Temika

Workshop-Security-Awareness

Materi Wajib dalam Workshop Security Awareness untuk Karyawan Non-IT

Program keamanan siber di perusahaan sering kali terlalu fokus pada teknologi: firewall, endpoint protection, monitoring log, vulnerability management, atau kontrol akses. Padahal dalam banyak insiden, titik awal serangan justru datang dari interaksi manusia—misalnya karyawan yang mengklik tautan phishing, membagikan kredensial tanpa sadar, menggunakan password yang lemah, atau mengunggah data perusahaan ke platform yang tidak semestinya. Karena itu, materi security awareness karyawan menjadi salah satu komponen penting dalam strategi keamanan organisasi, khususnya untuk karyawan non-IT yang setiap hari menggunakan email, aplikasi kolaborasi, perangkat kerja, dan akun perusahaan.

Bagi tim HR, compliance, IT, maupun manajemen, tantangan utamanya bukan hanya “mengadakan training”, tetapi memastikan isi workshop benar-benar relevan dengan risiko yang dihadapi karyawan sehari-hari. Workshop yang terlalu teknis sering kali sulit dipahami peserta non-IT. Sebaliknya, workshop yang terlalu umum sering gagal mengubah perilaku. Karena itu, penyusunan workshop security awareness perlu berangkat dari ancaman nyata, contoh yang mudah dipahami, dan langkah praktis yang bisa langsung diterapkan di tempat kerja.

Artikel ini membahas materi wajib yang sebaiknya ada dalam workshop security awareness untuk karyawan non-IT, mengapa topik-topik tersebut penting, serta bagaimana menyusunnya agar lebih efektif untuk meningkatkan kesadaran keamanan di level organisasi.

Mengapa Workshop Security Awareness untuk Karyawan Non-IT Itu Penting?

Karyawan non-IT berada di garis depan interaksi digital perusahaan. Mereka menerima email dari pihak luar, membuka lampiran, mengakses dokumen cloud, mengelola akun pelanggan, memproses invoice, menggunakan aplikasi HR atau finance, dan sering kali berkomunikasi melalui berbagai platform sekaligus. Aktivitas ini terlihat rutin, tetapi justru menjadi pintu masuk yang sering dimanfaatkan attacker.

Serangan phishing, business email compromise, penyalahgunaan akun, pencurian kredensial, hingga kebocoran data akibat human error umumnya tidak memerlukan teknik eksploitasi yang rumit. Penyerang cukup memanfaatkan rasa terburu-buru, kurangnya verifikasi, kebiasaan berbagi file tanpa kontrol, atau minimnya pemahaman terhadap tanda-tanda komunikasi mencurigakan. Itulah sebabnya workshop security awareness bukan sekadar formalitas pelatihan, melainkan bagian dari upaya membangun pertahanan manusia di dalam perusahaan.

Untuk karyawan non-IT, tujuan workshop bukan mengubah mereka menjadi analis keamanan, tetapi membekali mereka dengan kemampuan mengenali risiko, mengambil keputusan yang lebih aman, dan tahu harus melapor ke siapa ketika menemukan indikasi insiden. Dengan materi yang tepat, perusahaan dapat menurunkan risiko kesalahan yang sebenarnya bisa dicegah sejak awal.

Prinsip Menyusun Materi Security Awareness untuk Karyawan Non-IT

Sebelum masuk ke daftar topik, ada satu hal penting: materi untuk karyawan non-IT sebaiknya tidak disusun seperti kelas teknis keamanan siber. Fokusnya bukan pada istilah yang rumit, melainkan pada perilaku berisiko, situasi nyata di tempat kerja, dan keputusan sederhana yang bisa mencegah insiden. Artinya, materi perlu disampaikan dengan bahasa yang mudah dipahami, contoh yang dekat dengan rutinitas peserta, dan penekanan pada apa yang harus dilakukan jika menghadapi situasi tertentu.

Workshop yang efektif biasanya menghubungkan tiga hal sekaligus: ancaman yang relevan, contoh konkret, dan tindakan praktis. Misalnya, bukan hanya menjelaskan apa itu phishing, tetapi juga menunjukkan seperti apa email phishing yang menargetkan tim finance, mengapa email itu meyakinkan, dan langkah apa yang harus dilakukan sebelum mengklik lampiran atau memproses permintaan transfer dana.

1. Phishing dan Cara Mengenali Email atau Pesan Mencurigakan

Jika harus memilih satu topik paling wajib dalam materi security awareness karyawan, phishing hampir selalu ada di urutan teratas. Alasannya sederhana: phishing masih menjadi salah satu teknik serangan yang paling sering digunakan karena murah, scalable, dan efektif memanfaatkan kelengahan manusia. Karyawan non-IT perlu memahami bahwa phishing tidak selalu berbentuk email dengan bahasa buruk atau permintaan yang terlalu jelas. Banyak serangan modern justru dirancang agar tampak meyakinkan, menggunakan nama vendor, atasan, rekan kerja, bank, kurir, atau layanan digital yang biasa digunakan perusahaan.

Dalam workshop, materi phishing sebaiknya membahas tanda-tanda umum seperti domain pengirim yang aneh, tautan yang tidak sesuai, lampiran yang tidak diminta, permintaan mendesak, perubahan rekening pembayaran, atau pesan yang mendorong peserta untuk login melalui halaman yang tidak familiar. Akan lebih baik jika sesi ini dilengkapi contoh nyata yang dekat dengan fungsi peserta, misalnya email invoice palsu untuk tim finance, tautan reset password palsu untuk semua karyawan, atau pesan rekrutmen palsu untuk tim HR.

Yang tidak kalah penting, peserta perlu tahu apa yang harus dilakukan jika menerima email mencurigakan: jangan langsung klik, jangan membalas dengan data sensitif, verifikasi melalui kanal resmi, dan laporkan ke tim yang berwenang sesuai prosedur perusahaan.

2. Password, Passphrase, dan Kebiasaan Login yang Aman

Materi berikutnya yang wajib dibahas adalah pengelolaan password. Banyak insiden keamanan tidak terjadi karena sistem diretas dengan teknik canggih, melainkan karena akun pengguna mudah diambil alih. Password yang lemah, dipakai ulang di banyak layanan, dibagikan ke rekan kerja, atau disimpan sembarangan masih menjadi masalah umum di banyak organisasi.

Untuk karyawan non-IT, materi ini sebaiknya fokus pada kebiasaan praktis: membuat passphrase yang kuat, menghindari penggunaan password yang sama di banyak akun, memahami manfaat password manager jika perusahaan menggunakannya, serta pentingnya mengaktifkan multi-factor authentication bila tersedia. Selain itu, workshop perlu menekankan bahwa OTP, kode verifikasi, atau tautan reset password tidak boleh dibagikan kepada siapa pun, termasuk pihak yang mengaku dari internal perusahaan.

Topik password juga sebaiknya dikaitkan dengan realitas kerja sehari-hari. Misalnya, bagaimana mengelola login aman ketika karyawan menggunakan beberapa aplikasi SaaS sekaligus, bekerja dari perangkat mobile, atau harus berganti akun antara sistem internal dan eksternal.

3. Social Engineering di Luar Email

Salah satu kesalahan umum dalam program awareness adalah menganggap social engineering hanya terjadi lewat email phishing. Padahal, manipulasi psikologis bisa datang dari banyak arah: telepon, chat, media sosial, aplikasi pesan instan, bahkan interaksi langsung. Karena itu, workshop untuk karyawan non-IT perlu menjelaskan bahwa ancaman bisa muncul ketika seseorang berpura-pura menjadi vendor, recruiter, staf IT, kurir, calon pelanggan, atau bahkan atasan.

Materi ini penting karena penyerang sering memanfaatkan konteks pekerjaan untuk menekan korban agar bertindak cepat—misalnya meminta data, memaksa perubahan rekening, mengarahkan login ke portal palsu, atau meminta file tertentu dengan alasan mendesak. Karyawan perlu dibiasakan untuk memverifikasi identitas dan permintaan, terutama jika permintaan tersebut melibatkan uang, data sensitif, akses akun, atau perubahan proses kerja yang tidak biasa.

Dalam workshop, materi social engineering akan jauh lebih efektif jika dibahas menggunakan skenario yang dekat dengan divisi peserta: tim finance, HR, customer service, procurement, sales, atau operasional biasanya menghadapi pola manipulasi yang berbeda.

4. Keamanan Data dan Cara Menangani Informasi Sensitif

Banyak karyawan non-IT memegang akses ke data penting, meskipun mereka tidak bekerja di fungsi teknologi. Tim HR memegang data karyawan, tim finance memegang invoice dan dokumen pembayaran, tim sales memegang data pelanggan, dan tim operasional mungkin memiliki akses ke kontrak, laporan, atau dokumen internal lain. Karena itu, salah satu materi paling penting dalam workshop security awareness adalah pemahaman tentang jenis data sensitif, cara membagikannya dengan aman, dan apa yang tidak boleh dilakukan.

Materi ini dapat mencakup hal-hal seperti membedakan data publik dan data internal, risiko mengirim file ke alamat yang salah, bahaya menggunakan akun pribadi untuk menyimpan dokumen kerja, kebiasaan mengunggah file ke platform yang tidak disetujui perusahaan, serta pentingnya membatasi akses hanya kepada pihak yang membutuhkan. Jika perusahaan memiliki kebijakan klasifikasi data, materi awareness juga perlu menjelaskannya dalam bahasa yang sederhana dan aplikatif.

Tujuannya bukan membuat peserta hafal semua aturan, tetapi membuat mereka paham bahwa data perusahaan tidak boleh diperlakukan seperti file biasa yang bisa dibagikan tanpa pertimbangan.

5. Keamanan Saat Bekerja Hybrid, Remote, atau di Luar Kantor

Banyak perusahaan kini bekerja dalam pola hybrid atau remote. Konsekuensinya, risiko keamanan tidak lagi terbatas pada lingkungan kantor. Karyawan bisa mengakses sistem perusahaan dari rumah, coworking space, hotel, bandara, atau jaringan Wi-Fi publik. Situasi ini membuat materi keamanan kerja hybrid menjadi sangat relevan untuk karyawan non-IT.

Workshop sebaiknya membahas kebiasaan dasar yang sering diabaikan: menghindari Wi-Fi publik tanpa perlindungan yang memadai, tidak meninggalkan perangkat tanpa pengawasan, menggunakan layar privasi atau posisi duduk yang aman di tempat umum, memperbarui perangkat kerja, serta memahami risiko ketika file kerja tersinkron ke perangkat pribadi. Jika perusahaan menyediakan VPN, MDM, atau kebijakan perangkat kerja tertentu, workshop perlu menjelaskan kapan dan bagaimana kebijakan itu digunakan dalam praktik sehari-hari.

Topik ini penting karena banyak insiden kecil—seperti laptop hilang, akun tertinggal login di perangkat bersama, atau dokumen dibuka di tempat yang tidak aman—sering dianggap sepele padahal bisa menjadi awal kebocoran data.

6. Penggunaan Cloud, Drive Bersama, dan Aplikasi Kolaborasi Secara Aman

Platform seperti email perusahaan, Google Workspace, Microsoft 365, Slack, Teams, WhatsApp kerja, dan berbagai tool kolaborasi lainnya kini menjadi bagian dari rutinitas kerja harian. Namun justru karena terlalu familiar, pengguna sering mengabaikan risikonya. Salah kirim file, salah set permission, membagikan tautan ke “anyone with the link”, atau menyimpan dokumen sensitif di folder yang tidak terkontrol adalah contoh masalah yang sering terjadi.

Karena itu, materi workshop perlu mengajarkan cara menggunakan alat kolaborasi dengan lebih aman. Misalnya, peserta perlu memahami perbedaan antara berbagi ke individu tertentu dan berbagi ke publik, pentingnya memeriksa permission dokumen, risiko menyimpan data sensitif di chat tanpa kontrol, serta kebiasaan mengecek penerima sebelum mengirim file atau informasi penting. Materi seperti ini sangat relevan untuk karyawan non-IT karena mereka adalah pengguna utama platform kolaborasi setiap hari.

7. USB, Lampiran, File Download, dan Risiko Malware

Meskipun banyak proses kerja kini berbasis cloud, risiko dari file berbahaya masih sangat nyata. Lampiran email, dokumen makro, file kompresi, installer palsu, atau USB dari pihak luar dapat menjadi media masuk malware, ransomware, atau tool pencuri kredensial. Karyawan non-IT tidak perlu memahami seluruh teknis malware, tetapi mereka perlu tahu kapan file patut dicurigai dan apa langkah aman sebelum membukanya.

Workshop sebaiknya membahas perilaku sederhana namun penting: tidak membuka lampiran tak terduga, berhati-hati terhadap file dengan konteks mendesak, tidak mengaktifkan macro sembarangan, menghindari instalasi software dari sumber tidak resmi, dan melaporkan file mencurigakan sebelum digunakan. Jika perusahaan memiliki kebijakan soal removable media atau software installation, kebijakan tersebut perlu dijelaskan secara praktis, bukan hanya sebagai larangan administratif.

8. Keamanan Mobile dan Aplikasi Pesan

Perangkat mobile sering menjadi “kantor kedua” bagi banyak karyawan. Email perusahaan, OTP, dokumen, aplikasi chat kerja, bahkan akses ke dashboard bisnis sering tersedia di ponsel. Karena itu, workshop security awareness untuk non-IT sebaiknya tidak hanya fokus pada laptop atau desktop, tetapi juga pada penggunaan ponsel dan aplikasi pesan.

Materi mobile security dapat mencakup penguncian perangkat, update sistem operasi, kewaspadaan terhadap tautan yang dikirim via chat, risiko sideloading aplikasi, penggunaan perangkat kerja untuk aktivitas pribadi yang berisiko, dan langkah yang harus diambil jika ponsel hilang atau dicurigai diambil alih. Untuk banyak organisasi, risiko di perangkat mobile meningkat karena keputusan kerja sering dibuat cepat melalui chat, termasuk persetujuan, pengiriman file, atau penerimaan tautan login.

9. Cara Melaporkan Insiden atau Aktivitas Mencurigakan

Salah satu kelemahan terbesar dalam program awareness bukan kurangnya materi, melainkan tidak jelasnya jalur pelaporan. Karyawan mungkin sudah sadar bahwa email tertentu terlihat mencurigakan, laptop mereka berperilaku aneh, atau akun mereka menerima notifikasi login yang tidak dikenal. Namun jika mereka tidak tahu harus melapor ke siapa, atau takut dianggap “merepotkan”, maka peluang respons cepat bisa hilang.

Karena itu, workshop wajib menjelaskan mekanisme pelaporan insiden secara konkret: ke tim mana harus melapor, lewat kanal apa, informasi apa yang perlu disampaikan, dan apa yang harus dilakukan sambil menunggu respons. Materi ini sebaiknya dibuat sesederhana mungkin. Bagi karyawan non-IT, kejelasan alur pelaporan jauh lebih penting daripada istilah teknis keamanan.

Perusahaan juga perlu menanamkan bahwa melaporkan hal mencurigakan—even jika ternyata false alarm—lebih baik daripada diam. Budaya seperti ini sangat penting dalam membangun ketahanan organisasi terhadap insiden.

10. AI, Deepfake, dan Risiko Baru dalam Komunikasi Kerja

Dalam beberapa tahun terakhir, ancaman berbasis AI mulai menjadi topik yang relevan untuk awareness. Deepfake audio, email yang ditulis sangat meyakinkan, chat palsu yang meniru gaya bahasa atasan, atau dokumen yang terlihat sah tetapi dibuat untuk memancing respons pengguna adalah contoh risiko yang semakin realistis. Untuk karyawan non-IT, topik ini penting bukan agar mereka memahami teknologi AI secara mendalam, melainkan agar mereka tidak berasumsi bahwa pesan yang “terlihat profesional” otomatis aman.

Materi ini dapat dimasukkan sebagai bagian dari pembaruan threat landscape modern. Intinya adalah mengajarkan prinsip verifikasi: jangan mengambil keputusan penting hanya berdasarkan satu pesan, satu suara, atau satu permintaan mendesak tanpa validasi tambahan.

Bagaimana Menyampaikan Materi agar Tidak Membosankan?

Materi yang bagus bisa gagal jika penyampaiannya tidak tepat. Untuk karyawan non-IT, workshop security awareness sebaiknya dibuat interaktif dan dekat dengan realitas kerja. Gunakan contoh email phishing yang menyerupai pekerjaan mereka, studi kasus singkat, polling, kuis ringan, atau simulasi sederhana. Jika peserta berasal dari fungsi yang berbeda, materi juga bisa disesuaikan per divisi agar lebih relevan. Tim finance, HR, sales, dan operasional tidak selalu menghadapi pola ancaman yang sama.

Selain itu, hindari pendekatan yang hanya menakut-nakuti. Fokus workshop sebaiknya bukan membuat peserta merasa “serba salah”, melainkan membuat mereka merasa punya alat untuk mengambil keputusan yang lebih aman. Nada komunikasi yang praktis dan tidak menghakimi biasanya jauh lebih efektif untuk mendorong perubahan perilaku.

Seberapa Sering Workshop Security Awareness Perlu Dilakukan?

Workshop security awareness sebaiknya tidak dianggap sebagai acara sekali setahun lalu selesai. Ancaman berubah, pola kerja berubah, dan kebiasaan karyawan juga berubah. Idealnya, perusahaan memiliki program awareness yang berkelanjutan: workshop utama, refresh materi berkala, kampanye internal, simulasi phishing, atau micro-learning singkat sesuai kebutuhan. Dengan pendekatan berulang, pesan keamanan lebih mudah diingat dan lebih mungkin diterapkan dalam keseharian kerja.

Frekuensi terbaik tentu bergantung pada ukuran organisasi, tingkat risiko, dan kematangan program keamanan. Namun secara umum, awareness akan jauh lebih efektif jika dibangun sebagai proses berkelanjutan, bukan sekadar checklist kepatuhan tahunan.

Temika dan Workshop Security Awareness untuk Karyawan

Jika perusahaan Anda sedang menyusun materi security awareness karyawan atau ingin menjalankan workshop security awareness yang lebih relevan untuk karyawan non-IT, penting untuk memastikan materi tidak hanya teoritis, tetapi juga sesuai dengan ancaman yang benar-benar dihadapi organisasi. Topik seperti phishing, pengelolaan data, keamanan kerja hybrid, social engineering, dan pelaporan insiden akan jauh lebih efektif jika dikaitkan dengan konteks bisnis, jenis peran karyawan, dan tools yang digunakan sehari-hari.

Temika menyediakan layanan Security Awareness Workshop untuk membantu perusahaan membangun program edukasi keamanan yang lebih praktis, kontekstual, dan mudah dipahami oleh peserta non-teknis. Temika memiliki sertifikasi ISO 27001, didukung pengalaman sekitar 8 tahun di bidang keamanan siber, serta tim dengan kredensial seperti OSCP, CRTO, dan CRTP.

Kesimpulan

Materi security awareness karyawan untuk peserta non-IT sebaiknya berfokus pada situasi nyata yang mereka hadapi sehari-hari: phishing, password, social engineering, pengelolaan data sensitif, penggunaan cloud dan aplikasi kolaborasi, keamanan kerja hybrid, risiko malware, keamanan mobile, hingga cara melaporkan insiden. Tujuan utamanya bukan membuat karyawan menguasai terminologi keamanan, tetapi membantu mereka mengenali risiko dan mengambil tindakan yang lebih aman dalam pekerjaan sehari-hari.

Dengan workshop yang tepat, perusahaan tidak hanya meningkatkan pemahaman karyawan, tetapi juga memperkuat budaya keamanan secara menyeluruh. Jika Anda sedang menyiapkan program awareness untuk karyawan non-IT, pastikan materi yang digunakan relevan, mudah dipahami, dan terhubung langsung dengan kebiasaan kerja di organisasi Anda.

0 Shares
Share via
Copy link