Istilah yang Umum Disalahgunakan dalam Keamanan Siber
Kata-kata itu sulit. Bahasa Inggris itu sulit. Cara kami mengomunikasikan apa pun hampir merupakan keajaiban.
Kadang-kadang saya berharap saya adalah Oscar Wilde atau Mark Twain atau penulis hebat lainnya yang tampaknya dapat dengan mudah menggambarkan karakter atau skenario sehingga pembaca dapat membayangkan dengan sempurna apa yang mereka maksud.
Sebaliknya, saya takut bahwa saya lebih seperti Shakespeare yang menemukan kata-kata, dan memutarbalikkan orang lain agar sesuai dengan meterannya yang gila, sehingga orang biasa seperti saya berjuang untuk memahami makna yang dimaksudkan (kebetulan, saya suka Shakespeare).
Sayangnya, bidang pilihan saya tampaknya dipenuhi oleh sesama Shakespeare – orang yang menggunakan kata-kata dengan melemparkan sup alfabet ke dinding dan membaca hasilnya seperti membaca daun teh, hanya dengan akurasi yang lebih rendah.
Apa Artinya?
Ketika saya membuat basis data istilah keamanan siber, yang merupakan tulang punggung Daftar Istilah Keamanan Siber NIST, saya kagum dengan banyaknya kebingungan yang ada bahkan tentang istilah yang ada di mana-mana seperti "risiko" dan "keamanan." Masih belum ada konsensus nyata tentang arti kata "keamanan siber"!
Jadi, saya telah menyusun daftar beberapa istilah yang sering disalahgunakan di bidang keamanan siber (ini adalah deskripsi tidak resmi yang dimaksudkan untuk informatif):
Data vs. Informasi vs. Pengetahuan
Data biasanya dianggap sebagai bit dan byte yang terdiri dari informasi. Informasi mengubah beberapa bit dan byte menjadi sesuatu yang berguna. Misalnya, sensor suhu dapat membaca “102”, tetapi informasi memberitahu kita bahwa itu 102 derajat Fahrenheit pada sensor suhu yang ada di mulut manusia. Pengetahuan adalah yang memungkinkan informasi untuk berubah menjadi tindakan. Dikatakan bahwa 102 derajat Fahrenheit untuk manusia terlalu panas. Garis antara data , informasi dan pengetahuan kabur, tetapi ada beberapa yang memperdebatkan kalimat itu dengan keras.
Ancaman vs. Risiko
Sebuah ancaman digunakan untuk mengartikan sesuatu yang buruk yang bisa terjadi atau entitas yang dapat menyebabkan sesuatu yang buruk terjadi (juga disebut "aktor ancaman"). Risiko mencakup kemungkinan bahwa hal buruk dapat terjadi dan hasil yang potensial. Orang sering (salah) menggunakan kata-kata ini secara bergantian.
Manajemen Risiko
Proses menanggapi potensi bahwa sesuatu yang buruk mungkin terjadi. Umumnya ada empat opsi:menerima risiko, mentransfernya, menghindarinya, atau menguranginya. Tergantung pada siapa Anda berbicara, setidaknya ada delapan pilihan, tetapi ini adalah empat tradisional. Saat petugas keamanan siber berbicara tentang manajemen risiko, mereka mungkin merujuk pada proses yang dijelaskan dalam Kerangka Manajemen Risiko.
Keamanan siber
Pada dasarnya, perlindungan sistem komputer (termasuk jaringan, internet, dan apa pun yang "pintar"). Namun, telah digunakan sebagai istilah umum yang juga mencakup jaminan informasi, perlindungan data, dan privasi. Istilah ini kemungkinan akan terus berubah sampai seseorang dapat menjelaskan secara memadai apa itu "cyber".
Jaminan Informasi (atau Keamanan)
Perlindungan fakta, berita, pengetahuan, atau terkadang data, dalam bentuk apa pun – kertas, elektronik, tablet batu, sinyal, hafalan, dll. Sering dikacaukan dengan dan diletakkan di bawah payung keamanan siber.
Standar
Banyak orang salah menyebut publikasi khusus NIST sebagai standar, tetapi ini sedikit lebih rumit dari itu. NIST memang mengembangkan standar formal – Standar Pemrosesan Informasi Federal (FIPS), seperti FIPS 200 dan FIPS 140-3, misalnya. NIST juga berpartisipasi dalam pengembangan industri dan standar internasional. Kata standar juga dapat digunakan untuk mengartikan tingkat kualitas atau norma yang diterima. Dalam kasus terakhir ini, publikasi NIST sering digunakan sebagai standar . Ini perbedaan yang halus, tetapi yang penting. Namun, secara umum, yang terbaik adalah menahan diri untuk tidak menyebut publikasi khusus (SP), laporan internal/antar-lembaga (IR), kertas putih, atau apa pun selain FIPS sebagai standar dan sebagai gantinya gunakan istilah "publikasi", "dokumen" atau "pedoman".
Persyaratan vs. Kontrol
Kedua istilah ini dapat digunakan untuk mengidentifikasi aktivitas, proses, praktik, atau kemampuan spesifik yang mungkin dimiliki atau dilakukan organisasi untuk mengelola risiko keamanan siber mereka. Kontrol mungkin atau mungkin tidak wajib, sedangkan persyaratan umumnya adalah. Itu selalu yang terbaik untuk memeriksa istilah apa yang digunakan dokumen. Misalnya, banyak orang mengacu pada persyaratan NIST SP 800-171 sebagai kontrol , yang salah.
Audit vs. Penilaian
Dalam keamanan siber, istilah audit sering memiliki nada yang lebih formal dan negatif daripada di beberapa disiplin ilmu lainnya. Audit dilakukan setelah insiden seperti pelanggaran data (umumnya audit internal), atas permintaan pelanggan (biasanya audit eksternal yang dilakukan oleh pelanggan), atau untuk mendapatkan sertifikasi (audit pihak ketiga). Penilaian biasanya, tetapi tidak selalu, lebih seperti pemeriksaan kesehatan yang ramah. Mencakup sejumlah kegiatan, penilaian bisa sempit atau luas, dengan ketelitian sebanyak yang diinginkan perusahaan yang dinilai, atau sesuai dengan situasi. Satu pengecualian untuk aturan umum ini adalah dalam program Cybersecurity Maturity Model Certification (CMMC), yang menggunakan kata penilaian sebagai metode formal yang digunakan untuk mengevaluasi perusahaan.
Kepatuhan
Kepatuhan biasanya mengacu pada pemenuhan persyaratan (internal atau eksternal, kadang-kadang peraturan) dan sering ditunjukkan dengan sertifikasi atau pengesahan dari beberapa macam. Orang sering menggunakan frasa seperti "sesuai dengan NIST." Ini bisa menyesatkan karena banyak yang mengartikannya sebagai NIST menegakkan persyaratan atau sertifikasi atau pembuktian keamanan produk atau proses perusahaan. Apa yang biasanya dimaksud dengan "sesuai dengan NIST" adalah bahwa perusahaan telah menggunakan praktik dan prosedur dalam publikasi NIST, seringkali untuk memenuhi beberapa persyaratan. Meskipun ini dapat dianggap sebagai kepatuhan aktivitas, biasanya yang terbaik adalah menghindari kebingungan dengan menyatakan aturan atau persyaratan apa yang menjadi subjek kepatuhan. Misalnya, seseorang dapat mengikuti NIST SP 800-171 agar sesuai dengan DFARS. Pengecualian untuk ini adalah dengan algoritme dan modul kriptografi, dalam hal ini terminologi yang benar divalidasi dan sesuai menunjukkan bahwa produk secara keseluruhan tidak telah dievaluasi secara formal.
Kata-kata dalam bahasa Inggris berkembang hampir secepat meme di internet – satu juta orang Shakespeare mengeluarkan bahasa Inggris untuk disembelih, dimanipulasi, dan dilipat menjadi skrip yang hampir tidak dapat dikenali. Di bidang keamanan siber, tampaknya hal ini dilakukan dengan gegabah. Namun, memahami beberapa istilah kunci ini dan cara penggunaannya akan membantu dalam memahami dan mengomunikasikan kebutuhan keamanan siber Anda.