Setiap hari Senin, Tenable Exposure Management Academy menyediakan panduan praktis dunia nyata untuk membantu Anda beralih dari manajemen kerentanan ke manajemen eksposur. Dalam artikel ini, CSO Tenable, Robert Huber, membagikan saran praktis tentang bagaimana menggunakan program manajemen eksposur untuk memfokuskan pada risiko yang berdampak pada bisnis. Anda dapat membaca seluruh seri Exposure Management Academy di sini.
Ada jebakan yang sering kali membuat praktisi keamanan terperangkap. Tidak, ini bukan taktik yang digunakan oleh pelaku kejahatan untuk menjebak kita. Ini hanyalah trik sederhana dari pola pikir: menganggap bahwa setiap risiko membutuhkan perhatian mendesak. Mungkin ini sifat alami manusia. Jika ada masalah — besar atau kecil — beberapa dari kita memiliki naluri untuk segera menyelesaikannya dan mencoretnya dari daftar tugas.
Namun, saya telah belajar dengan cara yang sulit bahwa tidak semua risiko diciptakan sama. Memperlakukan setiap risiko sebagai prioritas utama adalah jalan pintas menuju kelelahan dan ketidakefisienan.
Seperti banyak dari Anda, di Tenable kami telah membangun program manajemen eksposur internal kami sendiri. Dalam perjalanan ini, salah satu pelajaran paling mendalam yang saya pelajari adalah memprioritaskan risiko berdasarkan dampak bisnis.
Berpikir dengan cara tersebut membantu saya membawa kejelasan dalam kekacauan. Itu mengurangi kebisingan dan memungkinkan saya serta tim saya untuk fokus pada apa yang benar-benar penting, yang merupakan kunci keberhasilan program manajemen eksposur.
Mulailah dengan Data yang Tepat
Salah satu tantangan besar bagi profesional keamanan adalah context switching.
Ketika Anda bertemu dengan pemimpin bisnis untuk memberikan pembaruan, Anda sering kali harus berjuang mengumpulkan data dari lusinan alat dan tim yang berbeda.
Hal ini disebabkan karena data terisolasi, seringkali tidak lengkap, dan hampir tidak mungkin dibandingkan.
Tugas kita di bidang keamanan adalah memberikan kepada para pemimpin ini — mungkin CEO Anda atau kepala unit bisnis — gambaran yang jelas dan kohesif tentang eksposur yang paling akut. Meski sudah berusaha keras, gambaran tersebut sering kali kabur dan penuh dengan ketidakakuratan.
Jadi, saat kami memulai perjalanan manajemen eksposur, langkah awal kami adalah mengumpulkan semua data. Dan saya benar-benar maksudkan semua data. Dengan bantuan Vulcan (yang sekarang menjadi bagian dari Tenable), kami menyisir alat, platform, dan tim untuk setiap potongan data.
Percayalah, sampai Anda melakukan itu, Anda tidak bisa memprioritaskan secara bermakna. Anda hanya akan menebak.
Memahami Risiko dalam Konteks
Mengumpulkan semua data itu adalah tugas besar. Anda mungkin berpikir, “Misi selesai!” Namun, itu baru permulaan.
Setelah data terkumpul di satu tempat, pekerjaan sebenarnya dimulai. Saat itulah saya bertanya: Apa arti risiko ini dalam konteks?
Anda harus melihatnya dari beberapa sudut: Pertama, pertimbangkan dalam konteks risiko lain di seluruh organisasi Anda. Kemudian, pikirkan risiko tersebut dalam konteks bisnis itu sendiri. Bagaimana risiko ini dapat memengaruhi pendapatan, operasi, atau reputasi Anda?
Jika Anda tidak berpikir seperti ini sejak awal, Anda hanya akan bereaksi terhadap peringatan yang paling keras, bukan yang paling penting. Dan kita tahu bagaimana hasilnya. Seperti yang sering saya dengar selama sekolah kandidat perwira di militer: fokus pada yang penting, bukan yang mendesak — nasihat yang sangat membantu ketika waktu terasa tidak cukup dalam sehari.
Identifikasi Masalah Sistemik
Manajemen eksposur bukan tentang menambal satu kerentanan pada satu waktu. Ini tentang mengidentifikasi apa yang saya sebut big rocks. Apapun istilahnya, ini adalah masalah sistemik yang memengaruhi ribuan aset atau pengguna. Jika dibiarkan, mereka benar-benar dapat membahayakan bisnis.
Kadang-kadang, kami tidak langsung memperbaiki masalah big rocks tersebut. Mungkin karena tambalan tertentu merusak sistem kritis atau infrastruktur lama tidak mendukung kontrol tertentu. Ketika hal itu terjadi, eksposur tersebut menjadi risiko bisnis yang dilacak dalam risk register kami. Dan risiko tersebut tetap menjadi perhatian sampai diselesaikan.
Ini adalah pergeseran besar dari model lama, di mana masalah dapat hilang dalam antrean tiket tanpa pemilik yang jelas dan tanpa resolusi yang terlihat.
Dengan platform manajemen eksposur, kepemimpinan bahkan dewan direksi dapat melihat langsung masalah-masalah ini. Itu karena kami menyelaraskan prioritas keamanan dengan prioritas bisnis.
Komunikasikan Risiko dengan Jelas
Tentu saja, semua ini tidak akan berhasil kecuali Anda berkomunikasi dengan jelas.
Dan komunikasi bisa menjadi tantangan besar. Anda dapat menggunakan diagram sederhana seperti lampu lalu lintas (merah, kuning, hijau) untuk mewakili cakupan kontrol. Namun, bagaimana Anda menetapkan warna-warna tersebut dengan akurat? Ini bisa menjadi proses subjektif yang lebih berdasarkan insting daripada data nyata.
Dengan perangkat lunak manajemen eksposur, tujuan akhir Anda adalah membuat proses tersebut kuantitatif dan, idealnya, real-time sehingga Anda tidak perlu menarik tim dari pekerjaan mereka setiap kuartal untuk melakukan pembaruan manual.
Segera, kita akan hidup di dunia di mana saat sesuatu berubah, kita akan melihatnya dikomunikasikan secara langsung. Dengan informasi instan tersebut, kita dapat memutuskan apakah akan bertindak, menunda, atau meningkatkan eskalasi.
Kelola Perubahan Agar Tidak Mengelola Anda
Manajemen eksposur bukan hanya perubahan teknis. Ini adalah latihan manajemen perubahan.
Anda meminta tim untuk bekerja dengan cara yang berbeda, merespons prioritas baru, dan mempercayai sistem terpusat yang membuat keputusan berdasarkan data yang mungkin tidak mereka kenal.
Pergeseran semacam itu membutuhkan waktu. Ini memerlukan pembangunan hubungan, memperjelas harapan, dan mengembangkan program hingga sesuai dengan semua pihak.
Seperti yang ditulis rekan saya Arnie Cabral dalam artikel What it Takes to Start the Exposure Management Journey, kami memulai dengan membangun kembali kebijakan, mendefinisikan peran dan tanggung jawab, serta memastikan bahwa orang-orang yang melakukan pekerjaan tahu persis apa yang diharapkan — dan mengapa.
Kesimpulan: Ini Adalah Jalan ke Depan
Kami masih berada di tahap awal perjalanan manajemen eksposur ini. Beberapa sertifikasi dan kebijakan industri kami masih mengharuskan kami memperbaiki segala hal di atas skor CVSS tertentu, terlepas dari apakah itu benar-benar menimbulkan ancaman. Jadi akan ada proses rekonsiliasi antara model kepatuhan tradisional dan pendekatan yang lebih pragmatis dan selaras dengan bisnis ini.
Namun, saya yakin bahwa manajemen eksposur, jika dilakukan dengan benar, dapat menjembatani kesenjangan tersebut. Ini akan memberi Anda kemampuan untuk mengatakan, “Inilah risiko yang paling penting — dan inilah alasannya.”
Dengan cara itu, Anda akan membuat keputusan yang lebih baik dalam jangka panjang. Anda akan lebih melindungi bisnis Anda. Dan Anda akan mengubah keamanan dari reaktif menjadi strategis.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan tenable indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi tenable.ilogoindonesia.id untuk informasi lebih lanjut!
