Technologue.id, Jakarta - Bekerja dengan para freelancer (pekerja lepas) telah lama menjadi rutinitas bagi banyak manajerial. Bahkan dalam organisasi besar, tidak semua tugas dapat diselesaikan dalam tim, belum lagi bisnis dengan skala kecil, yang memiliki keterbatasan dalam mempekerjakan karyawan tambahan. Tetapi menghubungkan orang luar ke alur kerja digital dapat menimbulkan risiko dunia maya tambahan, terutama ketika Anda bekerja dengan seseorang secara langsung tanpa agen perantara. Simak sejumlah hal yang harus diperhatikan dan rekomendasi dari Kaspersky berikut ini untuk menghindari celah keamanan dalam ruang lingkup pekerjaan.
Bahaya dalam email masukPerekrut harus mulai memikirkan potensi ancaman saat mencari freelancer yang tepat. Kecil kemungkinan perekrut akan mempekerjakan seseorang tanpa melihat portofolio mereka. Seorang freelancers dapat mengirimi Anda dokumen, arsip dengan kumpulan karya, atau tautan ke situs pihak ketiga, dan Anda mungkin harus mengikuti tautan atau membuka file tersebut. Namun nyatanya, hampir semua hal bisa ada dalam file atau situs tersebut.
Para peneliti secara umum kerap menemukan kerentanan di browser atau paket aplikasi perkantoran. Setidaknya lebih dari sekali penyerang berhasil menguasai komputer perusahaan dengan memasukkan skrip berbahaya ke dalam dokumen teks atau dengan menyematkan paket eksploit dalam kode situs web. Namun, tanpa trik itupun, sejumlah karyawan dapat saja langsung mengklik file yang diterima tanpa melihat ekstensi dan meluncurkan file yang dapat dieksekusi.
Ingatlah bahwa penyerang dapat menunjukkan portofolio yang terlihat seperti pada umumnya (tidak harus dengan karya mereka sendiri) dan mengirim file berbahaya kemudian. Selanjutnya, para penyerang dapat mengendalikan komputer atau kotak pesan masuk freelancer dan menggunakannya untuk menyerang perusahaan Anda. Lagi pula, tidak ada yang tahu apakah akun atau perangkat mereka aman dan terlindungi, pun tim TI Anda tidak memiliki kendali atas apa yang terjadi di sana. Oleh karena itu, selalu waspadai file yang diterima sekalipun berasal dari freelancer yang telah bekerja dengan Anda selama bertahun-tahun.
Cara menanggulanginyaJika Anda perlu bekerja dengan dokumen yang dibuat di luar infrastruktur perusahaan, menjaga kebersihan digital adalah hal utama. Semua karyawan harus waspada terhadap ancaman siber yang relevan, sehingga penting untuk meningkatkan tingkat kesadaran keamanan mereka. Selain itu, Kaspersky dapat memberikan beberapa saran praktis sebagai berikut:
- Tetapkan aturan ketat untuk pertukaran dokumen, informasikan kepada setiap freelancer, dan jangan membuka file jika mereka tidak mematuhi aturan ini. Jangan menerapkan Arsip yang dapat mengekstraksi sendiri. Hindari Arsip dengan menerapkan kata sandi yang ditentukan dalam huruf yang sama. Ini mungkin hanya diperlukan untuk melewati filter antimalware email.
- Mendedikasikan komputer yang terpisah, terisolasi dari sisa jaringan, atau mesin virtual untuk bekerja dengan file dari sumber eksternal, atau setidaknya melakukan pemantauan rutin. Dengan cara ini Anda dapat secara signifikan mengurangi potensi kerusakan jika terjadi infeksi.
- Pastikan untuk melengkapi komputer atau mesin virtual dengan solusi keamanan seperti Kaspersky Endpoint Security Cloud untuk memblokir eksploitasi kerentanan atau mengklik tautan ke situs web berbahaya.
Untuk berkolaborasi dalam sebuah proyek, para freelancer sering kali mendapatkan akses ke sistem digital perusahaan seperti: platform berbagi file, sistem manajemen proyek, layanan konferensi, messenger internal, layanan cloud, dan sebagainya. Di sini Anda harus menghindari dua kesalahan - jangan memberikan hak yang berlebihan kepada freelancer dan jangan lupa untuk mencabut akses setelah pekerjaan selesai.
Dalam hal pemberian hak akses, cara terbaik adalah dengan mengikuti prinsip hak istimewa paling rendah. Seorang freelancer seharusnya hanya memiliki akses ke sumber daya yang diperlukan untuk proyek saat itu. Akses tak terbatas ke penyimpanan file atau bahkan riwayat obrolan dapat menimbulkan risiko ancaman. Jangan meremehkan informasi yang disimpan bahkan dalam layanan tambahan. Menurut laporan media, peretasan Twitter tahun 2020 dimulai ketika penyerang mendapatkan akses ke obrolan internal organisasi. Di sana, dengan menggunakan metode rekayasa sosial, penyerang mampu meyakinkan seorang karyawan perusahaan untuk memberi mereka akses ke lusinan akun.
Pencabutan hak akses setelah proyek berakhir juga bukanlah sebuah formalitas. Ini tidak berarti bahwa setelah menyelesaikan pekerjaan, para freelancer dapat mulai meretas sistem manajemen proyek Anda. Keberadaan akun tambahan dengan akses ke data perusahaan bukanlah hal yang baik. Misalnya para freelancer menetapkan kata sandi yang lemah atau menggunakan kembali kata sandi dari akun mereka yang lain, itu akan menyebabkan potensi risiko keamanan. Jika terjadi kebocoran, ada titik kerentanan tambahan di jaringan perusahaan Anda.
Cara menanggulanginyaHal paling penting adalah menghapus atau menonaktifkan akun freelancer setelah berakhirnya hubungan kerja. Atau paling tidak, ubah email dan kata sandi terkait - ini mungkin diperlukan dalam sistem yang menghapus semua data yang berhubungan dengan akun. Selain itu, Kaspersky juga merekomendasikan untuk:
- Menyimpan catatan terpusat tentang siapa saja yang memiliki akses dan layanan mana saja. Di satu sisi, ini akan membantu Anda mencabut semua hak setelah proyek berakhir, dan di sisi lain, ini dapat berguna saat menyelidiki sebuah insiden.
- Mewajibkan kontraktor untuk menjaga kebersihan digital yang baik dan menggunakan solusi keamanan (dapat juga menggunakan versi tidak berbayar/gratis ) pada perangkat yang mereka gunakan untuk terhubung ke sumber daya perusahaan.
- Menerapkan otentikasi dua faktor di semua sistem cloud jika memungkinkan.
- Menyiapkan infrastruktur terpisah untuk proyek dan file bagi para freelancer dan subkontraktor, jika memungkinkan.
- Memindai dengan cermat semua file yang diunggah ke penyimpanan cloud atau server perusahaan.