Keamanan informasi pada dasarnya adalah disiplin manajemen risiko informasi. Dengan membuat banyak sistem informasi tidak dapat beroperasi, pemadaman global yang disebabkan oleh Crowdstrike mencegah beberapa perusahaan mengakses informasi bisnis penting karena waktu henti yang tidak direncanakan dan berkepanjangan.
Ketidaktersediaan tersebut tidak hanya terjadi pada sistem informasi, tetapi juga pada pemrosesan informasi terkait. Hal tersebut bukan hanya merupakan peristiwa risiko informasi, tetapi juga merupakan insiden keamanan informasi. Dampak dari peristiwa risiko/insiden keamanan informasi tersebut sangat besar dari perspektif operasional, keuangan, reputasi, hukum, teknologi, dan bahkan regulasi.
Insiden keamanan Crowdstrike ini jelas merupakan tanda rusaknya kepercayaan digital antara vendor dan pelanggan mereka. Jadi, apa yang perlu dilakukan untuk memulihkan kepercayaan ini?
Yang salah
Otomatisasi pengujian merupakan area yang sering gagal digarap oleh banyak organisasi. Khususnya bagi perusahaan rintisan, bukan hal yang aneh untuk mengotomatisasi pengujian secara internal dan kemudian segera merilis pembaruan untuk memperbaiki bug apa pun – pada dasarnya menggunakan pelanggan mereka sebagai penjamin kualitas (QA).
Namun, akhir-akhir ini, semakin banyak perusahaan yang menerapkan praktik ini sebagai bagian dari ‘metodologi tangkas’ mereka atau untuk mendorong efisiensi jalur CI/CD dan meningkatkan skala bisnis dengan cepat.
Semakin banyak perusahaan keamanan yang menjanjikan ‘‘pisau tentara swiss’ solusi yang menyediakan pembaruan otomatis dan mengambil alih siklus pemeliharaan berkelanjutan dari bisnis.
Bencana potensial yang terjadi adalah ketika pembaruan otomatis terjadi, di mana pengujian dilakukan secara otomatis sebagian atau sepenuhnya, dan terdapat masalah yang tidak terdeteksi oleh sistem pengujian otomatis, yang mengakibatkan pemadaman massal pada bisnis di sektor penting, yang mengancam keselamatan publik.
Hak
Sejak awal, banyak perusahaan yang mengalami insiden keamanan besar pada umumnya bersikap transparan kepada semua pemangku kepentingan mereka – termasuk pelanggan, mitra, staf, dan investor.
Crowdstrike, misalnya, melakukan pekerjaan yang solid dalam hal ini. Mereka mengakui bahwa mereka bersalah, dan segera bekerja dengan tim mereka sendiri dan tim Microsoft untuk mengembangkan perbaikan. Manajemen eksekutif Crowdstrike juga memimpin upaya dalam menghubungi beberapa pelanggan yang menawarkan bantuan dalam hal perbaikan dan pemulihan. Mereka melakukan analisis akar penyebab (RCA) yang menyeluruh dan telah bersikap agak transparan dalam hal di mana kontrol keamanan mereka gagal.
Perusahaan telah berkomitmen pada rencana aksi, yang mencakup peningkatan pada sumber daya manusia, proses, dan teknologi. Mereka juga tampaknya siap untuk meningkatkan intervensi dan pengawasan regulasi, terutama mengingat insiden tersebut berdampak besar pada sektor-sektor penting. Misalnya, di Uni Eropa (UE), undang-undang seperti Digital Operational Resilience Act (DORA), Network and Information Security (NIS2) Directive, dan Cyber Resilience Act akan menuntut Crowdstrike untuk memberikan jaminan kepada pembuat undang-undang bahwa insiden semacam itu tidak akan terjadi di masa mendatang.
Apa yang dapat kita lakukan lebih baik?
Ke depannya, organisasi perlu lebih fokus pada ketahanan bisnis, khususnya seputar manajemen kesinambungan bisnis (BCM), pemulihan bencana, manajemen risiko pihak ketiga (TPRM), dan manajemen insiden.
Pemantauan risiko untuk berbagai skenario, termasuk masalah rantai pasokan, merupakan langkah awal. Hal ini dapat ditambahkan ke daftar risiko yang ada, analisis dampak bisnis (BIA), dan penilaian risiko dan pengendalian diri (RCSA).
Rencana penanganan risiko yang lebih luas dapat mencakup, tetapi tidak terbatas pada, pengawasan yang lebih ketat seputar keamanan produk dalam penilaian risiko pihak ketiga, pengujian yang lebih ketat untuk pembaruan vendor (ya, bahkan pembaruan dari alat deteksi titik akhir), penonaktifan pembaruan otomatis jika memungkinkan, penerapan pembaruan vendor secara bertahap, pembaruan pada buku pedoman insiden dan rencana pemulihan bencana untuk menangani risiko pihak ketiga, dan penyertaan simulasi risiko untuk insiden keamanan pihak ketiga dalam latihan keamanan siber.
Niel Harper adalah wakil ketua dewan direktur ISACA.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25659288/1147538703.jpg?w=1200&resize=1200,0&ssl=1 "Ben Horowitz mengatakan dia akan menyumbang ke Kamala Harris")
