- CISO harus mengawasi keamanan identitas perusahaan.
- Keamanan identitas harus diintegrasikan ke dalam strategi keamanan perusahaan.
- CISO harus memiliki kontrol penuh atas semua aspek keamanan identitas.
pibitek.biz -Berita tentang kebocoran data menjadi pemandangan yang biasa kita lihat di media. Setiap minggu, kita disuguhi cerita tentang perusahaan-perusahaan besar yang menjadi korban serangan siber, data sensitif mereka dicuri, dan reputasi mereka tercoreng. Di balik semua itu, ada sosok yang bertanggung jawab untuk menjaga keamanan perusahaan, yaitu CISO (Chief Information Security Officer). CISO adalah benteng pertahanan terakhir, yang bertugas untuk mengidentifikasi dan menangkal ancaman siber. Namun, tugas CISO semakin berat dengan munculnya peraturan baru yang mengharuskan perusahaan untuk mengumumkan kebocoran data dalam waktu empat hari, dan kewajiban untuk melaporkan risiko keamanan secara tahunan.
2 – Serangan Siber Hantam Globe Life, Data Ribuan Pelanggan Dicuri 2 – Serangan Siber Hantam Globe Life, Data Ribuan Pelanggan Dicuri
3 – AI: Ancaman Baru bagi Keamanan Siber 3 – AI: Ancaman Baru bagi Keamanan Siber
Peraturan ini membuat CISO berada di bawah tekanan yang luar biasa, dan mereka dituntut untuk menjadi lebih proaktif dalam menjaga keamanan perusahaan. Hal ini membuat CISO memiliki pengaruh yang besar dalam sebuah perusahaan, terutama dalam hal keamanan identitas. Tradisional, manajemen identitas berada di bawah kendali CIO (Chief Information Officer). Perusahaan memandang proses onboarding, offboarding, dan pengelolaan identitas sebagai layanan yang mendukung, bukan sebagai fungsi keamanan utama.
Cukup lama, perusahaan menganggap identitas digital sebagai alat untuk memfasilitasi akses, bukan sebagai aset berharga yang perlu dijaga. Namun, kejadian-kejadian terbaru menunjukkan bahwa identitas adalah kunci keamanan dan seringkali menjadi alasan utama perusahaan dengan sistem keamanan canggih mengalami kebocoran data. Dalam dunia yang semakin terdigitalisasi, setiap identitas digital memiliki potensi untuk menjadi pintu gerbang ke dalam perusahaan, dan serangan siber seringkali memanfaatkan celah keamanan di dalam identitas digital.
Sebenarnya, keamanan identitas harus berada di bawah pengawasan CISO. CISO, dengan keahlian dan fokus mereka dalam keamanan, lebih siap untuk menangani kompleksitas keamanan identitas dan membangun sistem pertahanan yang kuat. CISO juga memiliki kewenangan dan pengaruh yang lebih besar dalam perusahaan, sehingga mereka dapat mendorong perubahan dalam budaya keamanan dan mengimplementasikan kebijakan yang lebih ketat. Perusahaan harus memahami perbedaan antara alat manajemen identitas dan alat keamanan identitas.
Alat manajemen identitas, seperti Active Directory dan Okta, memungkinkan perusahaan untuk mengelola identitas digital. Namun, alat ini hanya bekerja di dalam jaringan perusahaan, dan tidak dirancang untuk menangkal serangan dari luar. Namun, ketika seorang penyerang berhasil mendapatkan kredensial yang diretas, mereka bisa bebas bergerak di dalam jaringan perusahaan. Contohnya, kebocoran data Okta pada tahun 2023 menunjukkan bagaimana akun layanan yang bocor dengan akses ke semua tiket dukungan dan file yang diunggah, digunakan untuk mencuri informasi pelanggan yang sensitif.
Akun layanan yang diretas ini menjadi titik awal bagi penyerang untuk mengakses data sensitif perusahaan. CISO harus memiliki kontrol penuh atas semua aspek keamanan dalam perusahaan, termasuk manajemen identitas. CISO harus memiliki visi yang jelas tentang bagaimana keamanan identitas harus diintegrasikan ke dalam strategi keamanan perusahaan secara keseluruhan. Tim keamanan yang berada di bawah CISO biasanya berperan sebagai "pertahanan kedua" dalam manajemen risiko, karena mereka memiliki posisi strategis untuk mengawasi dan menyeimbangkan kekuasaan IT.
Tim keamanan memiliki keahlian dan pengalaman yang mumpuni dalam mendeteksi dan menanggapi ancaman siber, dan mereka dapat memberikan pandangan yang objektif tentang keamanan identitas. Tanpa pengawasan ketat dari tim keamanan, identitas yang tidak terkelola dan akun yang memiliki hak akses berlebihan bisa berkembang di dalam organisasi. Hal ini bisa menyebabkan akun shadow yang tersembunyi di dalam tim IT. Akun shadow ini bisa digunakan oleh penyerang untuk mengakses data sensitif perusahaan tanpa diketahui oleh tim keamanan.
Pemisahan tanggung jawab antara tim IT dan tim keamanan memberikan wewenang kepada tim keamanan untuk meninjau permintaan identitas berdasarkan praktik terbaik keamanan. Tim keamanan dapat mendorong penerapan prinsip least privilege dan segmentasi yang tepat. CISO membutuhkan kontrol langsung, kepemilikan yang jelas, dan akuntabilitas organisasi terhadap identitas. Meskipun pengaruh CISO bisa digunakan untuk mengubah status quo dan menegakkan prinsip-prinsip dasar program keamanan, dalam praktiknya hal ini sangat sulit untuk dicapai.
Banyak CISO hanya memiliki jabatan "CINO" (Chief in Name Only), tanpa kemampuan untuk mengimplementasikan perubahan. CISO tanpa wewenang yang cukup hanya bisa menjadi pengamat, bukan pengatur keamanan. Kejadian SolarWinds menunjukkan perlunya perusahaan untuk memberdayakan CISO dengan kekuasaan dan kemampuan untuk menerapkan program keamanan dan mengatasi risiko keamanan yang melekat dalam perusahaan. Kerja sama antara tim IT dan keamanan sangatlah penting, namun CISO harus memiliki wewenang penuh atas keamanan identitas.
CISO harus dapat menetapkan standar keamanan identitas, mengimplementasikan kebijakan, dan memastikan bahwa tim IT bekerja sama dengan mereka untuk mencapai tujuan keamanan. Serangan CDK Global adalah contoh terbaru dari kebocoran data yang terkait dengan identitas. Serangan ini mengikuti beberapa serangan lainnya, termasuk Change Healthcare dan Santander Ban. Serangan-serangan ini menunjukkan bahwa penyerang semakin canggih dalam memanfaatkan kelemahan keamanan identitas. Beberapa tahun yang lalu, perusahaan mengandalkan otentikasi multifaktor (MFA), dan percaya bahwa keamanan identitas mereka sudah terjamin.
Namun, hal itu tidaklah cukup. MFA bisa menjadi langkah pertama yang penting dalam mengamankan identitas, namun tidak cukup untuk menangkal semua ancaman. Masih banyak perusahaan yang hanya menggunakan MFA pada login awal, atau hanya untuk pengguna, aplikasi, dan sumber daya tertentu. MFA harus diterapkan secara universal untuk semua pengguna, aplikasi, dan sumber daya penting. Mereka menjadi korban penyerang karena tidak melindungi sistem dan data mereka dengan kontrol akses identitas yang kuat.
Fokus utama harus diberikan pada pemberian dan penolakan akses ke aset penting, terutama dari akun yang memiliki hak akses paling tinggi. Akun dengan hak akses paling tinggi adalah target utama para penyerang. Perusahaan harus menerapkan perlindungan identitas untuk setiap identitas manusia dan non-manusia (seperti akun layanan) dengan: 1. Menggunakan MFA yang sesuai: MFA harus diterapkan pada semua akun yang memiliki hak akses penting, termasuk akun layanan. Memisahkan akses dengan menolak akses identitas ke jaringan, infrastruktur, dan penyimpanan data yang penting: Akses harus dibatasi berdasarkan prinsip least privilege.
Mengelola identitas non-manusia untuk membatasi akses: Akun layanan harus diatur dengan hak akses yang minimal, dan dipantau secara berkala untuk mencegah penyalahgunaan. Menerapkan segmentasi dan pembatasan akses yang aman sesuai standar least privilege: Segmentasi jaringan dan identitas dapat membantu membatasi kerusakan jika terjadi kebocoran data. Tim keamanan dan IT harus menerapkan konsep segmentasi jaringan ke segmentasi identitas. Kelemahan utama dari segmentasi jaringan adalah perusahaan sering menghubungkan segmen jaringan dengan satu identitas tunggal, sehingga tujuan segmentasi menjadi sia-sia.
Ketika identitas tunggal itu diretas, segmentasi jaringan gagal melindungi perusahaan dari gerakan lateral dan penyebaran malware. Hanya dengan menggabungkan segmentasi jaringan dan identitas ke dalam pendekatan keamanan identitas yang terpadu, perusahaan dapat benar-benar mencapai manfaat dari memisahkan aset dan data penting. Perubahan transformatif seringkali membutuhkan pemimpin baru dengan keterampilan yang berbeda untuk mengawasi masalah. Manajemen identitas berada di bawah kendali IT karena alasan yang baik.
Namun, sekarang jelas bahwa identitas adalah titik lemah dalam setiap serangan. Oleh karena itu, keamanan identitas harus berada di bawah pengawasan pemimpin dengan latar belakang keamanan, seperti CISO, dan dilakukan dengan kerja sama erat dengan tim IT. Dengan mengikuti praktik terbaik keamanan untuk identitas, seperti memastikan pengguna memiliki hak akses paling minimal, menyepakati definisi aktivitas normal di perusahaan, dan dengan cepat mendeteksi dan menghentikan aktivitas yang tidak normal, perusahaan akan terlindungi lebih baik dari serangan di masa depan.
