Manajemen konfigurasi dalam keamanan informasi

ISI

• Meningkatnya kompleksitas dan ancaman
• Manajemen konfigurasi dalam konteks ISO 27001:2022
• Kontrol 8.9 "Manajemen konfigurasi"
• Manajemen konfigurasi dalam keamanan informasi - Kesimpulan
• DQS Kontak Anda untuk keamanan informasi bersertifikat

Meningkatnya kompleksitas dan ancaman

Pengaturan dan konfigurasi keamanan yang salah memiliki risiko yang tak terhitung untuk keamanan informasi. Mengingat meningkatnya kompleksitas lingkungan TI modern, manajemen konfigurasi - yaitu definisi, dokumentasi, implementasi, pemantauan, dan peninjauan konfigurasi keamanan yang sedang berlangsung dan sistematis - menjadi tugas yang menantang yang meluas ke dalam manajemen kepatuhan organisasi.

Bagi orang luar, infrastruktur TI adalah jaringan aplikasi, perangkat, komponen jaringan, dan layanan yang membingungkan, baik yang di-host di lokasi atau di cloud. Khususnya yang terakhir ini telah meningkat secara dramatis selama pandemi virus corona. Namun, bagi tim TI, mengonfigurasi jumlah komponen sistem yang semakin meningkat dan terus memantau serta mengadaptasi konfigurasi sistem berarti pekerjaan yang cukup banyak, yang sering kali membuat karyawan kewalahan. Tanpa manajemen konfigurasi yang sistematis, hal ini dapat menyebabkan risiko keamanan yang cukup besar dan kehilangan atau penyalahgunaan data (termasuk data pribadi).

Bagaimanapun, 81% manajer keamanan dalam sebuah penelitian di Jerman pada tahun 2022 menyatakan bahwa kerentanan dan kesalahan konfigurasi yang tidak diketahui menyebabkan masalah keamanan terbesar dalam infrastruktur mereka. Dan dalam Pandemic Eleven, sebuah studi oleh Cloud Security Alliance tentang kerentanan paling serius dalam komputasi awan selama pandemi, kesalahan konfigurasi juga menempati urutan ketiga yang menonjol.

Oleh karena itu, merupakan konsekuensi logis dari perkembangan beberapa tahun terakhir untuk lebih memperhatikan manajemen konfigurasi dalam teknologi informasi, misalnya dalam konteks akses yang tidak sah. Oleh karena itu, tepatlah bahwa ISO/IEC 27001:2022 yang baru telah mendedikasikan kontrol keamanan informasi yang terpisah untuk topik ini.

Manajemen konfigurasi dalam konteks ISO 27001:2022

Lampiran A ISO 27001 yang telah direstrukturisasi mulai tahun 2022 berisi 93 tindakan keamanan informasi (kontrol), termasuk 11 kontrol baru. Dengan pembaruan ini, kontrol sekarang diatur secara tematik dalam empat bagian

• Langkah-langkah organisasi
• Tindakan pribadi
• Tindakan fisik
• Langkah-langkah teknologi

Manajemen konfigurasi yang aman dalam teknologi informasi berada di bawah area subjek tindakan teknologi atau teknis dan tercantum dalam Lampiran A di bawah 8.9. Ini adalah salah satu alat pencegahan yang mendukung ketiga tujuan perlindungan keamanan informasi (kerahasiaan, integritas, dan ketersediaan).

Templat standar

Definisi template standar membantu organisasi untuk mensistematisasi manajemen konfigurasi mereka. Aspek-aspek dasar berikut ini harus dipertimbangkan dalam pengembangan ini:

• Panduan yang tersedia untuk umum, misalnya dari vendor atau badan keamanan independen
• Tingkat perlindungan yang diperlukan untuk memastikan keamanan yang memadai
• Dukungan untuk kebijakan keamanan informasi internal, panduan khusus untuk topik tertentu, standar, dan persyaratan keamanan lainnya
• Kelayakan dan penerapan konfigurasi dalam konteks organisasi

Template standar yang dikembangkan harus ditinjau dan diperbarui secara teratur, terutama ketika ada ancaman atau kerentanan baru yang perlu ditangani, atau ketika versi perangkat lunak atau perangkat keras baru diperkenalkan ke dalam organisasi.

Ada juga beberapa hal lain yang perlu dipertimbangkan saat membuat template. Semua ini membantu mencegah perubahan yang tidak sah atau salah pada konfigurasi:

• Meminimalkan jumlah identitas dengan hak akses istimewa atau administratif
• Menonaktifkan identitas yang tidak perlu, tidak digunakan, atau tidak aman
• Menonaktifkan atau membatasi fungsi dan layanan yang tidak diperlukan
• Membatasi akses ke utilitas yang kuat dan pengaturan parameter host
• Sinkronisasi jam
• Mengubah data autentikasi default dari produsen dan kata sandi default segera setelah penginstalan dan memeriksa parameter penting terkait keamanan
• Memanggil fasilitas batas waktu yang secara otomatis mematikan perangkat komputer setelah periode tidak aktif tertentu
• Memeriksa apakah persyaratan lisensi terpenuhi

Manajemen dan pemantauan konfigurasi

Semua konfigurasi harus dicatat dan perubahannya dicatat dengan andal untuk mengesampingkan kesalahan konfigurasi setelah terjadi insiden. Informasi ini harus disimpan dengan aman, misalnya dalam basis data konfigurasi atau templat.

Semua perubahan dibuat sesuai dengan kontrol 8.32 "Kontrol perubahan", yang menjelaskan pedoman untuk perubahan pada pedoman pemrosesan informasi dan sistem informasi. Catatan konfigurasi harus berisi semua informasi yang diperlukan untuk melacak status sistem TI atau aset dan setiap perubahan yang dilakukan setiap saat. Hal ini termasuk, misalnya, informasi berikut ini

• Informasi terkini tentang aset yang bersangkutan - Siapa pemilik atau titik kontak?
• Tanggal perubahan konfigurasi terakhir
• Versi templat konfigurasi
• Koneksi dan hubungan ke konfigurasi aset lain

Seperangkat alat manajemen sistem yang komprehensif - seperti program pemeliharaan, dukungan jarak jauh, alat manajemen perusahaan, serta perangkat lunak pencadangan dan pemulihan - membantu memantau dan memeriksa konfigurasi secara teratur. Dengan bantuan alat-alat ini, manajer dapat memverifikasi pengaturan konfigurasi, mengevaluasi kekuatan kata sandi, dan menilai aktivitas yang dilakukan.

Kondisi aktual juga dapat dibandingkan dengan templat target yang ditetapkan dan tanggapan yang tepat dapat dimulai jika terjadi penyimpangan - baik dengan secara otomatis menerapkan konfigurasi target yang ditetapkan atau dengan menganalisis penyimpangan secara manual dan tindakan perbaikan selanjutnya. Otomatisasi, misalnya melalui infrastruktur sebagai kode (infrastruktur yang dapat diprogram), memungkinkan konfigurasi keamanan di lingkungan tervirtualisasi dan komputasi awan dikelola secara efisien dan aman.

Manajemen konfigurasi dalam keamanan informasi - ringkasan

Manajemen konfigurasi dalam keamanan informasi adalah alat keamanan yang penting dan memberikan kontribusi yang langgeng untuk secara signifikan mengurangi kesenjangan keamanan yang disebabkan oleh kesalahan konfigurasi. Pendekatannya yang sistematis meringankan beban tim internal dan berkontribusi pada operasi TI yang efisien serta pengerasan sistem dan ketersediaan informasi dan data rahasia. Efek positif pada perlindungan data pribadi, misalnya, juga terlihat jelas.

Manajemen konfigurasi juga dapat diintegrasikan ke dalam proses manajemen aset dan alat bantu terkait. Manajemen pusat pengaturan keamanan memungkinkan untuk bereaksi dengan cepat terhadap ancaman dan kerentanan baru dalam ketersediaan sistem dan perlindungan data, sehingga membantu meminimalkan potensi permukaan serangan dalam sistem. Kontrol keamanan informasi baru 8.9 dari ISO 27001 memberikan kontribusi keamanan yang penting bagi organisasi dan manajemennya.

Nilai tambah ini harus diimplementasikan oleh perusahaan dan organisasi. Persyaratan dari kontrol 8.9 harus dibandingkan dengan status saat ini dan dioptimalkan lebih lanjut melalui proses perubahan yang terkendali. Dengan pengalaman lebih dari 35 tahun dalam bidang audit dan sertifikasi, kami adalah mitra ideal Anda dan dapat memberikan saran dan dukungan dalam hal keamanan informasi.

Apa arti pembaruan ini bagi sertifikasi Anda?

ISO/IEC 27001:2022 diterbitkan pada tanggal 25 Oktober 2022.

Hal ini menghasilkan tenggat waktu dan periode transisi berikut untuk pengguna

Tanggal terakhir untuk audit awal/sertifikasi ulang di bawah ISO 27001 "lama"

• Setelah 30 April 2024, DQS hanya akan melakukan audit awal dan sertifikasi ulang sesuai dengan standar ISO/IEC 27001:2022 yang baru

Konversi semua sertifikat yang ada sesuai dengan ISO/IEC 27001:2013 yang "lama" ke versi 2022 yang baru

• Masa transisi 3 tahun berlaku mulai 31 Oktober 2022
• sertifikat yang diterbitkan sesuai dengan ISO/IEC 27001:2013 atau DIN EN ISO/IEC 27001:2017 berlaku hingga paling lambat 31 Oktober 2025 atau harus ditarik pada tanggal tersebut

ISO/IEC 27001:2022 - Keamanan informasi, keamanan siber, dan perlindungan privasi - Sistem manajemen keamanan informasi - Persyaratan

DQS: Meningkatkan Keamanan secara sederhana

Organisasi masih memiliki waktu untuk melakukan transisi ke versi baru ISO/IEC 27001. Sertifikat saat ini yang didasarkan pada standar lama akan kehilangan masa berlakunya pada tanggal 31 Oktober 2025. Namun demikian, mereka disarankan untuk menangani perubahan persyaratan untuk sistem manajemen keamanan informasi (SMKI) pada tahap awal, memulai proses perubahan yang sesuai dan mengimplementasikannya dengan tepat.

Sebagai ahli dalam audit dan sertifikasi dengan pengalaman lebih dari tiga dekade, kami dapat membantu Anda dalam mengimplementasikan ISO 27001:2022 yang baru. Cari tahu dari banyak auditor kami yang berpengalaman tentang perubahan yang paling penting dan relevansinya bagi perusahaan Anda - dan percayakan pada keahlian kami. Kami tunggu kabar dari Anda.

Kepercayaan dan keahlian

Artikel dan laporan resmi kami ditulis secara eksklusif oleh para ahli standar kami atau auditor yang telah lama bekerja. Jika Anda memiliki pertanyaan tentang konten teks atau layanan kami kepada penulis kami, silakan hubungi kami.