Security Awareness Training: Pelatihan Kesadaran Keamanan

📋 Daftar Isi

Pengenalan Security Awareness
Ancaman Utama
Mengenali & Mencegah Phishing
Social Engineering
Kebijakan Keamanan Organisasi
Membangun Program Training
Konten Training Efektif
Phishing Simulation
Mengukur Efektivitas
Quiz Pemahaman

1. Pengenalan Security Awareness Training

Security Awareness Training adalah program pelatihan yang dirancang untuk mendidik karyawan dan pemangku kepentingan tentang ancaman keamanan siber, praktik terbaik keamanan, dan tanggung jawab mereka dalam melindungi aset informasi organisasi. Ini adalah salah satu investasi keamanan paling penting yang dapat dilakukan organisasi.

Fakta mengejutkan: lebih dari 82% pelanggaran data melibatkan elemen manusia (Verizon DBIR 2025). Ini berarti teknologi canggih seperti firewall, antivirus, dan EDR sekalipun tidak cukup — manusia tetap menjadi mata rantai terlemah dalam keamanan siber. Security awareness training bertujuan untuk mengubah manusia dari "mata rantai terlemah" menjadi "lapisan pertahanan pertama yang kuat."

Mengapa Security Awareness Penting?

Faktor	Penjelasan
Human Factor	82%+ pelanggaran data melibatkan kesalahan manusia — karyawan adalah target utama
Phishing Dominance	Phishing adalah vektor serangan #1 — 90%+ serangan cyber dimulai dari email phishing
Cost Savings	Biaya training jauh lebih rendah dibanding biaya pelanggaran data (rata-rata $4.88M per breach)
Compliance	Banyak regulasi (GDPR, PCI DSS, UU PDP) mewajibkan security awareness training
Culture Change	Membangun kultur keamanan di seluruh organisasi — security everyone's responsibility
ROI Tinggi	ROI security training bisa mencapai 69x lipat — investasi paling efisien dalam cybersecurity
Insider Threat	Mengurangi risiko insider threat — baik disengaja maupun tidak disengaja

⚠️ Fakta Penting

Menurut penelitian, organisasi yang menjalankan security awareness training secara rutin mengalami 70% lebih sedikit insiden keamanan dibanding yang tidak. Investasi dalam training adalah investasi paling efisien untuk mengurangi risiko keamanan siber.

Diagram: Lapisan Pertahanan Keamanan (Defense in Depth)

┌──────────────────────────────────────────────────────────────┐
│                 DEFENSE IN DEPTH                              │
│                                                              │
│  ┌────────────────────────────────────────────────────────┐  │
│  │              PEOPLE — Security Awareness               │  │
│  │              (Lapisan Terluar & Terpenting)             │  │
│  │                                                        │  │
│  │  ┌──────────────────────────────────────────────────┐  │  │
│  │  │          POLICIES & PROCEDURES                    │  │  │
│  │  │          (Kebijakan & SOP Keamanan)               │  │  │
│  │  │                                                  │  │  │
│  │  │  ┌──────────────────────────────────────────┐    │  │  │
│  │  │  │         PHYSICAL SECURITY                 │    │  │  │
│  │  │  │         (CCTV, Access Card, Lock)         │    │  │  │
│  │  │  │                                          │    │  │  │
│  │  │  │  ┌──────────────────────────────────┐    │    │  │  │
│  │  │  │  │     NETWORK SECURITY              │    │    │  │  │
│  │  │  │  │     (Firewall, IDS/IPS, VPN)      │    │    │  │  │
│  │  │  │  │                                  │    │    │  │  │
│  │  │  │  │  ┌──────────────────────────┐    │    │    │  │  │
│  │  │  │  │  │   APPLICATION SECURITY   │    │    │    │  │  │
│  │  │  │  │  │   (WAF, Input Validation)│    │    │    │  │  │
│  │  │  │  │  │                          │    │    │    │  │  │
│  │  │  │  │  │  ┌──────────────────┐    │    │    │    │  │  │
│  │  │  │  │  │  │  DATA SECURITY   │    │    │    │    │  │  │
│  │  │  │  │  │  │  (Encryption,    │    │    │    │    │  │  │
│  │  │  │  │  │  │   Backup, DLP)   │    │    │    │    │  │  │
│  │  │  │  │  │  └──────────────────┘    │    │    │    │  │  │
│  │  │  │  │  └──────────────────────────┘    │    │    │  │  │
│  │  │  │  └──────────────────────────────────┘    │    │  │  │
│  │  │  └──────────────────────────────────────────┘    │  │  │
│  │  └──────────────────────────────────────────────────┘  │  │
│  └────────────────────────────────────────────────────────┘  │
│                                                              │
│  "People adalah lapisan pertahanan pertama dan terakhir"     │
└──────────────────────────────────────────────────────────────┘

2. Ancaman Utama yang Perlu Diketahui Karyawan

2.1 Lanskap Ancaman saat ini

Ancaman	Tingkat Risiko	Target Utama
Phishing & Spear Phishing	🔴 Sangat Tinggi	Semua karyawan
Ransomware	🔴 Sangat Tinggi	IT, Finance, Management
Social Engineering (Telepon)	🟠 Tinggi	Customer service, HR, Finance
Business Email Compromise (BEC)	🟠 Tinggi	Finance, Management, HR
Vishing (Voice Phishing)	🟠 Tinggi	Semua karyawan
Smishing (SMS Phishing)	🟡 Sedang	Semua karyawan
Tailgating	🟡 Sedang	Semua karyawan di kantor
Password Theft	🔴 Sangat Tinggi	Semua karyawan
Insider Threat	🟠 Tinggi	Seluruh organisasi
USB Drop Attack	🟡 Sedang	Karyawan di kantor

2.2 Statistik Ancaman di Indonesia

📊 Data Ancaman Siber Indonesia 2025

Indonesia menempati peringkat ke-5 negara paling banyak diserang secara siber di Asia Tenggara
Lebih dari 1.2 juta serangan phishing terdeteksi setiap bulan di Indonesia
Ransomware meningkat 150% dalam 2 tahun terakhir
Rata-rata biaya pelanggaran data di Indonesia: Rp 65 miliar per insiden
Sektor yang paling sering diserang: Perbankan, Pemerintahan, E-commerce
90% serangan berhasil karena human error, bukan karena teknologi

3. Mengenali & Mencegah Phishing

Phishing adalah teknik social engineering yang menggunakan email, SMS, atau pesan palsu untuk menipu korban agar mengungkapkan informasi sensitif (kredensial, data kartu kredit, dll.) atau menginstal malware. Phishing adalah serangan paling umum dan paling berbahaya.

3.1 Jenis-Jenis Phishing

Jenis	Deskripsi	Tingkat Bahaya
Email Phishing	Email massal yang mengaku dari organisasi terpercaya (bank, pemerintah, dll.)	🟠 Tinggi
Spear Phishing	Phishing yang ditargetkan ke individu spesifik dengan informasi personal	🔴 Sangat Tinggi
Whaling	Spear phishing yang menargetkan eksekutif tingkat C (CEO, CFO, CTO)	🔴 Kritis
Vishing	Phishing melalui telepon suara — penipu mengaku dari bank/ISP	🟠 Tinggi
Smishing	Phishing melalui SMS — link berbahaya dalam pesan SMS	🟠 Tinggi
Angler Phishing	Phishing melalui media sosial — akun palsu di Instagram, Twitter, dll.	🟡 Sedang
Clone Phishing	Mengkloning email asli dan mengganti attachment/link dengan yang berbahaya	🔴 Sangat Tinggi
QR Code Phishing (Quishing)	Phishing menggunakan QR code palsu yang mengarah ke situs berbahaya	🟠 Tinggi

3.2 Cara Mengenali Email Phishing

Checklist — Mengenali Email Phishing

# ============================================
# CHECKLIST MENGENALI EMAIL PHISHING
# ============================================

# ✅ 1. PERIKSA PENGIRIM (Sender)
#    - Periksa alamat email dengan teliti
#    - Phishing: support@bank-bca.security.com  ← BUKAN domain resmi
#    - Asli: support@bca.co.id                  ← Domain resmi BCA
#    - Perhatikan typo: gmai1.com, micros0ft.com
#    - Periksa display name vs actual email address

# ✅ 2. PERIKSA SUBJECT & URGENCY
#    - "AKUN ANDA AKAN DIBLOKIR DALAM 24 JAM!"
#    - "Verifikasi segera atau kehilangan akses!"
#    - "Anda memenangkan hadiah Rp 500 juta!"
#    - Pola: Menciptakan urgency/panic untuk menghindari penalaran logis

# ✅ 3. PERIKSA ISI EMAIL
#    - Salam generik: "Dear Customer" bukan nama Anda
#    - Tata bahasa buruk, typo, kalimat tidak natural
#    - Minta informasi sensitif (password, PIN, OTP)
#    - Ancaman: akun diblokir, denda, masalah hukum

# ✅ 4. PERIKSA LINK (HOVER, JANGAN KLIK!)
#    - Hover mouse ke link — periksa URL sebenarnya
#    - https://www.bca.co.id     ← ASLI (domain benar)
#    - https://www.bca-secure.com ← PALSU (domain berbeda)
#    - Link shortener (bit.ly, tinyurl) — gunakan URL checker
#    - Perhatikan: https://bca.co.id.evil.com → domain utama = evil.com

# ✅ 5. PERIKSA ATTACHMENT
#    - File .exe, .scr, .bat, .js, .vbs — SANGAT MENCURIGAKAN
#    - File .pdf, .docx yang meminta "Enable Macros"
#    - Password-protected archive (ZIP/RAR) — teknik bypass AV
#    - Jangan buka attachment yang tidak Anda harapkan!

# ✅ 6. PERIKSA LOGO & BRANDING
#    - Logo buram atau resolusi rendah
#    - Warna/font tidak sesuai dengan brand asli
#    - Layout email tidak profesional

# ✅ 7. VERIFIKASI MANDIRI
#    - Jika ragu, hubungi organisasi melalui channel resmi
#    - Jangan gunakan nomor telepon/email yang ada di email mencurigakan
#    - Buka website resmi langsung dari browser (ketik manual)

3.3 Contoh Email Phishing

Contoh — Email Phishing vs Email Asli

# ============================================
# CONTOH EMAIL PHISHING (ANALISIS)
# ============================================

# --- EMAIL PHISHING ---
From: BCA Customer Service <security@bca-update.co.id>
      ↑ BUKAN domain resmi BCA!
To: Pelanggan Yth
      ↑ Salam generik, bukan nama spesifik
Subject: ⚠️ AKUN ANDA TERDETEKSI AKTIVITAS MENCURIGAKAN - SEGERA VERIFIKASI!
      ↑ Menciptakan PANIC dan URGENCY

"Kepada Pelanggan yang Terhormat,

Sistem kami mendeteksi aktivitas tidak biasa pada akun Anda.
Akun Anda AKAN DIBLOKIR dalam 24 jam jika tidak diverifikasi.

Segera klik link di bawah untuk verifikasi:
https://ibank.bca.co.id.secure-login.xyz/verify
                      ↑ Domain sebenarnya = secure-login.xyz, BUKAN bca.co.id

Masukkan:
- User ID Internet Banking
- Password
- PIN Kartu ATM
         ↑ Bank TIDAK PERNAH minta kredensial via email!

Hormat kami,
Departemen Keamanan BCA"

# TANDA-TANDA PHISHING:
# 1. Email sender bukan dari @bca.co.id
# 2. Salam generik, bukan nama Anda
# 3. Urgency — "akan diblokir dalam 24 jam"
# 4. Link mengarah ke domain palsu (secure-login.xyz)
# 5. Meminta kredensial lengkap (tidak pernah diminta bank via email)
# 6. Ancaman untuk menakut-nakuti

# --- EMAIL ASLI (CONTOH) ---
From: BCA <info@bca.co.id>
      ↑ Domain resmi @bca.co.id
To: Budi Santoso <budi@email.com>
      ↑ Ditujukan ke nama spesifik
Subject: Tagihan Kartu Kredit BCA Bulan Juni 2026
      ↑ Tidak ada urgency berlebihan

"Yth. Budi Santoso,

Kami informasikan tagihan kartu kredit BCA Anda untuk
periode Juni 2026 telah tersedia.

Silakan login ke KlikBCA di https://www.klikbca.com
untuk melihat detail tagihan.

Terima kasih,
PT Bank Central Asia Tbk"

# PERBEDAAN UTAMA:
# ✅ Sender dari domain resmi
# ✅ Nama penerima spesifik
# ✅ Tidak ada urgency/ancaman
# ✅ Tidak meminta kredensial
# ✅ Mengarahkan ke website resmi yang benar

Social engineering adalah manipulasi psikologis untuk menipu orang agar melakukan tindakan tertentu atau mengungkapkan informasi rahasia. Berbeda dengan serangan teknis yang mengeksploitasi celah software, social engineering mengeksploitasi sifat dasar manusia seperti kepercayaan, ketakutan, keserakahan, dan ketergesaan.

4.1 Prinsip Psikologi yang Dieksploitasi

Prinsip	Deskripsi	Contoh Serangan
Authority (Otoritas)	Orang cenderung patuh pada figur otoritas	"Ini dari CEO, segera transfer dana!"
Urgency (Ketergesaan)	Tekanan waktu mengurangi kemampuan berpikir kritis	"Verifikasi dalam 1 jam atau akun diblokir!"
Scarcity (Kelangkaan)	Kesempatan terbatas membuat orang bertindak cepat	"Hanya tersisa 1 slot untuk hadiah ini!"
Liking (Kesukaan)	Orang lebih mudah dipengaruhi oleh orang yang disukai	Attacker menjadi "teman" di media sosial
Social Proof (Bukti Sosial)	Orang mengikuti tindakan orang lain	"10.000 orang sudah menggunakan link ini"
Reciprocity (Timbal Balik)	Orang merasa wajib membalas bantuan	"Saya sudah bantu Anda, sekarang tolong..."
Fear (Ketakutan)	Ketakutan memicu respons fight-or-flight	"Polisi sedang menyelidiki akun Anda!"

4.2 Teknik Social Engineering

Teknik Social Engineering yang Umum

# ============================================
# TEKNIK SOCIAL ENGINEERING
# ============================================

# 1. PRETEXTING (Alasan Palsu)
#    Penyerang membuat skenario palsu untuk mendapatkan kepercayaan
#    Contoh:
#    - Mengaku dari IT support: "Saya dari tim IT, perlu reset
#      password Anda untuk maintenance"
#    - Mengaku dari vendor: "Kami dari vendor software, perlu
#      akses ke server untuk update"
#    - Mengaku dari auditor: "Kami dari KAP, perlu akses ke
#      sistem keuangan untuk audit tahunan"

# 2. BAITING (Umpan)
#    Menyediakan sesuatu yang menarik untuk memancing korban
#    Contoh:
#    - USB flash drive berisi malware ditinggal di parkiran
#    - Label "Gaji Q4 2026.xlsx" pada USB
#    - Free WiFi berbahaya di tempat umum
#    - Software bajakan yang sudah dimodifikasi malware

# 3. QUID PRO QUO (Timbal Balik)
#    Menawarkan sesuatu sebagai imbalan informasi
#    Contoh:
#    - "Saya dari IT, saya bisa bantu perbaiki komputer Anda
#      kalau Anda beri saya password"
#    - Free security scan yang meminta instalasi software

# 4. TAILGATING / PIGGYBACKING
#    Mengikuti orang yang berwenang masuk ke area terlarang
#    Contoh:
#    - Mengikuti karyawan masuk ke pintu yang dilindungi access card
#    - "Tolong tahan pintu, saya lupa kartu akses"
#    - Mengaku sebagai kurir atau teknisi

# 5. WATERING HOLE
#    Menginfeksi website yang sering dikunjungi target
#    Contoh:
#    - Menginfeksi website industri yang sering dikunjungi karyawan
#    - Website berita populer yang sudah dimodifikasi

# 6. TYPOSQUATTING
#    Membuat domain mirip dengan website asli
#    Contoh:
#    - www.gooogle.com (3 huruf 'o')
#    - www.bca.co.id → www.bca-security.co.id
#    - www.amaz0n.com (angka 0)

5. Kebijakan Keamanan Organisasi

5.1 Kebijakan Keamanan yang Wajib Dimiliki

Kebijakan	Deskripsi	Prioritas
Information Security Policy	Kebijakan induk keamanan informasi organisasi	🔴 Wajib
Acceptable Use Policy (AUP)	Aturan penggunaan aset IT yang boleh dan tidak boleh	🔴 Wajib
Password Policy	Persyaratan password: kompleksitas, rotasi, MFA	🔴 Wajib
Data Classification Policy	Klasifikasi data: Public, Internal, Confidential, Restricted	🔴 Wajib
BYOD Policy	Aturan penggunaan perangkat pribadi untuk pekerjaan	🟠 Penting
Remote Work Policy	Keamanan saat bekerja dari jarak jauh (WFH)	🟠 Penting
Incident Response Policy	Prosedur pelaporan dan penanganan insiden keamanan	🔴 Wajib
Clean Desk Policy	Tidak meninggalkan dokumen sensitif di meja	🟡 Disarankan
Email & Communication Policy	Aturan penggunaan email dan komunikasi digital	🟠 Penting
Vendor Security Policy	Persyaratan keamanan untuk vendor dan pihak ketiga	🟠 Penting

5.2 Password Best Practices

Password Best Practices — Panduan untuk Karyawan

# ============================================
# PASSWORD BEST PRACTICES
# ============================================

# ❌ YANG TIDAK BOLEH DILAKUKAN:
#    - Menggunakan password yang sama untuk semua akun
#    - Menggunakan password yang mudah ditebak (nama, tanggal lahir)
#    - Menulis password di sticky note di monitor
#    - Membagikan password ke siapapun (termasuk IT support)
#    - Mengirim password melalui email atau chat
#    - Menggunakan password pendek (< 12 karakter)
#    - Tidak mengaktifkan MFA/2FA

# ✅ YANG HARUS DILAKUKAN:

# 1. PASSWORD KUAT
#    - Minimal 14+ karakter
#    - Kombinasi huruf besar, kecil, angka, simbol
#    - Atau gunakan passphrase: "Kucing-Orange42!Melompat"
#    - Contoh kuat: "M@k4n$3t4h4ri!n1"

# 2. PASSWORD UNIK
#    - Setiap akun harus punya password berbeda
#    - Gunakan password manager:
#      - Bitwarden (gratis, open source)
#      - 1Password
#      - KeePass (offline, open source)
#      - LastPass

# 3. MULTI-FACTOR AUTHENTICATION (MFA)
#    - Aktifkan MFA di SEMUA akun yang mendukung
#    - Urutan preferensi MFA:
#      1. Hardware key (YubiKey) — paling aman
#      2. Authenticator app (Google Auth, Authy) — sangat aman
#      3. SMS OTP — kurang aman tapi lebih baik dari tidak ada
#    - Jangan pernah berikan OTP ke siapapun!

# 4. PASSWORD ROTATION
#    - Ganti password jika ada indikasi kompromi
#    - Jangan gunakan password lama yang sama
#    - Periksa: haveibeenpwned.com untuk cek kebocoran

6. Membangun Program Security Awareness Training

6.1 Komponen Program yang Efektif

Diagram: Program Security Awareness Training

┌────────────────────────────────────────────────────────────┐
│          SECURITY AWARENESS PROGRAM STRUCTURE                │
│                                                            │
│  ┌──────────────────────────────────────────────────────┐  │
│  │ 1. ASSESSMENT (Baseline)                             │  │
│  │    • Survei kesadaran keamanan                       │  │
│  │    • Phishing simulation baseline                    │  │
│  │    • Identifikasi gap pengetahuan                    │  │
│  └──────────────────────┬───────────────────────────────┘  │
│                         ▼                                  │
│  ┌──────────────────────────────────────────────────────┐  │
│  │ 2. TRAINING DELIVERY                                 │  │
│  │    • Online modules (LMS)                            │  │
│  │    • Workshop & seminar tatap muka                   │  │
│  │    • Microlearning (video 3-5 menit)                 │  │
│  │    • Infographic & poster                            │  │
│  │    • Newsletter keamanan bulanan                     │  │
│  │    • Role-based training (IT, Finance, dll.)         │  │
│  └──────────────────────┬───────────────────────────────┘  │
│                         ▼                                  │
│  ┌──────────────────────────────────────────────────────┐  │
│  │ 3. SIMULATION & TESTING                              │  │
│  │    • Phishing simulation bulanan                     │  │
│  │    • Tabletop exercises (incident response)          │  │
│  │    • Social engineering tests                        │  │
│  │    • USB drop tests                                  │  │
│  └──────────────────────┬───────────────────────────────┘  │
│                         ▼                                  │
│  ┌──────────────────────────────────────────────────────┐  │
│  │ 4. MEASUREMENT & IMPROVEMENT                         │  │
│  │    • KPI tracking & dashboard                        │  │
│  │    • Phishing click rate monitoring                  │  │
│  │    • Incident reporting rate                         │  │
│  │    • Survey post-training                            │  │
│  │    • Continuous improvement                          │  │
│  └──────────────────────────────────────────────────────┘  │
│                                                            │
└────────────────────────────────────────────────────────────┘

6.2 Role-Based Training

Role	Topik Khusus	Frekuensi
All Employees	Phishing awareness, password security, data handling, incident reporting	Quarterly
IT & Security	Threat landscape, incident response, forensics, secure configuration	Monthly
Finance & Accounting	BEC/Fraud awareness, payment verification, wire transfer security	Monthly
HR	Data privacy, insider threats, background checks, social media policy	Quarterly
Executive/C-Suite	Whaling awareness, strategic risk, board reporting, crisis management	Quarterly
Developers	Secure coding, OWASP Top 10, code review, DevSecOps	Monthly
Customer Service	Vishing awareness, caller verification, data protection	Quarterly
New Employees	Onboarding security training — wajib sebelum akses diberikan	Once

7. Konten Training Efektif

7.1 Topik Inti Training

Modul Training — Topik Inti

# ============================================
# MODUL TRAINING — TOPIK INTI
# ============================================

# MODUL 1: Pengenalan Keamanan Informasi (30 menit)
# - Apa itu keamanan informasi dan mengapa penting
# - CIA Triad (Confidentiality, Integrity, Availability)
# - Peran Anda dalam keamanan organisasi
# - Kasus nyata pelanggaran data dan dampaknya

# MODUL 2: Mengenali Phishing (45 menit)
# - Jenis-jenis phishing (email, SMS, vishing, quishing)
# - Cara mengenali email phishing (checklist praktis)
# - Live demo: membedakan email asli vs phishing
# - Cara melaporkan email mencurigakan
# - Latihan: analisis 10 contoh email (asli vs phishing)

# MODUL 3: Password & Autentikasi (30 menit)
# - Password policy organisasi
# - Cara membuat password yang kuat
# - Password manager — demo Bitwarden
# - Multi-Factor Authentication (MFA)
# - Demo: cara setup MFA di akun penting

# MODUL 4: Social Engineering (45 menit)
# - Prinsip psikologi yang dieksploitasi
# - Teknik social engineering umum
# - Vishing (phishing telepon) — contoh rekaman
# - Pretexting dan impersonation
# - Bagaimana merespon: Verify → Validate → Report

# MODUL 5: Keamanan Data (30 menit)
# - Klasifikasi data organisasi
# - Cara menangani data sensitif
# - Clean desk policy
# - Data transfer yang aman
# - DLP (Data Loss Prevention) awareness

# MODUL 6: Keamanan Fisik (20 menit)
# - Tailgating awareness
# - Penggunaan access card
# - Visitor management
# - Screen locking (Win+L)
# - USB safety — jangan colok USB yang ditemukan!

# MODUL 7: Remote Work & Mobile Security (30 menit)
# - VPN — kapan dan bagaimana menggunakannya
# - WiFi publik — bahaya dan mitigasi
# - Perangkat mobile security
# - Video conference security
# - Cloud storage security

# MODUL 8: Incident Reporting (15 menit)
# - Apa yang harus dilaporkan
# - Cara melaporkan insiden keamanan
# - Channel pelaporan (email, hotline, ticketing)
# - Pentingnya melapor — no blame culture
# - Contoh: apa yang terjadi jika tidak melapor

8. Phishing Simulation

8.1 Membuat Program Phishing Simulation

Framework — Phishing Simulation Program

# ============================================
# PHISHING SIMULATION PROGRAM
# ============================================

# TOOLS YANG DIGUNAKAN:
# 1. GoPhish (open source, gratis) — https://getgophish.com
# 2. KnowBe4 (komersial) — platform terpopuler
# 3. Proofpoint (komersial) — enterprise-grade
# 4. Cofense (komersial) — phishing-focused
# 5. SANS Security Awareness (komersial)

# ===== FASE 1: BASELINE =====
# Kirim phishing simulation pertama untuk mengukur "click rate"
# Tujuan: Tahu posisi awal sebelum training

BASELINE_METRICS = {
    "phishing_click_rate": "Misalnya 35% karyawan mengklik link",
    "credential_submission_rate": "Misalnya 20% memasukkan password",
    "report_rate": "Misalnya 5% melaporkan email",
    "department_breakdown": "Departemen mana yang paling rentan",
}

# ===== FASE 2: TRAINING =====
# Berikan training berdasarkan hasil baseline
# Fokus pada departemen yang paling rentan

# ===== FASE 3: RUTIN SIMULATION =====
# Jadwal simulation per bulan dengan difficulty bertahap

SIMULATION_SCHEDULE = {
    "Bulan 1": {
        "difficulty": "Mudah",
        "scenario": "Email dari 'bank' meminta verifikasi",
        "clues": "Logo buram, domain palsu, grammar buruk",
    },
    "Bulan 2": {
        "difficulty": "Mudah-Sedang",
        "scenario": "Email 'password reset' dari IT department",
        "clues": "Domain mirip, urgency tinggi",
    },
    "Bulan 3": {
        "difficulty": "Sedang",
        "scenario": "Email dari 'CEO' meminta transfer segera (BEC)",
        "clues": "Email CEO palsu, meminta kerahasiaan",
    },
    "Bulan 4": {
        "difficulty": "Sedang-Tinggi",
        "scenario": "Invoice dari vendor yang sudah dikenal",
        "clues": "Domain sangat mirip, konteks relevan",
    },
    "Bulan 5": {
        "difficulty": "Tinggi",
        "scenario": "Phishing targeted (spear phishing) dengan nama personal",
        "clues": "Menggunakan informasi LinkedIn, nama spesifik",
    },
    "Bulan 6": {
        "difficulty": "Sangat Tinggi",
        "scenario": "Clone phishing dari email asli organisasi",
        "clues": "Sangat sulit dibedakan — menguji kewaspadaan",
    },
}

# ===== METRICS YANG DIUKUR =====
PHISHING_KPIS = {
    "Click Rate": "Target: < 5% (dari baseline 35%)",
    "Credential Submission": "Target: < 2%",
    "Report Rate": "Target: > 60%",
    "Time to Report": "Target: < 5 menit",
    "Repeat Offenders": "Target: < 3% karyawan",
    "Training Completion": "Target: 100%",
}

9. Mengukur Efektivitas Program

9.1 Key Performance Indicators (KPI)

KPI	Baseline (Tahun 1)	Target (Tahun 2)	Cara Ukur
Phishing Click Rate	30-40%	< 5%	Phishing simulation platform
Phishing Report Rate	5-10%	> 60%	Report button usage
Training Completion	70%	100%	LMS completion tracking
Security Incident Report	Rendah	Meningkat 200%	Incident ticket system
Time to Report	> 30 menit	< 5 menit	Simulation platform + SIEM
Repeat Offenders	20%	< 3%	Simulation tracking
Data Classification Compliance	30%	> 90%	DLP monitoring
Password Policy Compliance	50%	> 95%	AD/LDAP audit
MFA Adoption	40%	100%	SSO/MFA platform

9.2 Continuous Improvement Cycle

Framework — Continuous Improvement

# ============================================
# CONTINUOUS IMPROVEMENT CYCLE
# ============================================

# STEP 1: MEASURE — Ukur kondisi saat ini
# - Phishing simulation metrics
# - Training completion rates
# - Incident reporting patterns
# - Survey kesadaran keamanan (pre & post training)
# - Security culture assessment

# STEP 2: ANALYZE — Analisis data untuk menemukan gap
# - Departemen mana yang paling rentan?
# - Topik training mana yang efektif/tidak?
# - Apakah ada pattern tertentu pada repeat offenders?
# - Bagaimana perbandingan dengan industri sejenis?

# STEP 3: IMPROVE — Perbaiki program berdasarkan analisis
# - Tingkatkan frekuensi training untuk departemen rentan
# - Sesuaikan konten berdasarkan ancaman terbaru
# - Buat konten yang lebih engaging (video, gamification)
# - Implementasikan reward system untuk pelapor yang baik

# STEP 4: REPEAT — Ulangi siklus
# - Monthly: Phishing simulation + micro-learning
# - Quarterly: Full training module
# - Annual: Comprehensive assessment + program review

# ===== GAMIFICATION IDEAS =====
# - Leaderboard departemen (siapa yang paling banyak melapor)
# - Badges & rewards untuk karyawan yang tidak pernah click
# - Security Champion program — ambassador per departemen
# - Monthly security quiz dengan hadiah
# - Annual security awareness month dengan event khusus

10. Quiz Pemahaman

Uji pemahaman Anda tentang Security Awareness Training:

Pertanyaan 1: Menurut Verizon DBIR, berapa persen pelanggaran data yang melibatkan elemen manusia?

a) Sekitar 30%

b) Sekitar 50%

c) Sekitar 82%

d) Sekitar 95%

Pertanyaan 2: Apa yang dimaksud dengan "Spear Phishing"?

a) Phishing melalui SMS

b) Phishing yang ditargetkan ke individu spesifik dengan informasi personal

c) Phishing melalui media sosial

d) Phishing massal ke semua email

Pertanyaan 3: Langkah pertama yang harus dilakukan saat menerima email mencurigakan adalah...

a) Mengklik link untuk memeriksa apakah itu benar

b) Meneruskan ke semua kolega untuk dimintai pendapat

c) Jangan klik link/apapun, verifikasi melalui channel resmi, dan laporkan ke tim IT

d) Menghapus email tanpa melapor

Pertanyaan 4: Prinsip psikologi "Urgency" dalam social engineering bekerja dengan cara...

a) Membuat korban merasa senang sehingga lengah

b) Menciptakan tekanan waktu sehingga korban bertindak tanpa berpikir kritis

c) Memberikan hadiah untuk menarik perhatian

d) Menggunakan figur otoritas untuk menakut-nakuti

Pertanyaan 5: Metode autentikasi MFA mana yang PALING aman?

a) SMS OTP

b) Email verification

c) Security questions

d) Hardware security key (YubiKey/FIDO2)