Mengukur Risiko Keamanan Data Dan Informasi
Cara terbaik untuk mengukur risiko keamanan informasi? Cara terbaik sebetulnya melompat secara langsung dan mencari kerentanan spesifik di sistem dan aplikasi anda; Hal ini tidak berbeda dengan mengukur kesehatan manusia melalui magnetic resonance imaging, analisis darah dan sejenisnya.
Beberapa orang menyebut latihan ini audit keamanan TI. Lainnya menyebutnya dengan istilah pengujian penetrasi. Walaupun vulnerability assessment adalah subset dari pengujian penetrasi.
Namun, melakukan analisis mendalam tentang lingkungan tidak hanya membandingkan kebijakan terhadap bagaimana hal-hal benar-benar berjalan - audit keamanan TI - atau hanya mencoba menerobos dan pengujian penetrasi untuk membuktikan sebuah hal - jadi kami lebih suka menyebutnya latihan penilaian keamanan informasi. Mereka lebih luas dan lebih bermakna dan mereka membantu menunjukkan di mana kebijakan dan prosedur keamanan gagal.
Semantik pengujian keamanan dapat diperdebatkan karena konotasinya namun tujuan utamanya adalah menemukan dan memperbaiki kelemahan sebelum seseorang mengeksploitasinya.
Terserah kepada profesional keamanan untuk memastikan bahwa langkah-langkah yang tepat dilakukan untuk melihat semuanya, sehingga risiko yang teridentifikasi dapat dipahami, dipecahkan atau diterima sebagai bagian dari siklus pengelolaan risiko informasi.
Berikut adalah komponen kunci dari penilaian keamanan informasi yang efektif. Letakkan politik dan ego ke samping dan pastikan semua area ini dipertimbangkan dan dapatkan perhatian yang pantas mereka dapatkan:
Jika kepemimpinan tidak mau menginvestasikan sumber daya yang dibutuhkan untuk melihat secara jujur lingkungan sistem informasi perusahaan mereka, maka segala sesuatu akan menjadi perjuangan yang berat. Fokus pada mendapatkan - dan menjaga - orang yang tepat di organisasi. Tanggung jawabnya bukan pada manajemen, melainkan pada anggota staf dan kepemimpinan TI dan keamanan.
#2. Ruang Lingkup: Hal ini merupakan fase terpenting dari penilaian keamanan informasi yang solid. Ada banyak contoh di mana sistem, aplikasi dan bahkan seluruh lingkungan jaringan tidak disertakan dalam pengujian keamanan. Alasannya hampir selalu sama:
"Tidak ada cukup waktu atau uang," dan "Kami tidak diharuskan untuk menguji sistem tersebut dan itu." Tidak apa-apa untuk menyempurnakan cakupan anda,
tetapi anda harus memastikan semua sistem penting anda dilihat - semakin cepat semakin baik, daripada nanti Akhirnya, anda perlu melihat seluruh lingkungan anda karena yang tampaknya sistem yang jinak, segmen jaringan atau proses keamanan akan menyebabkan semua menjadi berantakan. Pastikan untuk mempertimbangkan sistem eksternal, sistem internal dan sistem yang diselenggarakan oleh pihak ketiga di cloud - termasuk situs web pemasaran anda.
Selain itu, pengujian keamanan terotentikasi dari kedua sistem operasi dan aplikasi web merupakan kebutuhan mutlak. Pastikan semuanya adalah permainan yang adil untuk pengujian - termasuk orang, proses dan sistem keamanan fisik anda.
#3. Pengujian: Mulai dengan scan kerentanan, saring dari temuan scanner, lakukan analisis manual dan lihat apa yang rentan diserang dalam konteks lingkungan dan bisnis anda. Pada tingkat tinggi, memang benar-benar sesederhana itu.
Fase ini harus mencakup cracking password, analisis jaringan nirkabel dan terutama email phishing. Teknik-teknik ini biasanya di jelaskan dalam buku-buku seperti Hacking For Dummies. Yang penting adalah melihat lingkungan perusahaan dari sudut pandang hacker, lihat apa yang bisa dieksploitasi dan kemudian tunjukkan apa yang bisa terjadi sehingga isu tersebut dapat dianalisis dan, jika perlu, diselesaikan.
#4. Pelaporan: Laporan PDF setebal 500 halaman dari hasil scan kerentanan tidak akan menolong. Laporan penilaian keamanan yang jelas dan ringkas yang menguraikan prioritas, temuan dan rekomendasi akal sehat adalah apa yang dibutuhkan.
Laporan akhir tidak harus panjang. Ini hanya perlu dipotong untuk mengejar dan menguraikan area kelemahan tertentu yang memerlukan perhatian dari perspektif profesional keamanan - sekali lagi, dengan mempertimbangkan konteks sistem dan bisnis. Ini dapat menggabungkan elemen pengujian penetrasi dan audit keamanan TI.
Kami tidak menyukai pendekatan umum dari organisasi yang membabi buta mengikuti prioritas vendor untuk kerentanan. Contoh dari hal ini adalah scanner kerentanan, sering mengikuti Common Scanner System atau peringkat serupa, memberikan penilaian yang parah terhadap Simple Network Management Protocol yang diaktifkan dengan string komunitas default pada printer jaringan yang tidak berbahaya. Jika temuan tersebut dianggap berat, lalu apa kata sandi firewall yang lemah,
injeksi SQL pada aplikasi core web, atau patch yang hilang yang dapat dieksploitasi dari jarak jauh pada server critical? Ini semua tentang konteks dan akal sehat. Jenis penilaian keamanan informasi terburuk yang dapat anda lakukan adalah yang tidak memiliki laporan formal dan, oleh karena itu, masalah menjadi tidak terlihat dan tidak terselesaikan.
#5. Perbaikan: Jika Anda menemukan masalah, perbaiki. Sering terjadi laporan penilaian keamanan dan temuan spesifik yang dikandungnya tidak pernah di tindak lanjuti sama sekali - atau setidaknya sampai temuan tersebut dilaporkan dalam penilaian keamanan berikut.
Ini adalah perbaikan yang mudah: tentukan tanggung jawab dan pastikan bahwa setiap orang bertanggung jawab. Pada giliran penilaian keamanan informasi selanjutnya, mungkin dalam enam bulan atau satu tahun, akan menentukan apakah masalah telah teratasi atau tidak.
Sebagai alternatif, anda mungkin mempertimbangkan untuk melakukan validasi remediasi terhadap temuan penting dan prioritas tinggi sebagai tindak lanjut dari penilaian keamanan anda, 30 sampai 45 hari setelah laporan tersebut disampaikan dan temuan telah diberikan.
#6. Pengawasan: Memastikan keamanan yang berkelanjutan antara penilaian keamanan anda akan memerlukan sesuatu yang sederhana seperti mengutak-atik sistem dan perangkat lunak yang ada, kemungkinan penerapan kontrol teknis baru dan perombakan langsung atas kebijakan dan proses anda.
Daripada berusaha mencapai keamanan yang sempurna, tujuan yang harus ditempuh adalah keamanan yang masuk akal dengan jendela waktu yang lebih pendek dan lebih pendek untuk menangkap kekurangan dan menyelesaikannya.
Selanjutnya, manajemen harus terus dilibatkan. Banyak eksekutif berada sejajar dengan apa yang dibutuhkan, dalam hal kepatuhan dan kewajiban kontrak. Tidak masalah apakah mereka tertarik atau tidak. Jaga orang yang tepat dalam lingkaran dengan penilaian keamanan anda.
Ini tidak hanya menunjukkan pengembalian investasi mereka, ini penting untuk pembelian yang sedang berlangsung. Jika tidak, keamanan tidak terlihat dan tidak pada pikiran dan, oleh karena itu, bukan prioritas.
Intinya adalah setiap perusahaan memiliki informasi dan aset komputasi yang mungkin dilakukan oleh hacker jahat atau orang dalam yang jahat karena mendapat keuntungan, atau pengguna yang ceroboh dapat kehilangan atau merusaknya. Sangat bodoh untuk percaya bahwa anda dapat aman atau kebal terhadap risiko informasi yang tidak anda ketahui. Dan perusahaan tidak bisa hanya mengandalkan audit keamanan TI atau pengujian pena saja.
Mengabaikan penilaian keamanan bukanlah pilihan yang dapat dipertahankan untuk diteruskan selamanya. Selanjutnya, itu adalah masalah keamanan - dan berpotensi pada karir -- adalah bunuh diri untuk mengungkap risiko informasi yang akhirnya diabaikan.
Luangkan waktu yang diperlukan untuk merencanakan penilaian keamanan informasi anda dengan benar, memastikan pekerjaan selesai dan memastikan bahwa anggota staf yang tepat di bidang TI, pengembangan, manajemen dan tempat lain diberi tahu tentang temuan sehingga masalah dapat ditangani.
"Anda hanya perlu melakukan sedikit hal baik dalam hidup anda asalkan anda tidak melakukan terlalu banyak hal yang salah."
Program keamanan informasi anda akan menjadi cerminan dari apa yang anda tabur - atau gagal menabur - termasuk memiliki program untuk penilaian keamanan yang sedang berlangsung. Pastikan ini merupakan prioritas. Bahkan bila dilakukan secara berkala dan konsisten dari waktu ke waktu, penilaian ini bukanlah solusi sempurna untuk semua kesulitan keamanan anda. Namun, anda dapat yakin bahwa jika anda memilih untuk mengabaikan latihan penting ini, sejarah pastinya akan mengulanginya sendiri.
Beberapa orang menyebut latihan ini audit keamanan TI. Lainnya menyebutnya dengan istilah pengujian penetrasi. Walaupun vulnerability assessment adalah subset dari pengujian penetrasi.
Namun, melakukan analisis mendalam tentang lingkungan tidak hanya membandingkan kebijakan terhadap bagaimana hal-hal benar-benar berjalan - audit keamanan TI - atau hanya mencoba menerobos dan pengujian penetrasi untuk membuktikan sebuah hal - jadi kami lebih suka menyebutnya latihan penilaian keamanan informasi. Mereka lebih luas dan lebih bermakna dan mereka membantu menunjukkan di mana kebijakan dan prosedur keamanan gagal.
Semantik pengujian keamanan dapat diperdebatkan karena konotasinya namun tujuan utamanya adalah menemukan dan memperbaiki kelemahan sebelum seseorang mengeksploitasinya.
Terserah kepada profesional keamanan untuk memastikan bahwa langkah-langkah yang tepat dilakukan untuk melihat semuanya, sehingga risiko yang teridentifikasi dapat dipahami, dipecahkan atau diterima sebagai bagian dari siklus pengelolaan risiko informasi.
Berikut adalah komponen kunci dari penilaian keamanan informasi yang efektif. Letakkan politik dan ego ke samping dan pastikan semua area ini dipertimbangkan dan dapatkan perhatian yang pantas mereka dapatkan:
Baca Juga : Manfaat Menggunakan Bisnis Model Canvas Dan Penggunaan nya
Bagaimana Cara Mengukur keamanan informasi pada prakteknya
#1. Dukungan Manajemen: Tidak ada program penilaian keamanan informasi yang bagus yang pernah ada di lapangan atau berhasil dalam jangka panjang tanpa dukungan manajemen. Sesederhana itu.#2. Ruang Lingkup: Hal ini merupakan fase terpenting dari penilaian keamanan informasi yang solid. Ada banyak contoh di mana sistem, aplikasi dan bahkan seluruh lingkungan jaringan tidak disertakan dalam pengujian keamanan. Alasannya hampir selalu sama:
tetapi anda harus memastikan semua sistem penting anda dilihat - semakin cepat semakin baik, daripada nanti Akhirnya, anda perlu melihat seluruh lingkungan anda karena yang tampaknya sistem yang jinak, segmen jaringan atau proses keamanan akan menyebabkan semua menjadi berantakan. Pastikan untuk mempertimbangkan sistem eksternal, sistem internal dan sistem yang diselenggarakan oleh pihak ketiga di cloud - termasuk situs web pemasaran anda.
Selain itu, pengujian keamanan terotentikasi dari kedua sistem operasi dan aplikasi web merupakan kebutuhan mutlak. Pastikan semuanya adalah permainan yang adil untuk pengujian - termasuk orang, proses dan sistem keamanan fisik anda.
#3. Pengujian: Mulai dengan scan kerentanan, saring dari temuan scanner, lakukan analisis manual dan lihat apa yang rentan diserang dalam konteks lingkungan dan bisnis anda. Pada tingkat tinggi, memang benar-benar sesederhana itu.
#4. Pelaporan: Laporan PDF setebal 500 halaman dari hasil scan kerentanan tidak akan menolong. Laporan penilaian keamanan yang jelas dan ringkas yang menguraikan prioritas, temuan dan rekomendasi akal sehat adalah apa yang dibutuhkan.
Kami tidak menyukai pendekatan umum dari organisasi yang membabi buta mengikuti prioritas vendor untuk kerentanan. Contoh dari hal ini adalah scanner kerentanan, sering mengikuti Common Scanner System atau peringkat serupa, memberikan penilaian yang parah terhadap Simple Network Management Protocol yang diaktifkan dengan string komunitas default pada printer jaringan yang tidak berbahaya. Jika temuan tersebut dianggap berat, lalu apa kata sandi firewall yang lemah,
injeksi SQL pada aplikasi core web, atau patch yang hilang yang dapat dieksploitasi dari jarak jauh pada server critical? Ini semua tentang konteks dan akal sehat. Jenis penilaian keamanan informasi terburuk yang dapat anda lakukan adalah yang tidak memiliki laporan formal dan, oleh karena itu, masalah menjadi tidak terlihat dan tidak terselesaikan.
Baca Juga : Ethical Hacking FootPrinting ( Mengenal FootPrinting )
#5. Perbaikan: Jika Anda menemukan masalah, perbaiki. Sering terjadi laporan penilaian keamanan dan temuan spesifik yang dikandungnya tidak pernah di tindak lanjuti sama sekali - atau setidaknya sampai temuan tersebut dilaporkan dalam penilaian keamanan berikut.
Sebagai alternatif, anda mungkin mempertimbangkan untuk melakukan validasi remediasi terhadap temuan penting dan prioritas tinggi sebagai tindak lanjut dari penilaian keamanan anda, 30 sampai 45 hari setelah laporan tersebut disampaikan dan temuan telah diberikan.
#6. Pengawasan: Memastikan keamanan yang berkelanjutan antara penilaian keamanan anda akan memerlukan sesuatu yang sederhana seperti mengutak-atik sistem dan perangkat lunak yang ada, kemungkinan penerapan kontrol teknis baru dan perombakan langsung atas kebijakan dan proses anda.
Selanjutnya, manajemen harus terus dilibatkan. Banyak eksekutif berada sejajar dengan apa yang dibutuhkan, dalam hal kepatuhan dan kewajiban kontrak. Tidak masalah apakah mereka tertarik atau tidak. Jaga orang yang tepat dalam lingkaran dengan penilaian keamanan anda.
Ini tidak hanya menunjukkan pengembalian investasi mereka, ini penting untuk pembelian yang sedang berlangsung. Jika tidak, keamanan tidak terlihat dan tidak pada pikiran dan, oleh karena itu, bukan prioritas.
Intinya adalah setiap perusahaan memiliki informasi dan aset komputasi yang mungkin dilakukan oleh hacker jahat atau orang dalam yang jahat karena mendapat keuntungan, atau pengguna yang ceroboh dapat kehilangan atau merusaknya. Sangat bodoh untuk percaya bahwa anda dapat aman atau kebal terhadap risiko informasi yang tidak anda ketahui. Dan perusahaan tidak bisa hanya mengandalkan audit keamanan TI atau pengujian pena saja.
Mengabaikan penilaian keamanan bukanlah pilihan yang dapat dipertahankan untuk diteruskan selamanya. Selanjutnya, itu adalah masalah keamanan - dan berpotensi pada karir -- adalah bunuh diri untuk mengungkap risiko informasi yang akhirnya diabaikan.
Luangkan waktu yang diperlukan untuk merencanakan penilaian keamanan informasi anda dengan benar, memastikan pekerjaan selesai dan memastikan bahwa anggota staf yang tepat di bidang TI, pengembangan, manajemen dan tempat lain diberi tahu tentang temuan sehingga masalah dapat ditangani.
Baca Juga : Mengenal Distribusi Linux Menurut PengalamanSebagian besar profesional keamanan dan vendor ingin anda percaya, penilaian keamanan informasi bukanlah latihan yang sulit dan tidak harus mahal bahkan return of investment hampir bisa di garansi. Warren Buffett pernah berkata,
"Anda hanya perlu melakukan sedikit hal baik dalam hidup anda asalkan anda tidak melakukan terlalu banyak hal yang salah."
Program keamanan informasi anda akan menjadi cerminan dari apa yang anda tabur - atau gagal menabur - termasuk memiliki program untuk penilaian keamanan yang sedang berlangsung. Pastikan ini merupakan prioritas. Bahkan bila dilakukan secara berkala dan konsisten dari waktu ke waktu, penilaian ini bukanlah solusi sempurna untuk semua kesulitan keamanan anda. Namun, anda dapat yakin bahwa jika anda memilih untuk mengabaikan latihan penting ini, sejarah pastinya akan mengulanginya sendiri.
Belum ada Komentar untuk "Mengukur Risiko Keamanan Data Dan Informasi"
Posting Komentar