Memastikan organisasi melakukan praktik terbaik untuk mencegah hacker dan mengetahui bahwa anda tidak bertanggung jawab jika terjadi hal yang tidak diinginkan menjadi alasan yang kuat mengapa para petinggi perusahaan menerapkan standar keamanan. Kontrol keamanan cloud adalah tindakan dan cara terbaik untuk melindungi lingkungan cloud dari ancaman keamanan dan memastikan kerahasiaan, integritas dan ketersediaan data.
Keamanan cloud semakin penting seiring dengan meningkatnya penggunaan layanan berbasis cloud oleh berbagai organisasi. Salah satu isu keamanan cloud computing adalah pencurian informasi. Untuk mengatasinya, terdapat beberapa standar dan framework yang telah dikembangkan untuk memastikan keamanan cloud yang optimal. Diantaranya, ISO, CSF, CIS, MITRE, dan CSA yang banyak digunakan sebagai panduan utama. Berikut penjelasan bagaimana peran masing-masing framework keamanan cloud (Cloud Security Frameworks).
Contents
ISO 27001 dan Keamanan Cloud
Standar ISO 27001 sudah ada dalam keamanan TI sejak lama. Standar ini mengartikan cara membangun dan mengelola sistem manajemen keamanan informasi (ISMS), serta berkaitan dengan kemampuan organisasi untuk mengelola keamanan informasi. ISO 27001 memberikan panduan umum yang dapat diterapkan pada berbagai jenis data dan teknologi, termasuk cloud. Standar ini merupakan standar yang paling sesuai untuk keamanan cloud, khususnya bagi perusahaan yang membutuhkan sertifikasi.
Sedangkan ISO 27017 adalah standar pendukung ISO 27001 yang memberikan panduan spesifik untuk keamanan layanan cloud. Standar ini mencakup kontrol tambahan yang harus dipertimbangkan oleh penyedia dan pengguna layanan cloud, termasuk tanggung jawab bersama dalam pengelolaan keamanan data dan layanan.
The NIST Cybersecurity Framework (CSF)
Kerangka kerja keamanan siber NIST bertujuan untuk menilai kesesuaian keamanan lembaga, organisasi dan perusahaan. Kerangka kerja ini hampir sama dengan norma ISO 27001 tetapi dengan satu perbedaan yang signifikan, yaitu ISO bergantung pada audit eksternal.
Kerangka kerja keamanan siber memiliki 3 elemen utama, yang pertama adalah inti kerangka kerja, daftar aktivitas, atau kontrol yang disusun berdasarkan 5 fungsi. Elemen yang kedua adalah Framework Tiers yang mengatur kecanggihan manajemen risiko keamanan siber organisasi dan penting untuk organisasi manapun. Sedangkan elemen yang terakhir adalah profil kerangka kerja yang membantu arsitek keamanan mendefinisikan peta jalan mereka.
NIST dan ISO berdampak pada pekerjaan keamanan cloud. Keduanya ini memiliki kemampuan keamanan yang berpotensi untuk keamanan organisasi. Kedua standar ini memiliki persyaratan tambahan yang bisa mempengaruhi pekerjaan departemen TI untuk menjalankan beban kerja dan mengembangkan aplikasi di cloud.
Center for Internet Security (CIS)
CIS memiliki tolok ukur untuk layanan perangkat lunak standar, mulai dari sistem operasi dan basis data hingga vendor cloud, seperti Amazon AWS, Google Cloud dan Microsoft azure. Tolok ukur CIS melindungi perusahaan dari kesalahan konfigurasi yang bisa dicegah. Kerangka kerja dan metodologi keamanan cloud mencakup topik multi cloud, tantangan keamanan ketika menggabungkan layanan cloud atau keamanan secara umum.
- CIS Controls
CIS Controls adalah seperangkat tindakan terbaik yang dirancang untuk membantu organisasi dalam meningkatkan postur keamanan siber mereka. CIS Controls mencakup berbagai aspek keamanan, mulai dari pengelolaan inventaris hingga pemantauan dan analisis keamanan. - CIS Benchmarks
CIS Benchmarks adalah panduan konfigurasi yang memberikan rekomendasi khusus untuk mengamankan berbagai platform dan layanan cloud. Benchmarks ini sangat dihargai karena kepraktisan dan relevansinya dalam mengatasi ancaman keamanan yang nyata.
- CIS Controls
MITRE ATT&CK Framework
MITRE ATT&CK adalah kerangka kerja berbasis pengetahuan yang mendokumentasikan taktik dan teknik yang digunakan oleh ancaman siber. Kerangka ini menyediakan panduan tentang cara mendeteksi, menanggapi, dan mencegah serangan siber yang kompleks.Kerangka kerja ATT&CK membantu peretas etis mensimulasikan serangan yang umum. Hal ini membantu pusat operasi keamanan menetapkan aturan untuk mendeteksi serangan umum dan tingkat lanjutnya.
Alih-alih menerapkan aturan ini sendiri, perusahaan dapat berlangganan layanan keamanan cloud tingkat lanjut seperti Microsoft Defender atau Amazon GuardDuty. Hal tersebut adalah salah satu alasan mengapa kerangka kerja ATT&CK memiliki dampak terbatas pada arsitektur keamanan cloud. Alasan lainnya adalah bahwa menganalisis dan memprioritaskan serangan terbaru secara rinci sebagai masukan untuk merancang arsitektur keamanan cloud terlalu memakan waktu bagi sebagian besar perusahaan dan bukan pendekatan yang cukup memadai untuk mengelola risiko.
CSA (Cloud Security Alliance)
Pedoman CSA ini memiliki kemampuan terkait keamanan yang mungkin dibutuhkan oleh organisasi keamanan TI, departemen TI dan perusahaan lainnya, seperti SDM atau kepatuhan. Pendekatan CSA menggabungkan ulang standar yang ada untuk cloud publik dibandingkan untuk membuat kontrol dan persyaratan baru. Cloud tidak akan merusak sistem keamanan meskipun penerapan teknisnya memerlukan teknologi baru.
CSA STAR (Security, Trust & Assurance Registry) adalah program sertifikasi yang menawarkan penilaian transparan tentang kontrol keamanan cloud yang diterapkan oleh penyedia layanan. CSA STAR mencakup tiga tingkat sertifikasi: penilaian diri, penilaian oleh pihak ketiga, dan penilaian berkelanjutan.
Baca juga: Perbedaan NIST CSF vs ISO 27001 Keamanan Informasi
