Mengapa Atestasi Hanya Salah Satu Bagian dari Program Keamanan Cloud Anda

Steven Murray

5 Jul 2017

Email

1 min read

Mengapa Atestasi Hanya Salah Satu Bagian dari Program Keamanan Cloud Anda

Poin Penting

    • Attestasi saja tidak menjamin keamanan. Mereka mengonfirmasi bahwa standar tertentu dipenuhi, tetapi tidak bahwa kontrol berfungsi atau dipantau dengan baik.

    • Kesiapan operasional lebih penting daripada sertifikasi. Sebuah perusahaan dapat melewati audit sementara alat keamanan seperti sistem IDS/IPS tidak berfungsi.

    • Auditor sering kali memverifikasi keberadaan, bukan kinerja. Banyak attestasi menilai apakah sistem ada, bukan apakah mereka dikonfigurasi dengan benar atau dipelihara secara aktif.

    • Program keamanan cloud yang kuat menggabungkan kepatuhan dengan pemantauan terus-menerus. Attestasi menyediakan dasar kepatuhan, tetapi pengujian dan evaluasi yang berkelanjutan memastikan perlindungan yang sebenarnya.

    • Uji penetrasi pihak ketiga mengungkap kerentanan yang nyata. Mereka menawarkan wawasan yang lebih dalam daripada survei atau daftar periksa, memvalidasi bahwa langkah-langkah keamanan bekerja di bawah kondisi dunia nyata.

    • Evaluasi vendor harus mempertimbangkan akses data dan risiko paparan. Mitra yang menangani informasi sensitif layak mendapatkan pengawasan yang lebih ketat dan tinjauan reguler.

    • Keamanan yang efektif memerlukan transparansi. Organisasi yang matang dengan senang hati membagikan kebijakan, kerangka kerja respons insiden, dan prosedur manajemen kerentanan.

Sorotan Tanya jawab

  • Mengapa pernyataan tidak menjadi ukuran yang dapat diandalkan untuk kematangan keamanan?

    Sebab mereka hanya membuktikan bahwa kontrol yang diperlukan ada, bukan bahwa mereka berfungsi. Kematangan keamanan yang sebenarnya melibatkan validasi yang berkelanjutan, pemantauan, dan respons terhadap ancaman.

  • Apa kegagalan umum dalam bergantung sepenuhnya pada pemeriksaan kepatuhan?

    Organisasi dapat menggunakan alat hanya untuk "memenuhi syarat." Misalnya, IDS dapat dipasang tetapi tidak benar-benar dikonfigurasi untuk mendeteksi atau memberikan peringatan terhadap ancaman.

  • Apa yang harus Anda tinjau di luar pernyataan ketika mengevaluasi vendor?

    Selalu periksa laporan temuan lengkap (bukan hanya ringkasan), tanyakan tentang pengujian penetrasi tahunan, dan minta akses ke dokumentasi keamanan inti.

  • Bagaimana pengujian pihak ketiga dapat meningkatkan program keamanan?

    Pengujian penetrasi mensimulasikan serangan dunia nyata, mengungkapkan kelemahan yang terlewatkan oleh audit kepatuhan, memastikan bahwa pertahanan berfungsi seperti yang dimaksudkan.

  • Apa yang mendefinisikan program keamanan awan yang matang?

    Pendekatan seimbang yang menggabungkan pengesahan, pemantauan berkelanjutan, strategi perlindungan data, kesiapan respon insiden, dan manajemen kerentanan proaktif.

  • Bagaimana Anda seharusnya menilai posisi keamanan vendor?

    Evaluasi berdasarkan sensitivitas data yang mereka akses—vendor yang menangani data pelanggan harus memenuhi standar keamanan yang lebih tinggi dan menjalani tinjauan secara berkala.

Orang-orang sering bertanya kepada saya tentang apa yang membuat program keamanan yang baik. Sebanyak saya ingin menunjukkan satu aspek dari perimeter keamanan saya sebagai contoh, ada beberapa hal yang perlu disoroti.

Pernyataan Tidak Selalu Mengukur Posisi Pertahanan Anda

Sebuah pernyataan, menurut definisi, adalah indikasi yang membuat sesuatu menjadi jelas. Dalam hal keamanan, khususnya program-program keamanan, ini berarti untuk mengesahkan dalam kapasitas resmi.

Orang sering bertanya kepada saya apa yang membuat program keamanan yang baik. Meskipun saya ingin menunjuk pada satu aspek dari perimeter keamanan saya sebagai contoh, ada banyak hal yang perlu disoroti. Industri ini mengandalkan pernyataan dan sertifikasi untuk mengukur pertahanan keamanan Anda. Insinyur dan operator akan memberi tahu Anda bahwa perimeter keamanan nyata dan kemampuan penilaian ancaman Anda mendefinisikan program keamanan Anda. Saya akan memberi tahu Anda bahwa itu adalah pernyataan kepatuhan sebagai ukuran dan kemampuan operasional tim keamanan Anda yang mendefinisikan program Anda. Meskipun pernyataan saja bukanlah tolok ukur yang akurat untuk mengukur program.

Pernyataan adalah kebutuhan industri untuk memastikan kepatuhan terhadap undang-undang federal, lokal, dan negara bagian serta praktik terbaik industri. Standar ISO, NIST, atau DoD membentuk dasar dari sebagian besar pernyataan. NIST, misalnya, menerbitkan seperangkat standar dan panduan teknis untuk membantu organisasi membangun pertahanan perimeter yang “dapat diterima” oleh pemerintah. Namun, seperti yang akan saya jelaskan, hanya karena standar ditetapkan bukan berarti implementasinya selalu stellar.

Sebuah pernyataan, menurut definisi, adalah indikasi yang membuat sesuatu menjadi jelas. Dalam hal keamanan, khususnya program-program keamanan, ini berarti untuk mengesahkan dalam kapasitas resmi.

Orang sering bertanya kepada saya apa yang membuat program keamanan yang baik. Meskipun saya ingin menunjuk pada satu aspek dari perimeter keamanan saya sebagai contoh, ada banyak hal yang perlu disoroti. Industri ini mengandalkan pernyataan dan sertifikasi untuk mengukur pertahanan keamanan Anda. Insinyur dan operator akan memberi tahu Anda bahwa perimeter keamanan nyata dan kemampuan penilaian ancaman Anda mendefinisikan program keamanan Anda. Saya akan memberi tahu Anda bahwa itu adalah pernyataan kepatuhan sebagai ukuran dan kemampuan operasional tim keamanan Anda yang mendefinisikan program Anda. Meskipun pernyataan saja bukanlah tolok ukur yang akurat untuk mengukur program.

Pernyataan adalah kebutuhan industri untuk memastikan kepatuhan terhadap undang-undang federal, lokal, dan negara bagian serta praktik terbaik industri. Standar ISO, NIST, atau DoD membentuk dasar dari sebagian besar pernyataan. NIST, misalnya, menerbitkan seperangkat standar dan panduan teknis untuk membantu organisasi membangun pertahanan perimeter yang “dapat diterima” oleh pemerintah. Namun, seperti yang akan saya jelaskan, hanya karena standar ditetapkan bukan berarti implementasinya selalu stellar.

Sebuah pernyataan, menurut definisi, adalah indikasi yang membuat sesuatu menjadi jelas. Dalam hal keamanan, khususnya program-program keamanan, ini berarti untuk mengesahkan dalam kapasitas resmi.

Orang sering bertanya kepada saya apa yang membuat program keamanan yang baik. Meskipun saya ingin menunjuk pada satu aspek dari perimeter keamanan saya sebagai contoh, ada banyak hal yang perlu disoroti. Industri ini mengandalkan pernyataan dan sertifikasi untuk mengukur pertahanan keamanan Anda. Insinyur dan operator akan memberi tahu Anda bahwa perimeter keamanan nyata dan kemampuan penilaian ancaman Anda mendefinisikan program keamanan Anda. Saya akan memberi tahu Anda bahwa itu adalah pernyataan kepatuhan sebagai ukuran dan kemampuan operasional tim keamanan Anda yang mendefinisikan program Anda. Meskipun pernyataan saja bukanlah tolok ukur yang akurat untuk mengukur program.

Pernyataan adalah kebutuhan industri untuk memastikan kepatuhan terhadap undang-undang federal, lokal, dan negara bagian serta praktik terbaik industri. Standar ISO, NIST, atau DoD membentuk dasar dari sebagian besar pernyataan. NIST, misalnya, menerbitkan seperangkat standar dan panduan teknis untuk membantu organisasi membangun pertahanan perimeter yang “dapat diterima” oleh pemerintah. Namun, seperti yang akan saya jelaskan, hanya karena standar ditetapkan bukan berarti implementasinya selalu stellar.

Penerapan Alat Tidak Berarti Menyediakan Nilai

Kontrol memungkinkan fleksibilitas dalam penerapan serta pertumbuhan dan inovasi operasional seiring waktu. Sayangnya, beberapa organisasi menggunakan fleksibilitas ini hanya untuk memenuhi syarat, tetapi tidak memiliki pertahanan yang nyata.

Salah satu contoh utama dari masalah ini adalah sistem deteksi/perlindungan intrusi (IDS atau IPS). Seperti pemindai virus, sebagian besar organisasi berinvestasi dalam IDS/IPS sebagai bagian dari praktik keamanan standar untuk melindungi terhadap lalu lintas berbahaya dan eksfiltrasi data. Industri ini dipenuhi dengan vendor yang membuat berbagai bentuk sistem IDS/IPS. Namun, beberapa organisasi membangun sistem lebih memilih untuk tidak membeli.

Saya baru-baru ini meninggalkan salah satu organisasi yang “membangun” sistem deteksi intrusi mereka sendiri dari alat sumber terbuka. Auditor diberitahu bahwa sistem tersebut adalah “alat yang fantastis”, dan bahkan diberikan contoh lalu lintas. Ketika saya menyelidiki lebih dalam tentang telemetri yang disediakan alat tersebut, saya menyadari bahwa lalu lintas sama sekali tidak dianalisis. Sebaliknya, hanya melewati sensor karena tidak dikonfigurasi untuk menangkap lalu lintas atau memberikan peringatan sama sekali. Selain itu, kredensial yang digunakan untuk mengelola alat tersebut diatur oleh karyawan sebelumnya dan tidak pernah diperbarui setelah dia pergi. Jadi pada dasarnya, alat tersebut dibiarkan tidak aktif selama berbulan-bulan tanpa intervensi manusia. Hal ini tidak hanya menempatkan perusahaan pada risiko, tetapi juga mengkompromikan perimeter.

Seorang auditor yang cerdas tidak akan menangkap masalah ini karena pernyataan tidak mencari informasi “operasional” di semua sistem - standarnya benar-benar satu lapisan pertanyaan dan jawaban. Faktanya, sebagian besar pernyataan hanya mengukur apakah alat tersebut ada, bukan kelayakan operasional. Selain itu, sebagian besar auditor tidak cukup teknis untuk membedakan IDS/IPS yang fungsional dari yang tidak fungsional. Inti dari audit bergantung pada perusahaan untuk menunjukkan yang terbaik daripada menjawab pertanyaan sulit. Auditor juga harus mencakup beragam kontrol selama audit sehingga waktu menjadi faktor besar dalam kualitas analisis mereka.

Sebuah pernyataan saja tidak akan memberi tahu Anda bahwa sebuah perusahaan memiliki program keamanan yang matang dengan kontrol. Mengharuskan mitra potensial untuk menyelesaikan survei vendor juga tidak akan memberi Anda kepercayaan. Survei hanya menggambarkan informasi yang sama dalam format yang berbeda. Jadi bagaimana Anda menilai program keamanan yang matang?

Kontrol memungkinkan fleksibilitas dalam penerapan serta pertumbuhan dan inovasi operasional seiring waktu. Sayangnya, beberapa organisasi menggunakan fleksibilitas ini hanya untuk memenuhi syarat, tetapi tidak memiliki pertahanan yang nyata.

Salah satu contoh utama dari masalah ini adalah sistem deteksi/perlindungan intrusi (IDS atau IPS). Seperti pemindai virus, sebagian besar organisasi berinvestasi dalam IDS/IPS sebagai bagian dari praktik keamanan standar untuk melindungi terhadap lalu lintas berbahaya dan eksfiltrasi data. Industri ini dipenuhi dengan vendor yang membuat berbagai bentuk sistem IDS/IPS. Namun, beberapa organisasi membangun sistem lebih memilih untuk tidak membeli.

Saya baru-baru ini meninggalkan salah satu organisasi yang “membangun” sistem deteksi intrusi mereka sendiri dari alat sumber terbuka. Auditor diberitahu bahwa sistem tersebut adalah “alat yang fantastis”, dan bahkan diberikan contoh lalu lintas. Ketika saya menyelidiki lebih dalam tentang telemetri yang disediakan alat tersebut, saya menyadari bahwa lalu lintas sama sekali tidak dianalisis. Sebaliknya, hanya melewati sensor karena tidak dikonfigurasi untuk menangkap lalu lintas atau memberikan peringatan sama sekali. Selain itu, kredensial yang digunakan untuk mengelola alat tersebut diatur oleh karyawan sebelumnya dan tidak pernah diperbarui setelah dia pergi. Jadi pada dasarnya, alat tersebut dibiarkan tidak aktif selama berbulan-bulan tanpa intervensi manusia. Hal ini tidak hanya menempatkan perusahaan pada risiko, tetapi juga mengkompromikan perimeter.

Seorang auditor yang cerdas tidak akan menangkap masalah ini karena pernyataan tidak mencari informasi “operasional” di semua sistem - standarnya benar-benar satu lapisan pertanyaan dan jawaban. Faktanya, sebagian besar pernyataan hanya mengukur apakah alat tersebut ada, bukan kelayakan operasional. Selain itu, sebagian besar auditor tidak cukup teknis untuk membedakan IDS/IPS yang fungsional dari yang tidak fungsional. Inti dari audit bergantung pada perusahaan untuk menunjukkan yang terbaik daripada menjawab pertanyaan sulit. Auditor juga harus mencakup beragam kontrol selama audit sehingga waktu menjadi faktor besar dalam kualitas analisis mereka.

Sebuah pernyataan saja tidak akan memberi tahu Anda bahwa sebuah perusahaan memiliki program keamanan yang matang dengan kontrol. Mengharuskan mitra potensial untuk menyelesaikan survei vendor juga tidak akan memberi Anda kepercayaan. Survei hanya menggambarkan informasi yang sama dalam format yang berbeda. Jadi bagaimana Anda menilai program keamanan yang matang?

Kontrol memungkinkan fleksibilitas dalam penerapan serta pertumbuhan dan inovasi operasional seiring waktu. Sayangnya, beberapa organisasi menggunakan fleksibilitas ini hanya untuk memenuhi syarat, tetapi tidak memiliki pertahanan yang nyata.

Salah satu contoh utama dari masalah ini adalah sistem deteksi/perlindungan intrusi (IDS atau IPS). Seperti pemindai virus, sebagian besar organisasi berinvestasi dalam IDS/IPS sebagai bagian dari praktik keamanan standar untuk melindungi terhadap lalu lintas berbahaya dan eksfiltrasi data. Industri ini dipenuhi dengan vendor yang membuat berbagai bentuk sistem IDS/IPS. Namun, beberapa organisasi membangun sistem lebih memilih untuk tidak membeli.

Saya baru-baru ini meninggalkan salah satu organisasi yang “membangun” sistem deteksi intrusi mereka sendiri dari alat sumber terbuka. Auditor diberitahu bahwa sistem tersebut adalah “alat yang fantastis”, dan bahkan diberikan contoh lalu lintas. Ketika saya menyelidiki lebih dalam tentang telemetri yang disediakan alat tersebut, saya menyadari bahwa lalu lintas sama sekali tidak dianalisis. Sebaliknya, hanya melewati sensor karena tidak dikonfigurasi untuk menangkap lalu lintas atau memberikan peringatan sama sekali. Selain itu, kredensial yang digunakan untuk mengelola alat tersebut diatur oleh karyawan sebelumnya dan tidak pernah diperbarui setelah dia pergi. Jadi pada dasarnya, alat tersebut dibiarkan tidak aktif selama berbulan-bulan tanpa intervensi manusia. Hal ini tidak hanya menempatkan perusahaan pada risiko, tetapi juga mengkompromikan perimeter.

Seorang auditor yang cerdas tidak akan menangkap masalah ini karena pernyataan tidak mencari informasi “operasional” di semua sistem - standarnya benar-benar satu lapisan pertanyaan dan jawaban. Faktanya, sebagian besar pernyataan hanya mengukur apakah alat tersebut ada, bukan kelayakan operasional. Selain itu, sebagian besar auditor tidak cukup teknis untuk membedakan IDS/IPS yang fungsional dari yang tidak fungsional. Inti dari audit bergantung pada perusahaan untuk menunjukkan yang terbaik daripada menjawab pertanyaan sulit. Auditor juga harus mencakup beragam kontrol selama audit sehingga waktu menjadi faktor besar dalam kualitas analisis mereka.

Sebuah pernyataan saja tidak akan memberi tahu Anda bahwa sebuah perusahaan memiliki program keamanan yang matang dengan kontrol. Mengharuskan mitra potensial untuk menyelesaikan survei vendor juga tidak akan memberi Anda kepercayaan. Survei hanya menggambarkan informasi yang sama dalam format yang berbeda. Jadi bagaimana Anda menilai program keamanan yang matang?

Mengevaluasi Seluruh Program Keamanan Cloud

Pertama, Anda seharusnya meninjau setidaknya pernyataan dan laporan temuan, bukan ringkasan eksekutif. Itu akan memberi Anda gambaran umum tentang program yang ditinjau oleh pihak ketiga. Selain itu, program keamanan yang komprehensif harus mencakup strategi perlindungan data yang kuat seperti prosedur cadangan dan pemulihan database untuk memastikan kelangsungan bisnis dan integritas data selama insiden keamanan. Kedua, Anda pasti harus meninjau apakah perusahaan menjalani tes penetrasi pihak ketiga atau program bug bounty. Secara pribadi, saya bukan penggemar bug bounty, tetapi saya penggemar pengujian penetrasi pihak ketiga setiap tahun. Pengujian penetrasi memberi Anda tes terstruktur tentang pertahanan Anda dan umpan balik nyata tentang kerentanan. Akhirnya, tinjau dokumen keamanan (biasanya daftar isi) yang digunakan perusahaan sebagai dasar untuk implementasi. Ini mencakup (tetapi tentu saja tidak terbatas pada) kebijakan keamanan, tanggapan insiden, dan manajemen kerentanan. Tim keamanan yang berpengalaman akan menawarkan untuk membagikan dokumen dan artefak tersebut sebagai bagian dari bisnis normal.

Saya menjadikannya sebagai hal yang biasa untuk mengevaluasi setiap vendor dan mitra dari perspektif akses ke data perusahaan. Artinya jika mitra atau vendor mengelola data perusahaan, mereka akan mendapatkan pemeriksaan lebih ketat daripada vendor yang tidak. Ingat tujuan bisnis saat mengevaluasi program keamanan. Saya meninjau tujuan bisnis dan jenis informasi yang terlibat, lalu mengevaluasi dari perspektif itu, bukan menangani semua mitra dan vendor dengan cara yang sama. Ketika ragu, selalu minta informasi lebih lanjut.

Pertama, Anda seharusnya meninjau setidaknya pernyataan dan laporan temuan, bukan ringkasan eksekutif. Itu akan memberi Anda gambaran umum tentang program yang ditinjau oleh pihak ketiga. Selain itu, program keamanan yang komprehensif harus mencakup strategi perlindungan data yang kuat seperti prosedur cadangan dan pemulihan database untuk memastikan kelangsungan bisnis dan integritas data selama insiden keamanan. Kedua, Anda pasti harus meninjau apakah perusahaan menjalani tes penetrasi pihak ketiga atau program bug bounty. Secara pribadi, saya bukan penggemar bug bounty, tetapi saya penggemar pengujian penetrasi pihak ketiga setiap tahun. Pengujian penetrasi memberi Anda tes terstruktur tentang pertahanan Anda dan umpan balik nyata tentang kerentanan. Akhirnya, tinjau dokumen keamanan (biasanya daftar isi) yang digunakan perusahaan sebagai dasar untuk implementasi. Ini mencakup (tetapi tentu saja tidak terbatas pada) kebijakan keamanan, tanggapan insiden, dan manajemen kerentanan. Tim keamanan yang berpengalaman akan menawarkan untuk membagikan dokumen dan artefak tersebut sebagai bagian dari bisnis normal.

Saya menjadikannya sebagai hal yang biasa untuk mengevaluasi setiap vendor dan mitra dari perspektif akses ke data perusahaan. Artinya jika mitra atau vendor mengelola data perusahaan, mereka akan mendapatkan pemeriksaan lebih ketat daripada vendor yang tidak. Ingat tujuan bisnis saat mengevaluasi program keamanan. Saya meninjau tujuan bisnis dan jenis informasi yang terlibat, lalu mengevaluasi dari perspektif itu, bukan menangani semua mitra dan vendor dengan cara yang sama. Ketika ragu, selalu minta informasi lebih lanjut.

Pertama, Anda seharusnya meninjau setidaknya pernyataan dan laporan temuan, bukan ringkasan eksekutif. Itu akan memberi Anda gambaran umum tentang program yang ditinjau oleh pihak ketiga. Selain itu, program keamanan yang komprehensif harus mencakup strategi perlindungan data yang kuat seperti prosedur cadangan dan pemulihan database untuk memastikan kelangsungan bisnis dan integritas data selama insiden keamanan. Kedua, Anda pasti harus meninjau apakah perusahaan menjalani tes penetrasi pihak ketiga atau program bug bounty. Secara pribadi, saya bukan penggemar bug bounty, tetapi saya penggemar pengujian penetrasi pihak ketiga setiap tahun. Pengujian penetrasi memberi Anda tes terstruktur tentang pertahanan Anda dan umpan balik nyata tentang kerentanan. Akhirnya, tinjau dokumen keamanan (biasanya daftar isi) yang digunakan perusahaan sebagai dasar untuk implementasi. Ini mencakup (tetapi tentu saja tidak terbatas pada) kebijakan keamanan, tanggapan insiden, dan manajemen kerentanan. Tim keamanan yang berpengalaman akan menawarkan untuk membagikan dokumen dan artefak tersebut sebagai bagian dari bisnis normal.

Saya menjadikannya sebagai hal yang biasa untuk mengevaluasi setiap vendor dan mitra dari perspektif akses ke data perusahaan. Artinya jika mitra atau vendor mengelola data perusahaan, mereka akan mendapatkan pemeriksaan lebih ketat daripada vendor yang tidak. Ingat tujuan bisnis saat mengevaluasi program keamanan. Saya meninjau tujuan bisnis dan jenis informasi yang terlibat, lalu mengevaluasi dari perspektif itu, bukan menangani semua mitra dan vendor dengan cara yang sama. Ketika ragu, selalu minta informasi lebih lanjut.

Berita lainnya

Baca lebih lanjut dari kategori ini

A person is standing at a desk while typing on a laptop.

Platform AI-native lengkap yang dapat berkembang seiring dengan bisnis Anda.

Hubungi penjualan

Mulai gratis

© 2025 Burung

Hubungi Dukungan

A person is standing at a desk while typing on a laptop.

Platform AI-native lengkap yang dapat berkembang seiring dengan bisnis Anda.

Hubungi penjualan

Mulai gratis

© 2025 Burung

Hubungi Dukungan

A person is standing at a desk while typing on a laptop.

Platform AI-native lengkap yang dapat berkembang seiring dengan bisnis Anda.

Hubungi penjualan

Mulai gratis

© 2025 Burung

Hubungi Dukungan