29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire

Hai

Awan

Tata Kelola Keamanan Cloud - Mengoptimalkan

Manfaat Bisnis Keamanan di Cloud

Mengapa Tata Kelola Keamanan Cloud Dibutuhkan

Perusahaan semakin mengejar keuntungan bisnis dari migrasi platform teknologi dan
layanan ke lingkungan cloud dengan memanfaatkan satu atau lebih dari tiga area
layanan cloud utama - Infrastruktur sebagai Layanan ( laaS ), Platform sebagai
Layanan (PaaS), dan Perangkat Lunak sebagai Layanan (SaaS). Keuntungan ini
termasuk tetapi tidak terbatas pada penerapan sistem informasi yang cepat, biaya
operasi yang berkurang secara signifikan, skala ekonomi yang besar, kecepatan
pemrosesan, dan ketangkasan. Namun, berlangganan ke layanan ini sering kali
menyiratkan tantangan keamanan dan kepatuhan bagi perusahaan yang seringkali
tidak siap untuk menyelesaikannya.
Pelanggaran data, kerentanan sistem, identitas yang tidak memadai, serta
manajemen akses dan kredensial adalah beberapa tantangan keamanan tipikal di
lingkungan cloud yang harus ditangani oleh perusahaan pelanggan. Dalam beberapa
situasi, perusahaan mungkin tidak memiliki operasionalisasi dan penegakan kebijakan,
prosedur, model operasi formal yang memadai, atau bahkan fungsi organisasi yang
dibentuk dengan benar untuk mengelola keamanan di cloud secara efektif. Dalam
situasi lain, perusahaan mungkin juga tidak menjalankan tanggung jawabnya secara
memadai untuk melindungi data di cloud atau mungkin tidak memiliki sarana untuk
visibilitas manajemen senior terhadap kinerja dan risiko keamanan cloud. Isu-isu ini

https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 1/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire

mungkin berlaku bahkan ketika suatu perusahaan berdiri untuk mendapatkan

keuntungan bisnis yang signifikan dari transformasi model penyampaian layanannya
melalui penggunaan platform komputasi awan.
Masalah bisnis mendasar yang menyebabkan tantangan ini adalah kurangnya tata
kelola keamanan cloud yang efektif. Di blog ini, saya menjelajahi tata kelola keamanan
cloud, tantangan umum, dan meninjau target utama yang dapat membantu
perusahaan mengoptimalkan manfaat bisnis dari program keamanan cloud.
Apa Itu Tata Kelola Keamanan Cloud?
Tata kelola keamanan cloud mengacu pada model manajemen yang memfasilitasi
manajemen dan operasi keamanan yang efektif dan efisien di lingkungan cloud
sehingga target bisnis perusahaan tercapai. Model ini menggabungkan hierarki
mandat eksekutif, ekspektasi kinerja, praktik operasional, struktur, dan metrik yang,
ketika diterapkan, menghasilkan optimalisasi nilai bisnis untuk suatu perusahaan. Tata
kelola keamanan cloud membantu menjawab pertanyaan kepemimpinan seperti:

• Apakah investasi keamanan kami menghasilkan pengembalian yang diinginkan?

• Apakah kita mengetahui risiko keamanan kita dan dampak bisnisnya?
• Apakah kita secara progresif mengurangi risiko keamanan ke tingkat yang dapat
diterima?
• Sudahkah kita membangun budaya sadar keamanan di dalam perusahaan?
Penyelarasan strategis, pengiriman nilai, mitigasi risiko, penggunaan sumber daya
yang efektif, dan pengukuran kinerja adalah tujuan utama dari setiap model tata
kelola terkait TI, termasuk keamanan. Untuk berhasil mengejar dan mencapai tujuan
ini, penting untuk memahami budaya operasional dan profil bisnis dan pelanggan
suatu perusahaan, sehingga model tata kelola keamanan yang efektif dapat
disesuaikan untuk perusahaan.

Tantangan Tata Kelola Keamanan Cloud

Apakah mengembangkan model tata kelola dari awal atau harus melakukan retrofit
pada investasi cloud yang ada, berikut adalah beberapa tantangan umum:
Kurangnya partisipasi manajemen senior dan dukungan
Kurangnya manajemen senior yang memengaruhi dan mendukung kebijakan
keamanan adalah salah satu tantangan umum yang dihadapi pelanggan cloud.
Kebijakan keamanan perusahaan dimaksudkan untuk menetapkan nada eksekutif,
prinsip, dan harapan untuk manajemen keamanan dan operasi di cloud. Namun,
banyak perusahaan cenderung membuat kebijakan keamanan yang seringkali sarat
dengan konten taktis, dan kurang memiliki masukan atau pengaruh eksekutif. Hasil

https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 2/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire

dari situasi ini adalah definisi dan komunikasi nada eksekutif dan ekspektasi yang tidak
efektif untuk keamanan di cloud. Untuk mengatasi tantangan ini, penting untuk
melibatkan eksekutif perusahaan dalam diskusi dan definisi nada dan harapan untuk
keamanan yang akan mendukung kebijakan keamanan perusahaan formal. Hal ini juga
penting bagi eksekutif untuk bertanggung jawab penuh atas kebijakan tersebut,
mengkomunikasikan ketentuan yang melekat pada perusahaan, dan selanjutnya
menegakkan kepatuhan .
Kurangnya kontrol operasional manajemen tertanam
Tantangan tata kelola keamanan cloud umum lainnya adalah kurangnya kontrol
manajemen yang disematkan ke dalam proses dan prosedur operasional keamanan
cloud. Kontrol sering diartikan sebagai daftar periksa auditor atau dikemas ulang
sebagai prosedur, dan akibatnya, tidak tertanam secara efektif ke dalam proses dan
prosedur operasional keamanan sebagaimana mestinya, untuk tujuan
mengoptimalkan nilai dan mengurangi risiko operasional sehari-hari. Kurangnya
kontrol tertanam ini dapat mengakibatkan risiko operasional yang mungkin tidak
terlihat oleh perusahaan. Misalnya, konfigurasi keamanan suatu perangkat dapat
dimodifikasi (perubahan acara) oleh staf tanpa analisis yang tepat dari dampak
bisnis (kontrol) dari modifikasi tersebut. Hasil akhirnya bisa menjadi pengenalan
kelemahan keamanan yang dapat dieksploitasi yang mungkin tidak terlihat dengan
modifikasi ini.
Perusahaan sekarang harus hidup dengan risiko operasional yang melekat yang dapat
dihindari jika kontrol telah tertanam dalam proses eksekusi perubahan.
Kurangnya model operasi, peran, dan tanggung jawab
Banyak perusahaan yang beralih ke lingkungan cloud cenderung tidak memiliki model
operasi formal untuk keamanan, atau tidak memiliki peran dan tanggung jawab
strategis dan taktis yang didefinisikan dan dioperasionalkan dengan benar. Situasi ini
menghambat efektivitas manajemen keamanan dan fungsi/organisasi operasional
untuk mendukung keamanan di cloud. Sederhananya, membangun hierarki yang
mencakup penunjukan pejabat yang bertanggung jawab di puncak, didukung oleh
komite pemangku kepentingan, tim manajemen, staf operasional, dan dukungan
penyedia pihak ketiga (dalam urutan itu) dapat membantu perusahaan mengelola dan
mengontrol keamanan dengan lebih baik di cloud, dan melindungi investasi terkait
sesuai dengan tujuan bisnis perusahaan. Hierarki ini dapat digunakan dalam model in-
sourced, out-sourced, atau co-sourced tergantung pada budaya, norma, dan toleransi
risiko perusahaan.
Kurangnya metrik untuk mengukur kinerja dan risiko

https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 3/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire

Tantangan besar lainnya bagi pelanggan cloud adalah kurangnya metrik yang
ditentukan untuk mengukur kinerja dan risiko keamanan - masalah yang juga
menghambat visibilitas eksekutif terhadap risiko keamanan nyata di cloud. Tantangan
ini secara langsung disebabkan oleh kombinasi tantangan lain yang dibahas di atas.
Misalnya, metrik yang secara kuantitatif mengukur jumlah kerentanan keamanan
yang dapat dieksploitasi pada perangkat host di cloud dari waktu ke waktu dapat
dimanfaatkan sebagai indikator risiko di lingkungan perangkat host . Demikian pula,
metrik yang mengukur jumlah insiden keamanan yang dilaporkan pengguna selama
periode tertentu dapat dimanfaatkan sebagai indikator kinerja kesadaran staf dan
upaya pelatihan. Metrik memungkinkan visibilitas eksekutif sejauh mana nada dan
harapan keamanan (per kebijakan yang ditetapkan) dipenuhi dalam perusahaan dan
mendukung pengambilan keputusan yang cepat dalam mengurangi risiko atau kinerja
yang bermanfaat sebagaimana mestinya.
Tantangan yang dijelaskan di atas dengan jelas menyoroti kebutuhan pelanggan cloud
untuk membuat kerangka kerja guna mengelola dan mendukung keamanan secara
efektif dalam manajemen cloud, sehingga pengejaran target bisnis tidak berpotensi
dikompromikan. Kecuali nada dan ekspektasi untuk keamanan cloud ditetapkan
(melalui kebijakan perusahaan) untuk mendorong proses dan prosedur operasional
dengan kontrol manajemen tersemat, sangat sulit untuk menentukan atau
mengevaluasi nilai bisnis, kinerja, efektivitas sumber daya, dan risiko terkait operasi
keamanan di cloud . Tata kelola keamanan cloud memfasilitasi pembentukan model
yang membantu perusahaan secara eksplisit mengatasi tantangan yang dijelaskan di
atas.
Tujuan Utama Tata Kelola Keamanan Cloud
Membangun model tata kelola keamanan cloud untuk perusahaan memerlukan
kompetensi manajemen keamanan tingkat strategis yang dikombinasikan dengan
penggunaan standar dan kerangka kerja keamanan yang sesuai (misalnya, NIST, ISO,
CSA) dan penerapan kerangka kerja tata kelola (misalnya, COBIT). Langkah pertama
adalah memvisualisasikan keseluruhan struktur tata kelola, komponen yang melekat,
dan mengarahkan desain dan implementasinya yang efektif. Penggunaan standar dan
kerangka kerja keamanan yang sesuai memungkinkan penerapan standar minimum
kontrol keamanan di cloud, sekaligus memenuhi kewajiban kepatuhan pelanggan dan
peraturan jika berlaku. Kerangka tata kelola menyediakan panduan referensi dan
praktik terbaik untuk menetapkan model tata kelola untuk keamanan di cloud.
Berikut ini merupakan tujuan utama yang harus dicapai dalam membangun model
tata kelola untuk keamanan di cloud. Tujuan ini mengasumsikan bahwa keamanan
yang tepat

https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 4/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire
standar dan kerangka tata kelola telah dipilih berdasarkan target bisnis
perusahaan, profil pelanggan, dan kewajiban untuk melindungi data dan aset
informasi lainnya di lingkungan cloud.

1. Penyelarasan Strategis
Perusahaan harus mengamanatkan bahwa investasi keamanan, layanan, dan
proyek di cloud dijalankan untuk mencapai tujuan bisnis yang ditetapkan
(misalnya daya saing pasar, keuangan, atau kinerja operasional).

2. Pengiriman Nilai
Perusahaan harus mendefinisikan, mengoperasionalkan, dan memelihara
fungsi/organisasi keamanan yang sesuai dengan representasi strategis dan taktis
yang tepat, dan diberi tanggung jawab untuk memaksimalkan nilai bisnis
(Indikator Sasaran Utama, ROD dari pengejaran inisiatif keamanan di cloud.

3. Mitigasi risiko
Inisiatif keamanan di cloud harus tunduk pada pengukuran yang mengukur
efektivitas dalam memitigasi risiko bagi perusahaan (Indikator Risiko Utama).
Inisiatif ini juga harus menghasilkan hasil yang secara progresif menunjukkan
pengurangan risiko ini dari waktu ke waktu.

4. Penggunaan Sumber Daya yang Efektif

Penting bagi perusahaan untuk menetapkan model operasi praktis untuk
mengelola dan menjalankan operasi keamanan di cloud, termasuk definisi dan
operasionalisasi proses yang tepat, penetapan peran dan tanggung jawab yang
sesuai, dan penggunaan alat yang relevan untuk efisiensi dan efektivitas secara
keseluruhan.

5. Kinerja Berkelanjutan
Inisiatif keamanan di cloud harus dapat diukur dalam hal kinerja, nilai , dan risiko
bagi perusahaan (Key Performance Indicators, Key Risk Indicators), dan
menghasilkan hasil yang menunjukkan pencapaian target yang diinginkan (Key
Goal Indicators) dari waktu ke waktu.

Coalfire telah membantu banyak organisasi dalam menyelesaikan tantangan tata

kelola keamanan cloud mereka. Pendekatan kami terhadap tata kelola keamanan

https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 5/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire

cloud bertujuan untuk mengidentifikasi akar penyebab dari tantangan yang

teridentifikasi dalam suatu perusahaan dan selanjutnya merancang dan
mengoperasionalkan kerangka kerja tata kelola yang disesuaikan untuk mengelola
keamanan di cloud secara efektif untuk mencapai hasil yang diinginkan. Terlepas dari
model peringkat operasi yang diinginkan (yaitu, bersumber dari dalam, bersumber
dari luar, atau bersumber bersama), Coalfire telah berhasil menggunakan pendekatan
yang telah terbukti untuk membangun dan mempertahankan program keamanan
cloud untuk perusahaan di berbagai kelompok industri - yang diatur dan tidak
diatur.
Apakah perusahaan kekurangan, atau memiliki struktur tata kelola keamanan yang
ada, mobil Coalfire mengevaluasi keadaan tata kelola saat ini dan dengan mulus
mengintegrasikan elemen matang dari struktur yang ada ke dalam kerangka kerja
masa depan yang mengoptimalkan nilai dan kinerja, mengurangi risiko, dan
memastikan penggunaan sumber daya yang efektif dalam mengelola cloud program
keamanan.

PENULIS

Michael Addo-Yobo
Managing Principal, Penasihat Risiko Cyber, Coalfire

ARTIKEL TERBARU

FedRAMP menjadi lebih baik - dan akan tetap ada

Permintaan perusahaan untuk ROI keamanan siber mendorong metrik CISO

Manajemen ancaman dan kerentanan - Tidak ada waktu untuk berpuas diri

Bagaimana kami bisa membantu?

https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 6/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire

Apakah Anda ingin menerima pembaruan berkala terkait keamanan siber dan kepatuhan dari
Coalfire ?

SOLUSI
Layanan kepatuhan
FedRAMP@
Pengujian penetrasi

https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 7/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire
Keamanan cloud Layanan terkelola Keamanan aplikasi
Manajemen kerentanan
Strategi, privasi, dan risiko

INDUSTRI >

TENTANG >
Gambaran umum perusahaan
Dewan Penasihat dan Direksi
Keanekaragaman dan inklusi
Tim eksekutif
Dana Richard E. Dakin
Mitra
Penelitian dan Pengembangan

WAWASAN >
Blog

Sumber daya
Berita dan acara

JASA PENGEMBANGAN PASAR >

KARIR
HUBUNGI KAMI >

Diserang? Ambil tindakan segera dengan layanan forensik digital kami .

AS/BISA: (877) 224-8077
FEDERAL: (703) 760-3801
Inggris/EMEA: +44 161 537 1280

Hak Cipta @ 2023 Batu Bara . Seluruh hak cipta.

Privasi y Poli v
Hukum

Anda

Login Tabung CoalfireOne

https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 8/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire

https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 9/ 9