Strategi Social Marketing Ubah Perilaku Karyawan di Keamanan Siber

Dalam konteks keamanan siber, karyawan kerap dianggap sebagai “mata rantai terlemah” karena banyak insiden bermula dari kelalaian manusia, bukan semata kelemahan teknologi. Selama ini, organisasi telah mengandalkan program Security Education, Training, and Awareness (SETA) untuk meningkatkan pemahaman karyawan, namun pendekatan tersebut sering kali hanya menambah pengetahuan tanpa benar-benar menghasilkan perubahan perilaku yang konsisten. Di sinilah konsep social marketing hadir sebagai kerangka evaluasi baru yang lebih menekankan pada upaya mengubah perilaku karyawan secara nyata, bukan sekadar menambah informasi.

Mengenal Social Marketing dalam Keamanan Siber

Social marketing adalah pendekatan yang menggunakan prinsip-prinsip pemasaran, bukan untuk menjual produk atau jasa, melainkan untuk mendorong perubahan perilaku yang lebih baik di masyarakat atau dalam organisasi. Intinya, social marketing berfokus pada bagaimana memahami audiens—termasuk kebutuhan, hambatan, dan motivasi mereka—agar pesan yang disampaikan dapat lebih mudah diterima dan dijalankan dalam kehidupan sehari-hari.

Perbedaannya dengan pemasaran komersial cukup jelas. Jika pemasaran tradisional bertujuan meningkatkan penjualan atau keuntungan finansial, maka social marketing diarahkan pada perubahan sosial dan perilaku yang memberikan manfaat jangka panjang. Contohnya bisa dilihat pada kampanye kesehatan, keselamatan kerja, hingga pengelolaan lingkungan, yang lebih menekankan pada adopsi kebiasaan baru ketimbang transaksi.

Dalam ranah keamanan siber, social marketing menjadi relevan karena ancaman terbesar sering kali justru muncul dari perilaku karyawan, bukan sekadar kelemahan teknologi. Dengan prinsip social marketing, organisasi dapat merancang program edukasi yang lebih engaging dan sesuai dengan konteks keseharian karyawan. 

Baca juga: Memperkuat Ketahanan Keamanan Siber dengan Pendekatan Ilmu Perilaku

Masalah Program SETA Tradisional

Sebelum membahas bagaimana social marketing bisa jadi solusi, mari lihat dulu kelemahan program Security Education, Training, and Awareness (SETA) yang banyak dipakai di organisasi. Walaupun sudah lama dijalankan, program ini sering kali belum benar-benar mengubah perilaku karyawan di lapangan. 

Fokus Pada Pengetahuan, Bukan Perilaku

Sebagian besar program SETA masih menitikberatkan pada pemberian informasi, seperti modul pelatihan, presentasi, atau kuis yang dirancang untuk menambah pemahaman karyawan. Tujuannya memang agar mereka mengetahui aturan atau prosedur yang benar dalam keamanan siber. Namun, program ini sering kali berhenti di level pengetahuan saja tanpa memastikan adanya perubahan nyata dalam tindakan sehari-hari. Akibatnya, karyawan mungkin tahu apa yang harus dilakukan, tetapi belum tentu mau atau konsisten melakukannya.

Abaikan Motivasi dan Hambatan Karyawan

Kelemahan lain yang sering muncul adalah kurangnya perhatian terhadap sisi manusiawi karyawan, seperti motivasi, persepsi risiko, dan hambatan praktis yang mereka hadapi. Misalnya, ketika aturan password terlalu rumit, karyawan bisa saja merasa terbebani dan akhirnya mencari jalan pintas yang justru tidak aman. Hal ini menunjukkan bahwa pendekatan SETA yang bersifat satu arah tidak cukup efektif, karena tidak mempertimbangkan kebutuhan nyata dan kondisi kerja sehari-hari yang dialami karyawan.

Sulit Mengukur Dampak Jangka Panjang

Banyak program SETA mengukur keberhasilan hanya dari hasil jangka pendek, misalnya tingkat kelulusan tes atau jumlah peserta yang mengikuti pelatihan. Sayangnya, indikator seperti ini tidak benar-benar menunjukkan apakah karyawan mengubah kebiasaan mereka dalam jangka panjang. Akibatnya, organisasi sering kali tidak memiliki gambaran jelas apakah investasi dalam pelatihan tersebut benar-benar berdampak pada budaya keamanan, atau hanya menjadi formalitas tanpa hasil yang berkesinambungan.

Penerapan Social Marketing dalam Keamanan Siber

Social marketing menawarkan sebuah kerangka kerja yang berfokus pada bagaimana perilaku dapat diubah melalui strategi yang terencana, salah satunya dengan segmentasi audiens. Dalam konteks organisasi, karyawan tidak bisa diperlakukan sebagai satu kelompok homogen karena setiap divisi, jabatan, atau tingkat pengalaman memiliki kebutuhan dan tantangan yang berbeda. Dengan melakukan segmentasi, pesan dan pendekatan pelatihan keamanan siber dapat disesuaikan sehingga lebih relevan dan mudah diterapkan oleh masing-masing kelompok karyawan.

Selain segmentasi, konsep penting lainnya adalah value exchange, yaitu menekankan manfaat nyata yang diperoleh karyawan ketika mereka mematuhi aturan keamanan. Alih-alih hanya menekankan konsekuensi negatif dari kelalaian, program yang efektif akan menunjukkan keuntungan praktis, seperti kemudahan kerja, perlindungan data pribadi, atau rasa aman dalam aktivitas digital sehari-hari. Pendekatan ini membuat karyawan merasa bahwa kepatuhan bukan sekadar kewajiban, melainkan sesuatu yang bernilai dan menguntungkan bagi diri mereka sendiri.

Kerangka social marketing juga dapat mengadopsi marketing mix seperti 4P bahkan hingga 7P untuk menyesuaikan intervensi. Elemen-elemen seperti produk (misalnya sistem keamanan yang ramah pengguna), promosi (kampanye internal yang inspiratif), hingga proses (alur pelaporan insiden yang sederhana) bisa dirancang dengan sudut pandang pemasaran sosial. Dengan cara ini, program Security Education, Training, and Awareness (SETA) dapat dievaluasi dan dikembangkan lebih baik, sehingga benar-benar mendorong perubahan perilaku karyawan dalam keamanan siber.

Temuan Studi tentang Program SETA

Menurut hasil studi “Applying Social Marketing to Evaluate Current Security Education Training and Awareness Programs in Organisations” oleh Moneer Alshaikh, Sean B. Maynard, dan Atif Ahmad (Computers & Security, 2021) menyoroti kelemahan mendasar dalam program Security Education, Training, and Awareness (SETA) yang dijalankan di berbagai organisasi. Studi ini menemukan bahwa program SETA masih sangat berfokus pada peningkatan pengetahuan karyawan, namun gagal memastikan perubahan perilaku dan keyakinan yang dibutuhkan untuk benar-benar memperkuat keamanan siber.

Melalui pendekatan social marketing, peneliti mengevaluasi praktik SETA di enam organisasi dan mendapati bahwa banyak inisiatif yang ada tidak menerapkan prinsip-prinsip inti social marketing. Padahal, prinsip ini dianggap penting untuk membangun strategi yang lebih efektif dalam mengubah perilaku. Temuan ini menekankan adanya kesenjangan antara tujuan membangun budaya keamanan dengan cara program dilaksanakan di lapangan, yang membuat hasilnya kurang berdampak pada kebiasaan karyawan sehari-hari.

Sebagai tindak lanjut, penelitian tersebut mengusulkan sebuah proses baru untuk mengembangkan program SETA yang lebih berorientasi pada perilaku. Proses ini dirancang agar program awareness tidak lagi berhenti pada transfer informasi, tetapi mampu menciptakan kondisi yang mendorong perubahan kebiasaan nyata karyawan. Dengan demikian, organisasi dapat membangun budaya keamanan siber yang lebih kuat, berkelanjutan, dan relevan dengan tantangan yang dihadapi.

Implikasi untuk Organisasi

Perusahaan dapat menggunakan pendekatan social marketing untuk meninjau kembali dan memperbaiki program kesadaran keamanan yang sudah ada. Artinya, bukan hanya melihat apakah materi pelatihan sudah tersampaikan, tetapi juga menilai apakah program tersebut benar-benar mampu mendorong karyawan mengubah perilaku sehari-hari. Penelitian yang mengevaluasi program Security Education, Training, and Awareness (SETA) di enam organisasi menunjukkan bahwa banyak inisiatif masih terlalu fokus pada pengetahuan, sehingga perlu dirancang ulang agar lebih berorientasi pada perilaku (Computers & Security, 2021).

Dari sisi praktik, organisasi sebaiknya mulai berfokus pada alasan di balik kepatuhan atau ketidakpatuhan karyawan, bukan hanya mengukur apakah mereka tahu aturannya. Dengan memahami motivasi, hambatan, dan kondisi kerja nyata, perusahaan dapat membuat intervensi yang lebih tepat sasaran. Misalnya, menyederhanakan proses pelaporan insiden, memberikan pengingat yang relevan dengan pekerjaan, atau menciptakan insentif yang membuat perilaku aman terasa lebih natural bagi karyawan.

Jika ukuran keberhasilan bergeser dari sekadar seberapa banyak pengetahuan yang diserap ke seberapa konsisten perilaku aman dijalankan, maka organisasi akan lebih mudah membangun budaya keamanan siber yang berkelanjutan. Temuan penelitian juga menekankan bahwa perubahan perilaku dan keyakinan jauh lebih berdampak dibanding hanya menambah pengetahuan, sehingga program awareness yang berorientasi pada perilaku adalah kunci keberhasilan jangka panjang (Computers & Security, 2021).

Strategi Praktis

Agar perubahan perilaku bisa benar-benar terjadi, perusahaan perlu menerapkan strategi yang praktis dan mudah dijalankan. Pendekatan ini mencakup cara memahami motivasi karyawan, menyesuaikan pesan sesuai kebutuhan audiens, menguji efektivitas kampanye, hingga memperkuat kebiasaan baik dengan dorongan positif.

Survei & Wawancara

Langkah awal yang penting adalah memahami motivasi dan hambatan karyawan. Ini bisa dilakukan dengan survei singkat yang bersifat anonim, sehingga mereka lebih jujur dalam memberikan jawaban. Hasil survei dapat dilengkapi dengan wawancara atau diskusi kelompok kecil untuk menggali lebih dalam situasi sehari-hari. Dengan begitu, perusahaan bisa mengetahui apa yang membuat karyawan mau atau enggan mengikuti aturan keamanan, lalu menyiapkan program yang lebih relevan.

Segmentasi Pesan

Tidak semua karyawan bisa diperlakukan dengan cara yang sama. Pesan yang ditujukan untuk staf operasional perlu dibuat lebih praktis dan sederhana, sementara manajemen lebih membutuhkan informasi tentang risiko bisnis dan dampak finansial. Dengan menyesuaikan isi pesan, saluran komunikasi, dan cara penyampaian, pesan akan lebih mudah diterima. Hal ini membuat setiap kelompok karyawan merasa pesan tersebut memang ditujukan untuk mereka.

Uji Kampanye

Sama seperti kampanye pemasaran, kampanye internal tentang keamanan siber juga sebaiknya diuji efektivitasnya. Perusahaan bisa mencoba beberapa format komunikasi, misalnya email dengan judul berbeda atau video pendek, lalu mengukur mana yang paling efektif. Hasil uji ini akan memberikan gambaran strategi mana yang perlu diteruskan dan mana yang perlu diperbaiki. Dengan cara ini, perusahaan bisa terus meningkatkan dampak kampanye keamanan yang dijalankan.

Reward & Nudges

Kebiasaan baik akan lebih cepat terbentuk jika ada dorongan positif. Perusahaan bisa memberikan apresiasi sederhana seperti ucapan terima kasih, penghargaan kecil, atau poin bagi karyawan yang konsisten menerapkan perilaku aman. Selain itu, dorongan halus seperti pengingat singkat atau contoh nyata dari rekan kerja yang sudah patuh bisa membantu karyawan lain mengikuti. Pesan yang menekankan manfaat bagi diri sendiri maupun tim juga dapat membuat aturan keamanan terasa lebih berarti, bukan sekadar kewajiban.

Baca juga: Keuntungan Cybersecurity Awareness Training Bagi Karyawan Perusahaan

Kesimpulan

Pada akhirnya, social marketing dapat menjadi kerangka evaluasi yang kuat untuk meningkatkan efektivitas program Security Education, Training, and Awareness (SETA). Alih-alih hanya menekankan peningkatan pengetahuan, pendekatan ini menempatkan perubahan perilaku karyawan sebagai tujuan utama demi memperkuat budaya keamanan siber organisasi. Karena itu, manajer keamanan sebaiknya tidak lagi puas dengan mengukur seberapa banyak informasi yang diserap, tetapi lebih jauh menilai sejauh mana perilaku karyawan berubah. Bagi praktisi keamanan, langkah nyata yang bisa dilakukan adalah mulai mengadopsi kerangka social marketing dalam program awareness, sementara bagi HR dan manajemen, penting untuk melibatkan karyawan sebagai partisipan aktif dalam proses, bukan hanya sebagai penerima materi pelatihan.