Komentar
 |
| Foto: NIST CSF dari nist.org |
Dunia digital yang semakin
berkembang pesat, diiringi dengan meningkatnya ancaman serangan siber. Tidak
sedikit perusahaan yang kewalahan menghadapi serangan ini karena kurangnya
persiapan. Disinilah pentingnya memiliki
program keamanan siber yang mumpuni.
National Institute of
Standards and Technology (NIST) merupakan perusahaan Amerika Serikat yang bergerak dalam bidang
standarisasi dan sertifikasi industri salah satunya menyangkut Cybersecurity
Framework (CSF) bagi perusahaan. Kerangka Kerja NIST CSF bisa menjadi pedoman
andalan dalam mengembangkan sistem keamanan siber. Kerangka Kerja ini dikembangkan
pada tahun 2004 yang berisi tentang standar, pedoman, dan praktik terbaik untuk
membantu bisnis dan organisasi mengelola risiko keamanan siber. NIST CSF
berfungsi sebagai panduan lengkap untuk membangun dan meningkatkan program
keamanan siber organisasi.
Kerangka kerja ini
mengkategorikan semua kemampuan, proyek, proses, dan aktivitas keamanan siber
sehari-hari ke dalam 5 fungsi inti: Identify (identifikasi), Protect (lindungi),
Detect (deteksi), Respond (menanggapi), dan Recover (pulihkan).
Pada tanggal 8 Agustus 2023,
NIST menerbitkan draft publik awal untuk Cybersecurity Framework versi
2.0 (NIST CSF 2.0). Ini adalah pembaruan pertama sejak versi 1.1 dirilis pada
tahun 2014. NIST CSF 2.0 merupakan versi terbaru dari serangkaian prosedur dan
pedoman yang dirilis pada bulan Februari 2024.
Tentang NIST CSF 2.0
NIST CSF 2.0 dikembangkan
dengan masukan dari lembaga penelitian, industri, dan pemerintah yang diciptakan
untuk memstandardisasi keamanan siber dalam organisasi yang berurusan dengan
infrastruktur teknologi informasi yang kritis. Sejak itu, kerangka kerja ini
telah diadopsi oleh berbagai organisasi di berbagai industri.
Populer karena
fleksibilitasnya, organisasi dapat menyesuaikan dan menggunakan kerangka kerja
ini untuk memenuhi kebutuhan keamanan siber mereka yang spesifik. Ini dapat
digunakan untuk memahami elemen-elemen kritis dalam penyediaan layanan suatu
organisasi, sehingga perencanaan keamanan siber menjadi lebih efisien dari segi
biaya.
Untuk membantu organisasi
menavigasi lautan berisiko ini, NIST Cybersecurity Framework (CSF) 2.0
menghadirkan enam fungsi inti: Tahap pertama dari kerangka keamanan siber NIST
adalah Govern, yang berfokus pada menetapkan aturan dan mengawasi kebijakan
keamanan siber. Tahap kedua adalah Identify, di mana organisasi mencoba
memahami risiko siber dan menemukan cara untuk memperbaiki kelemahan yang ada.
Tahap ketiga, Protect, melibatkan langkah-langkah untuk melindungi aset dari
serangan siber. Tahap keempat dari kerangka keamanan siber NIST adalah Detect,
yang mencari dan menganalisis serangan atau kompromi keamanan siber. Tahap
kelima adalah Respond, di mana organisasi merespons dan mengelola serangan yang
terdeteksi. Terakhir, tahap keenam adalah Recover, yang bertujuan untuk
memulihkan operasi dan aset yang terpengaruh oleh serangan siber.
NIST CSF 1.1 vs. NIST CSF
2.0. Apa perbedaannya?
Versi 2.0 NIST membuat
sejumlah perbaikan dibandingkan panduan NIST sebelumnya. Pembaruan ini, yaitu
penambahan "govern" sebagai fungsi inti. Penambahan ini
dimaksudkan untuk "menyoroti pentingnya tata kelola dan rantai pasokan"
seperti yang dijelaskan oleh publikasi milik NIST itu sendiri.
Nithya Das, Chief Legal
& Administrative Officer di Diligent, berkomentar tentang inklusi fungsi
tata kelola: "Kerangka kerja terbaru dari NIST menunjukkan bahwa
keamanan siber bukan lagi masalah IT. Hal ini adalah masalah seluruh
organisasi, dan pihak manajemen dan dewan direksi perlu memahami sepenuhnya.
Pengenalan fungsi tata kelola sejalan dengan peraturan csiebr yang baru saja
diadopsi oleh SEC yang memerlukan dewan untuk menunjukkan pengawasan mereka
terhadap siber. Kedua peraturan dan kerangka kerja siber sekarang menyatakan
bahwa memberikan pemahaman kepada eksekutif dan dewan tentang risiko siber dan
bagaimana hal tersebut mempengaruhi tujuan organisasi adalah bagian penting
dari manajemen risiko"
Tabel di bawah ini memberikan
gambaran perbedaan inti antara NIST CSF 1.1 dan NIST CSF 2.0 di berbagai aspek
kerangka kerja:
|
Aspek
|
NIST CSF 1.1
|
NIST CSF 2.0
|
|
Komponen kerangka
|
Identifikasi, lindungi,
deteksi, tanggapi, dan pulihkan
|
Mengidentifikasi,
melindungi, mendeteksi, merespons, memulihkan, dan mengatur
|
|
Skalabilitas dan
fleksibilitas
|
Fleksibilitas terbatas,
kurang terukur
|
Menekankan skalabilitas
dan fleksibilitas, disesuaikan dengan kebutuhan organisasi
|
|
Integrasi dengan kerangka lain
|
Panduan minimal tentang
integrasi dengan kerangka kerja lain
|
Memberikan panduan tentang
integrasi dengan berbagai kerangka keamanan siber
|
|
Privasi dan keamanan rantai pasokan |
Penekanan terbatas pada
privasi dan keamanan rantai pasokan
|
Menggabungkan pertimbangan untuk privasi dan keamanan rantai pasokan |
|
Panduan dan sumber daya
yang ditingkatkan
|
Memberikan panduan dan
sumber daya dasar
|
Menawarkan panduan yang
ditingkatkan, studi kasus, bahan referensi, dan alat
|
|
Penekanan pada perbaikan berkelanjutan
|
Mengakui pentingnya namun
memberikan panduan yang terbatas
|
Menekankan perbaikan
berkelanjutan, adaptasi terhadap ancaman yang berkembang
|
Kerangka Kerja Keamanan
Siber NIST terdiri dari tiga komponen utama:
- Inti CSF: Berfungsi sebagai kerangka pusat untuk mengelola risiko keamanan siber, terdiri dari fungsi, kategori, dan subkategori yang menguraikan hasil keamanan siber tingkat tinggi. Hasil ini dirancang untuk dipahami oleh individu di semua tingkatan organisasi, mulai dari eksekutif hingga praktisi, tanpa memandang keahlian keamanan siber mereka. Yang penting, hasil ini dapat disesuaikan di berbagai sektor, negara, dan teknologi, memungkinkan organisasi untuk menyesuaikan pendekatan mereka untuk mengatasi risiko, teknologi, dan kebutuhan misi mereka yang spesifik.
- Profil Organisasi CSF: Profil-profil ini memberikan cara bagi organisasi untuk menggambarkan posisi keamanan siber mereka saat ini atau yang diinginkan menggunakan hasil yang didefinisikan dalam Inti CSF.
- Tingkat CSF: Tingkat ini menawarkan metode untuk menggambarkan ketatnya tata kelola risiko keamanan siber dan praktik manajemen suatu organisasi. Mereka memberikan wawasan tentang bagaimana suatu organisasi mempersepsikan dan mengelola risiko keamanan siber, memberikan konteks berharga bagi para pemangku kepentingan.
Dunia keamanan siber terus
berkembang, namun pendekatan dasarnya tetap sama. NIST Cybersecurity Framework
(CSF) baru saja diperbarui ke versi 2.0, dan perubahannya terbilang minimal.
CSF 1.1 memiliki 22 kategori dan 108 subkategori, sementara CSF 2.0 memiliki 23
kategori dan 106 subkategori. Yang baru dalam CSF 2.0 adalah penekanan yang
lebih kuat pada pemahaman risiko, tata kelola keamanan informasi, dan kewajiban
para pemangku kepentingan. Meski begitu, konsep inti dari framework ini masih
relevan.
Jadi, bagaimana cara terbaik
menghadapi perubahan ini? Yang
terpenting adalah membangun budaya yang mengutamakan keamanan siber di seluruh
departemen perusahaan. Selain itu, lakukan penilaian risiko menyeluruh untuk
memahami risiko terbesar yang dihadapi dan cara mengatasinya.
(Adi Arga
Arifnur / Dosen Universitas Andalas)
Editor by: Yasrizal