An investigation of phishing awarenessand education over time: When and how to best remind users

Mempertahankan keamanan informasi merupakan prioritas utama bagi organisasi di berbagai sektor, termasuk sektor pemerintahan dan administrasi publik. Dalam upaya untuk meningkatkan keamanan informasi, banyak organisasi di Jerman telah mengimplementasikan Sistem Manajemen Keamanan Informasi (ISMS) yang bertujuan untuk meningkatkan kesadaran dan pengetahuan keamanan informasi karyawan. Salah satu pendekatan umum yang digunakan adalah meluncurkan program kesadaran dan pendidikan keamanan. Program ini bertujuan untuk meningkatkan kesadaran akan pentingnya keamanan informasi secara umum dan memberikan pengetahuan tentang praktik-praktik keamanan yang efektif.

Namun, meskipun program-program ini telah banyak dilaksanakan, evaluasi terhadap efektivitas mereka dalam jangka waktu yang lebih lama masih terbatas. Pertanyaan penting yang perlu dijawab adalah kapan dan bagaimana tingkat kesadaran dan pengetahuan harus diperbarui agar tetap efektif. Jika karyawan jarang menghadapi serangan atau tidak pernah mengalami situasi yang telah dijelaskan dalam program kesadaran dan pendidikan keamanan, kesadaran dan pengetahuan yang mereka dapatkan dapat memudar seiring berjalannya waktu. Hal ini menjadi masalah serius dalam mempertahankan keamanan informasi organisasi.

Penelitian ini bertujuan untuk menyelidiki efektivitas tindakan kesadaran dan pendidikan keamanan dalam jangka waktu tertentu dan menentukan metode yang paling efektif untuk mengingatkan kesadaran dan pengetahuan pengguna. Penelitian ini dilakukan melalui investigasi lapangan di Kantor Negara Jerman untuk Geoinformasi dan Survei Negara (SOGSS). Tiga pertanyaan penelitian diajukan dalam penelitian ini:

1. Berapa lama efek dari tutorial langsung di tempat berlangsung, yaitu kapan kesadaran dan pengetahuan yang diperoleh harus diingatkan?
2. Tindakan pengingat apa yang paling efektif dalam memulihkan kesadaran dan pengetahuan pengguna?
3. Berapa lama dampak dari tindakan pengingat tersebut bertahan?

Sebanyak 409 karyawan SOGSS secara sukarela berpartisipasi dalam penelitian ini. Evaluasi dilakukan pada bulan keempat setelah tutorial langsung di tempat dilaksanakan. Setelah enam bulan, tidak ada peningkatan kinerja dalam membedakan email phishing dan email sah yang diamati. Empat tindakan pengingat yang berbeda diimplementasikan kepada empat kelompok, masing-masing menggunakan teks, video, contoh interaktif, dan teks singkat. Evaluasi terus dilakukan setiap dua bulan selama periode retensi pengetahuan yang signifikan.

Hasil penelitian menunjukkan bahwa efek tutorial langsung di tempat berkurang setelah enam bulan. Namun, tindakan pengingat berupa video dan contoh interaktif terbukti paling efektif dalam memperbarui dan mempertahankan kesadaran dan pengetahuan karyawan. Dampak dari tindakan pengingat ini bertahan setidaknya enam bulan setelah diluncurkan.

Berikut adalah beberapa ide untuk penelitian masa depan yang dapat melengkapi penelitian ini:

1. Melakukan penelitian serupa dengan subjek dan lingkungan yang berbeda untuk menguji generalisasi temuan.
2. Mengeksplorasi jenis tindakan pengingat lainnya yang mungkin efektif dalam meningkatkan kesadaran dan pengetahuan keamanan informasi.
3. Memperluas penelitian untuk melibatkan lebih banyak organisasi dan sektor guna mendapatkan wawasan yang lebih luas tentang kesadaran dan pendidikan keamanan informasi.

Penelitian ini memberikan wawasan yang berharga mengenai efektivitas tindakan kesadaran dan pendidikan keamanan dari waktu ke waktu dan metode terbaik untuk mengingatkan kesadaran dan pengetahuan pengguna. Hasil penelitian menunjukkan bahwa tutorial langsung di tempat dapat memberikan dampak yang signifikan, tetapi perlu ada tindakan pengingat yang efektif untuk mempertahankan tingkat kesadaran dan pengetahuan yang tinggi. Tindakan pengingat berupa video dan contoh interaktif terbukti paling efektif dalam memperbarui pengetahuan karyawan dan bertahan dalam jangka waktu yang lebih lama. Penelitian ini memberikan landasan yang kuat untuk pengembangan program kesadaran dan pendidikan keamanan informasi yang lebih efektif di masa depan.

Referensi:

Reinheimer, B., Aldag, L., Mayer, P., Mossano, M., Duezguen, R., Lofthouse, B., … & Volkamer, M. (2020, August). An investigation of phishing awareness and education over time: When and how to best remind users. In Proceedings of the Sixteenth USENIX Conference on Usable Privacy and Security (pp. 259–284).