Apakah Anda pernah mendengar tentang pentingnya menggunakan autentikasi multi-faktor, atau MFA? Di antara persyaratan internasional, kampanye tahunan, dan anjuran dari personel keamanan siber untuk menggunakan MFA, saya rasa tidak ada kesempatan bagi siapa pun yang bekerja di bidang teknologi dan tidak menghargai betapa pentingnya MFA.
Kami setuju. Namun, meskipun sektor kami telah sangat baik dalam mengartikulasikan pentingnya MFA dan menerapkannya, kami hanya biasa-biasa saja dalam komponen keamanan siber lainnya yang sama pentingnya. Semua orang begitu fokus pada pemasangan gerendel di pintu depan sehingga kita lupa siapa yang memiliki kunci, bagaimana mereka mendapatkannya, dan apa yang mereka buka.
Anda membutuhkan MFA agar tetap aman. Tetapi Anda juga membutuhkan Tata Kelola dan Administrasi Identitas (IGA).
Itulah mengapa saya pikir laporan Gartner® Laporan, Panduan Pemimpin IAM untuk Tata Kelola dan Administrasi Identitas (IGA) adalah aset yang sangat penting. Laporan ini merinci fungsi-fungsi inti yang harus dijalankan oleh IGA, tantangan-tantangan yang dapat dihadapi oleh organisasi ketika menerapkannya, cara mengevaluasi program IGA mereka, dan banyak lagi.
Yang penting, laporan ini hanya berupa saran vendor-agnostik yang membahas pentingnya dan peran IGA, bukan mendokumentasikan solusi spesifik.
Menurut Gartner® Laporan, Panduan Pemimpin IAM untuk Tata Kelola dan Administrasi Identitas, "Disiplin IGA ada untuk menjamin orang yang tepat mendapatkan akses yang tepat ke sumber daya yang tepat pada waktu yang tepat untuk alasan yang tepat."
Gartner menyatakan bahwa, "IGA mengarah pada peningkatan kematangan proses identitas, memfasilitasi kepatuhan dan mengurangi risiko akses yang tidak sah, serta menyediakan kontrol yang lebih terlihat dan efisien untuk proses administrasi siklus hidup identitas." Selain itu, "IGA juga menyediakan beberapa fungsi tambahan, biasanya termasuk manajemen kata sandi, kemampuan layanan mandiri untuk manajemen profil, dan manajemen kasus untuk mengaudit dan memperbaiki pelanggaran kebijakan, seperti SOD."
Singkatnya, IGA dapat membantu organisasi meningkatkan keamanan, mengurangi risiko, dan menjadi lebih produktif-tetapi hanya jika mereka melakukan IGA dengan benar.
Melakukan IGA dengan benar lebih mudah diucapkan daripada dilakukan. Salah satu alasan mengapa IGA sangat menantang adalah karena IGA harus memiliki visibilitas ke dalam semua pengguna, termasuk pengguna manusia, akun mesin, akun layanan, dan perangkat.
Banyak sekali hal yang harus dibahas. Dan menurut saya, karena cakupan data dapat menjadi sangat besar, laporan tersebut menekankan pentingnya analitik - bahkan, laporan tersebut menempatkan analitik identitas "di tengah-tengah setiap inisiatif IGA." Laporan ini juga mencatat bahwa analisis identitas "telah mendapatkan lebih banyak daya tarik dalam IGA dalam lima tahun terakhir untuk memberikan laporan yang mendukung pengambilan keputusan manusia, yang secara tradisional digunakan untuk penambangan peran, misalnya, atau menghitung skor risiko yang dapat digunakan untuk menjelaskan apa yang terjadi dan mengapa."
Saya selalu merasa bahwa keamanan adalah tentang konteks, dan mengintegrasikan analitik ke dalam solusi IGA dapat memberikan konteks tersebut kepada tim keamanan: analitik dapat membandingkan hak-hak akun individu dengan pengguna yang serupa di organisasi mereka. Selain itu, dengan lebih banyak informasi, solusi IGA dapat memberikan peringatan dan rekomendasi secara real-time yang membantu mendorong keamanan yang lebih baik dan kepatuhan yang berkelanjutan meskipun ada perkembangan TI. Itulah mengapa RSA telah membangun lebih banyak analitik dan visualisasi ke dalam solusi IGA terbaru.
Ingin lebih banyak bukti bahwa IGA itu penting? Lihatlah CISA Model Kematangan Kepercayaan Nol (Zero Trust Maturity Model), yang menyatakan bahwa lembaga-lembaga "harus memastikan dan menegakkan akses pengguna dan entitas ke sumber daya yang tepat pada waktu yang tepat untuk tujuan yang tepat tanpa memberikan akses yang berlebihan."
Model ini juga mengatakan bahwa sebuah lembaga telah mencapai kemampuan tata kelola identitas yang optimal ketika lembaga tersebut "menerapkan dan mengotomatiskan sepenuhnya kebijakan identitas di seluruh perusahaan untuk semua pengguna dan entitas di semua sistem."
###
Gartner, Panduan Pemimpin IAM untuk Tata Kelola dan Administrasi Identitas, Brian Guthrie, David Collinson, Rebecca Archambault, Diperbarui 16 Agustus 2023 | Diterbitkan pertama kali pada 5 April 2021
GARTNER adalah merek dagang terdaftar dan merek layanan dari Gartner, Inc. dan/atau afiliasinya di A.S. dan internasional dan digunakan di sini dengan izin. Semua hak dilindungi undang-undang.
