Sistem IT berbasis cloud memenuhi fungsi-fungsi penting di hampir setiap industri modern. Perusahaan, nirlaba, pemerintah, dan bahkan lembaga pendidikan menggunakan cloud untuk memperluas jangkauan pasar, menganalisis kinerja, mengelola sumber daya manusia dan menawarkan layanan yang lebih baik. Secara alami, tata kelola keamanan cloud yang efektif sangat penting untuk setiap entitas yang ingin mendapatkan manfaat dari TI yang didistribusikan.
Seperti setiap domain TI, komputasi awan memiliki masalah keamanan yang unik. Meskipun gagasan menjaga data tetap aman di cloud telah lama dianggap sebagai kontradiksi yang mustahil, praktik industri yang luas mengungkapkan banyak teknik yang memberikan keamanan cloud yang efektif. Sebagaimana yang ditunjukkan oleh penyedia cloud komersial seperti Amazon AWS dengan mempertahankan kepatuhan FedRAMP, keamanan cloud yang efektif dapat dicapai dan praktis di dunia nyata.
$config[code] not foundMemetakan Peta Jalan Keamanan yang Berdampak
Tidak ada proyek keamanan TI yang dapat berfungsi tanpa rencana yang solid. Praktik-praktik yang melibatkan cloud harus bervariasi sesuai dengan domain dan implementasi yang ingin mereka lindungi.
Misalnya, anggaplah lembaga pemerintah setempat mengeluarkan kebijakan sendiri, atau kebijakan BYOD. Mungkin harus melakukan kontrol pengawasan yang berbeda dari yang seharusnya jika itu hanya menghalangi karyawannya mengakses jaringan organisasi menggunakan smartphone, laptop dan tablet pribadi mereka. Demikian juga, perusahaan yang ingin membuat datanya lebih mudah diakses oleh pengguna yang berwenang dengan menyimpannya di cloud mungkin perlu mengambil langkah-langkah yang berbeda untuk memantau akses daripada jika itu mempertahankan database sendiri dan server fisik.
Ini bukan untuk mengatakan, seperti yang telah disarankan oleh beberapa orang, bahwa menjaga keamanan cloud dengan sukses lebih kecil kemungkinannya daripada menjaga keamanan pada LAN pribadi. Pengalaman telah menunjukkan bahwa kemanjuran langkah-langkah keamanan cloud yang berbeda tergantung pada seberapa baik mereka mematuhi metodologi terbukti tertentu. Untuk produk dan layanan cloud yang menggunakan data dan aset pemerintah, praktik terbaik ini didefinisikan sebagai bagian dari Program Manajemen Risiko dan Otorisasi Federal, atau FedRAMP.
Apa Program Manajemen Risiko dan Otorisasi Federal?
Program Manajemen Risiko dan Otorisasi Federal adalah proses resmi yang digunakan lembaga federal untuk menilai kemanjuran layanan dan produk komputasi awan. Pada intinya terletak standar yang ditetapkan oleh Institut Nasional untuk Standar dan Teknologi, atau NIST, dalam berbagai Publikasi Khusus, atau SP, dan Standar Pemrosesan Informasi Federal, atau FIPS, dokumen. Standar-standar ini fokus pada perlindungan berbasis cloud yang efektif.
Program ini menyediakan panduan untuk banyak tugas keamanan cloud umum. Ini termasuk penanganan insiden dengan benar, menggunakan teknik forensik untuk menyelidiki pelanggaran, merencanakan kontinjensi untuk menjaga ketersediaan sumber daya dan mengelola risiko. Program ini juga mencakup protokol akreditasi untuk Organisasi Akreditasi Pihak Ketiga, atau 3PAO, yang menilai implementasi cloud berdasarkan kasus per kasus. Mempertahankan kepatuhan bersertifikasi 3PAO adalah tanda pasti bahwa integrator atau penyedia TI dipersiapkan untuk menjaga keamanan informasi di cloud.
Praktek Keamanan yang Efektif
Jadi, bagaimana perusahaan menjaga data tetap aman dengan penyedia cloud komersial? Meskipun ada teknik penting yang tak terhitung jumlahnya, beberapa layak disebutkan di sini:
Verifikasi Penyedia
Hubungan kerja yang kuat dibangun atas dasar kepercayaan, tetapi itikad baik harus berasal dari suatu tempat. Tidak peduli seberapa mapan penyedia cloud, penting bagi pengguna untuk mengesahkan kepatuhan dan praktik tata kelola mereka.
Standar keamanan TI pemerintah biasanya memasukkan strategi audit dan penilaian. Memeriksa kinerja masa lalu penyedia cloud Anda adalah cara yang baik untuk mengetahui apakah mereka layak untuk bisnis Anda di masa depan. Individu yang memegang alamat email.gov dan.mil juga dapat mengakses Paket Keamanan FedRAMP yang terkait dengan penyedia yang berbeda untuk menguatkan klaim kepatuhan mereka.
Asumsikan Peran Proaktif
Meskipun layanan seperti Amazon AWS dan Microsoft Azure menyatakan kepatuhan mereka terhadap standar yang ditetapkan, keamanan cloud yang komprehensif membutuhkan lebih dari satu pihak. Tergantung pada paket layanan cloud yang Anda beli, Anda mungkin harus mengarahkan implementasi fitur-fitur kunci tertentu dari penyedia Anda atau memberi tahu mereka bahwa mereka harus mengikuti prosedur keamanan tertentu.
Misalnya, jika Anda produsen perangkat medis, undang-undang seperti Portabilitas dan Akuntabilitas Asuransi Kesehatan, atau HIPAA, mungkin mengamanatkan Anda mengambil langkah-langkah tambahan untuk melindungi data kesehatan konsumen. Persyaratan ini seringkali ada secara independen dari apa yang harus dilakukan penyedia Anda untuk mempertahankan sertifikasi Program Manajemen Risiko dan Otoritas Federal mereka.
Minimal, Anda hanya akan bertanggung jawab untuk menjaga praktik keamanan yang mencakup interaksi organisasi Anda dengan sistem cloud. Misalnya, Anda perlu melembagakan kebijakan kata sandi aman untuk staf dan klien Anda. Menjatuhkan bola di pihak Anda dapat membahayakan bahkan implementasi keamanan cloud yang paling efektif, jadi tanggung jawablah sekarang.
Apa yang Anda lakukan dengan layanan cloud Anda pada akhirnya berdampak pada kemanjuran fitur keamanan mereka. Karyawan Anda dapat terlibat dalam praktik TI bayangan, seperti berbagi dokumen melalui Skype atau Gmail, untuk alasan kenyamanan, tetapi tindakan yang tampaknya tidak berbahaya ini dapat menghambat rencana perlindungan cloud yang Anda buat dengan cermat. Selain melatih staf cara menggunakan layanan resmi dengan benar, Anda perlu mengajari mereka cara menghindari jebakan yang melibatkan aliran data tidak resmi.
Memahami Ketentuan Layanan Cloud Anda untuk Mengontrol Risiko
Hosting data Anda di cloud tidak selalu memberi Anda tunjangan yang sama dengan yang Anda miliki secara inheren dengan penyimpanan sendiri. Beberapa penyedia memiliki hak untuk menjaring konten Anda sehingga mereka dapat menayangkan iklan atau menganalisis penggunaan produk mereka oleh Anda. Orang lain mungkin perlu mengakses informasi Anda dalam rangka memberikan dukungan teknis.
Dalam beberapa kasus, paparan data bukan masalah besar. Namun, saat Anda berurusan dengan informasi konsumen atau data pembayaran yang dapat diidentifikasi secara pribadi, mudah untuk melihat bagaimana akses pihak ketiga dapat memicu bencana.
Mungkin mustahil untuk sepenuhnya mencegah semua akses ke sistem atau basis data jauh. Meskipun demikian, bekerja dengan penyedia yang merilis catatan audit dan log akses-sistem membuat Anda tetap tahu tentang apakah data Anda dikelola dengan aman. Pengetahuan semacam itu sangat membantu entitas untuk mengurangi dampak negatif dari pelanggaran yang terjadi.
Jangan Menganggap Keamanan sebagai Urusan Satu Kali
Kebanyakan orang cerdas mengubah kata sandi pribadi mereka secara teratur. Bukankah Anda harus rajin tentang keamanan IT berbasis cloud?
Terlepas dari seberapa sering strategi kepatuhan penyedia Anda menentukan mereka melakukan audit sendiri, Anda perlu mendefinisikan atau mengadopsi serangkaian standar Anda sendiri untuk penilaian rutin. Jika Anda juga terikat oleh persyaratan kepatuhan, Anda harus menerapkan rejimen ketat yang memastikan Anda dapat memenuhi kewajiban Anda, bahkan jika penyedia cloud Anda gagal melakukannya secara konsisten.
Menciptakan Implementasi Keamanan Cloud yang Berfungsi
Keamanan cloud yang efektif bukan kota mistis yang terletak selamanya di luar cakrawala. Sebagai proses yang mapan, ia berada dalam jangkauan sebagian besar pengguna dan penyedia layanan TI tidak peduli standar apa yang mereka patuhi.
Dengan mengadaptasi praktik yang diuraikan dalam artikel ini dengan tujuan Anda, dimungkinkan untuk mencapai dan mempertahankan standar keamanan yang menjaga data Anda aman tanpa secara drastis meningkatkan overhead operasional.
Gambar: SpinSys
1 Komentar ▼
