Minggu antara Natal dan Tahun Baru adalah minggu paling sepi bagi bisnis Anda sepanjang tahun. Klien sedang pergi, kotak masuk melambat, dan untuk kali ini tidak ada yang menunggu Anda. Hal ini menjadikannya jendela sempurna untuk satu tugas yang hampir tidak ada orang yang menjadwalkannya: daftar periksa audit keamanan akhir tahun yang sebenarnya dapat Anda selesaikan dalam satu sore.
Saya tidak berbicara tentang menyewa perusahaan pengujian penetrasi atau membaca kerangka seratus halaman. Saya berbicara tentang dua jam, sepuluh item, dan sebuah laptop. Tujuannya bukanlah kesempurnaan. Tujuannya adalah untuk menutup beberapa kesenjangan yang diam-diam terakumulasi selama dua belas bulan sejak perekrutan, pemecatan, pembagian kata sandi, dan penambahan alat.
Saya akan membuat janji di muka. Jika Anda benar-benar menjalankan daftar periksa audit keamanan akhir tahun ini, Anda akan menemukan setidaknya satu hal yang seharusnya diperbaiki beberapa bulan lalu. Semua orang melakukannya. Temuan tunggal tersebut biasanya membenarkan keseluruhan latihan.
Mulailah dengan item dengan risiko tertinggi: akses mantan karyawan
Ketertiban penting di sini. Lakukan hal-hal yang paling menghilangkan risiko per menitnya terlebih dahulu, dan tidak ada yang lebih baik daripada mencabut akses bagi orang-orang yang tidak lagi bekerja dengan Anda.
Setiap bisnis yang mempekerjakan atau berpisah dengan seseorang tahun ini memiliki akses basi di suatu tempat. Mantan anggota staf yang emailnya masih diteruskan. Seorang freelancer yang masih memiliki login Canva bersama. Seorang tenaga penjualan yang mengundurkan diri yang akunnya masih dapat membuka CRM Anda. Ini bukanlah hipotesis. Dalam bisnis distribusi kecil yang saya lihat, seorang kontraktor yang keluar pada bulan Maret masih memiliki akses langsung ke sistem inventaris pada bulan November. Tidak ada yang berpikir untuk menghapusnya.
Periksa daftar ini dan konfirmasikan bahwa setiap orang yang meninggal sudah sepenuhnya terputus:
- Akun email dan aturan penerusan
- Keanggotaan Google Workspace atau Microsoft 365
- CRM Anda, perangkat lunak akuntansi, dan dasbor operasional apa pun
- Login alat bersama (desain, media sosial, pemasaran)
- Folder penyimpanan cloud dan panel admin apa pun
Jika Anda tidak dapat mengingat semua orang yang keluar, periksalah catatan penggajian Anda untuk tahun tersebut. Daftar itu adalah sumber kebenaran Anda.
Putar kata sandi bersama yang semua orang lupa
Sebagian besar UKM menjalankan beberapa login bersama yang tidak berubah selama bertahun-tahun. Akun Instagram, pendaftar domain, panel hosting, alat bersama yang berdekatan dengan bank. Setiap orang yang pernah menyentuhnya masih mengetahui kata sandinya, dan setengah dari kata sandi tersebut tertulis di pesan WhatsApp di suatu tempat.
Putar yang kritis sekarang. Anda tidak perlu mengubah kelima puluh login hari ini. Fokus pada akun yang dapat menyebabkan kerusakan nyata: apa pun yang berhubungan dengan uang, domain dan hosting Anda, serta akun sosial utama Anda. Saat Anda berada di sana, aktifkan autentikasi dua faktor di mana pun hal itu ditawarkan. Peralihan tunggal ini mengalahkan sebagian besar pengambilalihan akun.
Jika Anda belum menggunakan pengelola kata sandi, inilah saatnya untuk menerapkannya. Kata sandi bersama yang ada di rangkaian obrolan adalah penyebab utama dari sebagian besar hal yang baru saja Anda bersihkan.
Konfirmasikan bahwa cadangan Anda benar-benar dipulihkan
Inilah kebenaran yang tidak menyenangkan tentang pencadangan: hampir semua orang memilikinya, dan hampir tidak ada yang mengujinya. Cadangan yang belum pernah Anda pulihkan adalah sebuah harapan, bukan perlindungan.Luangkan waktu lima belas menit dan pulihkan sesuatu. Tarik file dari cadangan Anda dan buka. Ekspor salinan data bisnis penting Anda dan konfirmasikan bahwa data tersebut terbuka dengan bersih. Jika sistem akuntansi atau inventaris Anda berjalan di cloud, pastikan Anda dapat mengekspor salinan lengkap yang Anda kendalikan, bukan hanya salinan yang dimiliki vendor. Sebuah jaringan ritel di Tangerang tempat saya bekerja menemukan bahwa selama pemeriksaan ini, pencadangan malam mereka diam-diam gagal selama enam minggu. Lebih baik mempelajarinya di bulan Desember yang tenang daripada saat pemadaman listrik sebenarnya.
Tinjau siapa yang dapat memindahkan uang
Ini adalah hal yang menurut pemilik paling serius, jadi lakukanlah dengan sengaja. Buatlah daftar sederhana tentang bagaimana uang dapat meninggalkan bisnis Anda dan siapa yang dapat memicunya.
- Siapa yang dapat melakukan transfer bank, dan apakah ada pemberi persetujuan kedua yang melebihi ambang batas?
- Siapa yang memiliki akses ke gateway pembayaran atau pengaturan pembayaran e-commerce Anda?
- Staf mana yang dapat melakukan pengembalian dana, dan apakah ada batasan jumlahnya?
- Siapa yang memegang kartu perusahaan, dan apakah Anda meninjau laporannya setiap bulan?
Anda tidak ingin tidak mempercayai tim Anda. Anda mencari satu titik kegagalan, di mana satu orang bertindak sendiri atau satu akun yang disusupi dapat menguras akun. Menambahkan pemberi persetujuan kedua pada transfer dalam jumlah besar sering kali merupakan perubahan bernilai tertinggi yang akan Anda lakukan sepanjang tahun.
Sisa dari daftar dua jam
Keempat item di atas mempunyai risiko paling besar. Lengkapi daftar periksa audit keamanan akhir tahun Anda dengan pemeriksaan yang lebih cepat berikut:
- Kedaluwarsa domain dan SSL. Konfirmasikan bahwa domain Anda tidak akan kedaluwarsa dan sertifikat Anda valid. Domain kadaluwarsa adalah bencana yang sangat bisa dihindari.
- Inventaris perangkat. Catat laptop dan ponsel mana yang mengakses data perusahaan, dan konfirmasikan bahwa kunci layar dan enkripsinya aktif.
- Jumlah admin. Di setiap alat utama, periksa berapa banyak orang yang memegang hak admin. Biasanya jumlahnya lebih dari yang seharusnya. Turunkan siapa pun yang tidak membutuhkannya.
- Daftar vendor. Catat setiap alat SaaS yang Anda bayar. Anda akan menemukan setidaknya satu yang Anda lupa telah membayarnya, dan mungkin satu lagi yang tidak digunakan lagi oleh siapa pun.
Menyimpan catatan tertulis tentang apa yang Anda jalankan adalah kebiasaan yang memberikan manfaat lebih dari sekedar keamanan, itulah sebabnya saya mendorong klien menuju SOP Digital: Mendokumentasikan Proses yang Sebenarnya Digunakan Orang.
Kesimpulan praktis
Keamanan untuk usaha kecil bukanlah tentang kecanggihan. Ini tentang tidak membiarkan pintu-pintu terbuka, dan pintu-pintu yang jelas adalah pintu-pintu yang ditutup dalam daftar periksa audit keamanan akhir tahun. Dua jam, sepuluh item, dilakukan setahun sekali.
Blokir waktu sekarang selagi bisnis sepi. Mulailah dengan akses mantan karyawan, putar kata sandi yang penting, buktikan pemulihan cadangan Anda, dan perketat siapa yang dapat memindahkan uang. Apa pun yang Anda temukan, dan Anda akan menemukan sesuatu, perbaikilah sebelum tahun baru dimulai. Jika keamanan terus muncul sebagai kekhawatiran yang berulang dan bukannya pemeriksaan setahun sekali, itu adalah tanda bahwa Anda sudah melampaui pendekatan DIY dan ada baiknya mendatangkan mitra teknis untuk menetapkan landasan yang tepat.