Jejak digital, terkadang disebut "bayangan digital", adalah jejak data unik yang dibuat oleh seseorang atau bisnis saat menggunakan internet.
Hampir setiap aktivitas online meninggalkan jejak. Beberapa jejak terlihat jelas, seperti postingan media sosial publik. Lainnya hanya dapat diamati secara lebih halus, seperti cookie yang digunakan situs web untuk melacak pengunjung. Setiap jejak yang ditinggalkan seseorang atau perusahaan, jika digabungkan, akan membentuk jejak digital mereka.
Meskipun pengguna internet dan organisasi sama-sama memiliki jejak digital, tetapi keduanya berbeda dalam hal yang berarti. Jejak seseorang terdiri atas data pribadi yang mereka bagikan secara langsung dan tidak langsung. Hal ini termasuk aktivitas akun online, riwayat penelusuran, dan detail yang dikumpulkan oleh pialang data di latar belakang.
Jejak suatu organisasi sifatnya lebih kompleks. Hal ini terdiri dari seluruh kehadiran online perusahaan, termasuk semua aset, konten, dan aktivitas yang berhubungan dengan internet, baik yang bersifat publik maupun pribadi. Situs web resmi, peranti yang terhubung ke internet, dan basis data rahasia adalah bagian dari jejak perusahaan. Bahkan tindakan karyawan—misalnya, mengirim email dari akun perusahaan—dapat menambah jejak perusahaan.
Artikel ini berfokus pada jejak organisasi. Jejak organisasi tumbuh semakin besar dan terdistribusi, didorong oleh tren seperti ledakan cloud dan pekerjaan jarak jauh. Pertumbuhan ini disertai dengan risiko. Setiap aplikasi, perangkat, dan pengguna dalam jejak digital adalah target penjahat siber. Peretas dapat masuk ke jaringan perusahaan dengan mengeksploitasi kerentanan, membajak akun, atau menipu pengguna. Sebagai tanggapan, tim keamanan siber mengadopsi alat yang menawarkan visibilitas yang lebih besar ke dalam dan kontrol atas jejak bisnis.
Dapatkan insight untuk mengelola risiko pelanggaran data dengan lebih baik dengan laporan Biaya Pelanggaran Data terbaru.
Daftar untuk mendapatkan X-Force Threat Intelligence Index
Mendefinisikan jejak digital perusahaan bisa jadi rumit karena banyaknya orang dan aset yang terlibat. Kontur jejak bisnis dapat berubah setiap hari seiring dengan masuknya aset baru dan karyawan yang menggunakan internet untuk melakukan tugas-tugas rutin.
Unit bisnis yang berbeda menekankan aspek jejak yang berbeda. Pemasar berfokus pada kehadiran online publik perusahaan dan konten bermerek. Tim keamanan fokus pada permukaan serangan organisasi, yang merupakan aset yang terhubung ke internet yang mungkin diserang peretas.
Untuk lebih memahami apa saja yang bisa terkandung dalam jejak digital perusahaan, ada baiknya kita menguraikannya menjadi jejak digital aktif dan jejak digital pasif.
Jejak digital aktif perusahaan terdiri dari semua aktivitas online, aset, dan data yang secara langsung dan sengaja dikendalikan. Jejak aktif berisi hal-hal seperti:
Konten bermerek publik perusahaan, seperti situs web, akun media sosial, blog, iklan, dan media lainnya.
Aplikasi dan layanan online yang dibuat dan dikendalikan oleh organisasi, termasuk portal klien dan akun pelanggan pada aplikasi dan layanan ini.
Semua perangkat keras atau perangkat lunak yang terhubung ke internet yang digunakan karyawan untuk menjalankan bisnis perusahaan, seperti akun email, aplikasi cloud, titik akhir milik perusahaan, dan perangkat milik karyawan yang digunakan di jaringan perusahaan—di dalam atau di luar kebijakan bawa perangkat Anda sendiri (BYOD) .
Data yang dimiliki perusahaan, termasuk kekayaan intelektual, data keuangan, dan catatan pelanggan.
Jejak pasif perusahaan terdiri dari aktivitas online, aset, dan data yang terhubung dengan perusahaan namun tidak berada di bawah kendali langsung. Jejak pasif mencakup hal seperti:
Aktivitas dan aset vendor yang terhubung ke jaringan perusahaan, seperti paket peranti lunak pihak ketiga yang digunakan dalam aplikasi atau titik akhir perusahaan yang digunakan penyedia layanan pada sistem perusahaan.
Aset TI bayangan, yang mencakup semua aplikasi dan perangkat yang digunakan pada atau terhubung ke jaringan perusahaan tanpa persetujuan dan pengawasan departemen TI.
Aset TI tunggal yang tetap online meskipun perusahaan tidak lagi menggunakannya. Contohnya seperti akun lama di platform media sosial atau peranti lunak usang yang masih terinstal di laptop perusahaan.
Konten online yang dibuat tentang perusahaan oleh orang-orang di luar perusahaan, seperti artikel berita dan ulasan pelanggan.
Aset berbahaya yang dibuat atau dicuri oleh pelaku ancaman untuk menargetkan perusahaan dan merusak mereknya. Contohnya termasuk situs web phishing yang menyamar sebagai merek organisasi untuk menipu pelanggan, atau data curian yang bocor di dark web.
Karyawan dan pelanggan perusahaan memiliki jejak digital mereka sendiri. Jejak data yang mereka tinggalkan dapat menjadi bagian dari jejak bisnis.
Pelanggan berkontribusi pada jejak digital perusahaan dengan berinteraksi dengan organisasi. Hal ini termasuk memposting tentang perusahaan di media sosial, menulis ulasan, dan berbagi data dengan bisnis.
Pelanggan dapat memberikan data kepada bisnis secara langsung, seperti dengan mengisi formulir online untuk mendaftar langganan atau memasukkan nomor kartu kredit ke dalam portal belanja online. Pelanggan juga dapat berkontribusi melalui pengumpulan data tidak langsung, seperti saat aplikasi mencatat alamat IP dan data geolokasi pengguna.
Karyawan berkontribusi pada jejak digital perusahaan setiap kali mereka menggunakan aset online perusahaan atau bertindak atas nama perusahaan di internet. Contohnya seperti menangani data bisnis, menjelajahi web di laptop perusahaan, atau bertindak sebagai perwakilan perusahaan di LinkedIn.
Bahkan jejak pribadi karyawan dapat memengaruhi bisnis. Karyawan dapat membahayakan merek bisnis dengan mengambil sikap kontroversial di akun media sosial pribadi mereka atau berbagi informasi yang seharusnya tidak mereka bagikan.
Ukuran dan isi jejak digital perusahaan dapat memengaruhi postur keamanan siber, reputasi online, dan status kepatuhannya.
Jejak digital suatu perusahaan dapat menjadikannya sebagai target. Tumpukan data pribadi menarik perhatian para peretas, yang dapat menghasilkan banyak uang dengan meluncurkan serangan ransomware yang menyandera data ini dan mengancam untuk menjualnya di dark web.
Dunia usaha juga dapat membuat marah para peretas dan peretas negara ketika mereka menggunakan platform online untuk mengambil sikap terhadap topik politik.
Semakin besar jejak perusahaan, semakin besar pula risiko terkena serangan siber. Setiap perangkat atau aplikasi yang terhubung ke internet di jaringan perusahaan adalah vektor serangan yang mungkin. Aset dan aktivitas vendor juga membuka organisasi terhadap serangan rantai pasokan.
Peretas dapat menggunakan jejak pribadi karyawan untuk menembus jaringan. Mereka dapat menggunakan detail pribadi yang dibagikan orang di situs media sosial untuk membuat phishing tombak yang sangat bertarget dan penipuan penyusupan email bisnis . Bahkan detail yang tampak jinak, seperti nomor telepon karyawan, dapat memberi pijakan kepada peretas. Dan jika karyawan mempraktikkan kebersihan kata sandi yang buruk—misalnya, menggunakan kata sandi yang sama untuk berbagai tujuan atau tidak mengganti kata sandi secara teratur—mereka mempermudah peretas untuk mencuri kata sandi dan mendapatkan akses yang tidak sah ke jaringan.
Konten publik, liputan berita, dan ulasan pelanggan sebuah bisnis semuanya berkontribusi pada reputasi online. Jika sebagian besar konten tersebut memberikan gambaran positif tentang merek, maka perusahaan tersebut memiliki jejak digital yang positif. Jejak positif dapat mendorong bisnis baru, karena banyak calon pelanggan dan klien yang mencari tahu tentang perusahaan secara online sebelum membeli apa pun.
Di sisi lain, jejak negatif dapat mengusir bisnis. Liputan berita penting, pelanggan yang kesal berbagi pemikiran mereka di situs jejaring sosial, dan situs web perusahaan berkualitas rendah menyebabkan jejak negatif.
Pelanggaran data juga dapat merusak reputasi perusahaan. Pelanggan memercayai bisnis untuk melindungi privasi online mereka ketika mereka berbagi data sensitif. Jika data itu dicuri, orang akan membawa bisnisnya ke tempat lain.
Data pribadi yang dikumpulkan perusahaan dari pelanggan dan karyawannya adalah bagian dari jejak digitalnya. Sebagian besar data ini mungkin tunduk pada privasi data tertentu dan peraturan khusus industri. Misalnya, setiap organisasi yang berbisnis dengan pelanggan di Uni Eropa harus mematuhi Peraturan Perlindungan Data Umum, dan penyedia layanan kesehatan dan pihak lain yang berurusan dengan informasi kesehatan yang dilindungi (PHI) milik pasien yang harus mematuhi Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPPA).
Ketidakpatuhan terhadap aturan dapat mengakibatkan tindakan hukum, denda, dan kehilangan bisnis. Kasus ketidakpatuhan yang menjadi berita biasanya melibatkan pelanggaran data berskala besar atau serangan siber. Namun, sebuah organisasi memiliki risiko ketidakpatuhan terhadap peraturan di mana pun pada jejak digitalnya. Sebagai contoh, staf rumah sakit yang mengunggah foto pasien atau gosip tentang seorang pasien di media sosial dapat dianggap sebagai pelanggaran HIPAA.
Meskipun bisnis tidak dapat mengontrol setiap aspek dari jejak digitalnya, bisnis dapat mengambil langkah-langkah untuk menghentikan pelaku jahat menggunakan jejak tersebut untuk melawannya.
Beberapa organisasi melacak bagian publik dari jejak mereka dengan menyetel Google Alerts atau notifikasi mesin pencari lainnya untuk nama perusahaan. Hal ini memungkinkan bisnis untuk tetap berada di atas liputan berita, ulasan, dan konten lain yang dapat memengaruhi reputasi online.
Peranti lunak manajemen permukaan serangan dapat memetakan, memantau, dan mengamankan aset yang berhadapan dengan internet seperti titik akhir, aplikasi, dan basis data. Solusi informasi keamanan dan manajemen peristiwa (SIEM) dapat menangkap aktivitas yang tidak normal dan berpotensi berbahaya di seluruh jejak. Solusi deteksi dan respons titik akhir dapat melindungi aset yang mungkin ditargetkan oleh peretas. Alat pencegahan kehilangan data dapat menghentikan pelanggaran data yang sedang berlangsung.
Jaringan pribadi virtual dapat melindungi aktivitas online karyawan dan pengguna dari peretas, memberikan mereka satu vektor yang lebih sedikit ke dalam jaringan.
Pelatihan kesadaran keamanan dapat mengajarkan karyawan cara melindungi identitas digital mereka untuk kepentingan diri mereka sendiri dan perusahaan. Peretas memiliki lebih sedikit informasi untuk digunakan ketika karyawan tahu untuk menghindari berbagi secara berlebihan dan menggunakan pengaturan privasi yang kuat. Pelatihan juga bisa berfokus pada cara mendeteksi penipuan phishing dan menggunakan aset perusahaan dengan tepat agar jaringan tidak terpapar malware atau ancaman lainnya.
Manajemen informasi dan peristiwa keamanan (SIEM) adalah perangkat lunak yang membantu organisasi mengenali dan mengatasi potensi ancaman dan kerentanan keamanan sebelum dapat mengganggu operasi bisnis.
Ancaman orang dalam terjadi ketika pengguna yang memiliki akses resmi ke aset perusahaan membahayakan aset tersebut dengan sengaja atau tidak sengaja.