Kontrol keamanan adalah parameter yang diterapkan untuk melindungi berbagai bentuk data dan infrastruktur yang penting bagi organisasi. Segala jenis perlindungan atau tindakan pencegahan yang digunakan untuk menghindari, mendeteksi, menangkal, atau meminimalkan risiko keamanan terhadap properti fisik, informasi, sistem komputer, atau aset lainnya dianggap sebagai kontrol keamanan.

Mengingat tingkat serangan siber yang terus meningkat, kontrol keamanan data saat ini menjadi lebih penting dari sebelumnya. Menurut studi Clark School di University of Maryland, serangan keamanan siber di AS kini terjadi rata-rata setiap 39 detik, mempengaruhi satu dari tiga orang Amerika setiap tahun; 43% dari serangan ini menargetkan bisnis kecil. Antara Maret 2021 hingga Maret 2022, biaya rata-rata pelanggaran data di Amerika Serikat adalah USD 9,44 juta.

Di saat yang sama, peraturan privasi data terus berkembang, sehingga sangat penting bagi bisnis untuk menopang kebijakan perlindungan data mereka atau menghadapi potensi denda. Uni Eropa menerapkan peraturan Peraturan Perlindungan Data Umum (GDPR) yang ketat tahun lalu. Di AS, Undang-Undang Privasi Konsumen California akan mulai berlaku 1 Januari 2020, dengan beberapa negara bagian lain saat ini sedang mempertimbangkan langkah-langkah serupa.

Peraturan ini biasanya mencakup hukuman berat bagi perusahaan yang tidak memenuhi persyaratan. Sebagai contoh, Facebook baru-baru ini melaporkan bahwa mereka mengantisipasi denda lebih dari USD 3 miliar dari Komisi Perdagangan Federal AS atas kekurangan kebijakan perlindungan data yang menyebabkan beberapa pelanggaran data.

Ada beberapa jenis kontrol keamanan yang dapat diterapkan untuk melindungi perangkat keras, perangkat lunak, jaringan, dan data dari tindakan dan peristiwa yang dapat menyebabkan kerugian atau kerusakan. Sebagai contoh:

• Kontrol keamanan fisik mencakup hal-hal seperti pagar perimeter pusat data, kunci, penjaga, kartu kontrol akses, sistem kontrol akses biometrik, kamera pengintai, dan sensor pendeteksi penyusupan.
  
  
• Kontrol keamanan digital mencakup hal-hal seperti nama pengguna dan kata sandi, autentikasi dua faktor, perangkat lunak antivirus, dan firewall.
  
  
• Kontrol keamanan siber mencakup apa pun yang dirancang khusus untuk mencegah serangan terhadap data, termasuk mitigasi DDoS, dan sistem pencegahan intrusi.
  
  
• Kontrol keamanan cloud mencakup langkah-langkah yang Anda ambil dalam kerja sama dengan penyedia layanan cloud untuk memastikan perlindungan yang diperlukan untuk data dan beban kerja. Jika organisasi Anda menjalankan beban kerja di cloud, Anda harus memenuhi persyaratan keamanan kebijakan perusahaan atau bisnis dan peraturan industri.

Sistem kontrol keamanan, termasuk proses dan dokumentasi yang mendefinisikan implementasi dan manajemen berkelanjutan dari kontrol ini, disebut sebagai kerangka kerja atau standar.

Kerangka kerja memungkinkan organisasi untuk secara konsisten mengelola kontrol keamanan di berbagai jenis aset sesuai dengan metodologi yang diterima dan teruji secara umum. Beberapa kerangka kerja dan standar yang paling terkenal termasuk yang berikut ini:

Kerangka Kerja Keamanan Siber Institut Standar dan Teknologi Nasional

National Institute of Standards and Technology (NIST) menciptakan kerangka kerja sukarela pada tahun 2014 untuk memberikan panduan bagi organisasi tentang cara mencegah, mendeteksi, dan merespons serangan siber. Metode dan prosedur penilaian digunakan untuk menentukan apakah kontrol keamanan organisasi diimplementasikan dengan benar, beroperasi sebagaimana mestinya, dan menghasilkan hasil yang diinginkan (memenuhi persyaratan keamanan organisasi). Kerangka kerja NIST secara konsisten diperbarui untuk mengimbangi kemajuan keamanan siber.

Pusat Kontrol Keamanan Internet

Center for Internet Security (CIS) mengembangkan daftar tindakan pertahanan prioritas tinggi yang memberikan titik awal "harus dilakukan, lakukan terlebih dahulu" bagi setiap perusahaan yang ingin mencegah serangan siber. Menurut SANS Institute, yang mengembangkan kontrol CIS, "Kontrol CIS efektif karena berasal dari pola serangan paling umum yang disorot dalam laporan ancaman terkemuka dan diperiksa di seluruh komunitas yang sangat luas di kalangan praktisi pemerintah dan industri."

Organisasi dapat merujuk pada kerangka kerja ini dan kerangka kerja lainnya untuk mengembangkan kerangka kerja keamanan dan kebijakan keamanan TI mereka sendiri. Kerangka kerja yang dikembangkan dengan baik memastikan bahwa organisasi melakukan hal-hal berikut ini:

• Menerapkan kebijakan keamanan TI melalui kontrol keamanan
• Mendidik karyawan dan pengguna tentang pedoman keamanan
• Memenuhi peraturan industri dan kepatuhan
• Mencapai efisiensi operasional di seluruh kontrol keamanan
• Terus menilai risiko dan mengatasinya melalui kontrol keamanan

Solusi keamanan hanya sekuat tautan terlemahnya. Oleh karena itu, Anda harus mempertimbangkan beberapa lapisan kontrol keamanan (yang juga dikenal sebagai strategi pertahanan mendalam) untuk menerapkan kontrol keamanan di seluruh identitas dan manajemen akses, data, aplikasi, infrastruktur jaringan atau server, keamanan fisik, dan intelijen keamanan.

Penilaian kontrol keamanan adalah langkah pertama yang sangat baik untuk menentukan di mana saja kerentanannya. Penilaian kontrol keamanan memungkinkan Anda untuk mengevaluasi kontrol yang saat ini Anda miliki dan menentukan apakah kontrol tersebut diterapkan dengan benar, beroperasi sebagaimana mestinya, dan memenuhi persyaratan keamanan Anda. Publikasi Khusus NIST 800-53 dibuat oleh NIST sebagai tolok ukur untuk penilaian kontrol keamanan yang sukses. Pedoman NIST berfungsi sebagai pendekatan praktik terbaik yang, jika diterapkan, dapat membantu mengurangi risiko kompromi keamanan bagi organisasi Anda. Sebagai alternatif, organisasi Anda juga bisa membuat penilaian keamanannya sendiri.

Beberapa langkah kunci untuk membuat penilaian keamanan meliputi yang berikut:

• Tentukan sistem target: Buat daftar alamat IP yang diperlukan untuk dipindai di jaringan Anda. Daftar harus berisi alamat IP dari semua sistem dan perangkat yang terhubung di jaringan organisasi Anda.
  
  
• Tentukan aplikasi target: Daftar aplikasi dan layanan web yang akan dipindai. Tentukan jenis server aplikasi web, server web, database, komponen pihak ketiga, dan teknologi yang digunakan untuk membangun aplikasi yang ada.
  
  
• Pemindaian dan pelaporan kerentanan: Beri tahu tim jaringan dan tim TI tentang semua aktivitas penilaian, karena penilaian kerentanan terkadang dapat membuat lonjakan lalu lintas jaringan saat memuat server target dengan permintaan. Selain itu, dapatkan pass-through yang tidak diautentikasi untuk IP pemindai di seluruh jaringan organisasi dan pastikan IP masuk daftar putih di IPS/IDS. Jika tidak, pemindai dapat memicu peringatan lalu lintas berbahaya, yang mengakibatkan IP-nya diblokir.

Baca lebih lanjut tentang cara menilai kerentanan aplikasi dan jaringan perusahaan Anda dengan membuat penilaian keamanan Anda sendiri.