Apa itu Otorisasi? Definisi dan Contoh-contoh
Temukan penjelasan mengenai apa itu otorisasi dan bagaimana hal ini diterapkan dalam berbagai situasi. Baca contoh-contoh praktis untuk memahami konsep otorisasi secara lebih baik.
Apa informasi yang diperbolehkan untuk diakses oleh seorang karyawan atau pengguna? Pertanyaan ini bisa menjadi sangat kompleks, terutama untuk organisasi yang mempekerjakan ribuan orang. Cara terbaik untuk memutuskan, mengelola, dan melacak siapa yang memiliki akses ke informasi dan aplikasi bervariasi berdasarkan bisnis, industri, dan ukuran perusahaan. Mengelola otorisasi dengan baik membantu perusahaan tetap aman dan sesuai dengan peraturan sambil memberikan informasi dan program yang dibutuhkan karyawan untuk bekerja.
Apa itu Otorisasi?
Apakah kamu bisa menjelaskan apa yang dimaksud dengan otorisasi? Otorisasi adalah proses yang menentukan tingkat dan jenis akses pengguna terhadap sumber daya. Hal itu menentukan siapa yang dapat melakukan apa dengan data dan aplikasi Anda. Setelah seorang pengguna diotentikasi (yang akan dijelaskan nanti) dengan kredensial pengguna seperti nama pengguna dan kata sandi, otorisasi mereka akan menentukan menu tersedia sistem operasi, aplikasi, fungsionalitas, dan tingkat kemampuan untuk memodifikasi data yang mendasarinya. Izin-izin ini secara kolektif dikenal sebagai hak istimewa klien.
Pada umumnya, otorisasi di organisasi tidak bersifat datar, sehingga setiap karyawan memiliki akses yang berbeda-beda ke sumber daya tergantung pada persyaratan pekerjaan mereka. Dengan membatasi akses ke materi tertentu, bisnis dapat melindungi data kritis seperti hak kekayaan intelektual, catatan medis, dan informasi gaji. Otorisasi juga dapat membantu karyawan menemukan sumber daya dan informasi dengan cepat tanpa harus menyaring semua dokumen dan folder perusahaan. Secara umum, organisasi mengikuti prinsip otoritas terkecil untuk meminimalkan kerusakan yang mungkin disebabkan oleh pelaku jahat dengan memberikan akses pengguna hanya ke informasi yang diperlukan untuk perannya.
Hal yang Peru di Perhatikan
Perlu ditekankan bahwa Otorisasi merupakan praktik terbaik yang esensial untuk keamanan dan kepatuhan. Selain melindungi informasi Anda, otorisasi juga menjaga privasi konsumen dan melindungi perusahaan dari denda akibat pelanggaran kepatuhan. Meskipun otorisasi tidak selalu mudah diorganisasi besar, prosedur pengendalian akses yang tepat dapat membantu mengurangi kesulitan ini dan melindungi pengguna, data, dan pelanggan. Disarankan untuk mengikuti prinsip otoritas terkecil saat menentukan parameter otorisasi.
Penjelasan Mengenai Otorisasi
Mengapa kita memerlukan otorisasi? Ada dua alasan utama. Pertama, Anda ingin melindungi informasi bisnis Anda dari pelaku buruk baik di dalam maupun di luar perusahaan. Jika seorang karyawan kehilangan atau memiliki kredensial dicuri, pengelolaan data mana yang mungkin rentan sangat penting. Salah satu tujuan otorisasi adalah untuk memastikan bahwa setiap karyawan hanya memiliki akses ke sistem dan informasi yang mereka butuhkan untuk pekerjaan mereka, bukan ke semua data bisnis. Dengan cara ini, jika pencuri berhasil mencuri kredensial, mereka akan terbatas dalam seberapa banyak informasi yang dapat mereka akses.
Alasan kedua berhubungan dengan kepatuhan. Misalnya, Health Insurance Portability and Accountability Act (HIPAA) mensyaratkan bahwa dokumen seperti catatan medis harus dijaga kerahasiaannya. Tidak semua karyawan harus memiliki akses ke informasi pasien, dan mereka yang memiliki akses akan perlu mengikuti pelatihan reguler dan informasi tersebut akan membutuhkan lapisan keamanan tambahan.
Jika Departemen Kesehatan & Layanan Kemanusiaan (HHS) AS menemukan bahwa karyawan atau orang lain telah tidak sah mengakses atau mengungkapkan catatan pasien, HHS dapat memberikan denda terhadap organisasi untuk pelanggaran kepatuhan ini. Dengan membatasi akses, memberikan pelatihan dan memantau dengan cermat akses ke informasi rahasia, organisasi perawatan kesehatan dapat melindungi pasien sambil menghindari denda dan tanggung jawab hukum. Banyak organisasi lain, termasuk yang di luar ruang perawatan kesehatan, tunduk pada kontrol serupa. Misalnya, sekolah dan perusahaan yang bekerja dengan siswa diatur oleh aturan yang sama di bawah Family Educational Rights and Privacy Act (FERPA), yang melindungi privasi catatan siswa. Informasi lain yang perlu dilindungi termasuk informasi pribadi karyawan, seperti nomor asuransi sosial, dan informasi pelanggan, seperti nomor kartu kredit.
Bagaimana Otorisasi Bekerja
Pada tingkat paling dasarnya, otorisasi adalah memberikan akses ke aplikasi dan informasi tertentu dengan menggunakan nama pengguna dan kata sandi. Seorang pengguna mungkin diotorisasi untuk mengakses pengolah kata, klien email, CRM, dan lain sebagainya. Dengan otorisasi dasar, pengguna akan memiliki ID pengguna dan kata sandi yang berbeda untuk setiap sistem. Misalnya, karyawan Anda mungkin memerlukan satu masuk untuk CRM, satu lagi untuk email mereka, satu lagi untuk mengakses server, dan seterusnya. Ketika mereka membutuhkan akses ke sistem atau informasi baru, mereka mengirim permintaan kepada administrator, yang meninjau permintaan tersebut dan kemudian memberikan kredensial masuk tambahan.
Otorisasi dasar memiliki beberapa tantangan.
Pada tingkat dasar, otorisasi memungkinkan akses ke aplikasi dan informasi tertentu dengan menggunakan nama pengguna dan kata sandi. Pengguna dapat diotorisasi untuk mengakses pemroses kata, klien email, CRM, dan lain sebagainya. Dengan otorisasi dasar, pengguna akan memiliki ID pengguna dan kata sandi yang berbeda untuk setiap sistem. Misalnya, karyawan Anda mungkin memerlukan satu login untuk CRM, satu lagi untuk email mereka, satu lagi untuk mengakses server, dan seterusnya. Ketika mereka membutuhkan akses ke sistem atau informasi baru, mereka mengirimkan permintaan kepada administrator, yang meninjau permintaan tersebut dan kemudian memberikan kredensial login tambahan.
Otorisasi dasar memiliki beberapa tantangan.
Ini tidak berskala. Seiring pertumbuhan perusahaan, melacak secara manual karyawan mana yang memiliki akses ke program dan informasi menjadi beban yang tidak bisa dipertahankan bagi administrator. Tidak nyaman. Tanpa layanan login tunggal, karyawan Anda harus mengingat beberapa nama pengguna dan kata sandi terpisah hanya untuk melakukan pekerjaan mereka. Ini juga dapat mengakibatkan perilaku yang tidak aman seperti menuliskan kata sandi di catatan post-it. Tidak aman. Misalkan seorang pengguna perlu membuat permintaan akses untuk mengakses satu catatan keuangan. Dengan otorisasi dasar, administrator mungkin harus memberikan akses ke seluruh database kepada karyawan tersebut dan kemudian mengingat untuk mencabut akses nanti. Hal ini dapat menimbulkan masalah keamanan dan kepatuhan, tergantung pada informasi yang disimpan. Protokol otorisasi yang kuat memiliki sistem untuk dengan cepat dan otomatis menghasilkan hak akses klien untuk karyawan, sistem masuk tunggal, dan proses offboarding yang secara otomatis mengakhiri akses sementara ke sistem yang penting ketika tidak lagi diperlukan.
Otorisasi vs. Autentikasi
Autentikasi dan otorisasi adalah dua konsep penting dalam dunia keamanan komputer. Walaupun seringkali digunakan secara bergantian, kedua konsep ini memiliki perbedaan yang signifikan. Autentikasi adalah proses untuk memverifikasi identitas seorang pengguna, yaitu memastikan bahwa pengguna tersebut adalah benar-benar orang yang mereka klaim sebagai diri mereka sendiri. Autentikasi biasanya dilakukan dengan menggunakan nama pengguna dan kata sandi. Namun, untuk meningkatkan keamanan, autentikasi dua faktor semakin populer digunakan. Autentikasi dua faktor membutuhkan lapisan keamanan tambahan melalui perangkat lain, seperti aplikasi telepon atau kode SMS yang dikirimkan ke telepon pengguna.
Setelah pengguna diotentikasi, langkah selanjutnya adalah otorisasi. Otorisasi adalah proses untuk memberikan akses pengguna ke sumber daya atau layanan tertentu di dalam jaringan perusahaan. Meskipun seorang pengguna telah diotentikasi, bukan berarti mereka langsung mendapatkan akses ke seluruh sumber daya atau layanan di dalam jaringan perusahaan. Sebaliknya, mereka hanya dapat mengakses sumber daya yang telah diotorisasi untuk digunakan. Otorisasi dilakukan dengan mengatur hak akses pengguna ke dalam kelompok-kelompok tertentu, dan memberikan izin akses ke sumber daya atau layanan berdasarkan kelompok-kelompok tersebut.
Dalam pengendalian akses, kedua konsep autentikasi dan otorisasi sangat penting. Kedua konsep ini saling melengkapi satu sama lain, sehingga pengguna harus melewati kedua tahap ini untuk dapat berinteraksi dengan jaringan perusahaan. Jika pengguna tidak diotentikasi, mereka tidak dapat masuk ke dalam jaringan dan tidak dapat menggunakan layanan apa pun. Sedangkan jika seorang pengguna tidak diotorisasi, meskipun telah diotentikasi, mereka tetap tidak akan dapat menggunakan layanan apa pun karena tidak memiliki hak akses ke sumber daya atau layanan tersebut.
Mengapa Menggunakan Otorisasi?
Otorisasi adalah proses memberikan akses ke informasi atau sumber daya. Ini penting untuk keamanan, kepatuhan, dan memudahkan pekerjaan.
Untuk keamanan, otorisasi merupakan bagian penting dari konsep "pertahanan dalam kedalaman" yang melibatkan penggunaan banyak tindakan keamanan seperti firewall dan alat pemantauan di sekitar perimeter jaringan perusahaan. Meskipun satu tindakan keamanan gagal, tindakan lain dapat melindungi data. Namun, jika penyerang mencuri kredensial karyawan, tindakan keamanan terbaik pun dapat gagal. Untuk mencegah hal ini, karyawan hanya harus memiliki akses ke data yang mereka butuhkan untuk pekerjaan mereka.
Kepatuhan adalah alasan lain untuk otorisasi. HIPAA adalah contoh regulasi yang mengharuskan perlindungan data pasien pribadi. Industri lain juga perlu melindungi informasi rahasia seperti data pelanggan dan karyawan. Kegagalan memenuhi peraturan dapat mengakibatkan konsekuensi hukum dan keuangan serta merusak reputasi perusahaan.
Otorisasi juga penting untuk memudahkan pekerjaan. Karyawan harus memiliki informasi yang cukup untuk melakukan pekerjaan mereka tetapi tidak terlalu banyak sehingga membingungkan. Satu masuk bisa memudahkan akses ke informasi dan sumber daya yang diperlukan serta meningkatkan keamanan.
Pentingnya Otorisasi
Mencegah karyawan yang tidak sah untuk melihat data kritis adalah alasan lain mengapa otorisasi sangat penting. HIPAA adalah contoh bagus mengapa otorisasi penting, tetapi mari kita lihat beberapa contoh lain yang menunjukkan proses ini dalam konteks kepatuhan.
Mengakhiri pekerjaan karyawan yang telah keluar
Tidak setiap karyawan meninggalkan organisasi dengan baik. Jika karyawan merasa mereka dipecat secara tidak adil, mereka mungkin mencoba mencuri informasi berharga saat keluar. Bisnis dapat menggunakan proses otorisasi untuk secara otomatis mengakhiri akses akun korporat setelah karyawan keluar dari perusahaan.
Bekerja dengan vendor dan kontraktor
Bisnis seringkali perlu membagikan informasi dengan pihak ketiga seperti vendor dan kontraktor. Sebagai contoh, sebuah bisnis mungkin sedang bekerja dengan penyedia layanan terkelola untuk memindahkan aplikasinya ke awan. Dalam hal ini, penyedia layanan tersebut memerlukan akses ke aplikasi dan data. Dengan menggunakan otorisasi, bisnis dapat memberikan hak istimewa khusus klien kepada vendor yang memungkinkan mereka untuk melihat dan memanipulasi data, tetapi melarang mereka untuk melakukan perubahan atau menghapus data tersebut.
Menurunkan privilege creep
Privilege creep berarti karyawan secara bertahap mengumpulkan izin yang tidak mereka butuhkan. Sebagai contoh, misalkan seorang karyawan pindah dari bagian penjualan ke bagian pembayaran, tetapi tetap mempertahankan izin penjualan. Karyawan ini mungkin masih memiliki akses ke CRM, meskipun sebenarnya tidak membutuhkannya lagi. Hal ini dapat membuat karyawan menjadi potensi risiko keamanan - jika kredensialnya dicuri, maka bisnis terbuka rentan terhadap serangan yang lebih besar. Dengan menggunakan proses terbaru, administrator dapat mendeteksi apakah karyawan memiliki izin yang tidak perlu dan kemudian mencabut izin tersebut.
Pendekatan dan Metode Otorisasi
Otorisasi merupakan mekanisme pertahanan yang penting digunakan dalam berbagai konteks untuk melindungi bisnis dan informasi sensitif mereka. Namun, bagaimana otorisasi diwujudkan? Ada beberapa metode yang tersedia, masing-masing dengan keuntungan tersendiri. Tujuan utamanya adalah menciptakan sistem otorisasi yang mudah dikelola secara enterprise-wide, sambil juga menjadikannya sulit bagi karyawan untuk memperoleh izin yang tidak mereka butuhkan.
Otorisasi Berbasis Token
Salah satu kekhawatiran utama dalam mengelola otorisasi tanpa single sign-on adalah karyawan sering merasa tidak nyaman, sehingga mereka akan berusaha mencari cara untuk melewati otorisasi ketika diperlukan. Sebagai contoh, bayangkan jika karyawan harus memasukkan beberapa password yang berbeda setiap kali meninggalkan komputer atau keluar dari suatu situs web - hal ini bisa menghambat produktivitas dan berisiko pada praktik yang tidak aman.
Namun, dengan otorisasi berbasis token, pengguna hanya perlu masuk ke dalam sebuah aplikasi sekali saja. Setelah memberikan kredensial mereka, pengguna akan menerima sebuah token dari sistem yang disimpan dalam bentuk file teks kecil pada browser mereka. Selama token tetap disimpan, pengguna dapat tetap masuk ke layanan tersebut tanpa perlu melakukan otentikasi ulang.
Akses berbasis peran (RBAC)
Pengendalian akses berbasis peran (RBAC) adalah metode yang digunakan oleh perusahaan dengan banyak karyawan untuk dengan cepat menetapkan izin akses berdasarkan peran mereka dalam organisasi. Dengan RBAC, perusahaan pertama kali membuat daftar semua posisi dan menentukan sumber daya yang setiap posisi harus akses. Hal ini menghilangkan kebutuhan untuk menentukan izin individu untuk karyawan. Namun, ketika seorang karyawan membutuhkan akses ke sumber daya baru, administrator perlu menangani permintaan secara individual, yang bisa sulit diproses dengan cepat dan mencabut akses saat tidak diperlukan lagi.
Daftar kontrol akses (ACL)
RBAC menentukan aplikasi dan file mana yang dapat diakses oleh sebuah peran, lalu menempatkan pengguna dalam peran tersebut. ACL dimulai dari aplikasi dan file, kemudian menentukan peran atau pengguna mana yang dapat mengaksesnya. Bob Smith ingin masuk ke database, dan setelah melewati autentikasi kredensialnya, aplikasi memeriksa daftar kontrol aksesnya untuk melihat apakah nama Bob ada di dalamnya. Jika iya, ia dapat mengakses aplikasi tersebut. RBAC bisa lebih mudah digunakan daripada ACL karena bisa sulit menambahkan nama pengguna ke dalam daftar kontrol akses setiap aplikasi jika mereka diizinkan menggunakannya. ACL berguna untuk mengamankan perimeter jaringan dengan diterapkan pada infrastruktur seperti router, yang dapat bertindak sebagai filter lalu lintas berdasarkan karakteristik seperti alamat IP dan nomor port.
Contoh Otorisasi
Otentikasi merujuk pada proses memberikan akses ke suatu sumber daya. Ada beberapa cara yang dapat digunakan, seperti menggunakan token, RBAC, atau ACLs. Namun, beberapa metode yang kurang dikenal dapat menjadi lebih populer saat perusahaan mencari cara yang lebih baik untuk meningkatkan keamanan. Metode-metode tersebut meliputi Attribute-based access control (ABAC), Mobile access control, dan Graph-based access control (GBAC).
ABAC menghubungkan pengguna langsung dengan atribut yang memberikan akses ke sumber daya. Contoh yang sering digunakan adalah kunci USB yang aman. Memiliki kunci USB yang aman adalah sebuah atribut, dan memiliki kunci tersebut dapat memberikan akses ke file dan aplikasi yang sensitif di dalam organisasi.
Mobile access control mirip dengan ABAC, kecuali atribut yang diperlukan adalah memiliki smartphone. Pengguna mengunduh aplikasi kredensial mobile dan menggunakan smartphone mereka untuk mengautentikasi. Izin mereka disimpan di perangkat mereka. Contoh dari hal ini adalah menggunakan ponsel untuk melakukan pembayaran seluler.
GBAC mengonfigurasi izin akses pada level objek, seperti file dan aplikasi, bukan pada level karyawan atau peran. Hak akses dihasilkan menggunakan bahasa kueri, yang mengurangi beban kerja dibandingkan dengan mencantumkan izin yang ditugaskan untuk setiap peran secara detail.
Pertanyaan Umum tentang Otorisasi
Bagaimana otorisasi digunakan? Otorisasi digunakan bersamaan dengan otentikasi, yang terjadi saat pengguna memasukkan kredensial seperti nama pengguna dan kata sandi. Otorisasi memberikan pengguna akses ke berbagai file, aplikasi, dan layanan.
Bagaimana cara kerja otorisasi? Dalam bentuk otorisasi yang umum digunakan, yaitu kontrol akses berbasis peran (RBAC), izin ditetapkan untuk peran-peran yang telah ditentukan sebelumnya. Ketika pengguna ditugaskan ke sebuah peran, mereka menerima semua izin yang terkait dengan peran tersebut.