Cetak Biru Pengamanan Informasi

Melihat pelanggaran data yang baru-baru ini terjadi, termasuk serangan Hydraq, menunjukkan tren yang mengkhawatirkan dan hanya sedikit pakar sekuriti yang mengantisipasinya. Seperti diprediksikan oleh sejumlah pihak pada awal 2005, penyerang di Internet tidak lagi mengejar popularitas akan tetapi kekayaan dan tidak hanya memburu informasi rahasia seperti kartu kredit atau nomor Social Security, mereka bisa saja membidik target spesifik yakni karyawan di perusahaan multinasional dan agen pemerintahan yang mereka ketahui punya akses terhadap dokumen, source code, dan bentuk properti intelektual, serta informasi rahasia lainnya.


Sejalan dengan waktu, ancaman kemungkinan akan menjadi lebih kompleks dan efektif, sehingga organisasi harus bekerja keras untuk mereduksi kerentanan mereka dengan mengimplementasikan cetak biru keamanan yang komprehensif, proaktif, mudah diterapkan dan dikelola. Di antara komponen yang paling penting adalah strategi yang mengatasi empat kelemahan keamanan yang paling umum terjadi yang disasar oleh penyerang dunia maya yakni: kebijakan IT yang kurang diterapkan dengan baik, informasi yang tidak terlindungi dengan baik, sistem yang dikelola dengan kurang baik, dan infrastruktur yang kurang diproteksi dengan baik.

Menegakkan Kebijakan IT

Pelanggaran data bisa disebabkan oleh para penjahat dunia maya di luar perusahaan atau oleh orang dalam yang secara berbahaya beroperasi di dalam perusahaan. Hampir seluruh pelanggaran data melibatkan kebijakan IT yang hilang, rusak, atau tidak diterapkan. Apakah cybercriminal atau orang dalam yang bermakud jahat mengeksploitasinya atau orang dalam yang mengikutinya, kebijakan IT yang tidak tepat merupakan faktor umum dalam pelanggaran data. Dengan memprioritaskan risiko dan menentukan kebijakan yang mencakup seluruh lokasi, pelanggan bisa menerapkan kebijakan melalui alur kerja dan automatisasi yang ada dan tidak hanya mengidentifikasi ancaman, tetapi juga mengatasi insiden saat terjadi atau mengantisipasinya sebelum insiden tersebut terjadi.

Cybercriminal mengandalkan dua faktor saat mereka mempertimbangkan target organisasi yang akan mereka ambil informasinya. Pertama adalah dari sudut pandang keamanan informasi, sebagian besar perusahaan terlihat keras dari luar, akan tetapi lembek di dalamnya. Penyerang jahat mencari perusahaan yang tidak memiliki kebijakan IT yang dikembangkan atau diterapkan pada siapa yang seharusnya mengakses ke infrastruktur tertentu atau informasi tertentu. Artinya, ketika seorang penjahat berada di dalam jaringan perusahaan, mereka bisa memiliki kebebasan di seluruh jaringan untuk mengetahui data berharga apa yang ada dan di mana lokasinya.

Faktor kedua yang diandalkan oleh cybercriminal adalah “data spillage” atau informasi yang secara tidak diketahui berpindah dari tempat penyimpanan data yang dilindungi dengan baik ke penyimpanan lain yang kurang terlindungi. Sebagai contoh, perusahaan mungkin tahu bahwa informasi karyawan ada di database informasi karyawan atau informasi pasien di database pasien. Akan tetapi, mereka tidak tahu di mana lagi informasi tersebut disimpan. Pada banyak perusahaan, data hadir di beberapa tempat, termasuk fasilitas bagi pakai, laptop, server uji dan pengembangan, USB drive, dan lokasi penyimpanan sekunder lainnya. Kecuali jika infromasi ini teridentifikasi, informasi tersebut akan menjadi ringkih.

Dalam kasus sebuah perusahaan pelayanan medis, cybercriminal menyadari bahwa data perusahaan yang mereka cari sebenarnya terlindungi dengan baik, akan tetapi komputer kerja karyawan tidak. Untuk itu, penyerang menginstalasikan software perekam layar pada seluruh komputer desktop karyawan. Setelah itu, saat karyawan masuk ke rekening bank pribadi mereka, informasi tersebut ditangkap dan dikirimkan pada cybercriminal. Penyerang akan mendapatkan hadiah berupa data berharga yang bisa digunakan untuk keuntungan finansial mereka.

Mengetahui apa yang diperlukan dan bagaimana mencapai kebutuhan atas kesesuaian IT yang kuat dan efektif dari sisi biaya membutuhkan ketaatan yang kuat pada regulasi, kerangka, dan konsep. Pakar keamanan menyarankan organisasi menyesuaikan perangkat peraturan yang otomatis dan terintegrasi daripada solusi tunggal untuk setiap aturan. Organisasi bisa mengotomatisasi proses pengulangan yang memakan waktu yang umumnya terkait dengan kebijakan IT, termasuk membuat, menentukan, dan mendistribusikan kebijakan; melacak pengecualian; mengelola standar dan pemberian hak; memperbaiki penyimpangan; dan melakukan pengujian teknis dan prosedural. Perangkat terintegrasi yang otomatis menyediakan cara untuk melakukan proses kritikal akan tetapi seringkali mahal ini secara efisien dan efektif dari sisi biaya.

Melindungi Informasi

Penyerang dari luar bukanlah satu-satunya ancaman terhadap informasi. Orang dalam – baik yang berniat jahat atau bermaksud baik – bisa jadi merupakan pihak yang paling tak dianggap sebagai ancaman bagi organisasi masa kini. Informasi yang rahasia seperti data pribadi karyawan, catatan medis pasien, nomor kartu kredit dan social security seluruhnya bernilai mahal di pasar gelap. Properti intelektual perusahaan dan agen pemerintah juga berisiko tinggi dicuri atau hilang. Untuk itu, organisasi perlu memahami di mana informasi berada, bagaimana ia digunakan dan siapa yang menggunakannya lalu mengimplementasikan kebijakan perlindungan data yang bisa diterapkan di seluruh perusahaan. Dengan mengambil pendekatan yang berpusat pada informasi untuk melindungi data, organisasi bisa membuat komponen penting dari sebuah cetak biru keamanan yang efektif.

Mengetahui siapa yang mengakses dan bagaimana diakses dan di mana data rahasia berada membutuhkan kemampuan untuk melihat aktivitas di jaringan perusahaan, termasuk email, instant messaging, web mail, dan FTP. Endpoint juga perlu dimonitor – apakah di dalam ataupun di luar jaringan perusahaan – untuk informasi rahasia apapun yang didownload ke penyimpanan lokal, dikopi ke USB atau perangkat portabel lainnya, disimpan ke CD atau DVD, dikopi atau dilekatkan, dicetak atau dikirim via fax, ditransfer lewat email atau instant messaging, dan lain-lain.

Karena banyak organisasi harus menunjukan kesesuaian mereka dengan peraturan eksternal, sangatlah penting bahwa informasi sensitif juga ditangani dengan cara yang memenuhi peraturan tersebut. Sebagai contoh, organisasi mengklasifikasikan bahwa pedagang Payment Card Industry (PCI) harus tahu di mana data kartu kredit berada – apakah ada di gudang penyimpanan atau laptop karyawan – dan memastikan bahwa data tersebut terlindungi. Mereka juga harus dapat membuat laporan yang menunjukkan secara tepat sistem mana yang telah diperiksa, apa yang ditemukan pada sistem tersebut, dan bagaimana informasi sensitif tersebut telah diamankan.

Untuk memudahkan administrasi, sangat penting untuk dapat mendefinisikan dan menerapkan seluruh kebijakan untuk mencegah kehilangan data di sebuah lokasi yang terpusat di mana pemulihan insiden dan pelaporan juga bisa diatasi. Sebagai tambahan, baik konten dan konteks harus bisa dianalisa pada skala enterprise; ini akan meningkatkan akurasi yang akhirnya meminimalisir biaya dan aktivitas pemulihan insiden.

Mengelola Sistem

Cybercriminal yang cerdas juga membidik organisasi yang sistemnya kurang dikelola dengan baik, memanfaatkan inefisiensi dari infrastruktur yang ada untuk mengakses data yang bernilai. Untuk menjaga dari ancaman seperti ini, organisasi perlu memperhatikan proses dan cara kerja manajemen sistem mereka untuk memastikan informasi dan aset mereka tetap terlindungi.

Sebuah kasus pencurian data yang terjadi pada 2009 menggambarkan hubungan antara manajemen sistem dan pengamanan sistem. Setelah mengopi informasi rahasia berjumlah besar ke laptopnya, seorang karyawan rumah sakit meninggalkan laptop tersebut di meja kerja, lalu menutup pintu dan menguncinya saat ia meninggalkan kantor. Pada larut malam, seseorang menerobos ke kantor dan mencuri laptop – berisi ratusan catatan Protected Health Information (PHI) di dalamnya.

Sulit untuk memahami sistem mana yang membutuhkan tambalan dan mana yang sudah mutakhir, jadi proses pemutakhiran manual biasanya menghasilkan infesisiensi dan kesalahan. Lebih lanjut, proses penerapan tambalan bisa menghambat produktivitas dari pengguna, dan juga memaksa IT untuk mendedikasikan lebih banyak waktu untuk menanggapi kasus dibandingkan dengan mengelola prosedur harian secara proaktif.

Dengan strategi manajemen sistem yang komprehensif yang mencakup standarisasi, alur kerja, dan otomatisasi, software dan perangkat pengamanan akan melakukan kerja kerasnya. Dari manajemen tambalan sampai ke audit peraturan, kemampuan manajemen sistem ini membantu organisasi mengelola seluruh siklus hidup aset IT mereka. Sebuah strategi menajemen sistem yang komprehensif juga memudahkan organisasi untuk mengimplementasikan lingkungan operasi yang aman dengan membantu mereka memasang target yang ingin mereka jalankan di infrastruktur mereka dan dengan memastikan bahwa seluruh bagian dari infrastruktur mereka sudah sesuai dengan kebijakan penting.

Untuk mencegah risiko tereksposnya informasi, organisasi harus melindungi baik infrastruktur, mulai dari endpoint sampai server dan gateway, dan juga informasi, di manapun dan bagaimanapun informasi itu digunakan. Sebagai tambahan, organisasi perlu mengganti proses bisnis yang rusak dengan kebijakan IT yang proaktif dan diterapkan. Akhirnya, organisasi harus mengelola sistem mereka dengan mengimplementasikan lingkungan operasi yang aman, menambal sistem dengan cepat, dan mengotomatisasi proses untuk merampingkan efisiensi baik sebelum dan sesudah kejadian terkait pengamanan.

Melindungi Infrastruktur

Melindungi endpoint membutuhkan lebih dari antivirus dan antispyware. Perlindungan endpoint juga membutuhkan firewall, pencegahan gangguan, serta kontrol atas perangkat dan aplikasi dan juga perangkat yang secara otomatis menganalisa perilaku aplikasi dan komunikasi jaringan untuk mendeteksi dan memblokir aktivitas mencurigakan. Perlindungan endpoint juga membutuhkan kemampuan administratif yang memungkinan IT untuk menolak aktivitas perangkat dan aplikasi spesifik yang dianggap berisiko tinggi. Perlindungan endpoint juga harus menyediakan kontrol akses jaringan untuk memastikan endpoint tetap mengikuti kebijakan IT saat mereka terhubung ke jaringan perusahaan.

Untuk melindungi lingkungan server messaging terhadap spam dan virus, organisasi harus memeriksa email dan pesan instan yang masuk dan keluar agar tetap sesuai dengan aturan dan persyaratan pengelolaan. Untuk memasitkan proteksi mutakhir, tandatangan spam perlu diupdate secara otomatis, dan perlindungan virus harus menyertakan kemampuan generasi baru seperti penyaringan berbasis reputasi.

Dengan semakin banyaknya serangan berbasis web, infrastruktur yang aman harus juga menyertakan perlindungan terhadap ancamab berbasis Web 2.0. Penyaringan URL tradisional saja tidak lagi cukup. Organisasi perlu juga dilindungi dari spyware, botnet aktif dan tidak aktif, dan virus, memblokir situs berbahaya, konten aktif, download file aplikasi, trafik yang disebut ‘phone home’ dan serangan secara langsung.

IT harusnya memiliki pengetahuan ke dalam sistem agar mereka bisa mengetahui jika mereka sedang diserang. Strategi perlindungan yang paling efektif menyesuaikan perangkat manajemen informasi keamanan langsung yang mengumpulkan, menghubungkan, dan menyimpan kejadian, celah keamanan, dan catatan kesesuaian dan kemudian mendokumentasikan tanggapan dan perbaikan. Perangkat-perangkat ini mengumpulkan berbagai data yang dibuat oleh sebuah perangkat dan aplikasi pengamanan yang ada secara langsung. Perangkat yang paling canggih juga mengombinasikan data ini dengan kecerdasan eksternal atas aktivitas berbahaya yang terjadi secara global, lalu menganalisa data tersebut serta memberi peringkat terhadap insiden sesuai dengan prioritas mereka.

Organisasi yang ingin mengambil tindakan sebelum sebuah insden terjadi juga bisa membuat sistem peringatan dini yang bisa mengabarkan mereka seputar celah keamanan yang belum dieksploitasi. Sangatlah penting bagi perusahaan untuk memiliki pandangan menyeluruh terhadap infrastruktur IT mereka agar dapat mengambil seluruh catatan terhadap berbagai elemen yang berbeda di infrastruktur IT mereka, menghubungkan catatan-catatan tersebut, memahami ancaman apa yang sedang terjadi saat ini, dan mendapatkan pengetahuan apakah mereka sedang atau tidak sedang diserang.
Share