NIST Cybersecurity Framework
NIST Cybersecurity Framework memberikan panduan komprehensif dan praktik terbaik yang dapat diikuti oleh organisasi sektor swasta untuk meningkatkan keamanan informasi dan manajemen risiko cybersecurity.
Â
Apa itu NIST cybersecurity framework?
National Institute of Standards and Technology (NIST) adalah lembaga non-pengaturan yang mempromosikan inovasi dengan memajukan ilmu pengukuran, standar, dan teknologi. NIST CyberSecurity Framework (NIST CSF) terdiri dari standar, pedoman, dan praktik terbaik yang membantu organisasi meningkatkan manajemen risiko cybersecurity mereka.
NIST CSF dirancang agar cukup fleksibel untuk diintegrasikan dengan proses keamanan yang ada dalam organisasi mana pun, di industri apa pun. Ini memberikan titik awal yang sangat baik untuk menerapkan keamanan informasi dan manajemen risiko cybersecurity di hampir semua organisasi sektor swasta di Amerika Serikat. Â
Â
Sejarah NIST CyberSecurity Framework
Pada 12 Februari 2013, Executive Order (EO) 13636—"Meningkatkan Keamanan Siber Infrastruktur Kritis"—dikeluarkan. Ini memulai pekerjaan NIST dengan sektor swasta AS untuk "mengidentifikasi standar konsensus sukarela yang ada dan praktik terbaik industri untuk membangunnya menjadi Kerangka Keamanan Siber." Hasil dari kerjasama ini adalah NIST Cybersecurity Framework Versi 1.0.
Cybersecurity Enhancement Act (CEA) tahun 2014 memperluas upaya NIST dalam mengembangkan cybersecurity framework. Saat ini, NIST CSF masih merupakan salah satu framework security yang paling banyak diadopsi di semua industri AS
Â
Tingkat implementasi framework NIST
Untuk membantu organisasi sektor swasta mengukur kemajuan mereka dalam menerapkan CyberSecurity NIST, framework tersebut mengidentifikasi empat tingkatan:
- Tingkat 1 Partial: Organisasi sudah familiar dengan NIST CSF dan mungkin telah menerapkan beberapa aspek kontrol di beberapa area infrastruktur. Implementasi aktivitas dan protokol CyberSecurity bersifat reaktif dan direncanakan. Organisasi memiliki kesadaran yang terbatas tentang risiko cybersecurity dan tidak memiliki proses dan sumber daya untuk memungkinkan keamanan informasi.
- Tingkat 2 Informasi resiko: Organisasi lebih sadar akan resiko cybersecurity dan berbagi informasi secara informal. Ini tidak memiliki proses manajemen resiko cybersecurity di seluruh organisasi yang terencana, berulang, dan proaktif.
- Tingkat 3 repeatable: Organisasi dan eksekutif seniornya sadar akan resiko cybersecurity. Mereka telah menerapkan rencana manajemen risiko cybersecurity di seluruh organisasi yang berulang. Tim cybersecurity telah membuat rencana aksi untuk memantau dan merespons Cyber Attack secara efektif.
- Tingkat 4 Adaptif: Organisasi ini sekarang tangguh di dunia maya dan menggunakan pelajaran yang dipetik dan indikator prediktif untuk mencegah Cyber Attack. Tim Cyber Security terus meningkatkan dan memajukan teknologi dan praktik keamanan Cyber organisasi dan beradaptasi dengan perubahan ancaman dengan cepat dan efisien. Ada pendekatan di seluruh organisasi untuk manajemen risiko keamanan informasi dengan pengambilan keputusan, kebijakan, prosedur, dan proses yang diinformasikan tentang risiko. Organisasi adaptif menggabungkan manajemen resiko CyberSecurity ke dalam keputusan anggaran dan budaya organisasi.