IG1 IG2 IG3

Tetapkan dan Pelihara Inventaris Perangkat Lunak

Kelompok Kontrol: 2. Inventarisasi dan Pengendalian Aset Perangkat Lunak

Jenis Aset: Aplikasi

Fungsi Keamanan: Identifikasi

Deskripsi

Tetapkan dan pelihara inventaris terperinci dari semua perangkat lunak berlisensi yang dipasang pada aset perusahaan. Inventaris perangkat lunak harus mendokumentasikan judul, penerbit, tanggal pemasangan/penggunaan awal, dan tujuan bisnis untuk setiap entri; jika sesuai, sertakan Uniform Resource Locator (URL), toko aplikasi, versi, mekanisme penerapan, dan tanggal penghentian. Tinjau dan perbarui inventaris perangkat lunak setiap dua tahun, atau lebih sering.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Microsoft Intune Gartner MQ Leader, UEM 2024

Platform manajemen endpoint terpadu untuk pendaftaran perangkat, penyebaran perangkat lunak, konfigurasi, dan kepatuhan di seluruh Windows, macOS, iOS, dan Android

Microsoft · Langganan per pengguna/per perangkat

VMware Workspace ONE Gartner MQ Leader, UEM 2024

Platform ruang kerja digital yang menggabungkan UEM dengan pengiriman aplikasi virtual dan akses zero-trust untuk manajemen endpoint

Broadcom (VMware) · Langganan per perangkat

Flexera One Gartner MQ Leader, SAM 2024

Platform manajemen aset IT dan manajemen aset perangkat lunak dengan optimasi lisensi dan manajemen SaaS

Flexera · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kompromi Rantai Pasok melalui Perangkat Lunak Tidak Terlacak

Integrity

Perangkat lunak berbahaya atau berbackdoor yang diinstal tanpa pelacakan inventaris menghindari tinjauan keamanan, memungkinkan serangan rantai pasok seperti yang terlihat pada kompromi tipe SolarWinds.

Eksploitasi Kepatuhan Lisensi

Confidentiality

Perangkat lunak tanpa lisensi atau bajakan yang diinstal di luar kontrol inventaris memperkenalkan versi trojan atau crack yang mengandung malware tertanam dan pencuri kredensial.

Perangkat Lunak Terabaikan sebagai Permukaan Serangan

Integrity

Aplikasi yang diinstal untuk proyek sebelumnya tetapi tidak pernah diinventarisasi tetap ada di sistem dengan kerentanan yang diketahui, menyediakan target eksploitasi mudah bagi penyerang.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Inventaris Perangkat Lunak Terpusat

Tanpa inventaris perangkat lunak yang dipelihara, organisasi tidak dapat menentukan aplikasi apa yang diinstal di seluruh endpoint, meninggalkan perangkat lunak yang tidak dikenal tanpa patch dan tidak dipantau.

Ketidakmampuan Memverifikasi Legitimasi Perangkat Lunak

Tanpa catatan penerbit, versi, dan tujuan bisnis, organisasi tidak dapat membedakan perangkat lunak yang sah dari instalasi yang tidak sah atau berbahaya.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Aset Perangkat Lunak

Control 2

Pengamanan Terkait di Kontrol 2

2.2 Pastikan Perangkat Lunak yang Diotorisasi Masih Didukung

2.3 Tangani Perangkat Lunak yang Tidak Sah

2.4 Gunakan Alat Inventaris Perangkat Lunak Otomatis

2.5 Daftar Putih Perangkat Lunak yang Diotorisasi

2.6 Daftar Putih Pustaka yang Diotorisasi

2.7 Daftar Putih Skrip yang Diotorisasi