Dari rekayasa sosial hingga pembajakan profil yang canggih, akun media sosial menghadapi banyak vektor serangan potensial. Tahun ini saja, grup peretas telah membobol akun media sosial raksasa teknologi, liga olahraga nasional, dan platform streaming.
Risiko keamanan media sosial untuk bisnis dan organisasi tidak bisa dianggap enteng. Kehadiran merek secara online sangat terkait dengan reputasinya: pelanggaran dapat merusak kepercayaan pelanggan dan membahayakan informasi perusahaan.
Ancaman keamanan siber terus berkembang, memaksa perusahaan untuk menilai dan menyesuaikan. Dalam posting ini, kami akan membahas praktik terbaik keamanan media sosial untuk membantu Anda mengembangkan pendekatan keamanan untuk akun organisasi Anda.
Fondasi keamanan media sosial yang kuat
Seperti kebanyakan hal, sulit untuk pergi ke mana pun tanpa rencana. Mulailah meningkatkan keamanan dengan membuat standar dan prosedur untuk mengurangi risiko keamanan media sosial dan menangani setiap masalah yang muncul. Rencana Anda harus mencakup:
- Praktik berkelanjutan untuk menyiapkan dan memelihara akun sosial merek Anda, serta alat pihak ketiga yang Anda gunakan (seperti alat manajemen media sosial atau bahkan plugin)
- Kapan dan bagaimana Anda akan memberikan dan menghapus akses akun ke anggota tim
- Irama untuk melakukan audit rutin terhadap siapa yang memiliki akses, terutama saat peran berubah dan anggota tim datang dan pergi
- Peninjauan berkala terhadap standar keamanan ini oleh tim
Untuk mencapai semua itu, yang terbaik adalah mengidentifikasi dan mendokumentasikan dengan jelas siapa orang utama yang bertanggung jawab atas keamanan media sosial. Baik orang ini adalah manajer media sosial atau pemimpin lainnya, anggota tim yang berdedikasi dapat terus mengetahui fitur keamanan terbaru yang ditawarkan oleh alat dan jaringan yang Anda gunakan. Mereka juga dapat memastikan bahwa mereka yang mengelola akun merek mereka memanfaatkan fitur tersebut dan mengikuti praktik terbaik.
Orang ini kemungkinan besar akan menemukan sekutu hebat dari pemangku kepentingan keamanan lain di perusahaan Anda, seperti tim TI dan / atau keamanan. Luangkan waktu untuk mempertimbangkan dan mengenali peran masing-masing tim dalam menjaga keamanan akun media sosial, mengidentifikasi individu yang akan menjadi bagian dari tim tanggapan keamanan jika perlu, dan melatih pemimpin untuk menginformasikan dan memanfaatkan tim yang relevan secara proaktif dan reaktif.
Praktik terbaik keamanan media sosial umum
Sebagian besar upaya untuk menjaga keamanan akun media sosial menyerupai saran yang kami dengar tentang menjaga keamanan informasi pribadi kami. Ini berarti bahwa anggota tim harus:
- Waspada. Tentunya, anggota tim akan berhati-hati dengan informasi perusahaan secara online. Namun, serangan terhadap akun pribadi juga dapat memengaruhi merek, terutama jika akun anggota tim memiliki akses ke profil perusahaan. Ini membuatnya penting untuk tetap waspada, mengawasi phishing dan serangan manipulasi psikologis lainnya dalam bentuk email, pesan, permintaan pertemanan, dan banyak lagi.
- Ikuti standar kata sandi organisasi Anda. Kata sandi yang kuat adalah garis pertahanan pertama terhadap pelanggaran keamanan. Setiap organisasi harus memiliki kebijakan yang menjelaskan tentang kata sandi yang kuat. National Institute of Standards and Technology (NIST), misalnya, mewajibkan lembaga federal untuk menggunakan sandi yang panjangnya setidaknya 8 karakter, tetapi selanjutnya menunjukkan bahwa panjang sandi adalah yang paling penting. Kami akan melangkah lebih jauh dan merekomendasikan frasa sandi yang panjangnya setidaknya 12-18 karakter.
-
Aktifkan 2FA / MFA. Otentikasi dua faktor (2FA) atau otentikasi multi-faktor (MFA) membutuhkan lebih dari satu kata sandi untuk memberikan akses ke sebuah akun. Faktor kedua bisa jadi perangkat yang disetujui, seperti ponsel, atau sesuatu yang lebih pribadi, seperti sidik jari. Ini mencegah penyerang mengakses akun hanya dengan satu kata sandi. Jika seseorang mencoba masuk dari perangkat yang tidak dikenal, misalnya, mereka mungkin perlu memasukkan kode unik dari perangkat seluler yang disetujui dan aplikasi otentikasi. Kurangnya 2FA inilah yang menyebabkan peretasan tahun 2015 terhadap Komando Pusat Angkatan Darat AS. Twitter tagihan. Facebook, Twitter, Instagram, LinkedIn, YouTube, Pinterest dan Google Bisnisku menawarkan semua opsi 2FA / MFA, yang tercantum di bawah. Manfaatkan untuk mengurangi risiko keamanan jejaring sosial. Kami merekomendasikan penggunaan aplikasi otentikasi pihak ketiga, seperti Authy melalui kode SMS melalui pesan teks.
- Facebook: Aplikasi otentikasi pihak ketiga, kode SMS (pesan teks)
-
Instagram: aplikasi otentikasi pihak ketiga, kode SMS (pesan teks)
- Twitter: Aplikasi otentikasi pihak ketiga, kode SMS (pesan teks)
-
LinkedIn: kode SMS (pesan teks)
- Pinterest: Kode SMS (pesan teks)
-
Google Bisnisku dan YouTube: Kunci Keamanan, Pemberitahuan Google, Google Authenticator, Kode Cadangan, Pesan Teks, Panggilan Telepon
- Manfaatkan SSO. Sistem masuk tunggal atau SSO memungkinkan aplikasi untuk terhubung ke platform manajemen identitas organisasi Anda dan menggunakan sistem masuk satu kali untuk masuk ke semua alat yang aksesnya dimilikinya. Ini berarti lebih sedikit manajemen kata sandi, lebih sedikit kemungkinan jatuh ke serangan phishing, dan login lebih mudah. Namun, tanpa 2FA / MFA, itu berarti penyerang dapat memperoleh akses ke banyak akun sekaligus. Ingatlah hal ini saat membangun pendekatan Anda terhadap keamanan. Bicaralah dengan tim TI atau keamanan Anda untuk memanfaatkan fungsi ini jika memungkinkan.
- Buat kebijakan media sosial yang terinformasi. Kebijakan media sosial yang kuat melindungi dari risiko keamanan dan masalah hukum, melatih staf Anda, dan melindungi merek Anda. Memperjelas siapa yang dapat berbicara untuk bisnis Anda di media sosial, menguraikan rencana untuk menangani konflik, dan menyertakan pedoman untuk akun pribadi. Untuk informasi lebih lanjut tentang cara membuatnya, lihat panduan kami.
Terapkan praktik umum ini ke semua akun media sosial untuk meningkatkan keamanan. Kemudian luangkan waktu untuk memastikan tim diberi tahu tentang cara menjaga keamanan akun tersebut.
Praktik terbaik untuk tim Anda
Sayangnya, banyak penyerang dunia maya menargetkan orang-orang yang terhubung ke akun tersebut, bukan akun itu sendiri. Faktanya, phishing menyumbang setengah dari semua serangan penipuan, dengan sebagian besar industri masih rentan terhadap serangan cyber phishing dan spoofing yang dipersonalisasi. Tim yang terinformasi adalah tim yang aman.
Agar anggota tim tetap up-to-date, sertakan kebijakan media sosial Anda sebagai bagian dari orientasi Anda, dan ikuti pelatihan rutin untuk meninjau perkembangan keamanan siber. Banyak organisasi, termasuk Sprout, melakukan pelatihan phishing atau rekayasa sosial berulang untuk membantu anggota tim melatih keterampilan pengenalan penipuan mereka.
Seperti yang telah kami sebutkan, menunjuk seseorang untuk memimpin keamanan media sosial sangat penting untuk mengikuti sifat serangan dunia maya yang terus berkembang. Informasi yang mereka lacak akan membantu dalam melatih tim. Orang ini juga dapat membantu memutuskan siapa yang membutuhkan akses ke akun media sosial dan mengapa, serta dapat memastikan bahwa akses dan penghapusan media sosial adalah bagian dari proses orientasi dan keluar untuk karyawan resmi perusahaan Anda. Mereka harus membuat dan memelihara daftar semua akun media sosial dan orang-orang yang memiliki akses, dan memeriksanya secara berkala. Kami sangat merekomendasikan menggunakan pengelola kata sandi seperti OnePassword atau LastPass untuk menyimpan dan mengelola akses kata sandi. Ini akan menyimpan semua data penting ini di satu tempat yang aman.
Jika ini terdengar seperti banyak pekerjaan, Anda benar, itu benar. Banyak perusahaan beralih ke platform manajemen media sosial seperti Sprout Social untuk membantu mengelola berbagai akun mereka dan meningkatkan keamanan. Platform ini membuat pemberian dan penghapusan akses anggota tim menjadi sederhana dan memiliki beberapa langkah otentikasi untuk membatasi akses akun bagi mereka yang benar-benar membutuhkannya.
Gunakan Sprout Social untuk meningkatkan keamanan media sosial
Ada beberapa cara untuk membantu klien kami menjaga keamanan akun mereka. Jika Anda menggunakan Sprout untuk mengelola media sosial organisasi Anda, pertimbangkan langkah-langkah keamanan berikut yang tersedia di aplikasi.
Yang pertama adalah yang telah kita bicarakan, dan itu adalah sesuatu yang dapat Anda konfigurasikan secara individu dan sebagai tim: otentikasi dua faktor. Aktifkan Verifikasi 2 Langkah di Sprout dengan mengunjungi halaman keamanan di setelan akun Anda. Dari sana, pemilik akun juga dapat mewajibkan Verifikasi 2 Langkah untuk semua pengguna. Namun, penting untuk dicatat bahwa fitur keamanan penting ini sulit dilakukan saat komputer mencoba mengelola akun secara native.
Dua fitur keamanan tambahan untuk seluruh tim adalah SSO dan Daftar Putih IP. Direkomendasikan untuk menggunakan sistem masuk tunggal untuk Sprout jika itu adalah sesuatu yang telah digunakan tim Anda untuk alat lain. Untuk biaya penerapan, Sprout dapat menghubungkan penyedia identitas Anda yang ada ke platform.
Menggunakan daftar putih IP berarti bahwa jika Anda memiliki VPN perusahaan, Anda dapat membatasi akses ke pengguna yang masuk dari alamat IP yang disetujui. Ini mencegah orang luar untuk mendapatkan akses, bahkan dengan kredensial otorisasi lainnya. Hubungi perwakilan Sprout Anda untuk informasi lebih lanjut tentang daftar putih IP dan SSO, dan lihat halaman keamanan kami untuk informasi lebih umum tentang keamanan platform Sprout.
Melindungi gateway ke akun dan data sosial
Pada akhirnya, keamanan akun media sosial perusahaan Anda ada di tangan Anda. Setelah rencana dan tindakan otentikasi yang aman diterapkan, tautan terlemah dalam rantai keamanan adalah manusia. Tetap di atas lanskap keamanan siber yang berubah dan terus mendidik diri sendiri dan tim Anda untuk tetap menjadi yang terdepan. Tetap waspada dan Anda dapat menjaga keamanan akun Anda hari ini dan di masa depan.
