Hasil Pencarian  ::  Simpan CSV :: Kembali

"Skripsi ini membahas pemetaan proses bisnis dan penilaian kritikalitas pengamanan informasi dalam proses bisnis terkait manajemen risiko guna menunjang Sistem Manajemen Pengamanan Informasi (ISMS) berdasarkan ISO/IEC 27001:2005 dan ISO/IEC 17799:2005 sebagai panduan pengendaliannya. Penelitian ini bertujuan untuk memperoleh alternatif risk treatment dan model simulasi peramalan serta optimasi alokasi biaya berdasarkan analisa risiko dan proses penilaian (dengan metode FRAAP - Facilitated Risk Analysis and Assessment Process) terhadap proses bisnis yang terkait dengan Information Security pada Infrastruktur Internet. Hasil penelitian ini juga akan memperlihatkan prioritas alternatif risk treatment berdasarkan simulasi peramalan dan optimasi pengalokasian dana guna pengendalian risiko.

---

The focus of this study is about business process mapping and criticality assessment of information security in business process related to risk management in order to support Information Security Management System (ISMS) base on ISO/IEC 27001:2005 and ISO/IEC 17799:2005 as a guide of control objectives.

The purpose of this study is to obtain risk treatment alternatives and forecasting simulation model and also optimization of fund allocation base on risk analysis and business process assessment (with FRAAP method) that related to information security on internet infrastructure.

The outcome of this study also showing risk treatment alternative priority base on forecasting simulation and optimization of fund allocation in order to controlling risk."

"Integrated Collection System (ICS) merupakan sebuah sistem pengumpulan data kegiatan survei atau sensus yang dikelola oleh Badan XYZ. Melalui ICS, Badan XYZ dapat mempercepat proses kegiatan statistik tanpa mengurangi kualitas data yang dihasilkan. Akan tetapi, ICS juga mempunyai isu dalam hal keamanan informasi yaitu terdapat celah-celah kerentanan yang dapat dieksploitasi oleh suatu serangan siber. Untuk menangani permasalahan tersebut, penelitian ini bertujuan untuk mengusulkan pengembangan metode penilaian risiko keamanan informasi dengan menggunakan model Bayesian Attack Graphs (BAG). Penilaian risiko dengan menggunakan model BAG dinilai cocok untuk menilai paparan risiko pada serangan siber yang menargetkan celah kerentanan. Sebagai kontribusi keilmuan, penelitian ini mengusulkan formulasi penilaian risiko menggunakan dua faktor risiko, faktor likelihood dan faktor impact. Metrik likelihood memakai EPSS, sedangkan metrik impact memakai sub skor impact CVSS. Melalui pengembangan metode penilaian yang diusulkan, diperoleh nilai rata-rata nilai paparan risiko pada infrastruktur ICS sebesar 0.365. Dengan demikian, paparan risiko pada infrastruktur ICS berkategori Low, sehingga paparan risiko serangan berantai melalui celah-celah kerentanan pada infrastruktur ICS dapat dikatakan rendah. Dengan adanya output dari penelitian ini, model penilaian risiko melalui pengembangan model BAG dapat menilai lebih akurat suatu paparan risiko serangan siber melalui celah-celah kerentanan di suatu sistem.

---

The Integrated Collection System (ICS) is a statistics data collection system managed by XYZ Agency. Through ICS, the organization can speed up the process of statistical activities without reducing the quality of the data it produces. However, ICS also has issues in terms of information security, namely that there are vulnerabilities that can be exploited by cyberattacks. To address these problems, this study aims to propose the development of an information security risk assessment method using the Bayesian Attack Graphs (BAG) model. Risk assessment using the BAG model is considered suitable for assessing risk exposure to cyberattacks that target device vulnerabilities. As a contribution, this research proposes the formulation of a risk assessment using two risk factors, the likelihood factor and the impact factor. The likelihood metric uses EPSS, while the impact metric uses the CVSS impact sub-score. Through the development of the proposed valuation method, the average risk exposure value for the ICS infrastructure is 0.365. Thus, the risk exposure to the ICS infrastructure is in the Low category, so that the risk exposure to chain attacks through vulnerabilities in the ICS infrastructure can be said to be low. With the output of this study, the risk assessment model through the development of the BAG model can more accurately assess an exposure to the risk of cyberattacks through vulnerabilities in a system."

"Informasi merupakan aset yang bernilai bagi suatu organisasi. Pengamanan terhadap informasi merupakan langkah untuk menjamin kerahasiaan, keutuhan, dan ketersediaan dari informasi. Pengamanan Informasi sendiri bertujuan melindungi keseluruhan bisnis organisasi agar dapat memenuhi tujuannya. Oleh karena itu, agar sistem pengamanan optimal, organisasi perlu melakukan analisis organisasi dalam menentukan tingkat pengamanan yang dibutuhkan. Tahapan analisis ini meliputi pemetaan proses untuk mengidentifkasi elemen yang terlibat, pengklasifikasian setiap elemen termasuk penentuan proses yang dianggap paling prioritas dan aset yang kritikal dalam menjalankan proses, penentuan level pengamanan untuk setiap elemen yang dilakukan oleh tiap-tiap owner process, dan pengecekan konsistensi level pengamanan di tiap proses. Security requirement untuk tiap item proses yang diperoleh dari pembahasan dalam skripsi ini nantinya akan sangat berguna sebagai framework bagi tahap penilaian risiko Aset Teknologi Informasi dan juga bagi penentuan kontrol pengamanan bagi tiap item. Penelitian ini dilakukan di Bagian Administrasi Teknologi Informasi (AdTI)-Departemen Teknologi Informasi Bank X. Dalam penelitian ini akan dijabarkan mengenai proses identifikasi tingkat pengamanan yang dibutuhan dalam proses bisnis Bagian AdTI yang bertanggung jawab sebagai koordinator dalam pengadaan perangkat operasional TI dan pengelola kegiatan administrasi yang berhubungan dengan Teknologi Informasi di Bank X.

---

Information is an valuable asset for an organization. Information Security can be a proper action to secure its confidentiality, integrity, and availability. Objective of this action it self is to protect the organization business process overall in order to achieve its goals. Therefore, to establish security system optimally, organization needs to determine security requirement level through organizational analysis.

Paces of analysis comprise identification of elements involved in process through business process mapping, the most prior or critical process determining including critical assets which support the process it self, security requirement level for each element determined by process owner, and security level consistency checking of each process.

Security requirement resulted through this research would be useful as a framework in IT assets risk analysis and control implementation as well. This research is run in Administration Section of Information Technology (AdTI) in Bank X.

The research will elaborate security requirement level identification process needed by AdTI that is responsible as coordinator in IT operational ware pr_Curement and IT administration management."

"Dengan semakin pentingnya keamanan informasi seiring dengan perkembangan teknologi informasi, terutama pada organisasi dengan tingkat kerahasiaan informasi yang tinggi, Information Security Risk Assessment (ISRA) merupakan salah satu upaya untuk mengetahui potensi risiko dan ancaman informasi yang akan dihadapi oleh organisasi di masa depan.Metode Analytical Hierarchy Process (AHP) merupakan salah satu pendekatan kuantitatif yang dapat digunakan untuk ISRA ini dengan melakukan perbandingan berpasangan kriteriakriteria penting untuk melakukan assessment dan mengukur kriteria secara menyeluruh serta menghilangkan bias subjektif dalam menilai kriteria. Pemanfaatan logika fuzzy dalam assessment ini agar pengukuran semakin mendekati penilaian manusia karena terdapat faktor yang belum pasti dalam assessment seperti nilai aset.Hasil dari penelitian ini menunjukan pada STO, aset yang menjadi prioritas adalah aset Data/Informasi dengan persentase 60,77%. Data mengenai Log File merupakan sub kriteria prioritas dengan persentase 19,62%. Alternatif utama yang dicapai untuk kemanan informasi STO adalah Confidentiality dengan persentase 47,58%.

---

With the growing importance of information security in line with the development of information technology, especially in organizations with a high level of confidentiality of information, Information Security Risk Assessment (ISRA) is an effort to identify potential risks and threat information that will be faced by the organization in the future.

Analytical Hierarchy Process (AHP) is a quantitative approach that can be used for this ISRA to perform pairwise comparisons important criteria for assessing and measuring the overall criteria and eliminate subjective bias in the judging criteria. Utilization of fuzzy logic in this assessment so that measurement closer to human decisions because there are uncertain factors in the assessment of such assets.

This paper describes the design do ISRA using Fuzzy AHP. The result shows that on STO, priority asset is asset data / information with a percentage of 60.77%. Log File is the most priority sub-criteria with a percentage of 19.62%. The main alternative of information security to be achieved by STO is Confidentiality with the percentage of 47.58%."

"Perlindungan terhadap aset informasi sangat diperlukan dalam menjaga keamanan informasi karena dalam proses penyimpanan serta penggunaannya, ancaman (threats) yang dapat mempengaruhi confidentiality, integrity, dan availability dari informasi dapat menyerang aset informasi tersebut. Salah satu industri yang membutuhkan perlindungan terhadap aset informasinya adalah B2B e-commerce yang bergerak di bidang finansial karena organisasi B2B lebih banyak mengolah aset informasi confidential dari pihak ketiga dibandingkan industri lain sehingga memerlukan perlindungan lebih terhadap aset informasinya Dalam melindungi aset informasi tersebut, tentunya perusahaan harus mengetahui terlebih dahulu risiko-risiko yang mungkin terjadi serta menilai risiko mana yang paling mempengaruhi proses bisnis sehingga perlu dilakukan langkah mitigasinya. Penelitian ini bertujuan untuk melakukan penilaian risiko terhadap aset informasi kritikal yang dimiliki oleh perusahaan B2B e-commerce kecil dan menengah yang bergerak di bidang finansial, yaitu NgaturDuit.com, dari aspek technical, physical, dan people, dengan menggunakan framework Octave Allegro. Octave Allegro merupakan framework yang fokus pada penilaian risiko terhadap aset informasi kritikal dan relatif mudah digunakan karena tidak membutuhkan banyak resource untuk melakukannya sehingga cocok untuk diimplementasikan pada perusahaan kecil dan menengah seperti NgaturDuit.com. NgaturDuit.com dipilih sebagai tempat studi kasus karena perusahaan belum pernah melakukan penilaian risiko sebelumnya. Hasil penelitian yang dilakukan dengan metode pengumpulan data wawancara dan analisis dokumen ini, menunjukkan bahwa NgaturDuit.com harus lebih memfokuskan penerapan kontrol keamanan pada technical containers.

---

Protection of information assets is indispensable in information security because in the process of storing and using information, threats that can affect the confidentiality, integrity, and availability of the information may attack those information assets. One of the industry that needs protection on their information assets is financial B2B e-commerce, because B2B organizations work with more confidential information of their third parties compared to other kinds of industry, so they need more protection on their information assets. In protecting those information assets, firstly the company has to know the risks which may happen and assess which of those risks have the most significant impact to their business process and need to be mitigated. This research aims to conduct a risk assessment towards critical information assets which are owned by small and medium financial B2B e-commerce, NgaturDuit.com, from technical, physical, and people aspects, by using Octave Allegro framework. Octave Allegro is one of the risk assessment framework which focuses the assessment on critical information assets and relatively easy to use because the company does not need many resources to use it, so it is suitable to be implemented in small and medium companies like NgaturDuit.com. NgaturDuit.com is chosen as a case study object because it has not conducted any risk assessment before. The result of this research, which uses interviews and document analysis as its data collecting methods, shows that NgaturDuit.com needs to focus more on their technical containers related to its security control implementation."

"PT XYZ merupakan salah satu Badan Usaha Milik Pemerintah (BUMN) Republik Indonesia yang bergerak pada bidang agribisnis. PT XYZ sudah memiliki sistem manajemen keamanan informasi (SMKI), namun masih ditemukan beberapa kendala seperti atensi personil terhadap keamanan informasi yang rendah, kebutuhan untuk tetap patuh dengan peraturan pemerintah, hingga kendala teknis yang muncul, sehingga PT XYZ ingin meningkatkan kapabilitas terkait keamanan informasi yang mereka miliki. Penelitian ini bertujuan untuk mengetahui kondisi terkini dari SMKI yang ada pada PT XYZ dan memberikan rekomendasi peningkatan SMKI. Penelitian ini menggunakan kontrol keamanan informasi berdasarkan standar ISO/IEC 27001:2022 untuk mendapatkan gap kondisi keamanan informasi, dan kemudian melakukan penilaian risiko yang memakai data hasil gap yaitu kontrol keamanan informasi yang terpilih. Setelah itu dilakukan rekomendasi yang disusun berdasarkan standar ISO/IEC 27002:2022. Temuan dari penelitian ini adalah ditemukannya 22 aktivitas kontrol ISO/IEC 27001:2022 yang hasil nilainya belum maksimal. 22 kontrol ini kemudian dibagi menjadi 3 kategori rekomendasi berdasarkan urgensi peningkatan yang sesuai dari hasil penilaian risiko.

---

PT XYZ is one of the government-owned enterprises of the Republic of Indonesia that engaged in agribusiness. PT XYZ already has an information security management system (ISMS), but there are still several obstacles that are found, such as low personnel attention to information security, the need to remain compliant with government regulations, to technical constraints that arise, so PT XYZ wants to improve its information security-related capabilities. This study aims to determine the current condition of the existing ISMS at PT XYZ and provide recommendations for improving the ISMS. This research uses information security controls based on the ISO/IEC 27001: 2022 standard to get the information security condition gap, and then conduct a risk assessment using the gap result data, namely the selected information security controls. After that, recommendations were made based on the ISO / IEC 27002: 2022 standard. The findings of this study were the discovery of 22 ISO/IEC 27001:2022 control activities whose value results were not maximised. These 22 controls are then divided into 3 categories of recommendations based on the urgency, from the results of the risk assessment."

"Digitalisasi telah merambah ke berbagai aspek kehidupan, termasuk sektor pemerintahan di bidang pengawasan pengelolaan keuangan negara. SIMWAS adalah sistem informasi di Instansi XYZ yang digunakan untuk mengelola kegiatan pengawasan dan tindak lanjut hasil pengawasan. SIMWAS merupakan aset penting yang memuat seluruh proses bisnis pengendalian internal, namun pada praktiknya, risiko keamanan informasi SIMWAS belum dikelola dengan baik. Untuk mengatasi permasalahan tersebut, diperlukan manajemen risiko keamanan informasi pada SIMWAS. Penelitian ini bertujuan untuk merancang dan menganalisis manajemen risiko keamanan informasi SIMWAS menggunakan kerangka kerja berdasarkan integrasi standar ISO/IEC 27005:2018, ISO/IEC 27002:2013, dan NIST SP 800-30 Rev 1. Kerangka kerja ISO/IEC 27005:2018 digunakan sebagai kerangka kerja utama manajemen risiko, NIST SP 800-30 Rev. 1 sebagai panduan proses penilaian risiko, dan ISO/IEC 27002:2013 sebagai referensi rekomendasi penanganan risiko. Penilaian risiko keamanan informasi SIMWAS dilakukan dengan menganalisis data yang diperoleh dari hasil wawancara, observasi, dan telaah dokumen. Hasil penelitian ini menunjukkan bahwa keamanan informasi SIMWAS memiliki 8 risiko level rendah, 9 risiko level sedang, dan 5 risiko level tinggi. Penelitian ini menghasilkan 14 rekomendasi penanganan risiko untuk 5 risiko level tinggi dan 9 risiko level sedang, sedangkan 8 risiko level rendah dapat diterima sesuai dengan selera risiko organisasi. Instansi XYZ perlu melakukan analisis risiko residu dan analisis biaya-manfaat dari penerapan kontrol di setiap skenario risiko.

---

Digitalization has penetrated various aspects of life, including the government sector in the field of supervising state financial management. SIMWAS is an information system in the XYZ Agency that is used to manage surveillance activities and follow up on the results of supervision. SIMWAS is an important asset that includes all internal control business processes, but in practice, SIMWAS information security risks have not been managed properly. To overcome these problems, information security risk management is required at SIMWAS. This study aims to design and analyze SIMWAS information security risk management using a framework based on the integration of ISO/IEC 27005:2018, ISO/IEC 27002:2013, and NIST SP 800-30 Rev 1 standards. The ISO/IEC 27005:2018 framework is used as the main framework in risk management, NIST SP 800-30 Rev. 1 as a guideline for risk assessment process, and ISO/IEC 27002:2013 as a reference for risk treatment recommendations. SIMWAS information security risk assessment is carried out by analyzing data obtained from the results of interviews, observations, and document reviews. The results of this study indicate that SIMWAS information security has 8 low-level risks, 9 medium-level risks, and 5 high-level risks. This study result 14 risk treatment recommendation for 5 high-level risks and 9 medium-level risks, while 8 low-level risks are acceptable according to the organization's risk appetite The XYZ Agency needs to carry out a residual risk analysis and a cost-benefit analysis of implementing controls in each risk scenario."

"Melalui Unit Bisnis Strategis e-Health, PT. XYZ memberikan pelayanan terhadap proses administrasi jaminan kesehatan dengan memanfaatkan Teknologi Informasi. Dalam menjalankan proses bisnis dengan menggunakan TI, Unit Bisnis Strategis e-Health mengelola data yang bersifat rahasia seperti data klaim, data finance, data provider, dan data lainnya. Data tersebut dilindungi oleh regulasi UU ITE No, 11 tahun 2008 pasal 16 ayat 1 dan UU No. 36 tahun 2009 tentang Kesehatan pasal 57 ayat 1. Oleh itu, risiko-risiko yang terkait keamanan informasi perlu diidentifikasi dan dimitigasi agar tidak menjadi ancaman yang berdampak kerugian terhadap aset dan keberlangsungan bisnis akibat keamanan informasi yang tidak dapat dijaga dengan baik. Namun, saat ini Unit Bisnis Strategis e-Health PT. XYZ belum memiliki manajemen risiko keamanan informasi. Penelitian ini bertujuan untuk membangun rencana manajemen risiko keamanan informasi. Kerangka kerja yang digunakan adalah ISO/IEC 27005 dengan empat tahapan utama yaitu penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko. Untuk merancang kontrol dalam upaya mengurangi risiko, peneliti mengacu pada ISO/IEC 27002. Hasil penelitian ini adalah rencana manajemen risiko keamanan informasi yang berisi profil dari risiko yang diidentifikasi berdasarkan jenis aset yang dapat berupa primary asset atau secondary asset. Selain itu, kontrol untuk setiap risiko juga dirancang untuk mengurangi dampak suatu risiko. Dengan adanya manajemen risiko keamanan informasi ini, diharapkan Unit Bisnis Strategis e-Health dapat memenuhi regulasi yang berlaku di Indonesia dan mendapatkan kepercayaan dari pelanggan sehingga dapat menjadi nilai jual lebih.

---

Through a strategic business unit e-health, PT. XYZ provides health insurance administration process services by utilizing information technology. In running business processes using IT, a strategic business unit e-health managing confidential data such as claims, provider, and other data. The data is protected by the regulation of the ITE Law No. 11 of 2008 clause 16, verse 1 and No. 36 of 2009 on Health clause 57, verse 1. Information security risks need to be identified and mitigated so they do not become threats affecting losses on assets and business continuity as a result of information security risks that can not be maintained properly. However, today a strategic business unit e-health at PT. XYZ do not have an information security risk management.

This study aims to build an information security risk management plan. The framework used is ISO / IEC 27005 with four main stages, namely the establishment of context, risk assestment, risk management and risk acceptance. To design a control in order to reduce the risk, researcher refers to ISO / IEC 27002.

Results of this research is the information security risk management plan containing risk profiles were identified based on the type of assets that can be either primary or secondary assets. In addition, the controls for each risk is also designed to reduce the impact of a risk. Given this information security risk management, strategic business unit e-health is expected to meet the applicable regulations in Indonesia and obtain the trust of the customers so that it becomes the added value."

"Melalui Unit Bisnis Strategis e-Health, PT. XYZ memberikan pelayanan terhadap proses administrasi jaminan kesehatan dengan memanfaatkan Teknologi Informasi. Dalam menjalankan proses bisnis dengan menggunakan TI, Unit Bisnis Strategis e-Health mengelola data yang bersifat rahasia seperti data klaim, data finance, data provider, dan data lainnya. Data tersebut dilindungi oleh regulasi UU ITE No, 11 tahun 2008 pasal 16 ayat 1 dan UU No. 36 tahun 2009 tentang Kesehatan pasal 57 ayat 1. Oleh itu, risiko-risiko yang terkait keamanan informasi perlu diidentifikasi dan dimitigasi agar tidak menjadi ancaman yang berdampak kerugian terhadap aset dan keberlangsungan bisnis akibat keamanan informasi yang tidak dapat dijaga dengan baik. Namun, saat ini Unit Bisnis Strategis e-Health PT. XYZ belum memiliki manajemen risiko keamanan informasi.Penelitian ini bertujuan untuk membangun rencana manajemen risiko keamanan informasi. Kerangka kerja yang digunakan adalah ISO/IEC 27005 dengan empat tahapan utama yaitu penetapan konteks, penilaian risiko, penanganan risiko dan penerimaan risiko. Untuk merancang kontrol dalam upaya mengurangi risiko, peneliti mengacu pada ISO/IEC 27002.Hasil penelitian ini adalah rencana manajemen risiko keamanan informasi yang berisi profil dari risiko yang diidentifikasi berdasarkan jenis aset yang dapat berupa primary asset atau secondary asset. Selain itu, kontrol untuk setiap risiko juga dirancang untuk mengurangi dampak suatu risiko. Dengan adanya manajemen risiko keamanan informasi ini, diharapkan Unit Bisnis Strategis e-Health dapat memenuhi regulasi yang berlaku di Indonesia dan mendapatkan kepercayaan dari pelanggan sehingga dapat menjadi nilai jual lebih.

---

Through a strategic business unit e-health, PT. XYZ provides health insurance administration process services by utilizing information technology. In running business processes using IT, a strategic business unit e-health managing confidential data such as claims, provider, and other data. The data is protected by the regulation of the ITE Law No. 11 of 2008 clause 16, verse 1 and No. 36 of 2009 on Health clause 57, verse 1. Information security risks need to be identified and mitigated so they do not become threats affecting losses on assets and business continuity as a result of information security risks that can not be maintained properly. However, today a strategic business unit e-health at PT. XYZ do not have an information security risk management.

This study aims to build an information security risk management plan. The framework used is ISO / IEC 27005 with four main stages, namely the establishment of context, risk assestment, risk management and risk acceptance. To design a control in order to reduce the risk, researcher refers to ISO / IEC 27002.

Results of this research is the information security risk management plan containing risk profiles were identified based on the type of assets that can be either primary or secondary assets. In addition, the controls for each risk is also designed to reduce the impact of a risk. Given this information security risk management, strategic business unit e-health is expected to meet the applicable regulations in Indonesia and obtain the trust of the customers so that it becomes the added value."

"Skripsi ini membahas mengenai penerapan manajemen risiko internet banking, khusunya pada Bank X. Disamping memberikan kemudahan bagi nasabah, internet banking juga berpotensi meningkatkan risiko. Pokok permasalahan dalam penelitian ini adalah bagaimana ketentuan-ketentuan hukum mengenai manajemen risiko oleh Bank Umum terkait internet banking dan bagaimana penerapannya oleh Bank X.Metode penelitian yang digunakan dalam SEBI Nomor 6/18/DPNP tanggal 20 April 2004 mencakup pengawasan aktif dewan komisaris dan direksi, pengendalian pengamanan serta manajemen risiko hukum dan reputasi. Pelaksanaan manajemen risiko internet banking di Bank X sudah sesuai dengan ketentuan perundang-undangan yang berlaku.

---

This thesis explains about the implementation of risk management of internet banking, especially in Bank X. In addition to providing convenience for customers, internet banking is also potentially increase the risk. The issue in this study is how is the legal provisions concerning Risk Management on internet banking and how it is applied by Bank X.

The method used in this research is normative juridical method. The risk management of internet banking is set in SEBI No. 6/18 / DPNP, includes active surveillance by commissioners and directors, security control also legal and reputation risk management. The implementation of risk management on internet banking in Bank X is in accordance with the applicable regulations."