PADA tahun 2020, CyberSecurity Malaysia telah melaporkan sebanyak 9,461 kes jenayah siber melibatkan pencerobohan maklumat (fraud), penipuan (intrusion) dan gangguan siber (cyber harassment).
Hal ini telah memperlihatkan bahawa penjenayah siber mensasarkan pekerja yang berkerja dari rumah sebagai mangsa disebabkan aspek keselamatan maklumat yang longgar dari kalangan pekerja.
Rentetan daripada penularan wabak Covid-19, banyak organisasi telah menggubal polisi mereka dengan memperkenalkan amalan berkerja dari rumah yang menuntut pekerja untuk berkerja dari rumah demi memutuskan rantaian Covid-19. Secara tidak langsung, telah menarik perhatian penjenayah siber untuk menyasarkan serangan siber kepada pekerja-pekerja yang berkerja dari rumah.
Penjenayah siber dengan mudah boleh melakukan serangan siber ke atas mangsa dengan mencuri atau memanipulasi maklumat organisasi melalui rangkaian internet, seterusnya mengugut untuk memusnahkan dokumen kerja sekiranya tidak memberi sejumlah wang. Mangsa yang panik akhirnya terpaksa menunaikan permintaan penjenayah siber sehingga melibatkan kerugian.
Sebagai pekerja, seseorang itu tertakluk kepada polisi organisasi. Kebiasaannya, organisasi telah melengkapkan organisasi mereka dengan polisi keselamatan maklumat untuk mengelakkan daripada berlakunya insiden keselamatan maklumat yang ternyata dapat mencalarkan reputasi organisasi, menggugat kepercayaan pelabur dan merugikan organisasi sekiranya terpaksa memperuntukan kos yang besar untuk membaikpulih kerosakan akibat serangan siber dalam organisasi.
Oleh yang demikian, selain daripada memperkasakan sistem keselamatan maklumat dalam organisasi, faktor pembudayaan keselamatan maklumat turut perlu disemai dalam kalangan pekerja agar dapat mengelakkan seseorang individu dalam organisasi menjadi mangsa serangan siber, seterusnya mengurangkan risiko keterlibatan sesebuah organisasi dalam jenayah siber.
Budaya keselamatan maklumat merupakan suatu usaha yang wujud pada setiap individu dalam sesebuah organisasi untuk melengkapkan diri mereka dengan kefahaman terhadap risiko keselamatan maklumat serta mengetahui langkah pencegahan yang relevan, memikul tanggungjawab dan mengambil langkah-langkah untuk meningkatkan keselamatan maklumat dalam organisasi secara bertulis atau tidak.
Di peringkat organisasi, pengurusan tertinggi perlulah memainkan peranan paling utama untuk memastikan pematuhan terhadap polisi keselamatan maklumat di setiap peringkat dalam organisasi.
Pelaksanaan polisi keselamatan maklumat dalam organisasi seharusnya bermula diperingkat pengurusan tertinggi agar dapat menjadi contoh yang diikuti oleh seluruh peringkat dalam organisasi.
Melalui pematuhan dan pelaksanaan terhadap polisi keselamatan maklumat di setiap peringkat, setiap individu dalam organisasi dapat merasai suasana keselamatan maklumat yang terbentuk, seterusnya dapat diamalkan tanpa sedar sehingga menjadi budaya di dalam organisasi. Hal ini seterusnya dapat membantu organisasi yang melaksanakan polisi bekerja dari rumah dalam suasana yang selamat dan kurang risiko berlakunya insiden keselamatan maklumat.
Polisi keselamatan maklumat yang berkesan turut memainkan peranan yang besar dalam pembudayaan keselamatan maklumat. Oleh itu, organisasi perlulah merangka dasar dan polisi keselamatan maklumat yang terperinci dan berkesan agar dapat menjadi panduan dan tatacara untuk mengendalikan aset keselamatan maklumat di dalam organisasi. Polisi dan dasar keselamatan maklumat juga perlulah dikaji, dinilai dan ditambah baik dari sudut keberkesanannya masa ke semasa.
Setiap pekerja pula perlulah memupuk rasa tanggungjawab terhadap aset keselamatan maklumat di dalam organisasi. Oleh hal yang demikian, organisasi boleh mewujudkan suatu sistem pemantauan pelaksanaan polisi keselamatan maklumat terhadap setiap pekerja di dalam organisasi dengan bertujuan untuk menanamkan rasa tanggungjawab untuk sentiasa menjaga aset keselamatan maklumat sehingga menjadi sebuah budaya dan imej organisasi agar tidak menjadi sasaran penjenayah siber.
Bagi memastikan budaya keselamatan maklumat dapat dipupuk dalam sesebuah organisasi, pengurusan perlulah mempertimbangkan untuk memberi peruntukan yang relevan terhadap aktiviti penyuburan budaya keselamatan maklumat seperti kempen, bengkel, latihan dan sebagainya.
Tujuannya adalah agar dapat melahirkan pekerja-pekerja yang mempunyai pengetahuan terkini terhadap trend keselamatan maklumat dan mengetahui langkah-langkah pencegahan yang sesuai sekiranya berlaku insiden keselamatan maklumat.
Aspek teknologi pula mengkehendaki organisasi untuk sentiasa memastikan pekerja mempunyai keupayaan untuk mengendalikan teknologi keselamatan maklumat. Keserasian pekerja dalam pengendalian teknologi keselamatan maklumat juga merupakan suatu indikasi untuk menyuburkan budaya keselamatan maklumat di dalam organisasi. Dalam aspek individu, seseorang itu berupaya untuk mengendalikan teknologi keselamatan maklumat dengan mengetahui apakah langkah-langkah yang perlu diambil untuk melengkapkan organisasi dengan sistem pertahanan terhadap serangan siber dan juga apakah langkah-langkah yang boleh dilaksanakan sekiranya berlaku serangan keselamatan maklumat.
Selain daripada itu, organisasi yang sentiasa memperbaharui lesen perisian, menaik taraf sistem keselamatan maklumat dan menggantikan aset teknologi yang telah tamat tempoh, secara tidak langsung akan mewujudkan keserasian dalam pengendalian teknologi keselamatan maklumat. Seterusnya dapat menyuburkan budaya keselamatan maklumat di dalam organisasi.
Di peringkat individu pula, pekerja yang berkerja dari rumah perlulah melengkapkan diri mereka dengan sikap keselamatan maklumat. Sikap keselamatan maklumat yang terbentuk, akan menjadi pertahanan paling hadapan yang akan memastikan seseorang pekerja tidak menjadi mangsa serangan penjenayah siber. Mereka akan lebih berwaspada sewaktu melakukan kerja dari rumah. Sikap keselamatan maklumat yang terbentuk akhirnya akan subur menjadi budaya keselamatan maklumat yang kan melindungi seseorang individu walaupaun berada di organisasi mahupun berada di rumah.
Kesedaran terhadap bahaya ancaman keselamatan maklumat perlu ada dalam diri setiap pekerja. Pekerja yang sedar kepentingan untuk melindungi dan mempertahankan aset keselamatan maklumat dan cakna terhadap trend insiden keselamatan maklumat akan sentiasa berwaspada dan lebih berhati-hati dalam melaksanakan tanggungjawab mereka di rumah. Mereka tidak akan memuat turun dokumen yang bukannya datang dari saluran rasmi organisasi atau tidak akan mengikut permintaan transaksi kewangan daripada panggilan yang tidak dikenali. Hal ini kerana mereka telah sedia maklum modus operandi penjenayah siber yang akan sentiasa mencuba untuk melakukan pelbagai penipuan.
Pekerja yang berkerja dari rumah juga turut perlu menjaga tingkah laku mereka agar tidak sewenang-wenangnya memaparkan maklumat sensitif organisasi, hatta maklumat peribadi mereka sendiri di laman sosial. Tingkah laku yang sensitif terhadap keselamatan maklumat akan menahan mereka daripada melakukan apa-apa tindakan yang merisikokan kebocoran maklumat. Mereka tidak akan menyambung talian internet mereka terhadap talian internet yang tidak diketahui untuk melakukan kerja organisasi. Mereka juga tidak akan memberikan apa-apa maklumat tanpa mengikut saluran rasmi organisasi. Tingkah laku yang sensitif terhadap keselamatan inilah yang terbentuk daripada pembudayaan keselamatan maklumat yang berterusan.
Akhir sekali, kecekapan pekerja terhadap penilaian keselamatan maklumat juga menjadi faktor penyuburan budaya keselamatan maklumat semasa berkerja di rumah. Pekerja yang mempunyai kebolehan, kemahiran, pengetahuan dan kepakaran kerja akan memampukan mereka untuk sentiasa mematuhi polisi dan prosedur keselamatan maklumat di dalam organisasi.
Tuntasnya, perubahan fasa dan operasi kerja yang menyebabkan banyak organisasi menguat kuasakan polisi berkerja dari rumah disebabkan penularan wabak Covid-19 secara tidak langsung telah memaksa setiap lapisan organisasi untuk memperkasakan keselamatan maklumat. Dengan memupuk budaya keselamatan maklumat akan dapat memastikan pekerja yang berkerja dari rumah dapat mengelakkan diri mereka daripada menjadi mangsa ancaman siber yang semakin meningkat hari demi hari. Usaha dari setiap lapisan organisasi amat diperlukan untuk memastikan budaya keselamatan maklumat dapat dipupuk, seterusnya dapat menjadi ‘human firewall’ yang membentengi aset keselamatan maklumat dalam sesebuah organisasi daripada menjadi ancaman penjenayah siber.
Qamarul Nazrin Harun,
Pensyarah Fakulti Pengurusan Maklumat
Universiti Teknologi Mara (UiTM) Johor