Apa itu Tinjauan Akses Pengguna? Praktik Terbaik & Daftar Periksa

Tinjauan akses pengguna sangat penting untuk mengurangi risiko pelanggaran keamanan dengan membatasi akses ke data dan sumber daya penting. Artikel ini akan menjelaskan mengapa tinjauan akses itu penting, menguraikan praktik terbaik tinjauan akses pengguna dan peraturan yang mewajibkannya, serta menyediakan daftar periksa tinjauan akses pengguna untuk digunakan sebagai titik awal.

Apa itu Tinjauan Akses Pengguna dan Mengapa Penting?

Tujuan tinjauan akses adalah untuk memastikan bahwa hak akses pengguna sesuai dengan peran yang ditetapkan dan untuk meminimalkan hak istimewa yang diberikan kepada karyawan. Menurut laporan Centrify (sekarang Delinea), 74% pelanggaran data dimulai dengan penyalahgunaan kredensial istimewa. Oleh karena itu, tinjauan akses pengguna sangat penting untuk meminimalkan risiko ancaman keamanan siber. Lebih tepatnya, tinjauan akses pengguna dapat membantu dalam bidang berikut:

Hak istimewa merayap, penyalahgunaan, dan penyalahgunaan

Tinjauan akses pengguna sangat penting untuk memitigasi ancaman keamanan seperti hak istimewa yang merayap, penyalahgunaan hak istimewa, dan penyalahgunaan hak istimewa. Privilege creep terjadi ketika karyawan mendapatkan akses ke data yang lebih sensitif dari yang diperlukan, sehingga menyebabkan akses tidak sah ke data, yang dapat menyebabkan pelanggaran keamanan. Penyalahgunaan hak istimewa adalah ketika hak istimewa digunakan dengan cara yang bertentangan dengan kebijakan perusahaan. Di sisi lain, penyalahgunaan hak istimewa melibatkan aktivitas penipuan, yang menyebabkan pelaku jahat mengakses, mengambil alih, atau merusak data organisasi.

Amankan saat keluar dari pesawat

Jika terjadi pemutusan hubungan kerja oleh karyawan atau pihak ketiga, hak akses harus dicabut untuk mencegah akses ke informasi sensitif. Kegagalan untuk menghapus hak akses akan memberikan mantan karyawan tersebut kemampuan untuk mengakses data rahasia dalam jumlah besar bahkan setelah mereka keluar dari perusahaan. Hal ini dapat menyebabkan potensi pelanggaran keamanan jika pihak yang keluar merasa kesal dan termotivasi untuk mengeksploitasi kredensial aktif mereka selama periode penghentian.

Mengurangi biaya lisensi

Kegagalan memantau dan membatasi akses pengguna ke sistem tertentu dapat mengakibatkan pengeluaran berlebihan untuk lisensi dan akun sistem. Biaya satu lisensi bisa sangat tinggi, berkisar ratusan dolar untuk berbagai sistem. Misalnya, jika karyawan dari departemen akuntansi tidak memerlukan lisensi Adobe Photoshop, mereka tidak boleh diberikan akses ke sistem yang menjalankan perangkat lunak tersebut.

Tantangan Terkait dengan Tinjauan Akses Pengguna

Perusahaan sering kali menghadapi tantangan saat meninjau akses pengguna dalam keamanan siber. Hal ini dapat mencakup waktu dan sumber daya yang diperlukan, terutama untuk perusahaan besar dengan sistem TI yang kompleks. Kurangnya alat kontrol akses dapat membuat proses menjadi lebih sulit dan rentan terhadap kesalahan. Pergantian karyawan yang tinggi juga dapat memperumit masalah, seperti halnya mengatasi ketidakpuasan dan ketidakpuasan di kalangan karyawan ketika hak akses diubah. Terakhir, memenuhi batasan peraturan untuk mengamankan akses pengguna mempunyai tantangan tersendiri, dengan persyaratan kepatuhan yang berbeda-beda menurut industri dan lokasi.

Daftar Periksa Tinjauan Akses Pengguna

Untuk memastikan efektivitas tinjauan akses pengguna, penting untuk memiliki daftar periksa yang menguraikan prosesnya. Berikut adalah beberapa langkah penting yang harus diambil untuk meninjau akses pengguna secara efektif:

1. Tentukan cakupan tinjauan akses pengguna

Menentukan cakupan proses peninjauan akses pengguna sangatlah penting, karena ini akan membantu Anda melakukan audit dengan cara yang lebih terstruktur, tepat waktu, dan efisien. Sebaiknya prioritaskan akun yang memiliki profil risiko tertinggi, karena ini akan mempercepat proses dan membuatnya lebih efisien. Anda harus memastikan bahwa kebijakan akses pengguna Anda mencakup:

Inventarisasi semua data dan sumber daya yang perlu dilindungi;
Daftar peran pengguna, tanggung jawab, dan kategori otorisasi;
Dokumentasi tentang pengendalian, alat, dan strategi yang digunakan untuk memastikan akses yang aman;
Tindakan administratif yang ada, termasuk perangkat lunak yang digunakan, untuk menerapkan kebijakan tersebut;
Tata cara pemberian, pencabutan, dan peninjauan akses.

2. Hati-hati dengan akun admin bayangan

Akun admin bayangan adalah akun pengguna yang memiliki izin akses administratif, namun biasanya tidak disertakan dalam grup Direktori Aktif (AD) yang memiliki hak istimewa. Penyerang jahat dapat menargetkan akun-akun ini, meningkatkan dan mengeksploitasi hak istimewa mereka jika mereka tidak dipantau dengan cermat. Disarankan untuk menghapus akun admin bayangan sama sekali atau menambahkannya ke grup administratif yang dipantau.

3. Tinjauan yang Dijadwalkan Secara Teratur

Menetapkan jadwal yang konsisten untuk tinjauan akses pengguna sangat penting untuk menjaga keamanan dan integritas Direktori Aktif Anda. Tentukan frekuensi peninjauan yang sesuai dengan organisasi Anda, baik triwulanan, semesteran, atau tahunan. Konsistensi memastikan bahwa tinjauan akses dilakukan secara tepat waktu dan efisien, sehingga meminimalkan potensi risiko.

4. Tinjau Izin dan Akses Pengguna

Mulailah dengan memeriksa secara menyeluruh izin dan akses yang terkait dengan setiap akun pengguna di Direktori Aktif. Verifikasi bahwa pengguna memiliki akses yang sesuai dengan peran dan tanggung jawab mereka dalam organisasi. Identifikasi dan perbaiki setiap contoh hak akses yang berlebihan atau tidak perlu, pastikan bahwa akses tersebut selaras dengan persyaratan pekerjaan.

5. Konfirmasi Justifikasi Akses dan Kebutuhan Bisnis

Penting untuk memvalidasi kebutuhan akses setiap pengguna dengan mengonfirmasi bahwa terdapat justifikasi bisnis yang terdokumentasi atas izin mereka. Hubungi manajer atau kepala departemen untuk memastikan bahwa tingkat akses yang diberikan selaras dengan peran dan tanggung jawab pengguna saat ini. Memiliki kebutuhan bisnis yang jelas akan akses akan membantu dalam membenarkan dan mempertahankan tingkat akses yang sesuai.

6. Pantau Akun Tidak Aktif atau Basi

Identifikasi akun yang tidak aktif selama jangka waktu tertentu dan tinjau akun tersebut selama proses peninjauan akses Anda. Evaluasi apakah akun ini harus dinonaktifkan, dihapus, atau hak aksesnya disesuaikan berdasarkan kebijakan organisasi. Mengatasi akun yang tidak aktif atau usang membantu menjaga lingkungan Direktori Aktif tetap bersih dan aman.

7. Dokumen dan Lacak Temuan Tinjauan

Mendokumentasikan hasil dari setiap tinjauan akses pengguna sangat penting untuk tujuan akuntabilitas dan kepatuhan. Catat tindakan apa pun yang diambil selama peninjauan, seperti modifikasi akses, persetujuan, atau penghapusan. Pertahankan jejak audit yang komprehensif mengenai proses peninjauan, keputusan yang dibuat, dan pengecualian atau eskalasi apa pun. Dokumentasi ini akan menjadi bukti kepatuhan terhadap peraturan dan kebijakan internal selama audit.

Praktik Terbaik Tinjauan Akses Pengguna

Menegakkan pemisahan tugas (SOD)

Menerapkan pemisahan tugas (SOD) sangat penting untuk keamanan organisasi. Praktik-praktik ini membantu mencegah aktivitas penipuan dengan memastikan bahwa tidak ada satu orang pun yang memiliki kendali penuh atas proses-proses penting. SOD melibatkan pemberian tugas kepada individu atau tim yang berbeda untuk menciptakan sistem checks and balances. Hal ini mencegah pelanggaran agar tidak terdeteksi.

Cabut izin mantan karyawan

Sangat penting untuk segera menghapus hak akses bagi karyawan yang keluar untuk menjaga keamanan yang tinggi. Menonaktifkan akun saja tidak cukup; izin mereka harus dihapus sepenuhnya dari sistem dan aplikasi. Memverifikasi pencabutan akses adalah langkah penting dalam mencegah mantan karyawan menggunakan akses yang dipertahankan untuk tujuan jahat. Audit rutin harus fokus pada status akun yang ditautkan ke mantan karyawan, dan catatan terperinci harus disimpan untuk memastikan hak akses mereka dihentikan sepenuhnya.

Terapkan pendekatan zero-trust untuk akun dengan hak istimewa

Untuk mengamankan aset organisasi secara efektif, diperlukan pendekatan yang proaktif dan disesuaikan karena penjahat dunia maya menargetkan akun dengan hak istimewa tinggi. Mengotomatiskan pengelolaan akun ini dapat membantu memastikan konsistensi, mengurangi kesalahan, dan menyederhanakan protokol keamanan. Menerapkan tanggal kedaluwarsa yang telah ditentukan sebelumnya untuk akun juga dapat meningkatkan ketahanan akun dengan mendorong peninjauan rutin terhadap persyaratan akses. Pemantauan berkelanjutan dan evaluasi akses sangat penting dalam filosofi zero-trust untuk akun yang memiliki hak istimewa, memungkinkan identifikasi cepat terhadap aktivitas tidak sah dan memfasilitasi jalur audit.

Menilai kepatuhan terhadap kebijakan keamanan

Memastikan kepatuhan terhadap kebijakan keamanan memerlukan pendekatan strategis yang lebih dari sekadar daftar periksa sederhana. Ini melibatkan identifikasi penyimpangan untuk mendeteksi potensi pelanggaran keamanan atau ancaman orang dalam. Hal ini mencakup pemantauan dan penilaian perubahan akses pengguna, seperti perubahan pada akun dan hak istimewa pengguna, untuk meminimalkan risiko paparan atau penyalahgunaan data yang tidak sah. Dengan secara proaktif melawan potensi ancaman dan merespons aktivitas mencurigakan, kemungkinan terjadinya pelanggaran data atau gangguan operasional yang signifikan dapat dikurangi. Membandingkan kerangka keamanan siber organisasi Anda dengan kebijakan dan pedoman keamanan yang sudah ada juga merupakan hal yang penting. Hal ini membantu mengidentifikasi setiap perbedaan atau penyimpangan dari postur keamanan yang diinginkan dan memungkinkan tindakan perbaikan yang cepat untuk mempertahankan lanskap keamanan yang kuat.

Dokumentasikan proses peninjauan

Sangat penting untuk mendokumentasikan proses peninjauan akses pengguna untuk menjaga keamanan dan efisiensi dalam suatu organisasi. Proses ini dengan cermat memeriksa hak, izin, dan hak istimewa pengguna sehubungan dengan aset digital seperti aplikasi dan database. Tujuan utamanya adalah untuk mengidentifikasi segala inkonsistensi, potensi risiko keamanan, atau inefisiensi operasional dalam sistem manajemen akses saat ini.

Standar, Hukum, dan Peraturan apa yang memerlukan peninjauan akses pengguna?

Ada beberapa standar, undang-undang, dan peraturan yang memerlukan tinjauan akses pengguna untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi dan sistem sensitif. Beberapa yang menonjol adalah:

Peraturan Perlindungan Data Umum (GDPR): GDPR menetapkan peraturan untuk privasi dan perlindungan data di Uni Eropa (UE). Hal ini mengamanatkan bahwa organisasi secara berkala meninjau hak akses dan izin untuk memastikan kepatuhan terhadap prinsip hak istimewa paling rendah.

Undang-undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA): HIPAA menetapkan peraturan untuk perlindungan informasi kesehatan pasien di Amerika Serikat. Hal ini mengharuskan organisasi layanan kesehatan untuk melakukan tinjauan akses pengguna secara berkala untuk memastikan bahwa hanya individu yang berwenang yang memiliki akses ke catatan medis sensitif.

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS): PCI DSS adalah standar keamanan untuk organisasi yang menangani informasi kartu kredit. Hal ini memerlukan tinjauan akses pengguna secara teratur untuk mencegah akses tidak sah ke data pemegang kartu.

Sarbanes-Oxley Act (SOX): SOX adalah undang-undang federal AS yang menetapkan peraturan untuk pelaporan keuangan dan tata kelola perusahaan. Hal ini memerlukan tinjauan akses pengguna secara berkala untuk memastikan keakuratan dan integritas pelaporan keuangan serta mencegah praktik penipuan.

Publikasi Khusus Institut Standar dan Teknologi Nasional (NIST) 800-53: Publikasi ini memberikan pedoman untuk mengamankan sistem informasi federal di Amerika Serikat. Ini merekomendasikan tinjauan akses pengguna secara teratur sebagai kontrol utama untuk mengidentifikasi dan memulihkan akses tidak sah atau hak istimewa yang berlebihan.

ISO/IEC 27001: Standar internasional ini menguraikan persyaratan untuk sistem manajemen keamanan informasi (ISMS). Hal ini menekankan perlunya tinjauan akses pengguna secara teratur untuk menjaga kerahasiaan, integritas, dan ketersediaan aset informasi.