Mengukur Efektivitas Program Awareness dari Perspektif Faktor Manusia

Insiden siber semakin sering terjadi dan membawa dampak besar bagi organisasi, baik dari sisi finansial maupun reputasi. Banyak perusahaan berinvestasi besar pada teknologi keamanan, namun faktanya mayoritas serangan siber justru dipicu oleh faktor manusia, seperti kelalaian, kurangnya kesadaran, atau tindakan yang disengaja. Hal ini menunjukkan bahwa teknologi saja tidak cukup tanpa adanya peran aktif dari individu di dalam organisasi. Karena itu, program awareness menjadi sangat penting sebagai upaya pencegahan pertama yang berfokus pada edukasi dan perubahan perilaku karyawan. Artikel ini bertujuan untuk membahas bagaimana efektivitas program awareness dapat diukur secara tepat, dengan menempatkan manusia sebagai pusat analisis agar strategi keamanan siber lebih komprehensif dan berkelanjutan.

Mengapa Program Awareness Tidak Bisa Hanya Berbasis Teknologi

Banyak organisasi masih beranggapan bahwa investasi besar pada firewall, antivirus, atau sistem deteksi intrusi sudah cukup untuk menangkal serangan siber. Namun, kenyataannya kasus kebocoran data, serangan phishing, maupun insider threat justru sering terjadi akibat kelalaian atau tindakan manusia di dalam organisasi. Hal ini menunjukkan bahwa faktor manusia tetap menjadi titik lemah utama meskipun infrastruktur teknologi sudah diperkuat.  Jurnal Review and Insight on the Behavioral Aspects of Cybersecurity yang ditulis oleh Ait Maalem Lahcen, Bruce Caulkins, Ram Mohapatra, dan Manish Kumar (2020) menekankan bahwa teknologi hanyalah sebagian dari solusi, sementara kesalahan manusia—baik disengaja maupun tidak—dapat membuka celah yang lebih besar daripada kerentanan teknis. Studi ini bahkan menunjukkan bahwa rata-rata waktu yang dibutuhkan penyerang untuk mengakses sistem organisasi jauh lebih cepat dibandingkan waktu organisasi menyadari adanya pelanggaran.

Pendekatan yang hanya menekankan pada tools terbukti memiliki kelemahan, karena sering kali mengabaikan aspek perilaku, bias, maupun beban kerja manusia yang memengaruhi respons terhadap ancaman. Menurut Lahcen et al. (2020) menegaskan bahwa teknologi hanyalah sebagian dari solusi, sementara kesalahan manusia—baik disengaja maupun tidak—dapat membuka celah yang lebih besar daripada kerentanan teknis. Hal serupa juga diungkapkan oleh Pfleeger & Caputo dalam artikelnya Leveraging Behavioral Science to Mitigate Cybersecurity Risk (2012), bahwa sistem keamanan sering kali dibangun dengan fokus pada kebutuhan pengguna, lalu keamanan ditambahkan belakangan, sehingga tidak memperhitungkan kapasitas kognitif dan bias manusia yang menjadi faktor risiko utama.

Karena itu, perlu ada perubahan paradigma dari sekadar fokus teknis menuju pendekatan interdisipliner yang menggabungkan teknologi dengan psikologi, kriminologi, dan ilmu perilaku. Pendekatan ini memungkinkan organisasi memahami motivasi, norma sosial, dan pola pengambilan keputusan karyawan dalam menghadapi risiko. Dengan menempatkan manusia sebagai pusat perhatian, program awareness tidak hanya mendidik secara teknis, tetapi juga membangun budaya keamanan yang lebih kuat dan berkelanjutan, sebagaimana direkomendasikan oleh Lahcen et al. (2020) dan diperkuat oleh Pfleeger & Caputo (2012) yang menekankan perlunya integrasi faktor manusia sejak tahap desain sistem.

Baca juga: Mengatasi Human Error di Keamanan Siber dengan Pendekatan Psikologi

Perspektif Faktor Manusia dalam Keamanan Siber

Dalam konteks program awareness, faktor manusia didefinisikan sebagai segala aspek perilaku, sikap, dan keputusan individu yang mempengaruhi tingkat keamanan informasi di sebuah organisasi. Teknologi memang berperan penting, tetapi manusia tetap menjadi elemen kunci karena interaksi sehari-hari dengan sistem bisa membuka peluang bagi serangan. Ait Maalem Lahcen, Caulkins, Mohapatra, dan Kumar dalam jurnal Review and Insight on the Behavioral Aspects of Cybersecurity (2020) menegaskan bahwa efektivitas keamanan siber sangat ditentukan oleh bagaimana manusia memandang risiko, mematuhi kebijakan, serta merespons ancaman.

Human error bahkan disebut sebagai pintu masuk terbesar bagi ancaman siber, baik dalam bentuk kelalaian sederhana maupun tindakan disengaja. Lahcen et al. (2020) mengusulkan klasifikasi UIM—Unintentional, Intentional, dan Malicious—untuk mempermudah pemetaan risiko. Misalnya, karyawan yang tanpa sadar membuka tautan berbahaya masuk kategori unintentional, sedangkan menyimpan password di sticky note adalah intentional, dan pencurian data oleh pegawai sendiri termasuk malicious. Pendekatan klasifikasi ini memudahkan organisasi merancang program awareness yang lebih terarah, dengan strategi berbeda untuk tiap jenis kesalahan.

Studi perbandingan dari industri lain memperkuat pentingnya faktor manusia dalam desain sistem yang aman. Di industri penerbangan dan kimia, kegagalan sering kali dihubungkan dengan kesalahan manusia sehingga sistem didesain untuk meminimalkan dampak error. Prinsip serupa dapat diterapkan dalam keamanan siber: bukan hanya menyalahkan individu, tetapi memastikan sistem, kebijakan, dan lingkungan kerja mendukung perilaku aman. Dengan belajar dari pengalaman sektor lain, organisasi dapat mengembangkan program awareness yang tidak hanya melatih, tetapi juga membentuk budaya kerja yang ramah manusia sekaligus tahan terhadap ancaman siber (Pfleeger & Caputo, 2012).

Teori Perilaku yang Relevan untuk Program Awareness

Untuk memahami efektivitas program awareness, penting melihat bagaimana teori perilaku dapat menjelaskan pola tindakan manusia dalam menghadapi risiko siber. Teori-teori ini membantu organisasi merancang intervensi yang lebih tepat sasaran, karena tidak semua pelanggaran keamanan bersifat teknis, melainkan berakar pada aspek psikologis dan sosial. Berikut adalah tiga teori utama yang relevan:

Theory of Planned Behavior (TPB)

Theory of Planned Behavior (TPB) menjelaskan bahwa perilaku individu sangat dipengaruhi oleh norma sosial, sikap pribadi, dan persepsi terhadap kontrol perilaku. Dalam konteks keamanan siber, karyawan yang melihat rekan kerja atau lingkungannya mendukung perilaku aman akan lebih cenderung mengikuti praktik tersebut. Lahcen et al. (2020) menekankan bahwa norma dan kontrol perilaku dapat menjadi prediktor penting dalam niat seseorang untuk bertindak aman, misalnya tidak membagikan password atau waspada terhadap phishing.

Social Cognitive Theory (SCT)

Social Cognitive Theory (SCT) menekankan peran self-efficacy, yaitu keyakinan individu terhadap kemampuannya sendiri untuk melakukan tindakan aman. Seorang karyawan dengan tingkat self-efficacy tinggi akan lebih konsisten menjaga kebiasaan baik, seperti mematuhi kebijakan keamanan atau melaporkan insiden. Lahcen et al. (2020) juga menyoroti bahwa faktor lingkungan dan pengalaman berinteraksi dengan teknologi berpengaruh besar terhadap perilaku ini. Dengan kata lain, program awareness yang memberikan pengalaman langsung, simulasi, atau latihan praktis dapat meningkatkan self-efficacy sehingga karyawan lebih percaya diri dalam menghadapi ancaman.

Deterrence & Neutralization Theory

Teori deterrence berasumsi bahwa ancaman sanksi dapat mencegah pelanggaran, tetapi dalam praktiknya banyak karyawan masih melanggar meski risiko hukuman ada. Hal ini dapat dijelaskan dengan teori neutralization, yaitu kecenderungan individu membenarkan perilaku menyimpang dengan alasan tertentu, misalnya “hanya sekali” atau “tidak akan ketahuan.” Lahcen et al. (2020) menegaskan bahwa motivasi semacam ini membuat sanksi tidak selalu efektif tanpa dibarengi dengan pendekatan perilaku yang lebih mendalam. Oleh karena itu, penting memahami bahwa pelanggaran sering kali lahir dari pembenaran diri, bukan semata karena kurangnya pengetahuan.

Mengintegrasikan ketiga teori di atas berarti program awareness tidak boleh berhenti pada transfer informasi teknis. Organisasi harus membangun norma sosial yang positif (TPB), meningkatkan kepercayaan diri karyawan melalui simulasi dan latihan nyata (SCT), serta mengatasi justifikasi perilaku berisiko dengan komunikasi yang transparan dan edukasi berkelanjutan (Deterrence & Neutralization). Dengan cara ini, program awareness menjadi lebih efektif karena dirancang sesuai dengan cara manusia berpikir, berinteraksi, dan membuat keputusan.

Mengukur Efektivitas Program Awareness

Mengukur efektivitas program awareness tidak bisa hanya berhenti pada jumlah karyawan yang mengikuti pelatihan. Diperlukan indikator kuantitatif yang jelas, misalnya tingkat partisipasi pelatihan, penurunan angka klik pada email phishing, hingga meningkatnya laporan insiden oleh karyawan. Menurut Lahcen et al. (2020), data semacam ini memberikan gambaran konkret sejauh mana karyawan benar-benar terlibat dalam praktik keamanan sehari-hari, bukan sekadar hadir dalam sesi pelatihan.

Selain angka, indikator kualitatif juga sangat penting karena menyentuh aspek perilaku dan psikologis karyawan. Misalnya, perubahan sikap terhadap risiko, peningkatan self-efficacy dalam menghadapi ancaman, serta kesadaran bahwa tindakan kecil dapat berdampak besar pada keamanan organisasi. Lahcen et al. (2020) menekankan bahwa bias kognitif, norma sosial, dan persepsi risiko sering kali menjadi faktor yang menentukan apakah karyawan akan mematuhi kebijakan keamanan atau justru mengabaikannya. Oleh karena itu, survei yang mengukur perubahan sikap dan persepsi setelah pelatihan bisa menjadi tolok ukur keberhasilan program awareness.

Lebih jauh lagi, efektivitas program awareness juga dapat diuji melalui simulasi dan modeling, terutama untuk serangan berbasis social engineering. Misalnya, organisasi bisa menggunakan phishing simulation untuk melihat bagaimana karyawan bereaksi terhadap email mencurigakan, atau menjalankan survei behavioral metrics untuk mengukur tingkat kewaspadaan dalam situasi nyata. Lahcen et al. (2020) menyebut bahwa modeling dan simulasi membantu organisasi memahami respon kognitif karyawan serta menguji desain sistem yang ramah manusia. Dengan cara ini, evaluasi program awareness menjadi lebih komprehensif karena menggabungkan data kuantitatif, kualitatif, dan hasil simulasi nyata.

Integrasi Human Factors ke dalam Program Awareness

Mengintegrasikan human factors ke dalam program awareness sangat penting karena manusia tetap menjadi titik paling rentan dalam rantai keamanan siber. Salah satu kerangka yang dapat digunakan adalah MARC Process (Map-Assess-Recognize-Conclude). Proses ini membantu organisasi memetakan karakteristik pengguna, menilai kapabilitas serta lingkungan kerja mereka, mengenali faktor-faktor yang dapat memicu kesalahan, lalu menyimpulkan strategi pencegahan yang tepat. Menurut Lahcen et al. (2020), pendekatan ini memungkinkan perusahaan memahami keterbatasan manusia sejak awal sehingga risiko dapat diminimalkan melalui desain program yang lebih adaptif.

Beberapa faktor kunci yang harus diperhatikan dalam evaluasi human factors mencakup komunikasi, teamwork, fatigue, tekanan kerja, dan distraksi. Misalnya, kurangnya komunikasi bisa membuat informasi ancaman tidak sampai ke tim, sementara tekanan kerja dan kelelahan dapat menyebabkan karyawan mengambil jalan pintas yang berbahaya. Lahcen et al. (2020) menunjukkan bahwa faktor-faktor seperti ini memiliki dampak langsung terhadap munculnya human error, yang sering kali menjadi pintu masuk serangan siber. Dengan mengenali faktor kunci ini, organisasi dapat mengidentifikasi celah yang tidak bisa diselesaikan hanya dengan teknologi.

Oleh karena itu, strategi organisasi dalam merancang program awareness harus bersifat personal dan relevan dengan jabatan serta konteks kerja masing-masing karyawan. Program yang generik sering kali gagal membangun keterlibatan, sementara pendekatan yang kontekstual justru meningkatkan self-efficacy dan kesadaran individu. Lahcen et al. (2020) menekankan bahwa desain yang memperhitungkan faktor manusia bukan hanya sekadar transfer pengetahuan, melainkan juga pembentukan budaya keamanan yang mendukung perilaku aman sehari-hari. Dengan cara ini, awareness training menjadi lebih efektif karena sesuai dengan kebutuhan nyata pengguna.

Strategi Praktis Meningkatkan Efektivitas

Mengacu pada temuan Ait Maalem Lahcen, Caulkins, Mohapatra, dan Kumar dalam jurnal Review and Insight on the Behavioral Aspects of Cybersecurity (2020), ada beberapa strategi praktis yang dapat diterapkan untuk meningkatkan efektivitas program awareness dalam organisasi. Strategi-strategi ini berfokus pada pendekatan manusiawi, relevan, dan berkelanjutan sehingga mampu membangun budaya keamanan yang kuat, bukan sekadar kepatuhan jangka pendek.

Personalisasi Awareness Training

Program awareness sebaiknya tidak bersifat generik, melainkan dirancang sesuai kebutuhan, jabatan, serta tingkat risiko yang dihadapi karyawan. Dengan cara ini, materi pelatihan menjadi lebih relevan dan mudah dipahami. Sebagai contoh, staf keuangan lebih banyak dilatih menghadapi phishing bertema invoice atau rekonsiliasi transaksi, sedangkan staf IT lebih difokuskan pada keamanan akses sistem dan praktik penggunaan kata sandi. Personalisasi juga dapat berupa format penyampaian, misalnya modul interaktif untuk generasi muda atau diskusi studi kasus untuk level manajerial. Semakin sesuai materi dengan konteks pekerjaan, semakin tinggi pula kemungkinan karyawan benar-benar mengaplikasikan pengetahuan yang mereka peroleh.

Gamifikasi dan Simulasi

Gamifikasi dan simulasi merupakan cara yang efektif untuk meningkatkan keterlibatan sekaligus daya ingat peserta. Dengan memasukkan elemen kompetisi, poin, atau reward, karyawan merasa lebih tertantang untuk terlibat aktif dalam pelatihan. Simulasi phishing, misalnya, membuat karyawan berhadapan langsung dengan email palsu yang menyerupai serangan nyata. Dari pengalaman tersebut, mereka tidak hanya belajar teori, tetapi juga memahami reaksi emosional yang muncul saat dihadapkan dengan tekanan. Efek belajar semacam ini lebih membekas karena meniru situasi nyata tanpa harus menanggung risiko kerugian yang sebenarnya.

Menggunakan Prinsip Weapons of Influence

Prinsip-prinsip persuasi dari Robert Cialdini, seperti authority, social proof, dan reciprocity, dapat digunakan secara positif untuk membentuk perilaku aman. Misalnya, pesan keamanan yang disampaikan langsung oleh pimpinan organisasi (authority) cenderung memiliki pengaruh lebih besar dibandingkan pesan dari staf biasa. Begitu juga ketika karyawan melihat mayoritas rekan kerja sudah mematuhi kebijakan keamanan (social proof), mereka terdorong untuk ikut menjaga konsistensi perilaku. Prinsip reciprocity dapat diterapkan dengan memberi penghargaan atau apresiasi kecil bagi karyawan yang melaporkan insiden, sehingga tercipta kebiasaan melapor yang lebih aktif. Pendekatan berbasis psikologi ini melengkapi sisi teknis dan membuat awareness lebih efektif.

Continuous Improvement

Program awareness tidak boleh diperlakukan sebagai proyek sekali jalan, melainkan harus dikelola sebagai proses yang terus berkembang. Evaluasi berkala melalui survei, audit internal, dan benchmarking dengan standar industri penting untuk memastikan program tetap relevan dengan dinamika ancaman. Misalnya, survei dapat mengukur persepsi risiko karyawan sebelum dan sesudah pelatihan, sementara audit dapat menilai apakah kebijakan benar-benar diterapkan di lapangan. Benchmarking dengan praktik terbaik organisasi lain juga membantu memastikan perusahaan tidak tertinggal dalam mengelola human risk. Dengan pendekatan continuous improvement ini, awareness training akan selalu diperbarui sesuai kebutuhan dan dapat beradaptasi dengan cepat terhadap tren serangan baru.

Baca juga: Gamifikasi dalam Program Cyber Awareness: Apakah Efektif?

Kesimpulan

Sebuah Program Awareness hanya akan benar-benar efektif jika berpusat pada faktor manusia, karena disanalah titik paling rentan sekaligus peluang terbesar untuk membangun ketahanan siber. Mengukur efektivitas tidak cukup dengan melihat angka partisipasi pelatihan semata, tetapi harus mengintegrasikan aspek perilaku, psikologi, serta desain sistem yang ramah pengguna agar perubahan perilaku dapat bertahan dalam jangka panjang. Oleh karena itu, perusahaan perlu mengembangkan program awareness yang berbasis riset perilaku dan disesuaikan dengan konteks kerja nyata, sehingga mampu menghadapi ancaman siber yang semakin kompleks. Di sinilah SiberMate hadir sebagai mitra strategis yang membantu organisasi membangun budaya keamanan berkelanjutan melalui pendekatan human risk management yang komprehensif.