Sebuah survei yang dikompilasi bulan lalu di konferensi keamanan RSA mengungkapkan bahwa sebagian besar perusahaan masih ketinggalan dengan praktik keamanan yang tepat, dan beberapa dari mereka bahkan sengaja mengabaikan celah keamanan karena berbagai alasan mulai dari kurangnya waktu hingga kurangnya pengetahuan.
Survei, yang mengumpulkan jawaban dari 155 ahli keamanan dari perusahaan yang hadir di konferensi RSA, mengungkapkan bahwa hanya 47% dari organisasi memperbaiki kerentanan segera setelah diketahui.
Yang paling mengkhawatirkan adalah bahwa beberapa perusahaan menunda waktu sebelum menerapkan perbaikan, mengekspos infrastruktur TI mereka terhadap serangan. Lebih tepatnya, 16% menunggu selama satu bulan, sementara 8% mengatakan mereka hanya menerapkan patch satu atau dua kali setahun.
Seperempat perusahaan tidak punya waktu untuk “keamanan”
Namun tidak semua perusahaan menerapkan perbaikan, survei tersebut mengungkapkan. Sekitar 26% responden mengatakan bahwa perusahaan mereka mengabaikan celah keamanan kritis karena mereka tidak punya waktu untuk memperbaikinya.
Tetapi yang lebih memprihatinkan adalah bahwa 16% organisasi mengatakan mereka juga mengabaikan celah keamanan kritis karena mereka tidak memiliki keterampilan untuk memperbaikinya.
71% mengatakan mereka dapat meretas perusahaan mereka sendiri
Beberapa responden tampaknya menyadari fakta bahwa sistem mereka rentan terhadap serangan, dengan 71% mengakui bahwa mereka akan dapat meretas perusahaan mereka sendiri, sementara hanya 9% mengatakan ini akan “sangat tidak mungkin.”
Ditanya bagaimana mereka akan melakukan ini, 34% mengatakan mereka akan menggunakan social engineering (phishing dan metode lainnya), 23% mengatakan mereka akan menargetkan aplikasi web yang rentan, 21% mengatakan mereka akan mencoba berkompromi dengan akun layanan cloud, dan 21% mengatakan mereka akan menargetkan perangkat mobile karyawan (smartphone atau laptop).
Proporsi angka-angka ini hampir identik dengan bagaimana responden juga melihat titik paling aman perusahaan mereka, dengan 25% meraba infrastruktur cloud mereka, 23% perangkat IoT mereka, 20% perangkat seluler mereka, dan 15% aplikasi web perusahaan mereka.
Pen-testing!?! Humpf! Siapa yang membutuhkannya!?!
Ketika ditanya apakah perusahaan mereka pernah merekrut penetration tester, hanya 17% yang menjawab ya, sementara 35% mengatakan bahwa meskipun mereka akan menyewa layanan tersebut, mereka yakin penguji-penguji tidak akan mengekspos risiko atau kerentanan baru.
Ketidaktahuan belaka dari pernyataan tersebut agak menjelaskan mengapa beberapa responden mengaku tidak memiliki waktu untuk menerapkan perbaikan keamanan atau pengetahuan untuk melakukannya. Untung survei itu dianonimkan.
Jawaban lengkap survei, dipecah dalam diagram sederhana, tersedia dalam dokumen PDF melalui situs web Outpost24, sebuah perusahaan cyber security yang berbasis di Swedia.
