Implementasi NCSF 2.0: Rincian dan Panduan

Jul 16, 2024

Catatan Webinar Implementasi NCSF 2.0

Pengantar

  • Pembicara: Thean, pelatih dan mentor untuk profesional InfoSec pada ISU 2701
  • Fokus: Implementasi NCSF 2.0
  • Topik yang dibahas: Gambaran Umum NCSF, Struktur, Persyaratan Inti, Implementasi, Praktik Terbaik

Gambaran Umum NCSF

  • NCSF: Kerangka kerja sukarela oleh NIST untuk mengelola dan mengurangi risiko keamanan siber
  • Manfaat: Meningkatkan posisi keamanan siber, meningkatkan manajemen risiko, komunikasi yang lebih baik dalam organisasi
  • Kelayakan: Entitas pemerintah, Organisasi keuangan, Perusahaan asuransi, Sektor kesehatan, Institusi pendidikan, LSM
  • Kustomisasi: Implementasi bervariasi berdasarkan visi, misi, tujuan, dan strategi organisasi

Struktur NCSF

  1. Inti Kerangka: Serangkaian aktivitas/hasil keamanan siber untuk mengelola risiko
  2. Profil Organisasi: Menjelaskan posisi keamanan siber saat ini atau yang diinginkan
  3. Tingkat CSF: Tingkat tata kelola dan praktik manajemen risiko keamanan siber

Komponen Inti Kerangka

  1. Govern (Fungsi Tata Kelola): Menetapkan aturan dan harapan untuk keamanan siber
    • Meliputi kebijakan, peran, tanggung jawab, pengawasan, manajemen risiko rantai pasokan
  2. Identify (Fungsi Identifikasi): Kesadaran akan risiko keamanan siber
    • Meliputi manajemen aset, penilaian risiko, identifikasi kerentanan, penilaian ancaman
  3. Protect (Fungsi Perlindungan): Menerapkan pengamanan untuk mengelola risiko
    • Meliputi manajemen identitas, kontrol akses, pelatihan kesadaran, keamanan data, keamanan platform
  4. Detect (Fungsi Deteksi): Mendeteksi potensi serangan keamanan siber
    • Meliputi pemantauan berkelanjutan, analisis kejadian buruk
  5. Respond (Fungsi Respon): Mengambil tindakan untuk meminimalkan kerusakan dari insiden
    • Meliputi manajemen insiden, analisis insiden, mitigasi insiden
  6. Recover (Fungsi Pemulihan): Mengembalikan operasi setelah insiden
    • Meliputi rencana pemulihan insiden, komunikasi

Profil Organisasi

  • Profil Saat Ini: Hasil keamanan siber saat ini dan efektivitasnya
  • Profil Target: Hasil yang diinginkan di masa depan
  • Profil Komunitas: Standar hasil untuk sektor tertentu (Keuangan, Asuransi, TI, dll.)

Langkah Membuat Profil Organisasi

  1. Cakupan: Tentukan aspek keamanan siber yang akan diulas
  2. Mengumpulkan Informasi: Kebijakan, prioritas manajemen risiko, sumber daya, persyaratan, alat
  3. Membuat Profil: Mengidentifikasi hasil CSF, mendokumentasikan informasi, melakukan analisis kesenjangan
  4. Analisis Kesenjangan: Mengidentifikasi kesenjangan antara kondisi saat ini dan kondisi target
  5. Rencana Tindakan: Mengembangkan rencana untuk menjembatani kesenjangan dan mencapai kepatuhan

Tingkat CSF

  • Tujuan: Mengkategorikan ketegasan praktik keamanan siber
  • Tingkat: Parsial, Berbasis Risiko, Berulang, Adaptif
  • Catatan: Tingkatan tidak terkait dengan tingkat kematangan tetapi membantu dalam evaluasi posisi keamanan siber

Pendalaman Inti Kerangka

Fungsi Tata Kelola

  1. Konteks Organisasi: Visi, misi, tujuan, pemangku kepentingan, persyaratan hukum/regulator
  2. Strategi Manajemen Risiko: Mendefinisikan program, mengidentifikasi toleransi/selera risiko, metodologi
  3. Peran, Tanggung Jawab, Wewenang: Memastikan tanggung jawab manajemen puncak, mengidentifikasi peran dan menyediakan sumber daya
  4. Kebijakan Keamanan Siber: Menetapkan dan mengkomunikasikan kebijakan
  5. Pengawasan: Mengevaluasi hasil manajemen risiko, mengembangkan metrik KPI
  6. Manajemen Risiko Rantai Pasokan: Mengidentifikasi/mengelola risiko rantai pasokan yang terintegrasi dengan manajemen risiko keseluruhan

Fungsi Identifikasi

  1. Manajemen Aset: Mengelola siklus hidup aset, memelihara inventaris hardware/software
  2. Penilaian Risiko: Mengidentifikasi kerentanan/ancaman, menganalisis dan memprioritaskan risiko
  3. Peningkatan: Proses penilaian berkelanjutan untuk meningkatkan posisi keamanan

Fungsi Perlindungan

  1. Manajemen Identitas: ID unik, peran, mekanisme otentikasi (kata sandi, biometrik, dll.)
  2. Pelatihan Kesadaran: Kesadaran keamanan dan pelatihan umum serta spesifik peran
  3. Keamanan Data: Mengamankan data dalam keadaan diam, bergerak, dan dalam penggunaan; pencadangan data
  4. Keamanan Platform: Mengamankan konfigurasi hardware/software, membatasi hak istimewa admin
  5. Ketahanan Infrastruktur: Melindungi jaringan dan aset, mempertahankan kapasitas

Fungsi Deteksi

  1. Pemantauan Berkelanjutan: Memantau jaringan dan lingkungan fisik untuk anomali
  2. Analisis Kejadian: Menganalisis kejadian untuk menentukan positif/negatif palsu, dampak, cakupan

Fungsi Respon

  1. Manajemen Insiden: Rencana respon, kategorisasi insiden, prioritas, eskalasi
  2. Analisis Insiden: Analisis penyebab utama, perlindungan bukti, pemberitahuan pemangku kepentingan
  3. Mitigasi Insiden: Mengendalikan dan menghilangkan insiden

Fungsi Pemulihan

  1. Pelaksanaan Rencana Pemulihan Insiden: Memulihkan proses berdasarkan prioritas, memastikan utilitas cadangan
  2. Komunikasi: Menginformasikan pemangku kepentingan dan publik tentang status pemulihan insiden

Penutup

  • Untuk konten InfoSec lebih lanjut, ikuti Kementerian Keamanan di LinkedIn, Instagram, dan YouTube.
  • Pembicara: Thean
  • Kontak: Tersedia di deskripsi saluran yang terhubung.