Keamanan Informasi Perusahaan – Apakah Informasi Kami Lebih Aman Sejak 11 September?

By :

Pagi 11 September 2001 dimulai seperti yang lain untuk karyawan firma hukum Turner & Owen, yang terletak di lantai 21 One Liberty Plaza tepat di seberang jalan dari Menara World Trade Center Utara. Kemudian semua orang mendengar ledakan besar dan gedung mereka berguncang seperti gempa bumi. Puing menghujani dari langit.

Tidak tahu apa yang terjadi, mereka segera meninggalkan gedung dengan cara yang teratur – berkat latihan sistematis latihan evakuasi – mengambil file apa pun yang mereka bisa di jalan keluar. Lemari arsip dan sistem komputer semuanya harus ditinggalkan. Dalam bencana yang terjadi, One Liberty Plaza hancur dan bersandar dengan lantai sepuluh teratas yang terpelintir – kantor Turner & Owen hancur.

Meskipun Turner & Owen, staf TI membuat kaset cadangan reguler dari sistem komputer mereka, kaset itu telah dikirim ke divisi perusahaan yang berlokasi di Menara World Trade Center Selatan dan mereka benar-benar hilang ketika Menara Selatan dihancurkan. Mengetahui mereka harus memulihkan basis data kasus mereka atau kemungkinan keluar dari bisnis, Frank Turner dan Ed Owen mempertaruhkan nyawa mereka dan merangkak melalui One Liberty Plaza yang secara struktural tidak stabil dan mengambil dua file server dengan catatan paling kritis mereka. Dengan informasi ini, firma hukum Owen & Turner dapat melanjutkan pekerjaan kurang dari dua minggu kemudian.

Banyak perusahaan lain tidak pernah dapat memulihkan informasi yang hilang dalam bencana ini.

Apa yang Telah Berubah?

Orang mungkin berpikir bahwa bertahun-tahun setelah kehilangan nyawa, properti dan informasi yang menghancurkan akan ada perbedaan dramatis dan perbaikan dalam cara bisnis berusaha melindungi karyawan, aset, dan data mereka. Namun, perubahan telah lebih bertahap daripada yang diperkirakan banyak orang. "Beberapa organisasi yang seharusnya menerima panggilan bangun tidur sepertinya telah mengabaikan pesan itu," kata seorang profesional keamanan informasi yang lebih memilih untuk tetap anonim.

Melihat beberapa tren yang telah berkembang selama bertahun-tahun sejak 11 September mengungkapkan tanda-tanda perubahan menjadi lebih baik – meskipun kebutuhan akan kemajuan keamanan informasi semakin jelas.

Tren Federal

Perubahan paling nyata dalam keamanan informasi sejak 11 September 2001 terjadi di tingkat pemerintah federal. Berbagai macam Perintah Eksekutif, tindakan, strategi dan departemen baru, divisi, dan direktorat telah difokuskan untuk melindungi infrastruktur Amerika dengan penekanan besar pada perlindungan informasi.

Hanya satu bulan setelah 9/11, Presiden Bush menandatangani Perintah Eksekutif 13231 "Perlindungan Infrastruktur Kritis di Era Informasi" yang membentuk Dewan Perlindungan Infrastruktur Kritis Presiden (PCIPB). Pada bulan Juli 2002, Presiden Bush merilis Strategi Nasional untuk Keamanan Dalam Negeri yang menyerukan pembentukan Departemen Keamanan Dalam Negeri (DHS), yang akan memimpin inisiatif untuk mencegah, mendeteksi, dan menanggapi serangan kimia, biologi, radiologi, dan nuklir. Senjata (CBRN). Undang-Undang Keamanan Dalam Negeri, yang ditandatangani menjadi undang-undang pada November 2002, menjadikan DHS sebagai kenyataan.

Pada bulan Februari 2003, Tom Ridge, Sekretaris Keamanan Dalam Negeri merilis dua strategi: "Strategi Nasional untuk Mengamankan Cyberspace," yang dirancang untuk "melibatkan dan memberdayakan orang Amerika untuk mengamankan bagian dari dunia maya yang mereka miliki, beroperasi, kontrol, atau dengan mana mereka berinteraksi "dan" Strategi Nasional untuk Perlindungan Fisik Infrastruktur Kritis dan Aset Kunci "yang" menguraikan prinsip-prinsip panduan yang akan mendukung upaya kami untuk mengamankan infrastruktur dan aset penting untuk keamanan nasional, pemerintahan, kesehatan dan keselamatan publik, ekonomi dan kepercayaan publik ".

Selain itu, di bawah Direktorat Perlindungan Analisis Informasi dan Infrastruktur (IAIP) Departemen Keamanan Dalam Negeri, Kantor Jaminan Infrastruktur Kritis (CIAO), dan Divisi Keamanan Cyber ​​Nasional (NCSD) diciptakan. Salah satu prioritas utama NCSD adalah untuk menciptakan Pusat Pelacakan, Analisis, dan Respon Keamanan Cyber ​​yang terkonsolidasi yang mengikuti rekomendasi kunci dari Strategi Nasional untuk Mengamankan Cyberspace.

Dengan semua kegiatan ini di pemerintah federal terkait dengan mengamankan infrastruktur termasuk sistem informasi utama, orang mungkin berpikir akan ada dampak yang nyata pada praktik keamanan informasi di sektor swasta. Tetapi tanggapan terhadap Strategi Nasional untuk Mengamankan Cyberspace secara khusus telah hangat, dengan kritik yang berpusat pada kurangnya peraturan, insentif, pendanaan dan penegakan. Sentimen di kalangan profesional keamanan informasi tampaknya adalah bahwa tanpa undang-undang keamanan informasi yang kuat dan kepemimpinan di tingkat federal, praktik untuk melindungi informasi penting bangsa kita, di sektor swasta setidaknya, tidak akan berubah secara signifikan menjadi lebih baik.

Tren Industri

Salah satu tren yang tampaknya mendapatkan tanah di sektor swasta, meskipun, adalah peningkatan penekanan pada kebutuhan untuk berbagi informasi yang berhubungan dengan keamanan di antara perusahaan dan organisasi lain namun melakukannya dengan cara anonim. Untuk melakukan ini, sebuah organisasi dapat berpartisipasi dalam satu lusin atau lebih Pusat Informasi dan Analisis Informasi (ISAC) khusus industri. ISAC mengumpulkan peringatan dan melakukan analisis dan pemberitahuan tentang ancaman fisik dan cyber, kerentanan, dan peringatan. Mereka mengingatkan sektor informasi keamanan publik dan swasta yang diperlukan untuk melindungi infrastruktur teknologi informasi kritis, bisnis, dan individu. Anggota ISAC juga memiliki akses ke informasi dan analisis yang berkaitan dengan informasi yang diberikan oleh anggota lain dan diperoleh dari sumber lain, seperti Pemerintah AS, lembaga penegak hukum, penyedia teknologi, dan asosiasi keamanan, seperti CERT.

Didorong oleh Keputusan Presiden Presiden Clinton (PDD) 63 tentang perlindungan infrastruktur kritis, ISAC pertama mulai terbentuk beberapa tahun sebelum 9/11; Pemerintahan Bush terus mendukung pembentukan ISAC untuk bekerja sama dengan PCIPB dan DHS.

ISAC ada untuk sebagian besar industri termasuk IT-ISAC untuk teknologi informasi, FS-ISAC untuk lembaga keuangan serta World Wide ISAC untuk semua industri di seluruh dunia. Keanggotaan ISAC telah berkembang pesat dalam beberapa tahun terakhir karena banyak organisasi mengakui bahwa partisipasi dalam ISAC membantu memenuhi kewajiban perawatan mereka untuk melindungi informasi penting.

Pelajaran utama dari 9/11 adalah bahwa kesinambungan bisnis dan pemulihan bencana (BC / DR) rencana harus kuat dan sering diuji. "Perencanaan kesinambungan bisnis telah berubah dari menjadi barang pilihan yang membuat auditor senang dengan sesuatu yang harus dipertimbangkan dewan direksi secara serius," kata Richard Luongo, Direktur Solusi Manajemen Risiko Global PricewaterhouseCoopers, tak lama setelah serangan. BC / DR telah membuktikan laba atas investasi dan sebagian besar organisasi telah memusatkan perhatian besar untuk memastikan bahwa bisnis dan informasi mereka dapat diperoleh kembali jika terjadi bencana.

Ada juga penekanan yang semakin besar pada solusi manajemen risiko dan bagaimana mereka dapat diterapkan pada persyaratan ROI dan penganggaran untuk bisnis. Lebih banyak sesi konferensi, buku, artikel, dan produk tentang manajemen risiko ada daripada sebelumnya. Sementara beberapa pertumbuhan di bidang ini dapat dikaitkan dengan undang-undang seperti HIPAA, GLBA, Sarbanes Oxley, Basel II, dll, 9/11 melakukan banyak hal untuk membuat orang mulai berpikir tentang ancaman dan kerentanan sebagai komponen risiko dan apa yang harus dilakukan untuk mengelola risiko itu.

Tren Teknologi

Sebagian besar perusahaan menyadari perlunya memonitor jaringan mereka 24×7 sebelum 9/11, tetapi setelah itu menjadi prioritas utama jika kemampuan tersebut belum tersedia. Semakin banyak perusahaan yang menerapkan sistem deteksi intrusi (IDS) termasuk sistem deteksi intrusi jaringan (NIDS) dan sistem deteksi intrusi host (HIDS) solusi. Menurut survei Global Security 2003 oleh Deloitte Touche Tohmatsu, 85 persen responden telah menerapkan sistem deteksi intrusi. Karena sistem ini dapat memerlukan biaya besar pembelian peralatan dan perangkat lunak, biaya konsultasi dan waktu staf, beberapa perusahaan beralih ke penyedia layanan keamanan terkelola (MSSP) untuk mengelola pemantauan jaringan mereka. Beberapa MSSP juga menawarkan klien mereka pemberitahuan terlebih dahulu tentang ancaman yang mungkin telah diidentifikasi oleh MSSP saat memantau jaringan lain.

Sebagian besar karena mengamuk cacing dan virus seperti Slammer, manajemen patch, manajemen perubahan dan solusi manajemen konfigurasi teknologi telah dibesarkan diutamakan dalam inisiatif manajemen risiko perusahaan. Banyak aplikasi dan alat tersedia untuk mengatasi kebutuhan patch, perubahan, dan manajemen konfigurasi, tetapi tantangannya adalah untuk menemukan kombinasi alat yang tepat yang akan melakukan pekerjaan di lingkungan tertentu.

Staf keamanan informasi tidak punya waktu untuk menyaring banyak peringatan ancaman dan peringatan kerentanan yang muncul untuk semua kombinasi platform yang mungkin setiap hari. Jadi tren teknologi keamanan informasi lain yang telah dikembangkan adalah analisis ancaman cerdas – sebuah layanan yang memberikan peringatan dan peringatan kerentanan yang disesuaikan dengan lingkungan khusus klien.

Apa yang Masih Perlu Diganti

Perubahan keamanan informasi dalam pemerintahan, industri, dan teknologi sangat penting, tetapi di mana kita masih perlu meningkatkan di bidang ini?

Jika pemerintah kita serius dalam melindungi informasi penting, maka harus ada undang-undang yang masuk akal, kata pakar keamanan informasi. "Buat perusahaan bertanggung jawab atas ketidakamanan, dan Anda akan terkejut betapa cepatnya keadaan menjadi lebih aman," kata Bruce Schneier, Pendiri dan CTO dari Counterpane Internet Security, Inc.

Manajer keamanan informasi perlu melakukan pekerjaan yang lebih baik dalam menyampaikan bagaimana suatu perusahaan perlu melindungi informasinya kepada CEO dan dewan direksi mereka. Siebel Systems CIO Mark Sunday mengatakan bahwa meskipun dewan direksi lebih sadar akan masalah keamanan daripada sebelumnya, mereka masih belum sepenuhnya memahami mereka – dan sebagian besar dewan tidak suka mendanai hal-hal yang tidak mereka pahami. "Sebagaimana yang disadari oleh para CEO dan dewan direksi telah menjadi masalah keamanan, pengeluaran di daerah itu belum meningkat secara proporsional dan tentu saja tidak pada tingkat yang diharapkan orang," kata Sunday.

Teknologi keamanan informasi tingkat lanjut ada yang tidak dikenal luas atau digunakan oleh arus utama. "Teknologi kami terlalu berbasis tanda tangan," kata Jim Reavis, editor CSOinformer dan analis industri keamanan informasi. "Kami hanya siap untuk bertempur di pertempuran terakhir. Kita harus lebih bisa memprediksi. Kita perlu menggunakan lebih banyak teknologi perilaku."

Kesimpulan

Dalam survei yang dilakukan bersama oleh Aliansi Keamanan Internet (ISAlliance), Asosiasi Produsen Nasional (NAM) dan RedSiren Technologies Inc. satu tahun setelah 11 September 2001, 40 persen responden melaporkan bahwa keamanan informasi dianggap lebih penting daripada sebelum 11 September. Namun hampir sepertiga mengatakan bahwa perusahaan mereka masih belum cukup memadai untuk menghadapi serangan di jaringan komputer mereka. Survei menyimpulkan bahwa "banyak organisasi perlu merevisi bagaimana risiko keamanan, ancaman dan biaya diidentifikasi, diukur dan dikelola."

Apakah informasi kami lebih aman dua tahun setelah 11 September? Sayangnya, tidak banyak. Sementara beberapa tren sejak 9/11 menunjukkan kemajuan di bidang perlindungan informasi, peluang untuk praktik keamanan informasi yang lebih baik tetap jelas.


Leave a Reply

Your email address will not be published. Required fields are marked *