2.2
IG1 IG2 IG3

Pastikan Perangkat Lunak yang Diotorisasi Masih Didukung

Kelompok Kontrol: 2. Inventarisasi dan Pengendalian Aset Perangkat Lunak
Jenis Aset: Aplikasi
Fungsi Keamanan: Identifikasi

Deskripsi

Pastikan bahwa hanya perangkat lunak yang saat ini didukung yang ditetapkan sebagai yang diotorisasi dalam inventaris perangkat lunak untuk aset perusahaan. Jika perangkat lunak tidak didukung tetapi diperlukan untuk pemenuhan misi perusahaan, dokumentasikan pengecualian yang merinci kontrol mitigasi dan penerimaan risiko residual. Untuk perangkat lunak yang tidak didukung tanpa dokumentasi pengecualian, tetapkan sebagai tidak diotorisasi. Tinjau daftar perangkat lunak untuk memverifikasi dukungan setidaknya setiap bulan, atau lebih sering.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Microsoft Intune Gartner MQ Leader, UEM 2024

Platform manajemen endpoint terpadu untuk pendaftaran perangkat, penyebaran perangkat lunak, konfigurasi, dan kepatuhan di seluruh Windows, macOS, iOS, dan Android

Microsoft · Langganan per pengguna/per perangkat
VMware Workspace ONE Gartner MQ Leader, UEM 2024

Platform ruang kerja digital yang menggabungkan UEM dengan pengiriman aplikasi virtual dan akses zero-trust untuk manajemen endpoint

Broadcom (VMware) · Langganan per perangkat
Flexera One Gartner MQ Leader, SAM 2024

Platform manajemen aset IT dan manajemen aset perangkat lunak dengan optimasi lisensi dan manajemen SaaS

Flexera · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksploitasi Kerentanan Perangkat Lunak yang Sudah Tidak Didukung

Integrity

Perangkat lunak yang tidak didukung tidak lagi menerima patch keamanan, memungkinkan penyerang mengeksploitasi CVE yang diungkapkan secara publik dengan kode eksploit yang tersedia.

Persistensi Zero-Day pada Aplikasi Lawas

Confidentiality

Aplikasi yang tidak didukung dengan kerentanan zero-day tidak akan pernah ditambal oleh vendor, memberikan penyerang kemampuan eksploitasi permanen terhadap sistem tersebut.

Kerentanan (Saat Pengamanan Tidak Ada)

Perangkat Lunak Tidak Didukung di Produksi Tanpa Kontrol Mitigasi

Menjalankan perangkat lunak yang sudah habis masa pakainya tanpa pengecualian yang terdokumentasi dan kontrol kompensasi meninggalkan kerentanan yang diketahui secara permanen tidak tertangani di lingkungan.

Tidak Ada Pelacakan Siklus Hidup Dukungan Perangkat Lunak

Tanpa memantau status dukungan vendor, organisasi tidak menyadari ketika perangkat lunak kritis beralih ke akhir masa pakai, terus mengandalkannya tanpa penerimaan risiko.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Aset Perangkat Lunak
Control 2

Pengamanan Terkait di Kontrol 2

2.1 Tetapkan dan Pelihara Inventaris Perangkat Lunak
2.3 Tangani Perangkat Lunak yang Tidak Sah
2.4 Gunakan Alat Inventaris Perangkat Lunak Otomatis
2.5 Daftar Putih Perangkat Lunak yang Diotorisasi
2.6 Daftar Putih Pustaka yang Diotorisasi
2.7 Daftar Putih Skrip yang Diotorisasi
2.1 2.3