Bagaimana Autentikasi Dua Faktor Memungkinkan Kepatuhan Terhadap Kontrol Akses ISO 27001
Kontrol akses adalah salah satu landasan keamanan. Jika Anda tidak dapat mengontrol siapa yang mengakses apa, Anda tidak dapat memastikan keamanan sama sekali. Karena itu, kontrol akses tetap menjadi fokus utama tim keamanan dan pelaku kesalahan.
Saat ini, penggunaan kata sandi, token, atau biometrik yang sederhana tidak cukup untuk mencegah akses yang tidak sah. Kompleksitas serangan dan nilai aset membutuhkan lebih banyak, sehingga organisasi beralih ke otentikasi multi-faktor, terutama otentikasi dua faktor.
Namun, meskipun ini mewakili peningkatan keamanan yang jelas, bagaimana hal itu cocok dengan kerangka kerja keamanan yang sudah ada? Artikel ini akan menyajikan kontrol mana dari ISO 27001 yang dapat memperoleh manfaat dari adopsi kontrol akses autentikasi dua faktor.
Peran autentikasi dalam kontrol akses, dan definisi autentikasi dua faktor
Pertama-tama, harus dipahami bahwa proses kontrol akses yang kuat terdiri dari tiga konsep ini (dilakukan persis dalam urutan ini):
Identifikasi: metode untuk memberikan subjek (entitas yang meminta akses) dengan identitas yang dapat dikenali (misalnya, akun pengguna, PPN, nomor jaminan sosial, paspor, dll.).
Autentikasi: metode untuk memastikan bahwa subjek adalah siapa yang dia klaim (misalnya, kata sandi, token, sidik jari, dll.).
Otorisasi: metode untuk mengontrol tindakan apa yang dapat dilakukan subjek pada objek (entitas yang sedang diakses) (misalnya, daftar izin subjek dan daftar izin objek).
Mengenai metode otentikasi, konsep (atau faktor) berikut dapat digunakan, secara terpisah atau dalam kombinasi:
- Sesuatu yang diketahui subjek: misalnya, kata sandi dan PIN. Ini adalah yang paling murah untuk diterapkan, dan paling tidak aman.
- Sesuatu yang dimiliki subjek: misalnya, kartu pintar, token, kunci, dll. Mahal, tapi aman.
- Sesuatu yang menjadi subjek adalah: misalnya, pola suara, retina, sidik jari, dll. Ini adalah yang paling mahal untuk diterapkan, dan paling aman.
Jadi, ketika berbicara tentang otentikasi dua faktor, yang kami maksud adalah menggunakan dua dari tiga konsep ini bersama-sama untuk memastikan subjek adalah siapa yang dia klaim.
Penting untuk dicatat di sini bahwa ketika perangkat memberikan informasi yang harus dimasukkan pengguna sendiri sebagai bagian dari proses otentikasi (misalnya, token yang memberi pengguna nomor acak untuk digunakan sebagai kata sandi satu kali), ini tidak dianggap sebagai sesuatu yang Anda miliki. Situasi ini dianggap sebagai otentikasi oleh pengetahuan dalam dua langkah (dalam contoh kami, kata sandi yang diketahui oleh pengguna adalah satu langkah dan nomor acak yang disediakan oleh token kepada pengguna adalah yang lain). Untuk dianggap sebagai sesuatu yang dimiliki pengguna, perangkat itu sendiri harus memberikan informasi otentikasi selama langkah otentikasi (misalnya, kartu pintar harus dimasukkan ke pembaca kartu pedagang untuk memberikan kode otentikasi untuk memvalidasi transaksi fisik).
Mengapa menggunakan autentikasi dua faktor?
Hanya mengandalkan satu faktor otentikasi meninggalkan solusi Anda dengan satu titik kegagalan, dalam arti bahwa jika pengetahuan, perangkat, atau pola biometrik dikompromikan, siapa pun yang memilikinya dapat menyamar sebagai pengguna. Pikirkan tentang situasi ini:
- pengguna yang ceroboh berbagi kata sandi, menuliskannya di tempat yang mudah ditemukan, atau mengungkapkannya melalui rekayasa sosial;
- kartu pintar, token, kunci, dan sejenisnya dapat dicuri atau hilang;
- Pola biometrik dapat direproduksi oleh berbagai jenis teknologi (dari video definisi tinggi dan perekam suara, hingga jari karet berteknologi rendah).
Dengan menggunakan otentikasi dua faktor, Anda membuat lapisan perlindungan tambahan terhadap siapa pun yang ingin mendapatkan akses tidak sah, karena bahkan jika pelaku kesalahan mengkompromikan informasi mengenai satu faktor, itu akan-tanpa informasi dari faktor otentikasi kedua.
Pemilihan pasangan faktor otentikasi yang tepat untuk digunakan akan tergantung pada hasil penilaian risiko, tingkat keamanan yang diinginkan, biaya implementasi, dan sumber daya yang tersedia. Yang paling umum digunakan adalah kombinasi dari sesuatu yang Anda ketahui dan sesuatu yang Anda miliki (misalnya, kata sandi dan kartu pintar).
Autentikasi dua faktor diterapkan pada kontrol ISO 27001
Meskipun kontrol ISO 27001 yang dijelaskan dalam Lampiran A pada dasarnya mengacu pada informasi rahasia (yaitu, kata sandi, atau kode otentikasi yang dihasilkan oleh kartu pintar) sebagai sarana otentikasi, ISO 27002, yang merinci rekomendasi untuk kontrol ISO 27001, merekomendasikan penggunaan praktik otentikasi di banyak kontrol lain, dengan tujuan untuk membuatnya lebih kuat dan meningkatkan efektivitasnya untuk melindungi informasi. Ini adalah yang dapat menggunakan otentikasi dua faktor:
| Kontrol keamanan | Alasan |
| A.9.1.1 – Kebijakan kontrol akses A.10.1.1 – Kebijakan Penggunaan Enkripsi A.11.2.9 – Meja yang jelas dan kebijakan layar yang jelas A.14.1.1 – Analisis dan spesifikasi persyaratan keamanan informasi A.14.1.2 – Mengamankan layanan aplikasi di jaringan publik A.14.1.3 – Melindungi transaksi layanan aplikasi A.14.2.5 – Prinsip rekayasa sistem yang aman |
Kebijakan dan proses yang mendorong kebutuhan penggunaan aplikasi dua faktor sesuai dengan kebutuhan bisnis. Di sini Anda dapat menentukan kombinasi faktor yang paling cocok untuk organisasi Anda. |
| A.9.1.2 – Akses ke layanan jaringan dan jaringan A.13.1.2 – Keamanan layanan jaringan A.13.1.3 – Segregasi dalam jaringan A.13.2.3 – Pesan elektronik |
Otentikasi dua faktor dapat diterapkan untuk memastikan akses aman ke layanan jaringan yang paling sensitif (misalnya, pembayaran online kartu kredit). Selain autentikasi pengguna, Anda dapat mempertimbangkan autentikasi perangkat jaringan. |
| A.9.4.2 – Prosedur log-on yang aman A.9.4.4 – Penggunaan program utilitas istimewa |
Otentikasi dua faktor dapat diterapkan untuk memastikan akses aman ke sistem informasi, aplikasi, dan program yang paling sensitif (misalnya, sistem penelitian dan pengembangan serta aplikasi keamanan). |
| A.11.1.2 – Kontrol entri fisik | Otentikasi dua faktor dapat diterapkan untuk memastikan akses aman ke area dan fasilitas yang paling sensitif (misalnya, pusat data). |
Tidak berkembang adalah langkah pertama menuju masalah keamanan
Ketika solusi keamanan tumbuh lebih kuat di semua bidang (misalnya, kode, protokol, dan infrastruktur yang lebih aman, dll.), Pelaku kesalahan bekerja lebih keras untuk mengkompromikan akses yang valid untuk menjelajahi aset organisasi, dan praktik kontrol akses tradisional tidak dapat mempertahankan tingkat keamanan yang tepat.
Autentikasi multifaktor, dua faktor saat ini adalah langkah logis berikutnya untuk menjaga tingkat keamanan, dan dengan mengaitkan praktik ini dengan kontrol dan rekomendasi seri ISO 27001, organisasi dapat menjauhkan informasi dan sistemnya dari orang yang tidak berwenang sambil mempertahankan kepatuhan terhadap persyaratan standar.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
