Apa arti pedoman keamanan Inggris yang direvisi untuk bisnis [Q&A]

meteran keamanan

Perubahan skema sertifikasi keamanan Cyber ​​Essentials pemerintah Inggris mulai berlaku hari ini. Mereka mencakup hal-hal seperti pedoman tentang kerja jarak jauh dan pendekatan hybrid, aturan untuk akun layanan cloud — seperti menerapkan otentikasi multi-faktor — dan mempercepat penerapan patch kritis untuk kerentanan kritis dan tingkat keparahan tinggi

Kami berbicara dengan Karl Alderton, manajer akun teknis di spesialis keamanan dan kepatuhan Qualys untuk mengetahui lebih lanjut tentang bagaimana perubahan ini akan memengaruhi bisnis dan apa yang perlu mereka lakukan sebagai tanggapan.

BN: Apa yang harus diketahui orang tentang perubahan Cyber ​​Essentials?

KA: Ini adalah rangkaian perubahan terbesar dalam kerangka Cyber ​​Essentials yang telah kita lihat sejauh ini. Sementara Cyber ​​Essentials selalu melihat pandangan yang beragam dalam komunitas keamanan, tidak ada keraguan dalam pikiran saya bahwa ada nilai dalam mencapai sertifikasi karena memastikan banyak dasar dilakukan dengan benar.

Apa yang harus diubah dari dasar-dasar itu selama beberapa tahun terakhir, berdasarkan semua tindakan yang harus dilakukan perusahaan untuk melanjutkan selama pandemi. Penambahan dan perubahan pada kontrol teknis akan memudahkan perusahaan untuk menjaga keamanan pekerja jarak jauh mereka, untuk meningkatkan keamanan di sekitar layanan cloud mereka, dan menjaga operasi mereka tetap berjalan di sekitar praktik kerja hybrid baru.

Hal utama yang perlu diingat — dan ini sama dengan kerangka kerja lain seperti ISO27001 — adalah bahwa mencapai kepatuhan tidak berarti bahwa semuanya aman selamanya. Ini bukan permainan akhir, tetapi kepatuhan memang membantu Anda meningkat.

Organisasi tidak mungkin memiliki waktu atau sumber daya untuk memanfaatkan banyak vendor, data referensi silang, memantau perbaikan di banyak tempat dan kemudian melaporkan kepatuhan yang berhasil. Ini akan mengarah pada lebih banyak konsolidasi menggunakan layanan yang menyediakan semua data penting dalam satu platform, baik itu kerentanan dari seluler, server, perangkat pengguna akhir atau cloud, atau inventaris perangkat lunak di seluruh area. Dengan pendekatan ini, tim akan memiliki kemampuan deteksi yang diperlukan untuk mencapai visibilitas yang diperlukan.

BN: Jadi, apa saja perubahan besar itu?

KA: Perubahan yang paling jelas adalah seputar kerja jarak jauh, dan cara perusahaan memeriksa keamanan karyawan mereka di luar jaringan perusahaan biasa. Sangat penting untuk memahami apa yang ada dalam ruang lingkup — perangkat jaringan rumah termasuk router yang disediakan oleh ISP misalnya sekarang tidak tercakup, yang merupakan perubahan positif menurut saya. Itu akan selalu menjadi tantangan bagi organisasi, terutama usaha kecil untuk mencakup semua perangkat tersebut. Laptop dan desktop rumah ada dalam cakupannya. Oleh karena itu, untuk dapat mematuhi Cyber ​​Essentials Plus, Anda harus mengambil pendekatan berbasis agen terhadap aset dan inventaris perangkat lunak serta manajemen kerentanan. Ini sangat penting, karena tanpa agen, Anda tidak akan memiliki visibilitas yang diperlukan untuk memastikan Anda mematuhinya.

Semua Layanan Cloud sekarang juga dalam cakupan Cyber ​​Essentials. Sejumlah besar serangan yang berhasil disebabkan oleh kerentanan dan kesalahan konfigurasi di cloud, karena orang umumnya berasumsi bahwa layanan cloud aman, padahal mereka bertanggung jawab untuk memeriksa layanan tersebut. Membuat perubahan ini membuat tanggung jawab ini lebih jelas, dan Anda tidak bisa hanya mengandalkan penyedia cloud untuk ini di masa mendatang.

Seringkali tim yang berbeda bertanggung jawab atas layanan cloud dibandingkan dengan server estate lokal tradisional dan komputasi pengguna akhir, yang membuat pengelolaan dan pelaporan pada satu kerangka kerja menjadi sulit. Organisasi perlu mengevaluasi alat yang saat ini digunakan dan mencari solusi yang memungkinkan pelaporan ujung ke ujung di semua lingkungan. Ini akan memastikan tingkat visibilitas yang diperlukan dan pelaporan terstandarisasi.

Organisasi juga perlu melihat dan memahami semua perangkat lunak dalam lingkungan mereka, apakah ini perangkat lunak sumber terbuka atau berlisensi. Organisasi perlu memastikan bahwa mereka memiliki visibilitas 100 persen dari semua perangkat lunak yang digunakan, baik yang ada di cloud, di titik akhir, atau berjalan di server. Elemen penting di sini adalah perencanaan ke depan, memahami perangkat lunak apa yang akan mengakhiri masa pakai atau dukungannya, memungkinkan organisasi untuk merencanakan sebelum sertifikasi. Penting juga untuk memiliki visibilitas perangkat lunak yang tidak didukung, untuk memastikan ini dihapus dari perangkat dalam cakupan.

BN: Perubahan apa lagi yang harus diperhatikan oleh tim TI?

KA: Perangkat seluler seperti ponsel dan tablet yang terhubung ke data atau layanan organisasi mana pun kini tersedia, baik yang terhubung melalui jaringan seluler atau langsung ke jaringan perusahaan. Dengan perangkat ini sekarang tercakup, organisasi akan perlu memiliki visibilitas siklus hidup perangkat lunak dan informasi kerentanan pada mereka. Tantangan terbesar di sini untuk organisasi adalah mereka yang mengizinkan BYOD — apakah pengguna akan mengizinkan perusahaan mereka menerapkan solusi Manajemen Perangkat Seluler atau Manajemen Kerentanan pada perangkat pribadi mereka? Bagi banyak perusahaan — dan pengguna — ini berarti lebih banyak diskusi tentang apa yang boleh diizinkan oleh pengguna.

Di masa lalu kami juga melihat organisasi hanya menyertakan server dalam lingkup Cyber ​​Essentials, tetapi ini tidak lagi dapat diterima. Cakupan sekarang harus mencakup perangkat pengguna akhir, yang menurut saya merupakan langkah penting. Meskipun saya tidak terlalu percaya bahwa pengguna adalah tautan yang lemah dalam keamanan, kami tahu penyerang menargetkan perangkat pengguna akhir, jadi ancaman ini tidak boleh diabaikan.

BN: Apa perubahan terbesar dalam proses, karena Cyber ​​Essentials?

KA: Saya pikir perubahan terbesar adalah seputar pembaruan perangkat lunak. Semua perangkat lunak pada perangkat dalam lingkup harus dilisensikan dan didukung. Dalam praktiknya, ini berarti bahwa aplikasi dan sistem operasi harus mengaktifkan pembaruan otomatis jika memungkinkan, atau diperbarui dalam 14 hari sejak patch dirilis, jika kerentanan memiliki skor CVSS v3 tujuh ke atas atau digambarkan sebagai kritis atau berisiko tinggi .

Jika kita melihat kembali berapa lama waktu yang dibutuhkan organisasi untuk melakukan perbaikan saat ini — rata-rata, yaitu sekitar 200 hari — tantangannya di sini adalah bagi organisasi untuk mengadopsi dan mempercayai elemen patch tanpa sentuhan, di mana pembaruan secara otomatis disebarkan ke pengguna tanpa pengujian terlebih dahulu. Sangat sedikit organisasi yang mencapai ini hari ini. Perubahan ini akan menjadi tantangan bagi organisasi, tidak ada keraguan tentang itu. Namun, seperti yang saya sebutkan sebelumnya, sebagian besar akan dikaitkan dengan kebersihan dunia maya dasar, jadi ini akan membantu meningkatkan keamanan bagi banyak organisasi.

BN: Adakah pemikiran lain tentang apa artinya langkah ini?

KA: Kekhawatiran terbesar yang saya miliki, dan saya mendengar komentar yang sama dari organisasi sektor swasta dan publik, adalah bagaimana Cyber ​​Essentials tidak mengizinkan organisasi individu untuk memperhitungkan risiko berdasarkan kebutuhan dan tujuan mereka. Misalnya, memahami risiko yang terkait dengan ransomware di server saya dapat berarti bahwa mencegah serangan terhadap mereka akan menjadi prioritas yang lebih tinggi bagi organisasi daripada menyelesaikan penyebaran tujuh patch CVSS dalam periode 14 hari.

Jika kita melihat keadaan permainan, tentu saja dalam hal mengelola perangkat lunak dan kerentanan akhir masa pakai, sangat sedikit organisasi yang benar-benar menguasai ini. Kami melihat rata-rata industri lebih dari 200 hari untuk memulihkan kerentanan kritis, kami melihat kerentanan dipetakan ke eksekusi kode jarak jauh dan penolakan layanan di mana tambalan sudah ada, dan kami melihat perusahaan menjalankan perangkat lunak yang tidak didukung di seluruh organisasi mereka. Demikian pula, kami dapat melihat lebih dari 100 kerentanan per perangkat saat kami terlibat dengan perusahaan dalam membangun program Manajemen Kerentanan. Itu banyak potensi masalah yang perlu diperbaiki.

Di sinilah Cyber ​​Essentials berperan. Semakin banyak organisasi yang melakukan dasar-dasarnya dengan baik, semakin sulit bagi penyerang. Ini berarti serangan yang kurang berhasil seperti ransomware, yang menyebabkan lebih sedikit dana untuk penyerang dan kita semua menjadi lebih aman.

Kredit Gambar: donscarpo / depositphotos.com

Author: Martha Meyer