Dasar Cybersecurity yang Setiap UKM Indonesia Harus Cover

Sebagian besar saran cybersecurity UKM entah terlalu generik untuk diaksi atau terlalu enterprise-fokus untuk diterapkan. Berikut baseline yang sebenarnya cocok untuk UKM Indonesia — apa yang dilakukan, apa yang berlebihan, dan di mana risiko nyata tinggal.

Di mana ancaman nyata untuk UKM

Bukan hacker yang disponsori negara atau eksploit zero-day. Tapi:

1. Email phishing yang menipu karyawan untuk mentransfer uang atau menyerahkan kredensial.
2. Password yang dikompromikan dipakai ulang antar layanan, terekspos di breach perusahaan lain.
3. Software yang tidak di-patch dengan kerentanan yang dikenal.
4. Kesalahan insider — kebocoran data tidak sengaja, laptop hilang tanpa enkripsi, ex-karyawan yang masih punya akses.
5. Ransomware dikirim lewat phishing atau sistem tidak di-patch.

Lima ini menyumbang 90%+ kompromi UKM aktual. Baseline yang cover mereka dengan baik membuat Anda target buruk. Penyerang canggih tidak buang waktu di UKM yang dikeraskan; mereka pergi ke yang lebih lunak.

Baseline yang sebenarnya dapat dicapai

1. Nyalakan multi-factor authentication di mana-mana

Langkah tunggal ini memblokir kategori ancaman terbesar. Email, banking, akuntansi, payroll, dan layanan cloud manapun yang menyimpan data kritikal-bisnis harus butuh MFA.

Pakai aplikasi autentikator (Google Authenticator, Authy, Microsoft Authenticator), bukan SMS di mana mungkin. MFA berbasis SMS lebih baik dari tidak ada tapi rentan terhadap serangan SIM swap yang semakin umum di Indonesia.

Biaya: gratis. Waktu rollout: 1–2 minggu training awkward. Hal leverage tertinggi tunggal yang bisa Anda lakukan.

2. Manajemen password tersentralisasi

Berhenti sharing password lewat WhatsApp atau Google Sheets. Pakai password manager (1Password, Bitwarden, LastPass). Setiap karyawan dapat akun mereka sendiri; password yang dibagi disimpan di manager dan dibagi via fitur sharing manager.

Ini menyelesaikan tiga masalah sekaligus: password lemah (manager menghasilkan yang kuat), password dipakai ulang (setiap layanan dapat yang unik), dan offboarding (saat karyawan pergi, Anda hapus akses mereka di satu tempat).

Biaya: Rp 50rb–150rb/karyawan/bulan. Setup: 2–4 minggu untuk rollout penuh.

3. Keamanan email di luar default

Pasang record SPF, DKIM, dan DMARC di domain Anda. Tanpa ini, penyerang bisa spoof email dari domain Anda (menyamar CEO Anda scam populer). Dengan mereka, email Anda juga kurang mungkin mendarat di folder spam.

Untuk inbound, provider email Anda (Google Workspace, Microsoft 365) punya deteksi phishing bawaan — nyalakan, konfigurasi level agresif, dan review quarantine sesekali.

Biaya: beberapa jam setup. Gratis atau sudah termasuk di langganan email.

4. Proteksi endpoint

Setiap laptop dan HP dengan akses ke data perusahaan harus punya:

• OS terkini (auto-update diaktifkan)
• Enkripsi disk diaktifkan (FileVault di macOS, BitLocker di Windows, screen lock di HP)
• Antivirus / anti-malware (Windows Defender baik untuk sebagian besar UKM; bawaan macOS cukup dengan hati-hati)
• Auto-lock saat idle

Bagian tersulit ini kebijakan, bukan teknologi. Buat wajib dan verifikasi periodik.

Biaya: Rp 0–500rb/perangkat/tahun tergantung tooling.

5. Update software reguler

Sistem operasi, browser, aplikasi kunci. Update yang menambal kerentanan keamanan dirilis konstan; tertinggal risiko yang menumpuk.

Untuk UKM tanpa staf IT dedikasi, versi praktis: aktifkan auto-update di mana-mana, lalu audit kuartalan untuk memastikan mereka sebenarnya terjadi.

6. Backup data, dites

Backup tidak berguna kalau tidak restore. Sebagian besar UKM yang kehilangan data ke ransomware punya backup secara teori. Mereka tidak pernah tes apakah backup-nya sebenarnya bekerja.

Minimum: data kritikal di-backup harian (sebagian besar layanan cloud-hosted lakukan ini untuk Anda), disimpan di lokasi terpisah, dapat di-restore. Tes restore setidaknya sekali setahun.

Biaya: biasanya termasuk di layanan yang sudah Anda pakai. Kalau tidak, Rp 200rb–2 juta/bulan untuk tooling backup.

7. Proses offboarding

Saat karyawan pergi, Anda harus bisa mencabut akses mereka ke semua sistem dalam satu jam. Sebagian besar UKM butuh hari atau minggu, kadang tidak pernah.

Bangun checklist offboarding tertulis. Termasuk: setiap layanan cloud, akses password manager, forwarding email, folder yang dibagi, akses fisik (keycard). Jalankan di setiap kepergian.

Ini sebagian besar proses, bukan teknologi. Gratis kecuali waktu untuk set up.

8. Training kesadaran phishing

Training kesadaran tahunan atau dua kali setahun untuk semua staf. Bukan jenis compliance membosankan — contoh praktis seperti apa phishing saat ini, dengan kuis di akhir.

Banyak program training off-the-shelf ada; pilih satu Bahasa Indonesia kalau tim Anda lebih nyaman di dalamnya.

Biaya: Rp 100rb–500rb per karyawan per tahun.

Apa yang berlebihan untuk sebagian besar UKM

Hal yang Anda belum butuh:

• SOC (Security Operations Center). Benar-benar berlebihan di bawah 200 karyawan.
• Penetration testing. Berguna sesekali untuk UKM dengan software publik, tapi sebagian besar UKM lebih dilayani melakukan dasar dengan baik.
• Sertifikasi ISO 27001. Hanya kalau pelanggan meminta.
• Stack software keamanan dedikasi. Sebagian besar UKM lebih dilayani dengan mengkonfigurasi yang sudah punya daripada menambah tool lain.

Berapa biaya sebenarnya untuk maintenance

Untuk UKM Indonesia biasa melakukan baseline dengan baik:

• Setup awal: Rp 30–80 juta kalau outsourced, kurang kalau Anda DIY.
• Berkelanjutan: Rp 50–150 juta/tahun (sebagian besar langganan software dan konsultasi sesekali).
• Biaya per-karyawan: kira-kira Rp 800rb–1,5 juta per tahun untuk tooling terkait keamanan.

Baseline tidak membuat Anda imun. Membuat Anda target buruk. Dikombinasi dengan praktik backup dan recovery, menghapus sebagian besar risiko katastrofik.

Kalau Anda mencoba menilai postur keamanan saat ini atau mencari tahu di mana mulai, satu jam percakapan biasanya menjernihkannya. Kami melakukannya tanpa biaya.