Dalam lingkungan geopolitik yang penuh gejolak, organisasi menggunakan inisiatif transformasi digital untuk mempercepat dan mempertahankan produktivitas mereka. Perusahaan ingin TI meningkatkan inovasi dan meningkatkan efisiensi proses di seluruh bisnis mereka. Pada saat yang sama, para pemimpin TI berada di bawah tekanan yang meningkat untuk mendapatkan visibilitas penuh atas infrastruktur mereka. Tekanan ini berasal dari kebutuhan untuk meminimalkan atau memitigasi risiko gangguan apa pun yang dapat berdampak langsung pada data pelanggan, pemegang saham, dan karyawan.
Tanpa pemahaman yang jelas tentang di mana tumpukan teknologi Anda berada hari ini, tujuan masa depan itu akan selamanya tidak terjangkau. Apakah Anda seorang CIO baru yang mengambil tanggung jawab TI untuk pertama kalinya, atau seorang CIO berpengalaman dengan pengalaman bertahun-tahun, mampu beralih antara gambaran besar dan detail bernuansa adalah keterampilan yang perlu dikembangkan.
Mulailah dari awal
Manajemen aset adalah dasar dari kebijakan keamanan informasi organisasi mana pun. Kedengarannya sederhana – untuk memiliki daftar semua aset TI yang lengkap, akurat, dan tepat waktu yang dimiliki perusahaan di lingkungannya. Tetapi mengapa sulit dalam praktiknya? Dan mengapa seorang CIO harus peduli dengan tingkat detail ini?
Jawaban atas pertanyaan ini adalah bahwa tanpa perincian ini, Anda — dan departemen Anda — akan selalu tertinggal selangkah. Program manajemen aset (AM) yang komprehensif, terkini, dan akurat adalah kunci keberhasilan tim Anda. Tanpa itu, departemen Anda akan berjuang untuk mendorong dampak bisnis yang ditargetkan, dan Anda diukur. Berusaha sekuat tenaga, tim TI akan berjuang untuk berfungsi secara efektif tanpa AM.
Mendapatkan pemahaman yang akurat tentang seluruh aset TI organisasi Anda memungkinkan tim keamanan dan TI mengambil langkah-langkah yang diperlukan untuk memitigasi ancaman keamanan. Ini memungkinkan identifikasi kesalahan konfigurasi, kerentanan, dan perangkat keras yang sudah habis masa pakainya dengan lebih cepat. Ini juga memungkinkan penentuan prioritas, yang pada akhirnya membebaskan waktu bagi staf untuk fokus pada masalah paling mendesak yang mungkin memengaruhi perusahaan.
Lihatlah ke dalam…
Menetapkan inventarisasi aset yang komprehensif sepertinya merupakan dasar yang jelas yang akan dimiliki setiap organisasi saat ini, tetapi penelitian menunjukkan bahwa 69 persen organisasi telah mengalami serangan yang menargetkan “aset internet yang tidak diketahui, tidak dikelola, atau dikelola dengan buruk”. Jika Anda tidak mengetahui aset apa yang Anda miliki di jaringan perusahaan, Anda tidak dapat melindunginya.
Jika tim Anda tidak dapat melaporkan hal ini kepada Anda, maka Anda tidak dapat secara efektif mengetahui seberapa baik risiko keamanan tersebut ditangani. Membuat tampilan komprehensif aset organisasi Anda tidak diragukan lagi akan mengungkap beberapa rahasia tersembunyi — seperti implementasi TI bayangan — yang mungkin telah terjadi selama bertahun-tahun.
Tujuan utamanya adalah agar inventaris tidak diperlakukan sebagai renungan, melainkan sebagai blok bangunan pertama. Pekerjaan ini terlalu mudah untuk diturunkan atau diabaikan, dengan persaingan untuk mendapatkan perhatian terhadap proyek besar berikutnya atau ancaman malware. Sebaliknya, Anda harus menekankan bahwa mendapatkan dasar-dasar yang benar terlebih dahulu memungkinkan konsentrasi yang lebih baik pada proyek penting lainnya dan masalah mendesak yang mungkin muncul.
Setelah katalog aset Anda dibuat, Anda kemudian harus mencari cara agar program tetap mutakhir. Misalnya, mengelompokkan aset-aset ini berdasarkan seberapa penting mereka terhadap bisnis memastikan bahwa mereka mendapatkan tingkat perhatian yang tepat. Hal ini akan memudahkan untuk memutuskan cara mengelola dan melindunginya di masa mendatang, dan memberi Anda data yang lebih baik tentang seberapa baik kinerja tim Anda dalam hal keamanan.
Misalnya, kerentanan yang dieksploitasi oleh aktor jahat hampir selalu dimulai dengan titik akhir dalam lingkungan organisasi. Ketika perangkat ini memiliki perangkat lunak lama atau kedaluwarsa pada mereka, mereka mewakili “buah yang menggantung rendah” untuk ditargetkan oleh penyerang. Tanpa visibilitas penuh di ujung jari Anda, hampir tidak mungkin untuk mengikuti ancaman yang berkembang — organisasi hanya dapat melakukan mitigasi setelah ada gambaran yang jelas tentang infrastruktur yang terus berubah.
Dapatkan kembali kontrol pada komponen akhir layanan
Seiring bertambahnya perangkat lunak dan perangkat keras dari waktu ke waktu, versi lama jatuh ke pinggir jalan. Setelah Anda memiliki gambaran yang akurat tentang real estat TI Anda, Anda dapat memetakannya bersama dengan siklus hidup setiap item untuk memastikan bahwa perangkat keras dan perangkat lunak terus didukung oleh pabrikan asli dan dikelola secara proaktif dalam hal kerentanan dan penambalan. Komponen akhir layanan dapat menimbulkan risiko keamanan yang signifikan, dan manajemen proaktif harus diupayakan untuk memperbarui atau menggantinya untuk mengurangi permukaan serangan.
Sayangnya, bagaimanapun, tidak ada standar industri untuk siklus hidup produk atau layanan, atau bagaimana produsen dapat melaporkannya. Namun ada alat yang dapat memetakan informasi siklus hidup yang diketahui tentang aset populer dari dalam inventaris Anda untuk memusatkan informasi.
Sebagai seorang CIO, mengganti perangkat lunak yang sudah usang diperlukan dari waktu ke waktu, tetapi juga harus diseimbangkan dengan biaya dan layanan baru apa yang dapat diberikan. Untuk beberapa proyek, dimungkinkan untuk mengurangi risiko tersebut dan menggunakan perangkat lunak lebih lama. Bagi yang lain, akan tiba saatnya penggantian perlu dilakukan. Alternatifnya adalah membiarkan perangkat lunak itu berjalan, yang dapat menyebabkan eksploitasi di masa mendatang.
Normalisasikan, kategorikan, dan prioritaskan
Di dalam organisasi perusahaan mana pun, kemungkinan ada puluhan ribu aset untuk diidentifikasi dan dikelola. Di sinilah alat keamanan dapat membantu tim Anda mengelola dalam skala besar, dan mengotomatiskan proses untuk menghemat intervensi manual untuk tugas berulang. Menggabungkan inventaris aset Anda dengan informasi akhir masa pakai dan akhir layanan memungkinkan Anda melihat semua informasi yang relevan dalam satu panel manajemen daripada tim yang mencari informasi secara manual.
Kategorisasi aset sebelumnya berguna saat Anda membangun seperangkat aturan yang disepakati seputar aset berisiko rendah tertentu untuk meringankan beban kerja tim Anda menggunakan otomatisasi. Ini memungkinkan mereka untuk fokus pada tugas bernilai lebih tinggi.
Dapatkan tampilan holistik
Manajemen aset bisa rumit dan terfokus pada detail. Saat Anda meningkatkan infrastruktur dan menggunakan lebih banyak platform untuk memenuhi kebutuhan bisnis Anda, sulit untuk mengimbangi potensi risiko.
Mengajukan pertanyaan, “Seperti apa organisasi saya dari sudut pandang peretas?” memberi Anda pandangan holistik tentang seluruh aset TI Anda. Praktik pemindaian perangkat apa pun yang terhubung ke internet ini membantu memahami apa yang akan dilihat penyerang, dan yang paling penting, bagaimana mereka dapat mengeksploitasi celah apa pun. Attack Surface Management bergantung pada pendekatan manajemen aset yang kuat dan menerapkan praktik ini selangkah lebih maju dengan menilai tingkat keamanan semua aset yang teridentifikasi tersebut. Seperti manajemen aset, ini harus menjadi proses berkelanjutan untuk menemukan, mengklasifikasikan, dan menilai.
Untuk CIO, pendekatan seperti Attack Surface Management dapat membantu membangun gambaran risiko terhadap bisnis. Ini kemudian dapat diterjemahkan ke dalam istilah-istilah yang dapat dipahami oleh tim kepemimpinan. Berbicara tentang risiko jauh lebih membantu — dan lebih mungkin untuk didengarkan — sehingga dapat digunakan untuk membenarkan pekerjaan yang dilakukan tim Anda.
Mendapatkan pemahaman yang kuat tentang setiap aset TI di bawah kendali Anda mungkin tampak seperti tingkat detail yang terlalu jauh. Namun, ini harus menjadi prioritas utama bagi setiap CIO karena tanpa ini, tidak akan ada dasar yang tidak rata untuk membangun masa depan. Berinvestasi dalam solusi yang memungkinkan organisasi Anda untuk lebih memahami, melacak, dan mengamankan aset sangat penting untuk kesuksesan Anda.
Kredit gambar: deepadesigns / Shutterstock
Isphreet Singh adalah Chief Information Officer di Qualys, di mana dia memiliki tanggung jawab global untuk infrastruktur dan operasi TI perusahaan, aplikasi dan arsitektur perusahaan, integrasi data, dan keamanan TI.
