© 2025 Investigator.id. Created for free using WordPress and

Domain Keamanan Siber CISSP

Sejak tahun 2022, terdapat delapan domain untuk mengorganisir pekerjaan para profesional keamanan siber yang didefinisikan oleh CISSP. Domain-domain ini saling terkait, dan celah dalam satu domain dapat berdampak negatif pada seluruh organisasi. Tim keamanan menggunakannya untuk mengatur tugas harian dan mengidentifikasi celah keamanan yang dapat menyebabkan konsekuensi negatif bagi organisasi, serta untuk menetapkan postur keamanan mereka. Postur keamanan mengacu pada kemampuan organisasi untuk mengelola pertahanan aset dan data kritisnya serta merespons perubahan.

Domain Keamanan Siber CISSP

Manajemen Keamanan dan Risiko

Semua organisasi harus mengembangkan postur keamanannya. Postur keamanan adalah kemampuan suatu organisasi untuk mengelola pertahanan aset dan data kritisnya serta bereaksi terhadap perubahan. Elemen-elemen domain keamanan dan manajemen risiko yang berdampak pada postur keamanan suatu organisasi meliputi:

  • Tujuan dan sasaran keamanan
  • Proses mitigasi risiko
  • Kepatuhan
  • Rencana keberlangsungan bisnis
  • Peraturan hukum
  • Etika profesional dan organisasi

Keamanan informasi, atau InfoSec, juga terkait dengan domain ini dan mengacu pada serangkaian proses yang ditetapkan untuk mengamankan informasi. Suatu organisasi dapat menggunakan playbook dan menerapkan pelatihan sebagai bagian dari program keamanan dan manajemen risikonya, berdasarkan kebutuhan dan risiko yang dirasakan. Ada banyak proses desain InfoSec, seperti:

  • Respons insiden (Incident response)
  • Manajemen kerentanan (vulnerability management)
  • Keamanan aplikasi (application security)
  • Keamanan cloud (cloud security)
  • Keamanan infrastruktur (infrastucture security)

Sebagai contoh, tim keamanan mungkin perlu mengubah cara penanganan informasi identitas pribadi (PII) untuk mematuhi Peraturan Perlindungan Data Umum Uni Eropa (GDPR).

Keamanan Aset (Asset Security)

Keamanan aset melibatkan pengelolaan proses keamanan siber dari aset organisasi, termasuk penyimpanan, pemeliharaan, retensi, dan pemusnahan data fisik dan virtual. Karena kehilangan atau pencurian aset dapat mengekspos organisasi dan meningkatkan tingkat risiko, maka melacak aset dan data yang dimilikinya sangat penting. Melakukan analisis dampak keamanan, menetapkan rencana pemulihan, dan mengelola eksposur data akan bergantung pada tingkat risiko yang terkait dengan setiap aset. Analis keamanan mungkin perlu menyimpan, memelihara, dan mempertahankan data dengan membuat cadangan untuk memastikan mereka dapat memulihkan lingkungan jika insiden keamanan membahayakan data organisasi.

Arsitektur dan Rekayasa Keamanan (Security architecture and engineering)

Domain ini berfokus pada manajemen keamanan data. Memastikan alat, sistem, dan proses yang efektif diterapkan membantu melindungi aset dan data organisasi. Arsitek dan engineer keamanan menciptakan proses-proses ini.

Salah satu aspek penting dari domain ini adalah konsep tanggung jawab bersama. Tanggung jawab bersama berarti semua individu yang terlibat mengambil peran aktif dalam mengurangi risiko selama desain sistem keamanan. Prinsip-prinsip desain tambahan yang terkait dengan domain ini, yang akan dibahas lebih lanjut dalam program ini, meliputi:

  • Pemodelan ancaman (Threat modeling)
  • Hak istimewa minimal (Least privilege)
  • Pertahanan berlapis (Defense in depth)
  • Gagal dengan aman (Fail securely)
  • Pemisahan tugas (Separation of duties)
  • Sederhanakan (Keep it simple)
  • Nol kepercayaan (Zero trust)
  • Percaya, tetapi verifikasi (Trust but verify)

Contoh pengelolaan data adalah penggunaan alat Security Information and Event Management (SIEM) untuk memantau tanda-tanda terkait aktivitas login atau pengguna yang tidak biasa yang dapat mengindikasikan adanya aktor ancaman yang mencoba mengakses data pribadi.

Keamanan Komunikasi dan Jaringan

Domain ini berfokus pada pengelolaan dan pengamanan jaringan fisik serta komunikasi nirkabel. Ini mencakup komunikasi di lokasi, jarak jauh, dan cloud. Organisasi dengan lingkungan kerja jarak jauh, hybrid, dan di lokasi harus memastikan data tetap aman, tetapi mengelola koneksi eksternal untuk memastikan pekerja jarak jauh mengakses jaringan organisasi dengan aman merupakan tantangan. Mendesain kontrol keamanan jaringan, seperti akses jaringan terbatas, dapat membantu melindungi pengguna dan memastikan jaringan organisasi tetap aman ketika karyawan bepergian atau bekerja di luar kantor utama.

Manajemen Identitas dan Akses

Domain manajemen identitas dan akses (IAM) berfokus pada menjaga keamanan data. Hal ini dilakukan dengan memastikan identitas pengguna terpercaya dan terautentikasi serta akses ke aset fisik dan logis diizinkan. Ini membantu mencegah pengguna yang tidak sah, sementara memungkinkan pengguna yang sah untuk melakukan tugas mereka.

Pada dasarnya, IAM menggunakan prinsip yang disebut sebagai least privilege, yaitu konsep pemberian akses dan otorisasi minimal yang diperlukan untuk menyelesaikan tugas. Sebagai contoh, seorang analis keamanan siber mungkin diminta untuk memastikan bahwa perwakilan layanan pelanggan hanya dapat melihat data pribadi pelanggan, seperti nomor telepon mereka, saat bekerja untuk menyelesaikan masalah pelanggan; kemudian menghapus akses ketika masalah pelanggan terselesaikan.

Penilaian dan Pengujian Keamanan

Domain penilaian dan pengujian keamanan berfokus pada mengidentifikasi dan mengurangi risiko, ancaman, dan kerentanan. Penilaian keamanan membantu organisasi menentukan apakah sistem internal mereka aman atau berisiko. Organisasi mungkin menggunakan penguji penetrasi, sering disebut sebagai “pen tester,” untuk menemukan kerentanan yang dapat dimanfaatkan oleh aktor ancaman.

Domain ini menyarankan agar organisasi melakukan pengujian kontrol keamanan, serta mengumpulkan dan menganalisis data. Selain itu, menekankan pentingnya melakukan audit keamanan untuk memantau dan mengurangi kemungkinan terjadinya pelanggaran data. Untuk berkontribusi pada jenis tugas ini, profesional keamanan siber mungkin ditugaskan untuk mengaudit izin pengguna untuk memvalidasi bahwa pengguna memiliki tingkat akses yang benar ke sistem internal.

Operasional Keamanan

Domain operasi keamanan berfokus pada investigasi potensi pelanggaran data dan implementasi langkah-langkah pencegahan setelah insiden keamanan terjadi. Ini termasuk menggunakan strategi, proses, dan alat seperti:

  • Pelatihan dan kesadaran
  • Pelaporan dan dokumentasi
  • Deteksi dan pencegahan intrusi
  • SIEM
  • Manajemen log
  • Manajemen insiden
  • Buku pedoman (Playbook)
  • Forensik pasca pelanggaran (Post-breach forensics)
  • Evaluasi dan pembelajaran (lessons learned)

Para profesional keamanan siber yang terlibat dalam domain ini bekerja sebagai tim untuk mengelola, mencegah, dan menyelidiki ancaman, risiko, dan kerentanan. Individu-individu ini terlatih untuk menangani serangan aktif, seperti akses sejumlah besar data dari jaringan internal organisasi, di luar jam kerja normal. Setelah ancaman teridentifikasi, tim bekerja keras untuk menjaga data dan informasi pribadi tetap aman dari pelaku ancaman.

Keamanan Pengembangan Perangkat Lunak

Domain terakhir adalah keamanan pengembangan perangkat lunak, yang berfokus pada penggunaan praktik dan pedoman pemrograman yang aman untuk menciptakan aplikasi yang aman. Memiliki aplikasi yang aman membantu memberikan layanan yang aman dan andal, yang membantu melindungi organisasi dan penggunanya. Keamanan harus dimasukkan ke dalam setiap elemen siklus hidup pengembangan perangkat lunak, mulai dari desain dan pengembangan hingga pengujian dan rilis. Untuk mencapai keamanan, proses pengembangan perangkat lunak harus memiliki keamanan dalam pikiran di setiap langkahnya. Keamanan tidak bisa dipikirkan belakangan.

Melakukan pengujian keamanan aplikasi dapat membantu memastikan kerentanan diidentifikasi dan dikurangi dengan tepat. Memiliki sistem untuk menguji konvensi pemrograman, executable perangkat lunak, dan tindakan keamanan yang tertanam dalam perangkat lunak adalah suatu keharusan. Memiliki profesional jaminan kualitas dan penguji penetrasi untuk memastikan perangkat lunak telah memenuhi standar keamanan dan kinerja juga merupakan bagian penting dari proses pengembangan perangkat lunak. Sebagai contoh, seorang analis tingkat awal yang bekerja untuk perusahaan farmasi mungkin diminta untuk memastikan enkripsi dikonfigurasikan dengan benar untuk perangkat medis baru yang akan menyimpan data pribadi pasien.

Inilah delapan domain keamanan yang didefinisikan oleh CISSP untuk mengelola keamanan siber.

© 2025 Investigator.id. Created for free using WordPress and