Antara tahun 2021 dan 2022, 56 persen organisasi pendidikan K-12 terkena ransomware, meningkat hampir 25 persen dari tahun sebelumnya. Itu angka yang mengejutkan, dan indikasi yang jelas bahwa ancaman terhadap sekolah semakin parah.
Meskipun penilaian risiko adalah salah satu hal terbaik yang dapat dilakukan sekolah K-12 untuk memahami kerentanan keamanan siber mereka agar menjadi strategis tentang cara melindunginya, alat penting ini sering kali dihindari. Lagi pula, mereka bisa sangat buruk untuk dilakukan, menghabiskan waktu yang berharga, melibatkan jargon yang membingungkan dan seringkali bahkan tidak terlihat menyelesaikan masalah apa pun.
Jika ini terdengar asing, ada kabar baik. Ya, penilaian risiko jauh dari sinar matahari dan mawar. Tetapi Anda dapat melewatinya dengan lebih sedikit gesekan dan rasa sakit, dan pada akhirnya meningkatkan postur keamanan Anda, jika Anda mematuhi pedoman berikut.
1. Dapatkan Spesifik Tentang Risiko & Toleransi
Saya hanya akan keluar dan mengatakannya: sebagian besar penilaian risiko jauh lebih rumit dan memakan waktu daripada yang seharusnya. Jika Anda telah mencoba melalui proses sebelumnya hanya untuk menemukan itu menguras waktu Anda selama berminggu-minggu atau berbulan-bulan, Anda melakukan penilaian yang salah. Sangat mungkin juga bahwa penilaian yang ada ditulis sebagai kesepakatan satu ukuran cocok untuk semua jenis, terlalu sempit (dan tidak dengan cara yang sesuai dengan Anda dan kebutuhan Anda), atau tampaknya tidak memahami keunikannya. nuansa bekerja di lingkungan pendidikan.
Prioritas keamanan Anda di sekolah K-12 secara alami akan berbeda dengan postur keamanan entitas pemerintah atau organisasi lain. Dengan demikian, penilaian risiko Anda juga harus berbeda, disesuaikan dengan situasi, risiko, jenis data, dan bahkan bahasa sehari-hari Anda. Saat Anda mulai mengatasinya, identifikasi aspek keamanan siber apa yang paling penting bagi Anda. Untuk sekolah, biasanya ini akan melindungi data siswa. Dari situ, Anda dapat menentukan toleransi risiko yang kemudian akan menginformasikan strategi dan rencana Anda.
2. Sederhanakan Bahasa
Beri tahu saya ini: Profesional TI melakukan penilaian risiko, tetapi biasanya administratorlah yang membacanya. Hal ini membuat setiap orang mengalami keterputusan dalam bahasa, frustrasi umum, dan hasil di bawah standar.
Terkait:
Lupakan jaringan datar–perketat keamanan Anda
4 cara untuk menghindari minyak ular keamanan siber
Lagi pula, cara orang TI berbicara tentang celah keamanan akan sangat berbeda dari cara kepala sekolah atau pengawas. Jika orang yang berwenang untuk menyetujui langkah-langkah keamanan tidak memahaminya, mereka cenderung tidak akan disetujui. Komunikasi penting, jadi pastikan penilaian risiko Anda ditulis oleh manusia untuk manusia dan dengan bahasa yang sesuai dengan lingkungan sekolah – bukan perusahaan nirlaba.
3. Loop di Lainnya
Penilaian risiko harus menyeluruh agar akurat, tetapi ini tidak berarti bahwa satu orang harus memikul beban. Padahal, penilaian terbaik dilakukan melalui kerja sama tim. Saat Anda memulai penilaian, luangkan waktu untuk benar-benar memikirkan siapa di tim Anda yang paling memenuhi syarat untuk menjawab pertanyaan atau bagian tertentu. Delegasikan bagian itu kepada mereka, bersama dengan tenggat waktu kapan Anda membutuhkannya untuk diselesaikan. Kemudian, bilas dan ulangi untuk semua pertanyaan dan bagian lainnya. Ini akan membantu mempercepat penyelesaian penilaian, dan memberi Anda wawasan yang lebih komprehensif.
4. Pahami Bagaimana Kepatuhan Sesuai Dengan Gambaran
Sebagai lembaga pendidikan, sekolah K-12 harus mematuhi aturan tertentu. Kemungkinan Anda telah menginvestasikan waktu dan sumber daya untuk mematuhi standar minimum yang terkait dengan peraturan seperti FERPA, tetapi penting untuk diperhatikan bahwa ini tidak memenuhi persyaratan keamanan siber Anda. Kepatuhan dan keamanan bukanlah satu dan sama. Jadi, pastikan bahwa Anda mencapai kepatuhan sebagaimana diperlukan, tetapi luangkan waktu untuk meningkatkan postur keamanan Anda di luar kepatuhan tersebut. Penting untuk menutupi semua basis Anda untuk melindungi data Anda yang paling sensitif.
5. Tentukan Apa Selanjutnya
Akhirnya, salah satu masalah yang paling mencolok dengan banyak penilaian risiko adalah bahwa penilaian tersebut berakhir dengan menunjukkan banyak lubang keamanan tanpa menawarkan panduan tentang prioritas atau cara untuk memperbaikinya. Siapa pun yang melakukan penilaian risiko Anda harus membagikan temuan mereka dan juga meluangkan waktu untuk memberikan jalan ke depan untuk sekolah Anda. Mereka harus mengingat prioritas terbesar Anda, toleransi risiko, dan sumber daya yang tersedia saat membantu Anda membuat rencana yang dapat ditindaklanjuti dan realistis.
Ketika datang ke sekolah, keamanan siber adalah yang paling penting. Meskipun penilaian risiko secara historis buruk, itu adalah alat yang sangat berharga bila dikelola dengan benar. Jadikan sekolah Anda lebih aman dengan melakukan penilaian risiko yang telah dirancang untuk sekolah dan mengikuti tip yang diuraikan di sini. Mereka masih tidak akan menjadi ide siapa pun untuk bersenang-senang, tetapi mereka akan jauh lebih enak – dan membantu Anda melindungi sekolah Anda dan data sensitifnya dengan cara yang layak untuk dilindungi.
Ryan Cloutier, CISSP, Presiden, SecurityStudio
Ryan Cloutier, CISSP, adalah presiden di SecurityStudio, yang bekerja untuk memperbaiki masalah industri keamanan informasi melalui penyederhanaan. Pemimpin pemikiran cybersecurity yang bersemangat, Ryan, dapat dihubungi di [email protected].
Posting terbaru oleh Kontributor Media eSchool (lihat semua)