IDENTIFY
80%
Organisasi belum memiliki inventaris aset informasi yang terpusat dan terklasifikasi (Data Classification). Ditemukan praktik 'Shadow IT' di mana departemen Marketing menggunakan aplikasi cloud yang tidak terdaftar oleh tim IT. Selain itu, penilaian risiko (Risk Assessment) baru dilakukan sebatas pada infrastruktur server, belum mencakup risiko pada proses bisnis dan data pihak ketiga
PROTECT
60%
Kontrol akses pada sistem kritikal masih menggunakan otentikasi faktor tunggal (password), belum menerapkan MFA (Multi-Factor Authentication), meningkatkan risiko pengambilalihan akun. Enkripsi data saat istirahat (At-Rest) sudah diterapkan pada database utama, namun data pada laptop karyawan masih tidak terenkripsi (BitLocker tidak aktif). Pelatihan kesadaran keamanan baru dilakukan sekali setahun dan belum mencakup simulasi phishing
DETECT
70%
Kemampuan deteksi insiden masih sangat reaktif. Log aktivitas server tersedia namun tidak dimonitor secara real-time (tidak ada SIEM), sehingga anomali serangan baru diketahui setelah ada keluhan pengguna. Tidak ditemukan adanya sistem pendeteksi intrusi (IDS/IPS) pada jaringan internal, yang membuat pergerakan lateral malware (seperti Ransomware) sulit dideteksi sejak dini.
RESPOND
60%
Prosedur Tanggap Insiden (Incident Response Plan) sudah tersedia dalam bentuk dokumen, namun belum pernah diuji coba (Tabletop Exercise) dalam 12 bulan terakhir. Tim respon insiden belum memiliki daftar kontak darurat pihak eksternal (Forensik/Lawyer) yang valid. Saat ini, proses eskalasi insiden masih bergantung pada komunikasi informal via WhatsApp, bukan melalui sistem tiket yang terstruktur
RECOVER
50%
Strategi pemulihan bencana (DRP) belum selaras dengan kebutuhan bisnis; target RTO (Recovery Time Objective) belum didefinisikan secara jelas untuk setiap aplikasi. Backup data dilakukan rutin, namun belum menerapkan prinsip 'Immutable Backup' (WORM), sehingga file backup masih berisiko ikut terenkripsi jika terjadi serangan Ransomware. Uji coba restore data terakhir gagal memenuhi target waktu pemulihan
EXECUTIVE SUMMARY
★ Top Priority
"Proses kepatuhan terhadap kerangka kerja NIST Cybersecurity Framework (CSF) yang telah dilakukan menunjukkan bahwa organisasi telah mencapai tingkat kematangan keamanan yang cukup stabil pada sebagian besar fungsi inti, terutama Identify dan Protect, melalui pemetaan aset yang lebih terstruktur serta penerapan kontrol akses berbasis peran. Namun, evaluasi lebih lanjut mengungkapkan bahwa kemampuan Detect dan Respond masih memerlukan peningkatan, khususnya dalam hal pemantauan ancaman real-time dan prosedur respons insiden yang belum sepenuhnya terdokumentasi. "