Partner Content

Keamanan: Memahami dasar-dasar tata kelola, risiko & kepatuhan – Strategi – Digital & Gangguan – Konten yang Dipromosikan – Jaringan – Keamanan

Tekanan datang dari semua sisi – meningkatnya ancaman serangan siber karena lingkungan TI dan permukaan serangan yang lebih kompleks; aturan dan pedoman kepatuhan yang semakin ketat seperti kerangka ASD Essential Eight dan ISO27001 IS; dan tekanan internal untuk memberdayakan pembuat keputusan teknologi untuk mendorong strategi bisnis, bereaksi terhadap permintaan pasar, dan meningkatkan efisiensi proses terhadap kerangka kerja risiko yang diketahui dan diterima.

Meletakkan fondasi

Pergeseran paradigma diperlukan, untuk mengadopsi pandangan yang lebih komprehensif tentang tata kelola, risiko, dan kepatuhan (GRC) di seluruh organisasi, lebih dari sekadar keamanan siber. Dengan kerangka kerja GRC yang tepat memastikan keselarasan strategi keamanan informasi, TI dan strategi bisnis, keputusan yang lebih baik akan dibuat di setiap tingkat organisasi.

Memberikan kepercayaan diri dalam pengambilan keputusan ini, dimulai dengan landasan yang kokoh, yang dapat dicapai dengan menangani kombinasi tiga dasar:

  • Rakyat
  • Proses
  • Teknologi

Pada akhirnya, strategi dan tujuan bisnislah yang menentukan prosesnya dan, pada gilirannya, memunculkan kebutuhan manusia dan teknologi. Ketika orang-orang dan teknologi ini mulai berinteraksi, informasi dan data dihasilkan. Risiko muncul di mana informasi disimpan, bagaimana diakses, digunakan, dan ditransmisikan dari sistem ke sistem dan tempat ke tempat.

Orang bisa dibilang aset bisnis yang paling penting; namun, mereka juga dapat memiliki pengaruh terbesar pada keamanan organisasi. Pakar industri menyarankan bahwa hingga 85 persen pelanggaran melibatkan elemen manusia. Sangat penting untuk fokus melengkapi mereka dengan cara yang lebih baik untuk berinteraksi satu sama lain, pelanggan mereka, dan sistem mereka – memberikan instruksi, pelatihan, dan alat yang memungkinkan mereka membuat keputusan yang tepat ketika menghadapi potensi risiko. Ini lebih dari sekadar pelatihan kesadaran keamanan, ini meluas ke cara kami mengelola otentikasi dan identifikasi orang, sistem, dan aplikasi.

Organisasi harus mengembangkan sistem anti-gagal, dengan mengembangkan aliran proses otomatis dan jalur digital, atau setidaknya proses yang terdokumentasi dengan baik. Sangat penting untuk mempertimbangkan informasi yang digunakan dan ditransfer di setiap tingkat organisasi dan memahami cara terbaik untuk mengamankannya. Teknologi diperlukan untuk menerapkan dan mengatur proses ini, melindungi bisnis dari kejadian tak terduga, baik yang berbahaya maupun yang salah. Kontrol ini perlu diterapkan di semua tingkat lingkungan teknologi, karena setiap lapisan berpotensi menjadi target serangan dan penyusupan atau pelanggaran.

Menerapkan strategi keamanan

Memahami dan menerapkan dasar-dasar ini dimulai dengan serangkaian latihan penemuan yang membuat inventaris semua aset dan proses yang berkontribusi pada prosedur keamanan dan tata kelola organisasi, dan mencatat bagaimana mereka menyelaraskannya dengan strategi dan dimasukkan ke dalam rencana manajemen risiko. Setelah proses ini terjadi, menjadi mungkin untuk menggunakan aset dan daftar risiko ini untuk membangun peta jalan kegiatan. Ini akan jatuh ke dalam dua bagian yang luas. Yang pertama adalah tugas remediasi dan mitigasi, untuk mengatasi risiko yang teridentifikasi. Yang kedua adalah membandingkan keadaan organisasi saat ini dengan keadaan yang diinginkan, yang memberikan serangkaian persyaratan yang berkualitas dan terukur, peluang untuk perbaikan, dan inisiatif masa depan.

Organisasi di seluruh dunia menyadari perlunya pendekatan yang lebih baik terhadap GRC. Ketika Gartner mensurvei lebih dari 200 organisasi AS, ditemukan bahwa hampir dua pertiga sudah menggunakan beberapa solusi GRC, dengan solusi Manajemen Risiko TI & Keamanan, komponen kunci dari strategi GRC yang komprehensif, termasuk yang paling umum.

Di dalam negeri, pada tahun 2021, Satgas Harmonisasi Standar NSW meminta pemerintah di seluruh Australia untuk mengadopsi standar ISO dan/atau IEC yang diakui secara internasional sebagai persyaratan dasar untuk keamanan informasi. Kerangka kerja ini terbukti penting untuk membangun kepercayaan di era modern. Mereka tidak hanya memberikan panduan yang kuat tentang bagaimana organisasi dapat berinvestasi terbaik dalam keamanan dan kepatuhan untuk perlindungan mereka sendiri, tetapi mereka juga dapat membentuk komponen kunci dan pembeda dari ‘tiket untuk bermain’ organisasi di pasar tertentu, dalam hal memenuhi harapan regulator, mitra, dan pelanggan.

Menurut Kepala Keamanan Siber Brennan, Daniel Hayes, organisasi dari semua ukuran, di semua sektor dan industri ingin menetapkan (dan memenuhi) tolok ukur keamanan informasi terhadap kerangka kerja yang ditentukan secara domestik dan internasional, untuk mendukung strategi GRC mereka. “Kerangka kerja GRC modern mewakili kesadaran bahwa keamanan dan tata kelola bukanlah penghalang bagi ambisi organisasi, melainkan memungkinkannya membuat keputusan lebih cepat dengan memberikan keyakinan yang lebih besar bahwa tindakan baru diambil di atas fondasi yang kokoh. Organisasi dapat menjelajahi pasar baru atau meluncurkan penawaran dan kemampuan baru dengan pengetahuan bahwa mereka aman dengan desain sejak awal.”

Memilih MSP yang memahami, mengadopsi, dan mengimplementasikan kerangka kerja ini sangat penting dalam melindungi organisasi Anda dan orang-orang Anda.

Posted By : angka keluar hongkong