Standar dan peraturan Infosec – kepatuhan penyortiran primer

Mengkategorikan standar dan peraturan InfoSec ke dalam kelompok yang berbeda mungkin terdengar konyol pada awalnya karena menerapkan seperangkat pedoman dan aturan tertulis bukanlah sesuatu yang benar-benar dilakukan oleh orang yang serius. Namun, setiap kategori memiliki seperangkat karakteristik yang membantu dalam mendefinisikan kepribadian siswa. Faktanya, beberapa situs online yang berbeda telah mengelompokkan selebriti, karakter Game of Thrones, dan politisi ke dalam grup mereka sendiri. Meskipun standar dan peraturan InfoSec tidak memiliki kepribadian, organisasi yang mengembangkannya melakukannya.

Kepatuhan Infosec tidak memiliki hierarki ketat milik bidang kepatuhan lainnya. Dalam beberapa kasus, standar dan peraturan Infosec berfungsi sebagai saran dan panduan sejawat. Meski begitu, perhatian pelanggan yang meningkat telah mengubah sebagian besar subjek ini menjadi kepatuhan sebagai aspek penjualan utama untuk pendapatan. Namun demikian, mengatur standar dan peraturan InfoSec tersebut ke dalam panduan yang lebih luas dapat membantu dalam menegosiasikan ruang kepatuhan yang selalu berubah.

Berfokus pada organisasi yang telah memancarkan tekad, keberanian, dan keberanian di dunia standar dan regulasi InfoSec, perlu melihat entitas yang tampaknya menjadi ujung tombak keamanan dalam upaya meningkatkan keamanan siber di dunia. Mereka termasuk:

• OWASP: Proyek Keamanan Aplikasi Web Terbuka didirikan kembali pada tahun 2001 untuk beroperasi sebagai komunitas global terbuka yang memungkinkan organisasi untuk mengoperasikan, memperoleh, mengembangkan, menyusun, dan menjunjung tinggi aplikasi tepercaya. Meskipun memproyeksikan lebih banyak sumber daya dan lebih sedikit kepatuhan, OWASP layak mendapat tempat di daftar ini berkat upaya heroik inovasi industri, yang memberikan panduan kepada anggota. Selain itu, tampaknya menjadi organisasi yang tujuan utamanya tumpang tindih terutama dengan tujuan kepatuhan tradisional yang ditetapkan oleh organisasi yang lebih formal.
• NIST : Atau dikenal sebagai Institut Nasional Standar dan Teknologi, NIST menerbitkan Kerangka Keamanan Siber yang dihormati tanpa biaya. Baik NIST 800-53 maupun Kerangka Kerja Keamanan Siber membantu memberikan teknik kepada organisasi untuk mulai mengatur praktik terbaik mereka tanpa harus mengeluarkan uang secara otomatis. Dirancang untuk melindungi keamanan siber, situs web Institut Standar dan Teknologi Nasional menyediakan alat referensi gratis, yang mewakili Framework Core, sekelompok praktik, pedoman, dan standar industri.
• Kerangka Kebijakan Keamanan Inggris : Profesi Keamanan Pemerintah, Keamanan Nasional dan Intelijen dan Kantor Kabinet Inggris menerbitkan dokumen setebal sebelas halaman ini untuk membantu memandu perlindungan aset pemerintah. Ini mencakup dua puluh Persyaratan Wajib yang dikategorikan ke dalam tujuh bidang utama keamanan pribadi, penandaan pelindung & kontrol aset, kelangsungan bisnis, kontra-terorisme, keamanan & jaminan informasi, keamanan fisik, dan tata kelola, manajemen risiko & kepatuhan.
• COBIT : Asosiasi Audit dan Kontrol Sistem Informasi berada di balik pembuatan kerangka Tujuan Kontrol untuk Teknologi Terkait Informasi (COBIT). Struktur berfungsi sebagai alat yang membantu menjembatani kesenjangan yang ada antara masalah teknis dan persyaratan bisnis dalam upaya untuk memastikan bahwa kontrol dipetakan dengan tepat. Yang penting, COBIT bertindak sebagai alat untuk pemodelan berbasis proses.

Terlebih lagi, kerangka kerja menyediakan model kedewasaan untuk mengevaluasi perubahan yang diperlukan seiring pertumbuhan perusahaan. Hal ini dilakukan melalui pemecahan tiga puluh empat proses ke dalam empat domain tertentu dari pemantauan & evaluasi, perolehan & implementasi, organisasi dan penyampaian & dukungan.

• ISO : ISO atau Organisasi Internasional untuk Standardisasi memberikan beberapa standar yang paling sering dipatuhi dan diakui. Kepatuhan ISO/IEC/27000 bersama dengan standar terkait memimpin tuntutan, terutama bagi mereka yang memulai standar dan peraturan InfoSec. Menjadi spesialis terkemuka dalam hal keamanan informasi, ISO telah memanfaatkan atribut itu untuk menampilkan dirinya sebagai perusahaan yang berkelanjutan dengan ambisi yang mengesankan.
• HITRUST : Didirikan pada tahun 2007, Health Information Trust Alliance (HITRUST) membantu melindungi informasi pasien. Modelnya bertujuan untuk membangun baseline di seluruh sektor kesehatan, yang dapat diterapkan pada perusahaan berdasarkan kematangan dan risikonya. HITRUST menilai industri perawatan kesehatan dan memutuskan bahwa hanya risiko tertentu yang mungkin terjadi bagi anggota mereka, bukan memulai dengan risiko dan membangun kontrol sebagai respons terhadap risiko tersebut. Dengan demikian, modelnya memungkinkan entitas yang tercakup dalam HIPAA untuk menyesuaikan program mereka melalui model Kerangka Keamanan Umum.
• HIPAA : Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) tahun 1996 mendesak Menteri Kesehatan dan Layanan Kemanusiaan untuk menerapkan peraturan privasi yang dimaksudkan untuk melindungi informasi kesehatan yang dapat diidentifikasi secara individual. Terlebih lagi, Standar Keamanan HIPAA membawa persyaratan peraturan di mana perusahaan dalam lingkupnya membangun prosedur administratif yang bertujuan untuk melindungi dan mengelola perlindungan data, layanan keamanan teknis yang meninjau akses ke informasi, dan mekanisme keamanan teknis yang mencegah transmisi informasi yang tidak sah. dan perlindungan fisik atas sistem komputer.
• GDPR : GDPR atau Peraturan Perlindungan Data Umum UE dikenal karena menjadikan tata kelola dan akuntabilitas sebagai salah satu arahan utamanya. Ini menciptakan kumpulan aturan tunggal yang berlaku untuk semua anggota. Meskipun demikian, ini memperluas cakupan ke pengontrol data yang terlibat dalam pengumpulan informasi dari penduduk Uni Eropa yang diambil dari penduduk Uni Eropa. Artinya, bahkan tanpa berada di UE, organisasi yang menangani informasi penduduk UE dengan cara seperti itu harus patuh. GDPR berupaya mengurangi jumlah data yang terlibat, membatasi tujuan penggunaan informasi, menentukan keadilan, keabsahan & transparansi privasi, menegakkan integritas dan kerahasiaan informasi, dan membatasi jumlah penyimpanan yang disimpan organisasi pada individu.
• SOX : Sarbanes-Oxley Act (SOX) diberlakukan kembali pada tahun 2002 sebagai tanggapan terhadap beragam pelaporan penipuan perusahaan. Meskipun SEC telah melakukan pekerjaan yang terpuji dalam menangani sebagian besar kekhawatiran SOX, keserakahan perusahaan mengakibatkan beberapa perusahaan melanggar undang-undang. SOX bertujuan untuk menegakkan etika pada perusahaan semacam itu dengan memberikan hukuman bagi mereka yang salah melaporkan. Selain itu, Bagian SOX 404 meminta bisnis untuk menilai lingkungan TI mereka dalam upaya untuk menentukan apakah ada risiko pelaporan keuangan (internal atau eksternal) dan langkah-langkah yang mengaturnya.
• PCI-DSS : PCI atau Dewan Standar Keamanan Industri Kartu Pembayaran diselenggarakan oleh berbagai entitas keuangan termasuk Visa, Mastercard, JCB International, Discover Financial Services, dan American Express. Ini memainkan peran utama dalam mempromosikan keamanan informasi, terutama melalui sistem elektronik. Faktanya, Standar Keamanan Data PCI atau (PCI-DSS) telah muncul sebagai standar kepatuhan tidak hanya untuk setiap tetapi semua pemroses pembayaran. Selanjutnya, vendor harus menilai lanskap dalam upaya untuk menentukan ruang lingkup risiko mereka, yang memungkinkan mereka untuk mematuhi PCI-DSS.
• COSO : Securities and Exchange Commission, atau dikenal sebagai SEC membentuk komite pada tahun 1980-an untuk meneliti pelaporan penipuan. Dalam prosesnya, lima organisasi pendukung akuntan dan auditor bergabung dalam peninjauan, yang menghasilkan pembentukan Komite Organisasi Sponsor Komisi Treadway (COSO). Kemudian pada tahun 2013, revisi besar dimasukkan ke dalam kerangka awal.

Pengendalian Internal COSO mengakui lima elemen yang berkorelasi dari aktivitas pengendalian, lingkungan pengendalian, pemantauan, informasi & komunikasi, dan aktivitas pengendalian. Selain itu, Enterprise Risk Management – ​​Integrated Framework, yang dibuat oleh PricewaterhouseCoopers mencakup tujuan bisnis strategis, pelaporan, operasi, dan kepatuhan dengan delapan elemen kerangka kerja yaitu identifikasi peristiwa, pemantauan, informasi & manajemen, aktivitas pengendalian, respons risiko, penetapan tujuan, internal lingkungan, dan penilaian risiko.

Ken Lynch adalah veteran startup perangkat lunak perusahaan, yang selalu terpesona dengan apa yang mendorong pekerja untuk bekerja dan bagaimana membuat pekerjaan lebih menarik. Ken mendirikan Timbal Balik untuk mengejar hal itu. Dia telah mendorong kesuksesan Reciprocity dengan tujuan berbasis misi ini untuk melibatkan karyawan dengan tujuan tata kelola, risiko, dan kepatuhan perusahaan mereka untuk menciptakan warga korporat yang lebih berpikiran sosial. Ken memperoleh gelar BS di bidang Ilmu Komputer dan Teknik Elektro dari MIT.