Mengapa Attestation Hanyalah Satu Bagian dari Program Keamanan Cloud Anda

Steven Murray

5 Jul 2017

Email

1 min read

Mengapa Attestation Hanyalah Satu Bagian dari Program Keamanan Cloud Anda

Intisari Utama

    • Attestations alone don’t guarantee security. Mereka mengonfirmasi bahwa standar tertentu terpenuhi, tetapi tidak bahwa kontrol berfungsi atau diawasi dengan benar.

    • Operational readiness matters more than certification. Sebuah perusahaan dapat lulus audit sementara alat keamanannya—seperti sistem IDS/IPS—tidak berfungsi.

    • Auditors often verify existence, not performance. Banyak atestasi menilai apakah sistem ada, bukan apakah mereka dikonfigurasi dengan benar atau secara aktif dipelihara.

    • A strong cloud security program blends compliance with continuous monitoring. Atestasi memberikan basis kepatuhan, tetapi pengujian dan evaluasi yang berkelanjutan memastikan perlindungan yang sebenarnya.

    • Third-party penetration tests reveal real vulnerabilities. Mereka menawarkan wawasan yang lebih dalam daripada survei atau daftar periksa, memvalidasi bahwa langkah-langkah keamanan bekerja dalam kondisi dunia nyata.

    • Vendor evaluations should consider data access and risk exposure. Mitra yang menangani informasi sensitif memerlukan pengawasan yang lebih ketat dan tinjauan berkala.

    • Effective security requires transparency. Organisasi yang matang dengan senang hati membagikan kebijakan, kerangka respons insiden, dan prosedur pengelolaan kerentanan.

Sorotan Q&A

  • Mengapa attestation tidak merupakan ukuran yang andal dari kematangan keamanan?

    Karena mereka hanya membuktikan bahwa kontrol yang diperlukan ada, bukan bahwa mereka berfungsi. Kematangan keamanan yang sebenarnya melibatkan validasi berkelanjutan, pemantauan, dan respons terhadap ancaman.

  • Apa kegagalan umum dalam mengandalkan hanya pemeriksaan kepatuhan?

    Organisasi mungkin menggunakan alat hanya untuk "memenuhi syarat." Sebagai contoh, IDS dapat diinstal tetapi tidak benar-benar dikonfigurasi untuk mendeteksi atau memberi peringatan tentang ancaman.

  • Apa yang harus Anda tinjau di luar pernyataan saat mengevaluasi vendor?

    Selalu periksa laporan temuan lengkap (bukan hanya ringkasan), tanyakan tentang pengujian penetrasi tahunan, dan mintalah akses ke dokumentasi keamanan inti.

  • Bagaimana pengujian pihak ketiga dapat meningkatkan program keamanan?

    Penetration tests mensimulasikan serangan dunia nyata, mengungkap kelemahan yang diabaikan oleh audit kepatuhan, memastikan bahwa pertahanan berfungsi seperti yang diharapkan.

  • Apa yang mendefinisikan program keamanan cloud yang matang?

    Pendekatan seimbang yang menggabungkan atestasi, pemantauan berkelanjutan, strategi perlindungan data, kesiapan respons insiden, dan manajemen kerentanan secara proaktif.

  • Bagaimana Anda harus menilai postur keamanan vendor?

    Evaluasi berdasarkan sensitivitas data yang mereka akses—vendor yang menangani data pelanggan harus memenuhi standar keamanan yang lebih tinggi dan menjalani tinjauan rutin.

Orang sering bertanya kepada saya apa yang membuat program keamanan yang baik. Sebanyak saya ingin menunjuk ke satu aspek dari batas keamanan saya untuk digunakan sebagai contoh, ada beberapa hal yang perlu disoroti.

Attestasi Tidak Selalu Mengukur Postur Pertahanan Anda

Sebuah attestation, by definition, adalah sebuah indikasi yang membuat sesuatu menjadi jelas. Dalam kasus keamanan, khususnya program keamanan, ini berarti untuk mengesahkan secara resmi.

Orang sering bertanya kepada saya apa yang membuat program keamanan yang baik. Meskipun saya ingin menunjuk satu aspek dari perimeter keamanan saya sebagai contoh, ada beberapa hal yang perlu disoroti. Industri mengandalkan attestation dan sertifikasi untuk mengukur pertahanan keamanan Anda. Insinyur dan operator akan memberi tahu Anda bahwa perimeter keamanan aktual dan kemampuan penilaian ancaman Anda mendefinisikan program keamanan Anda. Saya akan memberitahu Anda bahwa ini adalah kedua attestation kepatuhan sebagai ukuran dan kemampuan operasional tim keamanan Anda yang mendefinisikan program Anda. Meskipun attestation saja bukanlah tolok ukur yang akurat untuk mengukur sebuah program.

Attestation adalah kebutuhan industri untuk memastikan kepatuhan dengan undang-undang federal, lokal, dan negara bagian serta praktik terbaik industri. Standar ISO, NIST, atau DoD membentuk dasar dari sebagian besar attestation. NIST, misalnya, menerbitkan seperangkat standar dan panduan teknis untuk membantu organisasi membangun pertahanan perimeter yang dianggap "dapat diterima" oleh pemerintah. Namun, seperti yang akan saya jelaskan, hanya karena standar ditetapkan tidak berarti implementasi selalu hebat.

Penerapan sebuah Alat Tidak Berarti itu Memberikan Nilai

Kontrol memungkinkan fleksibilitas dalam implementasi dan pertumbuhan operasional serta inovasi seiring waktu. Sayangnya, beberapa organisasi menggunakan fleksibilitas ini hanya untuk memenuhi persyaratan, tetapi tidak memiliki pertahanan nyata yang ditempatkan.

Contoh utama masalah ini adalah sistem deteksi/proteksi intrusi (IDS atau IPS). Seperti pemindai virus, sebagian besar organisasi berinvestasi dalam IDS/IPS sebagai praktik keamanan standar untuk melindungi dari lalu lintas berbahaya dan pencurian data. Industri ini penuh dengan vendor yang membuat berbagai bentuk sistem IDS/IPS. Namun, beberapa organisasi membangun sistem daripada membeli.

Saya baru-baru ini meninggalkan salah satu organisasi semacam itu yang "membangun" sistem deteksi intrusi mereka sendiri dari alat sumber terbuka. Auditor diberitahu bahwa sistem ini adalah "alat yang fantastis", dan bahkan diberi contoh lalu lintas. Ketika saya menggali lebih dalam ke telemetri yang diberikan oleh alat tersebut, saya menyadari bahwa lalu lintas tidak dianalisis sama sekali. Malah, hanya melewati sensor karena tidak dikonfigurasi untuk menangkap lalu lintas atau memberi peringatan. Selain itu, kredensial yang digunakan untuk mengelola alat tersebut diatur oleh karyawan sebelumnya dan tidak pernah diperbarui setelah dia pergi. Jadi pada dasarnya, alat tersebut diam tanpa intervensi manusia selama berbulan-bulan. Tidak hanya ini membuat perusahaan berisiko, tetapi juga membahayakan perimeter.

Auditor yang cerdik tidak akan menangkap masalah ini karena pernyataan tidak mencari informasi "operasional" pada semua sistem – standarnya secara harfiah adalah satu lapisan pertanyaan dan jawaban. Faktanya, sebagian besar pernyataan hanya mengukur apakah alat tersebut ada, bukan kelayakan operasional. Selain itu, sebagian besar auditor tidak cukup teknis untuk membedakan IDS/IPS yang fungsional dari yang tidak fungsional. Inti dari audit bergantung pada perusahaan yang menampilkan citra terbaik daripada menjawab pertanyaan sulit. Auditor juga harus mencakup berbagai kontrol selama audit sehingga waktu menjadi faktor besar dalam kualitas analisis mereka.

Sebuah pernyataan sendiri akan memberitahu Anda bahwa sebuah perusahaan memiliki program keamanan yang matang dengan kontrol. Meminta mitra potensial untuk menyelesaikan survei vendor juga tidak akan memberikan Anda kepercayaan. Survei hanya menguraikan informasi yang sama dalam format yang berbeda. Jadi bagaimana Anda mengevaluasi program keamanan yang matang?

Kontrol memungkinkan fleksibilitas dalam implementasi dan pertumbuhan operasional serta inovasi seiring waktu. Sayangnya, beberapa organisasi menggunakan fleksibilitas ini hanya untuk memenuhi persyaratan, tetapi tidak memiliki pertahanan nyata yang ditempatkan.

Contoh utama masalah ini adalah sistem deteksi/proteksi intrusi (IDS atau IPS). Seperti pemindai virus, sebagian besar organisasi berinvestasi dalam IDS/IPS sebagai praktik keamanan standar untuk melindungi dari lalu lintas berbahaya dan pencurian data. Industri ini penuh dengan vendor yang membuat berbagai bentuk sistem IDS/IPS. Namun, beberapa organisasi membangun sistem daripada membeli.

Saya baru-baru ini meninggalkan salah satu organisasi semacam itu yang "membangun" sistem deteksi intrusi mereka sendiri dari alat sumber terbuka. Auditor diberitahu bahwa sistem ini adalah "alat yang fantastis", dan bahkan diberi contoh lalu lintas. Ketika saya menggali lebih dalam ke telemetri yang diberikan oleh alat tersebut, saya menyadari bahwa lalu lintas tidak dianalisis sama sekali. Malah, hanya melewati sensor karena tidak dikonfigurasi untuk menangkap lalu lintas atau memberi peringatan. Selain itu, kredensial yang digunakan untuk mengelola alat tersebut diatur oleh karyawan sebelumnya dan tidak pernah diperbarui setelah dia pergi. Jadi pada dasarnya, alat tersebut diam tanpa intervensi manusia selama berbulan-bulan. Tidak hanya ini membuat perusahaan berisiko, tetapi juga membahayakan perimeter.

Auditor yang cerdik tidak akan menangkap masalah ini karena pernyataan tidak mencari informasi "operasional" pada semua sistem – standarnya secara harfiah adalah satu lapisan pertanyaan dan jawaban. Faktanya, sebagian besar pernyataan hanya mengukur apakah alat tersebut ada, bukan kelayakan operasional. Selain itu, sebagian besar auditor tidak cukup teknis untuk membedakan IDS/IPS yang fungsional dari yang tidak fungsional. Inti dari audit bergantung pada perusahaan yang menampilkan citra terbaik daripada menjawab pertanyaan sulit. Auditor juga harus mencakup berbagai kontrol selama audit sehingga waktu menjadi faktor besar dalam kualitas analisis mereka.

Sebuah pernyataan sendiri akan memberitahu Anda bahwa sebuah perusahaan memiliki program keamanan yang matang dengan kontrol. Meminta mitra potensial untuk menyelesaikan survei vendor juga tidak akan memberikan Anda kepercayaan. Survei hanya menguraikan informasi yang sama dalam format yang berbeda. Jadi bagaimana Anda mengevaluasi program keamanan yang matang?

Kontrol memungkinkan fleksibilitas dalam implementasi dan pertumbuhan operasional serta inovasi seiring waktu. Sayangnya, beberapa organisasi menggunakan fleksibilitas ini hanya untuk memenuhi persyaratan, tetapi tidak memiliki pertahanan nyata yang ditempatkan.

Contoh utama masalah ini adalah sistem deteksi/proteksi intrusi (IDS atau IPS). Seperti pemindai virus, sebagian besar organisasi berinvestasi dalam IDS/IPS sebagai praktik keamanan standar untuk melindungi dari lalu lintas berbahaya dan pencurian data. Industri ini penuh dengan vendor yang membuat berbagai bentuk sistem IDS/IPS. Namun, beberapa organisasi membangun sistem daripada membeli.

Saya baru-baru ini meninggalkan salah satu organisasi semacam itu yang "membangun" sistem deteksi intrusi mereka sendiri dari alat sumber terbuka. Auditor diberitahu bahwa sistem ini adalah "alat yang fantastis", dan bahkan diberi contoh lalu lintas. Ketika saya menggali lebih dalam ke telemetri yang diberikan oleh alat tersebut, saya menyadari bahwa lalu lintas tidak dianalisis sama sekali. Malah, hanya melewati sensor karena tidak dikonfigurasi untuk menangkap lalu lintas atau memberi peringatan. Selain itu, kredensial yang digunakan untuk mengelola alat tersebut diatur oleh karyawan sebelumnya dan tidak pernah diperbarui setelah dia pergi. Jadi pada dasarnya, alat tersebut diam tanpa intervensi manusia selama berbulan-bulan. Tidak hanya ini membuat perusahaan berisiko, tetapi juga membahayakan perimeter.

Auditor yang cerdik tidak akan menangkap masalah ini karena pernyataan tidak mencari informasi "operasional" pada semua sistem – standarnya secara harfiah adalah satu lapisan pertanyaan dan jawaban. Faktanya, sebagian besar pernyataan hanya mengukur apakah alat tersebut ada, bukan kelayakan operasional. Selain itu, sebagian besar auditor tidak cukup teknis untuk membedakan IDS/IPS yang fungsional dari yang tidak fungsional. Inti dari audit bergantung pada perusahaan yang menampilkan citra terbaik daripada menjawab pertanyaan sulit. Auditor juga harus mencakup berbagai kontrol selama audit sehingga waktu menjadi faktor besar dalam kualitas analisis mereka.

Sebuah pernyataan sendiri akan memberitahu Anda bahwa sebuah perusahaan memiliki program keamanan yang matang dengan kontrol. Meminta mitra potensial untuk menyelesaikan survei vendor juga tidak akan memberikan Anda kepercayaan. Survei hanya menguraikan informasi yang sama dalam format yang berbeda. Jadi bagaimana Anda mengevaluasi program keamanan yang matang?

Evaluasi Program Keamanan Cloud Secara Keseluruhan

Pertama, Anda harus meninjau minimal atestasi dan laporan temuan, bukan ringkasan eksekutif. Itu akan memberi Anda gambaran umum tentang program yang ditinjau oleh pihak ketiga. Selain itu, program keamanan yang komprehensif harus mencakup strategi perlindungan data yang kuat seperti prosedur cadangan dan pemulihan database untuk memastikan kelangsungan bisnis dan integritas data selama insiden keamanan. Kedua, Anda pasti harus meninjau apakah perusahaan menjalani tes penetrasi pihak ketiga atau program bug bounty. Secara pribadi, saya bukan penggemar bug bounty, tetapi saya adalah penggemar uji penetrasi pihak ketiga setiap tahun. Pentesting memberi Anda uji terstruktur dari pertahanan Anda dan umpan balik nyata tentang kerentanan. Akhirnya, tinjau dokumen keamanan (biasanya daftar isi) yang digunakan perusahaan sebagai dasar untuk implementasi. Ini termasuk (tetapi tentu saja tidak terbatas pada) kebijakan keamanan, tanggapan terhadap insiden, dan manajemen kerentanan. Tim keamanan yang berpengalaman akan menawarkan untuk berbagi dokumen dan artefak tersebut sebagai bagian dari bisnis normal.

Saya menjadikannya kebiasaan untuk mengevaluasi setiap vendor dan mitra dari perspektif akses ke data perusahaan. Artinya, jika mitra atau vendor mengelola data perusahaan, mereka mendapatkan pengawasan lebih ketat daripada vendor yang tidak. Ingat tujuan bisnis saat mengevaluasi program keamanan. Saya meninjau tujuan bisnis dan jenis informasi yang terlibat, kemudian mengevaluasi dari perspektif itu, daripada menangani semua mitra dan vendor sama. Saat ragu, selalu minta informasi lebih lanjut.

Berita lainnya

Baca lebih lanjut dari kategori ini

A person is standing at a desk while typing on a laptop.

Platform AI-native lengkap yang dapat beradaptasi dengan pertumbuhan bisnis Anda.

Hubungi penjualan

Mulai gratis

© 2025 Bird

Hubungi Support

A person is standing at a desk while typing on a laptop.

Platform AI-native lengkap yang dapat beradaptasi dengan pertumbuhan bisnis Anda.

Hubungi penjualan

Mulai gratis

© 2025 Bird

Hubungi Support

A person is standing at a desk while typing on a laptop.

Platform AI-native lengkap yang dapat beradaptasi dengan pertumbuhan bisnis Anda.

Hubungi penjualan

Mulai gratis

© 2025 Bird

Hubungi Support