Ancaman “orang dalam” dan dampaknya terhadap perusahaan

Data perusahaan adalah kekayaan yang memampukan sebuah perusahaan unggul dibandingkan pesaing mereka. Data tersebut mencakup prototipe produk, resep, basis data klien, data pelanggan, strategi kampanye, dan lain sebagainya. Perusahaan berinvestasi banyak untuk memastikan bahwa mereka dapat menemukan, menyimpan, dan merawat data tersebut.

Namun, tahukah Anda bahwa 40% insiden kebocoran data internal justru melibatkan karyawan dengan akses istimewa ke aset perusahaan? Statistik tersebut seharusnya cukup untuk membuat ‘alarm’ tanda bahaya perusahaan mana pun berbunyi untuk mewaspadai ancaman “orang dalam”.

Ancaman orang dalam

Dalam hal ini, istilah “orang dalam” merujuk pada karyawan atau pihak terkait lainnya yang memiliki otorisasi akses ke aset perusahaan yang kemudian menggunakan akses tersebut, dengan sengaja atau tidak sengaja, menyebabkan kerugian bagi perusahaan.

Orang dalam tak selalu karyawan yang masih bekerja—mereka pada dasarnya orang-orang yang memiliki akses ke sistem perusahaan atau informasi sensitif. Mantan karyawan, kontraktor, atau mitra dapat diklasifikasikan sebagai ancaman orang dalam.

Berdasarkan data yang dirilis Ponemo, ancaman orang dalam telah meningkat, baik dari sisi frekuensi dan biaya, selama dua tahun terakhir. Orang dalam dengan niat jahat (malicious insider) itu menyebabkan 26% insiden pencurian data perusahaan.

Dampak orang dalam dengan niat jahat

Karyawan yang menyalahgunakan akses data mereka untuk tujuan yang berbahaya, tidak etis, atau ilegal, termasuk mencuri informasi rahasia, diklasifikasikan sebagai orang dalam dengan niat jahat. Jenis pelaku ini lebih sulit dideteksi daripada penyerang atau peretas eksternal karena mereka secara sengaja diberikan akses ke informasi tersebut.

Pencurian data adalah tindakan mencuri informasi yang disimpan di basis data, perangkat, dan server perusahaan. Pencurian data oleh orang dalam yang jahat dapat memberikan beberapa dampak yang merugikan pada perusahaan Anda, seperti:

1. Reputasi bisnis yang hancur
2. Hilangnya kepercayaan pelanggan
3. Kerugian finansial
4. Tersebarnya data pelanggan
5. Pengungkapan rahasia dagang

Jenis data yang mereka curi bervariasi, mulai dari kredensial pengguna, kredensial karyawan, makalah strategis, hingga dokumen terkait kekayaan intelektual, atau apa pun yang tergolong berharga bagi perusahaan.

Mengatasi ancaman “orang dalam”

Dikutip dari beberapa sumber, berikut adalah upaya yang dapat dilakukan perusahaan untuk mengatasi ancaman orang dalam:

• melakukan penilaian risiko,
• mengintegrasikan strategi dan kebijakan keamanan,
• melaksanakan pelatihan pencegahan bagi karyawan,
• menerapkan employment background screening pada calon karyawan,
• membangun kemampuan manajemen insiden,
• dan mengimplementasikan whistleblowing system.

Selain beberapa poin di atas, perusahaan bisa mengajukan perjanjian kerahasiaan (non-disclosure agreement) kepada kandidat karyawan sebelum onboarding. Di akhir masa kerja, perusahaan juga bisa menerapkan metode pelepasan aset (asset clearance) sebelum karyawan berhenti bekerja.

Photo by Towfiqu barbhuiya on Unsplash