Professional Documents
Culture Documents
Berikut ini adalah cara mengatur risiko cloud computing bagi pengguna dan penyedia jasa cloud
computing.
1. Cloud Subscriber
a. Resiliency and Availability
Mendefinisikan kembali kebijakan dan standar keberlanjutan operasi untuk
replikasi data dan backup
Menetapkan kembali kesediaan metrik dan standar
b. Security Operations
Menciptakan kebijakan dan standar keamanan operasi secara eksplisit untuk
cloud computing
Mempertimbangkan pendekatan berbasis kebijakan untuk secara konsisten
2. Cloud Provider
a. Resiliency and Availability
Mendefinisikan proses untuk replikasi, failover, dan rekonstitusi jasa terkait
gangguan
Menilai kembali ketersediaan komitmen dan hasil uji ketaatan dengan SLAs
b. Security Operations
Menciptakan Security Operation Center (SOC)
Mendefinisikan kemampuan penilaian, pelaporan, dan respons
Mempertimbangkan pendekatan berbasis kebijakan untuk secara konsisten
mengatur cloud systems
c. Application Development
Menciptakan review kode pada tingkat aplikasi, memperketat proses SDLC,
dan menyediakan notifikasi untuk manajemen perubahan dan peluncuran
Menawarkan proses penerimaan perubahan mandiri
d. Enterprise Resource Planning (ERP)
Menetapkan zona keamanan, proteksi data, dan proses penyediaan akses
The National Institute of Standards and Technology (NIST) SP 800- 30 Risk Management
Guide for Information Technology Systems mendefinisikan aktivitas penilaian risiko dalam 9
langkah:
1.
2.
3.
4.
5.
6.
7.
8.
9.
System Characterization
Threat Identification
Vulnerability Identification
Control Analysis
Likelihood Determination
Impact Analysis
Risk Determination
Control Reccomendation
Results Documentation
NIST SP 800-144
Public Clouds Panduan keamanan dan privasi dalam public clouds
NIST SP 800-53
Pengendalian privasi dan keamanan untuk sistem informasi federal dan organisasi
2. Cloud Disadvantages
a. Confidentiality and Security: Data paling sensitif suatu organisasi akan eksis pada
platform yang sama dengan kompetitior mereka. Sebagai tambahan, data bisa
terekspos ke penyedia jasa cloud computing. Sebagai tambahan pada konsen
kompetitif mereka sendiri, organisasi bisa diikat oleh beberapa tipe aturan nasional
atau internasional terlepas dari keputusan emreka untuk mendelegasikan tanggung
jawab kepatuhan kepada penyedia jasa pihak ketig ayang berada di suatu negara
dilingkupi oleh regulasi nasionalyang berbeda.
b. Mission-critical Applicaations: Hal ini sekarang menjadi tanggung jawab dari pihak
ketiga dan, terlepas dari penalti untuk ketidak patuhan terhadap perjanjian tingkat
jasa, saat suatu aplikasi sangat bersifat kritis, organisasi cenderung tidak mau mengoutsource tanggung jawab. Hal ini bisa menghasilkan sistem hybrid sebagai bagian
dari cloud dan bagian in-sourced. Hal ini bisa membawa kelemahanyang terburuk
dari kedua sistem dan menghilangkan banyak keuntungan.
c. Availability and Contingency Planning: Sementara tnaggung jawab untuk menjamin
backup yang memadai dan disaster recovery plans untuk melindungi aktivitas user
dalam kejadian alam atau buatan manusia terletak pada penyedia jasa, beberapa
organisasi mungkin kkurang senang menerima jaminan penyedia jasa cloud tanpa
kemampuan untuks ecara independen mengaudit efektivitas dan menguji rencana.