Penerapan SMKI berbasis Cybersecurity Framework

Cybersecurity Framework adalah kerangka kerja untuk keamanan teknologi informasi yang pertama kali diterbitkan pada bulan Februari 2014 sebagai tanggapan atas Perintah Eksekutif Presiden Obama terkait peningkatan keamanan infrastruktur kritis milik pemerintahan AS. Dimana beliau menyerukan perlunya kerangka kerja keamanan (framework) standar untuk infrastruktur vital dan strategis di Amerika Serikat.

Cybersecurity framework atau yang biasa disebut sebagai CSF NIST telah diakui oleh profesional IT Security sebagai sumber daya untuk membantu meningkatkan operasi keamanan dan tata kelola organisasi baik publik maupun swasta. Meskipun NIST CSF adalah pedoman yang hebat untuk penyusunan sistem manajemen keamanan informasi (SMKI) yang bertujuan mengubah postur keamanan organisasi dan manajemen risiko dari pendekatan reaktif ke proaktif, namun pada kenyataannya untuk menerapkannya bukanlah suatu hal yang mudah.

Jika Anda kesulitan memahami NIST Cybersecurity Framework, maka ringkasan kerangka kerja yang kami susun semoga dapat membantu Anda mempercepat proses transformasi keamanan Anda. Berikut ini adalah ringkasan Kerangka Kerja Keamanan NIST Cybersecurity berikut perinciannya :

CSF NIST terdiri dari empat bidang inti. Ini termasuk Fungsi, Kategori, Subkategori, dan Referensi. Di bawah ini, kami akan memberikan penjelasan singkat tentang terminologi untuk CSF NIST.

Lima Fungsi Dalam Cybersecurity Framework

CSF NIST diatur ke dalam lima Fungsi inti yang juga dikenal sebagai Framework Core. Fungsi-fungsi diatur secara bersamaan satu sama lain untuk mewakili siklus hidup keamanan. Setiap fungsi sangat penting untuk postur keamanan yang beroperasi dengan baik dan manajemen risiko cybersecurity yang sukses. Definisi untuk masing-masing Fungsi adalah sebagai berikut:

  • Indentification (Identifikasi): Mengembangkan pemahaman organisasi untuk mengelola risiko keamanan siber terhadap sistem, aset, data, dan kemampuan.
  • Protect (Perlindungan) : Mengembangkan dan menerapkan perlindungan yang sesuai untuk memastikan pengiriman layanan infrastruktur penting.
  • Detection (Deteksi): Mengembangakan dan menerapkan kegiatan yang sesuai untuk mengidentifikasi terjadinya peristiwa keamanan.
  • Respon (Menanggapi): Mengembangkan dan mengimplementasikan kegiatan yang sesuai ketika menghadapi peristiwa keamanan yang terdeteksi.
  • Recover (Pemulihan): Mengembangkan dan menerapkan kegiatan yang sesuai untuk ketahanan dan untuk memulihkan kemampuan atau layanan apa pun yang mengalami gangguan karena peristiwa keamanan tsb.

Kategori dan Subkategori

Dengan masing-masing Fungsi dicatat dalam Gambar di atas, ada dua puluh satu kategori dan lebih dari seratus subkategori. Subkategori menyediakan konteks untuk setiap kategori dengan referensi ke kerangka kerja lain seperti COBIT, ISO, ISA, dan lainnya.

Gambar di bawah ini adalah tampilan kecil dari Fungsi Identifikasi dengan kategori, subkategori, dan referensi:

NIST-Cybersecurity-Framework-Summary-Function-Categories-and-Subcategories-1024x700

Tingkat Kematangan dalam Tier Cybersecurity Framework

Tingkat kematangan dalam CSF dinyatakan dalam Tier. Dimana Tier mewakili seberapa baik organisasi memandang risiko keamanan siber dan proses yang ada untuk memitigasi risiko. Ini membantu memberikan tolok ukur bagi organisasi tentang bagaimana operasi mereka saat ini.

  • Tier 1 – Partial: Risiko keamanan siber organisasi tidak diformalkan dan dikelola secara ad hoc dan terkadang reaktif. Ada juga kesadaran terbatas tentang manajemen risiko keamanan siber.
  • Tier 2 – Risk Informed: Mungkin tidak ada kebijakan di seluruh organisasi untuk manajemen risiko keamanan. Namun pihak manajemen dalam telah mengelola risiko keamanan siber berdasarkan pada asessmen risiko yang terjadi.
  • Tier 3 – Repeatable: Sudah ada proses manajemen risiko di level formal organisasi yang diikuti oleh kebijakan keamanan yang ditetapkan.
  • Tier 4 – Adaptable: Organisasi pada tahap ini akan mengadaptasi kebijakan keamanan siber berdasarkan pelajaran yang dipetik dan didorong secara analitik untuk memberikan wawasan dan praktik terbaik. Organisasi terus-menerus belajar dari peristiwa keamanan yang terjadi di organisasi dan akan membagikan informasi itu dengan jaringan yang lebih besar.

Anda dapat menggunakan CSF untuk mengukur sejauhmana postur keamanan Anda saat ini. Dengan mengacu pada setiap kategori dan subkategori yang ada dalam Fungsi Inti maka Anda dapat menentukan posisi keamanan sistem pada skala Tier NIST CSF. Pemanfaatan NIST Cybersecurity Framework adalah cara yang bagus untuk menstandarisasi cybersecurity dan manajemen risiko di dalam organisasi Anda.

CSF dapat Anda gunakan sebagai framework untuk menyusun sistem keamanan teknologi informasi di perusahaan atau organisasi Anda. Berbeda dengan ISO27001 yang rigid dan ketat karena memiliki banyak persyaratan khusus untuk memenuhi kepentingan sertifikasi ISO. CSF ini dapat diaplikasikan secara fleksibel dan lebih mudah dipahami dan diterapkan karena framework disusun dengan perspektif teknologi sehingga bisa langsung di implementasikan sesegera mungkin bila memang dibutuhkan deployment yang cepat.

Kontak Kami

Informasi lebih jauh terkait dengan Layanan Konsultasi dan Audit Sistem Manajemen Keamanan Informasi khususnya penyusunan Sistem Manajemen Keamanan Informasi berbasis Cybersecurity Framework silahkan menghubungi kami di alamat kontak sebagai berikut :

  • Alamat Email : sales@netsolution.co.id
  • Telp. Kantor  : 021-47884169
  • Contact Person : Abdulloh (Telp/WA : 08129632130)