School of Information Systems

Access Control

Salah satu langkah keamanan adalah pengendalian akses, yang membatasi siapa atau apa yang dapat mengakses atau menggunakan sumber daya dalam lingkungan komputer. Ini adalah landasan keamanan yang mengurangi bahaya bagi perusahaan atau lembaga. Pengendalian akses memiliki dua varian: logis dan fisik. Akses ke ruangan, gedung, kampus, dan aset TI fisik dibatasi melalui pengendalian akses fisik. Pengendalian akses logis membatasi akses ke data, file sistem, dan jaringan komputer. Organisasi menggunakan sistem pengendalian akses elektronik, yang melacak akses karyawan ke area eksklusif seperti pusat data dan lokasi korporat terbatas dengan menggunakan kredensial pengguna, pembaca kartu akses, audit, dan laporan, untuk mengamankan fasilitas mereka.

Dengan menganalisis kredensial login yang diperlukan—kata sandi, PIN, token keamanan, pemindaian biometrik, atau faktor otentikasi lainnya—sistem pengendalian akses logis melaksanakan identifikasi, otentikasi, dan otorisasi individu dan entitas. Untuk melindungi sistem pengendalian akses, otentikasi multifaktor (MFA), yang membutuhkan dua atau lebih faktor otentikasi merupakan komponen penting dari pertahanan berlapis.

Pentingnya access control

Meminimalkan risiko keamanan dari akses tidak sah ke sistem logis dan fisik adalah tujuan dari pengendalian akses. Sebuah elemen kunci dari program kepatuhan keamanan adalah pengendalian akses, yang menjamin bahwa teknologi keamanan dan pedoman pengendalian akses diterapkan untuk melindungi informasi pribadi, termasuk data klien. Infrastruktur dan protokol sebagian besar perusahaan membatasi akses ke file, aplikasi, sistem komputer, jaringan, dan data sensitif, termasuk kekayaan intelektual dan informasi pribadi yang dapat diidentifikasi. Karena kompleksitasnya, sistem pengendalian akses dapat sulit dipelihara dalam pengaturan TI dinamis yang menggabungkan layanan cloud dan sistem di tempat. Perusahaan teknologi telah beralih dari sistem single sign-on ke manajemen akses yang terpadu, yang memberikan pembatasan akses untuk pengaturan di tempat dan cloud, sebagai respons terhadap peretasan yang mencolok.

Cara kerja access control

Pengendalian akses memberikan persetujuan tingkat akses dan rangkaian tindakan yang terkait dengan nama pengguna atau alamat IP, mengidentifikasi orang atau entitas, dan memastikan bahwa aplikasi atau orang tersebut adalah sesuai dengan yang diakui. Pengendalian akses disediakan oleh layanan direktori dan protokol, seperti Security Assertion Markup Language dan Lightweight Directory Access Protocol, untuk memungkinkan pengguna dan entitas terhubung ke sumber daya komputer, termasuk server web dan aplikasi terdistribusi, dengan mengautentikasi dan memberikan izin. Tergantung pada tujuan keamanan TI dan kendala regulasi mereka, organisasi menggunakan berbagai pendekatan pengendalian akses.

Berikut adalah langkah-langkah umum dalam proses pengendalian akses:

· Identifikasi Pengguna atau Entitas: Identifikasi individu atau entitas yang mencoba mengakses sistem atau sumber daya.

· Otentikasi: Verifikasi identitas pengguna melalui metode otentikasi seperti kata sandi, PIN, token keamanan, atau biometrik.

· Otorisasi: Menentukan tingkat akses yang diizinkan untuk pengguna berdasarkan identitas dan hak akses yang diberikan.

· Pemberian Izin: Memberikan izin atau hak akses kepada pengguna sesuai dengan kebijakan keamanan dan aturan yang ada.

· Penolakan Akses: Menolak akses jika pengguna tidak dapat memberikan identitas yang valid atau tidak memiliki izin yang diperlukan.

· Pemantauan Aktivitas: Memantau aktivitas pengguna untuk mendeteksi perilaku yang mencurigakan atau pelanggaran keamanan.

· Pelaporan: Membuat laporan terkait aktivitas pengendalian akses untuk audit keamanan dan kepatuhan.

· Pembaruan dan Revokes: Memperbarui izin atau mencabut akses jika ada perubahan dalam status pengguna atau kebijakan keamanan.

· Manajemen Perubahan: Mengelola perubahan dalam struktur organisasi atau kebijakan keamanan yang dapat mempengaruhi pengendalian akses.

· Pemulihan dan Tanggapan Terhadap Insiden: Menetapkan prosedur pemulihan dan tanggapan terhadap insiden jika terjadi pelanggaran keamanan atau aktivitas mencurigakan.

https://www.techtarget.com/searchsecurity/definition/access-control https://www.strongdm.com/blog/types-of-access-control

Joni Suhartono