Informasi apa yang diizinkan untuk diakses oleh seorang karyawan atau pengguna? Pertanyaan ini bisa menjadi kompleks, terutama bagi organisasi yang mempekerjakan ratusan atau ribuan orang. Pertimbangan tentang bagaimana cara terbaik untuk memutuskan, mengelola, dan melacak siapa yang memiliki akses ke informasi dan aplikasi bervariasi tergantung pada bisnis, industri, dan ukuran perusahaan. Mengelola otorisasi dengan baik membantu perusahaan Anda tetap aman dan mematuhi peraturan sambil menyediakan informasi dan program yang dibutuhkan karyawan untuk menyelesaikan pekerjaan mereka.
Apa itu Otorisasi?
Apa yang dimaksud dengan otorisasi? Otorisasi menentukan tingkat dan jenis akses yang dimiliki pengguna terhadap sumber daya. Otorisasi menjawab pertanyaan siapa yang dapat melakukan apa dengan data dan aplikasi Anda. Setelah seorang pengguna terotentikasi (lebih lanjut akan dijelaskan nanti) dengan kredensial pengguna mereka seperti nama pengguna dan kata sandi, otorisasi mereka akan menentukan menu sistem operasi, aplikasi, fungsionalitas, tingkat dan kemampuan untuk membuat perubahan pada data yang mendasarinya. Secara kolektif, izin-izin ini dikenal sebagai hak klien.
Dalam kebanyakan organisasi, struktur otorisasi tidak datar. Otorisasi tidak memberikan akses ke setiap sumber daya. Sebaliknya, karyawan yang berbeda memiliki akses ke sumber daya yang berbeda. Perusahaan menggunakan berbagai proses untuk menentukan karyawan mana yang dapat mengakses suatu sumber daya berdasarkan apa yang mereka butuhkan untuk pekerjaan mereka. Dengan membatasi akses ke materi-materi tertentu, bisnis memiliki cara untuk melindungi data paling kritis mereka – termasuk kekayaan intelektual, identitas konsumen, catatan medis, informasi gaji, dan lain sebagainya. Selain itu, ini dapat menjadi alat untuk membantu karyawan menemukan sumber daya dan informasi yang mereka butuhkan lebih cepat tanpa harus menyelam ke setiap dokumen dan folder perusahaan. Secara umum, organisasi mengikuti prinsip kekuasaan terkecil dalam memberikan akses informasi. Pendekatan ini memastikan bahwa pengguna dan karyawan hanya memiliki akses ke informasi yang diperlukan untuk peran mereka dan tidak lebih dari itu. Kerusakan yang dapat dilakukan oleh pelaku jahat potensial diminimalkan.
Poin Utama
- Otorisasi adalah praktik terbaik yang penting baik untuk keamanan maupun kepatuhan.
- Tidak hanya otorisasi melindungi informasi Anda, tetapi juga menjaga privasi konsumen dan dapat melindungi perusahaan dari denda akibat pelanggaran kepatuhan.
- Meskipun otorisasi tidak selalu mudah dalam organisasi besar, proses pengendalian akses yang tepat dapat membantu mengurangi kesulitan ini dan melindungi pengguna, data, dan pelanggan.
- Ikuti prinsip kekuasaan terkecil saat menetapkan parameter otorisasi.
Penjelasan tentang Otorisasi
Mengapa kita membutuhkan otorisasi? Ada dua alasan utama. Pertama, Anda ingin melindungi informasi bisnis Anda dari pelaku jahat baik dari dalam maupun luar perusahaan. Jika seorang karyawan kehilangan atau memiliki kredensial yang dicuri, mengontrol data yang mungkin rentan adalah penting. Salah satu tujuan otorisasi adalah memastikan setiap karyawan hanya memiliki akses ke sistem dan informasi yang mereka butuhkan untuk pekerjaan mereka, bukan semua data bisnis. Dengan cara ini, jika pencuri berhasil mencuri kredensial, mereka akan terbatas dalam seberapa banyak informasi yang dapat mereka akses.
Alasan kedua berkaitan dengan kepatuhan. Misalnya, Undang-Undang Portabilitas dan Tanggung Jawab Asuransi Kesehatan (HIPAA) mensyaratkan bahwa dokumen seperti catatan medis harus dijaga kerahasiaannya. Tidak semua karyawan harus memiliki akses ke informasi pasien, dan mereka yang memiliki akses tersebut harus menjalani pelatihan secara berkala, serta informasi tersebut harus memiliki lapisan keamanan tambahan.
Jika Departemen Kesehatan dan Layanan Manusia (HHS) Amerika Serikat menemukan bahwa karyawan atau pihak lain secara tidak benar mengakses atau mengungkapkan catatan pasien, HHS dapat memberikan denda kepada organisasi tersebut atas pelanggaran kepatuhan ini. Dengan membatasi akses, menyediakan pelatihan, dan memantau dengan cermat akses ke informasi rahasia, organisasi perawatan kesehatan dapat melindungi pasien sambil juga menghindari denda dan tanggung jawab hukum. Banyak organisasi lain, termasuk di luar ruang perawatan kesehatan, tunduk pada kontrol serupa. Misalnya, sekolah dan perusahaan yang bekerja dengan siswa diatur oleh aturan serupa dalam Undang-Undang Hak Pendidikan Keluarga dan Privasi (FERPA), yang melindungi privasi catatan siswa. Informasi lain yang perlu dilindungi termasuk informasi pribadi karyawan, seperti nomor keamanan sosial, dan informasi pelanggan, seperti nomor kartu kredit.
Bagaimana Otorisasi Bekerja
Pada tingkat dasarnya, otorisasi memungkinkan akses ke aplikasi dan informasi tertentu dengan menggunakan nama pengguna dan kata sandi. Seorang pengguna mungkin diotorisasi untuk mengakses pemroses kata, klien email, CRM, dan lainnya. Dengan otorisasi dasar, pengguna akan memiliki ID pengguna dan kata sandi yang berbeda untuk setiap sistem. Misalnya, karyawan Anda mungkin membutuhkan satu login untuk CRM, yang lain untuk email mereka, yang lain untuk mengakses server, dan seterusnya. Ketika mereka membutuhkan akses ke sistem atau informasi baru, mereka mengirim permintaan kepada seorang administrator, yang meninjau permintaan tersebut dan kemudian memberikan kredensial login tambahan.
Otorisasi dasar memiliki beberapa tantangan.
- Tidak dapat ditingkatkan. Ketika perusahaan berkembang, melacak secara manual karyawan mana yang memiliki akses ke program dan informasi menjadi beban yang tidak dapat dipertahankan untuk dilakukan secara manual oleh administrator.
- Tidak nyaman. Tanpa adanya layanan satu kali login, karyawan Anda harus mengingat beberapa nama pengguna dan kata sandi terpisah hanya untuk melakukan pekerjaan mereka. Hal ini juga dapat mengakibatkan perilaku yang tidak aman seperti menulis kata sandi di catatan post-it.
- Tidak aman. Misalkan seorang pengguna perlu membuat permintaan akses untuk mengakses satu catatan keuangan. Dengan otorisasi dasar, administrator mungkin harus memberikan akses ke seluruh basis data kepada karyawan tersebut dan kemudian mengingat untuk mencabut akses tersebut nanti. Hal ini dapat menimbulkan masalah keamanan dan kepatuhan, tergantung pada informasi yang disimpan.
Protokol otorisasi yang kuat memiliki sistem untuk dengan cepat dan otomatis menghasilkan hak klien untuk karyawan, sistem log masuk tunggal (single sign-on), dan proses offboarding yang secara otomatis mengakhiri akses sementara ke sistem-sistem penting setelah tidak lagi diperlukan.
Otorisasi vs Otentikasi
Otentikasi dan otorisasi sering kali digunakan secara bergantian, tetapi ada beberapa perbedaan penting. Otentikasi adalah cara bagi pengguna untuk memverifikasi bahwa mereka adalah mereka yang mengaku. Hal ini dapat dilakukan melalui nama pengguna dan kata sandi. Dan semakin populer adalah otentikasi dua faktor. Ini membutuhkan tidak hanya nama pengguna dan kata sandi, tetapi juga lapisan keamanan tambahan melalui perangkat lain, biasanya melalui aplikasi telepon atau kode yang dikirim melalui pesan teks ke telepon pengguna. Otorisasi mengikuti otentikasi. Hanya karena pengguna sudah diautentikasi, ini tidak berarti mereka mendapatkan akses ke semua aplikasi, layanan, dan data dalam jaringan perusahaan. Sebaliknya, mereka hanya dapat mengakses sumber daya yang mereka diizinkan untuk digunakan.
Dua langkah pengendalian akses, otorisasi dan otentikasi, keduanya diperlukan agar pengguna dapat berinteraksi dengan jaringan perusahaan. Jika pengguna tidak diautentikasi, mereka tidak dapat menggunakan layanan apa pun karena mereka tidak dapat masuk ke dalam jaringan. Jika seorang pengguna tidak diotorisasi, mereka tidak akan dapat menggunakan layanan apa pun bahkan jika mereka sudah diautentikasi.
Mengapa Menggunakan Otorisasi?
Otorisasi digunakan untuk alasan keamanan, kepatuhan, dan operasional.
Ini sangat penting untuk keamanan informasi karena mewakili salah satu komponen terdalam dari konsep yang dikenal sebagai “pertahanan dalam kedalaman” (“defense in depth”). Ide dari pertahanan dalam kedalaman adalah bahwa sebuah perusahaan harus menempatkan banyak aplikasi keamanan informasi – firewall, alat pemantauan, dan manajemen identitas, sebagai contoh – di sekitar perimeter jaringan perusahaan. Jika seorang penyerang berhasil melewati satu aplikasi, aplikasi lain masih memiliki peluang baik untuk memitigasi serangannya. Namun, bahkan pertahanan dalam kedalaman dapat digagalkan jika kredensial karyawan dicuri. Namun, jika setiap karyawan hanya memiliki akses ke sejumlah kecil data yang relatif tidak penting, seorang penyerang perlu mencuri beberapa kredensial untuk melancarkan serangan yang signifikan. Hal ini memberikan peluang yang lebih besar bagi mereka untuk tertangkap dan dihentikan.
Salah satu ilustrasi terbaik tentang otorisasi untuk alasan kepatuhan adalah HIPAA, yang bertujuan melindungi data pasien yang bersifat pribadi. Namun, industri lain juga perlu mematuhi aturan dalam melindungi informasi rahasia, seperti data pelanggan dan karyawan. Jika hal-hal seperti nomor kartu kredit atau informasi pribadi karyawan menjadi rentan, perusahaan Anda dapat bertanggung jawab atas kerugian, belum lagi kemungkinan kehilangan anggota tim berharga atau pelanggan serta dampak negatif terhadap citra perusahaan.
Otorisasi juga merupakan komponen kunci dari operasi banyak tempat kerja. Memastikan karyawan Anda memiliki cukup informasi untuk menyelesaikan pekerjaan mereka, tetapi tidak terbebani dengan sumber daya data perusahaan secara keseluruhan, dapat membantu meningkatkan efisiensi kerja. Dan log masuk tunggal (single sign-on) dapat memudahkan mereka untuk mengakses informasi dan sumber daya yang diperlukan, serta membuat otorisasi lebih aman.
Pemanfaatan Otorisasi
Mencegah karyawan yang tidak diotorisasi untuk melihat data kritis adalah alasan lain mengapa otorisasi sangat penting. HIPAA adalah contoh yang sangat baik mengapa hal ini kritis, tetapi mari kita lihat beberapa contoh lain tentang bagaimana proses ini terlihat dalam konteks kepatuhan.
Pengakhiran karyawan yang sudah tidak bekerja
Tidak semua karyawan meninggalkan organisasi dengan baik. Jika karyawan merasa telah diberhentikan secara tidak adil, mereka mungkin mencoba mencuri informasi berharga saat keluar. Bisnis dapat menggunakan proses otorisasi untuk secara otomatis mengakhiri akses akun perusahaan setelah berpisah dengan personel.
Bekerja dengan vendor dan kontraktor
Bisnis sering kali perlu berbagi informasi dengan pihak ketiga. Misalnya, sebuah bisnis mungkin bekerja dengan penyedia layanan yang dikelola untuk memigrasikan aplikasi mereka ke cloud. Di sini, penyedia layanan yang dikelola perlu mengakses aplikasi dan data mereka. Dengan otorisasi, bisnis dapat memberikan hak klien kepada vendor, memungkinkan mereka untuk melihat informasi ini dan memindahkannya, tetapi mencegah mereka untuk mengedit atau menghapus data mereka.
Mengurangi penumpukan hak istimewa (privilege creep)
Penumpukan hak istimewa berarti karyawan secara bertahap mengumpulkan izin yang tidak mereka butuhkan. Misalnya, jika seorang karyawan pindah dari bagian penjualan ke bagian pembayaran, tetapi masih mempertahankan izin penjualan. Karyawan ini mungkin masih memiliki akses ke CRM, meskipun sebenarnya tidak lagi membutuhkannya. Hal ini membuat karyawan menjadi potensi risiko keamanan – jika kredensialnya dicuri, ini membuka peluang kerentanan yang lebih besar bagi bisnis. Dengan menggunakan proses yang mutakhir, administrator dapat mendeteksi apakah karyawan memiliki izin yang tidak mereka butuhkan, dan kemudian membatalkannya.
Pendekatan dan Metode Otorisasi
Otorisasi digunakan dalam banyak konteks untuk membela bisnis dan informasi kritis mereka, tetapi bagaimana cara melakukannya? Ada beberapa metode, masing-masing dengan keunggulannya sendiri. Tujuan utamanya adalah membuat manajemen otorisasi di seluruh perusahaan menjadi mudah, sambil membuat sulit bagi karyawan untuk mengumpulkan izin yang tidak mereka butuhkan.
Otorisasi berbasis token
Salah satu perhatian utama dalam mengelola otorisasi tanpa log masuk tunggal adalah bahwa karyawan sering merasa tidak nyaman, dan mereka akan mencari cara untuk mengatasinya jika diperlukan. Misalnya, bayangkan jika karyawan perlu memasukkan salah satu dari beberapa kata sandi yang berbeda setiap kali mereka meninggalkan komputer atau berpindah dari satu situs web ke situs web lainnya. Mereka mungkin merasa bahwa produktivitas mereka menjadi lambat, dan mereka cenderung menggunakan praktik yang tidak aman.
Dengan otorisasi berbasis token, pengguna hanya perlu masuk ke aplikasi sekali. Sebagai gantinya, mereka menerima sebuah token dari sistem. Token ini berupa file teks kecil yang disimpan di browser pengguna. Selama pengguna terus menyimpan token tersebut, mereka dapat tetap masuk ke layanan tanpa perlu melakukan otentikasi ulang.
Kontrol akses berbasis peran (RBAC)
Otorisasi berbasis token berfungsi dengan baik, tetapi biasanya digunakan bersama dengan sistem lainnya. Bagaimana seorang administrator memahami sistem mana yang harus diberikan token otorisasi? Seringkali, hal ini dilakukan menggunakan kontrol akses berbasis peran (RBAC).
RBAC dengan cepat memberikan izin kepada karyawan baru dan yang sudah ada berdasarkan peran mereka dalam sebuah organisasi. Dengan RBAC, Anda mulai dengan membuat daftar terlebih dahulu dari setiap posisi dalam perusahaan dan kemudian menentukan sumber daya apa yang dapat diakses oleh posisi tersebut. Tidak perlu waktu untuk memikirkan izin mana yang harus dimiliki oleh setiap karyawan setelah mereka dipekerjakan – keputusan tersebut telah dibuat sebelumnya.
Metode ini umum digunakan oleh perusahaan dengan jumlah karyawan yang banyak, tetapi dapat memiliki beberapa kekurangan. Misalnya, jika seorang karyawan membutuhkan akses ke sumber daya baru, administrator perlu menangani permintaan tersebut secara individu. Hal ini tidak mudah bagi perusahaan besar untuk memproses permintaan-permintaan ini secara cepat dan kemudian mencabut akses ketika tidak lagi diperlukan.
Daftar kontrol akses (ACLs)
RBAC berfungsi dengan menentukan aplikasi dan file apa yang dapat diakses oleh peran tertentu dan kemudian menempatkan pengguna dalam peran tersebut. Daftar kontrol akses (ACLs) bekerja sebaliknya. Alih-alih memulai dengan peran dan kemudian melampirkan daftar aplikasi yang dapat diakses oleh peran tersebut, ACLs dimulai dengan aplikasi dan file.
Misalkan seorang pengguna – kita sebut dia Bob Smith – ingin masuk ke dalam sebuah database. Setelah Bob mengotentikasi kredensialnya, aplikasi tersebut memeriksa daftar kontrol akses yang ada di dalamnya untuk melihat apakah nama Bob terdaftar di sana. Jika nama Bob terdaftar dalam daftar tersebut, maka dia dapat mengakses aplikasi tersebut.
Dalam beberapa kasus, RBAC agak lebih mudah digunakan daripada ACLs karena sulit untuk pergi ke setiap aplikasi dalam sebuah organisasi dan menambahkan nama pengguna ke dalam daftar jika dia diizinkan untuk menggunakannya.
ACLs memiliki penggunaan keamanan ketika berhubungan dengan batas jaringan. Karena ACLs dapat diterapkan pada infrastruktur, seperti router, administrator dapat menempatkan ACLs pada router yang mengendalikan tepi jaringan. Di sini, ACLs tidak hanya mengontrol kredensial mana yang diotorisasi untuk mengakses jaringan – mereka juga berfungsi sebagai filter lalu lintas. Berdasarkan karakteristik seperti alamat IP dan nomor port dari paket-paket yang masuk, ACL dapat menerima atau menolak lalu lintas tertentu, sehingga menambah keamanan jaringan
Contoh-contoh Otorisasi
Apa itu otorisasi? Berikut beberapa contoh. Ini termasuk metodologi yang agak jarang dibandingkan dengan otorisasi berbasis token, RBAC, atau ACLs, tetapi mungkin menjadi lebih umum dalam beberapa tahun mendatang saat perusahaan mencari metode otorisasi yang lebih baik untuk meningkatkan keamanan.
Kontrol akses berbasis atribut (ABAC)
Dalam proses ini, pengguna secara langsung terkait dengan atribut yang memberikan akses kepada mereka ke sumber daya. Salah satu contoh yang sering digunakan adalah kunci USB yang aman. Memiliki kunci USB yang aman adalah suatu atribut, dan memiliki kunci tersebut dapat memberikan akses ke file dan aplikasi yang sensitif dalam sebuah organisasi.
Kontrol akses melalui perangkat seluler
Kontrol ini mirip dengan ABAC. Namun, alih-alih memiliki atribut apa pun, atribut yang dimaksud di sini adalah memiliki smartphone. Secara khusus, pengguna mengunduh aplikasi kredensial seluler dan kemudian menggunakan smartphone mereka untuk otentikasi. Otorisasi mereka juga disimpan di perangkat mereka. Contoh penggunaan ini adalah menggunakan ponsel untuk melakukan pembayaran seluler – dengan mengetuk ponsel pada mesin PIN, kredensial pengguna divalidasi, yang kemudian memberi mereka otorisasi untuk menukar uang dengan barang dan jasa.
Kontrol akses berbasis graf (GBAC)
Di sini, alih-alih mengonfigurasi akses berdasarkan karyawan atau peran, izin dikonfigurasi pada level objek seperti file dan aplikasi. Hak akses dihasilkan menggunakan bahasa kueri daripada secara lengkap mencantumkan izin yang ditugaskan untuk setiap peran, yang mengurangi beban kerja.
NetSuite menawarkan sistem kontrol akses yang fleksibel dan sangat dapat disesuaikan yang kompatibel dengan proses otorisasi yang sudah diimplementasikan oleh administrator. Sistem ini mempromosikan keamanan dan kepatuhan, memungkinkan Anda untuk fokus pada kompetensi inti sambil melindungi pengguna dan pelanggan.
FAQs tentang Otorisasi
Bagaimana otorisasi digunakan?
Otorisasi digunakan bersamaan dengan otentikasi. Otentikasi terjadi ketika pengguna memasukkan kredensial mereka, seperti nama pengguna dan kata sandi. Otorisasi adalah apa yang diberikan kepada pengguna sebagai imbalan – akses ke berbagai file, aplikasi, dan layanan.
Bagaimana otorisasi bekerja?
Izin ditambahkan ke peran-peran yang telah ditentukan dalam bentuk otorisasi yang banyak digunakan yang dikenal sebagai kontrol akses berbasis peran (RBAC). Setelah seorang pengguna ditugaskan ke sebuah peran, mereka menerima semua izin yang termasuk dalam peran tersebut.
