Tentukan potensi dampak kesenjangan terhadap tujuan organisasi dan dampaknya terhadap layanan penting dan infrastruktur penting. Aset yang secara langsung mendukung layanan penting diinventarisasi (teknologi termasuk perangkat keras, perangkat lunak, dan sistem informasi eksternal). Aset informasi dikategorikan berdasarkan sensitivitas dan potensi dampak pada layanan penting (seperti publik, penggunaan internal saja, atau rahasia).
Tujuan dari domain ini adalah untuk mengidentifikasi, menganalisis, dan mengelola kontrol di lingkungan operasi layanan penting. Kerentanan dapat menimbulkan risiko operasional dan harus diidentifikasi serta dikelola untuk menghindari gangguan pada lingkungan layanan penting. Tujuan dari domain ini adalah untuk mengidentifikasi, menganalisis, dan mengelola kerentanan di lingkungan operasi layanan penting.
Tujuan dari kesinambungan layanan adalah untuk memitigasi dampak insiden yang mengganggu dengan menggunakan rencana yang telah teruji atau diterapkan yang memfasilitasi kesinambungan layanan penting yang dapat diprediksi dan berkelanjutan. Domain SCM dibuat dengan tujuan untuk memastikan kelangsungan pengoperasian layanan penting dan aset terkait jika terjadi pemadaman listrik akibat suatu insiden, bencana, atau kejadian lainnya. Rencana kesinambungan layanan dikembangkan dan didokumentasikan untuk aset (manusia, informasi, teknologi, dan fasilitas) yang diperlukan untuk menyediakan layanan penting.
CRR berfokus pada risiko terhadap operasi yang bergantung pada dunia maya yang berpotensi mengganggu pemberian layanan penting yang sedang diselidiki. Pelayanan publik diidentifikasi dimana layanan penting bergantung (layanan pemadam kebakaran dan penyelamatan, penegakan hukum, dll.). Penyedia infrastruktur yang menjadi sandaran layanan penting (layanan telekomunikasi dan telepon, sumber daya energi, dll.) diidentifikasi. *) CRR, 2020.
Tujuan Pelatihan dan Kesadaran adalah untuk mengembangkan keterampilan dan meningkatkan kesadaran orang-orang yang berperan mendukung layanan penting. Pengguna yang memiliki hak istimewa dilatih tentang peran dan tanggung jawab khusus mereka dalam mendukung layanan penting. Personil keamanan fisik dan informasi dilatih mengenai peran dan tanggung jawab khusus mereka dalam mendukung layanan penting.
Kegiatan harus mendukung komunikasi dengan berbagai pemangku kepentingan internal dan eksternal untuk mendukung persyaratan keberlanjutan layanan yang penting. Dalam pendekatan ini, kematangan organisasi didasarkan pada seberapa komprehensif praktik keamanan siber di setiap area dilembagakan dalam organisasi. Pelembagaan berarti bahwa praktik keamanan siber menjadi bagian organisasi yang lebih mendalam dan berjangka panjang karena dikelola dan didukung dengan cara yang bermakna.
Kinerja secara keseluruhan dapat memberikan beberapa wawasan awal mengenai bidang-bidang yang dapat diberi perhatian khusus dalam meningkatkan keamanan siber.
Analisis Perbandingan Metode
Total praktik mengacu pada Lampiran A, hal ini dikarenakan terdapat praktik yang terbagi atas aset (manusia, informasi, teknologi, dan fasilitas). Kerangka Keamanan Siber NIST (NIST CF) adalah kerangka kerja yang didasarkan pada standar, pedoman, dan praktik yang ada yang membantu organisasi mengelola dan memitigasi risiko keamanan siber dengan lebih baik. Selain membantu organisasi mengelola dan memitigasi risiko, NIST CF dirancang untuk mendorong manajemen risiko dan komunikasi keamanan siber antara pemangku kepentingan organisasi internal dan eksternal.
Pendekatan yang digunakan untuk mengembangkan kerangka kerja ini dapat membantu pemilik dan operator infrastruktur penting dalam mengelola risiko terkait keamanan siber. Kerangka kerja ini berfokus pada penggunaan pendorong bisnis untuk memandu aktivitas keamanan siber dan mempertimbangkan risiko keamanan siber sebagai bagian dari proses manajemen risiko organisasi (NIST, 2018). ICS-CRAT hanya dapat digunakan oleh organisasi yang menerapkan sistem kendali industri atau ICS.
ITK tidak menerapkan sistem pengendalian industri, melainkan sistem informasi dan teknologi yang biasa digunakan oleh lembaga pendidikan. Oleh karena itu, ICS-CRAT tidak digunakan sebagai metode penilaian dalam penelitian ini agar hasil yang dicapai dapat maksimal. CRR juga dinyatakan secara tertulis bahwa CRR dirancang untuk menjadi metode penilaian universal yang dapat mengevaluasi kemampuan ketahanan siber berbagai organisasi, baik dari segi berbagai layanan penting atau sektor infrastruktur penting maupun dari segi ukuran dan kematangan organisasi.
Oleh karena itu, CRR mengadopsi beberapa pendekatan yang digunakan oleh NIST CF untuk mempertajam cakupan penilaian ketahanan siber. CRR konsisten dengan NIST CF, dimana CRR mendahului pembentukan NIST CF, namun prinsip-prinsip dasar dan praktik-praktik yang direkomendasikan dalam CRR konsisten dengan prinsip-prinsip inti. Selain itu, penelitian terkait keamanan siber telah banyak dilakukan di ITK, sehingga ketahanan siber juga harus dilakukan sebagai proses penting di ITK.
Penelitian Terdahulu
Penelitian ini didasarkan pada permasalahan bahwa serangan siber telah mempengaruhi setiap sektor infrastruktur penting di Norwegia. Penelitian ini dilatarbelakangi oleh permasalahan dimana Industrial Control System (ICS) merupakan komponen penting yang memudahkan operasional pada industri-industri kunci. Metode yang digunakan dalam penelitian ini adalah perbandingan data statistik di berbagai negara mengenai tingkat ketahanan siber (Tonhauser & Ristvej, 2019).
Metode yang digunakan dalam penelitian ini adalah pendekatan jaringan yang ditentukan perangkat lunak untuk melindungi ketahanan industri Internet of Things (Babiceanu & Seker, 2019). Metode yang digunakan dalam penelitian ini adalah penilaian statistik terhadap tingkat ketahanan elemen infrastruktur penting (Rehak, et al., 2019). Penelitian ini dilatarbelakangi oleh permasalahan bahwa diperlukannya regulasi keamanan siber dalam hal melindungi teknologi informasi dengan sistem komputer.
Penelitian ini dilatarbelakangi oleh permasalahan besarnya kebutuhan untuk menilai ketahanan ICS dengan menghasilkan metrik ketahanan berbasis simulasi. Metode yang digunakan dalam penelitian ini adalah ICS-CRAT (Industrial Control System Cyber Resilience Assessment Tool). Metode yang digunakan dalam penelitian ini adalah metrik Cyber-Physical Resilience sistem jalan perkotaan dengan model 4I (Infrastruktur, Individualitas, Instrumen dan Informasi) melalui data RFID (Radio Frequency Identification) (Zhu, et al., 2020).
Metodologi yang digunakan dalam penelitian ini adalah menghitung ketahanan siber pada sistem rantai pasok dengan mempertimbangkan gangguan sistem siber-fisik (Chen, et al., 2020). Metode yang digunakan dalam penelitian ini adalah kerangka kerja yang menggambarkan implementasi sistem ketahanan siber (Annarelli, et al., 2020). Metode yang digunakan dalam penelitian ini adalah studi sistematis kerangka penilaian ketahanan siber (CRF) (Sep´ulveda-Estay, et al., 2020).
Penelitian ini didasarkan pada permasalahan dimana ketahanan telah banyak dianalisis dalam analisis risiko, khususnya yang berkaitan dengan infrastruktur fisik. Metode yang digunakan dalam penelitian ini adalah kerangka ketahanan jaringan listrik (Cicilio, et al., 2020). Metode yang digunakan dalam penelitian ini adalah kerangka ketahanan terhadap serangan sensor pada sistem cyber-fisik (Severson et al., 2020).
Metode yang digunakan dalam penelitian ini adalah model aliran data material (DFMM) (Alghamdi & Rastogi, 2020). Metode yang digunakan dalam penelitian ini adalah pengembangan kesadaran keamanan siber (Chang & Coppel, 2020).
