Memperkenalkan Kerangka Tata Kelola Keamanan Untuk Cloud Computing
Memperkenalkan Kerangka Tata Kelola Keamanan Untuk Cloud Computing
Abstrak. Paradigma komputasi awan memberikan cara yang lebih efisien untuk
menyediakan layanan TI, memperkenalkan layanan berdasarkan permintaan dan
sumber daya komputasi yang fleksibel. Adopsi layanan cloud ini terhalang oleh
masalah keamanan yang muncul dengan lingkungan baru ini. Oleh karena itu,
solusi keamanan global, yang berurusan dengan kekhasan paradigma cloud,
diperlukan, dan literatur gagal melaporkan solusi semacam itu. Sebagai
akibatnya, dalam makalah ini kami mengusulkan kerangka tata kelola
keamanan baru yang berfokus pada lingkungan komputasi awan (ISGcloud).
Kerangka kerja ini didasarkan pada dua standar utama: di satu sisi, kami
menerapkan prinsip tata kelola inti dari standar tata kelola ISO/IEC 38500; dan
di sisi lain, kami mengusulkan siklus hidup layanan cloud berdasarkan draft
keamanan outsourcing ISO/IEC 27036. Makalah ini mencakup ikhtisar
kerangka kerja dan deskripsi kumpulan kegiatan dan tugas terkait.
1 pengantar
Selama beberapa tahun terakhir, baik organisasi maupun individu telah mulai
memperhatikan ledakan pertumbuhan dan adopsi layanan cloud computing.
Paradigma baru ini mencakup akses ke kumpulan sumber daya komputasi bersama
yang dapat disediakan dan dirilis dengan cepat dengan upaya manajemen yang
minimal [1]. Pengguna dapat memanfaatkan fleksibilitas dan elastisitas layanan cloud
sesuai permintaan, terutama saat ini ketika batasan ekonomi mengharuskan
departemen TI untuk mencapai lebih banyak tujuan dengan sumber daya yang lebih
sedikit. Ketika jenis layanan ini diselaraskan dengan inisiatif dan tujuan strategis yang
terdefinisi dengan baik, mereka memberikan kontribusi yang berharga bagi
perusahaan [2].
Namun, banyak manfaat yang diberikan oleh cloud computing juga disertai dengan
munculnya risiko baru [3], selain kehadiran terus menerus dari semua masalah
keamanan yang dapat mempengaruhi teknologi yang mendasarinya [4]. Kemandirian
model pengiriman layanan cloud menandakan bahwa manajemen keamanan
diperlukan jika pengadopsiannya ingin dipupuk [5]. Komputasi awan memperluas
sumber daya komputasi di sekeliling perusahaan, mengakibatkan hilangnya kendali
atas aset informasinya. Oleh karena itu, fungsi tata kelola keamanan perlu ditetapkan
untuk manajemen
DOI: 10.5220/0004601400240033
Dalam Prosiding 10th International Workshop on Security in Information Systems (WOSIS-2013), halaman 24-33
ISBN: 978-989-8565-64-8
Hak Cipta 2013 SCITEPRESS (Publikasi Sains dan Teknologi, Lda.)
level, dengan strategi keamanan yang jelas [6]. Terlepas dari model cloud yang
diadopsi, keamanan dan tata kelola harus memimpin dan memandu adopsi layanan
cloud [7]. Kebijakan dan tindakan keamanan melibatkan pihak ketiga saat
memindahkan layanan ke cloud computing, dan hilangnya kendali ini menekankan
perlunya tata kelola keamanan dalam perusahaan dan transparansi penyedia cloud [8,
9]. Tata kelola keamanan, sebagai bagian dari tata kelola perusahaan perusahaan,
adalah jalur yang paling cocok untuk mendapatkan kendali atas proses keamanan dan
menjamin keselarasan dengan strategi bisnis [10].
Kerangka kerja Tata Kelola Keamanan Informasi (ISG) yang menangani semua
masalah keamanan di lingkungan cloud dengan cara yang seragam saat ini tidak
tersedia. Meskipun ada banyak pendekatan teknologi yang dapat meningkatkan
keamanan cloud, namun saat ini belum ada solusi yang komprehensif [11]. Penelitian
kami sebelumnya menunjukkan bahwa upaya yang ada yang mencoba menangani
keamanan cloud computing tidak merinci aspek tata kelola [12]. Oleh karena itu,
dalam makalah ini kami mengusulkan pendekatan pertama untuk kerangka kerja tata
kelola keamanan yang mempertimbangkan kekhasan penerapan cloud (ISGcloud).
Kerangka kerja ISGcloud mengkompilasi pedoman yang sudah diterbitkan yang
bekerja di lapangan, dan mengelompokkannya secara homogen untuk menyediakan
model yang mampu memberikan proses ISG untuk layanan cloud. ISGcloud dipimpin
oleh standar, menghasilkan keselarasan dengan praktik terbaik yang sebenarnya.
Dengan penggunaan standar kami bertujuan untuk meningkatkan kualitas dan
keandalan hasil dan menyederhanakan proses tata kelola sambil menjamin keamanan
layanan cloud dan mempromosikan penggunaan kembali sumber daya [13].
Perspektif yang diikuti dalam pendekatan kami berorientasi pada proses, sehingga
memfasilitasi inklusi dalam organisasi mana pun. Untuk menerapkan tata kelola
keamanan, kami telah memilih model yang diterbitkan dalam standar ISO/IEC 38500,
yang menyatakan bahwa direktur harus melakukan tata kelola dengan menggunakan
tiga proses utama: Evaluasi, Langsung, dan Pantau [14]. Oleh karena itu, siklus
Evaluasi-Langsung-Monitor akan menjadi proses inti dari kerangka kerja kami. Kami
juga mengusulkan penambahan proses keempat, yaitu Berkomunikasi, karena
relevansi penyebaran pengetahuan keamanan dalam organisasi, khususnya dalam hal
penerapan layanan baru seperti komputasi awan.
Selain empat proses inti yang disoroti, kami menganggap sangat penting untuk
mengidentifikasi siklus hidup layanan cloud sebagai bagian dari tujuan kami dalam
menentukan penerapan ISG. Hubungan antara klien cloud dan penyedianya, seperti
layanan outsourcing lainnya, mengarah pada risiko baru di seluruh fase siklus
hidupnya yang harus dikelola untuk menjamin keberhasilan layanan [15]. Standar
ISO/IEC 27036 [16], meskipun masih dalam tahap draf, menguraikan kontrol
keamanan yang harus ditangani dalam siklus hidup outsourcing. Kami telah
mengadaptasi standar ini ke siklus hidup komputasi awan umum untuk
mengidentifikasi langkah-langkah dalam proses.
Makalah ini disusun sebagai berikut: bagian berikut berisi pekerjaan terkait di
bidang tata kelola keamanan dan komputasi awan yang memengaruhi penelitian kami;
Bagian 3 memberikan ikhtisar tentang kerangka kerja ISGcloud kami, menjelaskan
proses intinya dan siklus hidup layanan cloud yang diusulkan; Bagian 4 menyajikan
penjelasan rinci tentang kegiatan dan tugas kerangka kerja kami; terakhir, Bagian 5
berisi diskusi tentang kontribusi dan pekerjaan kami di masa depan.
2 Pekerjaan yang berhubungan
Bagian ini secara singkat meringkas proposal yang diterbitkan dalam beberapa tahun
terakhir yang bertujuan untuk mengatasi masalah keamanan dari perspektif tata
kelola. Kami fokus terutama pada mereka yang berurusan dengan penyebaran
komputasi awan.
Referensi utama, ketika membahas IT Governance, adalah Control Objectives for
Information and Related Technology (COBIT) [17]. COBIT adalah kerangka kerja
Tata Kelola TI yang memperkenalkan 37 proses yang dikelompokkan ke dalam lima
domain; merinci tujuan kontrol, metrik, model kematangan, dan pedoman manajemen
lainnya untuk masing-masing proses ini.
26
Mengelilingi prisma pada Gambar 1 adalah beberapa aspek yang paling relevan
yang telah mempengaruhi aktivitas tata kelola keamanan dan karenanya harus
dipertimbangkan dalam kerangka kerja kami. Sisi kiri gambar berisi isu-isu yang
bersifat internal organisasi, sedangkan sisi kanan mencantumkan hal-hal eksternal.
Dimasukkannya standar dan praktik terbaik telah diwakili selama siklus hidup layanan
cloud untuk mencerminkan pentingnya kontribusi ini untuk kerangka kerja kami.
Meskipun kami mengusulkan beberapa standar yang relevan, pedoman ini mungkin
sudah ada dan diterapkan di dalam organisasi, atau dapat diperoleh dari sumber
eksternal.
28
4 Aktivitas ISGcloud
Setelah memperkenalkan proses inti kerangka tata kelola keamanan cloud kami dan
komponen utamanya, bagian ini merinci struktur proses di seluruh siklus hidup
layanan cloud.
Peran pengguna yang terlibat dalam kerangka kerja yang diusulkan mencakup
personel dari seluruh organisasi. Kegiatan tata kelola memerlukan keterlibatan aktif
pejabat senior, eksekutif tinggi dan manajer, dan karena itu berpartisipasi bersama
dengan peran tingkat bawah lainnya. Karena pejabat senior bertanggung jawab atas
proses tata kelola organisasi, mereka terlibat dalam semua aktivitas, menandakan
bahwa mereka perlu diberi tahu tentang evolusi ISGcloud dan menyetujui hasil
tugasnya.
Semua aktivitas harus dilakukan secara iteratif, mengikuti prinsip inti dari kerangka
kerja kami. Umpan balik ini akan memungkinkan praktisi untuk kembali ke aktivitas
yang sebelumnya telah diselesaikan dengan produk keluaran baru yang mungkin
berisi informasi tambahan untuk melakukan siklus lainnya. Sisa dari bagian ini
merinci tugas-tugas yang diusulkan dalam setiap kegiatan bersama dengan deskripsi
singkat.
Aktivitas kedua berfokus pada melakukan berbagai analisis terkait keamanan layanan
cloud. Analisis ini dikembangkan sesuai dengan struktur tata kelola dan Program
Keamanan Informasi yang diuraikan dalam kegiatan sebelumnya.
Tugas 2A: Menentukan Persyaratan Keamanan Informasi. Tugas pertama dalam
aktivitas ini bertujuan untuk menerjemahkan kebijakan keamanan strategis dan
ancaman tingkat tinggi yang ditentukan dengan program keamanan ke dalam
persyaratan yang lebih terperinci. Memastikan keselarasan lengkap dengan misi
organisasi, tujuan diterjemahkan ke dalam persyaratan keamanan. Tugas ini
memerlukan evaluasi sebelumnya terhadap standar dan pedoman yang ada yang
cocok untuk organisasi. Saat menentukan persyaratan ini, penting untuk mulai
mempertimbangkan layanan cloud yang ingin diterapkan oleh organisasi dan
penerapan terkaitnya. Oleh karena itu, pada langkah inilah kerangka kerja ISGcloud
memulai hubungannya dengan lingkungan komputasi awan.
29
Tugas 2B: Analisis Biaya/Manfaat dari Opsi Cloud yang Tersedia. Setelah
persyaratan keamanan dan kebijakan keamanan ditentukan, organisasi perlu
mengevaluasi opsi cloud yang tersedia untuk layanan yang diterapkan. Evaluasi ini
dilakukan dalam tugas ini melalui analisis biaya/manfaat yang mencakup biaya tata
kelola yang efektif untuk mengelola risiko dan memastikan kepatuhan terhadap
peraturan [27] dan nilai tambah dari layanan cloud. Analisis ini harus menyertakan
pertimbangan keamanan dari calon penyedia cloud yang berbeda sehubungan dengan
model layanan cloud yang dipilih. Meskipun ini merupakan perkiraan awal, kasus
bisnis memberikan pendekatan ekonomi pertama sehubungan dengan prospek
keamanan layanan cloud organisasi.
Tugas 2C: Analisis Risiko Cloud. Analisis ketiga yang termasuk dalam kegiatan ini
adalah analisis risiko keamanan cloud. Tujuan dari tugas ini adalah untuk memberikan
pemahaman tentang risiko keamanan layanan cloud yang teridentifikasi dan untuk
menentukan proses manajemen untuk risiko ini. Seperti penilaian risiko apa pun, ini
termasuk identifikasi aset informasi dengan ancaman dan kerentanan terkait, dan
definisi prosedur untuk mengelola risiko dan menangkalnya. Kami
merekomendasikan penggunaan kerangka jaminan informasi yang didefinisikan
dalam [23] oleh ENISA, yang membantu dalam mengikuti langkah-langkah ini.
Tujuan dari aktivitas ketiga ISGcloud adalah untuk menyediakan desain menyeluruh
dari tata kelola keamanan yang akan diimplementasikan bersama dengan layanan
cloud.
Tugas 3A: Menentukan SLA dan kontrak hukum. Seperti layanan outsourcing
lainnya, layanan komputasi awan memerlukan perjanjian tingkat layanan (SLA) yang
memadai agar dapat dikelola dengan baik. Tata kelola keamanan yang berhasil dicapai
melalui terjemahan yang tepat dari persyaratan keamanan organisasi ke dalam
perjanjian dengan penyedia cloud untuk mengelola dan meminimalkan risiko.
Perjanjian ini harus mencakup tidak hanya klausul hukum, tetapi juga kelompok
tindakan keamanan yang lengkap, yang akan menjadi titik awal untuk tugas audit dan
pemantauan berikutnya. SLA, sebagai bagian dari siklus tata kelola berulang, harus
ditinjau secara berkala dengan tujuan memodifikasi kekurangan yang terdeteksi dan
meningkatkan manajemen keamanan layanan cloud.
Tugas 3B: Menetapkan Peran dan Tanggung Jawab Keamanan Informasi.
Rancangan keamanan memerlukan penetapan tanggung jawab yang terperinci dalam
organisasi. Penugasan ini sangat bergantung pada struktur tata kelola yang ditentukan
dalam aktivitas pertama. Tugas ini menuntut identifikasi aset informasi, untuk
menentukan kepemilikan dan tanggung jawab masing-masing.
Tugas 3C: Menentukan Pemantauan dan Audit Layanan Cloud. Ini adalah tugas
utama dalam desain keamanan karena menentukan kondisi di mana layanan cloud
akan dipantau. Organisasi menentukan proses dan metrik yang diperlukan untuk
melakukan audit keamanan berdasarkan SLA yang ditentukan sebelumnya. Hasil dari
aktivitas ini menentukan bagaimana proses Monitor dan Evaluasi dari siklus iteratif
akan dijalankan dalam aktivitas operasi.
Tugas 3D: Menentukan Kontrol Keamanan yang Berlaku. Tugas terakhir dalam
aktivitas desain difokuskan pada pendefinisian kontrol keamanan. Berdasarkan
analisis risiko, organisasi harus mengembangkan tindakan keamanan yang akan
diterapkan baik selama pengoperasian layanan cloud maupun dalam kasus insiden
atau bencana besar. Tugas ini dapat dilakukan dengan mengikuti salah satu standar
keamanan yang ada, seperti ISO/IEC 27001 [18].
Tujuan dari aktivitas terakhir adalah untuk menyediakan penghentian layanan dengan
keamanan.
Tugas 6A: Penghentian Layanan Cloud. Tugas ini mencakup langkah-langkah yang
diperlukan untuk menjamin penghentian layanan yang aman dan pengambilan
informasi dari penyedia cloud, baik layanan tersebut dialihkan ke penyedia lain atau
akhirnya dibuang. Keluaran utama dari tugas ini adalah laporan keamanan yang berisi
pengetahuan yang diperoleh organisasi, yang dapat digunakan kembali dalam iterasi
tata kelola keamanan yang berurutan.
5 Kesimpulan
Beberapa upaya penelitian terkait keamanan layanan cloud telah dipublikasikan, tetapi
kami melihat kurangnya kerangka tata kelola keamanan yang mempertimbangkan
kekhasan komputasi cloud. Kontribusi utama dari pekerjaan ini adalah proposal
kerangka ISG komprehensif (ISGcloud) yang terkait erat dengan siklus hidup layanan
cloud. Tujuan kerangka kerja ISGcloud adalah untuk menyediakan para praktisi
dengan pendekatan sistematis yang dapat dengan mudah diikuti untuk menjamin tata
kelola keamanan yang sukses, terlepas dari jenis penyebaran cloud.
Agar dapat memahami kerangka kerja, kami telah memperkenalkan deskripsi
singkat tentang aktivitas dan tugas ISGcloud. Namun, kami menyadari bahwa
31
diperlukan lebih banyak detail sebelum proposal kami dipraktikkan. Kami berencana
untuk melanjutkan penelitian kami memperluas tugas yang diusulkan, sehingga
masing-masing mengidentifikasi langkah-langkah yang terlibat, peran pengguna yang
berpartisipasi dalam pelaksanaannya, produk input dan outputnya, dan dokumen
panduan yang diusulkan yang dapat membantu mencapai tujuannya. Penelitian kami
di masa depan harus memungkinkan kami untuk menyediakan pendekatan proses
terstruktur yang memfasilitasi integrasinya dengan proses organisasi lainnya dan dapat
digunakan kembali, yang dapat dimodelkan mengikuti Spesifikasi Meta-Model
Rekayasa Proses Perangkat Lunak & Sistem (SPEM) [28]. Mengikuti baris ini, kami
berencana untuk melengkapi definisi SPEM dari aktivitas kerangka kerja dengan alat
pendukung, seperti EPF Composer.
Selain itu, kami bermaksud untuk dapat melakukan penggunaan praktis kerangka
ISGcloud dalam skenario kehidupan nyata, sehingga penelitian teoretis kami
dipraktikkan untuk mengevaluasi dan memvalidasi kegunaannya. Kami akan terus
memvalidasi proposal kami dengan menghubungi organisasi kandidat yang berniat
untuk mengembangkan layanan cloud atau telah menerapkannya, dan tertarik dengan
masalah tata kelola keamanan yang terkait dengan lingkungan cloud.
Terima kasih
Penelitian ini merupakan bagian dari proyek berikut: MEDUSAS (IDI-20090557),
dibiayai oleh Pusat Pengembangan Teknologi Industri (CDTI), ORIGIN
(IDI2010043(1-5)) dibiayai oleh CDTI dan FEDER, SERENIDAD (PEII11-
0377035 ) dibiayai oleh "Viceconsejería de Ciencia y Tecnología de la Junta de
Comunidades de Castilla- La Mancha" (Spanyol) dan FEDER, dan SIGMA-CC
(TIN201236904) dan GEODAS (TIN2012-37493-C03-01) dibiayai oleh "Ministerio
de Economía y Competitividad" (Spanyol).
Referensi
1. Mell, P., Grance, T.: Definisi Cloud Computing NIST. SP 800-145. Institut Standar dan
Teknologi Nasional (NIST) (2011)
2. Gartner: Hype Cycle Gartner untuk Cloud Computing. (2012)
3. Chen, Y., Paxson, V., Katz, RH: Apa yang Baru Tentang Keamanan Cloud Computing?
Universitas California, Berkeley (2010)
4. Hamlen, K., Kantarcioglu, M., Khan, L., Thuraisingham, B.: Masalah Keamanan untuk
Cloud Computing. Jurnal Internasional Keamanan Informasi dan Privasi 4 (2010) 39-51
5. Subashini, S., Kavitha, V.: Survei tentang masalah keamanan dalam model penyampaian
layanan komputasi awan. Jurnal Aplikasi Jaringan dan Komputer 34 (2011) 1-11
6. Bisong, A., Rahman, SSM: Ikhtisar Masalah Keamanan di Komputasi Awan Perusahaan.
Jurnal Internasional Keamanan Jaringan & Aplikasinya (IJNSA) 3 (2011) 30-45
7. Avanade: Survei Global: Apakah Cloud Computing Sudah Dewasa? Laporan Tahunan
Ketiga , Juni 2011 (2011)
8. Rosado, DG, Gómez, R., Mellado, D., Fernández-Medina, E.: Analisis Keamanan dalam
Migrasi ke Lingkungan Cloud. Internet Masa Depan 4 (2012) 469-487
9. Zhu, Y., Hu, H., Ahn, G.-J., Yau, SS: Outsourcing layanan audit yang efisien untuk
integritas data di cloud. Jurnal Sistem dan Perangkat Lunak 85 (2012) 1083–1095
10. Mellado, D., Sánchez, LE, Fernández-Medina, E., Piattini, M.: Inovasi Tata Kelola
Keamanan TI: Teori dan Penelitian. IGI Global, AS (2012)
11. Rong, C., Nguyen, ST, Jaatun, MG: Beyond lightning: Survei tentang tantangan keamanan
dalam komputasi awan. Komputer dan Teknik Elektro 39 (2013) 47-54
12. Rebollo, O., Mellado, D., Fernández-Medina, E.: Tinjauan Sistematis Kerangka Kerja Tata
Kelola Keamanan Informasi di Lingkungan Cloud Computing. Jurnal Ilmu Komputer
Universal 18 (2012) 798-815
13. Fung, AR-W., Farn, K.-J., Lin, AC: Paper: studi tentang sertifikasi sistem manajemen
keamanan informasi. Standar & Antarmuka Komputer 25 (2003) 447-461
14. ISO/IEC: ISO/IEC 38500:2008 Tata kelola perusahaan teknologi informasi (2008)
15. Chou, DC, Chou, AY: Siklus hidup outsourcing sistem informasi dan analisis risiko.
Standar & Antarmuka Komputer 31 (2009) 1036–1043
16. ISO/IEC: ISO/IEC 27036 - Keamanan TI - Teknik keamanan - Keamanan informasi untuk
hubungan pemasok (draf)
32
17. ITGI: Tujuan Pengendalian untuk Informasi dan Teknologi terkait (COBIT 5) (2012)
18. ISO/IEC: ISO/IEC 27001:2005 Teknologi informasi - Teknik keamanan - Sistem
manajemen keamanan informasi - Persyaratan (2005)
19. Rebollo, O., Mellado, D., Sánchez, LE, Fernández-Medina, E.: Analisis Komparatif
Kerangka Tata Kelola Keamanan Informasi: Pendekatan Sektor Publik. Prosiding
Konferensi Eropa ke-11 tentang eGovernment – ECEG 2011, Ljubljana, Slovenia (2011)
482-490
20. Solms, SHv, Solms, Rv: Tata Kelola Keamanan Informasi. Peloncat (2009)
21. Rebollo, O., Mellado, D., Fernández-Medina, E.: Tinjauan Komparatif Proposal Keamanan
Cloud dengan ISO/IEC 27002. Prosiding Lokakarya Internasional ke-8 tentang Keamanan
dalam Sistem Informasi - WOSIS 2011, Beijing, China (2011 ) 3-12
22. Aliansi Keamanan Cloud: Panduan Keamanan untuk Area Fokus Penting di Cloud
Computing V3. (2011)
23. Catteddu, D., Hogben, G.: Penilaian Risiko Keamanan Cloud Computing - Manfaat, risiko,
dan rekomendasi untuk keamanan informasi. Jaringan Eropa dan Badan Keamanan
Informasi (ENISA) (2009)
24. ISACA: Tujuan Kontrol TI untuk Cloud Computing. (2011)
25. Solms, Rv, Solms, SHBv: Tata Kelola Keamanan Informasi: Model berdasarkan Siklus
Kontrol Langsung. Komputer & Keamanan 25 (2006) 408-412
26. Allen, JH, Westby, JR: Mengatur Panduan Implementasi Keamanan Perusahaan. Institut
Rekayasa Perangkat Lunak - CERT (2007)
27. Miller, J., Candler, L., Wald, H.: Tata Kelola Keamanan Informasi - Pertimbangan
Pemerintah untuk Lingkungan Cloud Computing. Booz Allen Hamilton (2009)
28. OMG: Spesifikasi Meta-Model Rekayasa Proses Perangkat Lunak & Sistem v.2.0.
http://www.omg.org/spec/SPEM (2008)