Fortinet berikan komitmen untuk transparansi radikal

Ilustrasi (dok)

JAKARTA (IndoTelko) - Pemimpin keamanan siber global yang mendorong konvergensi jaringan dan keamanan, Fortinet mengumumkan bahwa pihaknya membangun komitmen jangka panjang pada transparansi radikal yang bertanggung jawab sebagai penanda awal ikrar dari Secure by Design yang dikembangkan oleh Cybersecurity and Infrastructure Security Agency (CISA) atau Badan Keamanan Terkait Kemanan Siber dan Infrastruktur.

Janji sukarela industri ini melengkapi dan membangun praktik terbaik keamanan perangkat lunak Fortinet yang sudah ada, termasuk yang dikembangkan oleh CISA, NIST, lembaga federal lainnya, serta mitra internasional dan industri. Janji tersebut menguraikan tujuh tujuan, termasuk kebijakan pengungkapan kerentanan yang bertanggung jawab, yang telah menjadi bagian integral dari pengembangan keamanan produk Fortinet.

Menurut Head of Cyber Policy dan Global Field CISO di Fortinet, Jim Richberg, di Fortinet, ia memiliki komitmen jangka panjang untuk menjadi teladan dalam pengembangan produk dan pengungkapan kerentanan yang etis dan bertanggung jawab. Sebagai bagian dari dedikasi ini, Fortinet secara proaktif menyelaraskan diri dengan praktik terbaik internasional dan bisnis serta menjunjung tinggi standar keamanan tinggi di setiap aspek bisnisnya.

"Kami memuji seruan CISA pada industri untuk mengikuti jejaknya dan menghargai kesediaan CISA berkolaborasi dengan Fortinet dalam pengembangan tujuan penting ini. Kami sangat mendorong mereka yang berada dalam komunitas teknologi untuk bergabung dalam upaya menjaga keamanan organisasi,” katanya.

Inisiatif terbaru CISA sangat selaras dengan proses pengembangan produk Fortinet yang sudah ada berdasarkan prinsip secure-by-design dan secure-by-default. Fortinet berkomitmen untuk mematuhi pengawasan keamanan produk yang ketat di semua tahap siklus pengembangan produk, membantu memastikan bahwa keamanan dirancang pada setiap produk dari awal hingga akhir masa pakainya, dengan berbagai cara, antara lain :

1. Secure Product Development Lifecycle (SPDLC) atau Siklus Hidup Pengembangan Produk yang Aman

Fortinet menyelaraskan prosesnya sesuai dengan standar terkemuka, termasuk NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028, dan UK Telecom Security Act.

2. Pengujian Produk Keamanan yang Kuat

Fortinet memanfaatkan alat dan teknik seperti Pengujian Keamanan Aplikasi Statis atau Static Application Security Testing (SAST) dan analisis komposisi perangkat lunak yang dibangun dalam proses pembangunannya, pengujian keamanan aplikasi dinamis atau Dynamic Application Security Testing (DAST), pemindaian kerentanan, dan pengujian fuzz sebelum setiap rilis, serta pengujian penetrasi dan audit kode manual.

3. Program Pemasok Terpercaya

Untuk memastikan seleksi dan kualifikasi yang ketat terhadap mitra manufaktur utamanya, Fortinet mematuhi NIST 800-161: Praktik Manajemen Risiko Rantai Pasokan Keamanan Siber untuk Sistem dan Organisasi. Komitmen Fortinet terhadap privasi dan keamanan data tertanam di setiap bagian bisnis perusahaan dan di setiap fase pengembangan produk, produksi, dan proses pengiriman.

4. Program Keamanan Informasi

Program Keamanan Informasi Fortinet didasarkan dan selaras dengan standar dan kerangka keamanan terkemuka di industri termasuk ISO 27001/2, ISO 27017 dan 27018 dan NIST 800-53, serta peraturan privasi data seperti GDPR dan CCPA.

5. Sertifikasi Pihak Ketiga

Produk Fortinet secara teratur disertifikasi sesuai standar dan divalidasi melalui standar kualitas produk pihak ketiga, meliputi NIST FIPS 140-2 dan NIAP Common Criteria NDcPP / EAL4+.

Fortinet Product Security Incident Response Team (PSIRT) atau Tim Respons Insiden Keamanan Produk Fortinet bertanggung jawab untuk menjaga standar keamanan produk Fortinet dan menjalankan salah satu program PSIRT paling kuat di industri, termasuk mengungkapkan kerentanan secara proaktif dan transparan.

Hampir 80% kerentanan Fortinet yang ditemukan pada tahun 2023 diidentifikasi secara internal melalui proses audit ketat perusahaan. Pendekatan proaktif ini memungkinkan perbaikan dikembangkan dan diterapkan sebelum exploitasi berbahaya muncul. Fortinet bekerja dengan pelanggannya, peneliti keamanan independen, konsultan, organisasi industri, dan vendor lainnya untuk mencapai misi PSIRT perusahaan.

Untuk lebih meningkatkan dedikasinya terhadap budaya transparansi radikal yang bertanggung jawab ini, Fortinet memiliki komitmen jangka panjang terhadap kemitraan publik dan swasta yang selaras dengan misinya, yang meliputi :

•
Sebagai anggota pendiri Network Resilience Coalition atau Koalisi Ketahanan Jaringan, Fortinet membantu memberikan solusi nyata guna melindungi jaringan dan data-data sensitif, termasuk mengatasi masalah pembaruan perangkat lunak dan perangkat keras serta patch yang tidak diterapkan.
•
Melalui keanggotaannya dengan Joint Cyber Defense Collaborative (JCDC) atau Kolaborasi Pertahanan Siber Bersama, yang didirikan oleh CISA pada tahun 2021, Fortinet bekerja dengan entitas publik dan swasta untuk mengumpulkan, menganalisis, dan berbagi informasi yang dapat ditindaklanjuti agar lebih proaktif melindungi dan bertahan dari ancaman siber.
•
Sebagai anggota pendiri the Cyber Threat Alliance (CTA) atau Aliansi Ancaman siber, Fortinet membagikan intelijen ancaman secara tepat waktu kepada praktisi keamanan siber lainnya untuk melindungi pelanggan dari musuh dengan lebih baik.
•
Bekerja sama dengan para pemimpin global sebagai anggota pendiri the World Economic Forum’s Centre for Cybersecurity (C4C) atau Pusat Keamanan Siber Forum Ekonomi Dunia, Fortinet membantu mendorong pertukaran intelijen di seluruh industri guna mengurangi serangan siber dunia dan menghentikan kejahatan siber.

Bekerja sama dengan para pemimpin global sebagai anggota pendiri the World Economic Forum’s Centre for Cybersecurity (C4C) atau Pusat Keamanan Siber Forum Ekonomi Dunia, Fortinet membantu mendorong pertukaran intelijen di seluruh industri guna mengurangi serangan siber dunia dan menghentikan kejahatan siber.

Fortinet menjelaskan bagaimana transparansi radikal yang bertanggung jawab dapat membantu memperkuat ketahanan keamanan siber terhadap ancaman siber sebagai bagian dari sesi panel di RSA Conference 2024 yang bertajuk: No More Secrets in Cybersecurity: Implementing ‘Radical Transparency (Tidak Ada Lagi Rahasia dalam Keamanan Siber: Menerapkan ‘Transparansi Radikal) beberapa waktu lalu.

Dalam diskusi tersebut, Presiden dan CEO Cyber Threat Alliance (CTA), Michael Daniels mengatakan, ia telah belajar berkali-kali di berbagai sektor bahwa transparansi meningkatkan hasil bagi konsumen dan masyarakat. Hal yang sama berlaku untuk industri keamanan siber. "Di sektor kami, transparansi mencakup pencarian, mitigasi, dan pengungkapan kerentanan secara terbuka dan bertanggung jawab. Fortinet telah mengambil langkah-langkah untuk menerapkan transparansi yang bertanggung jawab, dengan menciptakan serangkaian prinsip yang jelas untuk menangani komunikasi dan analisis kerentanan. Kepemimpinan perusahaan dalam bidang ini adalah contoh kuat bagaimana vendor keamanan siber harus berkomunikasi dengan pelanggan dan masyarakat luas," jelasnya.

Sedangkan, Direktur, Analisis Strategis Australia dan anggota Dewan Penasihat Strategis Fortinet, Peter Jennings menjelaskan, dedikasi terhadap pendekatan desain yang aman dalam pengembangan produk merupakan dasar dari keamanan yang kuat. "Kami melihat vendor seperti Fortinet sebagai teladan dalam mengikuti dan menerapkan prinsip-prinsip ini secara global, prinsip-prinsip yang juga diuraikan dalam Australia’s Essential Eight framework, sebagai langkah maju yang signifikan dalam meningkatkan keamanan kolektif kita,” katanya.

Sementara, pensiunan Jenderal NATO, -Jenderal Sir Richard Sheriff mengatakan, identifikasi dan penilaian risiko adalah dua komponen manajemen risiko yang paling penting, baik saat Anda berada di medan perang atau melindungi lingkungan TI. "Pendekatan Fortinet terhadap transparansi, pengungkapan kerentanan, dan pembagian intelijen ancaman adalah pendekatan yang harus ditiru oleh industri keamanan siber yang lebih luas," ujarnya.

Juga mantan Wakil Menteri di Departemen Keamanan Dalam Negeri AS, Suzanne Spaulding berkomentar, dalam lingkungan yang dinamis saat ini, peningkatan transparansi sangat penting guna meningkatkan keamanan organisasi. "Sangat menggembirakan melihat Fortinet berada di garis depan dalam menerapkan transparansi radikal seiring dengan upaya perusahaan dalam berbagi informasi tentang kerentanan dan informasi ancaman,” ujarnya.

Di kesemoatan yang sama, Mantan Laksamana bintang 4 dan Panglima Tertinggi Sekutu NATO, Laksamana James Stavridis menjelaskan, kolaborasi antara pemerintah dan perusahaan swasta merupakan dan akan terus menjadi bagian integral dalam upaya mengatasi ancaman siber. "Sebagai anggota Dewan Direksi Fortinet, saya telah melihat secara langsung dan memuji bagaimana pemimpin siber ini bekerja dengan organisasi publik dan swasta untuk secara transparan membagikan intelijen ancaman dan mendukung upaya keamanan nasional,” katanya. (mas)