Cloud Security Governance1
Cloud Security Governance1
Hai
Awan
https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 1/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire
https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 2/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire
dari situasi ini adalah definisi dan komunikasi nada eksekutif dan ekspektasi yang tidak
efektif untuk keamanan di cloud. Untuk mengatasi tantangan ini, penting untuk
melibatkan eksekutif perusahaan dalam diskusi dan definisi nada dan harapan untuk
keamanan yang akan mendukung kebijakan keamanan perusahaan formal. Hal ini juga
penting bagi eksekutif untuk bertanggung jawab penuh atas kebijakan tersebut,
mengkomunikasikan ketentuan yang melekat pada perusahaan, dan selanjutnya
menegakkan kepatuhan .
Kurangnya kontrol operasional manajemen tertanam
Tantangan tata kelola keamanan cloud umum lainnya adalah kurangnya kontrol
manajemen yang disematkan ke dalam proses dan prosedur operasional keamanan
cloud. Kontrol sering diartikan sebagai daftar periksa auditor atau dikemas ulang
sebagai prosedur, dan akibatnya, tidak tertanam secara efektif ke dalam proses dan
prosedur operasional keamanan sebagaimana mestinya, untuk tujuan
mengoptimalkan nilai dan mengurangi risiko operasional sehari-hari. Kurangnya
kontrol tertanam ini dapat mengakibatkan risiko operasional yang mungkin tidak
terlihat oleh perusahaan. Misalnya, konfigurasi keamanan suatu perangkat dapat
dimodifikasi (perubahan acara) oleh staf tanpa analisis yang tepat dari dampak
bisnis (kontrol) dari modifikasi tersebut. Hasil akhirnya bisa menjadi pengenalan
kelemahan keamanan yang dapat dieksploitasi yang mungkin tidak terlihat dengan
modifikasi ini.
Perusahaan sekarang harus hidup dengan risiko operasional yang melekat yang dapat
dihindari jika kontrol telah tertanam dalam proses eksekusi perubahan.
Kurangnya model operasi, peran, dan tanggung jawab
Banyak perusahaan yang beralih ke lingkungan cloud cenderung tidak memiliki model
operasi formal untuk keamanan, atau tidak memiliki peran dan tanggung jawab
strategis dan taktis yang didefinisikan dan dioperasionalkan dengan benar. Situasi ini
menghambat efektivitas manajemen keamanan dan fungsi/organisasi operasional
untuk mendukung keamanan di cloud. Sederhananya, membangun hierarki yang
mencakup penunjukan pejabat yang bertanggung jawab di puncak, didukung oleh
komite pemangku kepentingan, tim manajemen, staf operasional, dan dukungan
penyedia pihak ketiga (dalam urutan itu) dapat membantu perusahaan mengelola dan
mengontrol keamanan dengan lebih baik di cloud, dan melindungi investasi terkait
sesuai dengan tujuan bisnis perusahaan. Hierarki ini dapat digunakan dalam model in-
sourced, out-sourced, atau co-sourced tergantung pada budaya, norma, dan toleransi
risiko perusahaan.
Kurangnya metrik untuk mengukur kinerja dan risiko
https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 3/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire
Tantangan besar lainnya bagi pelanggan cloud adalah kurangnya metrik yang
ditentukan untuk mengukur kinerja dan risiko keamanan - masalah yang juga
menghambat visibilitas eksekutif terhadap risiko keamanan nyata di cloud. Tantangan
ini secara langsung disebabkan oleh kombinasi tantangan lain yang dibahas di atas.
Misalnya, metrik yang secara kuantitatif mengukur jumlah kerentanan keamanan
yang dapat dieksploitasi pada perangkat host di cloud dari waktu ke waktu dapat
dimanfaatkan sebagai indikator risiko di lingkungan perangkat host . Demikian pula,
metrik yang mengukur jumlah insiden keamanan yang dilaporkan pengguna selama
periode tertentu dapat dimanfaatkan sebagai indikator kinerja kesadaran staf dan
upaya pelatihan. Metrik memungkinkan visibilitas eksekutif sejauh mana nada dan
harapan keamanan (per kebijakan yang ditetapkan) dipenuhi dalam perusahaan dan
mendukung pengambilan keputusan yang cepat dalam mengurangi risiko atau kinerja
yang bermanfaat sebagaimana mestinya.
Tantangan yang dijelaskan di atas dengan jelas menyoroti kebutuhan pelanggan cloud
untuk membuat kerangka kerja guna mengelola dan mendukung keamanan secara
efektif dalam manajemen cloud, sehingga pengejaran target bisnis tidak berpotensi
dikompromikan. Kecuali nada dan ekspektasi untuk keamanan cloud ditetapkan
(melalui kebijakan perusahaan) untuk mendorong proses dan prosedur operasional
dengan kontrol manajemen tersemat, sangat sulit untuk menentukan atau
mengevaluasi nilai bisnis, kinerja, efektivitas sumber daya, dan risiko terkait operasi
keamanan di cloud . Tata kelola keamanan cloud memfasilitasi pembentukan model
yang membantu perusahaan secara eksplisit mengatasi tantangan yang dijelaskan di
atas.
Tujuan Utama Tata Kelola Keamanan Cloud
Membangun model tata kelola keamanan cloud untuk perusahaan memerlukan
kompetensi manajemen keamanan tingkat strategis yang dikombinasikan dengan
penggunaan standar dan kerangka kerja keamanan yang sesuai (misalnya, NIST, ISO,
CSA) dan penerapan kerangka kerja tata kelola (misalnya, COBIT). Langkah pertama
adalah memvisualisasikan keseluruhan struktur tata kelola, komponen yang melekat,
dan mengarahkan desain dan implementasinya yang efektif. Penggunaan standar dan
kerangka kerja keamanan yang sesuai memungkinkan penerapan standar minimum
kontrol keamanan di cloud, sekaligus memenuhi kewajiban kepatuhan pelanggan dan
peraturan jika berlaku. Kerangka tata kelola menyediakan panduan referensi dan
praktik terbaik untuk menetapkan model tata kelola untuk keamanan di cloud.
Berikut ini merupakan tujuan utama yang harus dicapai dalam membangun model
tata kelola untuk keamanan di cloud. Tujuan ini mengasumsikan bahwa keamanan
yang tepat
https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 4/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire
standar dan kerangka tata kelola telah dipilih berdasarkan target bisnis
perusahaan, profil pelanggan, dan kewajiban untuk melindungi data dan aset
informasi lainnya di lingkungan cloud.
1. Penyelarasan Strategis
Perusahaan harus mengamanatkan bahwa investasi keamanan, layanan, dan
proyek di cloud dijalankan untuk mencapai tujuan bisnis yang ditetapkan
(misalnya daya saing pasar, keuangan, atau kinerja operasional).
2. Pengiriman Nilai
Perusahaan harus mendefinisikan, mengoperasionalkan, dan memelihara
fungsi/organisasi keamanan yang sesuai dengan representasi strategis dan taktis
yang tepat, dan diberi tanggung jawab untuk memaksimalkan nilai bisnis
(Indikator Sasaran Utama, ROD dari pengejaran inisiatif keamanan di cloud.
3. Mitigasi risiko
Inisiatif keamanan di cloud harus tunduk pada pengukuran yang mengukur
efektivitas dalam memitigasi risiko bagi perusahaan (Indikator Risiko Utama).
Inisiatif ini juga harus menghasilkan hasil yang secara progresif menunjukkan
pengurangan risiko ini dari waktu ke waktu.
5. Kinerja Berkelanjutan
Inisiatif keamanan di cloud harus dapat diukur dalam hal kinerja, nilai , dan risiko
bagi perusahaan (Key Performance Indicators, Key Risk Indicators), dan
menghasilkan hasil yang menunjukkan pencapaian target yang diinginkan (Key
Goal Indicators) dari waktu ke waktu.
https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 5/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire
PENULIS
Michael Addo-Yobo
Managing Principal, Penasihat Risiko Cyber, Coalfire
ARTIKEL TERBARU
Manajemen ancaman dan kerentanan - Tidak ada waktu untuk berpuas diri
https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 6/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire
Apakah Anda ingin menerima pembaruan berkala terkait keamanan siber dan kepatuhan dari
Coalfire ?
SOLUSI
Layanan kepatuhan
FedRAMP@
Pengujian penetrasi
https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 7/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire
Keamanan cloud Layanan terkelola Keamanan aplikasi
Manajemen kerentanan
Strategi, privasi, dan risiko
INDUSTRI >
TENTANG >
Gambaran umum perusahaan
Dewan Penasihat dan Direksi
Keanekaragaman dan inklusi
Tim eksekutif
Dana Richard E. Dakin
Mitra
Penelitian dan Pengembangan
WAWASAN >
Blog
Sumber daya
Berita dan acara
Anda
https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 8/ 9
29/1/23, 22:13 Tata Kelola Keamanan Cloud - Mengoptimalkan Manfaat Bisnis Keamanan di Cloud - Coalfire
https://www.coalfire.com/the-coalfire-blog/cloud-security-governance 9/ 9