Site Overlay

Privileged Access Management (PAM)

Dari informasi Google Search Console, saya melihat banyak pencarian keyword ini dalam Bahasa Indonesia tapi informasinya masih terbatas. Hal ini membuat saya ingin mencoba membuat referensi tentang teknologi ini dalam tulisan ini. Saya akan mencoba fokus terkait bagian teknis secara umum saja. Terkait dengan solusi khusus, mungkin bisa di refer ke tulisan yang lain berikut.
https://www.stogom.co.id/portfolio/solusi-privileged-access-management/

Perkenalan

Sebelum masuk pembahasan, sedikit informasi, saya sendiri sudah berkecimpung di bidang ini (PAM) sejak tahun 2008. Saya menjadi developer salah satu produk security dalam kategori PAM di suatu perusahaan di Jepang. Waktu itu kami belum menyebutnya PAM. Istilah PAM sendiri dipopulerkan oleh Gartner beberapa tahun kemudian, mungkin sekitar 2012. Saya ingat pada saat itu, saya mulai berkomunikasi dengan Analyst di Gartner supaya produk kami tersebut bisa muncul di publikasi Gartner berikutnya. Dan berhasil. Mulai tahun 2013, kami masuk publikasi Gartner Market Guide. Ini biasanya dikeluarkan oleh Gartner pada masa-masa awal fase hype suatu teknologi. Kalau sudah menjadi tren dan banyak diadopsi oleh customer, Gartner akan mengeluarkan publikasi Magic Quadrant. Ketika sudah menjadi Magic Quadrant, maka persaingan sengit pun tidak terelakkan antar produk. Produk yang saya sebutkan saya develop tadi, walaupun saat ini sudah tidak masuk di dalam Gartner Magic Quadrant lagi sejak tahun 2021, tapi di pasar Jepang, produk tersebut tetap menjadi solusi terbanyak pemakainya. Istilah kerennya, Market Leader.

Pengguna Awal

Pada tahun 2000-an, di saat istilah PAM ini belum ada, lantas siapa pengguna teknologi yang menjadi cikal-bakal PAM ini?

Memang pasarnya sangat sedikit. Kami biasanya menjual produk ini kepada penyedia sistem atau mungkin istilah kerennya Managed Service Provider. Mereka menggunakan sistem ini untuk melindungi diri pada saat ada masalah. Mereka punya bukti bahwa mereka tidak melakukan sesuatu yang melanggar SLA.

Misalnya, ada konfigurasi yang salah dalam sistem yang mengakibatkan masalah. Maka penyedia sistem ini akan memiliki bukti, bukan mereka yang melakukan konfigurasi bermasalah ini. Atau kalau ternyata hasil pengecekan menunjukkan mereka yang melakukan hal tersebut, mereka bisa mengetahui siapa PiC nya, dan dapat melakukan perbaikan dengan lebih cepat.

Intinya, sistem ini awalnya dikembangkan untuk meningkatkan kestabilan sistem. Terutama untuk sistem produksi yang harus dijaga betul kestabilannya. Tidak sembarang orang bisa akses. Hanya akses yang valid dan sudah disetujui oleh pihak berwenanglah yang bisa dilakukan.

Security Awareness dari Compliance

Setelah fase tersebut, mulai banyak institusi-institusi yang menerbitkan peraturan tentang pentingnya solusi PAM ini. Salah satunya adalah guideline dari suatu sertifikasi. Di US dan Jepang, saya ingat, SOX (Sarbanes-Oxley Audit) atau kalau di Jepang ada yang namanya J-SOX menjadi salah satu yang pertama kali mensyaratkan manajemen IT administrator.

Karena itu, perusahaan-perusahaan yang harus comply terhadap regulasi ini, mulai menerapkan mekanisme agar mereka dapat memanage system administrator user mereka. Tidak serta merta menggunakan SOX. Ada banyak customer yang di awal melakukan pendekatan manual seperti ini:

  1. User yang ingin akses sebagai sistem administrator mengisi formulir (Excel atau kertas) terkait dengan kapan dan untuk apa akses tersebut dilakukan
  2. Setelah disetujui, maka PiC tersebut akan menerima ID dan Password untuk akses yang digunakan pada hari H
  3. Setelah akses selesai, PiC tersebut “mengembalikan” ID dan Password kepada yang menjaga sistem
  4. Penjaga sistem akan melakukan reset Password dari ID tersebut

    Dari kegiatan yang dilakukan tersebut di atas, intinya adalah:
    – Akses harus divalidasi sebelumnya
    – Orang yang melakukan akses harus diketahui siapa
    – Setelah akses, dilakukan pengecekan apakah aksesnya sesuai atau tidak

Pekerjaan ini cukup memakan waktu dan tenaga. Karena itu, perusahaan-perusahaan yang aware kepada masalah ini, mulai menggunakan produk Privileged Access Management (PAM) untuk mempermudah pekerjaan mereka.

Solusi yang paling Cost-Effective

Sekarang solusi ini sangat berkembang dan memiliki banyak manfaat. Gartner juga menyebutkan bahwa PAM merupakan solusi di bidang keamanan informasi dan siber yang paling cost-effective. Apa maksudnya?

Mungkin kita sering mendengar, bahwa Security dan Kemudahan itu selalu berbanding terbalik. Seperti contoh yang saya sebutkan di atas tentang me-manage akses administrator dengan Form atau Excel.

Akan tetapi, dengan PAM, bukan saja aksesnya jadi lebih aman, user tidak perlu tau password pada saat akses sehingga bisa mempermudah akses dan juga meningkatkan keamanan, karena dia tidak bisa akses kapan pun dia mau. Dia juga tidak bisa akses langsung. Karena tidak tau passwordnya.

Dengan kata lain, untuk meminimalisir resiko yang sangat besar, karena targetnya adalah administrator yang sangat berkuasa dalam sistem tersebut, sistem PAM ini dapat diterapkan dengan sangat mudah dan relatif murah. Karena itulah, solusi ini sangat cost-effective.