Manajemen kerentanan merupakan bagian penting dari keamanan informasi yang mencakup identifikasi, klasifikasi, prioritas, remediasi, dan mitigasi kerentanan infrastruktur komputer. Setiap perusahaan yang memiliki sistem informasi harus memiliki kerangka manajemen kerentanan sebagai acuan dalam upaya pengendalian risiko keamanan informasi. Agar proses manajemen kerentanan dapat memberikan gambaran kerentanan dan risiko yang ditimbulkan secara efektif dan berkelanjutan, maka perlu melakukan 5 langkah berikut: persiapan, pemindaian kerentanan, penentuan tindakan remediasi, penerapan tindakan remediasi, dan pemindaian ulang.
Kerentanan ISO 27001: Mencegah ancaman sebagai akibat dari kelehaman
Pada ISO 27001 Manajemen keamanan informasi (ISO/IEC 27001:2013), mendefinisikan kerentanan sebagai sebuah kelemahan aset atau kontrol yang berpotensi untuk dieksploitasi oleh satu ancaman atau lebih. Sedangkan, ancaman dideskripsikan sebagai sesuatu yang berpotensi menyebabkan insiden tidak diinginkan yang dapat mengakibatkan pelanggaran keamanan informasi yang berdampak negatif terhadap integritas aset.
Standar ISO/IEC 27001:2013 berfokus pada pengaturan persyaratan untuk sistem manajemen keamanan informasi (SMKI) guna membantu perusahaan menetapkan, mengimplementasikan, dan mempertahankan kerangka kerja manajemen risiko yang dibuat berdasarkan prinsip-prinsip perbaikan berkelanjutan dan didesain untuk melindungi kerahasiaan, integritas dan ketersediaan aset informasi. Umumnya, kerentanan terjadi ketika ancaman mengidentifikasi sebuah kelemahan yang berbahaya. Hal tersebut yang menyebabkan para pemimpin sukses selalu memperhatikan sertifikasi ISO 27001.
Kelemahan merupakan kekurangan yang dapat terjadi ketika proses desain, implementasi atau konfirgurasi aset atau kontrol maupun selama operasi berlangsung. Kelemahan biasanya merupakan hasil dari kesalahan, ataupun secara sengaja didesain demikian. Kelemahan bervariasi tergantung pada mudah tidaknya diidentifikasi dan tingkat kesulitannya. Beberapa kelemahan mudah diidentifikasi dan diperbaiki, namun sebagian yang lain membutuhkan waktu yang lama dan sulit untuk perbaiki.
Manajemen kerentanan ISO 27001: 3 metode manajemen kerentanan
ISO/IEC 27001:2013 menetapkan serangkaian aturan untuk para pemimpin terkait langkah-langkah berbeda yang harus diikuti untuk mengelola sistem informasi perusahaan dan memastikan kepatuhan keamanan untuk mencegah terjadinya insiden keamanan. Maka dari itu, sangat penting mengetahui persyaratan ISO 27001.
ISO/IEC 27001:2013 A.12.6.1 Kontrol, Manajemen kerentanan teknis, membantu perusahaan meningkatkan persiapan dan mitigasi kelemahan pada sistem keamanan informasi perusahaan.
ISO/IEC 27001:2013 metode manajemen kerentanan terdiri dari 3 puncak kontrol sebagai berikut:
Identifikasi kerentanan secara berkala: Pemindaian kerentanan ISO 27001
Tujuan utama proses manajemen kerentanan adalah deteksi dan perbaikan kerentanan secara tepat waktu. Akan tetapi, banyak perusahaan yang jarang melakukan pemindaian kerentanan. Mereka melakukan pemindaian sekali atau 2 kali dalam setahun secara rutin, sehingga hanya memberikan gambaran sistem operasi pada saat itu. Padahal, kerentanan berkaitan erat dengan waktu karena semakin cepat terdeteksi, maka semakin cepat pula dapat diperbaiki. Dengan sering melakukan pemindaian dapat meningkatkan peluang deteksi kerentanan dini yang mungkin mengintai sistem keamanan informasi perusahaan Anda. Apabila Anda sebagai seorang pemimpin ingin meningkatkan kekuatan sistem informasi perusahaan, kami menyarankan Anda untuk membaca proses sertifikasi ISO 27001 beserta kemajuannya.
Penilaian kerentanan ISO 27001 terhadap eksposur sistem Anda
Menggunakan prioritas berbeda untuk mengidentifikasi kerentanan berdasarkan tingkat keparahannya akan memudahkan Anda untuk menentukan kerentanan yang perlu segera diperbaiki.
Melakukan penilaian risiko pada kerentanan yang terdeteksi selama penilaian kerentanan dapat membantu menetapkan tingkat keparahannya dan memutuskan kerentanan yang harus diprioritaskan untuk diperbaiki. Setelah menyelesaikan penilaian risiko, dapat dibuat keputusan terkait kerentanan yang perlu segera diperbaiki dan kerentanan yang dapat ditoleransi risikonya.
Pengukuran risiko dan tindakan yang tepat: kerentanan ISO 27001
Setelah kerentanan yang paling kritis diidentifikasi, rencana penanganan risiko harus dibuat dengan mempertimbangkan tingkat risiko masing-masing kerentanan. Tindakan yang tepat harus dirancang dan sumber daya yang memadai harus dialokasikan untuk perbaikan kerentanan yang paling kritis.
Panduan dari ISO/IEC 27001:2022 yang dirancang untuk membantu implementasi praktik terbaik SMKI berdasarkan ISO/IEC 27001:2013 menawarkan panduan untuk kontrol keamanan sebagai berikut:
Inventarisasi Aset: Manajemen aset yang efektif pada kerentanan ISO 27001
Pengelolaan kerentanan yang efektif sangat bergantung pada seberapa baik pemahaman Anda terkait informasi aset. Hal itu termasuk mengetahui pembuat software, versi software yang digunakan, lokasi dimana software diinstal, dan orang-orang yang bertanggungjawab terhadap setiap bagian dari software. Manajemen aset yang efektif merupakan bagian yang menentukan keberhasilan manajemen kerentanan dan hal itu menjadi tanggung jawab pemilik aset.
Peran, tanggung Jawab dan manajemen kerentanan ISO 27001
Karena banyaknya aktivitas berbeda yang dilakukan pada manajemen kerentanan, mendefinisikan dan menetapkan tanggung jawab secara jelas sangat penting untuk pelacakan aset secara efektif. Perusahaan yang ingin membangun proses manajemen kerentanan harus mengindentifikasi, setidaknya pemilik aset, teknisi sistem dan kerentanan, serta petugas keamanan.
Risiko ancaman kerentanan ISO 27001: Catatan audit
Menjaga catatan audit terkait proses yang dilakukan agar memudahkan untuk dilakukan penelusuran.
Kesesuaian proses dengan aktivitas: Insiden pada manajemen kerentanan ISO 27001
Memiliki proses manajemen kerentanan yang selaras dengan aktivitas manajemen insiden membuat komunikasi yang lebih lancar antara pemilik aset dan pihak lain yang terkait serta tim tanggap insiden untuk memastikan solusi teknis dapat segera diteruskan ketika terjadi permasalahan.
Praktik terbaik lainnya adalah:
- Perbaikan berkelanjutan melalui tindakan korektif dan pencegahan (Corrective Action and Preventive Action/CAPA)
- Manajemen kerentanan dan GRC (Governance, Risk and Compliance)