Keamanan User-Sentris: Pendekatan Baru Strategi Keamanan TI
Keamanan User-Sentris: Pendekatan Baru Strategi Keamanan TI
Dunia bisnis menghadapi tuntutan yang kian banyak untuk berkembang, baik tuntutan Digital Transformation, tuntutan penerapan Mobile dan Cloud Computing, tuntutan Collaborative Application baik dalam lingkup kantor pusat perusahaan dengan anak cabang mapun antara perusahaan dengan mitra usaha (kolega atau vendor) mereka, dan lain sebagainya.
Poin yang bisa diambil dari tuntutan tersebut adalah perusahaan diminta untuk lebih “terbuka” dari dunia luar. Bukan hanya melayani karyawan mereka yang mungkin bekerja di remote area atau mobile, melainkan juga untuk melayani akses dari pelanggan, mitra bisnis dan juga kontraktor (vendor).
Keterbukaan itu mengarah kepada makin banyaknya “point of exposures” ke dalam sistim TI perusahaan. Artinya, pendekatan keamanan yang selama ini dilakukan melalui pengamanan jaringan atau sistim TI berbasis endpoint, perimeter, network atau aplikasi menjadi kurang efektif dan perlu dioptimalkan. Karena akses ke dalam jaringan TI sudah makin terbuka baik dari sisi media, target sasarannya (aplikasi atau data), maupun sang pengguna (pengakses). Virtualization, Cloud, Machine to Machine (M2M), Internet of Things (IoT), Big Data, Bring Your Own Devices (BYOD), Mobile Apps dan Social Media telah memaksa perusahaan menjadi lebih terbuka.
Bila media sudah dijaga, bila target sistim telah pula dilindungi, mengapa pelanggaran atau kebocoran keamanan (security breaches) masih kerap terjadi? Dan ini berlaku sama hampir di semua area, tidak hanya di segmen industri tertentu atau pun ukuran besar kelasnya perusahaan.
Pendapat atau pandangan yang menyatakan bahwa:
- Semua aplikasi yang kritikal dan Tier-1 terjaga secara aman di dalam jaringan kami
- Orang jahat (hackers) ada di luar firewall (jaringan TI) kami
- Kami melatih organisasi dan tim TI kami dengan baik, sehingga meminimalkan kesalahan
sudah tidak lagi valid atau relevan.
Ada hal fundamental yang harus ditata ulang, bukan hanya sekedar pendaftaran media yang boleh mengakses, bukan juga paket atau situs yang boleh lewat, dan lain sebagainya. Fundamental itu adalah pengaturan dan pengelolaan individual sang pengguna atau pengakses setiap sumber daya TI di dalam perusahaan, terlepas siapapun pengakses tersebut, baik pegawai tetap, pegawai sementara (tidak tetap/magang), kontraktor, mitra bisnis, bahkan pelanggan sekalipun. Individu pengakses tersebut selanjutnya kita sebut Identitas (Identity). Istilah fundamental tersebut dikenal dengan Identity Governance and Administration yang terdiri dari Identity Access Management (IAM) dan Identity Data Management (IDM). Fundamental pengaturan dan pengelolaan identitas itu didasarkan pada sumber daya TI yang diaksesnya, baik akses ke aplikasi atau sumber daya TI (IAM) atau yang lebih spesifik data (IDM).
Bila pada pendekatan keamanan bersentra perimeter, jaringan, dan aplikasi lebih berfokus pada obyek dan/atau media, maka pendekatan berbasis identitas ini — atau dikenal dengan user-centric security approach — berfokus pada subyek, yakni sang pengakses. Sang pengakses/pengguna/identitas diatur kewenangannya dalam hal akses sumber daya (baik aplikasi, sistim, maupun data) yang boleh diakses berdasarkan pada peran kerjanya (role), wilayah/grup kerjanya (entitlement), peraturan/kebijakan perusahaan (business policy), tingkat resiko sang pengakses (risk owner), dan kepemilikan terhadap sumber daya TI (apps/data ownership).
Pada akhir melalui pengaturan dan pengelolaan tersebut, kita akan dapat visibilitas terhadap informasi
- Apakah Anda tahu dimana sensitive data dan aplikasi Anda berada?
- Apakah Anda tahu siapa saja yang memiliki akses terhadapnya dan apa saja akses tersebut?
- Apakah mereka telah memenuhi syarat (menurut kebijakan perusahaan) terhadap akses tersebut?
- Apakah hak akses & tepat?
- Anda tahu apa yang mereka lakukan dengan akses itu?
- Bisakah Anda membuktikannya?
Pendekatan keamanan guna menjawab enam pertanyaan mendasar tersebut seringkali luput dari kebijakan dan inisiatif keamanan TI Anda. Padahal jawaban “YA” terhadap enam pertanyaan tersebut akan menutup sedikitnya 81% peluang internal breaches (menurut Verizon) melalui pengaturan dan tata kelola identitas. Karena identitas adalah sasaran dari banyak serangan cyber, usaha meningkatkan keamanan harus berfokus untuk melindungi identitas tersebut, dan itu dimulai dengan pengaturan dan tata kelola identitas.
Seberapa banyak dari perusahaan yang tidak mengalami hal berikut di bawah ini:
- menaikan performansi (kinerja) sehingga harus menambah sejumlah karyawan
- melakukan restrukturisasi sehingga harus memutasi sejumlah karyawan
- mengalami optimasi sehingga harus merasionalisasi sejumlah karyawan
- meningkatkan diversifikasi sehingga harus mengakuisisi sejumlah karyawan atau perusahaan
- memenuhi aspirasi sehingga harus melayani pelanggan mengakses sistim perusahaan
- menambah kolaborasi sehingga harus berinteraksi dengan sistim perusahaan lain
Bila perusahaan pernah mengalami salah satu dari enam kondisi di atas, artinya identitas di dalam perusahaan Anda akan senantiasa mengalami perubahan yang cepat dan drastis. Tanpa pengaturan dan pengelolaan yang benar, perubahan identitas tersebut berpeluang sebagai potensi utama serangan cyber – yang seringkali dimulai dari stolen credential (kredential/mandate yang dicuri) yang tidak memenuhi kebijakan perusahaan yang berlaku.
Pengaturan dan pengelolaan identitas yang tepat akan memposisikan Identitas sebagai pusat keamanan (center of security), guna meyakinkan perusahaan bahwasannya para pengguna telah mendapatkan akses yang tepat ke aplikasi dan data yang sesuai pada saat yang tepat – tidak lebih dan tidak kurang. Pengaturan dan pengelolaan identitas yang tepat dapat mengurangi, dan bahkan mencegah pelanggaran data, meningkatkan produktivitas, meningkatkan keamanan dan kepatuhan (compliance) dan membuat perusahan dapat terus fokus dalam menjalankan inti bisnisnya.
Sudahkah perusahaan Anda menerapkan Pengaturan dan Pengelolaan Identitas yang menyeluruh dan meliputi banyak hal?
Leave a Reply