Membongkar kerangka kerja keamanan siber NIST 2.0
Kerangka kerja keamanan siber (CSF) NIST membantu organisasi memperkuat manajemen risiko melalui bahasa umum yang berfokus pada pemacu bisnis, sehingga mampu meningkatkan keamanan siber.
NIST CSF 1.0 dirilis pada Februari 2014, disusul versi 1.1 pada April 2018. Pada Februari 2024, NIST merilis iterasi terbaru dari CSF: versi 2.0. Perjalanan menuju CSF 2.0 dimulai dengan permintaan informasi (RFI) pada Februari 2022. Selama dua tahun berikutnya, NIST melibatkan komunitas keamanan siber melalui analisis, lokakarya, komentar, dan draf revisi untuk menyempurnakan standar yang ada serta membangun model baru yang mencerminkan tantangan keamanan yang terus berkembang.
Sementara inti dari CSF tetap sama, ada beberapa tambahan penting untuk versi baru. Inilah yang perlu diketahui perusahaan tentang kerangka kerja baru, bagaimana pengaruhnya terhadap operasi dan bagaimana tim TI dapat menerapkan CSF versi 2.0 secara efektif ke operasi sehari-hari.
Pertama adalah hadirnya fungsi “Govern”, yang mendukung kelima fungsi dalam kerangka kerja NIST asli: Identify, Protect, Detect, Respond, dan Recover. Seperti yang dicatat dalam dokumentasi CSF 1.0 asli, “fungsi-fungsi ini tidak dimaksudkan untuk membentuk jalur seri atau mengarah pada kondisi akhir yang statis.” Sebaliknya, fungsi-fungsi ini dapat dijalankan secara bersamaan dan berkelanjutan untuk membentuk budaya operasional yang mampu menghadapi risiko keamanan yang dinamis.
Akibatnya, fungsi tersebut kerap digambarkan sebagai lingkaran berisi lima bagian yang mengelilingi kerangka kerja CST di bagian pusat. Setiap fungsi mengalir ke fungsi berikutnya, dan tak satu pun berdiri sepenuhnya terpisah dari yang lain.
NIST CSF 2.0 mempertahankan fungsi-fungsi ini tetapi menambahkan Govern sebagai cincin bagian dalam lengkap yang terletak di bawah lima fungsi luar. Fungsi Govern berfokus memastikan fungsi-fungsi lain selaras dengan kebutuhan bisnis, diukur secara rutin oleh tim operasi, dan dikelola oleh eksekutif keamanan.
Dengan kata lain, Govern bertujuan menghadirkan kepemimpinan yang lebih kuat dalam percakapan seputar keamanan. Meskipun hal ini telah diterapkan di sebagian besar bisnis, CSF 2.0 menetapkannya sebagai prioritas utama.
Buletin industri
Berita teknologi terbaru, didukung oleh insight dari pakar
Tetap terinformasi tentang tren industri yang paling penting—dan menarik—tentang AI, otomatisasi, data, dan di luarnya dengan buletin Think. Lihat Pernyataan Privasi IBM®.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.
Dua versi CSF pertama memprioritaskan infrastruktur penting. Sementara berbagai industri dan lembaga mulai mengadopsi kerangka kerja ini, pada dasarnya kerangka tersebut dirancang untuk meminimalkan dampak insiden keamanan siber di sektor infrastruktur penting.
Namun, adopsi kerangka kerja yang luas memperjelas bahwa praktik dan proses diterapkan pada organisasi publik dan swasta di semua sektor dan industri. Akibatnya, NIST CSF 2.0 menawarkan praktik terbaik yang diperluas yang berlaku secara luas untuk bisnis dari berbagai ukuran dan jenis.
Misalnya, CSF yang baru merekomendasikan agar setiap bisnis membuat Profil Organisasi yang menggambarkan postur keamanan siber saat ini serta target yang ingin dicapai. Hal ini memungkinkan perusahaan menetapkan tujuan sekaligus menentukan praktik yang dibutuhkan untuk mencapainya. Kerangka kerja baru ini juga menyoroti peran Profil Komunitas. Profil ini dibuat untuk menangani kepentingan dan tujuan keamanan siber bersama dari sejumlah organisasi dalam sektor atau subsektor yang sama, yang menggunakan teknologi serupa atau menghadapi jenis ancaman yang sejenis.
Dengan penekanan pada penguatan tata kelola serta praktik terbaik yang lebih luas, NIST CSF terbaru dapat membantu perusahaan meningkatkan keamanan dan menekan risiko. Untuk menerapkan kerangka kerja ini secara efektif, organisasi dapat memperoleh manfaat dari pendekatan empat cabang.
1. Gunakan rekomendasi dan sumber daya yang tersedia
Cakupan dan skala CSF 2.0 yang diperluas dapat membuat bisnis dari berbagai ukuran kesulitan dalam menerapkan rekomendasi baru secara efektif. Untuk perusahaan yang lebih kecil, dukungan TI yang terbatas dapat berdampak pada pengembangan praktik baru, sementara organisasi yang lebih besar mungkin berjuang dengan kompleksitas lingkungan TI mereka.
Untuk membantu merampingkan proses, bisnis harus memanfaatkan sumber daya yang tersedia sebaik mungkin, seperti:
2. Libatkan para pemimpin dalam proses ini
Berikutnya dalam daftar adalah mendapatkan pemimpin dalam lingkaran. Sementara CSF 2.0 dirancang dengan fokus pada tata kelola dan pengawasan, banyak eksekutif C-suite non-teknis mungkin masih memiliki pemahaman yang terbatas tentang kerangka kerja tersebut dan dampaknya. Akibatnya, langkah yang bijak bagi para pemimpin TI — seperti CTO, CIO, dan CISO — serta tim mereka adalah duduk bersama dewan direksi untuk membahas dampak CSF 2.0. Ini juga menjadi kesempatan untuk memastikan bahwa tujuan bisnis dan strategi keamanan benar-benar selaras.
Selain itu, pertemuan ini memberikan kesempatan untuk menentukan metrik keamanan utama, menentukan bagaimana mereka akan dikumpulkan dan membuat jadwal terperinci untuk pengumpulan, pelaporan, dan tindakan. Dengan menjadikan pemimpin bagian dari percakapan sejak awal implementasi CSF, perusahaan menetapkan panggung untuk visibilitas berkelanjutan.
3. Mengevaluasi kemitraan eksternal
Sebagai bagian dari fungsi Govern yang baru, CSF 2.0 menyertakan subbagian tambahan yang berfokus pada manajemen vendor dan pemasok. Misalnya, GV.SC-04 berfokus pada mengetahui dan memprioritaskan pemasok berdasarkan kekritisan mereka terhadap operasi, sementara GV.SC-06 berbicara tentang perencanaan dan uji tuntas yang diperlukan sebelum memasuki hubungan pihak ketiga. Akhirnya, subbagian GV.SC-10 dapat membantu perusahaan merencanakan penghentian hubungan pemasok atau mitra.
Mengingat meningkatnya risiko dan dampak kompromi pihak ketiga, evaluasi ini menjadi sangat penting. Jika pemasok atau vendor yang memiliki akses ke data penting perusahaan dikompromikan akibat praktik keamanan siber yang buruk, organisasi tetap berisiko, meskipun telah mematuhi CSF 2.0.
4. Menyebarkan alat manajemen dan pemantauan
Untuk mendukung kelima fungsi yang ada sekaligus menyediakan data yang dibutuhkan guna menginformasikan upaya tata kelola baru, perusahaan memerlukan alat pemantauan yang mampu mendeteksi potensi ancaman, melacak indikator kompromi (IOC), dan mengambil tindakan untuk mengurangi risiko secara keseluruhan.
Misalnya, alat intelijen ancaman dapat membantu organisasi menentukan pola dan target serangan umum, pada gilirannya memberi tim data yang mereka butuhkan untuk membuat dan menerapkan tindakan penanggulangan yang efektif. Data ini juga membantu mengaitkan pengeluaran keamanan dengan hasil bisnis yang terukur.
Sementara CSF 2.0 adalah versi terbaru dari kerangka kerja keamanan siber NIST, ini bukan yang terakhir. Seperti dicatat oleh NIST, kerangka kerja ini dirancang sebagai dokumen hidup yang berkembang untuk memenuhi kebutuhan keamanan siber yang muncul dan membantu perusahaan menavigasi lingkungan ancaman yang berubah.
Dalam praktiknya, ini berarti bergerak dari praktik terbaik menuju praktik yang menjadi standar umum. Misalnya, jika versi 1.0 dan 1.1 menawarkan praktik terbaik untuk infrastruktur penting, maka versi 2.0 menjadikannya praktik umum bagi semua organisasi sekaligus memperkenalkan praktik terbaik yang baru: tata kelola. Seiring waktu, praktik ini akan menjadi standar umum, membuka jalan bagi pengembangan lanjutan yang membantu organisasi meningkatkan deteksi ancaman, mempercepat respons insiden, dan menurunkan risiko secara keseluruhan.