NIST Cybersecurity Framework sebagai Alat Asesmen Keamanan Proyek TI

I. Pendahuluan

Dalam pengembangan proyek teknologi informasi (TI), aspek keamanan sering kali kurang diperhatikan secara sistematis sejak awal. Padahal, keamanan adalah bagian penting dari keberhasilan proyek—baik itu sistem informasi, aplikasi, jaringan, maupun platform cloud.

Untuk memastikan sistem yang dibangun aman dan tahan terhadap ancaman siber, perlu dilakukan asesmen keamanan secara menyeluruh. Salah satu alat bantu yang sangat berguna adalah NIST Cybersecurity Framework (CSF).

Artikel ini membahas bagaimana NIST CSF dapat digunakan sebagai alat asesmen keamanan dalam siklus hidup proyek TI, serta manfaatnya dalam mencegah risiko keamanan sejak dini.

II. Apa Itu Asesmen Keamanan Proyek TI?

Asesmen keamanan adalah proses untuk:

  • Mengidentifikasi kerentanan dalam sistem,

  • Menilai tingkat risiko terhadap ancaman,

  • Memberikan rekomendasi peningkatan keamanan.

Asesmen dilakukan pada berbagai tahap proyek, mulai dari perencanaan, desain, pembangunan, hingga implementasi dan pemeliharaan.

Tujuannya adalah memastikan sistem aman sebelum digunakan secara operasional, serta mengurangi biaya perbaikan risiko di masa depan.

III. Mengenal NIST Cybersecurity Framework

NIST CSF adalah kerangka kerja keamanan informasi yang dikeluarkan oleh National Institute of Standards and Technology (NIST), Amerika Serikat. Framework ini terdiri dari lima fungsi utama:

  1. Identify (Mengidentifikasi risiko dan aset)

  2. Protect (Melindungi sistem dari ancaman)

  3. Detect (Mendeteksi insiden atau anomali)

  4. Respond (Merespons insiden yang terjadi)

  5. Recover (Memulihkan sistem setelah serangan)

Kelima fungsi ini dapat digunakan sebagai alat bantu asesmen keamanan yang fleksibel dan dapat diterapkan pada berbagai jenis proyek TI.

IV. Penerapan NIST CSF untuk Asesmen Keamanan Proyek TI

1. Identify (Identifikasi Aset dan Risiko)

Digunakan untuk mengidentifikasi:

  • Aset penting dalam proyek (data, aplikasi, infrastruktur),

  • Potensi ancaman dan kerentanan,

  • Peran dan tanggung jawab tim proyek terhadap keamanan.

Contoh: Dalam proyek sistem e-learning, identifikasi dilakukan terhadap data mahasiswa, server, dan kredensial pengguna.

2. Protect (Perlindungan Terhadap Risiko)

Menilai sejauh mana sistem atau aplikasi telah dilengkapi dengan:

  • Autentikasi pengguna,

  • Enkripsi data,

  • Pembatasan akses,

  • Kebijakan keamanan.

Contoh: Apakah aplikasi sudah menggunakan autentikasi dua faktor saat pengguna login?

3. Detect (Deteksi Ancaman Dini)

Melihat kemampuan sistem dalam:

  • Mendeteksi aktivitas mencurigakan,

  • Mencatat log,

  • Memberi notifikasi jika ada potensi serangan.

Contoh: Apakah sistem mampu mendeteksi login dari lokasi yang tidak biasa?

4. Respond (Tanggapan terhadap Insiden)

Mengevaluasi kesiapan proyek untuk:

  • Menangani insiden siber,

  • Menentukan alur tanggap darurat,

  • Melibatkan tim keamanan saat terjadi pelanggaran.

Contoh: Apakah ada SOP jika terjadi kebocoran data pengguna?

5. Recover (Pemulihan Sistem)

Asesmen difokuskan pada:

  • Ketersediaan backup,

  • Rencana pemulihan layanan,

  • Evaluasi setelah insiden.

Contoh: Seberapa cepat sistem dapat dipulihkan setelah mengalami serangan ransomware?

V. Manfaat Menggunakan NIST CSF untuk Asesmen Proyek TI

  • Terstruktur dan Komprehensif: Menyentuh seluruh siklus hidup keamanan.

  • Mudah Dipahami oleh Tim Proyek: Cocok digunakan oleh manajer proyek, bukan hanya tim IT.

  • Dapat Diadaptasi: Berlaku untuk proyek skala kecil hingga besar.

  • Meningkatkan Kepercayaan Stakeholder: Karena keamanan dinilai secara profesional dan standar.

VI. Contoh Aplikasi: Proyek Aplikasi Pemesanan Online

Dalam proyek pengembangan aplikasi pemesanan makanan online, asesmen keamanan dilakukan menggunakan NIST CSF. Hasilnya:

  • Fungsi Identify menunjukkan kurangnya klasifikasi data sensitif.

  • Fungsi Protect menilai bahwa password pengguna belum dienkripsi.

  • Fungsi Respond tidak tersedia (tidak ada SOP jika terjadi pelanggaran).

Dari hasil ini, tim proyek melakukan perbaikan sebelum sistem diluncurkan ke publik.

VII. Kesimpulan

Kesimpulan

NIST Cybersecurity Framework dapat digunakan sebagai alat asesmen keamanan yang efektif dalam proyek TI. Dengan lima fungsi utama, framework ini membantu organisasi menilai, memperbaiki, dan menjaga keamanan sistem sejak tahap awal proyek.

Nama : Yulianti Rahmini
NIM    : 23156201020
Jurusan : Sistem Komputer, STMIK Catur Sakti Kendari