Cara Menggunakan Kriptografi Sesuai dengan Kontrol ISO 27001 A.8.24
Saat ini, informasi bergerak terus-menerus dari satu bagian dunia ke bagian lain melalui email, transaksi online, USB flash drive, dan hard drive eksternal. Di luar fasilitas organisasi, informasinya ada di banyak tempat, seperti server ISP, router, sakelar, pemasok eksternal, gendongan, dan lainnya, sebelum tiba di tujuan akhirnya. Pernahkah Anda berpikir bahwa informasi ini dapat diakses oleh orang-orang di luar organisasi Anda? Berhati-hatilah jika Anda ingin dilindungi dari akses yang tidak sah, Anda perlu mengenkripsi informasinya!
Untuk memperjelas siapa yang harus melakukan apa, dan bagaimana, kebijakan kontrol kriptografi dapat banyak membantu Anda. Jadi, untuk menjaga “setir di tangan Anda,” kebijakan kriptografi mempertimbangkan beberapa poin. Izinkan saya menunjukkan kepada Anda apa yang harus diurus saat menyiapkan kebijakan.
Dalam ISO 27001, kontrol kriptografi A.8.24 mencakup definisi aturan untuk:
- Penggunaan solusi kriptografi
- penggunaan dan perlindungan kunci kriptografi selama digunakan
Konsep dasar kriptografi
Untuk lebih memahami cara menggunakan kriptografi, penting untuk mengetahui beberapa konsep:
- Kriptografi: Ini adalah ilmu menulis dalam kode rahasia sehingga hanya pengirim dan penerima pesan yang dituju yang dapat memahami isinya.
- Enkripsi: Ini adalah mekanisme khusus untuk mengubah informasi yang dapat digunakan (dikenal sebagai teks biasa) menjadi format yang tidak berguna jika tidak didekripsi.
- dekripsi: ini adalah mekanisme khusus untuk mengubah cyphertext menjadi teks biasa.
- Kunci kriptografi: Ini adalah serangkaian karakter yang digunakan dengan mekanisme enkripsi dan / atau dekripsi untuk mengubah informasi dari teks biasa ke Cyphertext atau sebaliknya.
Apa itu perangkat kriptografi?
Mekanisme enkripsi dapat berbasis perangkat lunak (yaitu, program yang bergantung pada komputer yang akan dieksekusi) atau berbasis perangkat keras. Dalam kasus terakhir ini, ini diimplementasikan dalam perangkat keras khusus, dan dikenal sebagai perangkat kriptografi.
Apa saja jenis metode kriptografi?
Metode mengacu pada bagaimana kunci dan mekanisme berinteraksi. Dalam hal ini, ada dua jenis: Mereka dapat menggunakan kunci kriptografi yang sama (metode yang dikenal sebagai kriptografi simetris) atau berbeda, tetapi kunci terkait untuk enkripsi dan dekripsi (metode ini dikenal sebagai kriptografi asimetris).
Bagaimana enkripsi dilakukan?
Proses enkripsinya cukup sederhana:
- Mekanisme enkripsi adalah serangkaian fungsi yang harus dilakukan atas informasi (misalnya, mengubah karakter untuk yang lain, memindahkan karakter ke posisi lain, dll.).
- Kunci kriptografi mendefinisikan fungsi mana yang perlu dilakukan, dalam urutan mana, dan berapa kali.
Jadi, ketika Anda memasukkan informasi dalam teks biasa dan menggunakan kunci kriptografi, mekanisme enkripsi melakukan transformasi informasi, membuat cyphertext.
Dalam proses dekripsi, transformasi informasi dilakukan dalam urutan terbalik, menghasilkan teks biasa asli.
Apa yang membuat solusi kriptografi yang baik, dan apakah kunci kriptografi itu penting?
Kekokohan solusi kriptografi berada di:
- Dalam konstruksi yang tepat dari mekanisme enkripsi / dekripsi: desain / implementasi mekanisme yang cacat dapat memungkinkan informasi untuk disimpulkan dari Cyphertext.
- Dalam perlindungan kerahasiaan kunci kriptografi: siapa pun yang memiliki akses ke kunci kriptografi yang digunakan oleh mekanisme dapat melakukan fungsi, mengorbankan informasi.
Jadi, itulah pentingnya berhati-hati saat mengembangkan/memilih mekanisme enkripsi dan dekripsi, serta menggunakan dan menyimpan kunci kriptografi.
Kapan menggunakan solusi kriptografi?
Solusi kriptografi harus digunakan kapan pun diperlukan untuk melindungi informasi rahasia dari akses yang tidak sah.
Oleh karena itu, beberapa contoh di mana kita dapat menggunakan solusi kriptografi meliputi:
- Anda memiliki perangkat dengan informasi rahasia (hard drive eksternal, flash drive, laptop, dll.) dan itu keluar dari organisasi.
- Anda ingin mengirim email dengan informasi rahasia.
- Anda memiliki server file dengan folder yang dapat diakses oleh semua karyawan, tetapi satu (atau lebih) file berisi informasi rahasia.
- Anda memiliki situs web publik yang dapat diakses pengguna dengan memasukkan nama pengguna/kata sandi (dalam hal ini, kata sandi adalah informasi sensitif yang, jika tidak bepergian di saluran yang aman, dapat diungkapkan).
- Anda memiliki situs web tempat Anda menawarkan e-niaga dan memiliki gateway pembayaran.
- Karyawan Anda terhubung ke jaringan perusahaan dari rumah untuk mengakses sumber daya perusahaan.
Apa standar enkripsi saat ini?
Dalam hal algoritma enkripsi, AES (Advanced Encryption Standard) saat ini adalah enkripsi paling aman yang tersedia. Kelemahannya adalah kenyataan bahwa pengguna berbagi kunci enkripsi yang sama, yang membawa risiko yang relevan ketika beberapa pengguna perlu mengubah informasi sensitif.
Untuk menghindari risiko yang terkait dengan berbagi kunci, penggunaan algoritma RSA (metode yang dinamai menurut penciptanya Rivest – Shamir – Adleman) adalah pilihan alternatif saat ini. Pendekatan Infrastruktur Kunci Publiknya meningkatkan keamanan ketika beberapa pengguna perlu mengubah informasi sensitif, dengan mengorbankan kecepatan pemrosesan.
Apa itu kriptografi dalam ISO 27001, dan apa yang dimaksud dengan kontrol kriptografi?
Dalam ISO 27001, penggunaan kriptografi mengacu pada serangkaian praktik keamanan yang akan digunakan dengan tujuan untuk memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi informasi, sesuai dengan risiko yang dirasakan, baik saat diam atau selama komunikasi. Mereka mencakup definisi aturan untuk:
- penggunaan solusi kriptografi, yaitu, algoritma dan ukuran kunci mana yang perlu digunakan, dalam situasi apa, dll.; misalnya, dalam AES, ada juga opsi berbeda yang terkait dengan ukuran kunci (AES128, AES256, dll.).
- penggunaan dan perlindungan kunci kriptografi selama digunakan, yaitu, kapan kunci perlu dibuat, oleh siapa, di mana mereka perlu disimpan, dll.
Banyak orang bertanya apakah ISO 27001 memerlukan enkripsi saat istirahat. Enkripsi saat istirahat tidak wajib ketika kontrol berlaku. Itu hanya opsi penanganan.
Kontrol kriptografi dan penilaian risiko
Kita tidak boleh lupa bahwa penerapan kontrol keamanan, termasuk kebijakan enkripsi, harus didasarkan pada hasil analisis risiko. Oleh karena itu, tingkat perlindungan informasi yang diperlukan harus diidentifikasi dengan mempertimbangkan waktu, kompleksitas, dan kualitas algoritma enkripsi yang diperlukan.
Ada banyak opsi untuk penerapan kontrol kriptografi yang dipertimbangkan dalam kebijakan enkripsi:
- Alat perangkat lunak untuk mengenkripsi seluruh konten atau bagian (file, folder, dll.) dari hard disk (dapat digunakan untuk melindungi informasi rahasia dalam sistem informasi). Alat perangkat lunak ini juga dapat digunakan untuk melindungi informasi rahasia yang disimpan pada perangkat yang dapat dilepas yang dapat keluar dari organisasi (hard drive, USB flash drive, dll.).
- Alat perangkat lunak untuk mengenkripsi informasi dalam email (protokol asli email tidak aman).
- Enkripsi untuk transaksi web penting (e-commerce, akses ke informasi penting tentang bisnis di situs web, dll.).
- Enkripsi untuk koneksi eksternal ke jaringan perusahaan (teleworking, akses jarak jauh, dll.).
Informasi yang tidak dienkripsi dapat merusak bisnis Anda
Saya sering bertemu perusahaan di mana karyawan, atau bahkan manajer atau eksekutif senior memiliki informasi bisnis rahasia di USB flash drive. Sebuah pertanyaan perlu diajukan: “Pernahkah Anda berpikir apa yang dapat terjadi jika pen drive ini hilang atau dicuri dan perusahaan pesaing memperoleh informasi ini?” Jawabannya adalah perusahaan Anda dapat mulai merugi, atau bahkan menutup pintu jika pengungkapan informasi sangat penting. Untuk menghindari hal ini, solusinya sederhana: lindungi informasi dengan menetapkan kontrol kriptografi ketika informasi keluar dari batas-batas organisasi.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
