Strategi Zero Trust Security untuk meningkatkan Keamanan Siber Perusahaan

Sesuai sebutannya, Zero Trust Security, yang berarti "keamanan tanpa kepercayaan", secara sederhana adalah meniadakan kepercayaan secara merata dalam penerapannya, siapapun dan posisi apapun didalam perusahaan, autentikasi dan otorisasi adalah hal yang wajib dan tegas terhadap semua orang didalam perusahaan untuk  bisa mengakses perangkat / data / sistem perusahaan.

Konsepnya dilandaskan pada asumsi bahwa ancaman dapat muncul dari luar maupun dalam perusahaan, tidak ada entitas atau perangkat yang benar-benar aman, semuanya harus selalu diverifikasi dan diawasi.

Tantangan yang paling umum menjadi keluhan internal perusahaan ketika menerapkan strategi ini adalah timbulnya pergeseran kebiasaan atau budaya di dalam perusahaan secara agresif, dan dalam beberapa kasus dapat hingga memerlukan perubahan atau peningkatan infrastruktur IT baik itu hardware maupun software.

Memang akan cukup merepotkan, apalagi jika perusahaan sebelumnya sama sekali tidak pernah memperhatikan hal ini dengan serius, namun kesibukan yang ditimbulkan seharusnya akan sepadan dengan meningkatnya perlindungan perusahaan terhadap serangan siber yang saat ini begitu masif.

Konsep keamanan siber tradisional memiliki persepsi umum hanya ada dua zona, yaitu zona eksternal (diluar perusahaan) yang merupakan zona berbahaya yang  penuh dengan ancaman serangan siber, dan zona internal / safe zone (dalam perusahaan) yang aman atau memiliki tingkat kepercayaan yang tinggi.

Dimana ironisnya tidak jarang serangan siber justru datang atau melibatkan orang dari dalam perusahaan, entah karena memang disengaja atau secara tidak sadar berhasil dimanipulasi oleh pelaku dengan mengeksploitasi kelalaian atau rendahnya literasi keamanan digital di lingkungan perusahaan.

Tiap perusahaan tentunya akan menemui keunikan tantangannya masing-masing saat menerapkan strategi ini, kembali pada kompleksitas infrastruktur IT, sistem / software / perangkat lunak yang digunakan, hak akses yang selama ini diterapkan, dsb.

Berikut ini adalah 3 hal paling mendasar atau upaya minimal jika perusahaan ingin meningkatkan keamanan siber dengan menerapkan Zero Trust Security :

AUTENTIKASI

Jika selama ini orang-orang didalam perusahaan cukup hanya menggunakan email / username dan password untuk mendapatkan akses kedalam perangkat atau sistem perusahaan, maka perlu ditingkatkan dengan menambah proses autentikasi seperti misalnya verifikasi 2 langkah melalui email, sms atau menggunakan applikasi authenticator, biometrik, dan berbagai metode autentikasi lainnya yang paling mungkin segera diterapkan, daripada tidak sama sekali.

OTORISASI

Seluruh orang didalam perusahaan sebaiknya memiliki hak akses atau batas privilege yang jelas pada perangkat atau sistem perusahaan, pastikan setiap orang memiliki akses hanya sejauh yang diperlukan untuk melakukan pekerjaannya saja, batasi akses yang tidak diperlukan.

ENKRIPSI

Enkripsi / encryption adalah metode keamanan dengan cara mengacak data yang selanjutnya hanya dapat didekripsi atau dibuka pihak yang berwenang.

Tingkatan Enkripsi tertinggi saat ini adalah E2EE (end-to-end encryption), dimana data dienkripsi pada tahap perjalanannya dari satu perangkat ke perangkat yang lainnya, bahkan serverpun tidak dapat membacanya, hanya pengirim dan penerima.

Tahap ini yang biasanya cenderung akan lebih merepotkan dibandingkan autentikasi dan otorisasi, karena belum tentu perangkat dan sistem perusahaan mendukung penerapan enkripsi.

CATATAN

  • Strategi Zero Trust Security hanya salah satu upaya dan bukan merupakan solusi tunggal untuk meningkatkan keamanan siber perusahaan
  • Autentikasi, Otorisasi, dan Enkripsi adalah 3 hal dasar atau minimal dalam penerapan Zero Trust Security yang berusaha kami jelaskan sesederhana mungkin, masih ada beberapa upaya lainnya yang semakin memungkinkan efektifitas strategi, salah satunya adalah pemetaan jaringan perangkat ke beberapa bagian sesuai tingkat kebijakan keamanan dengan tujuan membatasi penyebaran ketika terjadi insiden, dan upaya lainnya yang perlu disesuaikan kembali dengan arsitektur IT perusahaan.
  • Apabila perusahaan anda tidak memiliki divisi yang secara khusus berfokus dalam mengawasi keamanan perangkat IT secara rutin, maka layanan IT Maintenance + Security yang kami sediakan dapat menjadi langkah yang tepat untuk meningkatkan praktik keamanan IT perusahaan anda.