Tata kelola keamanan
Tata kelola keamanan menjembatani prioritas bisnis Anda dengan implementasi teknis seperti arsitektur, standar, dan kebijakan. Tim tata kelola memberikan pengawasan dan pemantauan untuk mempertahankan dan meningkatkan postur keamanan dari waktu ke waktu. Tim-tim ini juga melaporkan kepatuhan seperti yang dipersyaratkan oleh badan pengatur.
Tujuan dan risiko bisnis memberikan arah terbaik untuk keamanan. Arah ini memastikan bahwa keamanan memfokuskan upaya mereka pada hal-hal penting bagi organisasi. Ini juga menginformasikan pemilik risiko menggunakan bahasa dan proses yang sudah dikenal dalam kerangka kerja manajemen risiko.
Untuk mempelajari selengkapnya tentang tata kelola keamanan, watch video berikut.
Kepatuhan dan pelaporan
Kepatuhan dan pelaporan persyaratan keamanan eksternal, dan kadang-kadang kebijakan internal, adalah elemen dasar yang diperlukan untuk beroperasi di industri tertentu. Persyaratan wajib sama halnya seperti memberi makan beruang di kebun binatang. Jika Anda tidak memberi makan beruang setiap hari, beruang itu mungkin memakan Anda.
Arsitektur dan standar
Arsitektur, standar, dan kebijakan memberikan terjemahan penting dari persyaratan bisnis dan risiko ke dalam lingkungan teknis. Sebaiknya memiliki tampilan terpadu di seluruh properti perusahaan Anda alih-alih memisahkan cloud versus lokal. Penyerang tidak peduli dengan proses internal Anda dan mengikuti jalur yang paling rentan guna mencapai tujuan mereka. Termasuk bergerak secara lateral antara cloud dan lingkungan lokal. Sebagian besar perusahaan saat ini adalah lingkungan hibrid yang mencakup:
- Lokal: Termasuk beberapa generasi teknologi dan sering kali sejumlah besar perangkat lunak dan perangkat keras warisan. Teknologi ini terkadang mencakup teknologi operasional yang mengendalikan sistem fisik dengan potensi dampak kehidupan atau keselamatan.
- Cloud: Biasanya mencakup beberapa penyedia untuk:
- Aplikasi perangkat lunak sebagai layanan (SaaS)
- Infrastrukture sebagai layanan (IaaS)
- Platform as a service (PaaS)
Manajemen postur keamanan
Harapan dan pelaporan masalah bukanlah sebuah rencana. Tata kelola di era cloud harus memiliki komponen aktif yang terus terlibat dengan tim lain. Manajemen postur keamanan adalah fungsi yang muncul. Ini merupakan langkah maju dalam konvergensi jangka panjang fungsi keamanan. Fungsi-fungsi ini menjawab pertanyaan "seberapa aman lingkungan?", termasuk pengelolaan kerentanan dan pelaporan kepatuhan keamanan.
Di dunia lokal, tata kelola keamanan mengikuti pola data yang bisa didapatnya tentang lingkungan. Cara mendapatkan data ini mungkin membutuhkan waktu dan selalu ketinggalan zaman. Teknologi cloud sekarang menyediakan visibilitas sesuai permintaan ke dalam postur keamanan dan cakupan aset saat ini. Visibilitas ini mendorong transformasi besar tata kelola menjadi organisasi yang lebih dinamis. Organisasi ini menyediakan hubungan yang lebih dekat dengan tim keamanan lainnya untuk memantau standar keamanan, memberikan panduan, dan meningkatkan proses.
Dalam keadaan idealnya, tata kelola adalah pusat dari peningkatan yang berkelanjutan. Peningkatan ini melibatkan seluruh organisasi Anda untuk terus meningkatkan postur keamanan.
Prinsip utama keberhasilan untuk tata kelola adalah:
- Penemuan aset dan jenis aset yang berkelanjutan: Inventaris statis tidak dimungkinkan dalam lingkungan cloud yang dinamis. Organisasi Anda harus fokus pada penemuan aset dan jenis aset yang berkelanjutan. Di cloud, jenis layanan baru ditambahkan secara teratur. Pemilik beban kerja secara dinamis memutar ke atas dan ke bawah contoh aplikasi dan layanan sesuai kebutuhan, menjadikan manajemen inventaris sebagai disiplin yang dinamis. Tim tata kelola perlu terus menemukan jenis dan instans aset untuk mengikuti laju perubahan ini.
- Peningkatan terus-menerus dari postur keamanan aset: Tim tata kelola harus fokus pada peningkatan standar, dan penegakan standar tersebut, untuk mengawasi cloud dan penyerang. Organisasi teknologi informasi (TI) harus bereaksi cepat terhadap ancaman baru dan beradaptasi sesuai dengan teknologi itu. Penyerang terus mengembangkan teknik mereka, pertahanan terus meningkat dan mungkin perlu diaktifkan. Anda tidak selalu bisa mendapatkan semua keamanan yang Anda butuhkan ke konfigurasi awal.
- Tata kelola berbasis kebijakan: Tata kelola ini memberikan eksekusi yang konsisten dengan memperbaiki sesuatu sekali, dalam kebijakan yang secara otomatis diterapkan dalam skala di seluruh sumber daya. Proses ini membatasi waktu dan upaya yang terbuang untuk tugas manual berulang. Ini sering diterapkan menggunakan Azure Policy atau kerangka kerja otomatisasi kebijakan pihak ketiga.
Untuk mempertahankan kelincahan, panduan praktik terbaik seringkali bersifat berulang. Panduan ini mencerna potongan-potongan kecil informasi dari berbagai sumber untuk menyusun keseluruhan informasi dan terus membuat penyesuaian kecil.
Disiplin tata kelola dan perlindungan
Disiplin perlindungan meliputi kontrol akses, perlindungan aset, dan keamanan inovasi. Tim tata kelola keamanan memberikan standar dan panduan untuk mendorong pelaksanaan praktik dan kontrol terbaik keamanan yang konsisten.
Dalam keadaan ideal, tim perlindungan menerapkan kontrol ini dan memberikan umpan balik tentang hal yang berhasil dilakukan, seperti tantangan dalam menerapkan kontrol. Tim kemudian bekerja sama untuk mengidentifikasi solusi terbaik.
Operasi tata kelola dan keamanan
Tata kelola keamanan dan operasi keamanan bekerja sama untuk memberikan visibilitas lengkap. Mereka memastikan bahwa pelajaran yang didapat dari kejadian di dunia nyata dapat diintegrasikan ke dalam arsitektur, standar, dan kebijakan.
Operasi tata kelola dan keamanan menyediakan jenis visibilitas yang saling melengkapi.
- Operasi keamanan memberikan wawasan tentang risiko langsung dari serangan aktif.
- Tata kelola keamanan memberikan pandangan adanya risiko yang luas atau panjang dari potensi serangan dan vektor serangan di masa depan.
Arsitek keamanan dalam fungsi tata kelola membantu mengidentifikasi pelajaran yang didapat dari insiden. Misalnya, akar penyebab insiden besar. Mereka menangkap pelajaran lalu menerapkannya ke dalam standar organisasi Anda untuk memastikan aplikasi yang konsisten di seluruh perusahaan.
Untuk informasi selengkapnya, lihat Integrasi keamanan.
Catatan
Beberapa organisasi menempatkan pemantauan postur keamanan dalam operasi keamanan. Kami sarankan untuk melakukan pemantauan ini dalam tata kelola. Penempatan ini menciptakan hubungan yang lebih baik dengan tim teknik dan operasi TI yang menerapkan standar. Hubungan ini sering menghasilkan komunikasi berkualitas lebih tinggi dan hasil keamanan yang lebih baik. Jika tidak, Anda memiliki tim tata kelola yang tidak pernah melihat dampak dunia nyata dari standar mereka.
Langkah berikutnya
Disiplin berikutnya adalah keamanan inovasi.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk