Kedengarannya sudah jelas, tetapi postur keamanan siber sebuah organisasi tidak bisa sedikit demi sedikit. Meskipun sebuah organisasi mungkin memperlakukan pengguna tertentu secara berbeda dari yang lain, dan meskipun mereka mungkin membutuhkan perlindungan tambahan untuk pengguna berisiko tinggi, program keamanan harus memperhitungkan setiap pengguna.
Memenuhi kebutuhan tersebut dapat menjadi semakin kompleks seiring dengan berkembangnya skala organisasi, karena para pemimpin TI harus mengevaluasi biaya solusi otentikasi multi-faktor (MFA) di samping perilaku pengguna sembari menciptakan kerangka kerja keamanan siber yang kuat.
Bagi banyak organisasi, perangkat seluler cenderung menjadi kompromi pragmatis yang menyeimbangkan keamanan, biaya, dan kenyamanan. Perangkat seluler ada di mana-mana dan mudah digunakan untuk memenuhi persyaratan autentikasi multi-faktor (MFA): 73% pengguna percaya bahwa ponsel pintar adalah metode yang paling nyaman untuk memenuhi MFA.
Sebagus-bagusnya autentikasi berbasis aplikasi seluler dalam menciptakan program keamanan di seluruh organisasi dan menyeimbangkan biaya, ini bukanlah obat mujarab yang bisa digunakan untuk semua orang setiap saat. Biaya autentikasi multi-faktor bervariasi tergantung pada jenis solusi dan strategi penerapannya.
Preferensi dan kemampuan pengguna
Dalam situasi tertentu, beberapa pengguna mungkin tidak dapat menggunakan perangkat seluler atau mengandalkan konektivitas seluler untuk mengautentikasi (bayangkan tentang ruang bersih manufaktur). Dalam kasus lain, karyawan mungkin tidak nyaman memasang aplikasi yang diwajibkan perusahaan pada perangkat pribadi mereka untuk memenuhi persyaratan keamanan.
Token perangkat keras
Kami melihat organisasi menggunakan dua jenis solusi untuk mengautentikasi para pengguna ini. Yang pertama adalah pengautentikasi perangkat keras yang menggunakan kode sandi sekali pakai (OTP). Pengautentikasi perangkat keras seperti DS100 adalah standar emas dalam autentikasi: mereka membantu organisasi menjadi tanpa kata sandi dengan menyatukan keunggulan kriptografi protokol FIDO2 dan manfaat keamanan OTP.
Solusi kedua adalah MFA tradisional seperti otentikasi berbasis SMS (yang mengirimkan OTP langsung ke perangkat pribadi pengguna) dan OTP suara.
Biaya pemeliharaan dan dukungan
Biaya pemeliharaan dan dukungan juga dapat menambah total biaya dari waktu ke waktu, terutama untuk solusi MFA berbasis seluler. Biaya ini sering kali mencakup pembaruan berkelanjutan untuk aplikasi seluler, memastikan kompatibilitas dengan sistem operasi terbaru, dan mengatasi kerentanan keamanan yang spesifik untuk platform seluler. Vendor juga dapat mengenakan biaya untuk memelihara layanan notifikasi push yang andal, memecahkan masalah khusus perangkat, atau menyediakan dukungan bagi pengguna dengan beragam perangkat seluler. Selain itu, organisasi mungkin perlu berinvestasi dalam pelatihan pengguna untuk menangani pembaruan aplikasi seluler dan memastikan integrasi yang mulus dengan ekosistem TI mereka. Seiring berjalannya waktu, faktor-faktor ini dapat secara signifikan mempengaruhi total biaya kepemilikan untuk implementasi MFA seluler.
SMS dan OTP suara memiliki kelemahan keamanan: SMS OTP tidak dienkripsi dan rentan terhadap pemadaman jaringan, penukaran SIM, rekayasa sosial, dan serangan SS7 dan man-in-the-middle. RSA merekomendasikan agar organisasi beralih ke autentikasi yang lebih kuat dan benar-benar tanpa kata sandi dalam jangka panjang.
Namun, banyak organisasi masih mengandalkan metode ini karena mereka:
- mendukung beragam kelompok pengguna dengan berbagai tingkat akses dan risiko.
- sering kali merupakan opsi MFA yang paling terjangkau untuk bisnis yang lebih kecil atau lingkungan tertentu.
Institut Standar dan Teknologi Nasional AS (NIST) mengatakan hal yang sama ketika menulis bahwa lembaga-lembaga harus menyeimbangkan "kepraktisan implementasi hari ini dengan kebutuhan masa depan," dan bahwa memanfaatkan "SMS ke seluler sebagai faktor kedua saat ini kurang efektif dibandingkan beberapa pendekatan lain - tetapi lebih efektif daripada satu faktor saja."
Tidak ada satu cara yang tepat untuk menyeimbangkan kebutuhan untuk memperhitungkan semua pengguna, meningkatkan keamanan siber, dan mengendalikan biaya. Organisasi perlu mempertimbangkan masing-masing faktor ini sendiri dan memilih solusi berdasarkan profil risiko, sumber daya, pengguna, dan tujuan mereka yang unik.
Berikut ini adalah langkah-langkah praktis untuk mengendalikan biaya autentikasi multi-faktor:
- Memanfaatkan perangkat yang sudah ada seperti ponsel untuk meminimalkan investasi perangkat keras.
- Pilih solusi MFA yang dapat diskalakan yang tumbuh bersama organisasi Anda.
- Gunakan uji coba gratis atau uji coba untuk mengevaluasi solusi sebelum melakukan investasi jangka panjang.
Meskipun tidak ada cara yang benar, setidaknya ada satu cara yang salah: organisasi tidak boleh membiarkan solusi keamanan mereka didikte oleh vendor. Menyeimbangkan faktor-faktor tersebut sudah cukup sulit: hal ini diperburuk ketika vendor memaksakan tenggat waktu atau menghapus kemampuan yang, meskipun tidak sempurna, masih memenuhi kebutuhan penting.
