Penilaian Sumber Daya dan Keterampilan Risiko Siber
Kontrol Tata Kelola: Sumber Daya dan Keahlian Risiko Siber
1. Tujuan
Menyediakan template untuk menilai kecukupan sumber daya risiko siber (personel, keterampilan, dan anggaran) terhadap persyaratan program, mengidentifikasi kesenjangan, dan merencanakan keberlanjutan sumber daya.
2. Ruang Lingkup
Penilaian ini mencakup semua personel, kompetensi, dan sumber daya keuangan yang dialokasikan untuk program manajemen risiko siber [ORGANIZATION], termasuk tim internal dan kapabilitas yang dialihdayakan.
3. Konten Penilaian
3.1 Inventaris Sumber Daya Saat Ini
Dokumentasikan kondisi saat ini sumber daya risiko siber:
| Peran/Fungsi | Jumlah yang Disetujui | Terisi | Kosong | Kontraktor/Alihdaya | Keterampilan Utama |
|---|---|---|---|---|---|
| [CUSTOMIZE: CISO / Head of Cyber Risk] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | Strategi, tata kelola, komunikasi eksekutif |
| [CUSTOMIZE: Security Operations / SOC] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | SIEM, deteksi insiden, triase |
| [CUSTOMIZE: Incident Response] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | Forensik, penahanan, pemulihan |
| [CUSTOMIZE: Risk and Compliance] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | Penilaian risiko, audit, regulasi |
| [CUSTOMIZE: Security Architecture] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | Keamanan cloud, keamanan jaringan, desain |
| [CUSTOMIZE: Identity and Access Mgmt] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | IAM, PAM, layanan direktori |
| [CUSTOMIZE: Vulnerability Management] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | Pemindaian, patching, remediasi |
| [CUSTOMIZE: Security Awareness] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | Pengembangan pelatihan, komunikasi |
3.2 Analisis Kesenjangan Keterampilan
Untuk setiap peran/fungsi, nilai tingkat keterampilan saat ini terhadap tingkat yang diperlukan:
| Area Kompetensi | Tingkat yang Diperlukan | Tingkat Saat Ini | Kesenjangan | Prioritas | Rencana Remediasi |
|---|---|---|---|---|---|
| Keamanan cloud (AWS/Azure/GCP) | [CUSTOMIZE: Advanced] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] |
| Intelijen dan analisis ancaman | [CUSTOMIZE: Intermediate] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] |
| Respons insiden dan forensik | [CUSTOMIZE: Advanced] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] |
| Metodologi penilaian risiko | [CUSTOMIZE: Advanced] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] |
| Kepatuhan regulasi | [CUSTOMIZE: Intermediate] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] |
| Manajemen identitas dan akses | [CUSTOMIZE: Intermediate] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] |
| Keamanan aplikasi / DevSecOps | [CUSTOMIZE: Intermediate] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] |
| Otomasi keamanan dan scripting | [CUSTOMIZE: Intermediate] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] | [CUSTOMIZE] |
3.3 Penilaian Kapasitas dan Keberlanjutan
Pemanfaatan kapasitas operasional saat ini: [CUSTOMIZE: XX%] (target: [CUSTOMIZE: 75-85%] untuk memungkinkan kapasitas lonjakan insiden)
Titik kegagalan tunggal yang teridentifikasi: [CUSTOMIZE: list roles/functions where only one person holds critical knowledge]
Tingkat pergantian staf (12 bulan terakhir): [CUSTOMIZE: XX%] (tolok ukur industri: [CUSTOMIZE: XX%])
Rata-rata masa kerja dalam peran risiko siber: [CUSTOMIZE: X.X years]
Rencana suksesi yang didokumentasikan untuk: [CUSTOMIZE: list roles with succession plans / identify gaps]
Status dokumentasi transfer pengetahuan: [CUSTOMIZE: percentage of critical processes with documented runbooks/procedures]
3.4 Penilaian Anggaran
Anggaran risiko siber saat ini: [CUSTOMIZE: $X,XXX,XXX] ([CUSTOMIZE: X.X%] dari anggaran TI / [CUSTOMIZE: X.XX%] dari pendapatan)
Alokasi anggaran: Personel [CUSTOMIZE: XX%], Teknologi [CUSTOMIZE: XX%], Layanan [CUSTOMIZE: XX%], Pelatihan [CUSTOMIZE: XX%]
Persyaratan yang belum didanai yang teridentifikasi: [CUSTOMIZE: list with estimated costs]
Penilaian kecukupan anggaran: [CUSTOMIZE: Sufficient / Partially Sufficient / Insufficient] berdasarkan perbandingan terhadap persyaratan program dan tolok ukur industri.
Rekomendasi untuk penyesuaian anggaran: [CUSTOMIZE: specific recommendations with justification]
3.5 Rekomendasi dan Rencana Tindakan
Berdasarkan temuan penilaian, tindakan berikut direkomendasikan:
[CUSTOMIZE: Recommendation 1 - e.g., Hire 2 additional SOC analysts to address 24x7 coverage gap - Priority: High - Estimated Cost: $XXX,XXX - Timeline: Q2]
[CUSTOMIZE: Recommendation 2 - e.g., Invest in cloud security certification program for 5 team members - Priority: High - Estimated Cost: $XX,XXX - Timeline: Q1-Q2]
[CUSTOMIZE: Recommendation 3 - e.g., Engage managed detection and response provider to supplement SOC during off-hours - Priority: Medium - Estimated Cost: $XXX,XXX/yr - Timeline: Q1]
[CUSTOMIZE: Recommendation 4 - e.g., Develop succession plans for CISO and Security Architecture Lead - Priority: Medium - Timeline: Q2]
Penilaian ini harus ditinjau oleh [CUSTOMIZE: CISO / Executive Committee] dan diperbarui setidaknya [CUSTOMIZE: annually].
4. Kepatuhan
Kepatuhan terhadap penilaian ini bersifat wajib bagi seluruh personel dan fungsi dalam ruang lingkupnya. Kepatuhan akan dipantau melalui audit berkala, tinjauan manajemen, dan pengawasan lini pertahanan kedua.
Pengecualian terhadap penilaian ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [SESUAIKAN: CISO/Komite Risiko Eksekutif], dan ditinjau setidaknya setiap tahun.
5. Tinjauan dan Revisi
Penilaian ini harus ditinjau setidaknya setiap tahun oleh [SESUAIKAN: CISO/Pemilik Dokumen] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, struktur organisasi, atau selera risiko.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Dokumen
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen