Apa yang dimaksud dengan kontrol keamanan?

Apa yang dimaksud dengan kontrol keamanan?

Kontrol keamanan adalah parameter yang diterapkan untuk melindungi berbagai bentuk data dan infrastruktur yang penting bagi organisasi. Kontrol keamanan mengacu pada semua jenis perlindungan atau penanggulangan yang digunakan untuk menghindari, deteksi, menangkal, atau meminimalkan risiko keamanan terhadap properti fisik, informasi, sistem komputer, atau aset lainnya.

Mengingat tingkat serangan siber yang terus meningkat, kontrol keamanan data saat ini menjadi lebih penting dari sebelumnya. Menurut studi Clark School di University of Maryland, serangan keamanan siber di AS sekarang terjadi setiap 39 detik, yang memengaruhi satu dari tiga orang Amerika setiap tahunnya. Lebih lanjut, 43% dari serangan ini menargetkan usaha kecil. Menurut Biaya Pelanggaran Data 2025, antara Maret 2024 dan Februari 2025 biaya rata-rata pelanggaran data di Amerika Serikat adalah USD 10,22 juta, tertinggi sepanjang masa untuk wilayah mana pun selama 20 tahun penerbitan laporan ini.

Pada saat yang sama, peraturan privasi data terus berkembang, sehingga penting bagi bisnis untuk menopang kebijakan perlindungan data mereka atau menghadapi potensi denda. Uni Eropa menerapkan aturan Peraturan Perlindungan Data Umum (GDPR) yang ketat pada tahun 2018. Di AS, Undang-Undang Privasi Konsumen California mulai berlaku pada 1 Januari 2020, dengan beberapa negara bagian lain saat ini sedang mempertimbangkan langkah-langkah serupa. Peraturan ini biasanya mencakup hukuman berat bagi perusahaan yang tidak memenuhi persyaratan. 

Buletin Think

Apakah tim Anda akan mampu mendeteksi zero-day berikutnya tepat waktu?

Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.

https://www.ibm.com/id-id/privacy

Jenis kontrol keamanan

Beberapa jenis kontrol keamanan dapat melindungi perangkat keras, perangkat lunak, jaringan, dan data dari tindakan dan peristiwa yang dapat menyebabkan kehilangan atau kerusakan. Sebagai contoh:

  • Kontrol keamanan fisik mencakup hal-hal seperti pagar perimeter pusat data, kunci, penjaga, kartu kontrol akses, sistem kontrol akses biometrik, kamera pengintai, dan sensor pendeteksi penyusupan.

  • Kontrol keamanan digital mencakup hal-hal seperti nama pengguna dan kata sandi, autentikasi dua faktor, perangkat lunak antivirus, dan firewall.

  • Kontrol keamanan siber mencakup apa pun yang dirancang khusus untuk mencegah serangan terhadap data, termasuk mitigasi DDoS, dan sistem pencegahan intrusi.

  • Kontrol keamanan cloud mencakup langkah-langkah yang Anda ambil dalam kerja sama dengan penyedia layanan cloud untuk menawarkan perlindungan yang diperlukan untuk data dan beban kerja. Jika organisasi Anda menjalankan beban kerja di cloud, Anda harus memenuhi persyaratan keamanan kebijakan perusahaan atau bisnis dan peraturan industri.

Kerangka kerja kontrol keamanan dan praktik terbaik

Sistem kontrol keamanan, termasuk proses dan dokumentasi yang menetapkan implementasi dan manajemen berkelanjutan dari kontrol ini, disebut sebagai kerangka kerja atau standar.

Kerangka kerja memungkinkan organisasi untuk secara konsisten mengelola kontrol keamanan di berbagai jenis aset sesuai dengan metodologi yang diterima secara umum dan teruji. Beberapa kerangka kerja dan standar yang paling terkenal meliputi:

Kerangka Kerja Keamanan Siber Institut Standar dan Teknologi Nasional

Institut Standar dan Teknologi Nasional (NIST) menciptakan kerangka kerja sukarela pada tahun 2014 untuk memberikan panduan kepada organisasi tentang cara mencegah, mendeteksi, dan merespons serangan siber. Metode dan prosedur penilaian menentukan apakah kontrol keamanan organisasi diimplementasikan dengan benar dan beroperasi sebagaimana mestinya. Mereka memastikan bahwa kontrol ini menghasilkan hasil yang diinginkan, memenuhi persyaratan keamanan organisasi. Kerangka kerja NIST secara konsisten diperbarui untuk mengimbangi kemajuan keamanan siber.

Pusat Kontrol Keamanan Internet

Center for Internet Security (CIS) mengembangkan daftar tindakan pertahanan prioritas tinggi yang memberikan titik awal "harus dilakukan, lakukan terlebih dahulu" bagi setiap perusahaan yang ingin mencegah serangan siber. Menurut SANS Institute, yang mengembangkan kontrol CIS, "Kontrol CIS efektif karena berasal dari pola serangan paling umum yang disorot dalam laporan ancaman terkemuka dan diperiksa di seluruh komunitas yang sangat luas di kalangan praktisi pemerintah dan industri."

Organisasi dapat merujuk pada kerangka kerja ini dan kerangka kerja lainnya untuk mengembangkan kerangka kerja keamanan dan kebijakan keamanan TI mereka sendiri. Kerangka kerja yang dikembangkan dengan baik membantu memastikan bahwa organisasi:

  • Menerapkan kebijakan keamanan TI melalui kontrol keamanan
  • Mendidik karyawan dan pengguna tentang pedoman keamanan
  • Memenuhi peraturan industri dan kepatuhan
  • Mencapai efisiensi operasional di seluruh kontrol keamanan
  • Terus menilai risiko dan mengatasinya melalui kontrol keamanan

Solusi keamanan tidak akan kuat jika ada titik lemah yang berbahaya. Oleh karena itu, Anda harus mempertimbangkan beberapa lapisan kontrol keamanan, dikenal juga sebagai strategi pertahanan mendalam, untuk menerapkan kontrol keamanan di seluruh manajemen identitas dan akses, data, aplikasi, infrastruktur jaringan atau server, physical security, dan intelijen keamanan.

Penilaian kontrol keamanan

Penilaian kontrol keamanan adalah langkah pertama yang sangat baik untuk menentukan di mana saja kerentanannya. Penilaian kontrol keamanan memungkinkan Anda untuk mengevaluasi kontrol Anda saat ini untuk menentukan apakah kontrol tersebut diimplementasikan dengan benar, beroperasi sebagaimana mestinya, dan memenuhi persyaratan keamanan Anda.

Publikasi Khusus NIST 800-53 dibuat oleh NIST sebagai tolok ukur untuk penilaian kontrol keamanan yang sukses. Pedoman NIST berfungsi sebagai pendekatan praktik terbaik yang, jika diterapkan, dapat membantu mengurangi risiko pembobolan keamanan bagi organisasi Anda. Sebagai alternatif, organisasi Anda juga bisa membuat penilaian keamanannya sendiri.

Beberapa langkah kunci untuk membuat penilaian keamanan meliputi:

  • Menentukan sistem target: Buat daftar alamat IP yang perlu Anda pindai di jaringan Anda. Daftar ini harus berisi alamat IP dari semua sistem dan perangkat yang terhubung di jaringan organisasi Anda.

  • Menentukan aplikasi target: Cantumkan aplikasi dan layanan web yang perlu Anda pindai. Tentukan jenis server aplikasi web, server web, basis data, komponen pihak ketiga, dan teknologi yang digunakan untuk membangun aplikasi yang ada.

  • Melakukan pemindaian dan pelaporan kerentanan: Informasikan tim jaringan dan tim TI tentang semua aktivitas penilaian, karena penilaian kerentanan terkadang dapat membuat lonjakan lalu lintas jaringan saat memuat server target dengan permintaan. Selain itu, dapatkan pass-through yang tidak diautentikasi untuk IP pemindai di seluruh jaringan organisasi dan pastikan bahwa IP tersebut masuk dalam daftar putih di IPS/IDS. Jika tidak, pemindai dapat memicu peringatan lalu lintas berbahaya yang mengakibatkan pemblokiran IP.

Baca lebih lanjut tentang cara menilai kerentanan aplikasi dan jaringan perusahaan Anda dengan membuat penilaian keamanan Anda sendiri.