Sumber kontrol

- [Instruktur] Mari kita lihat beberapa sumber khusus untuk kontrol keamanan informasi. Mereka akan menjadi bahan baku untuk memenuhi tujuan program keamanan informasi Anda dan mengelola risiko. Sebelumnya, kami melihat ada banyak mandat kepatuhan yang bisa Anda dapatkan dari kontrol Anda. Beberapa mandat, seperti Sarbanes-Oxley Act of 2002 memberi tahu Anda apa yang harus dilakukan, tetapi tidak bagaimana melakukannya. Misalnya, Bagian 404 mengatakan perusahaan publik harus mengajukan laporan tahunan tentang efektivitas struktur pengendalian internal dan prosedur pelaporan keuangan mereka. Detail implementasi terserah Anda. Kontrol mana yang akan Anda terapkan? Bagaimana Anda akan menilai mereka? Sebaliknya, Standar Keamanan Data Industri Kartu Pembayaran memberi tahu Anda dengan sangat rinci apa yang harus dilakukan untuk melindungi data kartu kredit. Misalnya, hal pertama yang diperintahkan standar untuk Anda lakukan adalah membangun dan memelihara jaringan dan sistem yang aman. Ini kemudian memberi Anda persyaratan luas untuk melakukan ini. Yang pertama menyatakan, "instal dan pelihara konfigurasi firewall untuk melindungi data pemegang kartu," maka ada lebih dari 15 sub-persyaratan khusus, seperti persyaratan 1.2.3, yang seperti yang Anda lihat, cukup panjang dan kompleks. Dalam kedua kasus tersebut, mandat kepatuhan tidak boleh menjadi sumber kontrol utama untuk program Anda. Mereka terlalu sempit fokus pada bidang minat spesifik mereka. Mereka tidak secara langsung memenuhi semua harapan pelanggan Anda dan mereka tidak dirancang untuk sepenuhnya mendukung eksekutif dan dewan direksi Anda dan mereka mungkin tidak membuat Anda secara luas tahan terhadap serangan dunia maya dan kegagalan dunia maya. Sumber kontrol yang lebih baik akan menjadi salah satu standar keamanan informasi yang lebih banyak digunakan. Kita akan melihat lima semuanya bersama-sama dalam video ini. Mari kita mulai dengan melihat tiga yang telah diterbitkan oleh organisasi yang mengembangkan konten itu sendiri. Di muka, Anda perlu tahu bahwa meskipun siapa pun dapat menggunakan ketiga standar ini, mereka bekerja paling baik di perusahaan besar dan sementara masing-masing standar ini menyeluruh, mereka juga bisa rumit. Yang pertama adalah COBIT, yang merupakan singkatan dari Control Objectives for Information Technologies. COBIT berorientasi bisnis. Itu dibuat untuk manajemen dan tata kelola teknologi informasi. Kerangka dasarnya gratis secara online, tetapi Anda harus membayar biaya lisensi untuk mendapatkan akses ke konten premium. Ini diterbitkan oleh organisasi ISACA independen nirlaba. Terakhir, COBIT mudah dipahami dan diikuti oleh analis manajemen dan keamanan informasi. Berikutnya adalah Publikasi Khusus NIST 800-53, Kontrol Keamanan dan Privasi untuk Sistem dan Organisasi Informasi Federal. Standar ini menyediakan katalog kontrol keamanan dan metodologi untuk memilih yang sesuai untuk Anda. Ini terutama ditujukan untuk sistem informasi federal AS, kecuali yang terkait dengan keamanan nasional. Ini diterbitkan oleh National Institute of Standards and Technology, yang merupakan badan non-regulasi dari Departemen Perdagangan Amerika Serikat. Ini tersedia secara bebas untuk siapa saja dan memiliki sejumlah besar kontrol untuk dipilih, tetapi ditujukan untuk sistem pemerintah, yang mungkin menyulitkan organisasi kecil dan menengah untuk digunakan. Standar Internasional ISO 27002 adalah katalog kontrol yang dapat Anda pilih berdasarkan kebutuhan Anda. Standar ini juga berisi perangkat implementasi untuk ISO 27001, yang menjelaskan cara membangun sistem manajemen keamanan informasi. Standar ini adalah pilihan yang baik jika Anda melakukan bisnis secara global dan perlu meyakinkan pelanggan Anda tentang praktik keamanan informasi Anda. Untuk menggunakan standar ini, Anda harus membeli lisensi untuk setiap orang yang membutuhkan salinan dokumen ISO. Dengan juga mengadopsi standar 27001, Anda dapat mengejar sertifikasi, yang dapat meningkatkan kematangan program Anda dan menyediakan bisnis Anda dengan alat pemasaran yang berguna. Sumber kontrol lain yang baik adalah dari standar konsensus keamanan informasi. Ini telah dibuat melalui proses yang melibatkan banyak pemangku kepentingan, sebagian besar praktisi keamanan informasi dari luar organisasi penerbitan. Mari kita lihat dua yang paling populer. Pertama, Kontrol Keamanan Kritis untuk pertahanan siber yang efektif, diterbitkan oleh Center for Internet Security. 20 kontrol keamanan dalam daftar ini dipilih karena mereka adalah yang paling efektif dalam menghentikan serangan dunia maya. Publikasi ini awalnya dikembangkan oleh SANS Institute sebagai SANS Top 20. Kepemilikan ditransfer ke Pusat Keamanan Internet nirlaba pada tahun 2015. Kontrol ini sangat praktis dan efektif, tetapi memiliki beberapa kelemahan. Daftar ini hampir seluruhnya teknis dengan relatif sedikit tentang orang dan proses dan dapat menelan biaya ratusan dan ribuan dolar untuk mengadopsi semuanya. Sayangnya, kontrol tidak memiliki metode bawaan untuk mengukur keberhasilan. Standar konsensus kedua yang harus kita tinjau adalah Kerangka Kerja Keamanan Siber NIST. Ini memberikan panduan tentang bagaimana organisasi sektor swasta dapat menilai dan meningkatkan kemampuan mereka untuk mencegah, mendeteksi, dan menanggapi serangan dunia maya. Itu dibuat oleh tim ahli lintas fungsi dari pemerintah dan industri swasta. Itu diterbitkan oleh NIST pada tahun 2014. Ini awalnya ditujukan untuk operator infrastruktur penting, seperti pembangkit listrik dan sistem distribusi air, namun, hari ini digunakan oleh berbagai bisnis dan organisasi. Standar ini gratis untuk digunakan siapa saja. Ini diatur di sekitar ketahanan dunia maya dan dapat menurunkan atau meningkatkan, tergantung pada ukuran organisasi. Berdasarkan panduan dan standar, sulit untuk mengukur seberapa baik kontrol diterapkan dan itu mungkin bukan pilihan terbaik jika Anda melakukan bisnis secara global dan perlu meyakinkan non-AS Anda. pelanggan bahwa Anda memiliki praktik keamanan informasi yang kuat.