Dalam keamanan siber, identitas sangatlah penting. Dan dengan identitas, Anda benar-benar harus bisa menjawab pertanyaan yang paling penting: siapa yang mengakses sistem Anda, apa yang bisa mereka jangkau, dan apakah akses itu sesuai.
Tim keamanan telah bekerja untuk mendapatkan jawaban yang dapat diandalkan selama beberapa dekade. Lebih mudah ketika semua orang bekerja dari situs yang sama, atau setidaknya di balik firewall yang sama. Namun saat ini, pengguna bisa bekerja dari mana saja, dan mereka mungkin memerlukan akses ke aplikasi dan sumber daya di awan, di beberapa awan, atau di pusat data.
Mencoba mengamankan, mengatur, dan mengelola pengguna di seluruh lingkungan ini bisa jadi rumit. Pada bagian selanjutnya, kami akan membahas pertanyaan-pertanyaan tentang identitas dan akses yang perlu ditanyakan oleh tim keamanan dan menjelaskan bagaimana tata kelola identitas membantu Anda mengubah jawaban-jawaban tersebut menjadi kontrol yang lebih kuat, risiko yang lebih rendah, dan bukti kepatuhan yang lebih jelas.
Tata kelola identitas penting karena membantu Anda mengontrol dan membuktikan siapa yang memiliki akses ke apa, mengapa mereka memilikinya, dan bagaimana akses tersebut berubah dari waktu ke waktu. Dalam lingkungan hibrida, ini adalah perbedaan antara mengasumsikan hak istimewa yang paling sedikit dan benar-benar menerapkannya.
Tanpa tata kelola, akses meluas secara diam-diam seiring dengan perubahan peran pengguna, munculnya aplikasi baru, dan pengecualian menjadi permanen. Hal ini meningkatkan dampak pelanggaran, memperlambat investigasi, dan mempersulit audit.
Sebelum Anda bisa mengurangi risiko identitas, Anda memerlukan jawaban yang bisa diandalkan tentang kepercayaan masuk dan visibilitas akses. Mulailah dengan memisahkan verifikasi identitas dari pemahaman tentang akses yang ada di seluruh sistem dan lingkungan.
Apakah pengguna adalah yang mereka katakan?
Manajemen identitas dan akses (IAM) memverifikasi identitas pengguna pada saat masuk dan memutuskan apakah mereka diizinkan masuk ke dalam sistem. Dalam praktiknya, ini berarti mengautentikasi pengguna dan kemudian mengizinkan akses ke sumber daya yang tepat, sering kali menggunakan autentikasi multi-faktor (MFA).
IAM sangat penting, tetapi ini hanyalah langkah pertama. Setelah pengguna masuk, tim keamanan masih memerlukan visibilitas ke dalam apa yang dapat diakses pengguna tersebut di seluruh aplikasi SaaS, infrastruktur multi-cloud, perangkat IoT, dan sistem pihak ketiga. Tanpa visibilitas tersebut, akan lebih sulit untuk menemukan akses yang berisiko, memprioritaskan ancaman identitas, dan mendukung persyaratan keamanan dan privasi.
Siapa saja yang ada di dalam sistem dan apa saja yang dapat mereka akses?
Tata kelola dan administrasi identitas (IGA) memberikan visibilitas dan kontrol atas siapa yang memiliki akses ke apa, di seluruh lingkungan cloud dan lokal. Hal ini membantu tim menentukan akses apa saja yang ada, apakah akses tersebut sesuai, dan bagaimana akses tersebut harus berubah seiring berjalannya waktu.
Sebagian besar program IGA berfokus pada empat kemampuan inti:
- Tata kelola identitas: Pahami dan tinjau siapa yang memiliki akses ke apa, termasuk pengguna, peran, dan aplikasi yang berisiko tinggi.
- Siklus hidup identitas: Mengotomatiskan proses joiner, mover, dan leaver, termasuk permintaan, persetujuan, penyediaan, dan penegakan kebijakan.
- Tata kelola akses data: Identifikasi siapa saja yang dapat mengakses data yang tidak terstruktur, deteksi akses yang bermasalah, dan lakukan remediasi dengan cepat.
- Manajemen peran bisnis: Tentukan peran dan kebijakan, kurangi penyebaran peran, dan otomatiskan sertifikasi peran.
Ketika identitas disalahgunakan atau dikompromikan, akses yang berlebihan atau tidak jelas akan meningkatkan dampaknya. Tampilan akses yang terpusat membantu tim mendeteksi masalah lebih awal, mendukung kebutuhan kepatuhan (termasuk SOX, HIPAA, dan GDPR), dan mengurangi pekerjaan manual yang terkait dengan sertifikasi, permintaan, dan penyediaan.
Mengetahui siapa yang memiliki akses hanyalah sebagian dari masalah. Langkah selanjutnya adalah memastikan akses dibenarkan, sesuai dengan perannya, dan dibatasi oleh kebijakan dan risiko.
Mengapa pengguna memerlukan akses ke sumber daya tertentu?
Pengguna membutuhkan akses ke sumber daya untuk melakukan tanggung jawab pekerjaan yang telah ditetapkan, bukan karena mereka memiliki akun atau menjadi bagian dari suatu departemen. Tata kelola identitas membantu Anda mengikat akses ke pembenaran bisnis yang jelas, peran, dan kebijakan yang disetujui pemilik.
Secara taktis, hal ini biasanya berarti menetapkan model akses berbasis peran atau berbasis kebijakan, yang membutuhkan tujuan pengecualian, dan menugaskan pemilik aplikasi dan data yang dapat menyetujui akses berdasarkan risiko dan kebutuhan. Seiring berjalannya waktu, tata kelola mengurangi “penyimpangan akses” dengan memvalidasi ulang apakah akses masih diperlukan saat pengguna berganti peran atau proyek.
Apa yang akan dilakukan pengguna dengan akses tertentu?
Akses bukan hanya keputusan ya atau tidak. Akses menentukan tindakan apa yang bisa dilakukan oleh pengguna, data apa yang bisa mereka jangkau, dan seberapa besar kerusakan yang bisa ditimbulkan oleh akun yang disusupi.
Tata kelola identitas membantu tim mengevaluasi akses berdasarkan risiko, termasuk tindakan istimewa, paparan data sensitif, dan kombinasi akses beracun yang seharusnya tidak boleh ada bersamaan. Dalam praktiknya, di sinilah Anda memperkenalkan hak istimewa yang paling sedikit, pemisahan tugas, sertifikasi akses, dan alur kerja remediasi yang ditargetkan untuk hak yang berisiko tinggi. Di sinilah juga kemampuan jaminan akses berkelanjutan, seperti yang ada di Tata Kelola & Siklus Hidup RSA, mendukung deteksi dan remediasi yang lebih cepat.
Bagaimana Anda mendefinisikan hak istimewa dalam praktiknya?
Hak istimewa paling sedikit berarti pengguna hanya memiliki akses yang mereka perlukan untuk melakukan pekerjaan mereka, untuk waktu yang mereka butuhkan, dan tidak lebih. Ini bukan keputusan yang dibuat sekali saja. Ini adalah disiplin yang berkelanjutan.
Tim mendefinisikan akses berbasis peran dan paket akses “default”, kemudian memperlakukan apa pun di luar standar sebagai pengecualian yang membutuhkan pembenaran dan persetujuan. Peninjauan akses yang sedang berlangsung, pemeriksaan pemisahan tugas, dan pembersihan yang ditargetkan terhadap hak yang berisiko tinggi mencegah perayapan hak istimewa seiring dengan perubahan lingkungan.
Akses berubah secara konstan ketika orang bergabung, berganti peran, dan keluar. Tata kelola yang kuat menjaga hak tetap akurat melalui alur kerja yang berulang, pembaruan tepat waktu, dan tinjauan yang mengarah pada perbaikan yang nyata.
Bagaimana proses joiner, mover, dan leaver mengurangi risiko?
Proses bergabung, pindah, dan keluar mengurangi risiko dengan menyelaraskan akses dengan status pekerjaan dan perubahan peran, sehingga akses tidak berlama-lama setelah tidak lagi dibutuhkan. Ketika alur kerja ini rusak, akun yatim piatu dan izin yang kedaluwarsa menjadi jalur yang mudah disalahgunakan.
Tujuan praktisnya adalah konsistensi dan kecepatan. Proses siklus hidup yang baik mengotomatiskan permintaan, persetujuan, penyediaan, dan pencabutan di seluruh sistem, dan mencatat apa yang berubah dan mengapa. Hal ini mengurangi penyebaran akses, membatasi dampak pelanggaran, dan membuat investigasi dan audit menjadi lebih mudah.
Bagaimana cara kerja ulasan akses dan sertifikasi sebenarnya?
Peninjauan dan sertifikasi akses bekerja dengan meminta peninjau yang tepat untuk mengonfirmasi apakah akses pengguna masih sesuai, berdasarkan peran, kebijakan, dan risiko. Keluarannya adalah serangkaian keputusan, menyetujui, mencabut, atau menyesuaikan, yang seharusnya menghasilkan remediasi yang sebenarnya.
Jika dilakukan dengan baik, tinjauan akan mencakup akses yang berarti, diarahkan ke pemilik yang bertanggung jawab, dan diprioritaskan pada hak-hak yang berisiko tinggi. Proses ini juga menghasilkan bukti yang siap untuk diaudit dengan melacak siapa yang meninjau, apa yang mereka putuskan, kapan mereka memutuskannya, dan apakah perubahan tersebut telah diselesaikan dan diverifikasi.
Tata kelola identitas harus menjadi bagian dari setiap strategi risiko siber karena keputusan risiko yang paling berarti adalah keputusan akses. Jika Anda tidak dapat menjelaskan dengan yakin siapa yang memiliki akses, mengapa mereka memilikinya, dan apakah akses tersebut sesuai, Anda tidak dapat secara konsisten mengurangi risiko, merespons dengan cepat, atau menghasilkan bukti yang siap untuk diaudit.
Tata kelola mengoperasionalkan strategi risiko dengan membuat akses dapat diukur dan ditegakkan. Hal ini membantu tim memprioritaskan remediasi berdasarkan dampak, mengurangi hak yang berlebihan, dan mencegah akses yang tidak sah melalui otomatisasi penggabung, penggerak, dan peninggalkan. Banyak tim juga menggeser program mereka di luar kepatuhan kotak centang dengan menerapkan lensa risiko pada keputusan akses, seperti yang dijelaskan dalam perspektif RSA tentang mengapa tata kelola membutuhkan lensa risiko.
Keamanan identitas yang kuat membutuhkan verifikasi saat masuk dan tata kelola setelah akses diberikan. RSA solusi dan produk mendukung tampilan penuh tersebut, mulai dari autentikasi hingga jaminan akses yang berkelanjutan di seluruh lingkungan hibrida.
Untuk mempelajari lebih lanjut, jelajahi Tata Kelola & Siklus Hidup RSA untuk jaminan akses yang berkelanjutan, dan kemampuan otentikasi RSA termasuk otentikasi multi-faktor (MFA) dan otentikasi tanpa kata sandi.
Manajemen identitas dan akses (IAM) memverifikasi identitas pengguna pada saat masuk dan menentukan apakah mereka diizinkan masuk ke dalam sistem. IAM mengautentikasi pengguna dan mengesahkan akses ke sumber daya yang tepat, sering kali menggunakan autentikasi multi-faktor (MFA). IAM sangat penting, tetapi ini hanyalah langkah pertama. Setelah pengguna masuk, tim keamanan masih memerlukan visibilitas ke dalam apa yang dapat diakses pengguna tersebut di seluruh aplikasi SaaS, infrastruktur multi-cloud, perangkat IoT, dan sistem pihak ketiga.
Tata kelola dan administrasi identitas (IGA) memberikan visibilitas dan kontrol atas siapa yang memiliki akses ke apa di lingkungan cloud dan lokal. Hal ini membantu tim menentukan akses apa saja yang ada, apakah akses tersebut sesuai, dan bagaimana akses tersebut harus berubah seiring berjalannya waktu. Sebagian besar program IGA berfokus pada tata kelola identitas, siklus hidup identitas, tata kelola akses data, dan manajemen peran bisnis. Pandangan akses yang terpusat membantu tim mendeteksi masalah lebih awal, mendukung kebutuhan kepatuhan, dan mengurangi pekerjaan manual yang terkait dengan sertifikasi, permintaan, dan penyediaan.
Pengguna membutuhkan akses ke sumber daya untuk menjalankan tanggung jawab pekerjaan yang telah ditetapkan, bukan karena mereka memiliki akun atau menjadi bagian dari suatu departemen. Tata kelola identitas mengaitkan akses dengan pembenaran bisnis yang jelas, peran, dan kebijakan yang disetujui oleh pemilik. Dalam praktiknya, hal ini berarti menggunakan model akses berbasis peran atau berbasis kebijakan, yang membutuhkan tujuan pengecualian, dan menugaskan pemilik aplikasi dan data yang dapat menyetujui akses berdasarkan risiko dan kebutuhan.
Akses bukan hanya keputusan ya atau tidak. Akses menentukan tindakan apa yang bisa dilakukan pengguna, data apa yang bisa mereka jangkau, dan seberapa besar kerusakan yang bisa ditimbulkan oleh akun yang disusupi. Tata kelola identitas membantu tim mengevaluasi akses berdasarkan risiko, termasuk tindakan istimewa, paparan data sensitif, dan kombinasi akses beracun yang tidak boleh ada bersamaan. Tata kelola ini mendukung hak istimewa yang paling sedikit, pemisahan tugas, sertifikasi akses, dan alur kerja remediasi untuk hak yang berisiko tinggi.
Hak akses paling sedikit berarti pengguna hanya memiliki akses yang mereka perlukan untuk melakukan pekerjaan mereka, selama waktu yang mereka butuhkan, dan tidak lebih. Tim mendefinisikan akses berbasis peran dan paket akses default, lalu memperlakukan apa pun di luar standar sebagai pengecualian yang membutuhkan pembenaran dan persetujuan. Peninjauan akses yang sedang berlangsung, pemeriksaan pemisahan tugas, dan pembersihan yang ditargetkan terhadap hak yang berisiko tinggi mencegah perayapan hak istimewa seiring dengan perubahan lingkungan.
Proses bergabung, berpindah, dan keluar mengurangi risiko dengan menyelaraskan akses dengan status pekerjaan dan perubahan peran, sehingga akses tidak berlama-lama setelah tidak lagi dibutuhkan. Proses siklus hidup yang baik mengotomatiskan permintaan, persetujuan, penyediaan, dan pencabutan akses di seluruh sistem, dan mencatat apa yang berubah dan mengapa. Hal ini mengurangi penyebaran akses, membatasi dampak pelanggaran, dan mempermudah investigasi dan audit.
Peninjauan dan sertifikasi akses bekerja dengan meminta peninjau yang tepat untuk mengonfirmasi apakah akses pengguna masih sesuai berdasarkan peran, kebijakan, dan risiko. Peninjau menyetujui, mencabut, atau menyesuaikan akses, dan keputusan tersebut harus menghasilkan perbaikan yang nyata. Jika dilakukan dengan baik, peninjauan akan mencakup akses yang berarti, diarahkan ke pemilik yang bertanggung jawab, diprioritaskan pada hak yang berisiko tinggi, dan dilacak sebagai bukti yang siap diaudit.
