Cybersecurity framework
Apa itu NIST Cybersecurity Framework?
Ringkasnya
Panduan ringkas tentang NIST Cybersecurity Framework: fungsi intinya, cara memetakan tingkat kematangan, dan perbandingannya dengan ISO 27001 untuk tim Indonesia.
Seorang anggota direksi mengajukan satu pertanyaan yang sulit dijawab dengan baik: "Sematang apa keamanan kita sebenarnya?" Jawaban jujurnya jarang berupa ya atau tidak. Kematangan keamanan adalah sebuah spektrum, dan tanpa cara yang sama untuk menggambarkannya, pembicaraan melenceng menjadi daftar alat yang sudah dibeli perusahaan atau perasaan samar bahwa keadaan "sebagian besar baik-baik saja." NIST Cybersecurity Framework hadir untuk membereskan itu. Kerangka ini memberi organisasi kosakata yang sama untuk membicarakan risiko siber, struktur untuk menilai posisinya, dan cara menetapkan target yang realistis. Halaman ini menjelaskan apa itu kerangka ini, enam fungsi intinya, bedanya dengan ISO 27001, dan bagaimana tim Indonesia memakainya.
Apa itu NIST CSF
NIST Cybersecurity Framework adalah kerangka sukarela yang diterbitkan oleh National Institute of Standards and Technology, sebuah lembaga pemerintah Amerika Serikat. Pertama kali dirilis pada 2014 dan diperbarui menjadi versi 2.0 pada 2024. Meski berasal dari Amerika, kerangka ini dipakai di seluruh dunia karena tidak terikat pada hukum negara mana pun. Ia menggambarkan manajemen risiko siber dalam istilah yang lugas dan berbasis hasil, bukan mendikte teknologi tertentu.
Kata yang perlu dipegang adalah sukarela. CSF bukan undang-undang dan bukan standar yang bisa disertifikasi. Anda tidak bisa "tersertifikasi NIST CSF" seperti halnya tersertifikasi terhadap ISO 27001. Tidak ada auditor terakreditasi dan tidak ada sertifikat. Sebaliknya, kerangka ini adalah rujukan yang Anda ukur pada diri sendiri dan bahasa yang Anda pakai untuk menjelaskan postur keamanan kepada direksi, pelanggan, atau perusahaan asuransi. Keluwesan itulah intinya. Sebuah startup sepuluh orang dan sebuah bank nasional sama-sama bisa memakai kerangka yang sama, disesuaikan dengan apa yang masing-masing benar-benar lakukan.
Pada intinya, CSF menata semuanya ke dalam sekumpulan kecil fungsi, masing-masing dipecah menjadi kategori dan subkategori hasil yang diharapkan. Anda tidak harus menerapkan setiap subkategori. Anda memilih profil yang mencerminkan risiko, sektor, dan sumber daya Anda.
Fungsi inti
Versi 2.0 menata kerangka ini di sekitar enam fungsi inti. Ini bagian yang paling sering keliru dipahami tim, karena kerangka asli tahun 2014 hanya punya lima. Fungsi Govern ditambahkan dalam CSF 2.0 pada 2024 dan berada di pusat, menghubungkan keputusan keamanan dengan risiko bisnis yang lebih luas. Menyebut lima fungsi adalah tanda bekerja dari versi lama.
| Fungsi | Cakupan |
|---|---|
| Govern | Ditambahkan dalam CSF 2.0 (2024). Bagaimana keputusan risiko siber diambil, siapa yang bertanggung jawab, dan bagaimana keamanan terhubung dengan risiko, strategi, serta kebijakan bisnis secara keseluruhan. |
| Identify | Memahami apa yang harus dilindungi: aset, data, pemasok, dan risiko yang berlaku bagi mereka. |
| Protect | Pengaman yang membatasi atau menahan dampak sebuah kejadian, dari kontrol akses dan pelatihan hingga keamanan data. |
| Detect | Menemukan kejadian dan anomali keamanan siber saat terjadi, melalui pemantauan dan analisis. |
| Respond | Bertindak begitu insiden terdeteksi: penanganan, komunikasi, dan analisis untuk membatasi kerusakan. |
| Recover | Memulihkan layanan dan kapabilitas yang terdampak insiden serta belajar dari kesalahan yang terjadi. |
Govern adalah fungsi yang mengubah bentuk kerangka ini. Pada versi 2014, tata kelola tersebar di fungsi-fungsi lain. Menariknya keluar sebagai fungsi tersendiri mencerminkan satu pelajaran sederhana dari bertahun-tahun insiden pelanggaran: sebagian besar kegagalan bukan murni soal teknis. Kegagalan itu lahir dari pertanggungjawaban yang tidak jelas, keputusan risiko yang diambil tanpa orang yang tepat di ruangan, atau keamanan yang diperlakukan sebagai proyek alih-alih tanggung jawab yang berkelanjutan. Govern menempatkan pertanyaan-pertanyaan itu di depan, dan lima fungsi lainnya menggambarkan pekerjaan yang mengalir dari sana.
NIST CSF vs ISO 27001
CSF dan ISO 27001 sering muncul bersamaan, dan perbedaannya mudah kabur. Keduanya menyelesaikan masalah yang berkaitan tetapi dengan cara yang secara struktur berbeda.
| NIST CSF | ISO 27001 | |
|---|---|---|
| Apa itu | Kerangka sukarela yang Anda nilai sendiri | Standar yang bisa disertifikasi dan diaudit lembaga terakreditasi |
| Hasil akhir | Profil saat ini dan profil target yang Anda tetapkan sendiri | Sertifikat yang bisa diverifikasi pembeli dan regulator |
| Cara pemakaian | Menata, memprioritaskan, dan mengomunikasikan pekerjaan risiko | Membuktikan, lewat audit, bahwa sistem manajemen Anda memenuhi standar |
| Pengakuan | Banyak dirujuk, tanpa bukti formal | Sertifikat yang diakui secara internasional |
Tidak ada yang menggantikan yang lain, dan banyak organisasi memakai keduanya. CSF adalah alat yang kuat untuk menata program dan memutuskan langkah berikutnya, karena fungsi dan profilnya membuat prioritas terlihat jelas. ISO 27001 adalah yang Anda pilih ketika pihak luar butuh bukti: tim procurement pelanggan, regulator, atau mitra yang tidak mau sekadar percaya pada ucapan Anda. Karena kontrol di baliknya banyak yang tumpang tindih, pekerjaan yang dilakukan terhadap CSF terbawa ke upaya ISO 27001, dan sebaliknya pun berlaku. Jika standar yang bisa disertifikasi yang diinginkan pembeli Anda, panduan kami tentang sertifikasi ISO 27001 di Indonesia membahas apa yang dilibatkan jalur itu secara lokal.
Menggunakan kerangka ini di Indonesia
NIST CSF tidak wajib di Indonesia. Tidak ada undang-undang atau regulator di sini yang mewajibkannya, dan ia tidak memenuhi kewajiban lokal dengan sendirinya. UU PDP, aturan sektoral yang diterapkan OJK pada lembaga keuangan, dan panduan BSSN semuanya berdiri atas ketentuannya sendiri, dan ringkasan kami tentang regulasi keamanan siber Indonesia menjelaskan apa yang sebenarnya dituntut hukum di sini.
Tempat CSF membuktikan nilainya adalah sebagai alat kematangan. Sektor teregulasi di Indonesia, terutama perbankan dan jasa keuangan lainnya, menghadapi ekspektasi yang meningkat untuk menunjukkan bahwa keamanan mereka dikelola, bukan seadanya. Kerangka ini memberi direksi cara melihat kematangan saat ini pada keenam fungsi, menetapkan target yang sesuai dengan selera risiko organisasi, dan melacak kemajuan dari waktu ke waktu. Ia juga memetakan dengan rapi ke kewajiban lokal, sehingga asesmen yang sama yang menunjukkan di mana celah deteksi atau tata kelola sebuah bank berada juga bisa memberi bukti yang ingin dilihat regulator. Dipakai dengan cara ini, CSF menjadi tulang punggung program tata kelola, risiko, dan kepatuhan, bukan dokumen yang teronggok di rak.
Posisi Alpha Code
Mengubah kerangka ini menjadi sesuatu yang berguna berarti menjalankan asesmen kondisi saat ini secara jujur pada keenam fungsi, menyepakati profil target yang bisa dijalankan bisnis, dan menyusun rencana berprioritas untuk menutup celahnya. Alpha Code mengerjakan hal itu melalui layanan Konsultasi Kepatuhan & GRC: menilai postur Anda terhadap CSF, memetakannya ke kewajiban Indonesia yang berlaku bagi Anda, dan mengubah hasilnya menjadi peta jalan yang menjawab pertanyaan direksi dengan bukti, bukan sekadar angkat bahu.
Ditinjau oleh Mohit Bhansali, Head of Technology
Pertanyaan umum
Kerangka ini memberi organisasi bahasa yang sama dan struktur untuk mengelola risiko siber, mulai dari tata kelola dan identifikasi aset hingga perlindungan, deteksi, respons, dan pemulihan. Sifatnya sukarela dan berfokus pada hasil, bukan preskriptif, sehingga cocok untuk organisasi berbagai ukuran dan sektor. Kerangka ini menggambarkan seperti apa manajemen risiko yang baik, bukan alat spesifik yang harus Anda beli.
Terkait
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.