Regulasi & Compliance: Di Mana Posisi CSRF dalam ISO 27001?
Saat berbicara soal keamanan informasi, salah satu standar internasional yang sering dijadikan acuan adalah ISO 27001.
Tapi, bagaimana posisi CSRF (Cross-Site Request Forgery) dalam standar ini? Apakah ISO 27001 membahasnya? Dan apa artinya untuk perusahaan kamu?
Yuk, kita bahas dengan bahasa yang sederhana!
๐ง Apa Itu ISO 27001?
ISO 27001 adalah standar yang mengatur tentang:
-
Bagaimana cara mengelola keamanan informasi di organisasi
-
Proses dan kontrol yang harus diterapkan untuk melindungi data
-
Memastikan kerahasiaan, integritas, dan ketersediaan informasi
๐ CSRF dan Keamanan Aplikasi Web
CSRF adalah jenis serangan cyber di mana penyerang memaksa browser pengguna mengirim permintaan palsu ke aplikasi web yang sedang login.
Akibatnya, data atau fungsi penting bisa disalahgunakan.
Karena aplikasi web sering menjadi bagian utama sistem informasi organisasi, CSRF adalah ancaman nyata yang harus diperhatikan.
๐ Apakah ISO 27001 Menyebutkan CSRF?
ISO 27001 tidak menyebutkan CSRF secara spesifik, karena standar ini bersifat umum dan mencakup banyak aspek keamanan.
Namun, ada beberapa kontrol di dalam ISO 27001 yang secara tidak langsung mengharuskan organisasi untuk:
-
Melindungi aplikasi dari serangan seperti CSRF
-
Melakukan manajemen risiko terhadap ancaman keamanan aplikasi
-
Menetapkan kebijakan pengembangan dan pengujian aplikasi yang aman
๐ Kontrol ISO 27001 yang Relevan dengan CSRF
| Kode Kontrol | Deskripsi Singkat | Hubungan dengan CSRF |
|---|---|---|
| A.14.2.5 | Pengujian keamanan aplikasi | Melakukan pengujian untuk menemukan celah termasuk CSRF |
| A.12.6.1 | Pengendalian perubahan | Memastikan perubahan aplikasi aman dan tidak menimbulkan celah baru |
| A.6.1.5 | Penilaian risiko keamanan | Mengidentifikasi risiko serangan CSRF dan mitigasinya |
| A.9.4.1 | Kontrol akses aplikasi | Membatasi akses agar tidak mudah disalahgunakan lewat CSRF |
๐ Implementasi Praktis untuk Patuhi ISO 27001 terkait CSRF
-
Gunakan CSRF token di semua form dan request yang sensitif
-
Lakukan pengujian keamanan rutin menggunakan tools seperti OWASP ZAP
-
Update dan patch aplikasi serta plugin secara berkala
-
Berikan pelatihan kepada developer agar paham risiko CSRF
-
Dokumentasikan semua kebijakan dan proses keamanan aplikasi
๐งพ Kesimpulan
ISO 27001 memang tidak menyebutkan CSRF secara langsung,
tapi standar ini menuntut organisasi untuk melindungi sistem aplikasi dari serangan yang berpotensi merusak seperti CSRF.
Jadi, kalau organisasi kamu sudah patuh ISO 27001,
berarti kamu juga sudah melakukan langkah-langkah penting untuk mencegah CSRF!
Penulias : Muhammad Aditya Alkhawarizmi
Nim : 23156201023
jurusan : Sistem Komputer
