Cara menangani kontrol akses menurut ISO 27001
Kontrol akses biasanya dianggap sebagai aktivitas teknis yang berkaitan dengan pembukaan akun, pengaturan kata sandi, dan hal-hal serupa – dan memang benar: kontrol akses memang mencakup semua hal ini, tetapi kontrol akses tidak dimulai sebagai hal teknis. Ini dimulai sebagai keputusan bisnis.
Mari kita lihat apa yang diperlukan ISO 27001: ini mendefinisikan kontrol akses di bagian A.9 dari Lampiran A, total 14 kontrol (ditempatkan dalam 4 subbagian) – lebih dari 12% dari semua kontrol dalam standar ini – yang berarti topik ini jelas sangat penting. Mari kita lihat seperti apa kontrol ini.
Persyaratan bisnis untuk kontrol akses (subbagian A.9.1)
Subbagian ini mengharuskan Anda untuk menyiapkan Kebijakan Kontrol Akses, dan untuk menentukan pengguna mana yang akan memiliki akses ke jaringan dan layanan mana. Akibatnya, ini berarti Anda harus menetapkan aturan terlebih dahulu, dan baru kemudian mengizinkan pengguna untuk menelusuri jaringan dan layanan Anda.
Anda dapat mengatur aturan akses dengan beberapa cara, tetapi biasanya ada dua pendekatan: pendekatan pertama adalah Anda menentukan profil pengguna (di mana Anda menentukan tingkat akses untuk setiap profil pengguna), dan kemudian berdasarkan setiap judul pekerjaan Anda menetapkan profil pengguna yang sesuai untuk jabatan itu. Misalnya, Anda dapat menentukan bahwa Anda memiliki profil pengguna A (dengan akses ke aplikasi dan layanan dasar), dan profil pengguna B (dengan akses ke semua sistem dasar + lebih sensitif) – maka Anda dapat menentukan aturan di mana setiap orang di perusahaan menggunakan profil pengguna A, sementara hanya beberapa pengguna istimewa (misalnya, administrator, manajer, dll.) menggunakan profil pengguna B.
Pendekatan kedua adalah Anda mendefinisikan bahwa pemilik aset (yaitu, jaringan, aplikasi, layanan, dll.) harus menyetujui akses ke pengguna tertentu setiap kali mereka perlu mengakses aset tersebut – pendekatan kedua ini, tentu saja, jauh lebih memakan waktu. Pada kenyataannya, kombinasi dari kedua pendekatan ini sangat sering digunakan, seperti yang akan saya jelaskan nanti.
Omong-omong, Kebijakan Kontrol Akses hanya dapat berfokus pada sistem informasi, atau keduanya pada sistem informasi dan akses fisik ke area aman – standar ini memungkinkan kedua pendekatan tersebut. Pada kenyataannya, menyetujui akses ke area fisik tidak memiliki terlalu banyak perbedaan dibandingkan dengan menyetujui akses ke sistem informasi.
Manajemen akses pengguna (subbagian A.9.2)
Di sinilah hal-hal mulai menjadi teknis – Anda harus menentukan bagaimana Anda mengharuskan pengguna untuk mendaftar di sistem Anda (misalnya, menangani ID pengguna), bagaimana Anda menetapkan akses kepada mereka (penyediaan akses atau pencabutan akses), dan bagaimana Anda mengelola data otentikasi (misalnya, bagaimana Anda memberikan kata sandi awal, kartu pintar, dll.).
Tetapi sekali lagi, Anda harus mengurus beberapa hal organisasi – misalnya, jika Anda perlu mengizinkan akses yang berada di luar aturan reguler (akses istimewa), Anda perlu menentukan dengan tepat siapa yang dapat menyetujui pengecualian akses pengguna tersebut. Apa yang biasanya dilakukan adalah bahwa perusahaan mendefinisikan profil pengguna, dan jika ada akses yang harus disetujui di atas itu, ini diperlakukan sebagai akses istimewa dan kemudian pemilik aset harus menyetujui pengecualian tersebut.
Karena pengecualian seperti itu akan selalu ada, pemilik aset harus secara teratur meninjau semua akses istimewa dan memutuskan apakah mereka masih diperlukan – sangat sering Anda akan memiliki situasi di mana akses istimewa telah disetujui sejak lama, hanya untuk mengetahui bahwa itu menimbulkan risiko keamanan yang tinggi dan tidak ada kebutuhan operasional untuk akses tersebut.
Akhirnya, harus ada proses penghapusan semua hak akses ketika seseorang meninggalkan perusahaan atau menyesuaikannya ketika seseorang mengubah posisi mereka di perusahaan. Terlalu sering terjadi bahwa orang memiliki akses ke beberapa sistem beberapa tahun setelah mereka meninggalkan perusahaan, hanya karena tidak ada yang ingat untuk menutup akses ini.
Omong-omong, Anda dapat menentukan semua aturan tersebut dalam Kebijakan Kontrol Akses yang sama, atau Anda dapat mengembangkan dokumen terpisah untuk tujuan itu – misalnya, Anda dapat mengembangkan Kebijakan Kata Sandi tempat Anda menentukan cara melakukan autentikasi.
Tanggung jawab pengguna (subbagian A.9.3)
Ini adalah subbagian yang sangat singkat (dengan satu kontrol saja) yang mengharuskan Anda untuk menentukan bagaimana pengguna akan merahasiakan informasi otentikasi mereka (misalnya, melindungi kata sandi mereka). Ini biasanya dilakukan melalui beberapa dokumen seperti Kebijakan Keamanan TI, yang mendefinisikan aturan seperti ini: jangan menuliskan kata sandi, jangan mengungkapkannya kepada siapa pun, jangan gunakan kata sandi yang sama di sistem yang berbeda, dll.
Kontrol akses sistem dan aplikasi (subbagian A.9.4)
Di sinilah segalanya menjadi lebih teknis – Anda harus memastikan bahwa akses ke semua sistem benar-benar sesuai dengan Kebijakan Kontrol Akses, bahwa akses dilindungi dengan prosedur masuk yang aman (misalnya, gunakan biometrik jika kata sandi tidak cukup), bahwa kata sandi yang digunakan cukup kompleks dan cukup aman, dll.
Selanjutnya, jika perusahaan Anda mengembangkan program, Anda harus menentukan cara melindungi akses ke kode sumber – biasanya, akses didefinisikan melalui Kebijakan Kontrol Akses yang sama seperti untuk semua masalah akses lainnya.
Akhirnya, Anda harus menentukan cara melindungi akses ke informasi saat menggunakan alat perangkat lunak khusus yang memungkinkan akses ke informasi secara langsung, melewati aplikasi standar atau kontrol sistem – ini biasanya program administrator dan utilitas, terutama digunakan oleh administrator sistem. Bagaimanapun, penggunaan alat-alat tersebut harus dibatasi, diizinkan untuk digunakan hanya dalam keadaan yang sangat spesifik, dan di bawah pengawasan.
Sebagai kesimpulan, tidak memiliki kontrol akses berarti tidak memiliki keamanan sama sekali – ini adalah salah satu blok bangunan utama keamanan informasi yang secara teknis harus dilakukan dengan baik, tetapi juga dirancang agar cukup aman dan dapat diterima oleh pengguna. Apa yang tidak Anda inginkan terjadi adalah memiliki rencana yang sangat ambisius untuk mengubah kata sandi setiap bulan, hanya untuk mengetahui bahwa karyawan Anda telah sepenuhnya menolak sistem seperti itu karena mereka pikir itu tidak praktis.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
