IG1 IG2 IG3

Tetapkan dan Pelihara Inventaris Akun

Kelompok Kontrol: 5. Manajemen Akun

Jenis Aset: Pengguna

Fungsi Keamanan: Identifikasi

Deskripsi

Tetapkan dan pelihara inventaris semua akun yang dikelola dalam perusahaan. Inventaris harus mencakup akun pengguna dan administrator. Inventaris, minimal, harus berisi nama orang, nama pengguna, tanggal mulai/berhenti, dan departemen. Validasi bahwa semua akun aktif telah diotorisasi, dengan jadwal berulang minimal setiap kuartal, atau lebih sering.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Manajemen identitas dan akses cloud dengan SSO, MFA, akses bersyarat, dan tata kelola identitas

Microsoft · Langganan per pengguna (P1/P2)

SailPoint Identity Security Gartner MQ Leader, IGA 2024

Platform tata kelola dan administrasi identitas dengan sertifikasi akses, manajemen siklus hidup, dan intelijen akses berbasis AI

SailPoint · Langganan per identitas

CyberArk Privileged Access Manager Gartner MQ Leader, PAM 2024

Platform manajemen akses istimewa untuk mengamankan, mengelola, dan mengaudit kredensial dan sesi istimewa

CyberArk · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Penyalahgunaan Akun Yatim oleh Mantan Karyawan

Confidentiality

Mantan karyawan, kontraktor, atau pihak ketiga mempertahankan akun aktif yang tidak dilacak dalam inventaris, menggunakannya untuk mengakses sistem dan data setelah otorisasi mereka berakhir.

Akumulasi Hak Istimewa pada Akun yang Tidak Terlacak

Confidentiality

Akun yang tidak dilacak dalam inventaris mengumpulkan izin seiring waktu melalui perubahan peran tanpa tinjauan, menciptakan akun dengan hak istimewa berlebihan yang mewakili target bernilai tinggi.

Akun Bersama yang Dikompromikan Tanpa Atribusi

Integrity

Akun bersama atau generik yang tidak tercatat dalam inventaris dikompromikan, dan investigasi tidak dapat mengatribusikan tindakan ke individu tertentu karena kurangnya pelacakan akun.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Inventaris Akun Terpusat

Tanpa inventaris yang dipelihara dari semua akun, organisasi tidak dapat menentukan berapa banyak akun yang ada, siapa pemiliknya, atau apakah semuanya masih diotorisasi.

Tidak Ada Validasi Otorisasi Akun Berulang

Tanpa tinjauan triwulanan terhadap inventaris akun, akun yang tidak sah atau yatim tetap ada tanpa batas waktu tanpa deteksi atau remediasi.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Akun dan Kredensial

Control 5, Control 6

Pengamanan Terkait di Kontrol 5

5.2 Gunakan Kata Sandi yang Unik

5.3 Nonaktifkan Akun yang Tidak Aktif

5.4 Batasi Hak Istimewa Administrator ke Akun Administrator Khusus

5.5 Tetapkan dan Pelihara Inventaris Akun Layanan

5.6 Sentralisasi Manajemen Akun