Pengguna komputasi awan atau cloud seringkali melakukan kesalahan umum mulai dari pengusaha UKM bahkan sampai perusahaan besar berulangkali melakukan kesalahan keamanan cloud teratas.
Pengguna komputasi awan atau cloud sering melakukan kesalahan umum yang sama dan ini terjadi pada pengusaha UKM di dunia, walaupun hal serupa terjadi juga pada perusahaan besar dimana mereka melakukan kesalahan keamanan cloud teratas.
Seperti kita ketahui bersama bahwa komputasi awan adalah komponen penting dari lanskap digital di era digital saat ini.
Infrastruktur, platform, dan perangkat lunak TI saat ini lebih mungkin untuk dihadirkan sebagai sebuah layanan yang kemudian disingkat IaaS, PaaS, dan SaaS dibandingkan dengan konfigurasi lokal tradisional. Dan hal ini lebih menarik bagi usaha kecil dan menengah (UKM).
Cloud memberikan peluang untuk berdiri sejajar dengan pesaing yang lebih besar, memungkinkan pergerakan bisnis yang lebih besar dan skala yang cepat tanpa menghabiskan banyak uang.
Hal ini mungkin menjadi alasan mengapa 53% UKM global yang disurvei dalam laporan terbaru mengatakan bahwa mereka menghabiskan lebih dari $1,2 juta setiap tahunnya di cloud, naik 38% dari tahun lalu.
Namun transformasi digital juga membawa risiko. Keamanan (72%) dan kepatuhan (71%) merupakan tantangan cloud terbesar kedua dan ketiga yang paling sering disebutkan bagi para responden UKM.
Langkah pertama untuk mengatasi tantangan ini adalah memahami kesalahan utama yang dilakukan oleh usaha kecil dalam penerapan cloud mereka.
Baca juga: Segala Hal tentang iCloud Private Relay |
Kesalahan Keamanan Cloud Teratas
Mari kita perjelas, berikut ini bukan hanya kesalahan yang dilakukan UKM di cloud. Bahkan perusahaan terbesar dan memiliki sumber daya terbaik pun terkadang bersalah karena melupakan hal-hal mendasar.
Namun dengan menghilangkan titik-titik buta ini, perusahaan dapat mengambil langkah besar dalam mengoptimalkan penggunaan cloud, tanpa berpotensi menimbulkan risiko finansial atau reputasi yang serius.
1. Tidak ada Autentikasi Multi Faktor (MFA)
Kata sandi statis pada dasarnya tidak aman dan tidak semua bisnis mematuhi kebijakan pembuatan kata sandi yang baik.
Kata sandi dapat dicuri dengan berbagai cara, seperti melalui phising, metode brute force, atau sekadar menebak.
Itu sebabnya Anda perlu menambahkan lapisan autentikasi ekstra di atas MFA yang akan mempersulit penyerang mengakses aplikasi akun SaaS, IaaS, atau PaaS pengguna Anda.
Sehingga mengurangi risiko ransomware, pencurian data, dan kemungkinan akibat lainnya. Opsi lainnya melibatkan peralihan, jika memungkinkan, ke metode autentikasi alternatif seperti autentikasi tanpa kata sandi.
2. Terlalu Mempercayai Penyedia Cloud (CSP)
Banyak pemimpin TI percaya bahwa berinvestasi di cloud secara efektif berarti melakukan outsourcing segala sesuatunya kepada pihak ketiga yang tepercaya.
Itu hanya sebagian saja yang benar. Faktanya, terdapat model tanggung jawab bersama untuk mengamankan cloud, yang terbagi antara CSP dan pelanggan.
Hal yang perlu Anda perhatikan akan bergantung pada jenis layanan cloud (SaaS, IaaS, atau PaaS) dan CSP. Meskipun sebagian besar tanggung jawab terletak pada penyedia (misalnya, dalam SaaS), investasi pada kontrol pihak ketiga tambahan mungkin bermanfaat.
Baca juga: Tantangan Cloud untuk Sistem Kerja Hybrid |
3. Gagal melakukan pencadangan
Sesuai dengan hal di atas, jangan pernah berasumsi bahwa penyedia cloud Anda (misalnya, untuk layanan berbagi file/penyimpanan) mendukung Anda.
Ada baiknya untuk merencanakan skenario terburuk, yang kemungkinan besar berupa kegagalan sistem atau serangan siber.
Bukan hanya data yang hilang yang akan berdampak pada organisasi Anda, namun juga downtime dan penurunan produktivitas yang dapat terjadi setelah suatu insiden.
4. Gagal melakukan patch secara berkala
Gagal melakukan patch dan sistem cloud Anda akan terkena eksploitasi kerentanan. Hal ini pada gilirannya dapat mengakibatkan infeksi malware, pelanggaran data, dan banyak lagi. Manajemen patch adalah praktik terbaik keamanan inti yang relevan di cloud dan di lokasi.
5. Kesalahan konfigurasi cloud
CSP adalah kelompok yang inovatif. Namun banyaknya fitur dan kemampuan baru yang diluncurkan sebagai respons terhadap masukan pelanggan dapat menciptakan lingkungan cloud yang sangat kompleks bagi banyak UKM.
Hal ini membuat lebih sulit untuk mengetahui konfigurasi apa yang paling aman. Kesalahan umum termasuk mengonfigurasi penyimpanan cloud sehingga pihak ketiga mana pun dapat mengaksesnya, dan gagal memblokir port yang terbuka.
6. Tidak memantau lalu lintas cloud
Salah satu pernyataan yang umum adalah bahwa saat ini masalahnya bukan “jika” tetapi “ketika” lingkungan cloud (IaaS/PaaS) Anda dibobol.
Hal ini membuat deteksi dan respons yang cepat menjadi penting jika Anda ingin mengenali tanda-tandanya sejak dini, untuk membendung serangan sebelum berdampak pada organisasi. Hal ini membuat pemantauan berkelanjutan menjadi suatu keharusan.
7. Gagal mengenkripsi data perusahaan
Tidak ada lingkungan yang 100% tahan terhadap pelanggaran. Jadi apa yang terjadi jika pihak jahat berhasil mengakses data internal Anda yang paling sensitif atau informasi pribadi karyawan/pelanggan yang diatur secara ketat?
Dengan mengenkripsinya saat diam dan dalam perjalanan, Anda akan memastikan bahwa data tersebut tidak dapat digunakan, meskipun telah diperoleh.
Baca juga: Ancaman Baru Cloud Jacking |
Memperbaiki Keamanan Cloud
Langkah pertama untuk mengatasi risiko keamanan cloud ini adalah memahami tanggung jawab Anda, dan area mana yang akan ditangani oleh CSP. Pertimbangkan hal berikut:
- Berinvestasilah pada solusi keamanan pihak ketiga untuk meningkatkan keamanan dan perlindungan cloud Anda untuk email, penyimpanan, dan aplikasi kolaborasi Anda selain fitur keamanan yang dibangun dalam layanan cloud yang ditawarkan oleh penyedia cloud terkemuka di dunia
- Tambahkan alat deteksi dan respons yang diperluas atau terkelola (XDR/MDR) untuk mendorong respons insiden yang cepat dan penahanan/remediasi pelanggaran
- Kembangkan dan terapkan program patching berbasis risiko berkelanjutan yang dibangun di atas manajemen aset yang kuat (yaitu, ketahui aset cloud apa yang Anda miliki dan pastikan aset tersebut selalu mutakhir)
- Enkripsi data saat disimpan (di tingkat basis data) dan saat transit untuk memastikan data terlindungi bahkan jika orang jahat berhasil menguasainya. Hal ini juga memerlukan penemuan dan klasifikasi data yang efektif dan berkelanjutan
- Tentukan kebijakan kontrol akses yang jelas; mewajibkan kata sandi yang kuat, MFA, prinsip hak istimewa paling rendah, dan pembatasan/daftar izin berbasis IP untuk IP tertentu
- Pertimbangkan untuk mengadopsi pendekatan Zero Trust, yang akan menggabungkan banyak elemen di atas (MFA, XDR, enkripsi) bersama dengan segmentasi jaringan dan kontrol lainnya
Banyak dari langkah-langkah di atas merupakan praktik terbaik yang sama dengan yang diharapkan dapat diterapkan di lokasi.
Yang terpenting, ingatlah bahwa keamanan cloud bukan hanya tanggung jawab penyedia. Ambil kendali sekarang juga untuk mengelola risiko dunia maya dengan lebih baik.
Sumber berita: