Menavigasi Risiko Semasa Proses Peralihan Ke Cloud | BAHAGIAN AUDIT DALAM
» ARTIKEL » Menavigasi Risiko Semasa Proses Peralihan ke Cloud

Senarai Artikel
Menavigasi Risiko Semasa Proses Peralihan ke Cloud

Carian Artikel Oleh : Pn. Nurfarah Hanani, Akauntan Bahagian Audit Dalam

Sumber : https://www.isaca.org/resources/news-and-trends/industry-news/2024/navigating-risk-when-transitioning-to-the-cloud

 

Memandangkan landskap digital semakin kompleks, mendahului pelaku ancaman siber dan mengurus risiko siber adalah keutamaan bagi ramai Ketua Pegawai Eksekutif (CEO) dan Ahli Lembaga Pengarah. Menurut laporan oleh Protiviti Global Business Consulting, eksekutif menganggap ancaman siber sebagai salah satu faktor risiko jangka panjang yang paling mendesak yang mereka hadapi.

Pada masa yang sama, banyak organisasi semakin beralih operasi mereka ke awan untuk meningkatkan ketangkasan, kebolehskalaan dan kecekapan. Walau bagaimanapun, risiko yang wujud akibat ancaman siber yang mengiringi mesti dinilai dan diuruskan dalam konteks selera risiko organisasi. Contoh sumber risiko yang wujud yang terpakai pada domain awan termasuk keselamatan data, keselamatan aplikasi, salah konfigurasi, pengurusan identiti dan akses dan risiko vendor. Pengurusan risiko siber yang berkesan di dalam dan di atas awan adalah penting untuk melindungi data sensitif, mengekalkan kesinambungan perniagaan dan mencapai pematuhan peraturan. Menyedari bahawa organisasi mungkin bergantung pada vendor pihak ketiga untuk perkhidmatan dan kawalan awan tertentu juga merupakan bahagian penting dalam teka-teki ini.

Untuk melaksanakan peralihan yang selamat dan berjaya ke awan, adalah penting untuk meneroka pertimbangan dan strategi utama untuk pengurusan risiko siber yang mantap.

Penilaian Risiko

Sebelum beralih ke awan, adalah penting untuk menjalankan penilaian risiko umum bagi mengenal pasti dan menilai ancaman siber, kelemahan dan potensi impaknya. Untuk menjalankan penilaian yang komprehensif, adalah penting untuk melibatkan semua pihak berkepentingan utama, termasuk pengurusan eksekutif, lembaga pengarah (BoD), dan fungsi IT, keselamatan maklumat, perniagaan, risiko dan pematuhan.

Sebagai sebahagian daripada strategi penerimaan awan, sebelum beralih kepada awan, adalah penting untuk menjalankan penilaian risiko bagi mengenal pasti dan menilai ancaman siber, kelemahan dan potensi impaknya.

Pengurangan Risiko

Sebaik sahaja sesebuah organisasi menilai risiko yang dikenal pasti dalam penilaian risiko, ia kemudiannya boleh membangunkan strategi pengurangan untuk mengurus risiko dalam lingkungan selera risiko yang diluluskan.

Pengelasan dan Perlindungan Data

Mengklasifikasikan data dengan betul selaras dengan dasar dan piawaian organisasi adalah penting untuk perlindungan yang mencukupi, yang mengurangkan kemungkinan kehilangan data atau pelanggaran peraturan privasi. Pendedahan sedemikian berpotensi mengakibatkan kehilangan kepercayaan pelanggan dan pihak berkepentingan. Melaksanakan alat penyulitan untuk melindungi data semasa transit dan semasa penyimpanan membantu mengurangkan risiko akses tanpa kebenaran dan pelanggaran keselamatan. Adalah penting untuk memastikan kunci penyulitan diuruskan dengan sewajarnya menggunakan sistem pengurusan kunci untuk melindungi maklumat sensitif. Pengurusan kunci penyulitan yang salah boleh menyebabkan operasi terganggu, ketidakpatuhan terhadap peraturan dan pelanggaran data. Tambahan pula, mengklasifikasikan data dengan betul berdasarkan sensitiviti dan kepentingan membantu mengenal pasti set data dan aplikasi utama.

Pengurusan Identiti dan Akses

Melaksanakan dasar pengurusan identiti dan akses (IAM) yang mantap untuk mengawal dan memantau akses kepada sumber dan aset teknologi dalam awan merupakan kawalan utama, kerana ia mengesahkan pengguna dan mengawal selia akses kepada sistem, rangkaian dan data. Antara cabaran dengan IAM yang meningkatkan risiko siber termasuk:

  • Amalan peruntukan dan penyahperuntukan pengguna yang lemah (cth., akaun bekas pekerja tidak dinyahperuntukan tepat pada masanya)
  • Terlalu banyak akaun pentadbir sistem yang diurus dengan buruk, terutamanya dengan keistimewaan yang tinggi, yang boleh disasarkan oleh penyerang untuk mendapatkan akses kepada maklumat berharga
  • Konfigurasi salah identiti awan yang terlalu istimewa, menawarkan lebih banyak kebenaran daripada yang diperlukan untuk sesuatu peranan
  • Kawalan keselamatan aplikasi yang lemah seperti membenarkan kata laluan yang mudah diteka

Melaksanakan pengesahan berbilang faktor (MFA) atau teknik yang serupa meningkatkan keselamatan dengan ketara. Satu lagi aspek penting IAM ialah semakan dan kemas kini keistimewaan akses secara berkala untuk mematuhi prinsip keistimewaan paling sedikit, memastikan pengguna hanya mempunyai akses yang diperlukan pada bila-bila masa. Kaedah pengesahan pengguna yang lebih maju tertumpu pada biometrik tingkah laku. Bentuk pengesahan ini menganalisis corak tingkah laku manusia seperti gaya berjalan, pergerakan tetikus, ketukan kekunci dan gerak isyarat.

Penilaian Risiko Vendor

Menilai langkah-langkah keselamatan vendor awan pihak ketiga adalah penting untuk mengurus risiko siber organisasi yang berkaitan dengan penggunaan penyedia perkhidmatan awan. Adalah juga penting untuk menyemak dan mengemas kini penilaian keselamatan vendor secara berkala, kerana landskap ancaman sentiasa berubah.

Untuk mengurus risiko, adalah penting untuk memahami model tanggungjawab bersama untuk awan dan menilai sama ada amalan keselamatan penyedia perkhidmatan pihak ketiga selaras dengan piawaian keselamatan organisasi. Walau bagaimanapun, dalam praktiknya, adalah sukar untuk menentukan postur keselamatan penyedia pihak ketiga disebabkan oleh kekurangan maklumat atau keupayaan untuk merundingkan terma kontrak yang menguntungkan dengan pihak ketiga. Kontrak dengan vendor awan harus, sekurang-kurangnya, merangkumi peruntukan untuk tahap keselamatan yang sesuai yang memenuhi selera risiko organisasi.

Organisasi sering menggunakan soal selidik penilaian keselamatan pihak ketiga tetapi mungkin tidak menerima respons yang lengkap, terutamanya jika soal selidik kelihatan panjang atau kompleks. Sumber maklumat lain yang perlu dipertimbangkan dan dimanfaatkan untuk menilai postur keselamatan penyedia perkhidmatan pihak ketiga termasuk laporan audit bebas dan keputusan ujian lain daripada penyedia, penyedia risikan atau penyedia perkhidmatan penarafan risiko.

Pemantauan dan Pengauditan Berterusan

Memantau dan mengaudit kawalan secara berkala untuk mengurangkan risiko, seperti aktiviti pengesanan dalam persekitaran awan, adalah sama pentingnya dengan reka bentuk kawalan awal. Tanpa pemantauan yang betul, sukar untuk mengesan dan bertindak balas terhadap ancaman keselamatan dan isu prestasi yang mungkin timbul. Kekurangan pemantauan berterusan boleh menyebabkan kehilangan data, masa henti dan produktiviti yang berkurangan. Organisasi yang mempunyai persekitaran kawalan matang biasanya menjalankan audit konfigurasi, log akses dan kawalan keselamatan secara berkala.

Perancangan Tindak Balas Insiden

Membangunkan pelan tindak balas insiden yang komprehensif yang disesuaikan dengan persekitaran awan dan mempunyai kapasiti untuk bertindak balas apabila peristiwa siber berlaku juga penting. Pelan tindak balas insiden yang baik merangkumi penerangan yang jelas tentang peranan dan tanggungjawab, menetapkan protokol komunikasi dan memerlukan ujian berkala untuk memastikan tindak balas yang tepat pada masanya dan berkesan terhadap sebarang insiden keselamatan siber.

Jika pelan tindak balas insiden tidak diuji, ia mungkin tidak berfungsi seperti yang dijangkakan semasa kecemasan, sekali gus menyebabkan organisasi gagal membendung dan pulih daripada insiden dengan segera. Pengujian berkala pelan tindak balas insiden adalah penting dalam mengurangkan tahap keterukan impak serangan siber. Institut Piawaian dan Teknologi Kebangsaan AS (NIST) menyediakan panduan tindak balas insiden.2 Empat komponen utama dalam panduan NIST adalah seperti berikut:

  1. Persediaan—Mewujudkan dan mengekalkan keupayaan tindak balas insiden
  2. Pengesanan dan analisis—Mengenal pasti dan memahami sifat insiden
  3. Pembendungan, pembasmian dan pemulihan—Membendung insiden untuk mencegah kerosakan selanjutnya, membasmi punca dan memulihkan sistem yang terjejas kepada operasi normal
  4. Aktiviti pasca insiden—Belajar daripada insiden untuk menambah baik usaha tindak balas masa hadapan

Komponen-komponen ini harus disepadukan ke dalam proses kitaran untuk memastikan penambahbaikan dan penyesuaian berterusan terhadap ancaman yang muncul.

Kesimpulan

Keselamatan awan dan mencapai tahap kematangan yang selaras dengan selera risiko organisasi adalah satu perjalanan yang berterusan. Mengamalkan pendekatan pengurusan risiko siber yang proaktif dan komprehensif adalah kunci bagi organisasi untuk merealisasikan manfaat awan sambil melindungi aset, reputasi dan kepercayaan pelanggan dan pihak berkepentingan utama yang lain.

Apabila berhijrah ke awan, langkah-langkah utama yang perlu dipertimbangkan termasuk menilai dan memilih platform awan yang sejajar dengan keperluan perniagaan dan strategi teknologi, merancang migrasi dengan teliti, menyediakan aplikasi dan data untuk perpindahan, melaksanakan strategi migrasi awan, menguji dan menangani sebarang jurang, serta menyelenggara dan menambah baik sistem secara berterusan. Dengan menggabungkan strategi ini secara berkesan, organisasi dapat memastikan peralihan ke awan yang selamat dan lancar.

Tarikh Input: 31/10/2025 | Kemaskini: 31/10/2025 | muhammad.isam

PERKONGSIAN MEDIA

LIHAT JUGA
LKAN 1/2026 dibentang di Dewan Rakyat, 273 isu baharu dikenal pasti
Literasi Kewangan Lemah, Pinjaman Tersembunyi Punca Guru Bankrap - NUTP
Kawalan Hubungan Pihak Ketiga: Memperkukuh Tadbir Urus dan Pengurusan Risiko Organisasi
BAHAGIAN AUDIT DALAM
Universiti Putra Malaysia
43400 UPM Serdang
Selangor Darul Ehsan
03-9769 1346
03-9769 6176
audit_dalam@upm.edu.my
Z, (11:12:22am-11:17:22am, 02 Mar 2026)   [*LIVETIMESTAMP*]