Keamanan siber: Apa yang Perlu Diketahui Pemimpin

Kebutuhan akan keamanan siber telah meledak dalam beberapa tahun terakhir, karena adopsi budaya kerja dari rumah yang meluas secara tiba-tiba telah membuat perusahaan di seluruh dunia meninjau sistem, standar, dan strategi keamanan siber mereka untuk masa depan.

Itulah sebabnya BrainStation mengumpulkan empat pakar industri terkemuka strategi keamanan siber di raksasa jasa keuangan Mastercard , firma investasi Blackstone , situs jaringan profesional LinkedIn , dan pengembang perangkat lunak Citrix untuk diskusi tentang apa yang perlu diketahui para pemimpin tentang keamanan siber sebagai bagian dari Seri Acara Kepemimpinan Digital BrainStation.

Anda dapat menonton diskusi panel lengkap di sini:

Apa itu Keamanan Siber?

Sebelum menjelajahi cara-cara di mana lanskap keamanan siber berubah, panelis kami ditanyai tentang gagasan mereka tentang apa yang dimaksud dengan keamanan siber.

Eugene Dvorochkin, Anggota Senior tim Keamanan Informasi di LinkedIn, merangkum keamanan siber sebagai “menggunakan teknologi, proses, dan kontrol untuk melindungi sistem, jaringan, dan data. Pada akhirnya, semuanya kembali ke data… Yang kami coba lakukan hanyalah melindungi data itu, melindungi integritasnya, dan memastikan [tidak ada] penggunaan yang tidak sah.”

Seperti yang dijelaskan oleh Kurt Roemer, Kepala Strategi Keamanan di Citrix, fokus tradisional keamanan siber dalam menjaga kerahasiaan, integritas, dan ketersediaan data harus diperluas untuk mencakup faktor keempat: keamanan. “Saat kami mengadopsi IoT dan kecerdasan buatan lainnya dan [aplikasi augmented reality], itu terintegrasi dengan dunia fisik kami dengan cara di mana keselamatan menjadi sangat penting.”

Puneet Bhatnagar, Wakil Presiden Senior / Pimpinan IAM – Keamanan siber di Blackstone, mengambil pendekatan yang lebih filosofis: “Saya bertanya pada diri sendiri pertanyaan mendasar tentang 'Bagaimana saya dapat membantu membangun kepercayaan ke dalam desain sistem? Apakah saya merasa nyaman mendaftar untuk aplikasi ketika saya menawarkan detail pribadi saya? Apakah saya memercayai merek tempat saya menawarkan informasi itu?' Sangat penting bagi perusahaan untuk melihat keamanan siber sebagai segala yang perlu mereka lakukan untuk membangun kepercayaan dalam aplikasi dan ekosistem mereka.”

Sukhmani Dev, Wakil Presiden Solusi Digital & Keamanan di Mastercard, sependapat. “Kami ingin memastikan bahwa kepercayaan tercermin dalam setiap transaksi.”

Mencapai tujuan akhir itu adalah proses yang dinamis seperti halnya teknologi itu sendiri. Di bawah ini adalah beberapa tren yang lebih luas yang diidentifikasi oleh panelis kami.

Keamanan siber Lebih Penting Dari Sebelumnya

COVID-19 dan ledakan budaya kerja dari rumah yang dihasilkan telah menekan evolusi yang diperkirakan akan memakan waktu satu dekade menjadi hitungan bulan. Akselerasi itu berarti lebih banyak aktivitas online, lebih banyak pengguna baru, dan lebih banyak kompleksitas dalam sistem individual yang diandalkan pengguna, yang semuanya membuka peluang bagi pelaku kejahatan. Hasilnya adalah kebutuhan mendadak dan akut akan keamanan digital yang lebih banyak.

Banyak dari kebutuhan itu turun ke volume sederhana; selama penguncian, lebih banyak orang bekerja dan berbelanja dari perangkat di rumah mereka. Dvorochkin menjelaskan, “Saat Anda menggunakan jaringan rumah, Anda berpotensi menggunakan perangkat pribadi seperti komputer pribadi atau iPhone untuk mengakses lingkungan dan data perusahaan, dan Anda juga lebih bergantung pada sistem pihak ketiga seperti Zoom atau sistem lainnya. metode komunikasi. Anda memasuki lingkungan yang lebih sulit untuk diamankan.”

Bagi banyak perusahaan internasional besar, mengakomodasi pekerjaan jarak jauh relatif mudah. Tetapi bagi banyak bisnis bata-dan-mortir yang lebih kecil, ini berarti terjun pertama ke dunia digital – dan ini sangat rentan terhadap peretas. “[Ini adalah kesalahpahaman] bahwa hanya perusahaan besar dan terkenal yang menjadi target serangan,” lanjut Dvorochkin. “Peretas semakin maju, tetapi juga alat dan teknik yang mereka gunakan pada dasarnya telah menjadi publik. Siapa pun dapat online dan mulai meretas perusahaan mana pun. Bukan hanya perusahaan besar dan terkenal yang menjadi sasaran peretas canggih – ini bisa jadi toko ibu-dan-pop mana pun.”

Dev mengidentifikasi kompleksitas sistem yang berkembang sebagai vektor lain. "Semuanya lebih saling berhubungan dari sebelumnya," katanya. “Jika Anda berpikir tentang bank, mereka mungkin memiliki pemasok mereka, tetapi kemudian pemasok mereka memiliki pemasok, dan ini adalah rantai pasokan yang sangat besar. Titik koneksi telah tumbuh secara eksponensial dalam beberapa tahun terakhir.”

Ini berarti lebih banyak tautan yang lemah untuk dieksploitasi oleh peretas – dan peretas telah memperhatikannya.

Pindah Dari Sistem ke Pengguna

Pertumbuhan dalam skala dan kompleksitas juga berarti tim keamanan siber berjuang di lebih banyak bidang daripada sebelumnya. Hal ini pada gilirannya mengarah pada perubahan dalam cara para pakar keamanan siber memahami tugas mereka. Jika tujuannya adalah untuk mengamankan data di dalam benteng digital, tugas keamanan siber adalah melindungi perimeter – tetapi perimeter dan cara menyerangnya selalu berubah. Mengunci data bukanlah jawaban – tidak ada gunanya memiliki sistem jika tidak ada yang dapat mengaksesnya. Alih-alih, prioritasnya bergeser ke, pertama, mengonfirmasi identitas orang yang mengaksesnya, dan kedua, memberikan akses hanya ke data yang mereka butuhkan, bukan seluruh sistem.

“Sebelumnya, Anda mungkin memiliki hal-hal tertentu yang hanya dapat dianggap aman ketika berada di empat dinding,” kata Roemer. “Bagaimana jika Anda membalikkannya dan berkata, 'Bagaimana kita mengamankan ini ketika berada di luar empat dinding, di awan?' Ketika Anda melihat model kerja hibrida, Anda memiliki orang-orang yang berpotensi bekerja dalam situasi yang berbeda setiap minggu – di kantor, di rumah mereka, mungkin di kedai kopi lagi, mungkin bepergian. Bagaimana Anda memastikan bahwa Anda memiliki lingkungan keamanan yang tepat yang tersedia untuk orang-orang itu?”

Bagi Bhatnagar, ini berarti "satu-satunya batas nyata yang Anda miliki yang benar-benar dapat Anda amankan adalah batas identitas Anda." Ini biasanya menuntut otentikasi multi-faktor, yang membantu memverifikasi bahwa orang-orang adalah seperti yang mereka katakan ("Ada beberapa statistik gila di luar sana," kata Bhatnagar, "seperti, lebih dari 90% pelanggaran berasal dari semacam kompromi email" ).

Akibatnya, “Tidak cukup hanya memiliki perimeter jaringan yang baik atau memiliki seperangkat firewall yang baik. Anda harus mengubah pemikiran Anda dari berpusat pada sistem atau jaringan menjadi berpusat pada identitas atau pengguna. Saat itulah kami mulai memikirkan paradigma baru tentang nol kepercayaan ini. Dengan jenis volume informasi yang terus-menerus diakses orang, Anda akan selalu mengejar ketinggalan jika Anda hanya mencoba menambal sistem atau mengamankan jaringan.”

Pergeseran fokus ke identitas pengguna membantu menghilangkan akses ke peretas luar, tetapi juga membantu menahan risiko dari dalam dengan membatasi akses pengguna yang sah ke data yang mereka butuhkan. Ini, tentu saja, tergantung pada kemampuan untuk mengurai data yang Anda inginkan. Dvorochkin menjelaskan, “Dulu, perusahaan terlalu mengutamakan orang, dan mereka dapat mengakses segala sesuatu dengan penuh tanggung jawab , yang jelas mengarah pada lebih banyak risiko. [Anda harus] sangat spesifik tentang semua data yang Anda miliki. Anda tidak tahu apa yang tidak Anda ketahui, jadi penandaan identifikasi yang baik sangat penting – untuk mengetahui dengan tepat di mana data Anda berada, berapa banyak yang ada, dan transaksi yang Anda lakukan dengannya, terutama dengan pemasok pihak ketiga . Karena, sekali lagi, kami menjadi semakin bergantung pada aplikasi pihak ketiga, dan mereka jelas tidak memiliki tingkat kepercayaan yang sama dengan karyawan internal kami. Semuanya kembali ke identifikasi, memiliki inventaris aset yang baik, dan mampu membatasinya.”

Budaya dan Pendidikan Adalah Kunci

Anda tidak dapat menerapkan strategi keamanan siber apa pun kecuali rekan tim Anda ikut serta. Dan manusia selalu menjadi mata rantai terlemah dalam rantai keamanan siber – kebanyakan peretasan dilakukan bukan dengan menulis kode tetapi dengan menyamar sebagai otoritas dan menipu seseorang agar memberikan kata sandi. Solusinya di sini sama sosialnya dengan teknologinya.

“Keamanan siber bukanlah tanggung jawab satu orang atau satu tim,” kata Bhatnagar. “Semua orang perlu menyingsingkan lengan baju mereka dan memilikinya. Kami memberikan banyak penekanan pada pelatihan kesadaran pengguna akhir, membantu mereka mengidentifikasi email phishing, melakukan simulasi phishing, dan secara bertahap meningkatkan kompleksitas simulasi ini, sehingga kami terus mendidik orang-orang kami.”

Ini dapat secara langsung mengurangi kasus pelanggaran data individu, tetapi juga membantu menumbuhkan budaya di seluruh perusahaan yang menghargai keamanan siber. “Begitu Anda mengungkapkannya, ini adalah bahasa yang dipahami semua orang – bahwa bukan hanya profesional keamanan siber Anda yang harus sangat teknis, tetapi ada kerangka umum yang dapat dipahami oleh para pemimpin bisnis lainnya. Anda dapat menggunakannya untuk meningkatkan kesadaran dan untuk mendapatkan anggaran dan pendanaan serta sumber daya yang Anda butuhkan untuk terus melakukan perbaikan strategis.”

Dev detik pentingnya budaya perusahaan. “Dan seiring dengan budaya,” katanya, “Saya juga akan mengatakan pelatihan…. Ini adalah cara berpikir dan operasi yang sangat berbeda, dibandingkan dengan sistem warisan. Teknologi, desain, dan lain-lain lainnya akan diterapkan jika Anda memiliki sikap terhadap budaya yang benar.”

Bagi Roemer, ini dimulai dari atas. “Keamanan adalah tanggung jawab bersama, dan kita semua harus menjadi praktisi keamanan. Kepemimpinan perlu pergi ke SDM dan memberi tahu mereka bahwa kemampuan keamanan diperlukan di seluruh organisasi dan berbicara tentang bagaimana mereka dapat memberikan peluang peningkatan keterampilan dan kemajuan bagi mereka yang menganggap keamanan sebagai karier yang menarik, dan mampu menarik orang-orang itu – bukan hanya dari organisasi TI tetapi dari seluruh organisasi, karena masuk akal – dan menjangkau seluruh organisasi [dan mengomunikasikan bahwa] kami sangat membutuhkan profesional keamanan tambahan dan kami semua perlu dianggap sebagai praktisi.”

Pergeseran Dari Taktik ke Platform

Agak paradoks, mengingat pergeseran fokus dari keamanan sistem total ke perimeter identitas pengguna, kami juga melihat pergeseran dari taktik dan menuju platform – yaitu, untuk mengatur upaya keamanan siber ke dalam strategi holistik, daripada serangkaian individu tambalan.

Roemer menjelaskan, “Alasannya adalah menjadi sangat sulit untuk mengelola [kumpulan] produk poin. Mereka tidak terintegrasi dengan baik, dan kami tidak memiliki sumber daya untuk menggunakannya secara efektif. Jadi, semakin kami dapat membangun dan mengkonsolidasikan ke dalam sebuah platform, semakin kami dapat memperkuat kemampuan keamanan.”

Dvorochkin menambahkan bahwa ini berarti mengoordinasikan tidak hanya taktik tetapi juga seluruh tim. “Seringkali, domain atau fungsi teknologi tertutup. Kami jelas semua berusaha mencapai tujuan yang sama, yaitu membuat perusahaan sukses.”

Bagi Bhatnagar, pendekatan yang lebih strategis termasuk memiliki pusat operasi keamanan yang dikelola dengan baik dan didanai. Meskipun proaktif selalu baik, itu tidak berarti pelanggaran pada akhirnya tidak akan terjadi, dan ketika itu terjadi, organisasi harus siap untuk bertindak. “Selalu ada hal-hal yang akan keluar dari lapangan kiri, karena peretas terus menjadi lebih maju, dan teknik mereka terus menjadi lebih gigih.”

Keamanan siber Selalu Dinamis

Dvorochkin menggemakan sentimen Bhatnagar – daya tanggap sangat penting. Strategi keamanan siber perlu dinamis untuk melawan serangan baik secara proaktif maupun reaktif. Di sisi reaktif, dia berkata, “Ini bukan masalah jika , ini masalah kapan Anda akan dilanggar; hampir tidak mungkin untuk sepenuhnya dilindungi secara berkelanjutan. Sesuatu akhirnya akan melewati. Melindungi perimeter itu penting, memiliki kontrol detektif yang baik itu penting – tetapi Anda juga harus memiliki respons yang baik, evaluasi yang baik, dan dapat menguji diri Anda sendiri.”

Di sisi proaktif, ini berarti terus mengevaluasi strategi Anda; Anda tidak bisa begitu saja mengaturnya dan melupakannya. “[Ada] kesalahpahaman bahwa, 'Oke, well, kami berinvestasi dalam teknologi, kami melakukan pengaturan satu kali ini, kami memiliki program keamanan siber, kami siap melakukannya,' lanjut Dvorochkin. “Pengaturan satu kali untuk mengimplementasikan beberapa alat – itu tidak akan melindungi Anda. Teknologi berubah hampir setiap hari karena hubungan sinergis antara teknologi dan siber, dan keamanan siber berubah dengan cepat. Jadi Anda harus dinamis, Anda harus selalu up to date, dan Anda harus memiliki investasi yang baik dari perusahaan Anda – karena keamanan siber tidak murah.”

“Pertimbangkan portofolio teknologi informasi Anda sebagai satu set investasi,” tambah Roemer. “Seperti halnya investasi pribadi Anda, lakukan dari waktu ke waktu dan evaluasi kembali apa yang berhasil dengan baik, apa yang tidak, dan di mana Anda perlu membuang anjing dan beralih ke sesuatu yang akan memberi Anda pengembalian yang lebih baik. Keamanan sangat banyak seperti itu. Kami membutuhkan kelincahan, dan jika Anda mempertimbangkan portofolio teknologi informasi Anda bukan sebagai serangkaian keputusan yang tenggelam tetapi sebagai serangkaian investasi yang terus dievaluasi, Anda dapat membantu untuk bergerak maju dan memenuhi kebutuhan keamanan hari ini dan masa depan.”

( Artikel ini terakhir diperbarui pada Januari 2022. )