Keamanan Siber Cerdas Jadi Kunci di Era AI, Ini Saran dari CISO Amazon
Smallest Font
Largest Font
Pesatnya perkembangan AI menuntut sistem keamanan siber yang lebih cerdas dan intuitif. Baik penyerang maupun pihak yang bertahan, keduanya memanfaatkan kekuatan teknologi ini. Bagaimana bisnis Anda harus bersiap menghadapinya?
Pandangan CISO Amazon tentang Keamanan di Era AI
Dalam acara AWS re:Invent 2025 baru-baru ini, Amy Herzog, Chief Information Security Officer (CISO) Amazon, berbagi pandangan dan saran tentang cara menjaga keamanan di era AI.
Menurut Herzog, timnya telah bereksperimen dengan alat AI generatif untuk mengatasi masalah keamanan di Amazon selama setahun terakhir. Namun, meniru manusia bukanlah pendekatan terbaik. Sebaliknya, agen AI harus fokus pada satu tugas spesifik dan dikombinasikan ke dalam kerangka kerja yang lebih besar untuk membantu manusia.
Fokus pada Pengalaman Pelanggan dan Pembangun
Herzog menekankan pentingnya pemahaman mendalam tentang pengalaman pelanggan dan builder (pengembang) di dalam AWS. Tanpa pemahaman ini, tim keamanan tidak dapat melakukan pekerjaan dengan baik.
"Jika tim produk kami tidak berfokus pada pengalaman pelanggan, dan saya tidak berfokus pada pengalaman builder di dalam AWS, saya tidak dapat melakukan pekerjaan dengan baik," katanya.
Menekan Hype dan Mencari Nilai Nyata dari AI
Herzog juga berupaya meredakan hype seputar AI dan mendorong pelanggan untuk menggunakan teknologi ini secara pragmatis. Tujuannya bukan sekadar menambahkan AI ke segala hal, tetapi untuk mendapatkan nilai yang sesungguhnya.
"Anda perlu tahu apa yang ingin dilakukan oleh agen," ujarnya, menekankan perlunya demistifikasi agen AI bagi pelanggan. Tantangannya adalah bagaimana memperluas kebutuhan keamanan dasar yang sudah ada ke dalam konteks agentic, mengingat kecepatan perkembangan keamanan.
Prioritaskan Risiko Dibanding Proses
Herzog menyarankan pelanggan untuk melampaui proses yang ada dan fokus pada risiko yang ingin dihilangkan. Pengukuran risiko yang baik akan membantu mendeteksi perubahan dan beradaptasi dengan cepat.
"Saya mendorong pelanggan untuk berpikir melampaui proses yang mereka miliki, menuju fokus pada risiko yang coba Anda hilangkan, ukur itu sebaik mungkin, maka Anda akan melihat ketika sesuatu berubah dan Anda perlu beradaptasi," tambahnya.
Berikut ini adalah contoh tabel yang menunjukkan perbandingan pendekatan keamanan tradisional dan pendekatan berbasis risiko:
Tabel: Perbandingan Pendekatan Keamanan
| Pendekatan Tradisional | Pendekatan Berbasis Risiko |
|---|---|
| Fokus pada kepatuhan terhadap standar | Fokus pada identifikasi dan mitigasi risiko |
| Proses yang kaku dan kurang fleksibel | Proses yang adaptif dan responsif terhadap perubahan |
| Kurang memperhatikan konteks bisnis | Mempertimbangkan dampak bisnis dari risiko |
Manfaat Agen Keamanan AWS yang Baru
Herzog menjelaskan bahwa agen keamanan AWS yang baru memiliki kemampuan untuk mendeteksi dan mencegah ancaman sebelum mencapai pelanggan. Ini adalah hal yang paling menarik dari agen ini.
"Hal-hal akan berubah - tujuannya adalah, apakah kita sekarang memiliki alat baru untuk menangkap ketika mereka melakukannya," katanya.
Berikut ini adalah daftar manfaat utama dari agen keamanan AWS yang baru:
- Deteksi dini ancaman
- Pencegahan proaktif
- Pengurangan risiko
- Peningkatan efisiensi
Mitos Keamanan 100%
Dengan meningkatnya hype tentang AI, Herzog ditanya apakah keamanan 100% itu mungkin. Dia menjawab bahwa hal itu adalah pilihan yang salah.
"Itu menciptakan pilihan yang salah," katanya sambil tersenyum, "Saya dapat membuat Anda sistem komputer yang sangat aman - tetapi Anda tidak akan menyukai cara kerjanya!"
Keseimbangan Fungsionalitas dan Kontrol
Tujuan utama bukanlah keamanan 100%, tetapi keseimbangan terbaik antara fungsionalitas dan kontrol untuk mencapai tujuan yang diinginkan. Profesional keamanan harus pragmatis dalam menghadirkan keamanan yang memberikan nilai terbaik bagi pelanggan dalam jangka panjang.
"Ini bukan biner - tetapi itu seharusnya bukan tujuan kita… kita harus memikirkan apa keseimbangan terbaik antara fungsionalitas dan kontrol untuk mencapai hal yang ingin kita capai - kita ingin lebih pragmatis sebagai profesional keamanan dalam mengirimkan secara aman dengan cara yang memberikan nilai terbaik kepada pelanggan dalam jangka panjang."
Adaptasi Cepat terhadap Perubahan
Herzog menekankan bahwa keamanan akan terus berubah. Oleh karena itu, penting untuk tetap waspada, ingin tahu, dan sadar akan perubahan agar dapat beradaptasi dengan cepat.
"Gen AI tidak selalu menjadi intinya, ini adalah cara baru yang sangat menarik untuk mencapai lebih banyak hal yang sama yang selalu ingin kita capai… saran yang coba saya berikan saat ini adalah bahwa kita tahu bahwa keamanan dalam enam bulan, setahun, tidak akan terlihat sama seperti hari ini - jadi apa yang perlu Anda lakukan adalah waspada dan ingin tahu, dan sadar akan apa perubahannya sehingga Anda dapat beradaptasi dengan cepat terhadapnya."
Berikut adalah tabel yang menggambarkan beberapa perubahan yang mungkin terjadi dalam keamanan siber di masa depan:
Tabel: Perubahan Keamanan Siber di Masa Depan
| Area | Perubahan Potensial |
|---|---|
| Ancaman | Serangan yang lebih canggih dan terarah |
| Teknologi | Peningkatan penggunaan AI dan otomatisasi |
| Regulasi | Peraturan yang lebih ketat tentang privasi data |
Dalam beberapa kasus, ini berarti melindungi diri dari hal-hal yang belum kita ketahui. Namun, di kasus lain, ini mungkin berarti kita memiliki peluang baru untuk meningkatkan pertahanan yang tidak bisa kita lakukan sebelumnya.
Meningkatkan Pertahanan dan Memanfaatkan Peluang Baru
"Dalam beberapa kasus ini akan berarti melindungi terhadap hal-hal yang kita tidak tahu ada, tetapi di lain-lain, mungkin sebenarnya kita punya kesempatan baru untuk meningkatkan pertahanan kita yang tidak bisa kita lakukan sebelumnya."
Berikut ini adalah contoh tabel yang menunjukkan beberapa peluang baru untuk meningkatkan pertahanan siber:
Tabel: Peluang Baru dalam Keamanan Siber
| Area | Peluang |
|---|---|
| AI | Menggunakan AI untuk mendeteksi dan mencegah ancaman |
| Otomatisasi | Mengotomatiskan tugas-tugas keamanan rutin |
| Cloud | Memanfaatkan keamanan cloud untuk melindungi data dan aplikasi |
Pentingnya Keamanan Dalam Pengembangan
Integrasi Keamanan Sejak Awal
Keamanan tidak boleh menjadi renungan; itu harus dibangun ke dalam setiap tahap proses pengembangan. Dengan mengintegrasikan praktik keamanan sejak awal, organisasi dapat mengurangi risiko kerentanan dan memastikan bahwa perangkat lunak mereka aman sejak awal.
Pelatihan dan Kesadaran
Selain penerapan proses dan teknologi yang aman, penting untuk menginvestasikan pelatihan dan program kesadaran bagi pengembang. Melengkapi pengembang dengan pengetahuan dan keterampilan yang diperlukan untuk membangun perangkat lunak yang aman sangat penting untuk mengurangi risiko kerentanan.
Tabel: Contoh Kerentanan Perangkat Lunak Umum
| Kerentanan | Deskripsi | Potensi Dampak |
|---|---|---|
| Injeksi SQL | Penyerang memasukkan kode SQL berbahaya ke dalam kueri basis data. | Akses tidak sah ke data, modifikasi data, atau penghapusan data. |
| Cross-Site Scripting (XSS) | Penyerang menyuntikkan skrip jahat ke dalam situs web yang dilihat oleh pengguna lain. | Pencurian cookie, pembelokan situs web, atau pengiriman malware. |
| Cross-Site Request Forgery (CSRF) | Penyerang menipu pengguna untuk melakukan tindakan yang tidak disengaja di situs web tempat mereka diautentikasi. | Perubahan kata sandi tidak sah, transfer dana, atau perubahan konfigurasi. |
Editors Team
Eko Saputra
Author
What's Your Reaction?
-
0
Like -
0
Dislike -
0
Funny -
0
Angry -
0
Sad -
0
Wow
