Gap Analysis dalam Cybersecurity
CompTIA Security+ SY0-701 - Domain 1.2
Gap Analysis: Menjembatani Keadaan Saat Ini dan Masa Depan
Definisi Gap Analysis
Gap Analysis (Analisis Kesenjangan) adalah proses evaluasi sistematis untuk membandingkan postur keamanan/kinerja organisasi saat ini dengan standar atau tujuan yang diinginkan.
Analogi Sederhana: Peta Perjalanan
📍 Where We Are (Saat Ini)
Kondisi keamanan jaringan sekarang, kebijakan yang berjalan, skill karyawan saat ini.
🏁 Where We Want To Be (Tujuan)
Kepatuhan penuh terhadap regulasi (misal: ISO 27001), sistem yang aman dari ransomware, tim yang terlatih.
"Gap" (Kesenjangan) adalah jarak antara kedua titik tersebut. Tugas cybersecurity professional adalah mengidentifikasi gap ini dan membangun jembatan untuk menutupnya.
Menentukan Baseline (Standar Acuan)
Analisis tidak bisa dilakukan tanpa pembanding. Kita membutuhkan Baseline atau target standar. Tanpa baseline, kita tidak tahu seberapa "buruk" atau "baik" kondisi saat ini.
Contoh Framework sebagai Baseline
NIST SP 800-171
Standar Amerika Serikat untuk melindungi Controlled Unclassified Information (CUI) pada sistem non-federal. Sangat umum digunakan oleh kontraktor pemerintah.
ISO/IEC 27001
Standar internasional untuk Manajemen Keamanan Informasi (ISMS). Menetapkan persyaratan dokumen, manajemen risiko, dan kontrol teknis yang ketat.
Evaluasi People & Processes
Gap analysis bukan hanya tentang teknologi (firewall, antivirus). Kesenjangan terbesar seringkali ada pada faktor manusia dan proses.
People (Manusia)
- Apakah staf memiliki skill yang cukup?
- Kapan terakhir kali mereka mengikuti Security Awareness Training?
- Apakah mereka paham bahaya phishing?
- Apakah jumlah staf IT Security memadai?
Processes (Proses)
- Apakah ada kebijakan (policy) tertulis?
- Apakah praktik lapangan sesuai dengan dokumen?
- Apakah ada prosedur onboarding/offboarding karyawan?
- Apakah prosedur Incident Response sudah diuji?
Metodologi Analisis Detail (Drill-down)
Strategi Drill-down
Keamanan siber itu kompleks. Jangan menganalisis "Keamanan" sebagai satu blok besar. Gunakan teknik Drill-down: pecah kategori besar menjadi sub-komponen kecil yang bisa diperiksa.
| Level 1: Kategori Besar | Level 2: Sub-Kategori | Level 3: Pertanyaan Pemeriksaan (Audit) |
|---|---|---|
| Access Control | User Registration | Apakah setiap user memiliki ID unik? Apa prosedur pembuatan user baru? |
| Privilege Management | Apakah prinsip Least Privilege diterapkan? Siapa yang punya akses admin? | |
| Access Review | Apakah hak akses direview setiap 6 bulan? Apakah akun dormant dihapus? | |
| Network Security | Firewall Rules | Apakah rule "Deny All" aktif? Kapan audit firewall terakhir? |
| Wi-Fi Security | Apakah menggunakan WPA3? Apakah jaringan tamu terisolasi (VLAN)? |
Laporan & Tindak Lanjut
Hasil akhir dari Gap Analysis bukanlah sekadar daftar masalah, melainkan sebuah Pathway to Improvement (Jalur Perbaikan). Laporan harus menyajikan solusi konkret, estimasi biaya, dan prioritas eksekusi.
Matriks Prioritas (Visualisasi Warna)
CRITICAL (Merah)
Wajib SegeraGap sangat besar. Risiko tinggi. Menyebabkan ketidakpatuhan fatal (non-compliance) atau kerentanan aktif.
MODERATE (Kuning)
Perlu PerbaikanGap ada sebagian. Risiko menengah. Kontrol ada tapi tidak konsisten atau belum diuji.
COMPLIANT (Hijau)
Aman/EfektifMemenuhi baseline atau standar yang diinginkan. Hanya perlu maintenance rutin.
📋 Checklist Isi Laporan:
- Executive Summary: Ringkasan untuk manajemen (non-teknis).
- Temuan Detail: Deskripsi teknis setiap gap yang ditemukan.
- Rekomendasi Solusi: Apa hardware/software/training yang dibutuhkan?
- Estimasi Sumber Daya: Budget biaya dan waktu implementasi.
- Roadmap: Jadwal perbaikan berdasarkan prioritas (Merah duluan, lalu Kuning).
Flashcard Review: Gap Analysis
Tips: Ucapkan jawaban dengan lantang sebelum membalik kartu.
Keyboard: ← Sebelumnya | → Selanjutnya | Space/Enter Balik