Panduan Cepat untuk Kepatuhan Keamanan SaaS

  • Whatsapp
NIST Cybersecurity Framework
Panduan Cepat untuk Kepatuhan Keamanan SaaS

News.nextcloud.asia –

Kerangka Kerja Keamanan Siber NIST

Ketika saya ingin mengetahui praktik terbaik yang diterbitkan baru-baru ini dalam keamanan siber, saya mengunjungi Institut Nasional Standar dan Teknologi (NIST). Dari persyaratan kata sandi terbaru (NIST 800-63) hingga keamanan IoT untuk produsen (NISTIR 8259), NIST selalu menjadi titik awal. NIST memainkan peran kunci sebagai pembuat standar AS, karena profesionalisme organisasi dan pakar eksternal yang membantu membuat dokumen NIST.

Kerangka Kerja Keamanan Siber NIST (CSF) awalnya dirilis pada tahun 2014 dan terakhir diperbarui pada tahun 2018. Kerangka kerja ini memungkinkan organisasi untuk meningkatkan keamanan dan ketahanan infrastruktur penting dengan kerangka kerja yang terencana dengan baik dan mudah digunakan.

Pertumbuhan SaaS yang berkelanjutan, dan perubahan besar pada lingkungan kerja akibat COVID-19 membawa tantangan keamanan baru. Meskipun CSF ditulis dan diperbarui saat SaaS meningkat, CSF masih diarahkan untuk tantangan keamanan infrastruktur kritis warisan klasik. Namun, organisasi dapat merespons risiko baru dengan lebih baik dengan mengadaptasi CSF ke lingkungan kerja modern berbasis SaaS.

Saya pribadi menyukai Kerangka ini, tetapi sejujurnya, ketika seseorang membaca Kerangka itu secara mendalam, kerumitannya terlihat jelas, dan mengikutinya bisa jadi sulit. Artikel ini akan meninjau elemen kunci CSF, menunjukkan keunggulan utamanya, dan menyarankan implementasi untuk keamanan SaaS.

Pelajari cara mengotomatiskan kepatuhan NIST organisasi Anda

Ikhtisar NIST CSF

NIST CSF menjabarkan lima fungsi keamanan, kemudian membaginya ke dalam kategori dan subkategori. Subkategori berisi kontrol yang sebenarnya. Untuk setiap subkategori, CSF menyertakan daftar referensi silang ke standar dan kerangka kerja terkenal seperti ISO 27001, COBIT, NIST SP 800-53, dan ANSI/ISA-62443.

Referensi silang ini membantu organisasi menerapkan CSF dan memetakannya ke kerangka kerja lain. Misalnya, manajer keamanan atau anggota tim lainnya dapat menggunakan referensi untuk membenarkan keputusan mereka, apa pun standar keamanan yang harus dipatuhi perusahaan.

Dalam satu dokumen, Kerangka ini menggabungkan sejumlah pendekatan untuk menangani ancaman keamanan siber. Ini termasuk:

  • prosedur pengaturan
  • pelatihan
  • mendefinisikan peran
  • audit
  • pemantauan

Kerangka kerja ini memiliki struktur inti lima tahap: Identifikasi, Lindungi, Deteksi, Tanggapi, dan Pulihkan. Aku akan memecahnya menjadi peluru untukmu.

Kepatuhan Keamanan SaaS

Mengenali

NIST mendefinisikan fungsi ini sebagai berikut:

“Kembangkan pemahaman organisasi untuk mengelola risiko keamanan siber terhadap sistem, aset, data, dan kemampuan.”

Dalam fungsi ini, NIST menyertakan kategori kontrol berikut:

  • Manajemen aset
  • Lingkungan bisnis
  • pemerintahan
  • Tugas beresiko
  • Strategi Manajemen Risiko
  • Manajemen Risiko Rantai Pasokan.

Melindungi

NIST mendefinisikan fungsi ini sebagai berikut:

“Kembangkan dan terapkan perlindungan yang tepat untuk memastikan pengiriman layanan infrastruktur penting.”

Dalam fungsi ini, NIST menyertakan kategori kontrol berikut:

  • Kontrol akses
  • Kesadaran dan Pelatihan
  • Keamanan data
  • Proses dan Prosedur Perlindungan Informasi
  • Pemeliharaan
  • Teknologi Pelindung

Deteksi

NIST mendefinisikan fungsi ini sebagai berikut:

“Mengembangkan dan mengimplementasikan aktivitas yang sesuai untuk mengidentifikasi terjadinya peristiwa keamanan siber”.

Dalam fungsi ini, NIST menyertakan kategori kontrol berikut:

  • Anomali dan Peristiwa
  • Pemantauan Keamanan Berkelanjutan
  • Proses Deteksi

Menanggapi

NIST mendefinisikan fungsi ini sebagai berikut:

“Kembangkan dan terapkan aktivitas yang sesuai untuk mengambil tindakan terkait peristiwa keamanan siber yang terdeteksi”.

Dalam fungsi ini, NIST menyertakan kategori kontrol berikut:

  • Perencanaan Respon
  • Komunikasi
  • Analisis
  • Mitigasi
  • Perbaikan

Pulih

NIST mendefinisikan fungsi ini sebagai berikut:

“Kembangkan dan implementasikan aktivitas yang sesuai untuk mempertahankan rencana ketahanan dan untuk memulihkan kemampuan atau layanan apa pun yang terganggu karena peristiwa keamanan siber”.

Dalam fungsi ini, NIST menyertakan kategori kontrol berikut:

  • Perencanaan Pemulihan
  • Perbaikan
  • Komunikasi

Menerapkan CSF ke Keamanan SaaS

Meskipun jelas merupakan model dalam praktik terbaik, Kerangka ini merupakan tantangan untuk diterapkan.

Pelajari lebih lanjut bagaimana solusi SaaS Security Posture Management (SSPM) dapat mengotomatiskan kepatuhan terhadap NIST di seluruh kawasan SaaS Anda.

Data-dalam-transit dilindungi (PR.DS-2)

Perusahaan yang menggunakan layanan SaaS mungkin bertanya-tanya bagaimana ini relevan bagi mereka. Mereka mungkin berpikir bahwa kepatuhan adalah tanggung jawab penyedia SaaS. Namun, pengamatan yang lebih dalam menunjukkan bahwa banyak penyedia SaaS memiliki langkah-langkah keamanan, dan pengguna bertanggung jawab untuk menggunakannya.

Misalnya, admin tidak boleh mengizinkan koneksi apa pun melalui HTTP ke layanan SaaS. Mereka seharusnya hanya mengizinkan koneksi HTTPS yang aman.

Perlindungan terhadap kebocoran data diterapkan (PR.DS-5)

Ini mungkin tampak seperti subkategori kecil, tetapi di bawahnya ada raksasa. Kebocoran data sangat sulit dicegah. Adopsi aplikasi SaaS membuat ini lebih sulit karena orang dapat berbagi dan mengaksesnya dari mana saja di dunia.

Admin atau anggota kantor CISO harus berhati-hati terhadap ancaman ini. DLP di SaaS dapat mencakup langkah-langkah keamanan seperti:

  • berbagi tautan ke file daripada file yang sebenarnya
  • menyetel tanggal kedaluwarsa untuk tautan
  • nonaktifkan opsi unduh jika tidak diperlukan
  • memblokir kemampuan untuk mengekspor data dalam analisis data SaaS
  • pengerasan otentikasi pengguna
  • pencegahan perekaman lokal dalam komunikasi SaaS
  • peran pengguna yang terdefinisi dengan baik dengan jumlah pengguna super dan admin yang terbatas

Identitas dan kredensial diterbitkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses resmi (PR.AC-1)

Saat perusahaan menskalakan tenaga kerja dan adopsi SaaS, subkategori ini menjadi lebih menantang. Mengelola 50.000 pengguna hanya dengan lima SaaS berarti tim keamanan perlu mengelola 250.000 identitas. Masalah ini nyata dan rumit.

Yang lebih menantang, setiap SaaS memiliki cara berbeda untuk mendefinisikan identitas, melihatnya, dan mengamankan identitas. Menambah risiko, aplikasi SaaS tidak selalu terintegrasi satu sama lain, yang berarti pengguna dapat menemukan diri mereka sendiri dengan hak istimewa yang berbeda di sistem yang berbeda. Ini kemudian mengarah pada hak istimewa yang tidak perlu yang dapat menimbulkan risiko keamanan potensial.

Bagaimana Adaptive Shield Dapat Membantu Memenuhi Persyaratan CSF NIST

NIST CSF adalah standar industri untuk keamanan siber saat ini, namun menerapkannya dengan praktik dan proses manual yang khas adalah perjuangan yang berat. Jadi mengapa tidak otomatis?

Perisai Adaptif adalah Solusi Manajemen Postur Keamanan SaaS (SSPM) yang dapat mengotomatiskan pemeriksaan kepatuhan dan konfigurasi di seluruh kawasan SaaS. Adaptive Shield memungkinkan tim keamanan untuk dengan mudah melihat dan memperbaiki kelemahan konfigurasi dengan cepat, memastikan kepatuhan dengan standar perusahaan dan industri, dari NIST CSF, serta mandat kepatuhan lainnya seperti SOC 2 dan CSA Cloud Controls Matrix.

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.