Dalam keamanan siber, kita mempunyai persepsi bahwa kita perlu menempatkan diri kita pada tingkat pengawasan yang lebih tinggi dibandingkan orang lain. Kita diharapkan menjadi standar emas – suatu tingkat perfeksionisme yang tidak mungkin tercapai. Jadi, apa jadinya jika perusahaan keamanan siber melakukan kesalahan sederhana?
CrowdStrike dapat dianggap sebagai studi kasus mengenai hal ini. Saya ingat membaca pembacaan teknis dan itu ‘sederhana’ seperti menambahkan satu bidang tambahan ke template dan itulah yang membuat semuanya gagal. Namun, saya perkirakan ini bukan kasus kegagalan uji coba sederhana, mungkin ini adalah serangkaian peristiwa yang mengakibatkan masalah global yang signifikan. Kadang-kadang hal ini disebut model keju Swiss di mana serangkaian kesalahan, atau pengujian gagal, dan semua lubang pada keju berbaris sehingga memungkinkan suatu peristiwa terjadi.
Namun kita harus menerima bahwa hal ini benar-benar terjadi, dan ini karena kita tidak akan pernah bisa benar-benar menghilangkan risiko dalam teknologi – semakin cepat kita mengubah persepsi kita mengenai hal ini, semakin cepat kita dapat bersiap untuk menangani insiden di masa depan secara efektif, atau yang lebih penting, memahami risiko yang ada. tidak mungkin mereka mungkin terjadi.
Akui sifat risiko yang sistemik
Pemadaman CrowdStrike benar-benar menyoroti pertanyaan – apakah kita sudah terlalu bergantung pada perusahaan teknologi yang semuanya sangat bergantung satu sama lain dalam satu sistem besar?
Alasan mengapa kami menggunakan semua penyedia cloud dan SaaS terpusat ini adalah karena manfaatnya sering kali lebih besar daripada risikonya. Namun jika salah satu penyedia layanan besar ini mengalami insiden, hal ini dapat berdampak luas pada banyak organisasi yang bergantung pada layanan mereka.
Hal ini dapat menciptakan dinamika “terlalu besar untuk gagal”, seperti sektor keuangan, di mana kegagalan salah satu pemain besar dapat menimbulkan dampak yang berjenjang.
Saya menemukan bahwa, secara umum, orang pandai memahami risiko yang bersifat pribadi bagi mereka. Kita semua tahu bahwa menyeberang jalan yang sibuk pada jam-jam sibuk itu berisiko, namun kita memitigasi risiko tersebut dengan menggunakan area penyeberangan yang telah ditentukan. Namun, sebagai manusia, kita tidak mampu memahami permasalahan sistemis besar yang kita hadapi dengan cara yang sama, dan kita berpotensi membebani semua risiko ini ke segelintir organisasi. Apakah ini saatnya untuk mulai mendiversifikasi tumpukan teknologi kita dan tidak menaruh semua telur dalam satu keranjang?
Risiko nol tidak dapat dicapai
Mari jujur pada diri kita sendiri! Walaupun Anda berpikir bahwa Anda bisa menghilangkan semua risiko, kami tidak bisa.
Kita harus realistis mengenai risiko, jika tidak, organisasi akan menghabiskan banyak uang dan waktu untuk memitigasi risiko pada kontrol keamanan, dan hal ini tidak praktis atau pragmatis. Kalau akhirnya coding sampai sapinya pulang, tidak akan ada yang dilepas.
Fokusnya harus pada pengurangan risiko ke tingkat yang masuk akal dan dapat dikelola, bukannya mengupayakan nol risiko sepenuhnya. Akan selalu ada tingkat tertentu yang perlu dikelola. Saya bekerja di sektor perkeretaapian Inggris dan ada konsep yang disebut Serendah Mungkin Dipraktikkan. Saya menggunakan pendekatan ini hari ini dan ini telah membantu saya dengan baik.
Bersikaplah transparan mengenai risiko yang tersisa
Bersikap terbuka mengenai fakta bahwa beberapa risiko akan tetap ada, bahkan setelah upaya mitigasi dilakukan, penting untuk menetapkan ekspektasi yang realistis kepada pemangku kepentingan dan manajer senior.
Jangan mencoba menarik perhatian siapa pun dan mengatakan bahwa risiko organisasi Anda akan nol – Anda harus transparan dengan pemangku kepentingan mengenai kinerja fungsi atau apa yang Anda kerjakan. Anda tidak bisa duduk di sana dan mengatakan bahwa semuanya baik-baik saja padahal sebenarnya tidak dan memberikan kejutan buruk kepada seseorang jika ada yang tidak beres. Transparansi tidak hanya penting jika Anda mengalami suatu insiden – dalam banyak kasus, transparansi bahkan lebih penting lagi dalam pencegahan insiden itu sendiri.
Secara pribadi, saya merasa CrowdStrike melakukan yang terbaik untuk merespons insiden tersebut dengan baik. Mereka terbuka dan jujur, berkomunikasi secara jelas dengan pelanggan dan pemangku kepentingan, dan mengerahkan banyak sumber daya dan upaya dalam bidang PR, manajemen hubungan, dan bantuan teknis yang sangat penting. Anda dapat melihatnya pada pembaruan terus-menerus dan saran perbaikan yang diposting online. Namun apa pun yang dilakukan suatu organisasi, mereka tidak akan pernah bisa benar-benar menghilangkan risiko dalam sistemnya dan menjanjikan hal ini kepada dunia.
Kuncinya adalah menemukan keseimbangan yang tepat. Menjaga langkah-langkah keamanan dan respons terhadap insiden tetap sederhana dan mudah diterapkan adalah hal yang sangat penting, jika tidak, langkah-langkah tersebut kemungkinan besar akan terabaikan. Dan, pada saat yang sama, organisasi harus cukup transparan untuk menjaga kepercayaan, mengelola risiko ke tingkat yang dapat diterima, dan menerapkan solusi praktis yang dapat diikuti secara konsisten.
