Cara terbaik untuk mengukur risiko keamanan informasi? Cara terbaik bergotong-royong melompat secara eksklusif dan mencari kerentanan spesifik di sistem dan aplikasi anda; Hal ini tidak berbeda dengan mengukur kesehatan insan melalui magnetic resonance imaging, analisis darah dan sejenisnya.
Beberapa orang menyebut latihan ini audit keamanan TI. Lainnya menyebutnya dengan istilah pengujian penetrasi. Walaupun vulnerability assessment yaitu subset dari pengujian penetrasi.
Namun, melaksanakan analisis mendalam perihal lingkungan tidak hanya membandingkan kebijakan terhadap bagaimana hal-hal benar-benar berjalan - audit keamanan TI - atau hanya mencoba menerobos dan pengujian penetrasi untuk menunjukan sebuah hal - jadi kami lebih suka menyebutnya latihan evaluasi keamanan informasi. Mereka lebih luas dan lebih bermakna dan mereka membantu memperlihatkan di mana kebijakan dan mekanisme keamanan gagal.
Semantik pengujian keamanan sanggup diperdebatkan alasannya yaitu konotasinya namun tujuan utamanya yaitu menemukan dan memperbaiki kelemahan sebelum seseorang mengeksploitasinya.
Terserah kepada profesional keamanan untuk memastikan bahwa langkah-langkah yang tepat dilakukan untuk melihat semuanya, sehingga risiko yang teridentifikasi sanggup dipahami, dipecahkan atau diterima sebagai serpihan dari siklus pengelolaan risiko informasi.
Berikut yaitu komponen kunci dari evaluasi keamanan informasi yang efektif. Letakkan politik dan ego ke samping dan pastikan semua area ini dipertimbangkan dan dapatkan perhatian yang pantas mereka dapatkan:
Jika kepemimpinan tidak mau menginvestasikan sumber daya yang dibutuhkan untuk melihat secara jujur lingkungan sistem informasi perusahaan mereka, maka segala sesuatu akan menjadi usaha yang berat. Fokus pada mendapat - dan menjaga - orang yang tepat di organisasi. Tanggung jawabnya bukan pada manajemen, melainkan pada anggota staf dan kepemimpinan TI dan keamanan.
#2. Ruang Lingkup: Hal ini merupakan fase terpenting dari evaluasi keamanan informasi yang solid. Ada banyak teladan di mana sistem, aplikasi dan bahkan seluruh lingkungan jaringan tidak disertakan dalam pengujian keamanan. Alasannya hampir selalu sama:
"Tidak ada cukup waktu atau uang," dan "Kami tidak diharuskan untuk menguji sistem tersebut dan itu." Tidak apa-apa untuk menyempurnakan cakupan anda,
tetapi anda harus memastikan semua sistem penting anda dilihat - semakin cepat semakin baik, daripada nanti Akhirnya, anda perlu melihat seluruh lingkungan anda alasannya yaitu yang sepertinya sistem yang jinak, segmen jaringan atau proses keamanan akan menjadikan semua menjadi berantakan. Pastikan untuk mempertimbangkan sistem eksternal, sistem internal dan sistem yang diselenggarakan oleh pihak ketiga di cloud - termasuk situs web pemasaran anda.
Selain itu, pengujian keamanan terotentikasi dari kedua sistem operasi dan aplikasi web merupakan kebutuhan mutlak. Pastikan semuanya yaitu permainan yang adil untuk pengujian - termasuk orang, proses dan sistem keamanan fisik anda.
#3. Pengujian: Mulai dengan scan kerentanan, saring dari temuan scanner, lakukan analisis manual dan lihat apa yang rentan diserang dalam konteks lingkungan dan bisnis anda. Pada tingkat tinggi, memang benar-benar sesederhana itu.
Fase ini harus meliputi cracking password, analisis jaringan nirkabel dan terutama email phishing. Teknik-teknik ini biasanya di jelaskan dalam buku-buku menyerupai Hacking For Dummies. Yang penting yaitu melihat lingkungan perusahaan dari sudut pandang hacker, lihat apa yang sanggup dieksploitasi dan kemudian tunjukkan apa yang sanggup terjadi sehingga warta tersebut sanggup dianalisis dan, kalau perlu, diselesaikan.
#4. Pelaporan: Laporan PDF setebal 500 halaman dari hasil scan kerentanan tidak akan menolong. Laporan evaluasi keamanan yang terang dan ringkas yang menguraikan prioritas, temuan dan rekomendasi logika sehat yaitu apa yang dibutuhkan.
Laporan final tidak harus panjang. Ini hanya perlu dipotong untuk mengejar dan menguraikan area kelemahan tertentu yang memerlukan perhatian dari perspektif profesional keamanan - sekali lagi, dengan mempertimbangkan konteks sistem dan bisnis. Ini sanggup menggabungkan elemen pengujian penetrasi dan audit keamanan TI.
Kami tidak menyukai pendekatan umum dari organisasi yang membabi buta mengikuti prioritas vendor untuk kerentanan. Contoh dari hal ini yaitu scanner kerentanan, sering mengikuti Common Scanner System atau peringkat serupa, memperlihatkan evaluasi yang parah terhadap Simple Network Management Protocol yang diaktifkan dengan string komunitas default pada printer jaringan yang tidak berbahaya. Jika temuan tersebut dianggap berat, kemudian apa kata sandi firewall yang lemah,
injeksi SQL pada aplikasi core web, atau patch yang hilang yang sanggup dieksploitasi dari jarak jauh pada server critical? Ini semua perihal konteks dan logika sehat. Jenis evaluasi keamanan informasi terburuk yang sanggup anda lakukan yaitu yang tidak mempunyai laporan formal dan, oleh alasannya yaitu itu, problem menjadi tidak terlihat dan tidak terselesaikan.
#5. Perbaikan: Jika Anda menemukan masalah, perbaiki. Sering terjadi laporan evaluasi keamanan dan temuan spesifik yang dikandungnya tidak pernah di tindak lanjuti sama sekali - atau setidaknya hingga temuan tersebut dilaporkan dalam evaluasi keamanan berikut.
Ini yaitu perbaikan yang mudah: tentukan tanggung jawab dan pastikan bahwa setiap orang bertanggung jawab. Pada giliran evaluasi keamanan informasi selanjutnya, mungkin dalam enam bulan atau satu tahun, akan menentukan apakah problem telah teratasi atau tidak.
Sebagai alternatif, anda mungkin mempertimbangkan untuk melaksanakan validasi remediasi terhadap temuan penting dan prioritas tinggi sebagai tindak lanjut dari evaluasi keamanan anda, 30 hingga 45 hari sesudah laporan tersebut disampaikan dan temuan telah diberikan.
#6. Pengawasan: Memastikan keamanan yang berkelanjutan antara evaluasi keamanan anda akan memerlukan sesuatu yang sederhana menyerupai mengutak-atik sistem dan perangkat lunak yang ada, kemungkinan penerapan kontrol teknis gres dan perombakan eksklusif atas kebijakan dan proses anda.
Daripada berusaha mencapai keamanan yang sempurna, tujuan yang harus ditempuh yaitu keamanan yang masuk logika dengan jendela waktu yang lebih pendek dan lebih pendek untuk menangkap kekurangan dan menyelesaikannya.
Selanjutnya, administrasi harus terus dilibatkan. Banyak direktur berada sejajar dengan apa yang dibutuhkan, dalam hal kepatuhan dan kewajiban kontrak. Tidak problem apakah mereka tertarik atau tidak. Jaga orang yang tepat dalam bundar dengan evaluasi keamanan anda.
Ini tidak hanya memperlihatkan pengembalian investasi mereka, ini penting untuk pembelian yang sedang berlangsung. Jika tidak, keamanan tidak terlihat dan tidak pada pikiran dan, oleh alasannya yaitu itu, bukan prioritas.
Intinya yaitu setiap perusahaan mempunyai informasi dan aset komputasi yang mungkin dilakukan oleh hacker jahat atau orang dalam yang jahat alasannya yaitu mendapat keuntungan, atau pengguna yang ceroboh sanggup kehilangan atau merusaknya. Sangat kurang cerdik untuk percaya bahwa anda sanggup kondusif atau kebal terhadap risiko informasi yang tidak anda ketahui. Dan perusahaan tidak sanggup hanya mengandalkan audit keamanan TI atau pengujian pena saja.
Mengabaikan evaluasi keamanan bukanlah pilihan yang sanggup dipertahankan untuk diteruskan selamanya. Selanjutnya, itu yaitu problem keamanan - dan berpotensi pada karir -- yaitu bunuh diri untuk mengungkap risiko informasi yang kesannya diabaikan.
Luangkan waktu yang dibutuhkan untuk merencanakan evaluasi keamanan informasi anda dengan benar, memastikan pekerjaan selesai dan memastikan bahwa anggota staf yang tepat di bidang TI, pengembangan, administrasi dan daerah lain diberi tahu perihal temuan sehingga problem sanggup ditangani.
"Anda hanya perlu melaksanakan sedikit hal baik dalam hidup anda asalkan anda tidak melaksanakan terlalu banyak hal yang salah."
Program keamanan informasi anda akan menjadi cerminan dari apa yang anda tabur - atau gagal menabur - termasuk mempunyai kegiatan untuk evaluasi keamanan yang sedang berlangsung. Pastikan ini merupakan prioritas. Bahkan bila dilakukan secara terencana dan konsisten dari waktu ke waktu, evaluasi ini bukanlah solusi tepat untuk semua kesulitan keamanan anda. Namun, anda sanggup yakin bahwa kalau anda menentukan untuk mengabaikan latihan penting ini, sejarah pastinya akan mengulanginya sendiri.
Beberapa orang menyebut latihan ini audit keamanan TI. Lainnya menyebutnya dengan istilah pengujian penetrasi. Walaupun vulnerability assessment yaitu subset dari pengujian penetrasi.
Namun, melaksanakan analisis mendalam perihal lingkungan tidak hanya membandingkan kebijakan terhadap bagaimana hal-hal benar-benar berjalan - audit keamanan TI - atau hanya mencoba menerobos dan pengujian penetrasi untuk menunjukan sebuah hal - jadi kami lebih suka menyebutnya latihan evaluasi keamanan informasi. Mereka lebih luas dan lebih bermakna dan mereka membantu memperlihatkan di mana kebijakan dan mekanisme keamanan gagal.
Semantik pengujian keamanan sanggup diperdebatkan alasannya yaitu konotasinya namun tujuan utamanya yaitu menemukan dan memperbaiki kelemahan sebelum seseorang mengeksploitasinya.
Terserah kepada profesional keamanan untuk memastikan bahwa langkah-langkah yang tepat dilakukan untuk melihat semuanya, sehingga risiko yang teridentifikasi sanggup dipahami, dipecahkan atau diterima sebagai serpihan dari siklus pengelolaan risiko informasi.
Berikut yaitu komponen kunci dari evaluasi keamanan informasi yang efektif. Letakkan politik dan ego ke samping dan pastikan semua area ini dipertimbangkan dan dapatkan perhatian yang pantas mereka dapatkan:
Baca Juga : Manfaat Menggunakan Bisnis Model Canvas Dan Penggunaan nya
Bagaimana Cara Mengukur keamanan informasi pada prakteknya
#1. Dukungan Manajemen: Tidak ada kegiatan evaluasi keamanan informasi yang manis yang pernah ada di lapangan atau berhasil dalam jangka panjang tanpa pertolongan manajemen. Sesederhana itu.#2. Ruang Lingkup: Hal ini merupakan fase terpenting dari evaluasi keamanan informasi yang solid. Ada banyak teladan di mana sistem, aplikasi dan bahkan seluruh lingkungan jaringan tidak disertakan dalam pengujian keamanan. Alasannya hampir selalu sama:
tetapi anda harus memastikan semua sistem penting anda dilihat - semakin cepat semakin baik, daripada nanti Akhirnya, anda perlu melihat seluruh lingkungan anda alasannya yaitu yang sepertinya sistem yang jinak, segmen jaringan atau proses keamanan akan menjadikan semua menjadi berantakan. Pastikan untuk mempertimbangkan sistem eksternal, sistem internal dan sistem yang diselenggarakan oleh pihak ketiga di cloud - termasuk situs web pemasaran anda.
Selain itu, pengujian keamanan terotentikasi dari kedua sistem operasi dan aplikasi web merupakan kebutuhan mutlak. Pastikan semuanya yaitu permainan yang adil untuk pengujian - termasuk orang, proses dan sistem keamanan fisik anda.
#3. Pengujian: Mulai dengan scan kerentanan, saring dari temuan scanner, lakukan analisis manual dan lihat apa yang rentan diserang dalam konteks lingkungan dan bisnis anda. Pada tingkat tinggi, memang benar-benar sesederhana itu.
#4. Pelaporan: Laporan PDF setebal 500 halaman dari hasil scan kerentanan tidak akan menolong. Laporan evaluasi keamanan yang terang dan ringkas yang menguraikan prioritas, temuan dan rekomendasi logika sehat yaitu apa yang dibutuhkan.
Kami tidak menyukai pendekatan umum dari organisasi yang membabi buta mengikuti prioritas vendor untuk kerentanan. Contoh dari hal ini yaitu scanner kerentanan, sering mengikuti Common Scanner System atau peringkat serupa, memperlihatkan evaluasi yang parah terhadap Simple Network Management Protocol yang diaktifkan dengan string komunitas default pada printer jaringan yang tidak berbahaya. Jika temuan tersebut dianggap berat, kemudian apa kata sandi firewall yang lemah,
injeksi SQL pada aplikasi core web, atau patch yang hilang yang sanggup dieksploitasi dari jarak jauh pada server critical? Ini semua perihal konteks dan logika sehat. Jenis evaluasi keamanan informasi terburuk yang sanggup anda lakukan yaitu yang tidak mempunyai laporan formal dan, oleh alasannya yaitu itu, problem menjadi tidak terlihat dan tidak terselesaikan.
Baca Juga : Ethical Hacking FootPrinting ( Mengenal FootPrinting )
#5. Perbaikan: Jika Anda menemukan masalah, perbaiki. Sering terjadi laporan evaluasi keamanan dan temuan spesifik yang dikandungnya tidak pernah di tindak lanjuti sama sekali - atau setidaknya hingga temuan tersebut dilaporkan dalam evaluasi keamanan berikut.
Sebagai alternatif, anda mungkin mempertimbangkan untuk melaksanakan validasi remediasi terhadap temuan penting dan prioritas tinggi sebagai tindak lanjut dari evaluasi keamanan anda, 30 hingga 45 hari sesudah laporan tersebut disampaikan dan temuan telah diberikan.
#6. Pengawasan: Memastikan keamanan yang berkelanjutan antara evaluasi keamanan anda akan memerlukan sesuatu yang sederhana menyerupai mengutak-atik sistem dan perangkat lunak yang ada, kemungkinan penerapan kontrol teknis gres dan perombakan eksklusif atas kebijakan dan proses anda.
Selanjutnya, administrasi harus terus dilibatkan. Banyak direktur berada sejajar dengan apa yang dibutuhkan, dalam hal kepatuhan dan kewajiban kontrak. Tidak problem apakah mereka tertarik atau tidak. Jaga orang yang tepat dalam bundar dengan evaluasi keamanan anda.
Ini tidak hanya memperlihatkan pengembalian investasi mereka, ini penting untuk pembelian yang sedang berlangsung. Jika tidak, keamanan tidak terlihat dan tidak pada pikiran dan, oleh alasannya yaitu itu, bukan prioritas.
Intinya yaitu setiap perusahaan mempunyai informasi dan aset komputasi yang mungkin dilakukan oleh hacker jahat atau orang dalam yang jahat alasannya yaitu mendapat keuntungan, atau pengguna yang ceroboh sanggup kehilangan atau merusaknya. Sangat kurang cerdik untuk percaya bahwa anda sanggup kondusif atau kebal terhadap risiko informasi yang tidak anda ketahui. Dan perusahaan tidak sanggup hanya mengandalkan audit keamanan TI atau pengujian pena saja.
Mengabaikan evaluasi keamanan bukanlah pilihan yang sanggup dipertahankan untuk diteruskan selamanya. Selanjutnya, itu yaitu problem keamanan - dan berpotensi pada karir -- yaitu bunuh diri untuk mengungkap risiko informasi yang kesannya diabaikan.
Luangkan waktu yang dibutuhkan untuk merencanakan evaluasi keamanan informasi anda dengan benar, memastikan pekerjaan selesai dan memastikan bahwa anggota staf yang tepat di bidang TI, pengembangan, administrasi dan daerah lain diberi tahu perihal temuan sehingga problem sanggup ditangani.
Baca Juga : Mengenal Distribusi Linux Menurut PengalamanSebagian besar profesional keamanan dan vendor ingin anda percaya, evaluasi keamanan informasi bukanlah latihan yang sulit dan tidak harus mahal bahkan return of investment hampir sanggup di garansi. Warren Buffett pernah berkata,
"Anda hanya perlu melaksanakan sedikit hal baik dalam hidup anda asalkan anda tidak melaksanakan terlalu banyak hal yang salah."
Program keamanan informasi anda akan menjadi cerminan dari apa yang anda tabur - atau gagal menabur - termasuk mempunyai kegiatan untuk evaluasi keamanan yang sedang berlangsung. Pastikan ini merupakan prioritas. Bahkan bila dilakukan secara terencana dan konsisten dari waktu ke waktu, evaluasi ini bukanlah solusi tepat untuk semua kesulitan keamanan anda. Namun, anda sanggup yakin bahwa kalau anda menentukan untuk mengabaikan latihan penting ini, sejarah pastinya akan mengulanginya sendiri.
This post have 0 komentar
EmoticonEmoticon
Catatan: Hanya anggota dari blog ini yang dapat mengirim komentar.