Risiko keamanan data tidak hanya disebabkan oleh serangan eksternal, tetapi dapat melalui jaringan internal. Untuk itu, diperlukan pendekatan berbasis keamanan siber yang menerapkan prinsip “Jangan percaya, tetap verifikasi” yaitu Zero Trust Architecture. Pendekatan ini dapat dikombinasikan dengan standar manajemen keamanan informasi lainnya seperti ISO 27001.

Apa itu Zero Trust Architecture?

Zero Trust Architecture (ZTA) merupakan prinsip keamanan siber yang mengedepankan ketidakpercayaan terhadap suatu entitas yang berada dalam jaringan. ZTA bekerja dengan mengasumsikan bahwa setiap entitas harus diautentikasi dan diverifikasi berdasarkan lokasi atau status.

Prinsip ini memastikan bahwa hanya user, perangkat, dan aplikasi yang sah yang dapat mengakses data atau layanan tertentu. ZTA membatasi setiap ruang gerak segmen dengan mencatat secara real-time, melakukan autentikasi, dan otorisasi guna mengurangi risiko kebocoran data, akses yang tidak sah, atau jaringan internal yang melakukan aktivitas tidak wajar.

Zero Trust Architecture yang memiliki pendekatan arsitektur yang lebih teknis dapat dipadukan dengan sistem manajemen yang menyediakan framework dan kontrol keamanan informasi berbasis risiko, yaitu ISO 27001.

Gabungan infrastruktur digital teknis dari ZTA  dan kebijakan dalam mengelola keamanan informasi oleh ISO 27001 memastikan integrasi keduanya berjalan secara harmoni dari segi manajerial dan architecture design.

Baca juga: Pembahasan Klausul 8 ISO 27001: Aspek Operasional Perusahaan

Zero Trust Architecture & ISO 27001

Berikut beberapa prinsip Zero Trust Architecture yang relevan dengan ISO 27001:2022.

  • Verify Explicitly dan Annex 5.15: Keduanya memastikan bahwa setiap entitas harus selalu diidentifikasi berdasarkan identitas dan perangkat yang digunakan. Selain itu, aturan ini juga mengendalikan akses fisik dan logis ke informasi dan aset terkait lainnya.
  • Least Privilege Access dan Klausul 8: Keduanya memberikan akses minimum yang diperlukan dengan menetapkan dan menerapkan pengendalian proses sesuai dengan kriteria.
  • Assume Breach dan Annex 5.26: Keduanya memberikan asumsi atau respon jika terjadi suatu insiden keamanan informasi yang harus ditanggapi sesuai dengan prosedur yang terdokumentasi.

Baca juga: BEST PRACTICES! Langkah Penerapan ISO 27001 di Perusahaan

Langkah Efektif Penerapan Zero Trust Architecture Berbasis ISO 27001

Berikut ini langkah efektif penerapan Zero Trust Architecture berbasis ISO 27001.

1. Gap Analysis

Komparasikan prinsip ZTA dengan kontrol 27001 untuk menemukan celah keamanan yang belum detail dalam segmentasi mikro.

2. Identifikasi Aset dan Data

Kelola manajemen aset berdasarkan dokumen ISO 27001 meliputi inventaris informasi aset, aset fisik, aset digital, hingga keamanan aset di luar lokasi.

3. Implementasikan Identity & Access Management (IAM)

Gunakan Multi Factor Authentication (MFA), Single Sign On (SSO), serta just in time access untuk melimitasi pergerakan user.

4. Segmentasi Jaringan & Aplikasi

Gunakan software defined perimeter atau segmentasi VLAN yang terisolasi  agar membatasi ruang lingkup untuk membatasi gerakan lateral dari ancaman siber.

5. Monitoring dan Logging Terintegrasi

Kelola data log dengan Security Information and Event Management (SIEM) yang beroperasi secara real-time untuk memantau aktivitas login ke dalam jaringan.

6. Pengujian dan Audit Berkala

Penetration testing membantu mendeteksi risiko keamanan siber dan memastikan sistem terlindungi dari ancaman peretasan. Melalui audit berkala dengan standar ISO 27001, perusahaan dapat mengelola keamanan informasi secara efektif dan mematuhi regulasi.

Madhava Technology siap memberikan solusi lengkap, mulai dari Penetration Testing, IT Audit hingga Konsultasi ISO 27001, untuk melindungi data pelanggan dan meningkatkan kepercayaan bisnis.

7. Continuous Improvement

Gunakan siklus PDCA dari dokumen ISO 27001 untuk perbaikan yang berkelanjutan.

Baca juga: Panduan Menyusun Pernyataan Penerapan (SoA) ISO 27001

Zero Trust Architecture memastikan bahwa setiap pengguna, perangkat, aplikasi, dan jaringan yang masuk ke dalam sistem tercatat dan terus dipantau secara real time dengan membatasi pergerakan dalam jaringan.

Penerapan ZTA dapat dipadukan dengan kebijakan Sistem Manajemen Keamanan Informasi ISO 27001 agar pendekatan teknis yang diterapkan oleh ZTA selaras dengan kebijakan dokumen ISO 27001.

Mulai perjalanan keamanan bisnis anda bersama Madhava Technology. Hubungi kami!