Pentingnya Manajemen Identitas

Di bulan January 2019, Regulator data di Perancis mengenakan sanksi denda ke Google sejumlah enam puluh (60) juta dollar, denda terbesar yang di putuskan oleh agensi di Eropa dan kasus pertama yang memakan korban dari penerapan regulasi di eropa mengenai proteksi data – General Data Protection Regulation (GDPR). Dan sepertinya bukan menjadi yang terakhir, seiring di pemerintahan dan banyak individual yang menghendaki keamanan data yang lebih kuat dan kebijakan privasi.

Gambar 1: Ruang lingkup GDPR

Di suatu survey Forbes terhadap dua ratus (200) senior eksekutif yang membidangi teknologi, delapan puluh lima (85) persen mengemukakan bahwa GPDR akan memberikan dampak terhadap organisasi mereka. Pemimpin bisnis dan bagian keamanan sekarang diharuskan untuk mengikuti daftar panjang yang telah ditetapkan aturan pemerintahan dan industri yang bertujuan untuk keamanan data dan privasi yang lebih ketat. Yang menjadi sumber isu ini adalah mengenai manajemen data dan prioritas utama lainnya adalah mengenai identitas dan akses: dengan memiliki daftar inventory  dan kemampuan menganalisa hak akses secara real-time semua pengguna akses informasi di perusahaan, dan dengan pemahaman mengenai siapa yang memiliki ke suatu data, aplikasi dan sistem, kapan dan alasan pengguna tersebut diberikan suatu akses.

Tantangan: Ancaman Dan Kepatuhan

Chief Information and Security Officer (CISO) dan para pemimpin Teknologi Informasi (TI) lainnya menghadapi lebih dari medan ancaman canggih yang ditimbulkan oleh transformasi digital: Kecerdasan buatan atau Artificial Intelligent (AI) yang kuat sekarang dapat dipersenjatai; tenaga kerja semakin mobile, mengakses data, aplikasi dan sistem dari mana saja, kapan saja; dan Internet of Things (IoT) berkembang. Dari sudut pandang kepatuhan juga memiliki tantangan yang sama, tantangan yang tidak sepenuhnya dipahami oleh beberapa pemimpin. Faktanya, survei Forbes Insights menemukan bahwa hanya tiga puluh dua (32) % eksekutif yang disurvei melihat keamanan dan kepatuhan menjadi satu kesatuan — dan hampir lima puluh (50) % melihatnya (secara keliru) sebagai masalah yang terpisah.

Gambar 2: Penggunaan AI yang merebak

Akan tetapi, keamanan dan kepatuhan bukanlah masalah yang terpisah. Tata kelola identitas telah muncul dari bayang-bayang untuk menjadi penggerak utama dua keharusan ini karena alasan yang sangat baik. Dalam dunia IoT, dengan tenaga kerja yang tersebar, batasan di sekitar perusahaan menjadi tipis. Pendekatannya adalah nol kepercayaan — dengan kata lain, jangan membuat asumsi tentang integritas organisasi di antara semua pekerja, mitra, dan pemangku kepentingan lainnya. Profesional keamanan sekarang sangat menyadari bahwa mayoritas pelanggaran berasal dari kegagalan hak istimewa atau penyalahgunaan dalam organisasi, tetapi menantang bagi mereka untuk memastikan bahwa pekerja dan pengguna lain memiliki tingkat akses yang sejalan dengan kebijakan bisnis dan kepatuhan.

Gambar 3. People, Access and Data

Peraturan yang sudah ada seputar integritas data dan privasi dimaksudkan untuk mencegah pelanggaran dan perilaku yang dapat melanggar privasi konsumen atau mengurangi integritas aset informasi. Untuk alasan itu saja, perusahaan harus mengamankan lingkungan identitas digital dengan puluhan atau ratusan ribu peran akses atau Roles. CISO dalam layanan keuangan atau layanan kesehatan, misalnya, berfokus pada peraturan seperti SOX (Sarbanes-Oxley) dan HIPAA (Asuransi Portabilitas dan Akuntabilitas Act), masing-masing. Konsekuensi dari tidak mengelola akses pengguna yang memadai meningkatkan risiko jauh melampaui pelanggaran; mereka termasuk sabotase, penipuan, pelanggaran kepatuhan yang mahal dan audit yang gagal.

Gambar 4. Program SOX

Gambar 5. Fakta mengenai HIPAA

Namun, hanya 33% eksekutif yang disurvei menyadari bahwa solusi tata kelola identitas memberikan bukti kepatuhan bagi regulator. Kenyataannya adalah ini: Perusahaan yang memiliki program identitas yang kuat dengan ekstensi akan mendapatkan kendali atas medan peraturan yang kompleks di bawah kaki mereka. Tapi bagaimana caranya?

Solusinya: Visibilitas Dan Keseimbangan

Mengetahui dan mengendalikan setiap saat yang memiliki akses ke informasi apa — dan kapan serta mengapa mereka mengakses data — adalah jenis transparansi dan manajemen risiko yang diperlukan organisasi untuk melindungi diri mereka sendiri dan tetap patuh. Semuanya melihat dan berkelanjutan, artinya ini bukan solusi paruh waktu atau paruh waktu; itu terintegrasi di seluruh bisnis dan “selalu aktif.”

Gambar 6. Autentikasi

Bagaimana mencapai kepatuhan berkelanjutan? Mulailah dengan penilaian kondisi kesiapan saat ini. Daftarkan semua pengguna dan akses informasi ke dalam satu repositori (atau data lake) dan sisipkan data untuk melihat apa yang akurat. Atasi ketidakkonsistenan di semua sumber data identitas untuk mendapatkan gambaran penuh, seluruh perusahaan dari lingkungan akses perusahaan. Perusahaan/ organisasi sekarang memiliki dasar untuk mengeliminasi hak akses yang tidak akurat atau tidak sesuai dan melanjutkan sertifikasi, penegakan, dan penyediaan dan penghapusan penyediaan pengguna. Perusahaan/ organisasi mendapatkan kendali atas akses.

Gambar 7. Otorisasi

Selanjutnya, buat model kebijakan identitas dari kebijakan akses yang ditetapkan, peran dan parameter risiko (untuk memperkuat deteksi dan kontrol pencegahan) sehingga mencerminkan persyaratan bisnis dan peraturan yang dihadapi organisasi. Setelah membangun model, selanjutnya dapat mengotomatiskan proses untuk mendeteksi ancaman atau anomali — dan melakukan ulasan akses yang dipicu oleh peristiwa, seperti perubahan posisi atau manajer. Sekarang organisasi dapat memindai data identitas, menganalisisnya, dan mendeteksi masalah apa pun. Lingkungan yang kompleks menjadi efisien, memungkinkan para pemimpin keamanan untuk melihat dengan jelas potensi risiko — dan bertindak. Organisasi memegang kendali penuh.

Gambar 8. Manajemen Akses

Terlalu banyak organisasi yang fokus pada deteksi dengan mencari-cari masalah ketidakpatuhan, kemudian memperbaikinya. Pendekatan terbaik adalah pendekatan yang seimbang yang mencakup kontrol pencegahan yang menjaga pelanggaran kepatuhan agar tidak merembes ke lingkungan. Kombinasi tersebut memungkinkan perusahaan untuk mencapai kondisi yang sepenuhnya patuh dan tetap di sana.

Menjadi Satu: Manfaat Keamanan Dan Kepatuhan

Visibilitas dan kontrol datang dari melihat dengan jelas ke dalam arena keamanan yang kompleks dan mengantisipasi apa yang akan terjadi. Tetapi organisasi/ perusahaan harus dapat mengulangi proses pendeteksian dan pencegahan — dan resolusi —. Itulah arti kepatuhan berkelanjutan. Organisasi yang dapat menandai masalah dengan cepat, dalam proses otomatis, dan segera memperbaiki masalah dengan cara yang terdokumentasi dan dilaporkan akan mendapat manfaat. Ya, organisasi akan menghindari denda dan penalti jutaan dolar, tetapi juga akan meningkatkan efisiensi dengan mengganti proses manual dan menambahkan swalayan yang memungkinkan para manajer dan pengguna akhir melakukan perubahan dengan cepat. Keamanan dan kepatuhan menjadi satu.

 

References

Office for Civil Rights (OCR). (2017, February 01). Your Rights Under HIPAA. Diambil kembali dari US Department of Health and Human Services: https://www.hhs.gov/hipaa/for-individuals/guidance-materials-for-consumers/index.html

Rouse, M. (2018, May). Sarbanes-Oxley Act (SOX). Diambil kembali dari TechTarget: https://searchcio.techtarget.com/definition/Sarbanes-Oxley-Act

The Compliance Connection: The Role Of Identity Governance. (2019, April 03). Diambil kembali dari Sailpoint Blog: https://www.sailpoint.com/blog/compliance-connection-identity-governance/?elqct=Website&elqchannel=OrganicDirect

The Compliance Connection: The Role Of Identity Governance. (2019, February 05). Diambil kembali dari Forbes Insight: https://www.forbes.com/sites/insights-sailpoint/2019/02/05/the-compliance-connection-the-role-of-identity-governance/#31c67bba6a46

 

 

Disajikan:

Hendri

 

Dikirimkan:

Antoni Wibowo

Antoni Wibowo