Perlukah Mengukur Sendiri Keamanan Informasi di Organisasi?

Info Komputer - - Enterprise -

Informasi perusahaan harus dilindungi, tidak boleh beredar kepada pihak yang tidak berhak. Terlebih informasi yang sensitif harus dilindungi dan diselamatkan dari tangantangan jahat, baik dari pihak eksternal maupun internal. D i edisi ini, penulis akan melanjutkan topik bahasan mengenai mengukur sendiri celah keamanan informasi perusahaan yang terkenal dengan sebutan VA ( vulnerability assessment).

Untuk mendapatkan hasil VA maksimal, diperlukan pemahaman organisasi terhadap proses-proses yang kritis dan infrastruktur utama. Tujuannya, mendapat hasil laporan VA yang maksimal. Nah, berikut ini adalah tahap pekerjaan VA yang efektif:

1 Identifikasi dan pahami proses bisnis perusahaan Anda

Untuk mendukung bisnis, langkah pertama adalah melakukan identifikasi dan memahami proses bisnis perusahaan Anda. Fokuslah kepada infrastruktur yang sensitif dan kritis yang berorientasi kepada compliance,

customer privace dan competitive position. Di dalam organisasi, diperlukan kolaborasi yang efektif antara TI dengan perwakilan unit-unit bisnis, departemen keuangan, dan bagian legal.

2 Tentukan aplikasi dan data yang mendasari proses bisnis

Hal ini dapat dicapai bila ada kolaborasi yang efektif antara orang-orang TI dengan para pelaku bisnis dalam perusahaan tersebut. Dengan diskusi kolaboratif yang luas, akan dapat ditemukan aplikasi yang lebih penting dari yang diharapkan, misalkan e-mail. Mungkin bagi salah satu departemen, ini merupakan hal yang sangat penting. Tetapi bagi departemen lainnya, ini bukan merupakan hal yang penting.

3 Menemukan sumber data yang tersembunyi

Saat mencari aplikasi dan sumber data, pastikan juga menyentuh ke account peralatan mobile seperti smartphone dan tablet serta PC desktop. Secara

kolektif, peralatan ini mengandung hal-hal yang baru, baik aplikasi maupun data sehingga perlu dipikirkan data sensitif perusahaan Anda yang termuat di dalamnya. Bekerjalah dalam unit-unit bisnis tersebut untuk dapat mengerti siapa-siapa saja yang menggunakan peralatan mobile untuk mengakses, melakukan sharing aplikasi dan data korporat. Harus dipahami juga aliran data antara peralatan dan aplikasi data center termasuk penyimpanannya.

4 Tentukan hardware yang digunakan untuk mendasari aplikasi dan data perusahaan

Melanjutkan pekerjaan ke layer infrastruktur dengan melakukan identifikasi server baik virtual dan

physical, jalankan aplikasi mission critical untuk menguji hal ini. Untuk aplikasi web/database, Anda perlu memikirkan tiga hal yakni web, aplikasi dan database. Identifikasi secara detail peralatan penyimpan data dan data-data sensitif yang telah digunakan oleh aplikasi tersebut.

Sering kali, para engineer TI dan sistem jaringan tidak sinkron dengan para supplier peralatan

hardware yang digunakan. Segera deteksi vulnerability di antara peralatan hardware dan sistem jaringan yang baru. Tujuannya, agar

vulnerability sekecil apa pun dapat segera ditutup.

5 Petakan infrastruktur jaringan yang terhubung ke beberapa hardware

Memahami koneksi dari router (dan peralatan jaringan yang lain termasuk aplikasi dan hardware yang ada di dalamnya) akan meningkatkan security

performance institusi tersebut. Peta infrastruktur jaringan sangat diperlukan untuk mendeteksi dan menelusuri IP-IP mana saja yang terhubung dengan jaringan dan database. Bila peta jaringan tidak diketahui padahal jumlah IP address- nya sudah ribuan, akan sangat sulit menutup vulnerability yang ada. Makin jauh dari data center, ini adalah the weakest link dari sebuah rantai. Ini akan membuat, penyusup ( intruder) akan masuk dari rantai jaringan yang paling lemah.

6 Identifikasi setiap control yang siap di dalam tempatnya

Sebagai catatan, security dan business continuity akan mengukur kesiapan Anda pada tempatnya seperti kebijakan keamanan, firewall, firewall aplikasi, IDS/IPS intruder detection/ protection system, VPN, data lost

prevention, dan encryption. Tujuannya, memproteksi sejumlah server dan peralatan storage yang akan menjadi hal-hal kritis terhadap aplikasi dan data. Harus dipahami kemampuan utama dari setiap proteksi vulnerability yang dilindungi secara efektif. Berbagai hal juga akan memengaruhi hasil VA. Menambah scanning web site dan

review yang dilakukan sebelumnya akan menjadi topik laporan khusus kepada

representative corporate (eksekutif keamanan) tersebut.

7 Jalankan vulnerability scanner tools

Langkah ini dapat dijalankan, hanya bila Anda mengerti dan melakukan pemetaan terhadap aplikasi dan aliran data Anda. Ini didasari oleh hardware dan infrastruktur termasuk proteksi. Hal ini akan sangat membantu menjalankan vulnerability scan yang dilakukan. Karena begitu banyak vulnerability scanner tools di internet, pandai-pandailah dalam memilih salah satunya. Pasalnya aneka tool ini menghasilkan laporan vulnerability yang berbeda antara satu dengan lainnya.

Sebaiknya lakukan VA sebanyak minimal tiga tool. Tujuannya, agar vulnerability di aplikasi yang satu dengan yang lain saling terlihat. Ini akan mempermudah Anda menyajikan laporan VA ke representative corporat.

8 Aplikasikan hasil scan VA di bisnis dan teknologi yang ada di dalamnya

Hasil dan score pengujian berdasarkan pengujian yang objektif. Yang penting adalah pengujian ini berhubungan dengan konteks bisnis dan infrastruktur organisasi tersebut. Pengujian terhadap informasi yang mengalir akan berdampak kepada risiko bisnis karena data yang

vulnerability, kompleks, dan sulit. Setelah melakukan evaluasi tingkat pengetahuan dan beban pekerjaan staf Anda, perlu ditentukan aspek mana saja yang akan membantu perusahaan dalam hal proteksi keamanan dan ancaman.

Hasil yang telah didapat selama pengujian akan menjadi bantuan yang sangat berharga dalam pengambilan keputusan untuk melakukan analisis yang lebih dalam tentang vulnerability insfrastruktur host dan jaringan termasuk aplikasi. Hal ini merupakan target utama dalam pembenahan agresif di sistem keamanan perusahaan.

(Bersambung)

Newspapers in Indonesian

Newspapers from Indonesia

© PressReader. All rights reserved.