Masyarakat penerbangan global menyepakati bahwa budaya keamanan siber umumnya dipahami sebagai seperangkat asumsi, sikap, keyakinan, perilaku , norma, persepsi, dan nilai yang melekat dalam operasi sehari-hari organisasi dan tercermin dalam tindakan dan perilaku organisasi. semua entitas dan personel dalam interaksi mereka dengan aset digital.
Keamanan siber yang positif bertujuan untuk menjadikan pertimbangan keamanan siber sebagai bagian dari kebiasaan, perilaku, dan proses organisasi, dengan menanamkannya dalam operasi sehari-hari yang tercermin dari tindakan dan perilaku semua personel.
Pembentukan budaya keamanan siber yang kuat dan efektif, sebagai bagian integral dari budaya organisasi, membantu organisasi dalam meningkatkan kinerja mereka secara keseluruhan melalui identifikasi dini potensi risiko siber.
Keamanan siber dalam penerbangan sipil dibangun di atas pengalaman, upaya, dan keberhasilan sektor ini dalam menerapkan budaya keselamatan dan keamanan penerbangan yang kuat, dan berbagi banyak elemen inti dengan mereka. Sifat budaya keamanan siber lintas-domain ini tidak hanya mengarah pada peningkatan postur keamanan siber, tetapi juga menghasilkan dampak positif di ketiga domain dalam mendukung promosi dan penguatan budaya keselamatan, keamanan, dan keamanan siber yang positif.
Singkatnya, budaya keamanan siber memungkinkan setiap orang dalam organisasi, terlepas dari peran mereka, untuk tampil lebih baik di lingkungan digital. Contoh manfaat merancang dan menerapkan budaya keamanan siber yang efektif dan kuat meliputi:
- Peningkatan kematangan keamanan siber organisasi;
- Penanganan informasi yang tepat oleh semua personel;
- peningkatan postur keamanan siber yang mendukung efektivitas dan efisiensi organisasi dalam memitigasi risiko siber;
- Peningkatan kesadaran semua personel terhadap risiko dunia maya dan peran yang mereka mainkan secara individu dalam mengidentifikasi dan mengurangi risiko tersebut; dan
- Kesediaan untuk melaporkan pengawasan pribadi dalam menerapkan proses dan prosedur keamanan siber organisasi serta pelaporan aktivitas siber yang mencurigakan, yang mengarah pada proaktif dan deteksi risiko siber yang lebih baik.
Elemen inti dari budaya keamanan siber penerbangan organisasi yang efektif dirancang secara unik di setiap organisasi dengan mempertimbangkan berbagai aspek, termasuk tingkat kematangan keamanan siber organisasi , budaya dan nilai yang ada, dan lanskap ancaman keamanan siber secara keseluruhan.
Elemen inti dari budaya keamanan siber yang kuat dan efektif dalam penerbangan sipil antara lain disebut sebagai berikut:
Kepemimpinan (Leadership)
Keamanan siber yang efektif bergantung pada komitmen setiap orang dalam organisasi, dimulai dari manajemen senior. Manajemen senior harus memberikan komitmen penuh mereka terhadap budaya keamanan siber , setiap saat dan di semua aktivitas, strategi, kebijakan, dan tujuan organisasi.
Manajemen senior harus mematuhi kebijakan keamanan siber , memimpin dengan memberi contoh, dan menjadi panutan bagi manajer dan personel organisasi. Mereka juga harus mengadvokasi keamanan siber sebagai nilai organisasi dan pribadi sambil bekerja sama untuk menyelaraskan perilaku mereka dengan nilai tersebut.
Dalam hal itu, manajemen senior harus:
- Berusaha untuk meningkatkan pengetahuan mereka tentang keamanan siber dalam penerbangan sipil;
- Mematuhi aturan, proses, dan prosedur keamanan siber setiap saat dan memimpin dengan memberi contoh;
- Dengan jelas memasukkan keamanan siber sebagai prioritas organisasi;
- keamanan siber penerbangan dalam kebijakan tertulis organisasi menjadi bagian yang tidak terpisahkan dari rencana pengelolaan perusahaan;
- Memberikan dukungan nyata terhadap penerapan budaya keamanan siber ;
- memastikan dan mendukung pelatihan dan pengembangan kapasitas keamanan siber untuk semua personel ;
- Memastikan pemrosesan laporan keamanan siber secara tepat waktu dan memastikan implementasi segera dari setiap tindakan korektif dan pencegahan yang diperlukan;
- Campur tangan dengan tepat setiap kali keamanan siber dikompromikan; dan
- Memantau perkembangan postur keamanan siber organisasi, budaya keamanan siber , dan langkah-langkah serta sumber daya yang ditetapkan untuk mendukung peningkatan berkelanjutan penerapan budaya keamanan siber di seluruh organisasi.
Mengikuti arahan manajemen senior, lapisan manajemen organisasi juga harus berusaha untuk mengadopsi tindakan, sejalan dengan tanggung jawab dan rentang manajemen mereka, untuk menyebarkan komitmen terhadap budaya keamanan siber di seluruh organisasi.
Tautan lintas domain (Cross-domain links)
Mempertimbangkan banyaknya risiko dan kerentanan dunia maya di setiap organisasi, tautan lintas domain harus dibuat secara resmi.
Satuan Tugas multidisiplin yang melapor kepada manajemen senior dapat dibentuk sebagai sarana untuk mendukung koordinasi budaya keamanan siber di seluruh organisasi.
Tujuan Gugus Tugas akan mencakup hal-hal berikut:
- Menilai secara berkala kematangan budaya keamanan siber dalam organisasi;
- Mengidentifikasi risiko dan peluang terkait penerapan budaya keamanan siber ;
- Menjembatani perspektif pemangku kepentingan internal yang berbeda berkaitan dengan budaya keamanan siber ; dan
- Mendukung pengembangan dan pelaksanaan kegiatan lintas domain terkait pembinaan budaya keamanan siber di organisasi.
Komunikasi (Communication)
Komunikasi memainkan peran penting, baik secara internal maupun eksternal, dalam memastikan implementasi budaya keamanan siber yang sukses. Ini adalah sarana utama yang melaluinya tingkat kesadaran yang diharapkan dapat dicapai.
Agar komunikasi menjadi efektif, keterampilan tertentu harus dipertimbangkan sebagai bagian dari budaya keamanan siber yang kuat:
- Mendengarkan secara aktif – proses di mana sinyal verbal dan non-verbal diamati, untuk mengenali nilai dan kebutuhan individu lain, dan berkontribusi pada peningkatan komunikasi tim;
- Mengadaptasi gaya komunikasi untuk audiens dan situasi yang berbeda – memahami bagaimana orang lain berkomunikasi dan menyesuaikan pesan untuk menjangkau mereka dengan lebih baik; dan
- Kejelasan komunikasi – mengidentifikasi apa dan bagaimana berkomunikasi.
Manajemen senior harus memastikan bahwa kebijakan dan pedoman internal mengenai keamanan siber , serta alasan pengenalannya, dikomunikasikan dengan sepatutnya kepada semua personel. Program komunikasi internal yang kuat berkontribusi pada penerimaan dan pemahaman tindakan keamanan siber oleh semua personel, dan membantu mempromosikan budaya keamanan siber dalam organisasi.
Selain itu, program komunikasi internal akan sangat membantu dalam:
- Memastikan bahwa semua personel sepenuhnya menyadari tugas, hak, dan mekanisme pelaporan yang ada dalam organisasi; dan
- Mempromosikan kode etik digital organisasi, yang mencakup proses, tindakan, dan kontrol yang harus dipatuhi personel setiap saat.
Kesadaran, pelatihan dan pendidikan (Awareness, training and education)
Kesadaran, pelatihan, dan pendidikan adalah bidang utama dari proses pembelajaran yang harus dimanfaatkan untuk budaya keamanan siber yang kuat. Kesadaran memberikan orang dengan pengetahuan, pelatihan mengajarkan keterampilan, dan pendidikan memberikan pengetahuan dan keterampilan dalam kerangka teoritis, sehingga mengintegrasikan kesadaran dan pelatihan.
Semua personel penerbangan sipil yang berinteraksi dengan aset digital organisasi, terlepas dari peran atau fungsinya, harus melakukan program kesadaran , pelatihan, dan pendidikan keamanan siber untuk memastikan bahwa mereka dilengkapi dengan pengetahuan dan keterampilan yang diperlukan tentang risiko, tindakan, dan risiko keamanan siber penerbangan. tujuan. Program – program ini harus disesuaikan dengan audiens, seperlunya dan mungkin.
Program kesadaran keamanan siber harus disampaikan kepada semua personel pada saat perekrutan mereka, serta pelatihan berulang. Interval waktu untuk pengulangan program kesadaran harus diidentifikasi berdasarkan tingkat kematangan budaya keamanan siber dalam organisasi, dan dapat ditinjau kembali sejalan dengan perkembangan tingkat kematangan ini.
Direkomendasikan agar program kesadaran keamanan siber disampaikan setidaknya sekali secara langsung (dalam pengaturan kelas fisik atau virtual). Keamanan siber bukanlah topik yang akrab bagi semua personel dan terkadang sulit dicerna tanpa bimbingan dari seorang profesional. Dengan demikian, interaksi dengan seorang profesional di ruang kelas memfasilitasi pemahaman topik keamanan siber . Hal ini memungkinkan pelatih untuk menjelaskan konsep, proses, prosedur, dan kontrol dengan cara yang disederhanakan untuk dipahami oleh personel yang tidak paham teknis, serta menjelaskan manfaat dalam meningkatkan postur keamanan siber organisasi dan dampak positifnya terhadap keseluruhan produktivitas personel.
Setelah sesi kesadaran/pelatihan tatap muka awal, organisasi dapat mempertimbangkan untuk menggunakan metode elearning (pembelajaran yang dikelola komputer) untuk pelatihan berulang. Keputusan tersebut harus mempertimbangkan perkembangan budaya keamanan siber dalam organisasi, serta perubahan dalam proses, kontrol, dan prosedur keamanan siber yang diperkenalkan dalam organisasi sebagai tanggapan terhadap lanskap risiko keamanan siber yang berkembang.
Program kesadaran keamanan siber harus disampaikan oleh para profesional yang memiliki pengetahuan teknis yang diperlukan. Namun, salah satu tantangan yang dihadapi dengan program kesadaran teknis adalah kurangnya soft skill para presenter, di mana keterampilan komunikasi dan “penjualan” yang memadai sangat membantu dalam melibatkan personel dan memastikan dukungan dan dukungan mereka terhadap budaya keamanan siber . Oleh karena itu, organisasi harus memastikan bahwa pemimpin program kesadaran sama-sama dilengkapi dengan pengetahuan teknis dan keterampilan lunak yang diperlukan untuk menanamkan perubahan perilaku personel untuk mendukung penerapan budaya keamanan siber .
Program kesadaran keamanan siber yang khas harus mencakup mata pelajaran berikut:
- Tujuan program penyadaran ;
- Mekanisme komunikasi yang ada dalam organisasi;
- Gambaran umum tentang risiko dunia maya terhadap penerbangan sipil dan konsekuensi potensial (termasuk contoh);
- Kontrol, proses, dan prosedur keamanan siber organisasi ;
- Peran elemen manusia dalam menjaga organisasi dari risiko siber;
- Pentingnya personel untuk saling mengingatkan tentang prinsip-prinsip keamanan siber organisasi ketika mengamati tindakan ketidakpatuhan oleh rekan-rekan mereka;
- Gambaran umum tentang berbagai metode eksploitasi yang mungkin menargetkan orang dan konsekuensinya (termasuk contoh);
- Bagaimana mengidentifikasi aktivitas siber yang mencurigakan;
- Dampak kepuasan pada organisasi (termasuk contoh);
- Prinsip-prinsip kebersihan dunia maya;
- Penanganan yang tepat atas data dan informasi sensitif; dan
- Pelaporan , cara menggunakannya, dan mekanisme tindak lanjut.
Keamanan siber juga harus digunakan secara berkala, sebagai pengingat, untuk memperkuat pengetahuan dan keterampilan personel. Berbagai alat tersedia untuk tujuan itu termasuk:
- Berbasis kertas – seperti poster, brosur, booklet, dll. Jenis media ini dapat dengan mudah didistribusikan dan dicerna. Namun, mereka adalah alat pasif dan membutuhkan pembaruan yang sering (dan cetakan baru dengan setiap pembaruan); dan
- Online – seperti email, buletin, pesan di screen saver, intranet, video pendek, halaman FAQ, e-learning (pembelajaran yang dikelola komputer), dll. Keuntungan utama alat ini dibandingkan dengan alat berbasis kertas adalah kemampuannya untuk menjangkau seluruh organisasi. Mereka relatif mudah diperbarui dalam hal sumber daya, dan memiliki biaya produksi yang rendah.
Sistem pelaporan (Reporting systems)
Landasan budaya keamanan siber adalah pengembangan dan penerapan sistem pelaporan keamanan siber internal. Sistem tersebut memungkinkan organisasi untuk secara proaktif mengelola risiko sibernya, mengukur perkembangan postur keamanan siber organisasi , mengidentifikasi dan merencanakan kesadaran dan kebutuhan pelatihan staf, dan menyesuaikan proses, kontrol, dan tindakan internalnya sejalan dengan perkembangan tren dan keamanan siber . dengan kematangan budaya keamanan siber .
keamanan siber mengumpulkan elemen dari sistem pelaporan keselamatan penerbangan dan keamanan penerbangan. Dengan demikian, mereka menangani dua area: area pertama adalah pelaporan tindakan/kesalahan sendiri yang tidak sejalan dengan kebijakan dan proses keamanan informasi organisasi, dan area kedua adalah pelaporan perilaku mencurigakan/salah dari karyawan lain.
Saat mengembangkan mekanisme pelaporan keamanan siber mereka , organisasi didorong untuk memanfaatkan pengalaman yang diperoleh dalam mengembangkan dan menerapkan sistem pelaporan keselamatan penerbangan dan keamanan penerbangan.
Elemen-elemen berikut harus dipertimbangkan ketika menerapkan sistem pelaporan keamanan siber :
- Kerahasiaan informasi pribadi, di mana data pribadi tidak dikumpulkan dan/atau disimpan. Ketika data pribadi dikumpulkan, itu hanya boleh digunakan untuk mendapatkan klarifikasi, informasi lebih lanjut tentang kejadian yang dilaporkan atau menawarkan umpan balik kepada pelapor;
- Untuk memastikan kerahasiaan informasi pribadi, kebijakan harus dikembangkan yang secara jelas mengidentifikasi, dan meminta pertanggungjawaban, orang yang ditugaskan untuk mengelola, memelihara, menjamin kerahasiaan, menganalisis, dan menindaklanjuti informasi yang dikumpulkan;
- Memberikan pelatihan yang memadai kepada semua personel tentang cara menggunakan sistem pelaporan;
- Menerapkan budaya yang adil dalam pelaporan keamanan siber, dan memberikan kesadaran yang memadai kepada semua personel tentang cara kerja budaya yang adil sehingga mereka lebih nyaman memberikan informasi; dan
- Menerapkan program insentif yang ditujukan untuk mendorong personel untuk melaporkan kesalahan mereka sendiri serta setiap perilaku dunia maya yang mencurigakan yang mereka amati.
Just culture
Organisasi harus mendorong personel mereka untuk melaporkan insiden keamanan siber melalui penerapan budaya keamanan penerbangan. Just culture adalah sebuah konsep yang diterapkan dalam pelaporan keselamatan yang dapat menjadi nilai besar dalam mempromosikan budaya keamanan siber .
Dalam konteks pelaporan keamanan siber, penerapan budaya keamanan penerbangan mendorong semua personel untuk melaporkan insiden dan kesalahan keamanan siber. Ini adalah lingkungan di mana setiap orang memahami bahwa mereka akan diperlakukan secara adil berdasarkan tindakan mereka daripada hasil dari tindakan mereka. Dalam lingkungan budaya keamanan penerbangan, semua personel memahami dengan jelas bahwa tidak adil menghukum semua kesalahan terlepas dari keadaan mereka, sementara pada saat yang sama mereka juga memahami bahwa memberikan kekebalan menyeluruh dari hukuman tidak dapat diterima karena beberapa tindakan dapat memiliki niat jahat, atau bisa jadi karena kelalaian dan/atau kecerobohan. Dengan demikian, penting untuk menarik garis antara tindakan yang dapat diterima dan tidak dapat diterima ketika merancang penerapan budaya keamanan penerbangan.
Budaya keamanan penerbangan tidak hanya mendefinisikan tanggung jawab personel terhadap organisasi mereka, tetapi juga tanggung jawab manajemen terhadap personel. Tanggung jawab tersebut harus dimasukkan dalam kebijakan di mana manajemen senior organisasi harus:
- Mendorong staf untuk mempraktikkan kebersihan dunia maya dan berkomitmen untuk mengakui upaya mereka dalam mendukung organisasi dalam mengelola risiko dunia maya;
- Berkomitmen untuk membekali semua personel dengan prosedur, kesadaran, pelatihan, dan pendidikan keamanan siber yang memadai untuk mendukung mereka dalam melaksanakan tugasnya;
- Bertanggung jawab jika ada insiden yang disebabkan oleh kurangnya kesadaran atau ketepatan dalam menangani risiko dunia maya tertentu; dan
- Mendorong staf untuk melaporkan insiden dunia maya, bahaya, kesalahan, atau perilaku mencurigakan apa pun yang mereka saksikan tanpa takut akan pembalasan.
Kontrol kualitas (Quality control)
Organisasi harus menerapkan program kontrol kualitas yang dirancang untuk memantau penerapan langkah-langkah keamanan siber yang efektif . Program kontrol kualitas dapat menjadi alat yang efektif dalam menjaga personel tetap waspada dan berkomitmen pada prinsip-prinsip budaya keamanan siber . Frekuensi dan kekakuan pelaksanaan kontrol kualitas dapat memiliki pengaruh positif terhadap personel dengan menunjukkan komitmen manajemen terhadap tujuan dan kepatuhan keamanan siber .
Kontrol kualitas reguler dari mekanisme pelaporan yang ada harus dilakukan sebagai bagian dari program kontrol kualitas .
Tinjauan dan peningkatan berkelanjutan (Continuous review and improvement)
Organisasi harus mengembangkan kerangka kerja indikator kinerja yang dirancang untuk menilai dampak tindakan yang ada pada budaya keamanan siber serta untuk menentukan kesenjangan yang ada antara hasil budaya yang diinginkan dan yang sebenarnya.
Karena beberapa elemen budaya keamanan siber mungkin tidak diamati secara langsung, berbagai indikator yang mungkin dapat digunakan untuk mengukur efektivitas budaya keamanan siber. Tindakan tersebut dapat mencakup:
- Statistik insiden yang dilaporkan (dibandingkan dengan data yang diambil dari log organisasi) untuk mengukur kinerja keamanan siber personel, tingkat kesadaran mereka, dan kemajuan yang dicapai dalam mempromosikan pelaporan keamanan siber ;
- Hasil sesi pelatihan berulang;
- Hasil dari simulasi serangan berbahaya untuk menguji respons personel; dan d) kuesioner dan wawancara.
Lingkungan kerja yang positif (Positive work environment)
Lingkungan kerja yang positif secara umum juga dapat sangat memengaruhi komitmen personel terhadap budaya keamanan siber dan meningkatkan kinerja keamanan siber .
Lingkungan kerja yang positif harus mencakup, minimal:
- Keterlibatan personel dalam proses pengambilan keputusan (misalnya saran untuk perbaikan program pelatihan kesadaran keamanan siber);
- Alokasi waktu yang cukup bagi personel untuk menyelesaikan pelatihan tentang kebersihan dunia maya yang layak;
- Mekanisme untuk mengakui kinerja yang baik (yaitu program insentif dan/atau penghargaan);
- Penyediaan umpan balik kepada personel tentang saran dan laporan keamanan siber ;
- Menetapkan tujuan yang jelas, dapat dicapai, dan terukur sehubungan dengan insiden keamanan siber , dan umpan balik berkala kepada personel tentang bagaimana organisasi maju dalam hal itu;
- Penyediaan prosedur, kesadaran, pelatihan, dan alat yang diperlukan untuk memungkinkan personel melakukan tugas mereka; dan
- Menyediakan personel dengan tingkat otonomi dan tanggung jawab yang sesuai.