Secara khusus, 68% orang yang diwawancarai khawatir tentang aplikasi dan data cloud yang menjadi sasaran serangan malware, ransomware, dan phishing. Meskipun 55% tidak merasa yakin bahwa keamanan cloud mereka dikonfigurasi dengan benar, 59% percaya bahwa mereka memiliki proses kontrol dan kebijakan yang memadai untuk mengamankan cloud. Sekitar satu dari tiga responden mengatakan bahwa melatih karyawan secara memadai tentang keamanan siber merupakan tantangan.
Pengguna akhir diserang
Tautan terlemah dalam setiap strategi keamanan TI selalu adalah manusia, kata Keri Pearlson, direktur eksekutif konsorsium penelitian MIT Cybersecurity di MIT Sloan (CAMS). CAMS mempelajari isu-isu organisasi, manajerial, dan strategis di dunia maya. “Hanya perlu satu orang untuk mengklik email yang salah atau tautan yang salah atau menginstal program yang salah agar sistem terinfeksi. Bukan hanya pengguna akhir dalam pengertian tradisional, tetapi semua orang yang berinteraksi dengan sistem kami. Setiap orang yang berinteraksi dengan sistem adalah titik kerentanan yang mungkin terjadi,” kata Pearlson.
Meskipun biasanya lebih dari 99% tindakan keamanan sistem ditangani di bagian belakang oleh TI, kata Salvi, sebagian kecil ancaman keamanan yang ditanggung pengguna bertanggung jawab atas hampir 19 dari 20 serangan siber.
“Mereka semua memulai melalui email phishing,” kata Salvi. “Mereka mencoba untuk mendapatkan kunci daripada memecahkan kunci.” Beberapa upaya phishing bahkan dapat menipu pengguna yang waspada, menyamar sebagai pesan penting dari sumber daya manusia atau C-suite. Penguncian Covid menempatkan pengguna akhir dalam posisi untuk melakukan lebih banyak kerusakan, dan strategi keamanan beradaptasi dengan cepat.
Berbeda dengan model keamanan pengguna akhir tradisional, login awal pengguna ke lingkungan tanpa kepercayaan— bahkan yang dikonfirmasi dengan sidik jari, pemindaian wajah, atau autentikasi multifaktor—bukanlah akhir dari pengawasan. Setelah masuk, zero trust diam-diam mengikuti saat pengguna menjalani hari maya, memastikan mereka tidak melakukan sesuatu yang jahat, dan tidak salah mengeklik tautan yang membuka pintu bagi peretas. Kecuali untuk permintaan sesekali untuk mengautentikasi ulang, pengguna tidak akan melihat kepercayaan nol kecuali jika diputuskan tidak dapat mempercayai Anda dan mengunci Anda dari suatu tempat yang ingin Anda tuju.
“Saya tidak harus bergantung pada pengguna untuk melakukan hal yang benar agar keamanan berfungsi,” kata Salvi. “Mereka tidak perlu mengingat kata sandi yang rumit atau mengubahnya setiap tiga bulan atau berhati-hati dengan apa yang mereka unduh.”
Unduh laporan lengkapnya.
Konten ini diproduksi oleh Insights, lengan konten khusus dari MIT Technology Review. Itu tidak ditulis oleh staf editorial MIT Technology Review.
