Keamanan Zero Trust mengubah pendekatan kami untuk mendeteksi dan mencegah pelanggaran keamanan terkait data perusahaan. Pendekatan mentalitas pengepungan tradisional yang hanya mengangkat jembatan tarik dan mengamankan dinding kastil dari ancaman eksternal kini digantikan oleh sistem yang tidak hanya memantau orang-orang di luar bisnis kita, tetapi juga orang-orang di dalam. Untuk UKM, ini bisa menjadi proposisi yang sulit; data yang secara historis diselimuti keamanan makro kini perlu dipantau dalam skala mikro; setiap upaya masuk tunggal dijalankan melalui serangkaian parameter yang melampaui sekadar mencatat alamat IP sebagai bentuk verifikasi.
Memastikan Zero Trust dengan anggaran terbatas
Pendekatan yang lebih menyeluruh inilah yang menimbulkan masalah nyata pertama bagi UKM, ketika menerapkan sistem Zero Trust secara efisien; waktu dan uang. Pada intinya, Zero Trust bergantung pada kontrol akses berbasis hak istimewa yang sulit diterapkan dan dipantau secara berkelanjutan. Sistem lama dan berbagai pemangku kepentingan semuanya berkontribusi pada lanskap yang mungkin sulit untuk diadaptasi dengan cara pendekatan keamanan yang baru ini. Perusahaan besar memiliki sumber daya untuk berinvestasi dalam proyek integrasi khusus dan pengetahuan untuk mengadopsi perangkat lunak secara efektif seperti perangkat lunak Manajemen Identitas dan Akses dari vendor seperti Okta, atau perangkat lunak Manajemen Titik Akhir seperti Jumpcloud dan Jamf. Tetapi banyak UKM dan startup berjuang untuk membenarkan waktu dan uang yang dibutuhkan untuk berhasil mengimplementasikan dan kemudian mengelola alat ini secara berkelanjutan. Seringkali merupakan persyaratan mendesak untuk sertifikat keamanan seperti iso27001 yang memaksa mereka untuk mengadopsi alat ini, meskipun demi kepentingan terbaik mereka melakukannya lebih awal.
Jawabannya mungkin terletak pada pendekatan yang berbeda. Ada perangkat lunak generasi baru yang muncul yang bertujuan untuk merombak manajemen karyawan. Produk-produk ini tidak hanya berfungsi sebagai sistem pencatatan untuk proses SDM, tetapi juga menangani akses dan manajemen perangkat dengan mulus; keduanya terkait erat ketika harus mengetahui karyawan mana yang harus mengakses data.
Mengelola karyawan yang keluar
Mungkin penerapan (dan tantangan) langsung yang paling jelas dari Zero Trust untuk UKM, mengingat dampak dari pandemi, adalah bagaimana mengelola secara efektif hak-hak istimewa para mantan karyawan tersebut. Lebih dari satu dari empat karyawan di Inggris di-PHK selama dua tahun terakhir, dengan 8% di antaranya tidak kembali ke majikan mereka setelah cuti berakhir. Jika kredensial akses mantan karyawan ini tidak dihentikan bersama dengan kontraknya, mereka masih dapat memiliki akses ke data yang berpotensi sensitif. Faktanya, sebuah studi baru-baru ini menemukan bahwa, rata-rata, lebih dari 80% mantan karyawan mempertahankan akses ke setidaknya satu sistem bisnis yang sensitif setelah mereka meninggalkan peran mereka. Ini mungkin hanya sebagian kecil dari sistem yang digunakan oleh perusahaan besar, tetapi untuk UKM yang lebih kecil ini bisa menjadi tingkat pelanggaran data yang kritis.
Mengoptimalkan untuk kesederhanaan
Dengan mengadopsi sistem generasi berikutnya, yang memadukan manajemen akses ke dalam proses SDM, karyawan secara otomatis diberikan hak akses dasar saat mereka bergabung dengan perusahaan, hak istimewa ditinjau saat mereka dipromosikan atau ditangguhkan saat mereka cuti melahirkan, dan dicabut saat mereka akhirnya meninggalkan perusahaan. perusahaan. Mencocokkan siklus hak istimewa pengguna dengan siklus hidup karyawannya sudah menangani sebagian besar mitigasi risiko yang ditimbulkan oleh karyawan. Selain itu, karena sebagian besar sistem bisnis utama seperti Workspace, Salesforce, dan Github dapat dihubungkan ke platform ini dalam hitungan detik, akses ke sebagian besar data sensitif perusahaan kini dapat dipantau secara real-time, dan hak istimewa untuk individu atau kelompok karyawan dapat disesuaikan di beberapa sistem hanya dengan beberapa klik.
Penyatuan mengurangi friksi antara admin dan pengguna
Platform sistem tunggal yang mampu menyatukan data dan operasi karyawan di seluruh SDM dan TI juga menyederhanakan proses manusia di balik manajemen akses. Pendekatan dengan hak istimewa paling sedikit menciptakan kerumitan administratif dan dapat menyebabkan gesekan antara pengguna dan admin. Pengguna perlu dinilai dan tidak perlu mengganggu admin untuk meminta akses, dan admin perlu memantau akses dan secara manual membuat perubahan pada akun pengguna bila diperlukan. Penyiapan ini tidak hanya membuang banyak waktu, tetapi juga dapat membuat pengguna tidak nyaman, terutama dalam pengaturan jarak jauh. Pendekatan terpadu berarti pengguna dapat meminta akses ke sistem perusahaan apa pun secara langsung melalui portal karyawan mereka dan admin atau manajer mereka dapat menyetujui atau menolak dalam satu klik. Saat admin sistem keluar dari perusahaan, aliran offboarding secara otomatis menandai bahwa kepemilikan harus dialihkan ke pengguna lain untuk mencegah penguncian.
Manajemen perangkat menjadi hal yang harus dilakukan
Bahkan sistem kontrol akses tercanggih untuk aplikasi perusahaan menjadi tidak berguna jika karyawan menggunakannya di laptop yang tidak terenkripsi tanpa kata sandi. Salah satu sumber terbesar pelanggaran data adalah perangkat karyawan yang hilang atau dicuri, yang tidak diamankan dengan baik. Dengan menghubungkan perangkat perusahaan ke platform karyawan terpadu, enkripsi titik akhir dan kebijakan kata sandi dapat diterapkan secara otomatis dan perangkat lunak antivirus diinstal, secara dramatis mengurangi risiko perangkat hilang atau malware yang menyebabkan pelanggaran atau serangan tebusan. Sistem ini mudah digulirkan tetapi, tentu saja, masih mengharuskan semua karyawan untuk setidaknya memahami mengapa dan bagaimana kebijakan Zero Trust ini diterapkan.
Intinya, Zero Trust hanya bisa efisien dalam UKM jika ada perubahan budaya besar-besaran dalam cara memandang keamanan. Bagi pemberi kerja, ini berarti memastikan bahwa langkah-langkah keamanan sepenuhnya transparan dan seragam di seluruh organisasi. Sistem manajemen karyawan terpadu adalah awal yang baik. Pendidikan dan pelatihan juga akan berperan; mendidik karyawan tentang cara menggabungkan pendekatan Zero Trust, alasan melakukannya, dan meyakinkan mereka bahwa peralihan dari model “percaya tapi verifikasi” ke “verifikasi lalu percaya” adalah tentang mencegah pelanggaran keamanan daripada tingkat pengawasan apa pun terhadap tenaga kerja.
Dengan pemikiran tersebut, karyawan harus memahami bahwa akses data yang lebih terbatas (atau spesifik) adalah demi kepentingan terbaik mereka. Ekosistem keamanan harus terus berkembang untuk melindungi dari ancaman, tetapi masih membutuhkan kerja sama lengkap ini dari atas ke bawah agar UKM dapat menerapkan Zero Trust secara efektif.