Kerja hibrid (terbuka di tab baru) diatur untuk menjadi praktik standar bagi sebagian besar organisasi saat kita perlahan mulai bangkit dari pandemi virus corona. Menurut survei McKinsey Mei 2021, 90% organisasi berniat beralih ke model kerja hybrid, kombinasi kerja di tempat dan kerja jarak jauh (terbuka di tab baru).
Tentang Penulis
Alan Calder adalah Pendiri & Ketua Eksekutif Tata Kelola TI (terbuka di tab baru).
Namun, untuk menyukseskan pekerjaan hybrid, organisasi harus secara teratur mengevaluasi keamanan siber mereka (terbuka di tab baru) dan proses kepatuhan. Menurut studi UKG, 87% pemberi kerja Inggris mempercepat transformasi digital mereka (terbuka di tab baru) proyek selama pandemi, dan 76% mengatakan bahwa mereka telah menggunakan satu teknologi atau aplikasi baru selama krisis.
Jika sebuah organisasi telah mengadopsi model kerja hybrid, atau setidaknya memikirkannya, ia harus mengakui tantangan yang ditimbulkan oleh kerja jarak jauh. Pendekatan baru untuk bekerja memerlukan pertimbangan yang cermat – dan salah satu perhatian terbesar organisasi adalah keamanannya (terbuka di tab baru) dan postur kepatuhan.
Atasi kerentanan teknis
Model kerja hybrid menciptakan risiko keamanan baru bagi organisasi, dan salah satu alasan utamanya adalah karena data (terbuka di tab baru) sering ditransfer antara karyawan jarak jauh dan berbasis kantor (terbuka di tab baru). Ini mungkin terjadi melalui server cloud, yang mungkin menawarkan perlindungan tambahan untuk organisasi, tetapi tidak kebal terhadap serangan dunia maya. Ada beberapa kampanye phishing selama pandemi di mana scammer telah mereplikasi pemberitahuan otomatis berbagi file untuk menangkap kredensial login orang.
Penyedia layanan cloud itu sendiri mungkin juga rentan terhadap serangan – seperti yang kita lihat dengan serangan ransomware di Kaseya. Namun, ada langkah-langkah yang dapat dilakukan bisnis untuk melindungi postur kepatuhan mereka dalam menghadapi pelanggaran pihak ketiga – langkah ini biasanya berkaitan dengan perjanjian kontraktual dengan pemasok terkait komitmen mereka terhadap keamanan dunia maya. Dengan protokol yang tepat, sebuah organisasi dapat menghindari tanggung jawab jika terjadi pelanggaran data, tetapi penting untuk diingat bahwa tidak mungkin untuk sepenuhnya menghilangkan risiko insiden keamanan yang terjadi.
Dalam pengaturan berbasis kantor sepenuhnya, semua komputer karyawan dijalankan melalui jaringan yang sama. Karyawan jarak jauh masing-masing akan terhubung ke sistem menggunakan jaringan individual. Ini berarti sebuah organisasi akan memiliki lusinan, ratusan, bahkan mungkin ribuan titik akhir tambahan – semuanya rentan terhadap serangan. Pada akhirnya, organisasi bertanggung jawab untuk menerapkan kontrol teknis yang sesuai untuk mencegah pelanggaran data, yang berarti semua karyawan harus diberi perangkat kerja.
Ini adalah satu-satunya cara agar organisasi dapat memastikan bahwa alat yang sesuai, seperti perangkat lunak antivirus, diterapkan. Ini juga memungkinkan tim TI memantau lalu lintas perangkat tersebut tanpa melanggar privasi karyawan (terbuka di tab baru) – sesuatu yang tidak mungkin terjadi jika mereka menggunakan perangkat pribadi mereka.
Hindari meninggikan hak istimewa karyawan
Mungkin tergoda untuk meningkatkan hak istimewa karyawan yang bekerja dari jarak jauh sehingga mereka dapat dengan cepat mengatasi sendiri masalahnya, daripada menunggu departemen TI menyelesaikan masalah teknisnya. Namun, ini menciptakan kerentanan yang signifikan dan harus dihindari sedapat mungkin.
Masalah dengan peningkatan hak istimewa adalah bahwa karyawan dapat diberikan kemampuan untuk tidak hanya menyelesaikan masalah tertentu, tetapi untuk melakukan tindakan yang seharusnya hanya dapat dilakukan oleh mereka yang memiliki hak admin. Hak admin ini harus diberikan berdasarkan kebutuhan untuk mengetahui, karena sangat penting untuk memastikan sesedikit mungkin karyawan memiliki kekuatan untuk melakukan perubahan besar. Jika tidak, ada risiko karyawan yang tidak puas dapat bertindak jahat untuk mengkompromikan sistem atau mencuri data sensitif.
Alternatifnya, organisasi harus menggunakan desktop jarak jauh (terbuka di tab baru) melayani. Ini menyerahkan kendali kepada anggota respons insiden organisasi atau tim TI. Meskipun masih akan menyebabkan penundaan saat memperbaiki masalah TI, ini adalah opsi yang jauh lebih aman dan mengurangi risiko terjadinya pelanggaran.
Melindungi privasi karyawan
Organisasi dengan model kerja hybrid segera menciptakan kesenjangan antara karyawan yang berada di kantor versus mereka yang bekerja dari jarak jauh. Salah satu tantangan terbesar adalah metode yang digunakan organisasi untuk memantau aktivitas kerja jarak jauh.
Organisasi mungkin mengambil pendekatan yang lebih lembut dengan karyawan berbasis kantor, karena mudah untuk melihat bagaimana mereka menghabiskan hari-hari mereka. Untuk karyawan jarak jauh, organisasi harus percaya bahwa mereka dapat melanjutkan pekerjaan atau menginstal perangkat lunak untuk melacaknya.
Cara organisasi memantau karyawan akan berbeda tergantung pada industri dan lokasi karyawan. Perangkat lunak pemantauan hadir dengan masalah privasi yang jelas, tetapi GDPR (Peraturan Perlindungan Data Umum) tidak melarang penggunaannya. Jika suatu organisasi memiliki alasan yang sah untuk memantau karyawan dan mampu mendokumentasikan alasan itu, organisasi dibenarkan untuk mengawasi aktivitas mereka.
Namun, tantangannya adalah dapat memantau karyawan jarak jauh saat mereka bekerja tanpa mengorbankan privasi mereka – organisasi perlu memastikan bahwa mereka dapat memisahkan pemantauan aktivitas bisnis dan pribadi. Ini berarti organisasi harus memastikan bahwa pemantauan dilakukan sedapat mungkin tidak mengganggu, bahwa karyawan mengetahui pemantauan tersebut, bahwa terdapat dokumentasi yang jelas untuk membuktikan bahwa pemantauan tersebut dapat diterapkan secara sah, dan bahwa praktik ini ditinjau secara berkala.
Jika sebuah organisasi tidak yakin dapat memantau karyawan jarak jauh tanpa membahayakan privasi mereka, karyawan perlu bekerja secara permanen dari kantor.
Buat rencana respons insiden baru
Sebelum pandemi, rencana tanggap insiden organisasi kemungkinan besar berasumsi bahwa sebagian besar, jika tidak semua, karyawan akan bekerja di lokasi tersebut. Ini tidak lagi terjadi dalam model kerja hibrid, dan rencana respons insiden harus diperbarui untuk memperhitungkannya.
Tantangan paling signifikan yang mungkin perlu dihadapi organisasi adalah seberapa bergantungnya pada teknologi untuk menghubungi staf jarak jauh. Jika infrastruktur TI diserang dan disusupi selama gangguan, organisasi perlu mencari cara alternatif untuk menghubungi staf jarak jauh. Untuk menambah kompleksitas ini, rencana respons insiden yang diperbarui untuk lingkungan kerja hybrid bukan hanya sekadar memutuskan apa yang harus dilakukan pekerja jarak jauh jika terjadi insiden. Rencananya mungkin berbeda secara dramatis tergantung pada hari, minggu, dan apakah anggota staf tertentu melakukan hotdesking pada hari itu, yang kemungkinan besar akan menghasilkan rencana yang jauh lebih rumit.
Keberhasilan rencana respons insiden juga bergantung pada seberapa baik karyawan menjalankannya. Ini termasuk tidak hanya orang yang bertanggung jawab untuk membuat dan melaksanakan rencana, tetapi semua orang dalam organisasi. Ini berarti sangat penting bagi organisasi untuk memastikan semua karyawan mengetahui rencana tersebut, menjelaskan mengapa rencana itu dibuat, dan memberikan pelatihan yang diperlukan agar mereka dapat mengikutinya.
Lihatlah solusi alternatif
Organisasi yang belum sepenuhnya mempertimbangkan kepraktisan keamanan dalam memadukan kerja di tempat dan kerja jarak jauh, atau mereka yang berjuang untuk mengatasi semua tantangannya, juga harus mempertimbangkan penerapan solusi Cybersecurity-as-a-Service atau Privacy-as-a-Service .
Solusi ini biasanya merupakan cara hemat biaya untuk menghindari perekrutan biaya tambahan dan mahal, dan berarti tim konsultan jarak jauh, pakar hukum, dan penanggap insiden dapat menjadi perpanjangan 24x7x365 dari departemen TI internal organisasi. Solusi ini sangat bermanfaat bagi UKM yang mungkin tidak mampu membeli departemen TI yang komprehensif atau meluangkan waktu untuk menerapkan tenaga kerja hybrid yang aman. Mereka memastikan organisasi dari semua ukuran, dan terus tetap aman dan patuh di dunia maya – di kantor, di rumah, di mana pun di dunia tempat mereka bekerja.
