Tabel ini menjelaskan tingkatan kematangan (maturity levels) dalam dua domain utama keamanan siber, yaitu Identifikasi (Identify) dan Perlindungan (Protect). Setiap domain memiliki elemen-elemen yang menggambarkan bagaimana organisasi mengelola risiko keamanan siber dan melindungi aset kritis mereka.
Berikut adalah rincian dari masing-masing elemen dan tingkat kematangannya:
Domain: Identify (Identifikasi)
1. Supply Chain Risk Management (Manajemen Risiko Rantai Pasok)
Deskripsi:
Manajemen risiko rantai pasok mencakup pengelolaan prioritas, batasan, toleransi risiko, dan asumsi organisasi terkait pemasok dan mitra bisnis. Tujuannya adalah untuk mengidentifikasi, menilai, dan mengelola risiko yang mungkin timbul dari rantai pasok.
| Tingkat Kematangan | Deskripsi |
| Level A – Informal Arrangements | Tidak ada gambaran lengkap mengenai semua pemasok/mitra. Organisasi belum memiliki pendekatan formal untuk mengelola risiko dari rantai pasok. |
| Level B – Defined | Beberapa persyaratan keamanan diterapkan pada beberapa pemasok/mitra. Pemahaman tentang kematangan keamanan siber pemasok masih parsial dan informal. |
| Level C – Managed | Persyaratan minimum diterapkan pada semua pemasok/mitra kritis. Evaluasi kepatuhan biasanya dilakukan melalui self-assessment oleh pemasok. |
| Level D – Assured | Persyaratan yang jelas diterapkan pada pemasok dengan pengecekan kepatuhan yang proporsional. Terdapat proses, sanksi, dan tindakan untuk ketidakpatuhan. |
| Level E – Optimised | Dilakukan review independen, audit, dan penilaian yang mendukung pembaruan reguler sesuai dengan praktik terbaik baru. |
Analisis Pakar:
Manajemen risiko rantai pasok sangat penting, terutama karena banyak serangan siber berasal dari rantai pasok yang lemah. Dari Level A ke Level E, organisasi beralih dari tidak adanya kontrol hingga memiliki pengawasan menyeluruh dan audit independen yang memastikan bahwa pemasok memenuhi standar keamanan tertinggi.
2. Identity Management and Access Control (Manajemen Identitas dan Kontrol Akses)
Deskripsi:
Mengendalikan akses ke aset fisik dan logis hanya untuk pengguna, proses, dan perangkat yang berwenang. Hal ini dilakukan untuk mencegah akses yang tidak sah.
| Tingkat Kematangan | Deskripsi |
| Level A – Informal Arrangements | Tidak ada kontrol akses pada sistem atau area kritis. Semua orang dapat mengakses aset tanpa pembatasan. |
| Level B – Defined | Kontrol akses diterapkan pada beberapa sistem dan area kritis, tetapi tidak menyeluruh. |
| Level C – Managed | Kontrol akses diterapkan pada semua sistem dan area, serta terhubung dengan log untuk melacak aktivitas. |
| Level D – Assured | Kontrol akses konsisten di seluruh organisasi, termasuk rantai pasok. Ada koordinasi dan sinkronisasi dalam penerapan kebijakan akses. |
| Level E – Optimised | Pembaruan reguler sesuai dengan praktik terbaik terbaru dalam kontrol akses. Kebijakan akses dievaluasi dan diperbarui secara berkala. |
Analisis Pakar:
Kontrol akses yang baik adalah fondasi dari keamanan siber. Level A dan B menunjukkan organisasi yang rentan terhadap akses tidak sah, sementara Level C hingga E mencerminkan pendekatan yang lebih matang dan terstruktur, termasuk integrasi dengan sistem logging yang memungkinkan pemantauan dan audit yang lebih baik.
Domain: Protect (Perlindungan)
3. Human-Centred Security (Keamanan Berbasis Manusia)
Deskripsi:
Keamanan berbasis manusia menitikberatkan pada kesadaran keamanan siber, pendidikan, dan pelatihan personel serta mitra organisasi. Tujuannya adalah untuk mengintegrasikan keamanan dalam budaya organisasi.
| Tingkat Kematangan | Deskripsi |
| Level A – Informal Arrangements | Tidak ada program kesadaran atau pelatihan keamanan siber. Karyawan tidak dibekali informasi tentang ancaman atau cara melindungi sistem. |
| Level B – Defined | Terdapat aktivitas ad-hoc untuk memberikan informasi dan edukasi kepada karyawan, tetapi belum terstruktur. |
| Level C – Managed | Program kesadaran dan pelatihan yang kohesif diterapkan di seluruh organisasi, termasuk faktor manusia dan budaya organisasi. |
| Level D – Assured | Program pelatihan berkelanjutan dengan tindak lanjut, disesuaikan untuk peran yang berbeda, meningkatkan kepatuhan dan kinerja keamanan. |
| Level E – Optimised | Kurikulum pelatihan mutakhir, dengan pengujian sistematis. Karyawan secara rutin dan proaktif melaporkan risiko keamanan siber. |
Analisis Pakar:
Manusia adalah mata rantai terlemah dalam keamanan siber. Level A menunjukkan organisasi yang tidak memprioritaskan pendidikan keamanan, sementara Level E menggambarkan organisasi yang proaktif dan memiliki budaya keamanan siber yang kuat. Melibatkan seluruh karyawan dalam program pelatihan yang terstruktur adalah kunci untuk menciptakan lingkungan kerja yang lebih aman.
Kesimpulan: Pentingnya Identifikasi dan Perlindungan dalam Keamanan Siber
Kedua domain ini—Identifikasi (Identify) dan Perlindungan (Protect)—sangat penting dalam membangun fondasi keamanan siber yang kuat.
- Identifikasi memastikan bahwa organisasi mengetahui aset yang perlu dilindungi, memahami risiko, dan mengelola rantai pasok dengan baik.
- Perlindungan melibatkan penerapan kontrol akses dan peningkatan kesadaran keamanan di antara karyawan.
Dengan meningkatkan kematangan dalam ketiga elemen ini, organisasi dapat lebih siap menghadapi ancaman siber dan mengurangi risiko yang ditimbulkan oleh kesalahan manusia atau pemasok yang tidak aman.
| Perjalanan Menuju Kematangan Keamanan Siber: |
| Level A & B → Organisasi belum memiliki struktur formal dan masih sangat rentan. |
| Level C → Mulai menerapkan kebijakan formal yang lebih baik dan terstruktur. |
| Level D & E → Organisasi mencapai kematangan penuh, dengan proses berkelanjutan dan budaya keamanan yang proaktif. |
Investasi dalam identifikasi dan perlindungan bukan hanya soal kepatuhan, tetapi juga membangun ketahanan terhadap ancaman siber yang semakin canggih.
Comments are closed