Di bidang keamanan TI, kita harus memperhatikan segalanya. Masalah apa pun, sekecil apa pun, dapat menjadi sarana eksekusi kode jarak jauh atau, paling tidak, titik awal bagi pelaku ancaman untuk hidup dan menggunakan alatnya untuk melawan kita. Tidak mengherankan jika staf keamanan TI menghadapi kelelahan dan stres. Berdasarkan penelitian oleh Enterprise Strategy Group dan ISSA, sekitar separuh profesional keamanan TI memperkirakan mereka akan meninggalkan pekerjaannya saat ini dalam 12 bulan ke depan.
Tim keamanan bertanggung jawab secara profesional — dan sekarang, untuk kepala petugas keamanan informasi (CISO), bertanggung jawab secara pribadi — demi keamanan organisasi mereka. Namun di bidang TI dan teknologi lainnya, terdapat pola pikir yang sangat berbeda. Dari mantra Mark Zuckerberg “bergerak cepat dan memecahkan banyak hal” sampai ke Eric Ries' Lean Startup dan model produk minimum yang layak (MVP), pemikiran dalam bidang ini adalah bergerak cepat namun juga menghasilkan produk secukupnya sehingga organisasi dapat bergerak maju dan berkembang.
Saat ini, tim keamanan TI tidak dapat menerima model ini. Ada terlalu banyak peraturan untuk dipertimbangkan. Namun apa yang dapat kita pelajari dari latihan mental seputar kepatuhan minimum yang layak (MVC), dan bagaimana kita dapat menggunakan informasi tersebut untuk membantu pendekatan kita?
Apa yang Akan Dilibatkan MVC?
MVC melibatkan menutupi apa yang dibutuhkan agar aman secara efektif. Untuk mencapai hal ini, Anda harus memahami apa yang Anda miliki dan apa yang penting untuk dijaga agar tetap aman, dan peraturan atau regulasi apa yang harus Anda tunjukkan bahwa Anda patuhi.
Untuk manajemen aset, idealnya Anda harus mengetahui seluruh aset yang telah Anda pasang. Tanpa tingkat pengawasan seperti itu, bagaimana Anda bisa menyebut diri Anda aman? Untuk pendekatan MVC, apakah Anda memerlukan wawasan 100% tentang apa yang Anda miliki?
Pada kenyataannya, proyek manajemen aset seperti database manajemen konfigurasi (CMDB) bertujuan untuk menyediakan visibilitas penuh ke dalam aset TI, namun tidak pernah 100% akurat. Di masa lalu, keakuratan aset berkisar antara 70% hingga 80%, dan bahkan penerapan terbaik saat ini tidak mampu mencapai visibilitas penuh dan mempertahankannya. Jadi, haruskah kita membelanjakan anggaran MVC untuk area ini? Ya, tapi tidak seperti yang biasa kita pikirkan.
Salah satu deputi CISO mengatakan kepada saya bahwa dia memahami cita-cita cakupan penuh, namun hal itu tidak mungkin; sebaliknya, ia peduli terhadap visibilitas penuh dan berkelanjutan terhadap infrastruktur penting organisasi — sekitar 2.5% dari total aset — sementara beban kerja lainnya dilacak sesering mungkin. Jadi, meskipun visibilitas masih merupakan elemen penting dalam program keamanan TI, upaya tersebut harus dilakukan terlebih dahulu untuk melindungi aset dengan risiko paling tinggi. Namun, ini adalah tujuan jangka pendek, karena Anda hanya perlu melakukan satu pengungkapan kerentanan agar aset berisiko rendah menjadi aset berisiko tinggi. Saat menjalani proses ini, jangan mencampuradukkan kepatuhan dengan keamanan — keduanya bukanlah hal yang sama. Bisnis yang patuh mungkin bukan bisnis yang aman.
Perencanaan Regulasi
Sebagai bagian dari MVC, kami harus memikirkan peraturan dan cara mematuhinya. Tantangan bagi tim keamanan adalah bagaimana berpikir ke depan mengenai peraturan ini. Pendekatan umumnya adalah dengan memasukkan undang-undang tersebut, kemudian melihat penerapannya pada aplikasi kita, dan kemudian membuat perubahan pada sistem sesuai kebutuhan. Namun, hal ini bisa menjadi pendekatan stop-start yang melibatkan perubahan – dan karenanya memerlukan biaya – setiap kali peraturan baru diberlakukan atau terjadi perubahan signifikan.
Bagaimana kami dapat membuat proses ini lebih mudah bagi tim kami? Daripada melihat setiap peraturan secara terpisah, dapatkah kita melihat kesamaan dari peraturan yang berlaku, dan kemudian menggunakannya untuk mengurangi jumlah pekerjaan yang diperlukan untuk mematuhi semua peraturan tersebut? Daripada melakukan latihan besar-besaran untuk membuat sistem patuh, apa yang bisa kita keluarkan atau gunakan sebagai layanan untuk menyediakan infrastruktur dengan cara yang aman? Demikian pula, bisakah kita menggunakan praktik terbaik yang umum seperti kontrol cloud untuk menghilangkan seluruh rangkaian masalah, daripada melihat setiap masalah satu per satu?
Inti dari pendekatan ini adalah kami harus mengurangi biaya tambahan terkait keamanan dan berkonsentrasi pada risiko terbesar bagi bisnis kami. Daripada memikirkan teknologi tertentu, kita dapat melihat permasalahan ini sebagai persoalan proses dan sumber daya manusia, karena peraturan akan selalu berkembang dan berubah seiring dengan perkembangan pasar. Mengambil pola pikir ini membuat perencanaan keamanan menjadi lebih mudah, karena tidak terjebak pada beberapa detail yang dapat mengganggu tim kami ketika proses telah dibangun untuk melihat CVE dan data ancaman dibandingkan dengan risiko praktis seputar apa yang sebenarnya menjadi masalah.
Gagasan untuk melakukan upaya minimum yang diperlukan untuk memenuhi permintaan pasar atau meloloskan serangkaian peraturan mungkin menarik jika dilihat sekilas. Namun pola pikir MVP bukan hanya tentang mencapai level tertentu dan kemudian menetap di sana. Sebaliknya, yang terpenting adalah mencapai standar minimum tersebut dan kemudian mengulanginya secepat mungkin untuk memperbaiki situasi lebih lanjut. Bagi tim keamanan, pola pikir perbaikan berkelanjutan dan mencari cara untuk mengurangi risiko dapat menjadi alternatif yang berguna dibandingkan model keamanan TI tradisional. Dengan berfokus pada perbaikan apa yang memiliki dampak risiko paling besar dalam jangka waktu sesingkat-singkatnya, Anda dapat meningkatkan efektivitas dan mengurangi risiko secara umum.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why