Apa itu Tolok Ukur CIS?

Tolok Ukur CIS dikembangkan melalui proses berbasis konsensus yang melibatkan komunitas profesional keamanan siber dari seluruh dunia. Para pakar ini terus mengidentifikasi, menyempurnakan, dan memvalidasi praktik terbaik keamanan dalam bidang fokus mereka untuk membantu organisasi melindungi aset digital mereka dari risiko siber.

CIS telah menerbitkan lebih dari 100 Tolok Ukur CIS, tersebar di 8 kategori teknologi inti dan mencakup lebih dari 25 keluarga produk vendor.¹ Dokumen ini tersedia melalui unduhan PDF gratis untuk penggunaan nonkomersial.

Tolok Ukur CIS membantu organisasi meningkatkan postur keamanan mereka dengan mengikuti standar keamanan yang diakui secara global dan pedoman pertahanan siber. Tolok Ukur CIS juga mendukung contoh penggunaan bisnis seperti kepatuhan terhadap peraturan, tata kelola TI, dan kebijakan keamanan.

Didirikan pada bulan Oktober 2000, CIS adalah organisasi nirlaba yang memiliki misi untuk "membuat dunia yang terhubung menjadi tempat yang lebih aman dengan mengembangkan, memvalidasi, dan mempromosikan solusi praktik terbaik tepat waktu yang membantu orang, bisnis, dan pemerintah melindungi diri mereka sendiri dari ancaman siber yang merajalela."²

Komunitas Tolok Ukur CIS, sebuah kelompok yang terdiri lebih dari 12.000 profesional keamanan TI yang berkontribusi dalam mengembangkan Tolok Ukur CIS, terbuka bagi siapa saja yang ingin berkontribusi. Komunitas terdiri dari sukarelawan dan termasuk tenaga ahli, vendor, penulis teknis, penguji, dan anggota CIS lainnya dari seluruh dunia.

CIS juga merupakan markas Pusat Pembagian dan Analisis Informasi di Negara Bagian (MS-ISAC), yang menyediakan sumber daya pencegahan, perlindungan, respons, dan pemulihan ancaman siber untuk entitas pemerintah Negara Bagian, Lokal, Suku, dan Teritorial (SLTT) AS. CIS juga merupakan markas untuk Pusat Pembagian dan Analisis Informasi Infrastruktur Pemilu (EI-ISAC) yang mendukung kebutuhan keamanan siber kantor pemilu AS.³

Tingkat profil CIS mengacu pada tingkat rekomendasi keamanan yang berbeda dan berisi beberapa konfigurasi untuk produk yang berbeda.

Level 1 mencakup konfigurasi tingkat dasar yang lebih mudah diimplementasikan dan memiliki dampak minimal pada fungsionalitas bisnis.

Level 2 berlaku untuk lingkungan dengan keamanan tinggi yang membutuhkan lebih banyak koordinasi dan perencanaan untuk menerapkannya dengan gangguan bisnis yang minimal.

STIG adalah seperangkat dasar konfigurasi yang memenuhi Panduan Implementasi Teknis Keamanan (STIG), standar keamanan yang diterbitkan dan dikelola oleh Departemen Pertahanan AS (DOD) untuk memenuhi persyaratan pemerintah AS.

Profil STIG dari CIS membantu organisasi mematuhi STIG. Sistem keamanan yang dikonfigurasi dengan STIG memenuhi persyaratan kepatuhan CIS dan SIG.

Seperti disebutkan sebelumnya, ada lebih dari 100 CIS tolok ukur yang dikelompokkan di 8 kategori Teknologi, termasuk:

• Sistem operasi

• Perangkat lunak server

• Penyedia cloud

• Perangkat mobile

• Perangkat jaringan

• Perangkat lunak desktop

• Perangkat cetak multifungsi

• Alat DevSecOps

Kategori ini mencakup konfigurasi keamanan sistem operasi inti, seperti Microsoft Windows, Linux, dan Apple macOS. Ini termasuk pedoman praktik terbaik untuk pembatasan akses lokal dan akses jarak jauh, profil pengguna, autentikasi, protokol instalasi driver, dan konfigurasi browser internet.

Kategori ini mencakup konfigurasi keamanan perangkat lunak server yang banyak digunakan, termasuk Microsoft Windows Server, SQL Server dan VMware. Ini juga mendukung platform kontainerisasi sumber terbuka, seperti Docker dan Kubernetes.

Tolok Ukur ini mencakup rekomendasi untuk mengonfigurasi sertifikat Kubernetes PKI (Public Key Infrastructure), pengaturan server antarmuka pemrograman aplikasi (API), kontrol admin server, kebijakan vNetwork, dan batasan penyimpanan.

Kategori ini membahas konfigurasi keamanan untuk Amazon Web Services (AWS), Microsoft Azure, Google, IBM dan lingkungan cloud publik populer lainnya. Tolok ukur ini mencakup pedoman keamanan cloud untuk mengonfigurasi manajemen identitas dan akses (IAM), protokol pencatatan sistem, konfigurasi jaringan, dan perlindungan kepatuhan terhadap peraturan.

Kategori ini membahas sistem operasi mobile, termasuk iOS dan Android, dan berfokus pada area seperti opsi dan pengaturan pengembang, konfigurasi privasi OS, pengaturan browser, dan aplikasi izin.

Kategori ini menawarkan panduan konfigurasi keamanan umum dan khusus vendor untuk perangkat jaringan dan perangkat keras yang berlaku dari Cisco, Palo Alto Networks, Juniper, dan lainnya.

Kategori ini mencakup konfigurasi keamanan untuk beberapa aplikasi perangkat lunak desktop yang paling umum digunakan, termasuk Microsoft Office dan Exchange Server, Google Chrome, Mozilla Firefox, dan browser Safari. Tolok ukur ini berfokus pada privasi email dan pengaturan server, manajemen perangkat mobile, pengaturan browser default, dan pemblokiran perangkat lunak pihak ketiga.

Kategori ini menguraikan praktik terbaik keamanan untuk mengonfigurasi printer multifungsi di area kantor. Ini mencakup pembaruan firmware, konfigurasi TCP/IP, konfigurasi akses nirkabel, manajemen pengguna, berbagi file, dan banyak lagi.

Kategori ini mencakup rantai pasokan perangkat lunak dan membantu tim mengamankan saluran DevSecOps. Kategori ini menawarkan praktik terbaik untuk kontrol keamanan di seluruh siklus pengembangan perangkat lunak, mulai dari desain awal hingga integrasi, pengujian, pengiriman, dan penerapan.

Selama bertahun-tahun, CIS telah memproduksi dan mendistribusikan alat gratis lainnya dan solusi berbayar yang mendukung Tolok Ukur CIS. Sumber daya ini membantu organisasi untuk memperkuat kesiapan keamanan siber mereka lebih lanjut.

Sebelumnya dikenal sebagai SANS Kontrol Keamanan Penting (SANS 20 Kontrol Teratas), CIS Kontrol Keamanan Penting (CSC) adalah panduan komprehensif berisi 18 pengamanan dan penanggulangan untuk pertahanan siber yang efektif. Disebut juga sebagai Kontrol CIS, mereka bebas untuk menggunakan dan menyediakan daftar periksa prioritas yang dapat diterapkan organisasi untuk mengurangi permukaan serangan siber mereka secara signifikan.

Tolok Ukur CIS mengacu pada praktik terbaik keamanan siber ini ketika mengacu pada rekomendasi untuk konfigurasi sistem yang lebih aman.

CIS juga menawarkan Gambar Sistem Prakonfigurasi yang telah dikonfigurasi sebelumnya yang memungkinkan perusahaan melakukan operasi komputasi secara hemat biaya tanpa perlu berinvestasi dalam perangkat keras atau perangkat lunak tambahan. Gambar Sistem Prakonfigurasi jauh lebih aman daripada gambar virtual standar dan secara signifikan membatasi kerentanan keamanan yang dapat menyebabkan serangan siber.

Gambar Sistem Prakonfigurasi CIS dirancang dan dikonfigurasi sesuai dengan Tolok Ukur CIS dan Kontrol CIS, dan diakui sepenuhnya sesuai dengan berbagai organisasi kepatuhan peraturan. Gambar Sistem Prakonfigurasi CIS tersedia di hampir semua platform komputasi cloud utama serta mudah diterapkan dan dikelola.

Program keanggotaan CIS SecureSuite menyediakan alat dan sumber daya keamanan siber kepada organisasi. Keanggotaan gratis untuk pemerintah dan institusi akademis SLTT (negara bagian, lokal, suku, dan teritorial) AS di AS, sementara opsi pembayaran bervariasi untuk pengguna komersial dan entitas pemerintah di luar negeri.

CIS WorkBench adalah platform terpusat yang menyatukan Kontrol CIS dan Komunitas Tolok Ukur CIS, memungkinkan kolaborasi untuk pengembangan Tolok Ukur CIS berkelanjutan.

Tersedia untuk anggota CIS SecureSuite, CIS SecureSuite Build Kit terdiri dari sumber daya yang menyediakan otomatisasi keamanan dan remediasi sistem ke Tolok Ukur CIS.

Alat Penilaian Konfigurasi CIS (CAT) menyediakan pemindaian otomatis pengaturan konfigurasi sistem terhadap Tolok Ukur CIS. Ini tersedia bagi anggota CIS SecureSuite.

CIS-CAT Lite adalah alat gratis untuk menilai sistem TI. Dibandingkan dengan CIS-Cat Pro, versi terbatas ini menawarkan penilaian tingkat dasar terhadap Tolok Ukur CIS yang lebih sedikit.

Tolok Ukur CIS membantu organisasi dengan strategi tata kelola, risiko, dan kepatuhan (GRC) untuk mengelola tata kelola dan risiko sekaligus mempertahankan kepatuhan terhadap peraturan industri dan pemerintah.

Tolok Ukur CIS selaras dengan, atau "memetakan ke", kerangka kerja regulasi keamanan dan privasi data. Akibatnya, setiap organisasi yang beroperasi di industri yang diatur oleh jenis peraturan ini dapat membuat kemajuan signifikan menuju kepatuhan dengan mematuhi Tolok Ukur CIS. Badan pengatur tersebut meliputi:

• Kerangka Kerja Keamanan Siber Institut Standar dan Teknologi Nasional (NIST) memberikan panduan komprehensif dan praktik terbaik yang dapat diikuti oleh organisasi sektor swasta untuk meningkatkan keamanan informasi (InfoSec) dan manajemen risiko keamanan siber.

• Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah seperangkat persyaratan keamanan untuk melindungi data pemegang kartu, nomor rekening utama pemegang kartu (PAN), nama, tanggal kedaluwarsa, kode layanan, dan informasi sensitif pemegang kartu lainnya di sepanjang siklus hidupnya.

• Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) menetapkan persyaratan untuk penggunaan, pengungkapan, dan penyimpanan yang aman dari informasi kesehatan yang dilindungi (PHI).

• ISO/IEC 27001, yang juga disebut sebagai ISO 27001, adalah standar keamanan informasi terkemuka yang diakui secara global, yang dikembangkan bersama oleh Organisasi Internasional untuk Standardisasi (ISO) dan Komisi Elektroteknik Internasional (IEC). Ini memberikan pendekatan sistematis, terstruktur, dan berbasis risiko untuk mengelola dan melindungi aset informasi sensitif.

• GDPR (Peraturan Perlindungan Data Umum) adalah undang-undang Uni Eropa (UE) yang mengatur cara organisasi di dalam dan di luar UE menangani data pribadi penduduk UE.

Meskipun perusahaan selalu bebas menentukan pilihannya sendiri seputar konfigurasi keamanan, Tolok Ukur CIS menawarkan serangkaian manfaat:

• Standar yang diakui industri: Dikembangkan oleh komunitas global profesional TI dan keamanan siber, Tolok Ukur CIS membantu bisnis membangun komitmen yang kuat terhadap keamanan siber dan meningkatkan kepercayaan pelanggan dan pemangku kepentingan.

• Panduan yang diperbarui secara berkala: Tolok Ukur CIS menawarkan panduan langkah demi langkah yang diperbarui secara berkala untuk membantu organisasi mengamankan semua aspek infrastruktur TI. Sebagai contoh, Tolok Ukur CIS yang terkait dengan Windows secara teratur diperbarui ke versi terbaru dalam waktu 90 hari setelah dirilis. Selain itu, Gambar Sistem Prakonfigurasi CIS diperbarui setiap bulan agar tetap terkini dengan praktik terbaik keamanan terbaru.

• Dukungan untuk tata kelola, risiko, dan kepatuhan (GRC): Tolok Ukur CIS menyediakan kerangka kerja untuk membantu organisasi mengatasi tata kelola, risiko dan kepatuhan (GRC), strategi organisasi untuk mengelola tata kelola dan risiko sekaligus mempertahankan kepatuhan terhadap peraturan industri dan pemerintah.

• Kustomisasi: Tolok Ukur CIS menyediakan templat yang fleksibel untuk mengadopsi layanan cloud dan beban kerja baru dengan aman dan menjalankan strategi transformasi digital. Misalnya, anggota CIS SecureSuite dapat menyesuaikan Tolok Ukur CIS dalam platform CIS WorkBench untuk memenuhi mandat bisnis dan Teknologi spesifik mereka.

• Fleksibilitas: Tolok Ukur CIS memberikan rekomendasi dasar untuk pengaturan keamanan, termasuk firewall, router, dan server. Mereka juga menawarkan pedoman khusus vendor untuk membantu mengatur dan mengelola sistem dan perangkat. Kombinasi fitur netral dan khusus vendor ini mendukung fleksibilitas sehingga sistem dapat beradaptasi dengan kebutuhan yang terus berkembang.

• Kemudahan penerapan: DevSecOps dan tim lain mengandalkan Tolok Ukur CIS untuk konfigurasi keamanan yang mudah digunakan untuk meningkatkan efisiensi dan keberlanjutan operasional.