Oleh David Morimanno, Direktur Teknologi Manajemen Identitas dan Akses di Xalient
Pengurangan biaya merupakan prioritas utama bagi banyak organisasi, yang mengarah pada penerapan berbagai teknologi untuk mengotomatiskan tugas dan meningkatkan efisiensi demi penghematan biaya. Namun, meminimalkan risiko juga harus menjadi tujuan utama bagi setiap bisnis.
Untuk mencapai hal ini, perusahaan-perusahaan tengah mempertimbangkan Tata Kelola dan Administrasi Identitas (IGA), yang merupakan kerangka kebijakan dan solusi keamanan untuk mengotomatiskan pembuatan, pengelolaan, dan sertifikasi akun pengguna, peran, dan hak akses. Hal ini memastikan konsistensi, efisiensi, dan peningkatan kesadaran, yang semuanya penting untuk mengurangi risiko keamanan. Namun, penerapan IGA sering kali dianggap sebagai tugas yang melelahkan yang ditinggalkan sebelum bisnis merasakan manfaat yang ditawarkannya.
Persepsi Versus Realitas Otomasi
Seringkali mereka yang berada di posisi kepemimpinan percaya bahwa solusi otomatis seperti IGA akan membantu mengatasi kekurangan keterampilan dan memungkinkan mereka untuk melanjutkan bisnis seperti biasa dengan jumlah staf yang berkurang. Namun, kenyataannya sangat berbeda. Alih-alih beroperasi dengan lebih sedikit karyawan, solusi otomatis sering kali memerlukan realokasi keterampilan ke area lain. IGA mengotomatiskan berbagai fungsi dan menghilangkan kebutuhan akan campur tangan manusia dalam banyak tugas manual. Hal ini terutama berlaku di ruang 'pekerja yang bergabung, pindah, keluar', di mana IGA telah terbukti bermanfaat dalam menyiapkan, menghapus, atau membatasi akses ke file, aplikasi, dan data untuk karyawan baru, karyawan yang berganti peran, atau mereka yang meninggalkan organisasi.
Salah satu kelemahan IGA adalah keterbatasan kesadarannya terhadap lingkungan yang telah diberikan aksesnya. Jika tidak dikonfigurasi dengan benar dan diberikan visibilitas di semua lingkungan yang relevan, IGA mungkin tidak dapat mencegah akses ke file dan data yang tidak diketahuinya. Dengan demikian, IGA memerlukan keahlian untuk mengevaluasi lanskap dan menentukan di mana autentikasi dan otorisasi terjadi di lokasi. Selain itu, IGA bergantung pada ekosistem yang mencakup Cloud Infrastructure Entitlement Management (CIEM) untuk menjelajahi cloud dan jaringan, serta Hardware Asset Management (HAM) dan Software Asset Management (SAM) untuk memberikan wawasan yang lebih luas tentang manajemen akses melalui inventaris aplikasi. Ekosistem ini membantu mengungkap elemen yang tidak diketahui dan memberikan kesadaran penting tentang lingkungan, karena melindungi apa yang tidak diketahui sering kali menjadi tantangan.
Namun, penerapan IGA memerlukan investasi awal berupa waktu dan uang, tetapi tidak mengurangi jumlah staf. Hal ini dapat menimbulkan persepsi yang salah bahwa penerapan IGA mahal dan tidak bermanfaat.
Sertifikasi Akses dan Manajemen Risiko
Penting untuk memahami tujuan bisnis dalam hal tata kelola dan aksesibilitas serta mengevaluasi upayanya untuk mencapai tujuan tersebut. Biasanya, organisasi mengelola proses 'bergabung, pindah, keluar' secara manual yang tidak hanya memakan waktu tetapi juga merupakan proses yang cacat. Sering kali, tim yang bertanggung jawab untuk mengelola kontrol akses selama transisi karyawan begitu sibuk dengan penetapan sertifikasi akses secara manual sehingga mereka tidak dapat fokus pada masalah keamanan lain dalam bisnis. Hal ini menimbulkan risiko yang lebih besar bagi organisasi daripada masalah aksesibilitas dan tata kelola.
Untuk mengatasi hal ini, perusahaan perlu mengadopsi pendekatan yang sistematis dan strategis untuk menerapkan IGA. Pendekatan ini meliputi evaluasi situasi terkini, pendokumentasian proses dan tanggung jawab, serta pemahaman tindakan dan alasan di baliknya. Dengan wawasan ini, perusahaan dapat menentukan cara menyesuaikan proses, menyelaraskan kembali personel dan keterampilan, serta meningkatkan efisiensi dengan bantuan IGA. Pendekatan ini mengurangi potensi risiko, memberikan visibilitas ke dalam akses yang diberikan, dan memfasilitasi pengelolaan proses yang lebih baik, yang mengarah pada peningkatan efisiensi dan pengurangan risiko keamanan.
Hal ini berdampak langsung pada proses orientasi staf dengan cara yang lebih cepat dan lebih konsisten. Bagi staf yang pindah peran, proses yang lebih rumit karena variabel terkait, akses secara otomatis ditetapkan ulang berdasarkan persyaratan peran baru mereka. Tidak seperti sebelumnya, di mana mereka akan mempertahankan akses lama mereka, orang yang pindah akan memiliki akses khusus untuk pekerjaan baru mereka. Jika karyawan meninggalkan perusahaan, semua akses akan dihentikan secara otomatis dan dengan keyakinan. Sayangnya, hal ini tidak selalu terjadi karena perusahaan sering kali lalai mencabut akses segera saat karyawan keluar, sehingga menimbulkan risiko keamanan yang signifikan bagi organisasi.
Menerapkan Tata Kelola yang Tepat
Dengan IGA, perusahaan berada pada posisi yang lebih baik untuk memenuhi persyaratan kepatuhan dan tata kelola. IGA menggunakan AI untuk menyederhanakan proses dengan mengotomatiskan sertifikasi akses dan menambahkan lapisan kecerdasan yang memberikan wawasan tentang hak. Ini menciptakan lapisan penerjemahan yang menjelaskan siapa yang memiliki akses dan apa. Biasanya, proses sertifikasi akses sangat rumit dan jarang linier, lebih menyerupai jaring laba-laba daripada langkah sederhana. Manajer perlu menilai setiap orang dalam organisasi berdasarkan akses mereka dan menyetujuinya secara teratur, tetapi karena prioritas lain, aktivitas ini mungkin tidak mendapatkan perhatian yang diperlukan untuk audit dan tinjauan penuh. Akibatnya, sering kali mendapat stempel persetujuan tanpa pemeriksaan menyeluruh.
Agar implementasi IGA lebih efektif, implementasi tersebut harus selaras dengan Privileged Access Management (PAM) sebagai bagian dari kerangka kerja Keamanan Identitas yang lebih luas. Penting untuk dicatat bahwa tidak ada urutan yang ditetapkan sebelumnya tentang penerapan solusi ini, karena setiap perusahaan memiliki persyaratan dan kasus penggunaan spesifik yang akan menentukan solusi mana yang akan diterapkan terlebih dahulu. Melibatkan para ahli untuk menilai persyaratan, memperoleh pemahaman tentang tujuan bisnis, dan menyusun peta jalan akan membantu perusahaan memutuskan pendekatan yang akan diambil saat memulai perjalanan Keamanan Identitas.
Baik memulai dengan PAM atau IGA, organisasi tidak boleh mencoba menyelesaikan penerapan satu solusi sebelum beralih ke solusi berikutnya, karena solusi ini harus menjadi bagian dari program dan ekosistem menyeluruh, yang bekerja bersama sebagai bagian dari lanskap Keamanan Identitas yang lebih luas.