Seperti yang ditunjukkan oleh sebuah laporan tahun lalu, perubahan kebiasaan kerja selama beberapa tahun terakhir berjalan seiring dengan meningkatnya pencurian data.
Kami berbicara dengan CSO Cyberhaven, Chris Hodson, untuk mencari tahu bagaimana CISO perusahaan dapat memenuhi tantangan ini dan menjaga keamanan data mereka.
BN: Menyeimbangkan keamanan selalu menjadi masalah, terutama dengan aplikasi SaaS. Apa pendapat Anda tentang mencapai keseimbangan yang tepat antara melindungi data dan merusak produktivitas?
CH: Ini keseimbangan yang genting, dan selalu berubah. Jawaban untuk ‘seberapa banyak keamanan’ yang dibutuhkan perusahaan harus selaras dengan toleransi risikonya. Masalahnya adalah perusahaan berjuang untuk mengukur seberapa besar risiko yang harus diterima. Ini harus menghasilkan keamanan yang menerapkan tingkat kontrol yang konsisten untuk semua lingkungan, pengguna, dan data.
Jika kontrol keamanan memaksakan gesekan, itu tidak akan diterima dengan baik oleh anggota staf yang selalu sibuk dan mencari jalur tercepat untuk menyelesaikan pekerjaan. Kontrol keamanan perlu diterapkan dengan cara yang disesuaikan dengan pentingnya suatu aset. Selalu, ini bermuara pada sensitivitas data yang disimpan atau diproses.
BN: Apa alasan utama menurut Anda data menjadi begitu sulit untuk dilacak dan dipantau?
CH: Data lebih sulit dilacak dan dipantau karena semakin sulit untuk mengidentifikasi sumber, tujuan, dan kontennya dengan cepat dan andal. Jika kami tidak dapat mengidentifikasi konten secara efektif, kami perlu mempertimbangkan konteks. Saya yakin banyak yang gagal menerapkan tingkat keamanan yang sesuai karena mereka tidak memiliki data yang diperlukan tentang data — metadata, jika Anda mau — untuk membuat keputusan risiko yang terinformasi.
Hingga saat ini, perusahaan mengandalkan solusi pencegahan kehilangan data (DLP) untuk melacak dan memantau informasi, tetapi alat ini tidak dibuat untuk memetakan data saat melintasi jaringan lokal dan ekosistem cloud Anda. DLP dibuat untuk mencegah file dan data rahasia keluar dari perimeter perusahaan. Overhead dan efektivitas yang relatif rendah dari pendekatan ini membuat para pemimpin keamanan merasa terekspos.
BN: Sepertinya ada akronim untuk hampir semua celah keamanan di luar sana. Bukankah seharusnya kita sudah menyelesaikan masalah ini?
CH: Akronim yang tidak memenuhi syarat menghambat kemampuan CISO untuk mendapatkan dukungan dan anggaran untuk program keamanan. Akronim dan istilah misterius membuat pemangku kepentingan kami bingung dan merasa seperti mereka tidak dapat mengajukan pertanyaan mendasar atau klarifikasi tentang keamanan data. Kami berbicara tentang APT, aktor negara-bangsa, DDoS, malware polimorfik, dan injeksi proses, seolah-olah rekan bisnis kami mengerti — tetapi apakah hal-hal ini penting jika kami tidak tahu apa yang menjadi perhatian bisnis? Saya akan menegaskan tidak.
Kebutuhan CISO berkembang. Ambil anti-malware, misalnya. Perlindungan titik akhir berevolusi dari pencegahan berbasis tanda tangan menjadi pencegahan berlapis, deteksi, dan penahanan menggunakan kotak pasir EDR dan malware. Alat berevolusi karena lanskap ancaman berubah, dan solusi lama terkikis dalam hal utilitas dan kepuasan pelanggan. Saya yakin kita telah mencapai titik belok yang serupa dengan perlindungan data, dan CISO akan memerlukan pendekatan yang lebih efektif.
BN: Apa yang dapat dilakukan CISO untuk mulai mengatasi tantangan perlindungan data sekarang?
CH: Ini dimulai dengan pemahaman menyeluruh tentang data — misalnya, seberapa penting data tersebut bagi bisnis, di mana lokasinya, siapa yang mungkin perlu mengaksesnya atau ingin mencurinya, dan kerentanan apa yang dimilikinya.
CISO perlu beroperasi secara lintas fungsi dan bekerja dari pengetahuan mendasar tentang bagaimana bisnis mereka beroperasi. Untuk memberikan tingkat keamanan yang sesuai, menurut saya akan sangat membantu jika mengambil pendekatan dekomposisi empat fase. Pertama, pahami proses bisnisnya, lalu evaluasi tumpukan aplikasi. Selanjutnya, kenali ‘segalanya’ tentang infrastruktur Anda dan terakhir, lindungi data Anda. Jadi apa yang sebenarnya diperlukan?
CISO harus membangun pemahaman yang kuat tentang proses bisnis utama yang diandalkan perusahaan setiap hari. Duduklah bersama para pemimpin di perusahaan Anda dan jadilah lebih akrab dengan cara mereka bekerja sehari-hari. Merancang kontrol keamanan yang sesuai dengan aset yang dilindungi tidak dimulai dengan percakapan teknis. Sebaliknya, ini tentang aktivitas bisnis harian yang kritis di bidang keuangan, SDM, dan manufaktur — bagaimana mereka menangani pengeluaran, mempekerjakan karyawan, dan mengirimkan produk. Kesampingkan masalah implementasi teknis pada tahap ini.
Selanjutnya, CISO dapat mengevaluasi tumpukan — aplikasi dan teknologi yang mendukung setiap proses bisnis penting, seperti lingkungan pengembangan terintegrasi dan kode sumber terbuka serta solusi SaaS untuk manajemen proses. Mengetahui tumpukan merupakan prasyarat untuk memperkuat rantai pasokan dan postur keamanan organisasi secara keseluruhan.
Langkah ketiga adalah ‘mempelajari’ infrastruktur Anda seperti saat ini, karena Anda menggunakan server dan peralatan jaringan di suatu tempat, dan itu semua merupakan permukaan serangan yang subur. Kesalahan konfigurasi sumber daya adalah akar penyebab banyak kerentanan. CISO harus mengetahui bagaimana aplikasi mereka dirancang, bagaimana data dokumen mengalir masuk dan keluar dari perusahaan dan komponen infrastruktur mana yang menyimpan dan memproses informasi sensitif.
Kadang-kadang organisasi melindungi segalanya kecuali data — ironisnya karena itu adalah tujuan akhir di sini, tetapi itu mungkin bagian teka-teki yang hilang. Anda memerlukan konfirmasi bahwa informasi sensitif dilindungi baik saat disimpan maupun saat transit di seluruh perusahaan yang diperluas. Perusahaan sering kali memiliki diagram aliran data dan BIA untuk layanan produksi, tetapi bagaimana pengguna Anda mengakses konten sensitif di lingkungan perusahaan dan aplikasi cloud?
Langkah-langkah ini menambah pendekatan berbasis data untuk arsitektur keamanan yang mempermudah membangun dan mengukur keamanan. Ini memungkinkan CISO untuk menerapkan kontrol keamanan yang sebanding dengan nilai data yang sedang ditangani — dan untuk menghasilkan metrik keamanan yang menunjukkan kemajuan dengan cara yang bermanfaat dan selaras dengan tujuan bisnis secara keseluruhan. Kemudian CISO dapat menilai dampak bisnis dari masalah perlindungan data dengan sangat efektif, dan mengambil langkah yang tepat untuk memastikan kelangsungan bisnis.
Kredit Foto: Den Rise/Shutterstock
