Mengapa Anda Perlu Serius Menginventarisasi Aset
Sebuah pepatah lama yang selalu mengejutkan saya karena aneh dan menyesatkan adalah, "Apa yang Anda tidak ketahui, tidak dapat membahayakan Anda". Tentu saja apa yang Anda tidak ketahui dapat membahayakan Anda, terutama jika itu adalah kendaraan yang tidak terlihat, misalnya, atau jika Anda bekerja di bidang cybersecurity.
Jika Anda bekerja di cybersecurity, pepatah tersebut menjadi tidak berlaku dan suatu saat akan membuat Anda dalam masalah. Tidak ada yang mengharapkan Anda untuk mengetahui segalanya, tetapi mereka mengharapkan Anda mengetahui aset apa yang Anda miliki di jaringan perusahaan yang terhubung ke infrastruktur TI Anda. Hal inilah yang pertama saya cari ketika berbicara dengan sebuah organisasi untuk pertama kalinya.
Secara umum, semakin banyak yang dapat diceritakan oleh organisasi tentang inventaris PC, tablet, smartphone, server, dan wireless access points (titik akses nirkabel) mereka, maka semakin baik keamanan cybersecurity mereka. Anda mungkin terkejut setelah mengetahui bahwa sebagian besar organisasi tidak memiliki panduan yang jelas pada inventaris aset mereka.
Ketiadaan daftar terbaru mengenai apa yang Anda pertahankan adalah suatu kejutan sendiri, karena diskoveri/penemuan aset merupakan standar dasar dalam keamanan TI. Tanpanya, Anda tidak mungkin mempertahankan infrastruktur TI Anda. Ketika Anda mengetahui bahwa sebagian besar perusahaan yang tidak memiliki daftar aktif tentang aset mereka mengalami atau mendapat pelanggaran (breach), maka hal ini tidak mengejutkan sama sekali.
Ketika saya berbincang dengan organisasi tentang cybersecurity, saya mengajukan pertanyaan kepada mereka seperti, "aset apa yang Anda hadapi di internet?", atau "apakah Anda tahu di mana letak data Anda dan siapa yang memiliki akses ke sana?" dan jika mereka mengira-ngira atau tidak memahami jawabannya, maka saya pun merasa lunglai.
Saya tahu bahwa mereka akan mudah diserang di mana-mana karena tidak memahami apa yang mereka jaga. Satu-satunya tindakan cybersecurity paling efektif yang dapat dilakukan oleh sebuah organisasi adalah menugaskan seseorang yang berdedikasi untuk melakukan penemuan aset dan memelihara daftar ‘yang sebisa mungkin real-time (dekat dengan waktu sebenarnya)' terhadap aset perusahaan yang terhubung dengan infrastruktur TI mereka.
Jika organisasi Anda tidak memiliki panduan pada dasar-dasar inventaris aset, seperti apa saja alat keamanan yang Anda miliki untuk diperlihatkan, maka terjadinya pelanggaran hanya masalah waktu dan ini saatnya Anda harus waspada dengan masalah yang ada. Organisasi mungkin merasa sulit untuk mengelola sejumlah PC, perangkat keras BYOD, server, load balancer, firewall, dan peranti penyimpanan yang terhubung ke jaringan mereka, namun ketika peranti yang tidak dikenal digunakan untuk mengeksfiltrasi sesuatu yang berharga dari jaringan Anda, maka ketidaktahuan akan hal itu bukanlah menjadi suatu alasan.
BREACH YANG AKAN MENJADI KESALAHAN ANDA
Jika Anda kurang beruntung karena mengalami breach dan meminta penyelidik mendeteksinya tanpa Anda bekali inventaris aset yang akurat, maka breach tersebut merupakan kesalahan Anda. Hal itu merupakan suatu konsep yang bahkan dapat dipahami oleh level C sekalipun. Sekarang setelah kita menetapkan bahwa penemuan aset merupakan bagian yang sangat penting dari keamanan TI Anda dan tanpanya dapat dipastikan bahwa Anda akan disalahkan atas pelanggaran, maka mari kita lihat apa yang dapat Anda lakukan untuk keluar dari kekacauan ini.
Segera Eliminasi Blind Spot - Jujur saja, Anda mungkin mengetahui perangkat seluler PC dan karyawan mana yang telah Anda hubungkan ke jaringan Anda, tetapi segala hal mulai dari endpoint BYOD acak dan peranti IoT, hingga aplikasi SaaS yang tidak sah, file sharing, dan penyimpanan cloud merupakan potensi blind spot (hal-hal yang terabaikan). Langkah pertama Anda adalah segera menghilangkan semua blind spot tersebut dan Anda harus melihatnya sebagai suatu celah besar yang penuh dengan risiko keamanan, hukum, dan kepatuhan yang perlu segera ditutup jika Anda ingin tetap mematuhi (aturan).
Dapatkan Alat yang Tepat Jika Anda Tidak Memilikinya - Alat manajemen aset TI Anda memungkinkan untuk mendeteksi hal-hal seperti server, firewall, load balancers, dan penyimpanan jaringan, tetapi yang sangat Anda butuhkan adalah suatu alat otomatis yang akan memberikan visibilitas pada setiap bagian jaringan Anda dan idealnya sesuai dengan praktik terbaik diskoveri properti. Solusi yang Anda miliki harus dapat memindai rentang alamat jaringan Anda dan menganalisa trafik untuk mengidentifikasi aset yang tidak dikenal. Selanjutnya, ia harus dapat menelusuri aset tersebut untuk informasi terperinci mengenai koneksi, izin, penggunaan, dan menandai aset guna pelacakan di masa mendatang.
Lakukan Inventaris dan Kontrol pada Aset Hardware dan Software - Anda harus benar-benar mengelola dengan aktif (yang berarti, melacak dan menyimpan inventaris) aset perangkat keras (hardware) maupun perangkat lunak (software) milik Anda. Hanya perangkat keras resmi yang dapat diberikan akses ke jaringan Anda dan hanya perangkat lunak resmi yang dapat diinstal pada endpoint Anda. Anda perlu tahu karyawan mana yang dapat menggunakan perangkat keras atau perangkat lunak Anda dan mengetahui pengguna mana yang tidak boleh mengaksesnya. Anda dapat mencapai hal ini melalui bantuan penemuan aset.
Sewa atau Tunjuk Seorang Pengawas Aset yang Terpercaya - Hal ini sangat jelas jika Anda berharap dapat mengelola aset dengan cara apa pun, maka Anda benar-benar harus menugasi seseorang untuk memikul tanggung jawab dalam memelihara inventaris aset Anda. Ini merupakan tindakan yang paling efektif yang dapat Anda lakukan untuk memperbaiki postur cybersecurity Anda secara keseluruhan, dengan menunjuk pengawas aset terpercaya akan menghasilkan pengembalian investasi yang signifikan dibandingkan dengan berbagai cara lainnya.
Pertimbangkan untuk Mengikutsertakan Para Profesional - Ada sangat banyak kompleksitas pada topologi jaringan, namun jadwal waktu tim TI Anda sangat sibuk dan begitu beragamnya alat di pasaran dapat menyulitkan suatu organisasi untuk mengetahui langkah pertama yang harus diambil serta cara melakukannya. Jika kasus ini berada dalam organisasi Anda, maka tindakan terbaik Anda adalah mengikutsertakan para profesional. Saya pernah berbincang dengan Marek Bialoglowy, CTO dari perusahaan cybersecurity ITSEC, dan bertanya kepadanya mengenai jumlah panggilan yang kerap mereka terima untuk mengerjakan proyek penemuan aset. Dia pun menjawab, "bagian terpenting dari pekerjaan kami adalah membantu klien untuk mengetahui secara pasti apa yang mereka pertahankan dan mereka sering memanggil kami untuk menggandakan kekuatan tim TI yang ada dan membantu mereka dalam membangun proses manajemen aset menuju praktik terbaik ".
Jalan mana pun yang Anda ambil untuk menemukan semua aset yang terhubung ke jaringan Anda, jika Anda belum memulainya, maka Anda benar-benar harus melakukannya sekarang. Penemuan aset merupakan prinsip dasar keamanan TI yang harus diprioritaskan dan dikelola secara aktif, jika Anda ingin mengamankan jaringan Anda dengan tepat dari gelombang ancaman cyber yang meningkat cepat dan pasti menuju organisasi Anda.
