Langsung ke konten utama

Cybersecurity framework

Apa itu NIST Cybersecurity Framework?

Ringkasnya

Panduan ringkas tentang NIST Cybersecurity Framework: fungsi intinya, cara memetakan tingkat kematangan, dan perbandingannya dengan ISO 27001 untuk tim Indonesia.

Compliance solutions

Seorang anggota direksi mengajukan satu pertanyaan yang sulit dijawab dengan baik: "Sematang apa keamanan kita sebenarnya?" Jawaban jujurnya jarang berupa ya atau tidak. Kematangan keamanan adalah sebuah spektrum, dan tanpa cara yang sama untuk menggambarkannya, pembicaraan melenceng menjadi daftar alat yang sudah dibeli perusahaan atau perasaan samar bahwa keadaan "sebagian besar baik-baik saja." NIST Cybersecurity Framework hadir untuk membereskan itu. Kerangka ini memberi organisasi kosakata yang sama untuk membicarakan risiko siber, struktur untuk menilai posisinya, dan cara menetapkan target yang realistis. Halaman ini menjelaskan apa itu kerangka ini, enam fungsi intinya, bedanya dengan ISO 27001, dan bagaimana tim Indonesia memakainya.

Apa itu NIST CSF

NIST Cybersecurity Framework adalah kerangka sukarela yang diterbitkan oleh National Institute of Standards and Technology, sebuah lembaga pemerintah Amerika Serikat. Pertama kali dirilis pada 2014 dan diperbarui menjadi versi 2.0 pada 2024. Meski berasal dari Amerika, kerangka ini dipakai di seluruh dunia karena tidak terikat pada hukum negara mana pun. Ia menggambarkan manajemen risiko siber dalam istilah yang lugas dan berbasis hasil, bukan mendikte teknologi tertentu.

Kata yang perlu dipegang adalah sukarela. CSF bukan undang-undang dan bukan standar yang bisa disertifikasi. Anda tidak bisa "tersertifikasi NIST CSF" seperti halnya tersertifikasi terhadap ISO 27001. Tidak ada auditor terakreditasi dan tidak ada sertifikat. Sebaliknya, kerangka ini adalah rujukan yang Anda ukur pada diri sendiri dan bahasa yang Anda pakai untuk menjelaskan postur keamanan kepada direksi, pelanggan, atau perusahaan asuransi. Keluwesan itulah intinya. Sebuah startup sepuluh orang dan sebuah bank nasional sama-sama bisa memakai kerangka yang sama, disesuaikan dengan apa yang masing-masing benar-benar lakukan.

Pada intinya, CSF menata semuanya ke dalam sekumpulan kecil fungsi, masing-masing dipecah menjadi kategori dan subkategori hasil yang diharapkan. Anda tidak harus menerapkan setiap subkategori. Anda memilih profil yang mencerminkan risiko, sektor, dan sumber daya Anda.

Fungsi inti

Versi 2.0 menata kerangka ini di sekitar enam fungsi inti. Ini bagian yang paling sering keliru dipahami tim, karena kerangka asli tahun 2014 hanya punya lima. Fungsi Govern ditambahkan dalam CSF 2.0 pada 2024 dan berada di pusat, menghubungkan keputusan keamanan dengan risiko bisnis yang lebih luas. Menyebut lima fungsi adalah tanda bekerja dari versi lama.

FungsiCakupan
GovernDitambahkan dalam CSF 2.0 (2024). Bagaimana keputusan risiko siber diambil, siapa yang bertanggung jawab, dan bagaimana keamanan terhubung dengan risiko, strategi, serta kebijakan bisnis secara keseluruhan.
IdentifyMemahami apa yang harus dilindungi: aset, data, pemasok, dan risiko yang berlaku bagi mereka.
ProtectPengaman yang membatasi atau menahan dampak sebuah kejadian, dari kontrol akses dan pelatihan hingga keamanan data.
DetectMenemukan kejadian dan anomali keamanan siber saat terjadi, melalui pemantauan dan analisis.
RespondBertindak begitu insiden terdeteksi: penanganan, komunikasi, dan analisis untuk membatasi kerusakan.
RecoverMemulihkan layanan dan kapabilitas yang terdampak insiden serta belajar dari kesalahan yang terjadi.

Govern adalah fungsi yang mengubah bentuk kerangka ini. Pada versi 2014, tata kelola tersebar di fungsi-fungsi lain. Menariknya keluar sebagai fungsi tersendiri mencerminkan satu pelajaran sederhana dari bertahun-tahun insiden pelanggaran: sebagian besar kegagalan bukan murni soal teknis. Kegagalan itu lahir dari pertanggungjawaban yang tidak jelas, keputusan risiko yang diambil tanpa orang yang tepat di ruangan, atau keamanan yang diperlakukan sebagai proyek alih-alih tanggung jawab yang berkelanjutan. Govern menempatkan pertanyaan-pertanyaan itu di depan, dan lima fungsi lainnya menggambarkan pekerjaan yang mengalir dari sana.

NIST CSF vs ISO 27001

CSF dan ISO 27001 sering muncul bersamaan, dan perbedaannya mudah kabur. Keduanya menyelesaikan masalah yang berkaitan tetapi dengan cara yang secara struktur berbeda.

NIST CSFISO 27001
Apa ituKerangka sukarela yang Anda nilai sendiriStandar yang bisa disertifikasi dan diaudit lembaga terakreditasi
Hasil akhirProfil saat ini dan profil target yang Anda tetapkan sendiriSertifikat yang bisa diverifikasi pembeli dan regulator
Cara pemakaianMenata, memprioritaskan, dan mengomunikasikan pekerjaan risikoMembuktikan, lewat audit, bahwa sistem manajemen Anda memenuhi standar
PengakuanBanyak dirujuk, tanpa bukti formalSertifikat yang diakui secara internasional

Tidak ada yang menggantikan yang lain, dan banyak organisasi memakai keduanya. CSF adalah alat yang kuat untuk menata program dan memutuskan langkah berikutnya, karena fungsi dan profilnya membuat prioritas terlihat jelas. ISO 27001 adalah yang Anda pilih ketika pihak luar butuh bukti: tim procurement pelanggan, regulator, atau mitra yang tidak mau sekadar percaya pada ucapan Anda. Karena kontrol di baliknya banyak yang tumpang tindih, pekerjaan yang dilakukan terhadap CSF terbawa ke upaya ISO 27001, dan sebaliknya pun berlaku. Jika standar yang bisa disertifikasi yang diinginkan pembeli Anda, panduan kami tentang sertifikasi ISO 27001 di Indonesia membahas apa yang dilibatkan jalur itu secara lokal.

Menggunakan kerangka ini di Indonesia

NIST CSF tidak wajib di Indonesia. Tidak ada undang-undang atau regulator di sini yang mewajibkannya, dan ia tidak memenuhi kewajiban lokal dengan sendirinya. UU PDP, aturan sektoral yang diterapkan OJK pada lembaga keuangan, dan panduan BSSN semuanya berdiri atas ketentuannya sendiri, dan ringkasan kami tentang regulasi keamanan siber Indonesia menjelaskan apa yang sebenarnya dituntut hukum di sini.

Tempat CSF membuktikan nilainya adalah sebagai alat kematangan. Sektor teregulasi di Indonesia, terutama perbankan dan jasa keuangan lainnya, menghadapi ekspektasi yang meningkat untuk menunjukkan bahwa keamanan mereka dikelola, bukan seadanya. Kerangka ini memberi direksi cara melihat kematangan saat ini pada keenam fungsi, menetapkan target yang sesuai dengan selera risiko organisasi, dan melacak kemajuan dari waktu ke waktu. Ia juga memetakan dengan rapi ke kewajiban lokal, sehingga asesmen yang sama yang menunjukkan di mana celah deteksi atau tata kelola sebuah bank berada juga bisa memberi bukti yang ingin dilihat regulator. Dipakai dengan cara ini, CSF menjadi tulang punggung program tata kelola, risiko, dan kepatuhan, bukan dokumen yang teronggok di rak.

Posisi Alpha Code

Mengubah kerangka ini menjadi sesuatu yang berguna berarti menjalankan asesmen kondisi saat ini secara jujur pada keenam fungsi, menyepakati profil target yang bisa dijalankan bisnis, dan menyusun rencana berprioritas untuk menutup celahnya. Alpha Code mengerjakan hal itu melalui layanan Konsultasi Kepatuhan & GRC: menilai postur Anda terhadap CSF, memetakannya ke kewajiban Indonesia yang berlaku bagi Anda, dan mengubah hasilnya menjadi peta jalan yang menjawab pertanyaan direksi dengan bukti, bukan sekadar angkat bahu.

Ditinjau oleh Mohit Bhansali, Head of Technology

Pertanyaan umum

Kerangka ini memberi organisasi bahasa yang sama dan struktur untuk mengelola risiko siber, mulai dari tata kelola dan identifikasi aset hingga perlindungan, deteksi, respons, dan pemulihan. Sifatnya sukarela dan berfokus pada hasil, bukan preskriptif, sehingga cocok untuk organisasi berbagai ukuran dan sektor. Kerangka ini menggambarkan seperti apa manajemen risiko yang baik, bukan alat spesifik yang harus Anda beli.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.