Desember adalah saat dunia usaha di Indonesia menutup pembukuannya, mengejar tagihan akhir, dan membuat rencana tahun depan. Ini juga merupakan bulan yang tepat untuk audit keamanan akhir tahun, dan inilah bagian yang mengejutkan sebagian besar pemilik: versi yang mencakup 80 persen risiko sebenarnya membutuhkan waktu satu sore dan tidak memerlukan biaya apa pun.

Anda tidak memerlukan penguji penetrasi untuk ini. Sebagian besar pelanggaran UKM yang saya lihat dari dekat tidak melibatkan peretasan yang cerdik. Mereka melibatkan mantan karyawan yang emailnya masih berfungsi, kata sandi admin bersama yang ada di grup WhatsApp mulai tahun 2020, atau plugin yang belum diperbarui siapa pun sejak instalasi.

Audit keamanan akhir tahun pada tingkat ini adalah kebersihan akses. Hal ini menimbulkan satu pertanyaan berulang kali: siapa dan apa yang dapat mempengaruhi sistem kita, dan apakah mereka masih dapat melakukannya? Blokir waktu sore hari, buka spreadsheet, dan kerjakan daftar di bawah ini.

Bagian 1: Audit orang (60 menit)

Mulailah dengan manusia, karena di situlah konsentrasi risikonya.

Daftar semua orang yang keluar tahun ini. HR tahu nama-namanya. Sekarang periksa, untuk setiap orang, setiap sistem yang mereka sentuh:

  • Email perusahaan (konsol admin Google Workspace atau Microsoft 365 menampilkan akun aktif)
  • Grup WhatsApp tempat pengambilan keputusan bisnis atau data pelanggan
  • Software akuntansi, sistem POS, dashboard admin
  • Akun media sosial, akun penjual marketplace (Tokopedia, Shopee)
  • Token bank, akun bisnis dompet elektronik
  • GitHub, panel hosting, pendaftar domain, segala hal teknis

Berdasarkan pengalaman saya mengaudit UKM, kira-kira satu dari tiga memiliki setidaknya satu mantan karyawan yang memiliki akun live di suatu perusahaan. Salah satu distributor yang saya ulas memiliki anggota staf yang mengundurkan diri pada bulan Maret dan masih menerima email pesanan pelanggan pada bulan Oktober. Tidak ada hal buruk yang terjadi, tapi itu adalah keberuntungan, bukan kendali.

Periksa akun hantu. Ini adalah login yang tidak dikenali oleh siapa pun: pekerja lepas dari proyek yang hanya dilakukan satu kali, vendor yang "hanya memerlukan akses sementara", akun percobaan yang dibuat dan dilupakan seseorang. Jika tidak ada yang bisa menjelaskan suatu akun, nonaktifkan akun tersebut. Jika ada yang rusak, Anda akan mengetahuinya dengan cepat dan Anda dapat mengaktifkannya kembali dengan pemilik yang terdokumentasi.

Perbaiki kesenjangan pelepasan Anda di masa mendatang. Alasan Anda menemukan masalah saat ini adalah karena keluar dari perusahaan tidak secara otomatis memicu penghapusan akses. Tulis daftar periksa satu halaman sekarang, selagi rasa sakitnya masih segar, dan jadikan itu bagian dari setiap pengunduran diri. Ini adalah jenis proses yang termasuk dalam rencana nyata, seperti yang saya jelaskan di mengapa bisnis Anda memerlukan strategi teknologi, bukan hanya situs web.

Bagian 2: Audit kata sandi (45 menit)

Sekarang kredensialnya sendiri.

Cari kata sandi bersama. Tanyakan langsung kepada setiap pimpinan tim: login mana yang digunakan lebih dari satu orang? Pelaku yang umum adalah admin WiFi kantor, akun Instagram, akun penjual marketplace, dan sistem akuntansi. Kata sandi bersama berarti Anda tidak dapat mencabut akses seseorang tanpa mengganggu semua orang, dan Anda tidak pernah tahu siapa sebenarnya yang melakukan apa.

Untuk setiap login bersama, perbaikannya adalah salah satu dari dua langkah:

  1. Jika sistem mendukung banyak pengguna, buat akun individual dan matikan akun bersama
  2. Jika benar-benar hanya mendukung satu login, pindahkan kata sandi ke pengelola kata sandi dengan berbagi terkontrol, sehingga Anda dapat memutarnya di satu tempat ketika seseorang keluar

Putar semua hal sensitif yang tidak berubah tahun ini. Portal bank, pendaftar domain, panel kontrol hosting, admin email. Jika kata sandinya ada sebelum karyawan terbaru Anda, maka kata sandinya sudah lewat batas waktu.Aktifkan autentikasi dua faktor di tempat yang paling penting. Anda tidak memerlukannya di mana pun dalam satu sore. Prioritaskan email terlebih dahulu, karena email mengatur ulang semuanya, lalu perbankan, lalu registrar domain Anda. Penyerang yang memiliki email Anda adalah pemilik bisnis Anda.

Bagian 3: Audit sistem (60 menit)

Mesin dan perangkat lunak berikutnya.

Periksa apa yang berjalan tanpa ditambal. Situs WordPress dengan plugin yang terakhir diperbarui pada tahun 2021 adalah vektor pelanggaran UKM klasik di Indonesia. Masuk ke situs Anda, hitung pembaruan yang tertunda, dan jadwalkan. Saat Anda berada di sana, hapus plugin dan tema yang tidak lagi Anda gunakan, karena kode yang tidak aktif masih merupakan kode yang dapat diserang.

Verifikasi bahwa cadangan Anda benar-benar dipulihkan. Cadangan yang belum pernah Anda pulihkan adalah harapan, bukan cadangan. Pilih satu file asli atau satu tabel database dan pulihkan ke lokasi pengujian. Sepuluh menit, dan sekarang Anda tahu. Saya membahas ritual pemeliharaan yang lebih luas di pemeriksaan kesehatan situs web tahunan.

Inventarisasi integrasi Anda. Setiap kunci API, webhook, dan koneksi pihak ketiga adalah sebuah pintu. Gerbang pembayaran, agregator pengiriman, otomatisasi gaya Zapier, alat analisis dari kampanye dua tahun lalu. Buatlah daftar, dan cabutlah hal-hal yang tidak dapat dibenarkan oleh siapa pun. Salah satu klien ritel saya menemukan enam kunci API aktif untuk alat pemasaran yang telah mereka hentikan pembayarannya pada tahun 2021.

Lihat admin sprawl. Hitung berapa banyak akun yang memiliki hak admin penuh di setiap sistem. Jawaban yang benar biasanya ada dua: pemilik dan satu operator terpercaya. Semua orang mendapat peran minimum yang memungkinkan mereka melakukan pekerjaan mereka. Lima admin pada sistem POS bukanlah kemudahan, melainkan lima cara masuk.

Bagian 4: Tuliskan apa yang Anda temukan (15 menit)

Audit tidak ada gunanya jika menguap. Tutup sore hari dengan tiga daftar pendek:

Daftar Isi Batas waktu
Diperbaiki hari ini Akun dinonaktifkan, kata sandi dirotasi, 2FA diaktifkan Selesai
Perbaiki minggu ini Pembaruan untuk diterapkan, pencadangan untuk diuji, peran untuk diturunkan versi Sebelum 15 Desember
Perbaiki pada bulan Januari Peluncuran pengelola kata sandi, daftar periksa pelepasan, pembersihan integrasi Sebelum Tahun Baru Imlek

Pasang pengingat kalender untuk audit yang sama Desember mendatang. Setahun sekali adalah jumlah minimum untuk usaha kecil; jika Anda menangani uang pelanggan atau data pribadi, lakukan setiap tiga bulan.

Kesimpulannya: membosankan mengalahkan pintar

Audit keamanan akhir tahun untuk usaha kecil bukan tentang firewall dan intelijen ancaman. Ini tentang hal-hal yang membosankan dan manusiawi: akun mati, kata sandi yang dibagikan, admin yang tersebar, dan integrasi yang terlupakan. Pemeriksaan yang jujur ​​pada suatu sore menghilangkan risiko yang lebih nyata dibandingkan setahun mengkhawatirkan penyerang canggih yang tidak pernah datang untuk Anda.

Lakukan audit orang terlebih dahulu jika Anda hanya melakukan satu bagian. Akses mantan karyawan adalah satu-satunya temuan yang paling umum, paling mudah diperbaiki, dan paling memalukan untuk dijelaskan setelah kejadian tersebut. Jika Anda lebih suka jika ada orang teknis yang menjelaskan hal ini bersama Anda dan menyiapkan sistemnya sehingga audit tahun depan memakan separuh waktu, itulah jenis keterlibatan yang saya lakukan secara selektif, dan Anda dapat membaca cara saya bekerja di /partner.