Bagaimana Anda Mengamankan Setiap Identitas di Jaringan Anda – Ketika organisasi di seluruh dunia terus mengoptimalkan lingkungan kerja hybrid mereka, banyak yang berjuang untuk tetap produktif tanpa mengorbankan keamanan.
Bagaimana Anda Mengamankan Setiap Identitas di Jaringan Anda
Baca Juga : Kredensial yang Dapat Diverifikasi Adalah Kunci Masa Depan Privasi Online
idecosystem – Dalam wawancara dengan Help Net Security ini, Ben King, Chief Security Officer EMEA / APAC, Okta , berbicara tentang tantangan otentikasi yang terkait dengan lingkungan kerja hybrid, status otentikasi tanpa kata sandi, dan banyak lagi.
Lingkungan kerja campuran dan ketergantungan yang meningkat pada kontraktor telah membuka risiko baru bagi organisasi. Apa tantangan utama dalam mengautentikasi karyawan, mitra, dan kontraktor?
Lingkungan kerja jarak jauh atau hibrid bukanlah hal baru, juga tidak menggunakan kontraktor untuk menambah kemampuan secara cepat dan fleksibel. Apa yang telah kita saksikan pasca pandemi adalah percepatan transformasi sosial, teknologi, dan digital yang ada yang menghasilkan perubahan selama bertahun-tahun yang disampaikan dalam beberapa minggu atau bulan.
Atas nama kelangsungan bisnis, organisasi telah dipaksa untuk bereaksi dengan cepat, tanpa perencanaan yang tepat, untuk memastikan kelangsungan hidup. Dalam banyak kasus, hal ini menimbulkan utang teknis dan keamanan yang perlu diselesaikan sebelum organisasi dapat merencanakan masa depan mereka dengan baik.
Ketika datang ke keamanan, ada banyak tantangan di atas pikiran. Dalam hal identitas dan akses:
- Bagaimana kami mengautentikasi karyawan jarak jauh atau pengguna eksternal? Faktor apa yang paling aman untuk persyaratan akses kami? Konteks apa yang dapat kita kumpulkan untuk memungkinkan keputusan ini dengan lebih baik?
- Bagaimana kami menyediakan, mengelola, dan mengautentikasi akses ini dengan aman tanpa hambatan?
- Bagaimana kami mengatur akses istimewa?
- Bagaimana kami menginterogasi dan menggunakan apa yang kami ketahui tentang perangkat dan konteks pengguna untuk membantu kami membuat keputusan akses? Apakah perangkat akses diketahui, dikelola, dan aman?
- Bagaimana kita mengatur akses ke sumber daya sensitif? Apakah ini berbasis risiko? Berbasis peran? Seberapa sering kami mengaudit akses ini?
Dalam hal orang dan proses:
- Bagaimana kami mengelola joiner, mover, dan leavers dari jarak jauh? Bagaimana kita bisa mengotomatisasi ini?
- Apakah kebijakan keamanan perlu diubah? Bagaimana cara terbaik kita mengomunikasikannya?
- Apakah pelatihan kesadaran yang kami berikan efektif untuk memungkinkan orang-orang kami?
- Apakah staf jarak jauh masih berada di negara tempat mereka bekerja? Dapatkah mereka melintasi perbatasan dan apakah ini menimbulkan implikasi hukum atau peraturan?
Pertanyaan-pertanyaan ini cukup sulit untuk tim internal. Menambahkan mitra atau kontraktor ke dalam campuran berarti lebih sedikit kontrol langsung, sehingga memerlukan lebih banyak uji tuntas di awal:
Bagaimana kita menilai kontraktor, pemasok, dan mitra? Seberapa sering kita meninjau kembali penilaian ini?
Bisakah kita mengatur perangkat mereka? Bagaimana cara mengamankannya?
Saran apa yang akan Anda berikan kepada CISO perusahaan yang ingin meningkatkan keamanan aplikasi unggulan yang menghadap pelanggan sambil tetap mempertimbangkan pengalaman pengguna?
Kepercayaan digital harus menjadi perhatian utama bagi bisnis pascapandemi karena perilaku konsumen telah berubah dalam jangka panjang. Fokusnya adalah pada konsumsi digital sekarang lebih dari sebelumnya. Kepercayaan digital sulit dibangun tetapi mudah hilang, karena konsumen dan media sangat sadar akan aktivitas kriminal yang menargetkan mereka dan merek yang mereka ikuti.
Dalam Indeks Kepercayaan Digital Okta yang baru-baru ini dirilis, 88% responden di Inggris tidak mungkin membeli dari merek online yang tidak mereka percayai. Sentimen ini tidak unik di Inggris Raya, dan memiliki skor yang sama di seluruh geografi. Yang terpenting, angka ini memberatkan organisasi yang tidak menganggap serius kepercayaan digital. Sebuah insiden yang memengaruhi kepercayaan, seperti pelanggaran data, membuat konsumen siap membawa bisnis mereka ke tempat lain di pasar yang sangat kompetitif.
Konsumen menghargai keamanan dan privasi mereka, dan menghargai transparansi dan kontrol dari merek online yang berinteraksi dengan mereka. Sering dianggap bertentangan dengan keamanan, konsumen mengharapkan pengalaman digital yang mulus pada saat yang bersamaan.
Tapi ini tidak harus menjadi masalah yang sulit untuk dipecahkan, dan jawabannya ada dua,
- Mengamankan saluran dan transaksi online, sambil
- Meminimalkan gesekan untuk menciptakan pengalaman pelanggan yang mulus
Untuk membangun kepercayaan digital, praktik keamanan harus transparan agar konsumen dapat melihat tindakan yang diambil organisasi untuk melindungi data mereka. Organisasi harus menunjukkan bahwa mereka adalah penjaga yang dapat dipercaya. Secara paralel, konsumen menghargai fitur tambahan yang menunjukkan postur keamanan yang responsif dan proaktif seperti kemampuan untuk mengirimkan laporan aktivitas yang mencurigakan, dan organisasi yang mengonfirmasi permintaan akses dari perangkat baru melalui email atau saluran tepercaya lainnya.
Kunci untuk pengalaman yang mulus adalah menggunakan sistem masuk tunggal ( SSO ) untuk memungkinkan pengguna mengakses fungsionalitas menggunakan penyedia identitas pilihan mereka, mengintegrasikan akses mereka sepanjang perjalanan online mereka. Akses luas terhadap satu set kredensial memang membawa risiko tambahan, jadi harus diamankan dengan otentikasi multi faktor ( MFA ) untuk memastikan akses itu sah.
Kunci untuk meminimalkan gesekan adalah mendefinisikan dan mengoperasikan pengalaman MFA adaptif berbasis risiko, sehingga akses ke sumber daya berisiko rendah adalah dasar untuk otentikasi, sementara sumber daya bernilai lebih tinggi memerlukan peningkatan keamanan untuk membuktikan identitas sebelum akses diberikan.
Sebagai contoh, pengguna biasanya tidak keberatan harus mengautentikasi dengan banyak faktor untuk bertransaksi perbankan online mereka – ini sebenarnya membangun kepercayaan digital bagi konsumen. Tetapi, jika mereka masuk, menavigasi ke bagian lain dari situs web dan diminta untuk masuk lagi, mereka akan cepat frustrasi.
Apa pendapat Anda tentang otentikasi tanpa kata sandi? Kami melihat pendapat yang kuat di kedua sisi.
Banyak organisasi sudah beroperasi tanpa kata sandi . Bahkan, Bill Gates memprediksi kematian password pada tahun 2004.
Mengaktifkan operasi tanpa kata sandi mengharuskan faktor lain yang lebih kuat digunakan. Laporan Investigasi Pelanggaran Data 2021 Verizon mengidentifikasi 61% dari semua pelanggaran melibatkan kredensial yang dicuri. Jika kita dapat menghapus atau mengurangi ketergantungan kita pada kredensial yang mudah dicuri itu, kita akan berusaha keras untuk menghentikan pelanggaran tersebut, atau setidaknya membuatnya jauh lebih sulit bagi penjahat untuk direkayasa.
Kata sandi rentan untuk ditulis, umum digunakan, dibagikan, digunakan kembali, phishing, direkayasa secara sosial, dicuri, secara paksa – atau dilupakan begitu saja.
Yang penting di sini bukanlah kata sandi, atau kekurangannya, melainkan kombinasi faktor-faktor yang menciptakan perlindungan yang kuat. Kata sandi, frasa sandi, atau pin dapat tetap menjadi faktor, ‘sesuatu yang saya tahu’, tetapi perlu digunakan bersama dengan faktor lain untuk meningkatkan perlindungan – ‘sesuatu yang saya miliki’ dan ‘sesuatu yang saya miliki’. Dengan faktor yang cukup kuat yang terdaftar, kebutuhan akan kata sandi dikurangi atau dihapus, menghasilkan manfaat bagi pengalaman pengguna, meja layanan TI, dan hasil keamanan secara bersamaan.
Keamanan harus ada untuk melindungi semua orang, terutama yang lebih rentan di masyarakat. Kita perlu menyadari bahwa tidak semua orang memiliki akses ke semua faktor yang dapat kita usulkan. Tidak semua orang memiliki pemindai sidik jari di ponsel mereka, kamera di desktop mereka, ponsel cerdas yang dapat mengaktifkan pemberitahuan push atau token perangkat keras yang tersedia. Jadi, kita perlu mengembangkan solusi yang cocok untuk semua orang, itulah sebabnya variasi luas dari faktor otentikasi itu penting.
Melihat masa depan, akankah kita dapat mengamankan setiap identitas secara online? Seberapa dekat kita bisa mencapai tujuan itu?
Sama seperti organisasi dan tim keamanan mereka memahami semakin pentingnya identitas di dunia terpencil atau hibrida, begitu pula para penjahat. Serangan yang ditargetkan untuk mencuri, memanipulasi, atau menyamar sebagai identitas meningkat dan tren ini akan terus berlanjut. Mengamankan setiap identitas secara online mungkin tetap menjadi tujuan aspirasional, tetapi dengan berinvestasi cukup banyak secara kolektif dalam perlindungan dasar terhadap serangan berbasis kredensial, kita dapat membuat kelas serangan ini kurang efisien atau menguntungkan.
Organisasi telah membuat kemajuan dalam mengamankan tenaga kerja dan pelanggan mereka secara online. Keamanan yang mengutamakan identitas adalah persyaratan untuk sukses di dunia pascapandemi. Demikian juga pemerintah secara kolektif bergerak menuju modernisasi dan mengamankan identitas warga negara dengan kecepatan yang wajar, dalam batas-batas nasional (atau di dalam UE misalnya).
Jika otoritas pengatur dapat menyelaraskan norma-norma global dalam hal ekspektasi privasi data dan persyaratan pengetahuan pelanggan Anda untuk media sosial, cryptocurrency, transaksi lintas batas dan dunia maya, dunia akan menjadi tempat yang lebih sederhana dan lebih aman. Seperti semua perubahan yang baik, ini akan memakan waktu – dan kontrol regulasi tetap menjadi salah satu bagian dari teka-teki yang jauh lebih besar.