Sebanyak 95% insiden keamanan siber bermula dari human error, bukan kegagalan sistem. Artinya, karyawan non-IT, mulai dari tim finance, marketing, hingga HR, justru menjadi pintu masuk paling rentan bagi peretas.
Sayangnya, hanya 28% perusahaan di Indonesia yang memiliki protokol keamanan siber memadai menurut data ID-SIRTII.
Artikel ini adalah panduan lengkap berisi 10 materi wajib yang perlu ada dalam training cybersecurity awareness untuk karyawan non-IT, agar perusahaan Anda tidak menjadi statistik berikutnya.
Mengapa Karyawan Non-IT Jadi Target Utama Serangan Siber
Peretas tahu bahwa menyerang sistem langsung jauh lebih sulit dibanding menipu manusia. Karyawan non-IT sering menjadi sasaran karena minim paparan istilah teknis dan cenderung cepat percaya pada komunikasi yang terlihat resmi.
- BSSN mencatat 3,64 miliar anomali serangan siber hanya dalam periode Januari hingga Juli 2025, dengan 83,68% di antaranya berbasis malware yang menyusup lewat tautan phishing dan lampiran email berbahaya (Verihubs).
- Memasuki 2026, BSSN mencatat 1,52 miliar serangan siber hanya dalam periode 1 Januari hingga 15 April, menunjukkan tren yang terus meningkat dan semakin menyasar identitas pengguna (ManageEngine).
Dengan tren ini, cybersecurity awareness training bukan lagi kebutuhan eksklusif tim IT. Setiap karyawan, apa pun departemennya, perlu memahami cara mengenali dan merespons ancaman digital.
10 Materi Wajib dalam Training Cybersecurity Awareness untuk Karyawan Non-IT
Berikut materi inti yang idealnya ada dalam kurikulum training keamanan siber bagi karyawan non-IT:
1. Mengenali Email Phishing dan Social Engineering
Karyawan dilatih mengenali berbagai bentuk serangan phishing dan social engineering, termasuk email palsu, tautan berbahaya, serta upaya manipulasi psikologis yang memanfaatkan rasa urgensi atau penyamaran sebagai pihak tepercaya.
Materi mencakup identifikasi alamat pengirim mencurigakan, lampiran berisiko, hingga langkah yang harus dilakukan ketika menerima pesan yang mencurigakan.
2. Keamanan Password dan Multi-Factor Authentication (MFA)
Pelatihan membahas praktik terbaik dalam membuat password yang kuat dan unik, penggunaan password manager untuk mengelola kredensial secara aman, serta pentingnya mengaktifkan Multi-Factor Authentication (MFA) sebagai lapisan perlindungan tambahan pada seluruh akun kerja.
3. Waspada Modus Vishing, Smishing, dan Deepfake
Karyawan dibekali kemampuan mengenali ancaman melalui panggilan telepon (vishing), pesan singkat (smishing), hingga penyalahgunaan teknologi AI seperti suara dan video deepfake yang digunakan penyerang untuk menyamar sebagai atasan, rekan kerja, atau mitra bisnis.
4. Klasifikasi dan Perlindungan Data Sensitif
Memberikan pemahaman mengenai klasifikasi data perusahaan, cara menangani informasi sensitif, serta kebijakan penyimpanan, berbagi, dan pengiriman data melalui email maupun layanan cloud agar tetap sesuai dengan standar keamanan organisasi.
5. Keamanan Penggunaan Perangkat Kerja dan Jaringan
Membahas praktik aman saat bekerja di luar kantor, termasuk penggunaan VPN, pembaruan sistem dan perangkat lunak, serta risiko mengakses sistem perusahaan melalui jaringan Wi-Fi publik yang tidak memiliki perlindungan memadai.
6. Kebijakan Bring Your Own Device (BYOD)
Menjelaskan aturan penggunaan perangkat pribadi untuk kebutuhan kerja, termasuk persyaratan keamanan seperti enkripsi perangkat, instalasi aplikasi keamanan, pembaruan sistem operasi, dan pemisahan data pribadi dengan data perusahaan.
7. Keamanan dalam Kolaborasi Digital
Karyawan mempelajari cara berbagi dokumen secara aman melalui cloud storage dan platform kolaborasi, mengatur izin akses sesuai kebutuhan, serta menghindari penggunaan tautan publik yang dapat meningkatkan risiko kebocoran data.
8. Prosedur Pelaporan Insiden Keamanan
Pelatihan menjelaskan langkah-langkah yang harus dilakukan ketika menemukan atau mencurigai insiden keamanan siber, mulai dari mengumpulkan informasi awal, menghubungi tim IT atau Security Operations Center (SOC), hingga memahami prosedur eskalasi dan batas waktu pelaporan.
9. Simulasi Phishing dan Latihan Respons Insiden
Melakukan simulasi phishing dan skenario serangan siber secara berkala untuk mengukur tingkat kewaspadaan karyawan, mengidentifikasi area yang perlu ditingkatkan, serta membangun kebiasaan merespons ancaman secara tepat dan cepat.
10. Kesadaran terhadap Ancaman Siber Berbasis AI
Membekali karyawan dengan pemahaman mengenai bagaimana Generative AI dimanfaatkan pelaku kejahatan siber untuk menghasilkan phishing, deepfake, dan rekayasa sosial yang semakin sulit dibedakan dari komunikasi asli. Materi juga mencakup strategi verifikasi informasi, identifikasi konten hasil AI, serta praktik keamanan untuk menghadapi ancaman siber yang terus berkembang.
Cara Menerapkan Training Cybersecurity Awareness Secara Efektif
Materi yang lengkap saja tidak cukup jika penerapannya tidak konsisten. Berikut langkah praktis agar training benar-benar mengubah perilaku karyawan:
- Lakukan asesmen tingkat kesadaran awal, misalnya melalui simulasi phishing sebelum training dimulai, untuk mengetahui baseline risiko.
- Gunakan studi kasus nyata, bukan teori umum, agar karyawan memahami dampak konkret dari kelalaian keamanan data.
- Ulangi training secara berkala, minimal setiap enam bulan, mengingat modus serangan terus berevolusi.
- Libatkan seluruh level organisasi, termasuk manajemen puncak, karena serangan sering menyasar posisi dengan akses tinggi.
- Ukur hasil dengan indikator jelas, seperti penurunan tingkat klik pada simulasi phishing dan kecepatan pelaporan insiden.
Dampak Nyata Jika Perusahaan Mengabaikan Training Ini
Berikut beberapa risiko yang mengintai perusahaan tanpa program cybersecurity awareness yang memadai:
- Kerugian finansial langsung. OJK dan IASC mencatat total kerugian akibat penipuan online telah melampaui Rp2,6 triliun hingga Mei 2025 (Verihubs).
- Kerugian ekonomi jangka panjang. BSSN melaporkan kerugian ekonomi akibat kejahatan siber di Indonesia mencapai Rp18 triliun pada 2024 (Verihubs).
- Kebocoran data berskala besar. Indonesia tercatat mengalami lonjakan kebocoran data hingga 351% pada kuartal III 2025 dibanding kuartal sebelumnya (SiberMate).
- Kerusakan reputasi dan kepercayaan klien, yang seringkali membutuhkan waktu jauh lebih lama untuk dipulihkan dibanding kerugian finansial itu sendiri.
Lindungi Perusahaan Anda Mulai dari Karyawan Non-IT
Ancaman siber tidak lagi hanya menyasar tim IT, melainkan setiap karyawan yang memiliki akses ke email, data, dan sistem kerja perusahaan. Dengan 10 materi di atas sebagai fondasi, perusahaan dapat membangun lapisan pertahanan pertama yang paling sering diabaikan, yaitu kesadaran manusia.
BINAR Capacity Building siap membantu merancang program cybersecurity awareness training yang sesuai dengan level risiko dan karakter karyawan non-IT di perusahaan Anda. Jangan tunggu sampai satu klik yang salah menimbulkan kerugian besar.
Diskusikan kebutuhan cybersecurity awareness training perusahaan Anda melalui WhatsApp tim kami, atau lihat semua studi kasus BINAR untuk melihat hasil nyata dari perusahaan lain.

