Halaman 1

Model kematangan keamanan cyber berbasis kerentanan

untuk mengukur infrastruktur kritis nasional
kesiapsiagaan perlindungan
Bilge Karabacakn, Sevgi Ozkan Yildirim, Nazife Baykal


Graduate School of Informatics, Middle East Technical University, Universiteler Mahallesi, Dumlupinar
Bulvari No. 1, 06800 Cankaya, Ankara, Turkey

abstrak

Infrastruktur kritis adalah aset vital untuk keamanan publik, kesejahteraan ekonomi dan
keamanan nasional negara-negara. Sistem cyber digunakan secara luas untuk memantau dan
mengendalikan infrastruktur kritis. Sejumlah infrastruktur terhubung ke internet melalui
jaringan perusahaan. Keamanan cyber, oleh karena itu, merupakan item penting dari agenda
keamanan nasional sebuah negara. Minat yang kuat terhadap keamanan cyber telah memulai
penelitian yang berfokus pada penilaian kedaluwarsa keamanan cyber nasional. Namun,
sedikit, jika ada, penelitian ditujukan untuk penilaian kematangan upaya perlindungan
infrastruktur kritis nasional. Sebagai gantinya, sebagian besar penelitian hanya meneliti
berbagai praktik keamanan tingkat nasional yang beragam mulai dari respons kejahatan cyber
hingga perlindungan privasi.

Makalah ini mengusulkan model kedewasaan untuk mengukur tingkat kesiapan upaya
perlindungan infrastruktur kritis nasional. Pengembangan model melibatkan dua langkah.
Langkah pertama menganalisis data yang berkaitan dengan proyek keamanan maya nasional
dengan menggunakan teori grounded untuk mengekstrak akar penyebab kerentanan
infrastruktur kritis terhadap ancaman cyber. Langkah kedua menentukan kriteria jatuh tempo
dengan memperkenalkan akar permasalahan kepada pakar materi pelajaran yang disurvei
dalam survei Delphi. Model maturitas berbasis survei yang dihasilkan diterapkan untuk
menilai upaya perlindungan infrastruktur penting di Turki. Hasilnya realistis dan intuitif
menarik, menunjukkan bahwa model kematangan berguna untuk mengevaluasi kesiapan
perlindungan infrastruktur kritis nasional dari negara-negara berkembang seperti Turki. [3,4].

Halaman 2
Sistem Cyber, terutama sistem SCADA dan sistem kontrol terdistribusi, banyak digunakan
untuk memantau dan mengendalikan infrastruktur kritis. Sistem kontrol industri ini
digunakan di jaringan listrik, jaringan pipa minyak dan gas, dan sistem pasokan air dan
transportasi. Beberapa sektor infrastruktur penting seperti keuangan dan telekomunikasi
sangat bergantung pada, atau terdiri dari, sistem cyber konvensional. Karena model layanan
baru seperti komputasi awan, infrastruktur jaringan dan internet dapat dianggap sebagai
komponen infrastruktur penting suatu negara. Serangan 2007 terhadap jaringan di Estonia
menunjukkan seberapa besar kesejahteraan sosial dan ekonomi suatu negara bergantung pada
infrastruktur Internetnya.

Meskipun strukturnya terdistribusi secara fisik, Internet secara logis adalah media tunggal.
Internet membawa orang, organisasi, dan bangsa yang didistribusikan secara fisik. Media
dibagi dengan berbagai jenis penyerang cyber dengan motivasi yang berbeda; Penyerang
mulai dari penjahat cyber hingga entitas yang disponsori negara. Sejumlah infrastruktur
penting terhubung ke Internet melalui jaringan perusahaan [5]. Hal ini menyebabkan
sejumlah serangan cyber yang tercatat terhadap infrastruktur penting seperti pembangkit
nuklir, jaringan listrik, sistem kontrol penerbangan dan pelabuhan [6,7].

Sebagai hasil dari meningkatnya ancaman dan serangan yang sebenarnya, ketahanan cyber
terhadap infrastruktur kritis telah menjadi persyaratan penting keamanan nasional. Model
kedewasaan yang mengukur kemampuan perlindungan infrastruktur kritis nasional dapat
memandu sebuah negara dalam menerapkan dan menyempurnakan upaya ketahanan
cybernya. Namun, dalam literatur penelitian saat ini, tidak ada penelitian yang secara khusus
berfokus pada model kedewasaan untuk upaya perlindungan infrastruktur penting nasional.
Beberapa model kematangan keamanan maya tingkat negara telah diajukan, namun informasi
tentang model dan hasilnya terbatas. Penelitian lain telah dilakukan oleh organisasi regional
dan internasional. Namun, studi ini berfokus pada penilaian dan peringkat negara sesuai
dengan praktik terbaik keamanan cyber tingkat nasional mereka.

Makalah ini membahas kesenjangan dalam literatur penelitian dengan mengajukan sebuah
model untuk mengukur kematangan upaya perlindungan infrastruktur penting suatu negara.
Kriteria kematangan ditentukan dengan menggunakan survei Delphi terhadap pakar subjek.
Informasi yang diberikan kepada para ahli sebelum melakukan survei didasarkan pada data
proyek nasional untuk Turki. Fitur unik dari model kematangan yang diusulkan adalah
sumber kriterianya. Tidak seperti studi lainnya, kriteria jatuh tempo tidak didasarkan pada
praktik keamanan cyber terbaik di suatu negara, namun pada postur cyber sebenarnya negara
tersebut berasal dari pendapat ahli. Fitur lain yang penting dari model kematangan berbasis
survei adalah keterlibatan legislator pemerintah daerah (tidak resmi); Studi lain yang menilai
upaya nasional umumnya melibatkan pakar keamanan, bukan pejabat pemerintah.

Akhirnya, model kematangan yang diusulkan melibatkan formula kematangan sederhana

yang mencakup kriteria jatuh tempo dan bobotnya, dan penilaian peserta terhadap tingkat
kematangan negara yang diminati berkenaan dengan kriteria.

Halaman 3
2. Tinjauan literatur
Bagian ini merangkum dan membandingkan enam studi yang terkait dengan penilaian
kematangan keamanan cyber nasional. Keamanan cyber adalah fokus utama dari empat dari
enam penelitian. Dua studi lainnya menganggap keamanan maya sebagai parameter kekuatan
cyber nasional. Dua penelitian dilakukan oleh entitas akademik, sedangkan empat penelitian
dilakukan oleh organisasi regional atau internasional, atau pemerintah.

Model Kematangan Cyber Cyber Community (CCSMM) [8], yang dikembangkan dalam
sebuah studi akademis yang didanai pemerintah, menilai program keamanan cyber holistik
pada lima tingkat kematangan dan memberikan panduan untuk terus maju ke tingkat
kematangan yang lebih tinggi. Model tersebut memeriksa adanya berbagai praktik terbaik
keamanan cyber untuk menentukan tingkat kematangan; Namun, ini tidak memberikan daftar
tindakan penanggulangan yang rinci dan ditentukan sebelumnya sesuai dengan tingkat
kematangan masing-masing. Selain itu, tingkat atas model kematangan tidak sepenuhnya
dikembangkan karena tidak ada entitas yang memiliki tingkat kedewasaan ini [8]. Model ini
dapat disesuaikan dengan kebutuhan target yang berbeda - organisasi, komunitas, bangsa dan
bahkan individu. Penanggulangan dapat bervariasi sesuai dengan tingkat kematangan dan
juga jenis sasarannya. Model ini telah diterapkan pada sebelas komunitas di lima negara
bagian A.S. Namun, rincian penelitian tidak dibagi. Selain itu, saat ini belum ada penerapan
model tingkat nasional.

Model Kematangan Keamanan Cyber Nasional (NCSecMM) [9] memberikan panduan ke

wilayah atau negara untuk mengukur status keamanannya saat ini. Model Kematangan
Keamanan Cyber Nasional bersifat holistik seperti Model Kematangan Keamanan Komunitas
Cyber [8]. Ini mencakup kerangka kerja aplikasi, matriks peran dan tanggung jawab,
pedoman pelaksanaan dan model kematangan. Ini pada dasarnya adalah adaptasi dari
beberapa standar ISO 27000 dan kerangka kerja penanggulangan CoBIT terhadap konteks
nasional. Kerangka Model Kematangan Cyber Security Nasional mencakup 34 proses
keamanan maya dalam lima kelompok. Tingkat kematangan setiap proses diukur secara
individual sesuai dengan model kematangan lima tingkat yang diadaptasi dari kerangka
CoBIT. Namun, Model Kematangan Keamanan Cyber Nasional belum diterapkan pada
konteks nasional.

The Cyber Readiness Index diajukan oleh Melissa Hathaway [10], mantan Senior Director
Senior Cyberspace di Dewan Keamanan Nasional A.S. Upaya keamanan cyber dari 35
negara telah dinilai sesuai dengan praktik terbaik yang ditentukan oleh Hathaway dengan
menggunakan data yang tersedia untuk publik dari situs web pemerintah. Tingkat
kematangan negara-negara tidak terwakili secara kualitatif atau kuantitatif dan studi tersebut
menyimpulkan bahwa "tidak ada negara yang siap maya" [10]. Hathaway menjelaskan bahwa
tujuan penelitian ini adalah "untuk memicu diskusi internasional dan mengilhami minat
global untuk menambahkan erosi ekonomi dari kerawanan cyber yang menghambat
pertumbuhan ekonomi yang lebih kuat."

Indeks Cybersecurity Global [11], yang dikembangkan untuk Internasional

Telecommunication Union (ITU), telah digunakan untuk menilai tingkat kematangan
keamanan cyber dari 104 negara.
Tingkat kematangan suatu negara ditentukan berdasarkan 17 kriteria di lima domain yang
berasal dari Agenda Cybersecurity Global Tele- Communication Union Internasional [12].
Evaluasi dilakukan dengan menggunakan data yang diambil dari database Internal
Telecommunication International Union dan sumber daya yang tersedia untuk umum di 90
negara; Hanya 14 negara yang menyediakan data khusus untuk penelitian ini. Tingkat
kematangan suatu negara dinyatakan sebagai nilai normal antara nol dan satu. Menurut
International Telecommunication Union [11], indeks memiliki tingkat granularitas rendah
karena berusaha untuk mengungkapkan kesiapan keamanan cyber suatu negara dan bukan
kerentanan terperincinya. Ke 104 negara tersebut berada di peringkat tertinggi dari tingkat
kematangan terendah. Ada total 29 tingkat kematangan yang berbeda, yang berarti bahwa
beberapa negara memiliki tingkat kematangan yang sama.

Australian Strategic Policy Institute [13] telah melakukan analisis kedewasaan cyber terhadap
14 negara di kawasan Asia Pasifik bersama dengan Inggris dan Amerika Serikat. Studi ini
tidak hanya berfokus pada keamanan cyber; Sebaliknya, keamanan cyber dianggap sebagai
dimensi kematangan cyber umum suatu negara. Kriteria evaluasi dan bobot relatif mereka
ditentukan dengan bantuan tenaga ahli dari pemerintah, sektor swasta dan akademisi. Negara-
negara tersebut dinilai dan dinilai berdasarkan data yang tersedia untuk umum. Hasil
penilaian jatuh tempo disajikan sebagai persentase dan negara-negara tersebut mendapat
peringkat dari nilai persentase tertinggi sampai terendah.
49

Halaman 4
Cyber Power Index diciptakan oleh Booz Allen Hamilton [14] untuk menilai kekuatan cyber
19 negara G-20, tidak termasuk Uni Eropa. Keamanan cyber bukanlah fokus utama penelitian
ini, namun, ini merupakan dimensi kekuatan cyber sebuah negara. Bobot kriteria dan pilihan
jawaban ditentukan oleh panel ahli. Sumber utama data untuk evaluasi tersebut adalah
International Telecommunication Union, UNESCO, Bank Dunia dan The Economist
Intelligence Unit.

Tabel 1 merangkum enam model yang dibahas dalam literatur beserta atributnya. Model
Kematangan Cyber Cyber Komunitas dan Model Kematangan Keamanan Cyber Nasional
adalah model penilaian kematangan keamanan maya tingkat negara. Empat dari model
tersebut digunakan untuk mencetak dan mengurutkan negara menurut tingkat
kematangannya. The Cyber Readiness Index dan Global Cybersecurity Index memberikan
nilai tingkat negara yang berfokus pada keamanan cyber.

Keenam model menghasilkan evaluasi jatuh tempo dengan melakukan dua langkah berikut
secara berurutan:
1. Satu set kriteria ditentukan berdasarkan praktik terbaik dan / atau sumber informasi yang
tersedia untuk umum.
2. Suatu negara dievaluasi menggunakan data yang tersedia untuk umum dan (terkadang)
menggunakan kuesioner.

Idealnya, kriteria model jatuh tempo harus didasarkan pada data dan kerentanan negara yang
sebenarnya. Setelah membuat model kematangan, pengukuran dapat dilakukan oleh pejabat
pemerintah terkait. Penyesuaian ini berfungsi untuk meningkatkan akurasi model
kematangan. Model yang dihasilkan lebih banyak ke negara untuk mengevaluasi postur
keamanan cybernya saat ini dan persyaratan studi prospektif.
Penyesuaian ini dilakukan untuk model kedewasaan yang dijelaskan dalam makalah ini.
Alih-alih hanya menilai postur keamanan cyber nasional secara umum, model kematangan
yang dihasilkan secara khusus mengevaluasi upaya perlindungan infrastruktur penting suatu
negara. Ini sangat berharga karena perlindungan infrastruktur penting adalah item agenda
umum dan paling vital dalam strategi keamanan cyber nasional di seluruh dunia.
50

Halaman 5
3. Motivasi, data penelitian dan metodologi
Konstruksi dasar dari model jatuh tempo adalah kriteria jatuh tempo. Jika kriteria ditentukan
dengan menganalisis postur keamanan yang sebenarnya dari sebuah negara, maka situasi dan
kemajuan saat ini dapat diamati dengan lebih andal menggunakan model kematangan.

Penulis pertama dari makalah ini adalah manajer sebuah proyek yang disponsori negara yang
berfokus pada manajemen keamanan informasi di bidang infrastruktur kritis. Proyek ini
secara khusus menganalisis ketergantungan cyber aset infrastruktur penting Turki. Hasilnya
menunjukkan bahwa aset infrastruktur kritis rentan terhadap ancaman cyber karena adanya
kerentanan yang melekat yang berasal dari penggunaan sistem cyber.

Penulis makalah ini menganalisis data proyek untuk menemukan kemungkinan alasan
kerentanan infrastruktur penting Turki terhadap ancaman cyber. Analisis ini merupakan
langkah awal dalam mengembangkan model kematangan yang diusulkan. Langkah kedua
melibatkan penggunaan survei Delphi untuk menentukan kriteria berdasarkan akar penyebab
kerentanan infrastruktur penting Turki terhadap ancaman cyber.

Gambar 1 menunjukkan langkah-langkah yang terlibat dalam pengembangan model

kematangan. Akar penyebab kerentanan infrastruktur kritis terhadap ancaman cyber diambil
dari data proyek menggunakan teori ground. Teori grounded adalah metode analisis data
interpretatif, kualitatif dan induktif; Pada dasarnya, ini melibatkan penemuan teori melalui
analisis data [15].

Dalam penelitian ini, data kualitatif dikodekan secara ketat dan kodenya dikategorikan
selama fase pengkodean terbuka. Kategori dibandingkan untuk menemukan tema selama
tahap pengkodean aksial. Tema redundan, sepele dan tidak relevan dieliminasi untuk
mengekstrak teori selama fase pengkodean selektif.

Data proyek terdiri dari teks wawancara dan berbagai jenis dokumen resmi. Pengumpulan
data dan wawancara dilakukan sampai kejenuhan teoritis; Inilah titik di mana tidak ada data
baru yang muncul dan semua konsep dalam teori berkembang dengan baik.
Sembilan wawancara semi terstruktur dilakukan. Orang yang diwawancarai adalah manajer
tingkat menengah dan karyawan departemen pemrosesan informasi dari aset infrastruktur
kritis. Wawancara tersebut memberikan data fenomena yang mendalam dan mendalam dan
kaya dalam analisis.

Wawancara melibatkan pertanyaan terbuka tentang postur keamanan umum, ancaman,

potensi kerentanan, tindakan pencegahan dan kelemahan yang diterapkan oleh organisasi
yang diwawancarai dan sektor infrastruktur kritis. Pertanyaan diajukan sebagai penggagas
dan katalisator dari wawancara jangka panjang dan terus berkembang.
Sebanyak 309 dokumen yang terkait dengan 91 organisasi pemerintah atau swasta
dikumpulkan.

Sebagian besar organisasi berasal dari sektor energi, telekomunikasi, keuangan, transportasi,
pengelolaan air dan sektor publik. Dokumen-dokumen tersebut dikategorikan menjadi lima
kelompok:
Risalah rapat: Ini sesuai dengan catatan yang diambil oleh para peneliti selama proyek yang
disponsori negara.
Laporan evaluasi independen: Ini sesuai dengan hasil audit keamanan informasi dan analisis
aset infrastruktur penting yang dilakukan oleh pihak ketiga yang independen.
Teks peraturan: Ini sesuai dengan undang-undang dan undang-undang yang mengatur
infrastruktur penting yang dipertimbangkan dalam penelitian.
Laporan organisasi: Ini sesuai dengan dokumen yang disiapkan oleh organisasi, seperti
laporan kegiatan tahunan, rencana tahunan dan rencana strategis.
Berita dan laporan media: Ini sesuai dengan kutipan media terkait dengan infrastruktur
penting yang dipertimbangkan dalam penelitian ini.

Kecuali untuk risalah rapat dan laporan evaluasi independen, semua dokumen yang
tercantum di atas, untuk sebagian besar, tersedia untuk umum.
Triangulasi menggunakan sumber data yang berbeda dilakukan untuk melakukan validasi
internal penelitian [16]. Risalah rapat, laporan evaluasi independen dan laporan berita dan
media dianggap bersifat eksternal bagi organisasi karena dibuat oleh pihak ketiga. Di sisi
lain, teks peraturan dan laporan organisasi disusun oleh organisasi dan karena itu dianggap
dokumen internal.

Analisis data melibatkan tiga jenis pengkodean data, yang diulang dalam empat iterasi. Iterasi
keempat adalah titik di mana kejenuhan teoritis terjadi; Pada titik ini, data yang
diperkenalkan tidak mengubah teori yang ditemukan [17]. Karena grounded theory adalah
proses penemuan teori daripada pengujian hipotesis, sampling teoritis dilakukan antara iterasi
dan bukan sampling statistik [18].

Para peneliti membentuk kembali pertanyaan antar jenis, jenis sektor dan organisasi dan jenis
dokumen berdasarkan sampling teoritis. Hasil iterasi sebelumnya disajikan dalam wawancara
semi-terstruktur para peserta selama iterasi berikutnya untuk mendapatkan reaksi mereka,
seperti penerimaan, penolakan dan komentar [19].

51

Halaman 6
Teori yang diekstraksi
Akar penyebab kerentanan infrastruktur kritis terhadap ancaman cyber diekstraksi setelah
empat iterasi analisis data. Sebanyak sepuluh akar penyebab diidentifikasi:
1. Cybersecurity infrastruktur kritis tidak dirasakan oleh otoritas keamanan nasional sebagai
komponen vital keamanan nasional.
2. Budaya berbagi informasi, kolaborasi dan kerjasama di dalam dan antar sektor
infrastruktur kritis sangat terbatas.
3. Sektor swasta tidak dirasakan oleh pemerintah dan aset infrastruktur pemerintahan yang
penting sebagai pemangku kepentingan yang penting dalam upaya keamanan dunia maya.
4. Undang-undang pegawai negeri dan pengadaan publik memiliki dampak buruk terhadap
keamanan cyber aset infrastruktur kritis pemerintah.
5. Jumlah pakar cybersecurity yang berkualitas terbatas.
6. Praktik manajemen hubungan dengan penyedia produk / jasa tidak memadai dalam aset
infrastruktur kritis pemerintah.
7. Mekanisme audit teknologi informasi sangat terbatas atau tidak diimplementasikan dalam
aset infrastruktur pemerintahan yang kritis.
8. Manajer aset infrastruktur kritis pemerintah tidak menganggap keamanan informasi
sebagai area tanggung jawab.
9. Proses manajemen risiko formal dan formal tidak dilakukan untuk aset infrastruktur kritis
pemerintah.
10. Keamanan dianggap oleh aset infrastruktur kritis pemerintah untuk menjadi add-on,
bukan disain konstruksi.

Kesepuluh akar penyebabnya diverifikasi oleh dua cybersecurity ahli. Kedua ahli tersebut
telah menerima gelar master dan memiliki pengalaman profesional selama lebih dari sepuluh
tahun di dunia maya. Pakar 1 adalah penyelenggara utama latihan cybersecurity nasional
Turki; dia juga berperan dalam membangun Tim Tanggap Insiden Keamanan Komputer
Nasional Turki (CSIRT) dan mengelola CSIRT selama enam tahun. Ahli 2 mengerjakan
proyek analisis risiko yang melibatkan organisasi pemerintah dan aset infrastruktur kritis; dia
berpartisipasi dalam studi tingkat nasional yang terkait dengan adaptasi standar internasional
terhadap konteks Turki. Kedua ahli tersebut menyetujui daftar akhir akar penyebab dengan
sedikit perubahan pada kata-kata beberapa akar penyebabnya untuk mencegah
kesalahpahaman.

Literatur yang menganalisis postur cybersecurity di Turki cukup terbatas. Studi akademis dan
laporan pemerintah ditinjau untuk menemukan hasil analisis yang akan mengkonfirmasi atau
menolak akar permasalahan. Paragraf berikut membandingkan temuan penelitian dengan
literatur yang ada:

Akar penyebab 1: Beberapa artikel dalam literatur mengkonfirmasi akar penyebab pertama.
Tidak seperti negara maju, di mana organisasi dengan tanggung jawab keamanan nasional
memainkan peran sentral dalam pertahanan maya, badan koordinasi keamanan cyber Turki
tidak memiliki tanggung jawab keamanan nasional [20]. Situs CSIRT Nasional Turki tidak
menampilkan rekomendasi keamanan atau buletin khusus untuk infrastruktur kritis [21].
Menurut Action Item # 8 dari Rencana Aksi Keamanan Cyber Nasional, latihan keamanan
cyber internasional harus diselenggarakan pada akhir Mei 2014 [22]; Namun, tidak ada
latihan yang pernah dilakukan. Selain itu, Rencana Aksi Keamanan Cyber Nasional dibuat
untuk periode 2013 sampai 2014; sekarang sudah usang karena belum ada rencana tindakan
baru. Dewan Keamanan Cyber Turki didirikan pada akhir tahun 2012 oleh Keputusan
Kabinet [23]. Pada pertemuan Dewan Keamanan Cyber bulan Juni 2013, daftar infrastruktur
penting Turki telah diperbarui. Keputusan ini ada dalam catatan pertemuan, namun bukan
merupakan bagian dari peraturan [24]. Padahal, Cyber Security Council belum bertemu
selama 15 bulan terakhir.

Akar penyebab 2: Saat ini, tidak ada CSIRT tingkat sektor atau CSIRT yang spesifik untuk
sistem kontrol industri seperti ICS-CERT di Amerika Serikat, meskipun hal ini didesak
dalam Item Aksi # 4 dari Cyber Nasional yang sekarang sudah usang Rencana Aksi
Keamanan. CSIRT penting karena mereka berbagi informasi dengan CSIRT, penyedia
layanan, lembaga penegak hukum dan entitas penting lainnya [25]. Operasi CSIRT yang
sukses bergantung pada kegiatan kolaboratif dan kooperatif. Kurangnya organisasi khusus
keamanan seperti CSIRTs adalah alasan utama kurangnya berbagi informasi, kolaborasi dan
kerjasama di Turki. Menurut sebuah studi e-government Organisasi Kerjasama Ekonomi dan
Pembangunan (OECD) [26], hanya 10-25% responden dari badan pemerintah pusat dan kota
yang bekerja sama dengan organisasi sektor publik lainnya. Menurut laporan yang sama,
hampir 50% responden menekankan bahwa kompleksitas peraturan mencegah kolaborasi.
Sementara itu, infrastruktur legislatif belum berubah sejak 2007. Menurut Senturk dkk. [23],
sangat penting bahwa aset infrastruktur penting milik pemerintah dan swasta berkorelasi pada
upaya perlindungan infrastruktur yang penting, namun sayangnya tidak ada model kemitraan
publik-swasta yang saat ini aktif di Turki.

Akar penyebab 3: Kontribusi sektor swasta terhadap upaya keamanan cyber nasional minimal
[20]. Misalnya, Dewan Keamanan Cyber Turki tidak memiliki anggota yang mewakili sektor
swasta sebagaimana tercantum dalam Keputusan Kabinet [27] dan amandemen Undang-
Undang Komunikasi Elektronik [28]. Strategi dan rencana aksi keamanan maya nasional
disiapkan oleh sebuah lembaga penelitian pemerintah. Dokumen draft hanya dibagikan
dengan organisasi publik terkait seperti yang dicatat di situs lembaga penelitian pemerintah
yang menyiapkan strategi tersebut [29]. Hanya enam dari 40 peserta dalam latihan keamanan
cyber nasional yang diselenggarakan pada tahun 2011 adalah organisasi swasta [30]. Di
antara 30 negara OECD, Turki berada di posisi # 26 dalam hal pengeluaran domestik bruto
untuk penelitian dan pengembangan pada tahun 2013 [31]; Statistik ini merupakan indikator
terbatasnya daya sektor swasta di Turki.

Akar penyebab 4: Semua orang yang diwawancarai dari aset infrastruktur kritis pemerintah
menekankan dampak buruk Hukum Pegawai Negeri Sipil terhadap kualitas karyawan. Semua
organisasi pemerintah yang diwawancarai menyatakan bahwa ada tiga masalah utama dalam
UU Pegawai Negeri Sipil. Pertama, memberikan jaminan kerja sesuai dengan Pasal 125 [32].
Kedua, tidak memerlukan evaluasi kinerja teknis. Ketiga, Pasal 43 tidak mengizinkan gaji
yang lebih tinggi dibayarkan kepada pegawai yang luar biasa, sehingga terjadi gesekan yang
tinggi.
Tiga orang yang diwawancarai menyebutkan dampak buruk undang-undang pengadaan
publik mengenai perlindungan infrastruktur kritis. Secara khusus, aset infrastruktur kritis
pemerintah seringkali tidak dapat membeli perangkat keras dan perangkat lunak yang
dibutuhkan karena kondisi yang diberlakukan oleh undang-undang pengadaan publik.
Misalnya, undang-undang pengadaan publik mendesak pengajuan tender di hampir semua
kasus.

Akar penyebab 5: Kementerian Pembangunan Turki baru-baru ini menerbitkan sebuah

laporan yang menganalisis masalah yang terkait dengan masyarakat informasi negara [33].
Laporan tersebut menyatakan bahwa sumber daya manusia yang tersedia tidak memenuhi
persyaratan pengusaha di sektor teknologi informasi. Selain itu, dalam survei asosiasi
pengusaha, 58% peserta menyatakan bahwa defisit angkatan kerja yang memenuhi syarat
merupakan masalah yang paling penting yang dihadapi sektor ini [33]. Pada tahun 2014,
seorang pejabat pemerintah yang berwenang mengklaim bahwa tidak ada program doktor
keamanan cyber di sebuah universitas di Turki dan hanya enam dari 196 universitas di Turki
memiliki program master dalam disiplin tersebut [34]

Akar penyebab 6: Dewan Pengawas Negara, yang bekerja di bawah wewenang Kepresidenan
Turki, memeriksa postur keamanan dari enam aset infrastruktur penting pemerintah pada
tahun 2013. Menurut laporan audit rahasia, pemilik sistem informasi pada aset sebagian besar
entitas swasta yang diberi izin untuk memantau dan mengendalikan sistem kritis [35].
Laporan yang sama menunjukkan masalah dengan prosedur otorisasi personil penyedia
layanan, prosedur pembersihan keamanan, proses manajemen akses dan kesepakatan yang
tidak meyakinkan. Singkatnya, aset infrastruktur penting tidak sesuai dengan prinsip
keamanan cyber saat mendapatkan layanan dan produk dari pihak ketiga. Menurut studi lain,
yang mengevaluasi hasil delapan proyek manajemen keamanan informasi di organisasi
pemerintah, manajer di organisasi pemerintah dan kepala departemen teknologi informasi
mungkin sangat percaya bahwa "manajemen keamanan informasi dapat dan harus dicapai
oleh perusahaan konsultan. "[36].
Akar penyebab 7: Laporan oleh Dewan Pengawas Negara [34] menekankan kurangnya
prosedur dan proses audit internal; Secara khusus, beberapa aset infrastruktur penting bahkan
tidak memiliki unit audit internal. Sebuah laporan tentang latihan keamanan cyber nasional
Turki [30] menunjukkan masalah audit yang melekat dalam organisasi peserta. Empat belas
aset infrastruktur penting dari sektor telekomunikasi, keuangan dan sektor publik yang
berpartisipasi dalam latihan keamanan cyber nasional.
Akar penyebab 8: Menurut sebuah evaluasi terhadap hasil proyek manajemen keamanan
informasi di delapan organisasi pemerintah yang kritis, manajer tingkat atas tidak melihat diri
mereka bertanggung jawab atas keamanan informasi [36];
Lima dari delapan organisasi yang dianalisis adalah aset infrastruktur kritis. Informasi
keamanan perusahaan diwakili oleh kepala departemen teknologi informasi oleh para
manajer tingkat atas. Dalam kasus lain, prinsip keamanan informasi standar dilanggar [37].
Oleh karena itu, prinsip tata kelola keamanan informasi tidak diikuti oleh aset infrastruktur
kritis, yang berarti keamanan informasi tidak dipandang sebagai bagian dari tata kelola
perusahaan dan strategi bisnis [38,39].
Akar penyebab 9: Kurangnya sistem manajemen keamanan informasi adalah penemuan
pertama latihan keamanan cyber nasional [30]. Menurut laporan latihan, organisasi tidak
melakukan analisis risiko, yang merupakan bagian penting dan titik awal upaya manajemen
risiko [40].
Akar penyebab 10: Menurut laporan latihan keamanan maya nasional [30], beberapa peserta
latihan tidak menganggap keamanan sebagai prinsip desain utama selama perancangan
sistem. Masalah yang sama dicatat dalam laporan audit Dewan Pengawas Negara [34], yang
merekomendasikan pertimbangan persyaratan keamanan selama tahap perancangan.

52

Halaman 7
Tabel 2 - Kriteria Maturity ditentukan oleh survei Delphi.
Akar penyebab kerentanan terhadap ancaman cyber Kriteria Maturity Berat rata-rata
kriteria jatuh tempo
Keamanan cyber infrastruktur kritis tidak dirasakan
oleh otoritas keamanan nasional sebagai komponen vital
keamanan nasional
1. Program proteksi infrastruktur yang kritis (CIPP) itu
mempertimbangkan ancaman cyber ada
2,50
2. CIPP dikelola oleh sebuah organisasi pemerintah
yang memiliki tanggung jawab keamanan nasional dan
berkomunikasi dengan badan keamanan nasional
2,50
3. Konsultan yang menyediakan teknis, peraturan dan
saran keamanan cyber diplomatik kepada kepala negara
ada
1,67
4. Anggaran dialokasikan untuk perlindungan infrastruktur kritis
upaya
2,50
5. Instansi pemerintah menetapkan peraturan keamanan maya dan
periksa aplikasinya di setiap sektor infrastruktur kritis
1,83
6. CSIRT didedikasikan untuk perlindungan kritis
infrastruktur ada
2.00
7. Strategi keamanan cyber nasional yang mempertimbangkan
keamanan cyber infrastruktur kritis adalah bagian dari
strategi keamanan nasional
2.17
8. Analisis risiko dan aktivitas manajemen risiko nasional
yang mencakup semua sektor penting dan analisis risiko di seluruh sektor
dan kegiatan pengelolaan risiko dilakukan
2,50
Budaya berbagi informasi, kolaborasi dan
kerjasama di dalam dan di antara infrastruktur penting
sektor sangat terbatas
9. Program kemitraan publik-swasta telah dilakukan
dikembangkan dan didukung oleh pemerintah
2.33
10. Peraturan yang mengatur intra dan antar sektor
berbagi informasi dan prinsip kerjasama ada
2.00
11. CSIRT berbasis sektor dengan berbagi informasi
tanggung jawab yang ditentukan dalam peraturan ada
1,50
12. CSIRT nasional yang diakui secara internasional itu
bekerja sama dengan CSIRT nasional lainnya ada
2.00
13. Infrastruktur teknis yang mendukung intra dan inter-
kebutuhan berbagi informasi sektor (misalnya, informasi online
berbagi portal, dashboard statistik, pengumpulan data
pusat) ada
1,67
14. CSIRT nasional yang menangani peringatan insiden cyber
terkait dengan infrastruktur kritis yang ada dan berkoordinasi
dengan CSIRT sektoral dan infrastruktur penting yang relevan
aset bila diperlukan
1,83
Sektor swasta tidak dirasakan oleh pemerintah dan
aset infrastruktur penting pemerintah sebagai
stakeholder penting dalam upaya keamanan cyber nasional
15. kebijakan dan strategi pemerintah ada posisi itu
sektor swasta sebagai pemain kunci dalam keamanan cyber nasional
upaya
2,50
16. sektor swasta berpartisipasi dalam pengembangan
strategi keamanan cyber ofnational dan sektoral
2.00
17. kursi Tetap ada untuk sektor swasta di nasional
papan seperti dewan keamanan cyber
1,33
Kepemimpinan 18. Pemerintah dalam inovasi, penelitian dan
kegiatan pembangunan, dan identifikasi area prioritas
terkait dengan keamanan cyber
2.33
19. partisipasi sektor swasta yang luas di dunia maya nasional
latihan keamanan
1,50
hukum PNS dan pengadaan publik memiliki merugikan
efek pada keamanan cyber dari pemerintah kritis
aset infrastruktur
20. ulasan kritis dan update dari undang-undang yang mempengaruhi
infrastruktur penting (terutama terkait dengan kebutuhan
pemerintah aset infrastruktur penting) dilakukan
2,50
21. Perubahan peraturan eksis mengenai perekrutan
berkualitas pejabat pemerintah dan karyawan kontrak di
gaji yang lebih tinggi dengan infrastruktur penting pemerintah
aktiva
2,50
Jumlah ahli keamanan cyber yang berkualitas terbatas 22. National kapasitas rencana
pembangunan dan strategi ada
2,50
23. aset infrastruktur kritis memberikan preferensi
pemegang sertifikat yang diterima secara internasional di karyawan
upaya rekrutmen
1,67
24. jumlah yang memadai dari pelatihan keamanan cyber yang berkualitas
lembaga (swasta, akademis atau pemerintah) ada yang
mendukung dan melatih personil aset infrastruktur penting
1,83
2.33
jurnal internasional perlindungan infrastruktur penting 15 (2016) 47-59
53

Halaman 8

Tabel 2 ( lanjutan )
akar penyebab kerentanan terhadap ancaman cyber
Kriteria jatuh tempo Dith
Rata-rata berat
kriteria jatuh tempo
Dw th
i

25. Cyber keamanan dan teknologi informasi kurikulum

ada di semua tingkat pendidikan, dari sekolah dasar sampai
universitas
26. posisi khusus ada untuk ahli keamanan cyber di
aset infrastruktur kritis
1,67
praktek manajemen hubungan dengan produk /
penyedia layanan tidak memadai dalam pemerintah kritis
aset infrastruktur
27. Nasional dan pengadaan produk dan layanan sektoral
standar dan aturan yang ada untuk aset infrastruktur penting
2,67
28. Sistem Didirikan untuk sertifikasi kelayakan
perusahaan teknologi informasi yang memberikan layanan kepada
aset infrastruktur kritis
2.17
29. Standar Keamanan ada untuk teknologi informasi
produk yang digunakan dalam aset infrastruktur penting
1,83
mekanisme audit teknologi informasi sangat
terbatas atau tidak diterapkan di pemerintah kritis
aset infrastruktur
30. Nasional dan peraturan sektoral ada yang menegakkan
audit internal dan eksternal dari aset infrastruktur penting
2,67
31. audit keamanan cyber rutin dilakukan oleh
pihak berwenang dari berbagai infrastruktur penting
sektor
3.00
32. auditor teknologi informasi yang berpengalaman
dipekerjakan oleh unit audit internal kritis
aset infrastruktur
1,67
33. Sanksi yang dikenakan oleh otoritas pengawas di
aset infrastruktur penting untuk ketidaksesuaian
1,83
Manajer aset infrastruktur penting pemerintah
tidak menganggap keamanan informasi sebagai daerah
tanggung jawab
34. Peraturan ada yang membuat manajemen tingkat atas
aset infrastruktur penting yang bertanggung jawab untuk maya
keamanan
2.83
proses manajemen risiko metodis dan formal
tidak dilakukan di infrastruktur penting pemerintah
aktiva
35. Peraturan ada yang membutuhkan infrastruktur penting
aset untuk melakukan manajemen risiko keamanan cyber
proses
3.00
36. aset infrastruktur kritis mematuhi komprehensif
standar keamanan seperti ISO 27001
2.17
Keamanan dianggap oleh pemerintah kritis
aset infrastruktur menjadi add-on, tidak desain
membangun
37. Peraturan ada yang memaksakan keamanan minimum
penanggulangan aset infrastruktur penting
2,50
38. Peraturan ada yang mengatur sifat informasi
sistem dan penanggulangan keamanan di kritis
aset infrastruktur
2.33
39. dokumen bimbingan teknis Sektor-spesifik ada untuk
desain aman, set-up dan pengoperasian komputer
jaringan aset infrastruktur penting
1,50
40. Nasional dan standar sektoral ada yang tentukan
praktik keamanan terbaik untuk aset infrastruktur penting
1,83
jurnal internasional perlindungan infrastruktur penting 15 (2016) 47-59
54

Halaman 9
3.2. Ekstraksi kriteria menggunakan survei Delphi
Survei Delphi terhadap enam ahli dilakukan untuk menentukan kriteria jatuh tempo yang
terkait dengan akar penyebab dan nilai bobotnya. Dua pakar berasal dari sektor swasta dan
masing-masing memiliki pengalaman keamanan cyber sepuluh dan lima belas tahun. Dua
pakar berasal dari sebuah lembaga penelitian pemerintah dan masing-masing memiliki
pengalaman keamanan cyber lima dan empat belas tahun. Dua ahli berasal dari akademisi;
keduanya memiliki pengalaman selama lima belas tahun.

Survei Delphi dilakukan dengan mengirim email ke enam ahli secara terpisah untuk
memastikan anonimitas mereka [41]. Umpan balik opini terkontrol dipasok ke responden
antara fase [42]. Survei tersebut melibatkan lima iterasi. Konsensus signifikan di antara para
ahli dicapai setelah lima iterasi [43].
Survei Delphi mengidentifikasi 40 kriteria jatuh tempo. Tabel 2 menunjukkan kriteria jatuh
tempo untuk setiap akar penyebab; Bobot mereka tercantum di kolom ketiga. Bobot setiap
kriteria dihitung sebagai mean aritmetika dari nilai individu yang diberikan oleh keenam ahli
tersebut.

3.3. Model dan hasil jeda hasil untuk Turki

Model evaluasi aditif linier sederhana berikut digunakan untuk menghitung tingkat
kematangan upaya perlindungan infrastruktur penting dari suatu negara yang diminati
(sebagai persentase):
Tingkat Kematangan =

Dimana p adalah jumlah total peserta survei, m adalah jumlah kriteria atau prinsip
kematangan (m 1/4 40 dalam pekerjaan ini), Wi adalah kriteria bobot dari kriteria
kematangan i dan Ai adalah bobot pilihan jawaban yang dipilih untuk kriteria i.

Perhatikan bahwa pembilang mewakili persentase kematangan yang dievaluasi oleh peserta
survei tunggal. Tingkat kematangan akhir adalah mean aritmetik dari evaluasi semua peserta
survei.
Tingkat kematangan disajikan sebagai nilai persentase, yang lebih fleksibel dan bermakna
bagi pejabat pemerintah dibandingkan dengan nilai skala likert. Cyber Power Index [14] dan
Cyber Maturity di Asia-Pacific Region study [13] juga menggunakan nilai persentase untuk
mewakili tingkat kematangan. Kedua studi tersebut mengukur kematangan kemampuan cyber
berbagai negara dan dimaksudkan untuk digunakan oleh pembuat kebijakan.

Model kedewasaan yang diusulkan disebut Model Kematangan Keamanan Cyber Nasional
yang Rentan karena kriteria kematangan didasarkan pada akar penyebab yang diekstraksi.
Model ini juga dapat dikategorikan sebagai metode penilaian jatuh tempo berbasis survei.
Nilai numerik lainnya yang digunakan dalam evaluasi kematangan keamanan cyber level
nasional adalah nilai dari pilihan jawaban yang diberikan oleh peserta survei. Keberadaan
setiap kriteria (prinsip) diperiksa oleh masing-masing peserta survei sesuai dengan tiga
pilihan jawaban berdasarkan skala Likert yang ditunjukkan pada Tabel 3. Sejumlah negara
menerima poin nol tanpa tindakan atau tindakan yang sangat terbatas, satu poin untuk
tindakan parsial dan dua poin untuk tindakan komprehensif.
Tabel 3 juga digunakan untuk menghitung Indeks Cybersecurity Global [11]. Pendekatan
yang digunakan untuk menghitung Indeks Cybersecurity Global paling mirip dengan yang
digunakan oleh model kematangan yang diusulkan dalam hal isinya. Indeks Cybersecurity
Global adalah satu-satunya studi yang memberi nilai pada negara secara eksklusif sesuai
dengan upaya keamanan cyber mereka. Oleh karena itu, tabel evaluasi yang sama dipilih
untuk memudahkan perbandingan yang dapat diandalkan dari kedua pendekatan tersebut.

Sebelum melakukan survei jatuh tempo, 40 kriteria kematangan diubah menjadi pertanyaan
(Wi, i 1/4 1,40). Untuk setiap pertanyaan Wi, tiga pilihan jawaban Ai disajikan berdasarkan
pertanyaan berdasarkan Tabel 3.
Survei jatuh tempo dilakukan dengan sepuluh peserta (p 1/4 10), yang bekerja di organisasi
pemerintah atau mantan pejabat pemerintah. Mereka berpartisipasi dalam upaya keamanan
cyber nasional seperti persiapan dan review strategi nasional, latihan keamanan cyber
nasional dan persiapan undang-undang keamanan dunia tingkat nasional. Namun, hasil survei
tersebut tidak secara resmi mewakili tingkat kematangan Turki karena survei tersebut
dilakukan oleh peneliti, bukan oleh pemerintah.

Survei kedewasaan akan menghasilkan hasil yang paling akurat jika pertanyaan tersebut
dijawab oleh pejabat pemerintah terkait. Secara umum, survei jatuh tempo tingkat negara
dijawab oleh para ahli dan jawabannya didasarkan pada data yang tersedia untuk umum yang
berkaitan dengan negara-negara yang dievaluasi. Data yang tersedia secara umum mungkin
menyesatkan karena tingkat kesiapan dan maksud pemerintah sebenarnya hanya dapat
diketahui oleh pejabat pemerintah yang sesuai.

Halaman 10
Tabel 4 menunjukkan hasil survei jatuh tempo bersama dengan persentase jatuh tempo
individu. Secara khusus, kematangan keamanan cyber dari upaya perlindungan infrastruktur
penting Turki dinilai sebesar 20,85%.
Perlu dicatat bahwa persentase kematangan Turki adalah 64,7% menurut Indeks
Cybersecurity Global yang dihitung oleh International Telecommunication Union [11].
Faktanya, Turki mendapat angka ketujuh tertinggi di antara 29 level dalam penelitian ini.
Perbedaan yang cukup besar antara tingkat kematangan dua penelitian dapat dihasilkan dari
tingkat detail analisis. Model Kematangan Mutu Keamanan Berbasis Kerentanan yang
diusulkan oleh Kerentanan mengevaluasi struktur organisasi, CSIRT, infrastruktur peraturan,
dan lain-lain. Di sisi lain, Indeks Cybersecurity Global mempertimbangkan keberadaan
entitas dan fitur ini, bukan perinciannya.
Misalnya, Indeks Cybersecurity Global hanya memeriksa apakah CSIRT nasional dan
sektoral diberi mandat secara hukum dan kemampuan CSIRT nasional untuk mengumpulkan
intelijennya sendiri. Sebaliknya, model kematangan yang diusulkan mempertimbangkan
kriteria rinci berikut untuk CSIRT:
CSIRT yang didedikasikan untuk perlindungan infrastruktur penting ada.
CSIRT berbasis sektor dengan tanggung jawab berbagi informasi yang ditentukan dalam
peraturan yang ada.
CSIRT nasional yang diakui secara internasional yang bekerja sama dengan CSIRT nasional
lainnya ada.
Infrastruktur teknis yang mendukung kebutuhan berbagi informasi intra dan antar sektor
(misalnya, portal berbagi informasi online, dasbor statistik, pusat pengumpulan data) ada.
 CSIRT nasional yang menangani peringatan insiden cyber terkait dengan infrastruktur
penting ada dan berkoordinasi dengan CSIRT sektoral yang relevan dan aset infrastruktur
penting bila diperlukan.

Ruang lingkup model kematangan yang diusulkan adalah postur keamanan cyber dari
infrastruktur penting nasional. Namun, cakupan Indeks Cybersecurity Global adalah upaya
keamanan cyber umum di negara-negara. Ini juga bisa menjadi alasan perbedaan antara
hasilnya.
Turki memiliki Indeks Kekuatan Cyber sebesar 30,4%, peringkatnya # 15 di antara sembilan
belas negara yang dievaluasi [14]. Nilai persentase ini mendekati nilai 20,85% yang
diperoleh dengan menggunakan model yang diusulkan. Namun, tema Cyber Power Index
lebih luas dari pada cyber security. Sebenarnya, ada empat kategori di Cyber Power Index.
Kriteria yang terkait dengan keamanan maya serta beberapa kriteria lain yang tidak terkait
dengan keamanan maya - masuk dalam kategori kerangka hukum dan peraturan. Tingkat
kematangan Turki adalah 49,2% untuk kategori ini. Namun, peringkat Turki untuk kategori
ini tidak berubah meski kedewasaannya relatif lebih tinggi. Sekali lagi, perbedaan dalam
rincian kedua model mungkin menjadi alasan perbedaan dalam persentase kematangan.
Kriteria (prinsip) yang mendasari Indeks Kekuatan Cyber juga tidak begitu terperinci
mengenai Indeks Cybersecurity Global. Selain itu, kriteria lain yang termasuk dalam
kerangka hukum dan peraturan, seperti perlindungan kekayaan intelektual, dapat menjadi
alasan tingkat kematangan yang relatif tinggi.

Meskipun model kematangan yang diusulkan didasarkan pada data yang spesifik ke Turki,
namun dapat menghasilkan hasil yang bermanfaat bagi negara-negara yang serupa dengan
Turki dalam hal karakteristik organisasi dan legislatif. Namun, sebelum melakukan survei
untuk negara lain, nilai bobot kriteria harus ditinjau dan dimodifikasi secara tepat oleh para
ahli dari negara yang diminati.
56

Halaman 11
4. Perbandingan dengan model lainnya
Model kematangan dibandingkan dalam hal kriteria kematangannya. Untuk melakukan
perbandingan, kriteria serupa harus digeneralisasi untuk menghasilkan tema kedewasaan.
Tabel 5 menyajikan tema dan kriteria jatuh tempo yang terkait dengan perlindungan
infrastruktur kritis dan digabungkan dalam setidaknya satu model kedewasaan. Angka dalam
kurung pada kolom pertama pada Tabel 5 adalah nomor urut dari kriteria yang relevan dari
model kematangan yang diusulkan. Tabel 2 mencantumkan kriteria yang mendasari model
kematangan yang diusulkan beserta nomor urutnya.

Model kematangan yang diusulkan menyediakan beberapa kriteria menyeluruh untuk

organisasi CSIRT, organisasi tingkat nasional, pengembangan kapasitas, undang-undang
keamanan cyber, dan audit dan manajemen risiko. Sepuluh kriteria pertama biasanya
digunakan pada model kematangan lainnya dan juga model kematangan yang diusulkan.
Keenam kriteria berikut kurang umum digunakan pada model kematangan lainnya. Sembilan
kriteria berikut unik untuk model kematangan yang diusulkan. Kelima kriteria berikut tidak
termasuk dalam model yang diusulkan, walaupun disertakan dalam model kematangan
lainnya. Kesadaran masyarakat adalah kriteria yang umum digunakan, namun tidak
dipertimbangkan dalam model kematangan yang diusulkan. Alasannya adalah bahwa model
yang diusulkan dirancang khusus untuk mengevaluasi upaya perlindungan infrastruktur
penting pemerintah.
5. Kesimpulan
Makalah ini telah mengusulkan Model Kematangan Keamanan Cyber Nasional yang
Kerentanan untuk mengukur tingkat kesiapan upaya perlindungan infrastruktur kritis
nasional. Model ini merupakan upaya akademis pertama yang mengukur tingkat kematangan
upaya tingkat negara yang terkait dengan perlindungan infrastruktur kritis. Meskipun model
jatuh tempo didasarkan pada data yang spesifik ke Turki, namun dapat menghasilkan hasil
yang akurat untuk negara-negara yang serupa dengan Turki terkait dengan studi keamanan
cyber, infrastruktur teknis dan lingkungan legislatif. Namun, sebelum melakukan survei,
bobot kriteria jatuh tempo harus ditinjau dan disesuaikan oleh individu dengan keahlian yang
kuat terkait dengan negara-negara yang sedang dinilai.

Akar penyebab yang diambil dari data yang tersedia menggunakan grounded theory dibatasi
oleh pendapat orang yang diwawancarai, mengumpulkan dokumen dan sensitivitas teoritis
para peneliti. Kriteria kematangan dan bobotnya bergantung pada pendapat para ahli yang
berpartisipasi dalam survei Delphi. Persentase kematangan Turki yang dihitung dalam
pekerjaan ini bergantung pada jawaban yang diberikan oleh pejabat pemerintah yang
berpartisipasi. Namun, tingkat kematangan yang dihitung tidak resmi karena survei dilakukan
sebagai bagian dari proyek penelitian yang didanai pemerintah, bukan sebagai studi resmi
pemerintah Turki.

Model kematangan yang diusulkan dirancang khusus untuk menilai kematangan upaya
proteksi infrastruktur kritis nasional. Domain seperti memerangi kejahatan cyber, operasi
cyber militer dan perlindungan privasi tidak terkait langsung dengan perlindungan
infrastruktur kritis [44]. Oleh karena itu, domain-domain ini berada di luar cakupan penelitian
ini dan model kematangan yang diusulkan. Demikian pula, kerentanan yang terkait dengan
keamanan fisik aset infrastruktur kritis berada di luar jangkauan. Sebenarnya, kriteria yang
terkait dengan domain ini dikecualikan dari tabel perbandingan (Tabel 5).

Penelitian di masa depan akan mencoba untuk mengekstrak dan memodelkan dependensi
antara akar penyebab dengan tujuan merancang model kematangan yang memperhitungkan
dependensi. Memang, ketergantungan kunci ada di antara akar penyebabnya. Misalnya,
jumlah pakar keamanan maya yang berkualitas di suatu negara bergantung pada persepsi
keamanan dunia maya oleh pemerintah dan sektor swasta.