Strategi Keamanan Data yang Diperbarui: Tinjauan Cybersecurity Framework (CSF) 2.0 dari NIST

National Institute of Standards and Technology (NIST) telah memperbarui Kerangka Kerja Keamanan Siber (Cybersecurity Framework/CSF). Hal ini didasari oleh masukan dan komentar yang banyak diterima pada versi draf. NIST memperluas panduan inti CSF dan mengembangkan sumber daya terkait untuk membantu pengguna mendapatkan manfaat maksimal dari kerangka kerja tersebut. Dokumen panduan utamanya untuk mengurangi risiko keamanan siber. Edisi 2.0 yang baru dirancang untuk semua audiens, sektor industri, dan jenis organisasi, dari sekolah dan nirlaba terkecil hingga lembaga dan perusahaan terbesar. Hal ini berlaku terlepas dari tingkat kecanggihan keamanan siber mereka.

Laurie E. Locascio, Direktur NIST sekaligus Under Secretary of Commerce for Standards and Technology mengungkapkan bahwa perubahan CSF 2.0 bukan hanya tentang satu dokumen. Ini tentang rangkaian sumber daya yang dapat disesuaikan dan digunakan secara individual atau dalam kombinasi dari waktu ke waktu seiring dengan perubahan kebutuhan keamanan siber organisasi dan kemampuannya berkembang. CSF 2.0 merupakan evolusi dari kerangka kerja keamanan siber yang sebelumnya, menawarkan rangkaian sumber daya yang fleksibel dan dapat disesuaikan dengan kebutuhan setiap organisasi. Ini membantu organisasi memperkuat postur keamanan siber mereka secara efektif dan berkelanjutan.

Versi terbaru dari CSF ini telah mendukung pengimplementasian National Cybersecurity Strategy di Gedung Putih, Washington - Amerika Serikat. Dengan cakupan luas yang tidak hanya terbatas pada perlindungan infrastruktur kritis, seperti rumah sakit dan pembangkit listrik, tetapi juga mencakup semua organisasi di berbagai sektor. Selain itu, fokus baru dari CSF ini adalah pada tata kelola, yang mencakup bagaimana organisasi membuat dan melaksanakan keputusan yang terinformasi tentang strategi keamanan siber. Komponen tata kelola CSF menekankan bahwa keamanan siber adalah sumber risiko utama bagi perusahaan yang harus dipertimbangkan oleh para pemimpin senior bersama dengan risiko lain seperti keuangan dan reputasi.

Menurut Kevin Stine, kepala Divisi Keamanan Siber Terapan NIST, pembaruan tersebut dikembangkan melalui kerja sama yang erat dengan para pemangku kepentingan, serta mencerminkan tantangan dan praktik manajemen keamanan siber terbaru. Tujuannya adalah untuk membuat kerangka kerja tersebut lebih relevan bagi sejumlah pengguna yang lebih luas, baik di Amerika Serikat maupun di luar negeri.

Dalam dokumen NIST Cybersecurity Framework 2.0: RESOURCE & OVERVIEW GUIDE anda akan panduan yang menjelaskan tentang NIST Cybersecurity Framework (CSF) 2.0, yang dapat membantu organisasi Anda mengelola dan mengurangi risiko keamanan siber. Mulai dari bagaimana organisasi memulai atau meningkatkan program keamanan siber mereka, memberikan panduan spesifik (outcomes) untuk menangani risiko keamanan siber, dan bagaimana menghubungkan organisasi dengan sumber daya lain dari NIST yang menjelaskan tindakan-tindakan yang dapat diambil untuk mencapai setiap outcome.

CSF 2.0 bukanlah pengganti, melainkan pelengkap, untuk sumber daya NIST lainnya. Dengan CSF 2.0 organisasi dapat memahami, menilai, memprioritaskan, dan mengomunikasikan risiko keamanan siber. Selain itu, ini juga dapat memperlancar komunikasi internal dan eksternal antar tim. Dengan mengintegrasikan keamanan siber dengan strategi pengelolaan risiko yang lebih luas.

CSF 2.0 terstruktur dalam enam Fungsi diantaranya sebagai berikut;

1. Govern (Memimpin): Menetapkan arah dan pengawasan program keamanan siber.
2. Identify (Mengidentifikasi): Mengenali aset dan kerentanan yang dimiliki organisasi.
3. Protect (Melindungi): Mengimplementasikan langkah-langkah untuk melindungi aset dari serangan.
4. Detect (Mendeteksi): Menemukan dan mengidentifikasi serangan yang terjadi.
5. Respond (Menanggapi): Menanggapi serangan dengan cepat dan efektif untuk meminimalkan kerusakan.
6. Recover (Memulihkan): Mengembalikan sistem dan operasi ke keadaan normal setelah serangan.

Keenam Fungsi ini bersama-sama memberikan pandangan komprehensif untuk mengelola risiko keamanan siber. Panduan Sumber Daya & Tinjauan ini menawarkan detail tentang setiap Fungsi sebagai titik awal potensial.

CSF 2.0 terdiri dari:

• CSF Core: Suatu taksonomi hasil keamanan siber tingkat tinggi yang dapat membantu organisasi mana pun mengelola risiko keamanan sibernya.
• CSF Organizational Profiles: Mekanisme untuk menggambarkan postur keamanan siber organisasi saat ini dan/atau target dalam kerangka hasil CSF Core.
• CSF Tiers: Dapat diterapkan pada Profil Organisasi CSF untuk mengkarakterisasi ketelitian tata kelola dan praktik manajemen risiko keamanan siber suatu organisasi.

Intinya CSF 2.0 dapat menjadi alat bantu berharga bagi organisasi untuk meningkatkan keamanan siber. Dengan menyediakan kerangka kerja dan sumber daya untuk membantu organisasi memahami, mengelola, dan mengurangi risiko keamanan siber mereka.

Kita perlu menyadari bahwa setiap organisasi mempunyai risiko yang bisa digeneralisasi atau unik. Belum lagi selera dan toleransi risiko yang berbeda-beda, misi spesifik, dan tujuan untuk mencapai misi tersebut. Sesuai kebutuhan, cara organisasi menerapkan CSF akan berbeda-beda.

Idealnya, CSF akan digunakan untuk mengatasi risiko keamanan siber bersama dengan risiko lain dalam perusahaan, termasuk risiko finansial, privasi, rantai pasokan, reputasi, teknologi, atau fisik.

CSF dapat memberikan gambaran atau hasil yang diinginkan untuk dipahami oleh berbagai kalangan, termasuk eksekutif, manajer, dan praktisi, tanpa memandang tingkat keahlian keamanan siber mereka. Di desain dengan fleksibel kepada organisasi untuk mengatasi risiko-risiko unik, teknologi, dan pertimbangan misi mereka. Hasil-hasil tersebut langsung dipetakan ke daftar kontrol keamanan potensial yang dapat segera dipertimbangkan untuk mengurangi risiko keamanan siber. Ini berarti organisasi dapat dengan cepat melihat apa yang diinginkan dari CSF dan mengidentifikasi kontrol keamanan yang relevan untuk mengurangi risiko tersebut.

Dengan demikian, CSF tidak hanya memberikan panduan umum tentang apa yang harus dicapai dalam keamanan siber, tetapi juga memberikan kerangka yang konkret untuk mengimplementasikan kontrol keamanan yang sesuai dengan kebutuhan dan kondisi unik setiap organisasi. Ini membantu organisasi untuk memperoleh pemahaman yang lebih baik tentang risiko keamanan siber mereka dan mengambil tindakan yang sesuai untuk menguranginya.

CSF tidak memberikan instruksi yang kaku atau preskriptif tentang apa yang harus dilakukan. Namun, ia membantu penggunanya untuk memahami dan memilih hasil-hasil spesifik yang relevan dengan keamanan siber mereka.

Untuk membantu pengguna dalam mencapai hasil-hasil tersebut, CSF menyediakan serangkaian sumber daya online yang melengkapi CSF, termasuk Seri Panduan Memulai Cepat (Quick Start Guides/QSGs). Selain itu, ada berbagai alat yang menawarkan format yang dapat diunduh untuk membantu organisasi yang memilih untuk mengotomatisasi sebagian dari proses mereka.

QSGs memberikan saran awal tentang cara menggunakan CSF dan mengundang pembaca untuk menjelajahi CSF dan sumber daya terkait lainnya dengan lebih dalam. Ini memberikan panduan praktis bagi pengguna baru untuk memulai dengan CSF.

CSF dan sumber daya tambahan dari NIST dan pihak lain seharusnya dianggap sebagai "portofolio CSF" untuk membantu mengelola dan mengurangi risiko. Hal ini menunjukkan bahwa CSF adalah bagian dari rangkaian sumber daya yang lebih besar yang dapat digunakan bersama-sama untuk mengoptimalkan keamanan siber.

Terlepas dari bagaimana CSF diterapkan, ia mendorong pengguna untuk mempertimbangkan posisi keamanan siber mereka secara kontekstual dan kemudian menyesuaikan CSF sesuai dengan kebutuhan spesifik mereka. Ini menekankan pentingnya pendekatan yang disesuaikan dengan konteks dan kebutuhan unik setiap organisasi dalam mengelola risiko keamanan siber.

Versi terbaru CSF, yaitu CSF 2.0, menyoroti pentingnya tata kelola dan rantai pasokan. Ini menunjukkan bahwa CSF mengakui peran penting dari aspek-aspek ini dalam keamanan siber organisasi.

Ini memberikan perhatian khusus pada Panduan Memulai Cepat (QSGs) untuk memastikan bahwa CSF relevan dan mudah diakses oleh organisasi kecil maupun besar. Hal ini menunjukkan komitmen untuk memastikan bahwa sumber daya CSF dapat diakses oleh berbagai ukuran dan jenis organisasi.

Selain itu NIST sekarang menyediakan Contoh Implementasi dan Referensi Informatif, yang tersedia secara online dan diperbarui secara berkala. Hal ini membantu organisasi dalam memahami bagaimana CSF dapat diimplementasikan dalam praktik, serta memberikan referensi tambahan yang bermanfaat.

Pembuatan Profil Organisasi saat ini dan target membantu organisasi untuk membandingkan di mana mereka berada saat ini dengan di mana mereka ingin atau perlu berada. Hal ini memungkinkan organisasi untuk mengimplementasikan dan menilai kontrol keamanan dengan lebih cepat dan efektif.

Dengan tambahan fitur-fitur baru ini, CSF 2.0 meningkatkan kemampuan organisasi untuk mengelola dan mengurangi risiko keamanan siber dengan lebih baik, sambil tetap mempertimbangkan aspek-aspek penting seperti tata kelola dan rantai pasokan. Ini juga memperluas aksesibilitas dan relevansi CSF untuk berbagai jenis organisasi.

Dunia digital terus berubah dan risiko keamanan siber terus berkembang. Organisasi perlu secara proaktif mengidentifikasi, mengevaluasi, dan mengelola risiko-risiko tersebut secara terus-menerus.

Pengelolaan risiko keamanan siber harus dianggap sebagai proses yang berkelanjutan, bukan sekadar tugas yang dilakukan sekali dan selesai. Hal ini membutuhkan komitmen jangka panjang dari organisasi untuk menjaga keamanan informasi dan sistem mereka.

Kerangka Kerja Keamanan Siber (CSF) dirancang untuk memberikan nilai yang relevan bagi semua jenis organisasi, tidak peduli seberapa besar atau kecilnya organisasi tersebut, dan terlepas dari tingkat kematangan tim keamanan siber mereka.

CSF diharapkan dapat memberikan panduan yang sesuai dan relevan selama jangka waktu yang panjang. Ini menunjukkan bahwa CSF dirancang untuk tetap bermanfaat dan relevan seiring dengan perkembangan keamanan siber dan perubahan dalam lingkungan bisnis.

Dengan memahami pentingnya pengelolaan risiko keamanan siber sebagai proses berkelanjutan dan nilai yang ditawarkan oleh CSF, organisasi dapat lebih baik mempersiapkan diri untuk menghadapi tantangan keamanan siber yang terus berkembang.

Resources:

• CSF 2.0
• CSF 2.0 Profile
• Quick Start Guides
• Informative References (Mappings)