Apa itu privileged identity management (PIM)?
Privileged identity management (PIM) adalah proses pemantauan dan perlindungan terhadap akun-akun superuser yang memiliki hak akses istimewa ke lingkungan TI suatu organisasi.
Pengawasan terhadap akun superuser sangat penting supaya hak akses yang luas ini tidak disalahgunakan, diselewengkan, atau diabaikan. Tanpa pengawasan, akun-akun ini bisa tidak dikelola dengan baik dan bisa berujung pada hilangnya atau pencurian informasi sensitif milik perusahaan, bahkan penyebaran malware yang dapat mengancam seluruh jaringan TI perusahaan.
PIM merupakan proses atau program untuk mengidentifikasi akun-akun istimewa atau biasa disebut superuser accounts dalam suatu organisasi. Langkah ini membantu pemantauan, pengendalian, dan pengelolaan hak akses dari tiap superuser terhadap sumber daya organisasi, dengan tujuan utama untuk melindungi aset-aset tersebut dari kerusakan atau ancaman. Selain tersedia di berbagai platform sistem operasi, PIM juga merupakan layanan resmi di bawah Microsoft Entra ID.
Superuser seperti administrator basis data dan administrator sistem bisa melakukan hal-hal yang nggak bisa dilakukan pengguna biasa, contohnya: mengubah password user lain, menambahkan/menghapus/memodifikasi profil pengguna, mengubah konfigurasi jaringan atau perangkat, menginstal program baru di endpoint perusahaan, atau bahkan memodifikasi database dan server perusahaan.
Untuk mencegah penyalahgunaan akun superuser dan melindungi organisasi, sangat penting untuk memantau akun-akun ini selama 24/7. Selain itu, perlu juga membatasi jumlah akun superuser dan menghapus atau memodifikasinya saat hak aksesnya tidak lagi diperlukan, misalnya ketika karyawan tersebut sudah resign. Karena itulah, PIM menjadi elemen penting dalam program keamanan siber dan informasi di perusahaan.
PIM umumnya diterapkan untuk mengelola akun-akun superuser yang punya akses ke aset-aset penting atau sensitif, seperti file, akun pengguna, dokumen, hak kekayaan intelektual, rahasia bisnis, kode aplikasi, basis data, sistem keamanan, atau apapun yang kalau sampai bocor bisa berdampak serius ke perusahaan.
Kenapa privileged identity management penting untuk perusahaan?
Di banyak organisasi, akun superuser seperti milik administrator basis data, CIO, dan CEO sering kali dikelola dengan longgar. Sistem manajemen identitas biasanya tidak mengatur akun-akun ini dengan ketat, padahal mereka punya akses penuh ke jaringan perusahaan. Lebih parahnya lagi, pemilik akun tersebut sering nggak punya pelatihan khusus untuk mengelolanya, apalagi soal perlindungan dari penyalahgunaan.
Kalau akun-akun superuser ini tidak dikendalikan dengan baik, aktor ancaman bisa saja mengambil alih akun tersebut dan mengakses data atau aset sensitif perusahaan. Mereka juga bisa mengeksploitasi kerentanan di sistem untuk mencuri kredensial dan kemudian menggunakannya buat membobol sistem internal.
Dalam beberapa kasus, penyerang bisa menggunakan kredensial superuser yang dicuri untuk menyusup ke jaringan dan bertahan dalam jangka panjang untuk memata-matai atau merusak sistem secara perlahan. Serangan kayak gini dikenal sebagai ancaman persisten tingkat lanjut (APT), dan biasanya muncul karena kurangnya PIM yang baik.
Dengan menerapkan kontrol dan langkah PIM, organisasi bisa memantau semua akun dengan hak akses tinggi. Ini membantu memastikan bahwa hanya akun yang berwenang yang bisa mengakses data sensitif. Risiko keamanan dari penyalahgunaan juga bisa diminimalkan.
Manfaat privileged identity management
Program PIM yang kuat bikin tim keamanan punya visibilitas lebih luas terhadap semua akun dan pengguna istimewa di perusahaan. Visibilitas ini penting buat mengendalikan akses dan melindungi sistem perusahaan, terutama yang menyimpan data sensitif.
Tanpa PIM, akan sulit mengidentifikasi dan mengelola akun superuser. Akun-akun yang udah nggak aktif — misalnya karena peran superusernya berubah atau dia sudah resign — tapi masih bisa digunakan, bisa jadi celah keamanan serius. Akun semacam itu rawan disalahgunakan oleh aktor jahat. Strategi PIM yang berkelanjutan akan memastikan akun-akun seperti ini dicek secara berkala dan dihapus kalau memang udah nggak dipakai lagi.
PIM juga membantu perusahaan memenuhi regulasi dan kepatuhan. Banyak standar, seperti GDPR, mewajibkan bahwa hanya orang-orang tertentu saja yang boleh punya akses superuser terhadap data penting. Tools dan kebijakan PIM akan membantu tim keamanan dan kepatuhan untuk mengikuti aturan ini dengan baik.
Keuntungan lainnya dari PIM adalah proses pemberian dan pencabutan akses jadi lebih mudah. Dengan adanya alat otomatisasi dan workflow yang dirancang dengan baik, proses manajemen superuser bisa dilakukan tanpa ribet, sekaligus tetap menjaga postur keamanan organisasi.
Strategi implementasi privileged identity management
Buat menerapkan PIM, ada beberapa strategi yang bisa kamu ikuti:
- Buat kebijakan yang jelas soal bagaimana akun superuser dikelola dan batasan apa saja yang berlaku bagi pemilik akun.
- Kembangkan model manajemen yang menunjuk siapa yang bertanggung jawab dalam menegakkan kebijakan tersebut.
- Lakukan inventarisasi akun-akun istimewa untuk tahu seberapa banyak dan siapa saja pemiliknya.
- Gunakan tools dan proses manajemen seperti alat provisioning atau produk PIM khusus.
Selain itu, penting juga untuk mengidentifikasi permukaan serangan atau semua aset TI yang rawan disalahgunakan jika akun istimewa jatuh ke tangan yang salah. Dengan mengetahui aset paling kritis, kamu bisa menyusun kebijakan dan program PIM yang lebih efektif.
Penerapan autentikasi dua faktor atau multifaktor, kebijakan kata sandi yang ketat, dan pemantauan aktivitas akun superuser juga merupakan bagian penting dari PIM yang bisa bantu lindungi perusahaan dari aktor jahat.
Perbedaan privileged identity management vs privileged access management
Istilah privileged identity management dan privileged access management (PAM) sering dianggap sama, padahal keduanya punya perbedaan walaupun saling berkaitan. Secara garis besar, PIM merupakan bagian dari cakupan PAM.
PAM mencakup manajemen akun dan kredensial istimewa, serta hak akses dari akun-akun tersebut. Jadi selain mengidentifikasi siapa superuser-nya, PAM juga mengatur level akses apa saja yang dimiliki masing-masing superuser terhadap aset perusahaan.
Alat PAM juga digunakan untuk memantau aktivitas superuser agar tidak disalahgunakan, baik oleh pemiliknya maupun oleh aktor jahat yang berhasil mencuri kredensialnya.