Penerapan Keamanan Cloud Sesuai ISO 27001:2022
Contents
Menurut hasil survei IDC pada tahun 2022, 81% organisasi di Indonesia diprediksi akan menggunakan layanan cloud untuk menyimpan dan/atau menjalankan bisnisnya di tahun 2023. Angka ini menunjukkan peningkatan yang signifikan dibandingkan tahun 2020, di mana hanya 58% organisasi di Indonesia yang menggunakan layanan cloud.
Tanpa tindakan yang tepat untuk meningkatkan keamanan di cloud, perusahaan akan terpapar risiko keamanan yang cukup besar ketika mengelola data pelanggan mereka. Kontrol 5.23 “Keamanan informasi untuk penggunaan layanan cloud” yang baru dalam standar ISO/IEC 27001:2022 menjelaskan langkah-langkah keamanan yang memungkinkan. Dalam artikel berikut, kami menunjukkan apa saja yang tercakup dalam ukuran keamanan penggunaan layanan cloud.
Poin pembahasan
- Apa itu cloud?
- Peningkatan keamanan informasi
- Penerapan kontrol 5.23
- Pengamanan pada kontrak perjanjian
Apa itu cloud?
Layanan cloud, atau komputasi awan, adalah sebuah teknologi yang memungkinkan pengguna untuk mengakses sumber daya komputasi seperti server, penyimpanan data, database, jaringan, dan perangkat lunak melalui internet. Layanan ini ibarat sebuah “jaringan” yang menyediakan berbagai layanan dan infrastruktur IT yang dapat digunakan oleh individu maupun perusahaan.
Jenis-jenis Layanan Cloud:
Software as a Service (SaaS): Layanan ini menyediakan akses ke software melalui internet. Contohnya adalah Microsoft Office 365 dan Salesforce.
Platform as a Service (PaaS): Layanan ini menyediakan platform untuk mengembangkan dan menjalankan aplikasi. Contohnya adalah Google App Engine dan Amazon Web Services (AWS).
Infrastructure as a Service (IaaS): Layanan ini menyediakan infrastruktur IT, seperti server, storage, dan networking. Contohnya adalah AWS dan Microsoft Azure.
Contoh Penggunaan Layanan Cloud:
Penyimpanan data: Layanan cloud dapat digunakan untuk menyimpan data, seperti foto, video, dan dokumen.
Pencadangan data: Layanan cloud dapat digunakan untuk mencadangkan data penting agar tidak hilang jika terjadi kerusakan pada perangkat keras.
Mengembangkan aplikasi: Layanan cloud dapat digunakan untuk mengembangkan dan menjalankan aplikasi.
Bekerja sama: Layanan cloud dapat digunakan untuk bekerja sama dengan orang lain secara online.
Peningkatan keamanan informasi
Tindakan pencegahan baru ini berfungsi untuk memastikan keamanan informasi saat menggunakan layanan cloud. Mengingat beragamnya layanan yang ditawarkan, Kontrol 5.23 yang baru di Annex A mensyaratkan kepatuhan dengan “pendekatan khusus subjek”.
Hal ini dimaksudkan untuk mendorong perusahaan membuat kebijakan layanan cloud yang disesuaikan dengan fungsi bisnis masing-masing. Dibandingkan dengan kebijakan umum yang berlaku secara menyeluruh untuk penggunaan layanan cloud yang aman, persyaratan kepatuhan dapat ditangani dengan cara yang lebih terperinci.
Penerapan kontrol 5.23
Keamanan informasi untuk penggunaan layanan cloud merupakan langkah yang baru diperkenalkan dalam Annex A ISO 27001:2022. Pada versi 2013, layanan cloud umumnya berada di area hubungan pemasok atau vendor.
Karena meningkatnya penggunaan dan perkembangan yang sangat besar di sektor cloud, masuk akal untuk mengamankan layanan cloud secara sistematis dengan ukuran keamanan informasi independen. Namun demikian, kontrol A.5.23 harus dikoordinasikan secara erat dengan tindakan A.5.21 dan A.5.22, tentang keamanan informasi dalam rantai pasokan TIK dan manajemen layanan pemasok.
Berkenaan dengan keamanan informasi, perusahaan harus mendefinisikan sejumlah aspek untuk penerapan Kontrol 5.23. Ini termasuk semua persyaratan yang relevan, kriteria pemilihan, dan area aplikasi yang terkait dengan penggunaan layanan cloud. Penjelasan rinci tentang peran dan tanggung jawab yang relevan menentukan bagaimana layanan ini digunakan dan dikelola dalam organisasi.
Berikut beberapa langkah penerapan kontrol 5.23:
Penilaian Risiko:
- Lakukan penilaian risiko untuk mengidentifikasi aset dan informasi yang akan disimpan atau diproses di layanan cloud.
- Evaluasi risiko keamanan yang terkait dengan penggunaan layanan cloud, termasuk kerahasiaan, integritas, dan ketersediaan data.
Pemilihan Penyedia Layanan Cloud:
- Pilih penyedia layanan cloud yang memiliki tingkat keamanan yang memadai dan sesuai dengan kebutuhan organisasi.
- Lakukan due diligence untuk menilai track record keamanan dan kepatuhan penyedia layanan cloud.
Kontrak dan Perjanjian Layanan:
- Pastikan kontrak layanan cloud secara jelas mendefinisikan tanggung jawab keamanan antara organisasi dan penyedia layanan.
- Perhatikan aspek seperti kontrol akses, enkripsi data, audit, dan pemulihan bencana.
Implementasi Kontrol Keamanan:
- Terapkan kontrol keamanan yang sesuai untuk melindungi data dan aset organisasi di layanan cloud.
- Kontrol ini dapat mencakup enkripsi data, kontrol akses, audit, dan pemantauan keamanan.
Manajemen Risiko Berkelanjutan:
- Lakukan pemantauan dan tinjauan berkala terhadap risiko keamanan yang terkait dengan penggunaan layanan cloud.
- Lakukan audit dan pengujian penetrasi untuk memastikan keamanan layanan cloud.
Pengamanan Pada Kontrak Perjanjian
Desain kontrak layanan cloud sangat penting bagi perusahaan pelanggan untuk menetapkan parameter kerangka kerja yang penting dan memberikan perlindungan hukum. Namun, perjanjian layanan cloud sering kali sudah ditentukan sebelumnya dan tidak dapat dinegosiasikan. Dengan mengingat hal ini, perusahaan harus memberikan perhatian khusus pada perjanjian ini dan memeriksanya dengan cermat. Dengan cara ini, mereka memastikan bahwa persyaratan operasional penting untuk tujuan perlindungan keamanan informasi “kerahasiaan, integritas, ketersediaan” dan pemrosesan informasi terpenuhi.
Untuk memastikan hal ini, layanan cloud harus menyediakan solusi berdasarkan standar yang diakui industri untuk arsitektur dan infrastruktur. Layanan ini harus memiliki kontrol akses yang memenuhi persyaratan keamanan dan mencakup solusi untuk pemantauan dan perlindungan terhadap malware. Harus ditetapkan secara kontraktual bahwa pemrosesan dan penyimpanan informasi sensitif hanya diizinkan di lokasi yang diizinkan atau dalam yurisdiksi tertentu. Hal ini penting untuk infrastruktur penting, misalnya.
Penyedia layanan harus memberikan dukungan yang ditargetkan jika terjadi insiden keamanan di lingkungan layanan cloud dan menawarkan dukungan umum dalam pengumpulan bukti digital. Persyaratan keamanan juga harus dipenuhi ketika layanan diteruskan ke penyedia layanan eksternal.
Jika sebuah perusahaan ingin meninggalkan sebuah layanan, penyedia layanan harus tetap berkomitmen untuk mendukung dan menyediakan layanan untuk jangka waktu yang wajar. Oleh karena itu, mereka juga harus menyediakan salinan cadangan data dan informasi konfigurasi serta mengelolanya dengan aman jika perlu. Informasi seperti file konfigurasi, kode sumber, dan data sensitif yang dimiliki oleh organisasi harus diberikan atas permintaan atau dikembalikan setelah penghentian layanan.
Pelanggan layanan cloud harus mempertimbangkan, sejalan dengan persyaratan keamanannya sendiri, apakah perjanjian harus mencakup kewajiban untuk menginformasikan jika penyedia cloud membuat perubahan signifikan. Ini termasuk:
- Perubahan pada infrastruktur teknis yang memengaruhi penawaran layanan.
- Pemrosesan atau penyimpanan informasi di yurisdiksi geografis atau hukum yang baru.
Konsultasi dan Sertifikasi ISO 27001:2022
Seperti yang telah dijabarkan di atas tentang pengelolaan cloud, yang mana itu adalah satu dari sekian banyak langkah dalam mengamankan informasi. Osi Konsultan berpengalaman dalam mendampingi pemenuhan persyaratan hingga sertifikasi ISO 27001:2022 siap mendampingi Anda dalam proses sertifikasi standar ini.