Framework IT Security Terbaik merupakan Kerangka Kerja Keamanan Teknologi Informasi terbaik yang perlu diadopsi.
Mengapa IT Security Framework
Beberapa IT Security Framework atau Kerangka Kerja Keamanan Teknologi Informasi dan standar keamanan siber tersedia untuk membantu melindungi data perusahaan dari kejahatan siber.
Berikut ini adalah saran untuk memilih IT Security Framework yang tepat untuk organisasi kita.
Manajemen keamanan informasi mencakup banyak area — mulai dari perlindungan perimeter dan enkripsi hingga keamanan aplikasi dan disaster recovery plan atau rencana pemulihan bencana.
Keamanan TI menjadi lebih menantang oleh peraturan kepatuhan, seperti HIPAA, PCI DSS, Sarbanes-Oxley dan standar global seperti GDPR.
Di sinilah kerangka kerja dan standar keamanan TI dapat membantu. Pengetahuan tentang peraturan, standar, dan kerangka kerja sangat penting bagi semua profesional information security dan keamanan siber.
Kepatuhan terhadap kerangka kerja dan standar ini juga penting dari perspektif audit.
Untuk membantu mengelola prosesnya, mari kita lihat standar, peraturan, dan kerangka kerja keamanan TI, serta beberapa opsi yang lebih populer untuk dipilih dan cara penggunaannya.
Standar Keamanan Teknologi Informasi
Standar itu seperti adalah sebuah panduan, mereka mencantumkan langkah-langkah yang harus dilakukan.
Organisasi TI yang dikelola dengan baik harus memenuhi persyaratan yang ditetapkan dalam suatu standar.
Peraturan, sebaliknya, memiliki dampak yang mengikat secara hukum. Cara mereka menggambarkan bagaimana sesuatu harus dilakukan menunjukkan dukungan pemerintah dan publik terhadap aturan dan proses yang diatur dalam peraturan tersebut.
Kegagalan untuk mematuhi peraturan yang berfokus pada TI dapat mengakibatkan hukuman finansial dan litigasi.
Pengertian IT Security Framework
Kerangka kerja keamanan TI atau IT Security Framework adalah serangkaian proses terdokumentasi yang menentukan kebijakan dan prosedur seputar implementasi dan pengelolaan kontrol keamanan informasi yang berkelanjutan.
Kerangka kerja (framework) ini adalah cetak biru untuk mengelola risiko dan mengurangi kerentanan.
Profesional keamanan informasi menggunakan kerangka kerja untuk menentukan dan memprioritaskan tugas yang diperlukan untuk mengelola keamanan perusahaan.
Kerangka kerja juga digunakan untuk membantu mempersiapkan kepatuhan dan audit TI lainnya. Oleh karena itu, kerangka kerja harus mendukung persyaratan khusus yang ditentukan dalam standar atau peraturan.
Organisasi dapat menyesuaikan kerangka kerja untuk memecahkan masalah keamanan informasi tertentu, seperti persyaratan khusus industri atau tujuan kepatuhan peraturan yang berbeda.
Kerangka kerja juga datang dalam berbagai tingkat kompleksitas dan skala. Kerangka kerja saat ini sering tumpang tindih, jadi penting untuk memilih kerangka kerja yang secara efektif mendukung persyaratan operasional, kepatuhan, dan audit.
Mengapa Framework Keamanan TI Penting
Kerangka kerja menyediakan titik awal untuk menetapkan proses, kebijakan, dan aktivitas administratif untuk manajemen keamanan informasi.
Persyaratan keamanan sering tumpang tindih, yang menghasilkan penyeberangan yang dapat digunakan untuk menunjukkan kepatuhan terhadap standar peraturan yang berbeda.
Misalnya, ISO 27002 mendefinisikan kebijakan keamanan informasi di Bagian 5. Lalu Control Objectives for Information and Related Technology (COBIT) mendefinisikannya di bagian Align, Plan and Organize.
Kerangka kerja Committee of Sponsoring Organizations of the Treadway Commission (COSO) mendefinisikannya sebagai Lingkungan Internal.
HIPAA mendefinisikannya sebagai Tanggung Jawab Keamanan yang Ditugaskan. dan PCI DSS mendefinisikannya di bagian Mempertahankan Kebijakan Keamanan Informasi.
Menggunakan kerangka kerja umum, seperti ISO 27002, organisasi dapat membuat penyeberangan untuk menunjukkan kepatuhan terhadap berbagai peraturan, termasuk HIPAA, Sarbanes-Oxley, PCI DSS, dan Graham-Leach-Bliley.
Bagaimana Memilih Kerangka Kerja Keamanan TI
Pilihan untuk menggunakan kerangka kerja keamanan TI tertentu dapat didorong oleh banyak faktor.
Jenis industri atau persyaratan kepatuhan dapat menjadi faktor penentu. Perusahaan publik, misalnya, mungkin ingin menggunakan COBIT untuk mematuhi Sarbanes-Oxley, sementara sektor kesehatan dapat mempertimbangkan HITRUST.
Kerangka kerja keamanan informasi Seri ISO 27000, di sisi lain, berlaku di sektor publik dan swasta.
Meskipun standar ISO sering kali memakan waktu lama untuk diterapkan, standar tersebut sangat membantu ketika organisasi perlu menunjukkan kemampuan keamanan informasinya melalui sertifikasi ISO 27000.
Sementara Publikasi Khusus NIST (SP) 800-53 adalah standar yang disyaratkan oleh agen federal AS, ini dapat digunakan oleh organisasi mana pun untuk membangun rencana keamanan informasi khusus teknologi.
Kerangka kerja ini membantu profesional keamanan mengatur dan mengelola program keamanan informasi.
Satu-satunya pilihan buruk di antara kerangka kerja ini adalah tidak memilih salah satu dari mereka.
10 IT Security Framework
Berikut ini adalah IT Security Framework yang banyak digunakan oleh organisasi terbaik didunia. Yuk disimak:
1. ISO 27000
Seri ISO 27000 merupakan IT Security Framework yang paling terkenal. Kerangka kerja keamanan TI ini dikembangkan oleh Organisasi Internasional untuk Standardisasi. Ini adalah kerangka kerja keamanan informasi yang fleksibel yang dapat diterapkan untuk semua jenis dan ukuran organisasi.
Dua standar utama – ISO 27001 dan 27002 – menetapkan persyaratan dan prosedur untuk membuat sistem manajemen keamanan informasi (ISMS).
Memiliki SMKI merupakan kegiatan audit dan kepatuhan yang penting. ISO 27000 terdiri dari gambaran umum dan kosakata dan mendefinisikan persyaratan program SMKI. ISO 27002 menetapkan kode praktik untuk mengembangkan kontrol SMKI.
Kepatuhan terhadap standar Seri ISO 27000 ditetapkan melalui proses audit dan sertifikasi, biasanya disediakan oleh organisasi pihak ketiga yang disetujui oleh ISO dan lembaga terakreditasi lainnya.
Seri ISO 27000 memiliki 60 standar yang mencakup spektrum luas masalah keamanan informasi, misalnya:
- ISO 27018 membahas cloud computing atau komputasi awan.
- ISO 27031 memberikan panduan tentang program disaster recovery plan atau pemulihan bencana TI dan aktivitas terkait.
- ISO 27037 membahas pengumpulan dan perlindungan bukti digital.
- ISO 27040 membahas keamanan penyimpanan.
- ISO 27799 mendefinisikan keamanan informasi dalam perawatan kesehatan, yang berguna bagi perusahaan yang memerlukan kepatuhan HIPAA.
2. NIST SP 800-53
IT Security Framework yang kedua yaitu NIST. NIST telah mengembangkan Library atau perpustakaan standar TI yang ekstensif, banyak di antaranya berfokus pada keamanan informasi.
Pertama kali diterbitkan pada tahun 1990, NIST SP 800 Series membahas hampir setiap aspek keamanan informasi, dengan fokus yang meningkat pada keamanan cloud.
NIST SP 800-53 adalah tolok ukur keamanan informasi untuk lembaga pemerintah AS dan banyak digunakan di sektor swasta.
SP 800-53 telah membantu memacu pengembangan kerangka kerja keamanan informasi, termasuk Kerangka Kerja Keamanan Siber NIST (CSF).
3. NIST SP 800-171
NIST SP 800-171 telah mendapatkan popularitas karena persyaratan yang ditetapkan oleh Departemen Pertahanan AS mengenai kepatuhan kontraktor dengan kerangka keamanan.
Kontraktor pemerintah sering menjadi sasaran serangan cyber karena kedekatannya dengan sistem informasi federal.
Produsen dan subkontraktor pemerintah harus memiliki kerangka kerja keamanan TI untuk menawar peluang bisnis federal dan negara bagian.
Kontrol yang disertakan dalam kerangka NIST SP 800-171 secara langsung terkait dengan NIST SP 800-53 tetapi kurang detail dan lebih umum.
Dimungkinkan untuk membangun penyeberangan antara dua standar jika organisasi harus menunjukkan kepatuhan terhadap NIST SP 800-53, menggunakan NIST SP 800-171 sebagai dasarnya.
Ini menciptakan fleksibilitas untuk organisasi yang lebih kecil — mereka dapat menunjukkan kepatuhan saat mereka tumbuh menggunakan kontrol tambahan yang disertakan dalam NIST SP 800-53.
4. NIST CSF
Kerangka Kerja NIST untuk Meningkatkan Keamanan Siber Infrastruktur Kritis, atau NIST CSF, dikembangkan di bawah Perintah Eksekutif 13636, dirilis pada Februari 2013.
Ini dikembangkan untuk menangani infrastruktur penting AS, termasuk produksi energi, pasokan air, pasokan makanan, komunikasi, pengiriman layanan kesehatan, dan transportasi .
Industri-industri ini harus menjaga tingkat kesiapsiagaan yang tinggi, karena semuanya telah menjadi target aktor negara-bangsa karena kepentingannya.
Tidak seperti kerangka kerja NIST lainnya, NIST CSF berfokus pada analisis risiko dan manajemen risiko.
Kontrol keamanan dalam kerangka kerja didasarkan pada lima fase manajemen risiko: mengidentifikasi, melindungi, mendeteksi, merespons, dan memulihkan.
Seperti semua program keamanan TI, fase ini memerlukan dukungan dari manajemen senior. NIST CSF dapat digunakan oleh sektor publik dan swasta.
5. Seri NIST SP 1800
Seri NIST SP 1800 adalah seperangkat panduan yang melengkapi standar dan kerangka kerja Seri NIST SP 800.
Publikasi SP 1800 Series menawarkan informasi tentang cara menerapkan dan menerapkan teknologi keamanan siber berbasis standar dalam aplikasi dunia nyata.
Publikasi SP 1800 Series menyediakan berikut ini:
- Contoh situasi dan kemampuan tertentu;
- Pendekatan berbasis pengalaman, cara menggunakan banyak produk untuk mencapai hasil yang diinginkan;
- Panduan modular tentang implementasi kemampuan untuk semua ukuran organisasi; dan
- Spesifikasi komponen yang diperlukan dan informasi instalasi, konfigurasi dan integrasi sehingga organisasi dapat dengan mudah mereplikasi proses itu sendiri.
6. COBIT
COBIT dikembangkan pada pertengahan 1990-an oleh ISACA, sebuah organisasi independen profesional tata kelola TI.
ISACA menawarkan sertifikasi Certified Information Systems Auditor dan Certified Information Security Manager yang terkenal.
COBIT awalnya berfokus pada pengurangan risiko TI. COBIT 5, dirilis pada 2012, termasuk teknologi baru dan tren bisnis untuk membantu organisasi menyeimbangkan TI dan tujuan bisnis.
Versi saat ini adalah COBIT 2019. Ini adalah kerangka kerja yang paling banyak digunakan untuk mencapai kepatuhan Sarbanes-Oxley. Banyak publikasi dan sertifikasi profesional memenuhi persyaratan COBIT.
7. CIS Control
Center for Internet Security (CIS) Critical Security Controls, Versi 8 — sebelumnya SANS Top 20 — mencantumkan keamanan teknis dan kontrol operasional yang dapat diterapkan ke lingkungan apa pun.
Ini tidak membahas analisis risiko atau manajemen risiko seperti NIST CSF; melainkan hanya berfokus pada pengurangan risiko dan peningkatan ketahanan untuk infrastruktur teknis.
Kontrol mencakup hal-hal berikut:
- Inventarisasi dan Pengendalian Aset Perusahaan
- Perlindungan data
- Manajemen Log Audit
- Pertahanan Malware
- Pengujian Penetrasi
Kontrol CIS terhubung dengan kerangka kerja manajemen risiko yang ada untuk membantu memulihkan risiko yang teridentifikasi.
Mereka adalah sumber daya yang berguna untuk departemen TI yang tidak memiliki pengalaman keamanan informasi teknis.
8. Kerangka Keamanan Umum HITRUST
HITRUST merupakan Kerangka Kerja Keamanan Umum yang mencakup analisis risiko dan kerangka kerja manajemen risiko, bersama dengan persyaratan operasional.
Adapun Kerangka kerja ini memiliki 14 kategori kontrol yang berbeda dan dapat diterapkan ke hampir semua organisasi, termasuk layanan kesehatan.
HITRUST adalah usaha besar untuk organisasi mana pun karena bobot berat yang diberikan pada dokumentasi dan proses.
Akibatnya, banyak organisasi akhirnya melingkupi area fokus yang lebih kecil untuk HITRUST. Biaya untuk mendapatkan dan mempertahankan sertifikasi HITRUST menambah tingkat upaya yang diperlukan untuk mengadopsi kerangka kerja ini. Sertifikasi diaudit oleh pihak ketiga, yang menambahkan tingkat validitas.
9. GDPR
General Data Protection Regulation atau GDPR adalah kerangka kerja persyaratan keamanan yang harus diterapkan oleh organisasi global untuk melindungi keamanan dan privasi informasi pribadi warga negara Uni Eropa.
Persyaratan GDPR mencakup kontrol untuk membatasi akses tidak sah ke data yang disimpan dan tindakan kontrol akses, seperti hak istimewa paling rendah, akses berbasis peran, dan autentikasi multifaktor.
10. COSO
Committee of Sponsoring Organizations atau COSO merupakan inisiatif bersama dari lima organisasi profesi.
COSO adalah Kerangka kerja 2013 mencakup pengendalian internal, dan kerangka kerja 2017 mencakup manajemen risiko. COSO menjadi urutan ke 10 dari IT Security Framework terbaik.
Makalah panduan, Mengelola Risiko Cyber di Era Digital, menawarkan saran tentang cara mempersiapkan dan menanggapi ancaman dunia maya perusahaan. Ini sejalan dengan COSO Enterprise Risk Management Framework.
Kesimpulan
Framework IT Security Terbaik merupakan kerangka kerja keamanan teknologi informasi terbaik yang perlu dipelajari. Demikianlah pembahasan mengenai Kerangka Kerja Keamanan Teknologi Informasi (TI) terbaik semoga bermanfaat.