman lebih mendalam tentang bagaimana ilmu perilaku dapat diterapkan dalam konteks dunia nyata, mari kita lihat beberapa contoh kasus perusahaan besar yang telah berhasil mengurangi human error melalui pendekatan perilaku.

1. Google dan MFA

Google memperkenalkan otentikasi multi-faktor kepada semua karyawannya pada tahun 2017 setelah menyadari bahwa salah satu penyebab utama pelanggaran data di perusahaan adalah kesalahan manusia, terutama terkait dengan penggunaan kata sandi yang lemah. Dengan mewajibkan penggunaan MFA, Google berhasil mengurangi jumlah insiden keamanan secara signifikan dan menciptakan budaya keamanan yang lebih kuat di kalangan karyawannya.

2. JPMorgan Chase dan Program Simulasi Phishing

JPMorgan Chase, salah satu bank terbesar di dunia, menerapkan program simulasi phishing yang komprehensif untuk melatih karyawannya tentang cara mengenali email phishing. Setiap bulan, karyawan menerima email phishing palsu, dan hasil dari simulasi ini digunakan untuk menilai kinerja setiap karyawan dan departemen. Program ini membantu perusahaan mengidentifikasi kelemahan dalam kesadaran keamanan karyawan dan memberikan pelatihan tambahan sesuai kebutuhan.

Selain itu, JPMorgan Chase juga mengadopsi pendekatan penguatan positif dengan memberikan penghargaan kepada karyawan yang berhasil mendeteksi dan melaporkan phishing. Langkah ini mendorong keterlibatan yang lebih besar dari karyawan dalam upaya keamanan perusahaan.

Kesimpulan

Human error adalah salah satu faktor terbesar dalam pelanggaran keamanan siber, tetapi dengan menggunakan ilmu perilaku, perusahaan dapat mengurangi risiko ini secara signifikan. Pendekatan seperti nudging, pemanfaatan bias kognitif, penguatan positif, dan pelatihan yang dipersonalisasi dapat membantu mengubah perilaku karyawan dan memperkuat budaya keamanan siber dalam organisasi.

Dengan menerapkan strategi-strategi berbasis ilmu perilaku ini, perusahaan dapat lebih efektif dalam melindungi data dan sistem mereka dari ancaman siber yang disebabkan oleh kesalahan manusia. Mengurangi risiko human error tidak hanya akan meningkatkan keamanan siber, tetapi juga membantu menciptakan lingkungan kerja yang lebih aman dan produktif secara keseluruhan.