Ini adalah waktu yang tepat untuk merenungkan satu tahun lagi bekerja dengan klien untuk membantu mereka melindungi organisasi mereka dari ancaman keamanan TI.
Dunia keamanan dunia maya tidak pernah berhenti, jadi penting untuk melihat apa yang telah kita pelajari – dan bagaimana hal ini dapat diterapkan dalam beberapa bulan ke depan.
Pendapat setiap orang itu penting, dan umpan balik datang dari seluruh penjuru Penjaga penjara; ini adalah pemikiran utama tentang tahun 2022 dari beberapa konsultan kami.
Ingat dasar-dasarnya
Salah satu cara paling sederhana untuk melindungi dari serangan dunia maya adalah berhati-hati mengikuti praktik dasar yang baik. Ini termasuk langkah-langkah seperti menjalankan perangkat lunak dan sistem operasi terbaru dan menggunakan perangkat lunak antivirus.
Ini juga melibatkan memastikan semua orang dalam organisasi jelas tentang tanggung jawab mereka, sehingga mereka menggunakan kata sandi unik yang kuat, tahu untuk tidak membuka lampiran email yang tidak terduga (berpotensi terinfeksi malware) dari sumber yang tidak dikenal, tidak mengklik situs web yang tidak dikenal, melaporkan insiden keamanan , dan hindari menggunakan jaringan Wi-Fi yang tidak aman, misalnya. (Lebih lanjut tentang “firewall manusia” dan mengelola risiko manusia nanti.)
Mendokumentasikan aset
Langkah-langkah keamanan yang kuat sulit diterapkan dan diterapkan jika organisasi tidak memiliki pemahaman yang komprehensif tentang asetnya; ini termasuk karyawan dan kekayaan intelektual, serta perangkat lunak, sistem dan jaringan. Mengidentifikasi aset-aset ini dan mendokumentasikannya dalam daftar aset (yang kemudian dipelihara dan diperbarui secara teratur) adalah langkah pertama yang penting untuk memahami potensi ancaman dan kerentanan apa yang dapat membahayakan organisasi.
Dokumentasikan proses internal
Selain mendokumentasikan aset, penting bagi perusahaan untuk membangun dan mendokumentasikan proses internal mereka sendiri saat dikembangkan atau diimplementasikan. Kegagalan untuk memahami proses apa yang ada dan bagaimana fungsinya dapat mengakibatkan solusi keamanan dunia maya yang lebih kompleks dan mahal diperlukan lebih lanjut jika yang diterapkan tidak memenuhi persyaratan dari proses tidak berdokumen yang tiba-tiba muncul.
Aman dengan desain adalah istilah yang umum digunakan dalam pengembangan perangkat lunak, dan prinsip membangun keamanan dari bawah ke atas juga harus diterapkan pada proses internal untuk memerangi risiko penipuan atau masalah peraturan atau legislatif lainnya selain keamanan.
Tanggung jawab utama untuk aktivitas tersebut harus berada di tangan pemilik proses bisnis, tetapi praktik tersebut juga perlu didorong di antara semua orang yang terlibat dalam setiap proses spesifik untuk memastikan gambaran keseluruhannya selengkap dan seakurat mungkin. Misalnya, diagram alur proses yang salah dapat menyebabkan akses yang salah diberikan kepada karyawan, dan hal ini mungkin tidak teridentifikasi dalam tinjauan keamanan jika dokumentasi awal yang digunakan untuk menentukan akses tidak akurat.
Lindungi awan
Dunia teknologi bisnis saat ini sangat bergantung pada cloud sebagai platform penyimpanan data, sehingga lingkungan virtual ini harus dilindungi dengan aman. Keamanan awan mencakup teknologi, protokol, dan praktik terbaik yang diperlukan untuk melindungi lingkungan komputasi awan, aplikasi awan, dan data awan.
Seperti aset dan proses internal, memahami apa yang diamankan, serta aspek sistem yang harus dikelola, merupakan langkah pertama yang penting. Banyak organisasi masih percaya bahwa karena data mereka dihosting atau dikelola oleh pihak ketiga, mereka tidak perlu lagi mempertimbangkan risikonya. Namun kenyataannya, mereka tetap bertanggung jawab atas risikonya, tetapi perlu dikelola dengan cara yang berbeda.
Proses utama untuk mengelola keamanan, seperti menangani kerentanan keamanan, sebagian besar berada di tangan penyedia layanan cloud dan, akibatnya, visibilitas mungkin terbatas. Sangat penting untuk memilih pemasok dengan rekam jejak yang terbukti untuk keamanan cloud dan memiliki kerangka kerja untuk memeriksa kepatuhan. Organisasi juga harus memastikan bahwa ada perjanjian kontrak yang sesuai untuk mendapatkan visibilitas yang mereka perlukan untuk mengonfirmasi bahwa data dan proses mereka aman.
Investasikan dalam pelatihan keamanan
Banyak pembobolan dan penipuan data utama pada tahun 2022 memiliki satu kesamaan – mereka mulai melalui seseorang yang jatuh ke dalam email phishing, smishing atau vishing trap.
Secara tradisional, peretas berfokus pada menerobos firewall. Hari ini, bagaimanapun, sebagian besar waktu mereka diinvestasikan dalam rekayasa sosial yang akan membantu mereka mendapatkan akses ke data yang mereka inginkan dengan “bantuan” pengguna organisasi. Tidak ada pengganti untuk investasi dalam keamanan TI – tetapi ini harus diperkuat dengan pelatihan kesadaran dengan tujuan membangun firewall manusia yang juga dapat melindungi organisasi melalui tindakannya.
Pelatihan ini harus lebih dari sekadar kotak centang kepatuhan – ini harus dianggap sebagai area inti dari peta jalan keamanan dunia maya organisasi. Setiap tingkat pengguna di seluruh perusahaan perlu dipenuhi dengan konten yang sesuai, dan pelatihan harus diperkuat dengan simulasi serangan untuk menilai kesenjangan pembelajaran dan pengetahuan, serta mengajari orang cara merespons. Memahami cara mengubah perilaku karyawan, pihak ketiga, dan, dalam beberapa kasus, pelanggan, sangat penting untuk melakukan perubahan ini.
Penjahat dunia maya terus mengembangkan permainan mereka, menjadikannya penting bahwa mengembangkan firewall manusia adalah proses yang berkelanjutan dan konsisten.
Dorong semua pengguna untuk bertanggung jawab
Bahkan dengan pelatihan kesadaran, pengguna tidak perlu memikirkan keamanan dengan cara yang sama seperti profesional keamanan TI. Bukan peran mereka untuk menyadari kerentanan dan ancaman, dan mereka mungkin sering menganggap kontrol keamanan sebagai penghalang aktivitas bisnis sehari-hari mereka. Dari catatan Post-it yang memajang kata sandi hingga menghindari proses keamanan yang diperpanjang melalui IT bayangan, ada banyak cara di mana kontrol dapat dielakkan oleh orang yang mencoba melakukan pekerjaan mereka secara efisien, yang menghadirkan ancaman bagi perusahaan yang lebih luas.
Mengoperasikan kebijakan tanpa kepercayaanmemperkenalkan autentikasi multifaktor, dan memastikan bahwa pelatihan keamanan/phishing adalah bagian dari proses pengenalan hanyalah beberapa cara untuk memperkuat firewall manusia.
Setiap orang memiliki tanggung jawab atas keamanan dunia maya secara pribadi dan organisasi. Komunikasi dan pelatihan perlu memperjelas hal ini, sedangkan praktik harus memudahkan untuk melindungi data dan sistem.
Indonesian
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Russian
Spanish