IG2 IG3

Tetapkan dan Pelihara Inventaris Sistem Autentikasi dan Otorisasi

Kelompok Kontrol: 6. Manajemen Kontrol Akses

Jenis Aset: Pengguna

Fungsi Keamanan: Identifikasi

Deskripsi

Tetapkan dan pelihara inventaris sistem autentikasi dan otorisasi perusahaan, termasuk yang dihosting di lokasi atau di penyedia layanan jarak jauh. Tinjau dan perbarui inventaris minimal setiap tahun, atau lebih sering.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Manajemen identitas dan akses cloud dengan SSO, MFA, akses bersyarat, dan tata kelola identitas

Microsoft · Langganan per pengguna (P1/P2)

Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Platform identitas cloud yang menyediakan SSO, MFA adaptif, manajemen siklus hidup, dan manajemen akses API

Okta · Langganan per pengguna

Ping Identity Gartner MQ Leader, Access Management 2024

Platform keamanan identitas perusahaan dengan SSO, MFA, direktori, dan keamanan API untuk identitas tenaga kerja dan pelanggan

Ping Identity (Thales) · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kompromi Sistem Autentikasi yang Tidak Terdeteksi

Confidentiality

Sistem autentikasi yang tidak termasuk dalam inventaris dikompromikan, tetapi pelanggaran tidak terdeteksi karena sistem tersebut tidak dipantau, ditambal, atau dimasukkan dalam tinjauan keamanan.

Kebijakan Keamanan yang Tidak Konsisten di Seluruh Sistem Auth yang Tidak Diketahui

Integrity

Sistem autentikasi yang tidak dilacak dalam inventaris beroperasi dengan kebijakan keamanan yang berbeda, menciptakan mata rantai lemah yang ditargetkan penyerang untuk akses awal.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Inventaris Sistem Autentikasi dan Otorisasi

Tanpa inventaris yang dipelihara, organisasi tidak mengetahui semua sistem yang mengautentikasi atau mengotorisasi pengguna, meninggalkan beberapa tidak terkelola dan berpotensi salah konfigurasi.

Penyedia Identitas yang Tidak Dikelola

Sistem autentikasi yang tidak tercatat dalam inventaris dikecualikan dari pengerasan keamanan, pemantauan, dan proses respons insiden, menciptakan titik buta dalam keamanan identitas.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Akses Istimewa

Control 5, Control 6

Pengamanan Terkait di Kontrol 6

6.1 Tetapkan Proses Pemberian Akses

6.2 Tetapkan Proses Pencabutan Akses

6.3 Wajibkan MFA untuk Aplikasi yang Diakses secara Eksternal

6.4 Wajibkan MFA untuk Akses Jaringan Jarak Jauh

6.5 Wajibkan MFA untuk Akses Administratif

6.7 Sentralisasi Kontrol Akses

6.8 Definisikan dan Pelihara Kontrol Akses Berbasis Peran