Seperti sudah disinggung di atas, social engineering memiliki dua level : fisik
dan psikologis. Karena itu, dalam usaha untuk meningkatkan sistem
keamanan komputer, maka kedua aspek ini harus diperhatikan. Satu hal yang sering dilupakan oleh organisasi adalah cara membuat prosedur untuk menangani serangan terhadap social engineering. Perusahaan dapat saja menghabiskan dana besar untuk membeli perangkat keras dan perangkat lunak, antivirus, dan sebagainya untuk meningkatkan keamanan sistern, namun itu semua akan mubazir jika mengabaikan pencegahan terhadap serangan social engineering. Oleh karena itu, organisasi harus membuat sebuah kebijakan untuk pencegahan serangan terhadap social engineering. Menurut Sarah Granger, beberapa kebijakan yang dapat dibuat, antara lain: 1. Pencegahan serangan fisik 'Salah satu cara untuk menanggulangi serangan social engineering adalah memiliki sistern keamanan secara fisik. Setiap orang yang masuk dan keluar gedung harus memiliki ID yang diperiksa dan diverifikasi tanpa terkecuali. Sistem pemeriksaan dan verifikasi tersebut harus memastikan bahwa tidak ada orang yang masuk ke dalam gedung yang tidak memiliki otorisasi. Dokumen- dokumen penting dan rahasia harus disimpan dalam laci-laci dokumen yang terkunci dan tidak dapat diakses secara fisik oleh orang yang tidak berhak. Dokumen-dokumen penting yang ingin dibuang ke temp at sampah harus dihancurkan terlebih dahulu. Demikian juga, perangkat penyimpanan yang ingin dibuang harus dikosongkan dari data-data yang mungkin digunakan untuk tujuan yang tidak baik. 2. Mewaspadai pihak yang mengaku rekanan perusahaan Dalam melakukan penyerangan, sering kali pelaku berpura-pura sebagai pihak lain yang merupakan rekanan dari perusahaan, seperti pengelola gedung, pegawai telepon, pegawai cleaning service, jasa kurir, dan sebagainya. Pelaku meminta informasi tertentu dengan alasan untuk keperluan pekerjaan yang dilakukan oleh pelaku. Karena tidak curiga, karyawan akan memberikan informasi yang diminta. Dengan cara itu, pelaku dapat dengan mudah memperdaya korbannya. Untuk mencegah hal seperti ini terjadi, perusahaan harus mengingatkan karyawan agar berhati-hati jika ada pelaku yang mengaku dari pihak rekanan organisasi mulai meminta informasi tertentu yang tidak biasa. 3. Training, training, dan retraining Organisasi harus melatih, melatih, dan kembali melatih karyawan mulai dari help desk sampai seluruh tingkat paling tinggi dalam organisasi. Menurut Naomi Fine, President dan CEO dari Pro-TeeData, organisasi harus melatih karyawan cara mengidentifikasi informasi yang dipertimbangkan sebagai informasi rahasia dan memahami betul bahwa mereka bertanggung jawab untuk melindunginya. Organisasi harus menanamkan bahwa keamanan sistern komputer merupakan bagian dari pekerjaan semua pegawai, sekalipun pegawai itu memiliki pekerjaan yang tidak berhubungan dengan komputer sarna sekali. Setiap orang dalam organisasi harus betul-betul memahami mengapa sangat penting menjaga informasi rahasia dan manfaatnya bagi organisasi serta memberi mereka tanggung jawab untuk ikut menjaga keamanan jaringan. Semua pegawai harus ditraining untuk menjaga data rahasia mereka dengan aman dan menyertakan mereka dalam kebijakan sistem keamanan perusahaan. . 4. Berpikir layaknya penyerang YOSEPHINE, KELAS VIII D Sebagai seorang pegawai perusahaan, kebanyakan pegawai dilatih untuk melayani pelanggan atau orang lain dengan baik. Hal ini menyebabkan pegawai menjadi terbiasa ingin membantu orang lain. Akibatnya, ketika ada pelaku meminta informasi, pegawai tanpa curiga memberikannya tanpa banyak bertanya. Oleh karena itu, dalam lingkungan sistem informasi, karyawan perlu dilatih untuk berpikir layaknya pelaku dan selalu harus curiga kepada pihak lain yang meminta informasi yang tidak lazirn. Karyawan perlu dilatih untuk curiga pada permintaan informasi yang kadang-kadang disertai dengan intimidasi, buru-buru, pura-pura telah melakukan kesalahan, dan sebagainya. Dengan melatih kewaspadaan tersebut, perusahaan tidak akan mudah diserang.
5. Merespons serangan terhadap Social Engineering
Setiap kali karyawan mendekteksi adanya kemungkinan serangan social engineering, maka organisasi harus memberikan respons yang cukup dan secepatnya. Organisasi harus mempunyai prosedur untuk menanggulangi serangan social engineering dan menunjuk tim atau personal untuk menganggapi jika dideteksi adanya serangan. Social engineering harus menjadi perhatian bagi organisasi. Menurut Mitnick, organisasi dapat saja membeli teknologi dan layanan untuk meningkatkan keamanan sistem atau jaringan organisasi, namun sistem atau jaringan tersebut masih tetap berisiko ditembus dengan metode-metode social engineering. Oleh karena itu, social engineering harus menjadi prioritas organisasi untuk dibenahi dalam upaya meningkatkan keamanan sistem informasi organisasi.