Saat ini, CIO menjadikan keamanan sebagai perhatian utama khususnya berkaitan dengan Cloud Computing. Keamanan atau Security menjadi salah satu tantangan untuk para CIO dan Manager IT ketika mengembangkan dan menjalankannya di perusahaan mereka. Namun dalam hal ini, IT dan marketing cenderung melihat sistem aplikasi Cloud dari sudut pandang berbeda. Tim marketing selalu melihat dari yang dihasilkan (hasil akhir), diikuti oleh proses simplifikasi serta kemudahaan dalam pengunaannya. Berbeda dengan tim IT, dimana keamanan menjadi prioritas utama, diikuti dengan durasi dari pengembangan sistem aplikasi ini, , dan apakah sebanding dengan hasil yang diharapkan, bagaimana memeliharanya serta bagaimana sistem aplikasi ini dapat terintegrasi atau dapat melengkapi dari sistem yang ada.
Salah satu kelemahan dari keamanan pada Cloud adalah pengguna itu sendiri. Gartner memprediksikan, pada tahun 2020, 95% keamanan pada cloud gagal karena kesalahan penggunanya. Maka penting jika Cloud security bukan selalu tentang mengelola sistem keamanan, tapi juga menjaga keamanan hingga pada penggunanya. Banyak pengguna, pada kenyataannya, tidak peduli terhadap resiko keamanan mereka ketika menggunakan sistem cloud dan banyak tidak memperhitungkan tingkat kepentingan dan kesensitifan data yang disimpan di cloud. Akibatnya, perusahaan yang menjalankan platform seperti Google Drive, DropBox, iCloud, OneDrive diminta untuk membayar lebih untuk mendapatkan keamanan pada Cloud.
Berkaitan dengan hal tersebut, bukan berarti saat keamanan Cloud dilanggar, ini menjadi kesalahan pengguna. Catatan khusus, pada kasus iCloud yang terjadi di tahun 2014 dimana sistem mereka di retas, menyebabkan sejumlah besar data penting pelanggan di curi. Walaupun ini bukan pertama kalinya penyedia layanan Cloud di retas, yang dikhawatirkan adalah jika penyedia layanan Cloud terkemuka seperti Apple, Microsoft, dan Amazon bisa di retas, bagaimana dengan keamanan Cloud Anda?
Private Cloud, SaaS dan IaaS dapat menjadi solusi untuk meminimalisir resiko pada Cloud Anda. IaaS dan SaaS memerlukan keamanan khusus, tata kelola, manajemen dan tools yang berbeda untuk memastikan visibilitas dan kontrol pada setiap tingkat layanan. Strategi perusahaan pada penggunaan Cloud harus mengacu bahwa perbedaan model Cloud memiliki resiko dan kontrol yang berbeda.
Perusahaan harus memastikan bawah Cloud computing dilakukan melalui perencanaan dan kebijakan prosedur yang ketat. Pada pengembangan strategi Cloud, diperlukan pedoman terhadap apa yang dapat diakses dari Public Cloud, berdasarkan tingkat sensivitas dan data yang sebaiknya disimpan pada Private Cloud, seperti data pribadi dan komersial, yang membutuhkan tingkat keamanan yang lebih tinggi. Jika perusahaan tetap menggunakan Public Cloud, maka dalam memilih penyedia layanan Cloud yang tepat dan data yang tepat untuk disimpan membutuhkan pertimbangan yang matang.
Pengelolaan dan kontrol IaaS memerlukan rancangan, programming, pengujian, implementasi dan pengendalian untuk merubah proses kontrol. Kerangka dasar pada model manajemen ini sangat mirip dengan proses dan keahlian yang dibutuhkan pada manajemen IT tradisional, dengan pemahanan dan lapisan teknologi Cloud, termasuk keahlian khusus untuk mengelola resiko keamanan.
Sebaliknya dengan SaaS, dimana teknologi bergantung pada penyedia layanan untuk mengelola resiko, yang berarti pengelolaan keamanan SaaS berdasarkan kebijakan pengembangan dan kepatuhan pada kebijakan, seperti pembuatan akun, pemeliharaan password, kebijakan dalam mengakses data, dan pemantauan terhadap aktifitas.
Pada sisi lain, sistem IaaS bisa menjadi rumit karena beban kerja yang dapat berkembang tanpa batas dan SaaS menjadi rumit karena banyak penyedia layanan dan aplikasi eksternal, menjadi pekerjaan rumah tim IT untuk menyelaraskan semua aplikasi SaaS ke dalam satu lingkungan IT.
SaaS mungkin lebih sulit untuk dikontrol dibandingkan dengan IaaS, karena banyak aplikasi berasal dari vendor yang berbeda dengan fitur dan kemampuan yang berbeda dengan titik lemah yang juga berbeda. Selain itu, dengan tidak adanya kendali utama pada semua aplikasi SaaS, menyebabkan beberapa organisasi menggunakan Cloud Access Security Brokers (CASB), sebagai mekanisme pengelolaan. CASB untuk memantau titik kontrol dan titik lemah, menyediakan titik kontrol yang nyaman dalam mengelola kebijakan umum di beberapa aplikasi SaaS – serta satu titik untuk memantau aktifitas penguna dan pengunaan.
Menurut Gartner, pada akhir tahun 2018, 50% perusahaan yang penggunanya lebih dari 2,500 akan menggunakan layanan Cloud Access Security Broker (CASB) untuk mengontrol pengunaan SaaS, yang saat ini kurang dari 5%.
Terlepas dari CASB, ketika saatnya untuk mengevaluasi penyedia layanan Cloud Anda, pastikan untuk mengajukan pertanyaan sebagai berikut:
1. Apa kebijakan privasi data Anda?
2. Bagaimana Anda menerapkannya ke berbagai kebijakan?
3. Apakah keamanan tercakup pada SLA Anda? Jika tidak, kenapa?
4. Apakah data di back up dan apakah dapat di pulihkan?
5. Bagaimana Anda memisahkan data Anda dengan yang lain?
6. Apa jenis visibilitas yang akan Anda miliki ke log data Anda?
Setelah memastikan penyedia layanan Cloud memiliki protokol keamanan yang diperlukan, Anda dapat berkonsentrasi pada penggunaan layanan Cloud – di IT atau bisnis operasional lainnya, untuk mendukung mencapai hasil yang diinginkan.