Ditulis oleh John Scott, Peneliti Keamanan Utama di CultureAI
Dalam lanskap digital saat ini, pengelolaan ancaman keamanan sering kali bergantung pada seberapa baik organisasi dapat mengidentifikasi dan merespons risiko secara real-time. Meskipun kesalahan manusia pasti terjadi, namun dengan teknologi dan proses yang tepat, kesalahan tersebut tidak selalu menimbulkan risiko yang signifikan.
Sayangnya, ketika orang melakukan kesalahan, sering kali luput dari perhatian hingga mengakibatkan sebuah insiden. Di sinilah dorongan dapat membantu, mengisi kesenjangan krusial dengan melakukan intervensi terhadap perilaku berisiko secara otomatis dan efisien. Dorongan keamanan yang dilaksanakan dengan baik dapat mengurangi intervensi dan waktu remediasi Pusat Operasi Keamanan (SOC) sekaligus memperkuat kebijakan keamanan, budaya keamanan, dan praktik terbaik.
Apa sebenarnya dorongan itu?
Teori Nudge, yang dipopulerkan oleh Richard Thaler dan Cass Sunstein pada tahun 2008, menjadi terkenal sebagai metode yang murah dan efektif untuk mempengaruhi perubahan perilaku. Premis dari konsep ini adalah bahwa pembentukan lingkungan, yang dikenal sebagai arsitektur pilihan, mempengaruhi pengambilan keputusan individu dan memungkinkan mereka mempertahankan kebebasan memilih dan merasa memegang kendali atas keputusan mereka sambil dipandu menuju solusi 'terbaik'.
Istilah 'dorongan' telah menjadi kata kunci dalam keamanan siber selama beberapa tahun terakhir, sering kali disalahartikan dengan 'pemberitahuan'. Meskipun dorongan dapat digunakan dengan cara yang berbeda, ketergantungan yang berlebihan dapat menyebabkan 'kelelahan karena dorongan', sehingga membuat karyawan kewalahan dengan pengingat dan pemberitahuan yang tidak dapat ditutup untuk menyelesaikan pelatihan. Untuk memanfaatkannya sebaik-baiknya, dorongan harus bertujuan untuk mengubah perilaku, bukan sekadar memberi tahu karyawan tentang tindakan mereka.
Mengapa kita memerlukan dorongan dalam keamanan siber?
Ketika orang-orang sibuk, mereka cenderung reaktif, dan bergantung pada pemikiran sistem, yang otomatis dan intuitif namun lebih rentan terhadap kesalahan. Dengan mengirimkan peringatan keamanan kepada karyawan yang berada pada titik risiko, mereka diperingatkan secara real-time dan didorong untuk beralih ke pemikiran sistem-dua yang lebih logis, berisiko rendah, dan sistem dua.
Memasukkan dorongan sebagai bagian dari strategi manajemen risiko manusia (SDM) adalah cara efektif untuk memitigasi risiko secara real-time, memberdayakan karyawan pada saat yang paling penting. Dorongan mendorong karyawan untuk berhenti sejenak dan berpikir sebelum mengambil keputusan keamanan yang berpotensi berisiko, membuat mereka sadar akan ancaman tersebut dan memberdayakan mereka untuk memilih dengan bijak.
Dorongan, bukan kebisingan
Menyenggol karyawan memerlukan konsekuensi. Mengganggu alur kerja mereka dapat menghambat produktivitas, jadi dorongan tersebut harus memiliki alasan yang kuat. Jika Anda melakukan interupsi, harus ada langkah spesifik dan dapat ditindaklanjuti yang dapat diambil oleh karyawan untuk memitigasi risiko yang teridentifikasi. Jika tim keamanan dapat memperbaiki risiko tanpa gangguan, mereka harus melakukannya. Dorongan yang berulang atau mengganggu akan menyebabkan kelelahan karena dorongan, sehingga menyebabkan karyawan mengabaikannya.
Temui orang-orang di mana pun mereka berada
Untuk memastikan dorongan tidak diabaikan, kirimkan dalam aplikasi yang sudah digunakan karyawan, seperti Slack, Teams, atau browser mereka. Seiring waktu, dorongan menyederhanakan pengambilan keputusan bagi karyawan, memerlukan upaya kognitif minimal untuk melaksanakan keputusan tanpa berpikir berlebihan.
Mendorong orang untuk membuat keputusan yang lebih baik
Daripada membiarkan karyawan menavigasi sendiri penggunaan aplikasi SaaS dan GenAI yang aman, dorongan dapat membantu menetapkan pagar pembatas dan memberikan panduan secara real-time. Misalnya, jika organisasi memiliki solusi GenAI yang disetujui, dorongan yang baik tidak hanya dapat menghalangi karyawan untuk menggunakan sumber yang tidak resmi, namun juga dapat memandu mereka menuju solusi yang lebih disukai. Dorongan dapat membantu menciptakan perubahan budaya menuju partisipasi proaktif dan terlibat dalam praktik keamanan siber. Pendekatan ini tidak hanya menyederhanakan operasi keamanan namun juga menciptakan lingkungan di mana karyawan diberdayakan untuk membuat keputusan keamanan mereka sendiri.