Peranan Firewall dalam Melindungi Maklumat Organisasi Selaras dengan Standard ISO/IEC 27001 (ISMS) (Sistem Pengurusan Keselamatan Maklumat-ISMS)
ISO/IEC merujuk kepada International Organization for Standardization / International Electrotechnical Commission. Sebuah badan bersekutu yang mengabungkan organisasi dari seluruh dunia yang bertanggungjawab mewujudkan standard dalam negara masing-masing.
Information Security Management System (ISMS) bermaksud Sistem Pengurusan Keselamatan Maklumat yang merupakan suatu pendekatan yang bersistematik dan berstruktur dalam pengurusan maklumat. Pelaksanaan ISMS meliputi polisi, proses, prosedur, struktur organisasi perisian dan juga fungsi sesuatu perkakasan.
Manfaat ISO 27001 kepada organisasi:
1. Menjamin keselamatan maklumat sulit dan sensitif
2. Membolehkan pertukaran maklumat dilakukan dengan selamat
3. Membantu memastikan pematuhan terhadap keperluan undang-undang
4. Memberikan kelebihan daya saing kepada organisasi
5. Mengurus dan mengurangkan pendedahan organisasi kepada risiko
6. Membina budaya keselamatan maklumat dalam organisasi
Manfaat ISO 27001 kepada pengguna/pelanggan/pihak berkepentingan:
1. Memberikan keyakinan bahawa keselamatan data sensitif mereka sentiasa terpelihara
2. Membina kepercayaan antara pelanggan dan organisasi
3. Mengurangkan risiko maklumat peribadi mereka jatuh ke tangan pihak yang tidak bertanggungjawab
ISO/IEC 27001 amat popular digunakan kerana ia gabungan antara piawaian ISMS dan IS Control dengan mengikut pendekatan sistem pengurusan Quality Management System (QMS).
Dalam piawaian ISO/IEC 27001:2022 terdapat 10 klausa utama yang perlu dipatuhi oleh organisasi. Klausa utama ini membantu organisasi mengurus risiko keselamatan maklumat secara sistematik, sekali gus memastikan kerahsiaan, integriti dan kebolehcapaian data terpelihara. Bagi mengukuhkan kawalan keselamatan piawaian tambahan diperlukan sebagai panduan kepada organisasi ke arah pensijilan ISO/IEC 27001:2022. Dokumen tersebut dikenali sebagai Annex A – Provides a set of security controls aligned.
Annex A dalam ISO/IEC 27001:2022 menyediakan 93 kawalan keselamatan yang dibahagikan kepada empat kategori utama:
-
1.Kawalan Organisasi (37 kawalan) – merangkumi dasar keselamatan, pengurusan risiko, keselamatan pembekal dan sebagainya.
2.Kawalan Sumber Manusia (8 kawalan) – melibatkan kesedaran keselamatan, latihan dan kawalan akses kepada kakitangan.
3.Kawalan Fizikal (14 kawalan) – berkaitan dengan keselamatan fizikal, pengurusan aset dan perlindungan persekitaran fizikal.
4.Kawalan Teknologi (34 kawalan) – termasuk penggunaan encryption, pemantauan log firewall dan keselamatan rangkaian.
Ancaman Keselamatan Siber Era Baharu
Keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Keselamatan adalah proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah.
Keselamatan ICT adalah bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan sesebuah organisasi. Keselamatan ICT berkait rapat dengan pelindungan aset ICT.
Empat komponen asas dalam keselamatan ICT:
-
1. Melindungi maklumat rasmi organisasi dari capaian tanpa kuasa yang sah;
2. Menjamin setiap maklumat adalah tepat dan sempurna
3. Mempastikan ketersediaan maklumat apabila diperlukan oleh pengguna.
4. Mempastikan akses kepada hanya pengguna-pengguna yang sah atau penerimaan maklumat dari sumber yang sah.
Trend Ancaman Keselamatan Siber pada era baharu:
- Penyalahgunaan Kecerdasan Buatan (AI) – Penggodam menggunakan AI untuk menghasilkan serangan yang lebih sofistikated seperti penipuan suara (voice spoofing), deepfake, dan penulisan e-mel phishing yang lebih meyakinkan. AI juga digunakan untuk mengautomasi pengimbasan kelemahan sistem.
- Serangan Ransomware Berasaskan Sasaran (Targeted Ransomware) Penjenayah siber mensasarkan organisasi tertentu dengan serangan ransomware yang menyulitkan data penting dan menuntut wang tebusan. Taktik seperti double extortion digunakan, iaitu data dicuri dan disulitkan serentak.
- Pendedahan Ancaman Berterusan (Continuous Threat Exposure) Ancaman tidak lagi bersifat sekali sahaja; ia kini berterusan, berkembang pantas dan menyesuaikan diri dengan sistem pertahanan.
- Serangan Identiti dan credential -Penggunaan teknik seperti credential stuffing, serangan brute-force, dan kecurian identiti melalui phishing untuk mendapatkan akses tidak sah.
- IoT dan Peranti Pintar yang Tidak Selamat -Perkembangan peranti Internet of Things (IoT) membawa risiko baharu seperti peranti yang tidak dikemas kini atau tidak disulitkan mudah diakses oleh penggodam.
Hubungkait firewall dalam mematuhi kawalan keselamatan Annex A
Firewall merupakan salah satu komponen utama dalam keselamatan rangkaian sesebuah organisasi. Ia bertindak sebagai benteng pertama yang mengawal aliran trafik masuk dan keluar dari rangkaian, serta berperanan penting dalam melindungi aset maklumat daripada pencerobohan, kebocoran data, dan serangan siber.
Penggunaan firewall berkait rapat dengan beberapa kawalan keselamatan maklumat, khususnya di bawah Annex A.8 (Pengurusan Aset) dan Annex A.13 (Keselamatan dalam Perkhidmatan Rangkaian).
Firewall dan Kawalan Annex A.8 – Pengurusan Aset
-
a) A.8.9 – Aset maklumat perlu dikenal pasti dan dikawal
Firewall berperanan dalam mengenal pasti dan mengawal akses ke aset ICT yang penting seperti pelayan aplikasi, pangkalan data, sistem email dan portal rasmi. Konfigurasi zon rangkaian (contohnya, DMZ, LAN dalaman dan VLAN) bagi membolehkan organisasi dapat memetakan lokasi dan tahap risiko setiap aset ICT. Pelabelan dan klasifikasi aset ICT mengikut kritikaliti akan dinilai tahap risiko bagi aset ICT tersebut.
b) A.8.10 – Pemindahan aset perlu dikawal
Firewall juga berperanan dalam mengawal transaksi pemindahan data dalam rangkaian. Sebagai contoh membuat sekatan terhadap pemindahan fail melalui servis FTP, penggunaan perisian storan awan yang dikawal tahap capaiannya atau penghantaran emel ke domain yang tidak sah. Secara langsung menyokong keperluan untuk mengawal transaksi maklumat yang sensitif dan rahsia organisasi dikawal keselamatannya.
Firewall dan Kawalan Annex A.13 – Keselamatan dalam Perkhidmatan Rangkaian
-
a)A.13.1 – Kawalan keselamatan rangkaian
- Akses yang dibenarkan dan disekat.
- Tindakan kawalan ke atas aset maklumat.
- Penilaian risiko berdasarkan peraturan yang ditetapkan.
- Kemaskini Berkala: Pastikan firmware dan tandatangan firewall dikemas kini untuk menangkis ancaman terkini.
- Penyemakan Peraturan (Rule Review): Lakukan semakan konfigurasi firewall secara berkala bagi membuang peraturan lapuk atau tidak relevan.
- Audit Dalaman: Laksanakan audit berkala terhadap log firewall dan konfigurasi untuk mengesan sebarang kelemahan keselamatan.
- Pengurusan Perubahan (Change Management): Setiap perubahan pada konfigurasi firewall hendaklah direkod dan disahkan melalui proses perubahan yang formal.
Firewall adalah kawalan teknikal utama yang menyekat trafik tidak sah, mencegah aktiviti pengimbasan port servis dan menghadkan akses kepada sistem aplikasi tertentu. Penggunaan firewall menyokong objektif A.13.1 yang menekankan keperluan untuk memastikan perkhidmatan maklumat melalui kawalan rangkaian yang betul dan dipantau.
b)A.13.2 – Perlindungan komunikasi maklumat
Melalui fungsi kawalan protokol dan port servis, firewall dapat melindungi komunikasi seperti e-mel, capaian VPN dan trafik laman web. Sebagai contoh penggunaan port servis HTTPS yang boleh dikawal dengan menyekat capaian ke pelayan luar yang tidak dibenarkan dan menapis trafik berdasarkan aplikasi yang dibenarkan. Ini membantu menjamin integriti dan kerahsiaan komunikasi selaras dengan keperluan kawalan A.13.2.
c)A.13.3 – Pengasingan dalam rangkaian
Firewall membolehkan organisasi mengasingkan rangkaian berdasarkan fungsi dan tahap capaiannya. Sebagai contoh rangkaian WiFi tetamu diasingkan daripada rangkaian dalaman dan capaian pelayan utama dikategorikan dalam zon khas untuk mengurangkan risiko serangan lateral movement atau virus. Pengasingan ini adalah aspek penting dalam membina pertahanan seperti yang digariskan dalam A.13.3. Firewall dalam Aktiviti Audit dan Pematuhan Piawaian ISO/IEC 27001
Firewall bukan sahaja bertindak sebagai kawalan teknikal, tetapi juga menyumbang kepada bukti pematuhan semasa audit ISMS. Log trafik dan konfigurasi firewall boleh digunakan untuk menunjukkan:
Firewall juga menyokong pengurusan risiko ICT dengan memberikan perlindungan tambahan kepada aset bernilai tinggi yang telah dikenal pasti melalui proses risk assessment.
Untuk memastikan firewall berfungsi secara optimum dan menyokong pematuhan ISO 27001, beberapa amalan terbaik perlu diamalkan:
Firewall memainkan peranan penting dalam melindungi aset maklumat dan perkhidmatan rangkaian organisasi. Dalam kerangka ISO/IEC 27001, penggunaan firewall secara langsung menyokong kawalan keselamatan maklumat dalam Annex A.8 dan A.13. Dengan pelaksanaan dan penyelenggaraan yang betul, firewall bukan sahaja membantu mengukuhkan keselamatan teknikal, malah menyumbang kepada pematuhan piawaian antarabangsa dan keyakinan terhadap tadbir urus ICT dalam organisasi.
Disediakan oleh
Rohani Binti Kamal
Pegawai Teknologi Maklumat Bahagian Keselamatan Siber
Pusat Teknologi Maklumat.