Dengan munculnya identitas sebagai batas baru, perannya dalam mendukung transformasi digital, adopsi cloud, dan tenaga kerja terdistribusi tidak diabaikan oleh perusahaan saat ini. Menurut laporan terbaru (diperlukan pendaftaran), 64% pemangku kepentingan TI menganggap pengelolaan dan pengamanan identitas digital secara efektif sebagai prioritas utama (16%) dari program keamanan mereka atau dalam tiga besar (48%). Meskipun demikian, bisnis terus berjuang dengan pelanggaran terkait identitas โ 84% dari keamanan dan profesional TI melaporkan bahwa organisasi mereka mengalami pelanggaran seperti itu pada tahun lalu.
Mendapatkan dukungan untuk keamanan yang berpusat pada identitas sangat penting, tetapi membuat alasan untuk berinvestasi dalam keamanan siber bukanlah tentang perdagangan FUD (ketakutan, ketidakpastian, dan keraguan). Mendorong identitas lebih jauh ke dalam diskusi strategis membutuhkan kemampuan untuk menunjukkan nilai bisnis โ untuk menunjukkan bagaimana keamanan berbasis identitas selaras dengan dan mendukung tujuan bisnis.
Hampir semua peserta survei (98%) mengatakan jumlah identitas dalam organisasi mereka meningkat, dengan penyebab yang sering dikutip termasuk adopsi cloud, lebih banyak karyawan yang menggunakan teknologi, meningkatnya hubungan pihak ketiga, dan semakin banyak identitas mesin. Di lingkungan ini, banyak dari perusahaan saat ini telah menemukan diri mereka di bawah tekanan besar untuk memastikan akses yang mulus dan aman ke data dan sumber daya di lingkungan yang semakin terdistribusi dan kompleks.
Kompleksitas ini, dikombinasikan dengan penyerang yang termotivasi dan semakin banyaknya identitas yang harus dikelola, membuat manajemen identitas yang efektif merupakan bagian penting dari memungkinkan bisnis operasi. Di antara organisasi yang mengalami pelanggaran terkait identitas pada tahun lalu, benang merahnya adalah masalah seperti kredensial yang dicuri, phishing, dan hak istimewa yang salah urus. Dampak bisnis langsung dari pelanggaran dapat menjadi signifikan โ dengan 42% menyebutkan gangguan signifikan dari bisnis inti, 44% mencatat biaya pemulihan, dan 35% melaporkan dampak negatif pada reputasi organisasi. Kehilangan pendapatan (29%) dan pengurangan pelanggan (16%) juga dilaporkan.
Menerjemahkan Kebutuhan TI menjadi Kebutuhan Bisnis
Alasan untuk berfokus pada identitas sudah jelas, tetapi bagaimana kita mulai menerjemahkan kebutuhan TI ke dalam kebutuhan bisnis? Langkah pertama adalah menyelaraskan prioritas organisasi dengan di mana keamanan yang berpusat pada identitas dapat diterapkan. Tujuan bisnis cenderung berkisar pada pengurangan biaya, peningkatan produktivitas, dan meminimalkan risiko. Percakapan tentang keamanan berbasis identitas, oleh karena itu, harus menunjukkan bagaimana pendekatan itu dapat memajukan beberapa atau semua poin ini.
Dari sudut pandang produktivitas, misalnya, tata kelola identitas yang ketat menyederhanakan penyediaan pengguna dan peninjauan hak akses. Itu berarti karyawan dapat masuk lebih cepat, dan setiap karyawan yang keluar akan dicabut aksesnya secara otomatis. Menghilangkan upaya manual mengurangi kemungkinan kesalahan, termasuk pengguna dengan hak istimewa yang berlebihan menciptakan risiko paparan yang tidak perlu. Semakin efisien dan otomatis proses seputar manajemen identitas, semakin efisien bisnis โ dan semakin aman.
Seperti disebutkan sebelumnya, beberapa kekuatan pendorong untuk pertumbuhan identitas termasuk adopsi cloud dan lonjakan identitas mesin. Pertumbuhan identitas mesin sebagian terkait dengan perangkat dan bot Internet of Things (IoT). IoT dan cloud sering kali menjadi bagian dari strategi transformasi digital yang dapat dengan mudah terhenti oleh kekhawatiran tentang akses dan penegakan kebijakan keamanan yang konsisten. Realitas ini menghadirkan peluang untuk membingkai diskusi tentang keamanan seputar bagaimana bisnis dapat mengadopsi teknologi ini dengan aman dan tanpa mengorbankan kepatuhan dan persyaratan keamanan.
Membingkai Diskusi Keamanan dalam Konteks Pelanggaran
Otentikasi multifaktor (MFA), misalnya, dikutip oleh banyak profesional TI dan keamanan sebagai tindakan yang dapat mencegah atau meminimalkan dampak pelanggaran yang mereka alami. MFA sangat penting untuk menegakkan kontrol akses, terutama untuk bisnis dengan pekerja jarak jauh atau mereka yang menggunakan aplikasi dan infrastruktur cloud. Suka atau tidak, kata sandi ada di mana-mana. Tetapi mereka juga merupakan target yang menarik (dan relatif mudah) bagi pelaku ancaman yang ingin mengakses sumber daya dan mendapatkan pijakan yang lebih dalam di lingkungan Anda. Bersama dengan praktik terbaik berpusat pada identitas lainnya yang meningkatkan postur keamanan, MFA menyediakan lapisan pertahanan lain yang dapat meningkatkan keamanan organisasi.
Selain MFA, profesional TI dan keamanan umumnya mencatat bahwa tinjauan yang lebih tepat waktu atas akses istimewa dan penemuan terus menerus dari semua hak akses pengguna akan mencegah atau mengurangi efek pelanggaran. Sementara banyak dari ini masih dalam proses, secara keseluruhan, tampaknya organisasi mulai mendapatkan pesan.
Ketika ditanya apakah selama setahun terakhir program identitas organisasi mereka dimasukkan sebagai area investasi sebagai bagian dari inisiatif strategis ini โ kepercayaan nol, adopsi cloud, transformasi digital, investasi asuransi cyber, dan manajemen vendor โ hampir semua orang memilih setidaknya satu. Lima puluh satu persen mengatakan identitas telah diinvestasikan sebagai bagian dari upaya tanpa kepercayaan. Enam puluh dua persen mengatakan itu dimasukkan sebagai bagian dari inisiatif cloud, dan 42% mengatakan itu adalah bagian dari transformasi digital.
Memulai dengan keamanan berbasis identitas tidak perlu berlebihan. Namun, itu memang membutuhkan pemahaman tentang lingkungan dan prioritas bisnis Anda. Oleh berfokus pada bagaimana pendekatan keamanan yang berpusat pada identitas dapat mendukung tujuan bisnis, profesional TI dapat memperoleh dukungan kepemimpinan yang mereka butuhkan untuk menerapkan teknologi dan proses yang akan meningkatkan penghalang masuk bagi pelaku ancaman.
