Hasil Pencarian  ::  Simpan CSV :: Kembali

"ABSTRAKSpyware adalah masalah signifikan untuk para pengguna komputer. Secara publikasi, spyware digunakan sama halnya dengan adware, yakni jenis perangkat lunak berbahaya yang menampilkan iklan-iklan diluar keinginan pengguna komputer. Suatu jenis program spyware bergabung dengan rootkit dan mendapatkan teknik menyembunyikan diri dengan cara memodifikasi struktur kernel. Penelitian ini fokus untuk mencegah pencurian informasi melalui sebuah spyware berbasis keylogger. Penelitian ini mendeteksi dan mengklasifikasi keylogger serta merancang dan mengembangkan perangkat lunak untuk mencegah pencurian informasi melalui keylogger saat merekam password atau informasi pribadi pengguna. Hasil dari penelitian menunjukkan bahwa perangkat lunak telah berhasil untuk mencegah pencurian informasi melalui keylogger.

---

ABSTRAKSpyware is a significant problem for computer users. Spyware is publicly used in the same way as adware, which is a type of malicious software that displays advertisements out of the computer user 39 s wishes. A type of spyware program joins the rootkit and gets the technique of hiding itself by modifying the kernel structure. This research focuses on preventing information theft through a keylogger based spyware. This research detects and classifies keyloggers as well as designing and developing software to prevent information theft through keyloggers when recording passwords or personal information of users. The results of the research indicate that the software has been successful in preventing information theft through keyloggers."

"Pengembangan perangkat lunak dengan metodologi tangkas agile adalah hal yang baru di PT XYZ. Implementasi pengembangan agile dengan metode Scrum dirasakan merupakan solusi percepatan pengiriman produk kepada pengguna akhir. Namun demikian perlu kecermatan dan kehati-hatian dalam pengembangan perangkat lunak, khususnya dari sisi keamanannya, karena faktor keamanan merupakan hal yang bersifat kritis di bidang perbankan. Penelitian ini merupakan studi kasus di PT XYZ yang bertujuan mencari framework yang cocok dan disesuaikan untuk kebutuhan XYZ, untuk pengembangan perangkat lunak yang kaya dalam aspek keamanan informasi dengan metode Scrum. Berdasarkan harapan dan tantangan yang dihadapi PT XYZ, penulis mencoba membuat model pengembangan, panduan pelaksanaan, alat bantu dan proses evaluasi, yang disarikan dari berbagai penelitian dan standar best practise yang ada, untuk membentuk framework pengembangan yang telah disesuaikan untuk PT XYZ, kemudian diimplementasikan dalam proyek-proyek baru serta diukur tingkat kematangan keamanan informasinya, menggunakan OWASP Software Assurance Maturity Model SAMM. Hasil penelitian secara umum telah menunjukkan perbaikan kualitas pengembangan aplikasi, khususnya pada aspek keamanan informasi.

---

Software development using agile methodology is a new concept in PT XYZ. Implementation of agile development processes with Scrum is believed to be a solution to speed up product delivery to the end user. Nevertheless the need of accuracy and conscientiousness in software development, especially in security is mandatory as security is a strong word in bank industry. This case study research at PT XYZ, was conducted to find a suitable framework for PT XYZ needs, as guidance to develop software which is rich in security aspect combining with Scrum method. Based on some expectations of PT XYZ and the challenges they have, the authors determine a process model for software development, a guidance for resilience software, tools and maturity level evaluation, taken from several researches and some common best practices in the software industry, to develop a new development framework for PT XYZ, and then implementing it on the new software development project, and evaluate the maturity as well, using OWASP Software Assurance Maturity Model SAMM. Results shown in general, there are some improvements in term of the quality of the software development, especially in the aspect of information security."

"

Pertumbuhan penggunaan Windows 11 mendorong perlunya evaluasi terhadap sistem operasi ini. Meski merupakan pembaruan dari Windows 10, fokus utama tetap pada risiko keamanan karena meningkatnya serangan siber. Banyak serangan terjadi di tingkat endpoint, sehingga perlindungan pengguna dan data sangat penting. Penelitian ini mengevaluasi kerentanan keamanan dan potensi serangan pada Windows 11 Home dan Enterprise menggunakan metode Information System Security Assessment Framework (ISSAF). Hasilnya menunjukkan adanya kerentanan signifikan pada protokol SMB dan RDP, dengan Windows 11 Enterprise lebih rentan terhadap serangan tertentu seperti SMB Relay Attack. Risiko lain termasuk potensi instalasi backdoor. Rekomendasi mitigasi meliputi pengaktifan SMB Signing, kebijakan kata sandi kompleks, penonaktifan RDP jika tidak digunakan, dan pengaktifan antivirus. Penelitian ini memberikan wawasan berharga untuk meningkatkan keamanan Windows 11

---

The growth in Windows 11 usage necessitates an evaluation of this operating system. Despite being an update from Windows 10, the main focus remains on security risks due to the increasing complexity of cyber attacks. Many attacks occur at the endpoint level, making user and data protection crucial. This study evaluates security vulnerabilities and potential attacks on Windows 11 Home and Enterprise using the Information System Security Assessment Framework (ISSAF) method. The results show significant vulnerabilities in the SMB and RDP protocols, with Windows 11 Enterprise being more susceptible to certain attacks such as SMB Relay Attack. Other risks include potential backdoor installations. Recommended mitigations include enabling SMB Signing, implementing complex password policies, disabling RDP if not in use, and activating antivirus software. This research provides valuable insights for enhancing the security of Windows 11.

"

"Kondisi pandemi COVID-19 mendorong infrastruktur teknologi informasi dibangun dengan waktu yang cepat dan dalam sekala besar. Peningkatan pengiriman server secara global meningkat hampir 37% pada kuartal pertama tahun 2020. Hampir 80% server yang ada didominasi oleh linux sebagai sistem operasinya. Ubuntu merupakan salah satu distribusi linux yang banyak digunakan untuk sistem operasi server. Salah satu aspek yang penting dalam sistem operasi server adalah tingkat keamanan dari sistem operasi server tersebut. Keamanan sistem operasi server perlu diperhatikan pasalnya server umumnya berisi data-data penting, oleh karena itu peningkatan keamanan server perlu diperhatikan untuk mencegah data-data penting ini bocor atau berpindah tangan ke pihak yang salah. CIS adalah salah satu badan yang sangat peduli terhadap keamanan di internet, mengeluarkan acuan penguatan keamanan sistem operasi server yang dikenal dengan CIS Benchmark. penelitian ini bertujuan untuk meningkatkan keamanan sistem operasi Ubuntu 20.04 dengan menggunakan kontrol penguatan keamanan berdasarkan standar CIS Benchmark versi 1.1.0 dengan metode otomatisasi menggunakan aplikasi Packer. Metode otomatisasi yang dilakukan selain melakukan penguatan juga menghasilkan image mesin virtual yang siap digunakan untuk pengimplementasian sebuah sistem dengan besar file image berukuran 1,8 GB. Selanjutnya untuk validasi penguatan keamanan maka dilakukan audit menggunakan aplikasi CIS-CAT Lite yang menghasilkan nilai skor kesesuaian audit sebanyak 218 kontrol atau 99,54% dari total 219 kontrol yang ada pada CIS Benchmark versi 1.1.0.

---

The COVID-19 pandemic has driven the rapid and large-scale development of information technology infrastructure. Global server shipments increased by nearly 37% in the first quarter of 2020. Approximately 80% of the existing servers are dominated by Linux as their operating system. Ubuntu is one of the widely used Linux distributions for server operating systems. One crucial aspect of server operating systems is their security level. Security of server OS needs to be considered, as servers typically contain important data. Therefore, improving server security is necessary to prevent the leakage or unauthorized access of this critical data. CIS is an organization that is deeply concerned about internet security and has released security strengthening guidelines for server operating systems known as CIS Benchmark. This research aims to enhance the security of the Ubuntu 20.04 operating system by implementing security hardening controls based on CIS Benchmark version 1.1.0, using the automation method through the Packer application. In addition to the hardening process, the automation method also generates a virtual machine image ready for system implementation, with a file size of 1.8 GB. Furthermore, to validate the security hardening, an audit is conducted using the CIS-CAT Lite application, which produces an audit compliance score of 218 controls or 99.54% out of the total 219 controls in CIS Benchmark version 1.1.0."

"Teknologi Web API sudah banyak diterapkan di berbagai infrastruktur aplikasi karena teknologi ini memungkinkan berbagai layanan aplikasi yang berbeda bisa saling berinteraksi dan berkomunikasi melalui media jaringan. Web API memungkinkan aplikasi untuk saling berbagi fungsionalitas dan data dengan aplikasi lain, menjadikannya teknologi yang paling banyak digunakan untuk integrasi antar infrastruktur. Terlepas dari manfaat Web API, hal ini bukannya tanpa masalah keamanan. Banyak kerentanan yang muncul akibat kesalahan konfigurasi atau mekanisme keamanan yang tidak memadai, yang dapat dicegah dengan melakukan pengujian fungsionalitas. Salah satu pengujian fungsionalitas yang penting untuk dilakukan adalah fuzzing. Fuzzing adalah metode pengujian untuk mengidentifikasi kerentanan yang muncul dari kesalahan validasi input dan business logic. Penelitian ini melakukan eksperimen fuzzing pada Web API dengan pendekatan offensive dan defensive. Penelitian ini membandingkan beberapa state-of-the-art fuzzing tools untuk pendekatan offensive, yaitu EvoMaster, Restler, RestTestGen, Tcases, dan Schemathesis. Penelitian ini juga mengembangkan fuzzing tool baru yang diberi nama OffensiveRezzer. Untuk pendekatan defensive, Penelitian ini menggunakan pustaka validasi input Joi, Zod, Marshmallow, dan Pydantic. Metrik kinerja yang digunakan adalah efektivitas fuzzing tool dalam menemukan bugs/errors dan efektivitas pustaka validasi dalam memvalidasi input data, yang diukur dengan menghitung persentase penurunan error. Hasil evaluasi menunjukkan OffensiveRezzer berhasil menemukan bugs/errors paling banyak dibandingkan dengan fuzzing tools lainnya. Kemudian, masing-masing pustaka validasi memiliki efektivitas sebagai berikut: Joi 97,78%, Zod 96,11%, Marshmallow 97,90%, dan Pydantic 97,90%.

---

Web API technology has been widely used in various application infrastructures because it allows different application services to interact and communicate via network platforms. Web API allows applications to share functionality and data with others, making it a preferred choice for integration across infrastructures. Despite the benefits of Web API, it is not without its security concerns. Many vulnerabilities arise due to misconfigurations or insufficient security mechanisms, which can be prevented by performing functionality testing. One of the critical functionality tests to do is fuzzing. Fuzzing is a testing method to identify vulnerabilities that emerge from flawed input and business logic validations. This research performed fuzzing experiments with offensive and defensive approaches. This research compared several state-of-the-art fuzzing tools for the offensive approach, namely EvoMaster, Restler, RestTestGen, Tcases, and Schemathesis. This research also develops a novel fuzzing tool OffensiveRezzer. For the defensive approach, this research compares several state-of-the-art input validation libraries: Joi, Zod, Marshmallow, and Pydantic. The performance metrics used are the fuzzing tool's effectiveness in finding bugs/errors and the validation library's effectiveness in validating fuzzing payloads, which is measured by calculating the percentage of error reduction. Evaluation results show that OffensiveRezzer found the most bugs/errors compared to other fuzzing tools. Then, each validation library has the following effectiveness: Joi 97.78%, Zod 96.11%, Marshmallow 97.90%, and Pydantic 97.90%."

"IDS memerikan solusi keamanan jaringan yaitu dengan mendeteksi adanya akses ilegal atau penyusupan yang terjadi dalam jarigan komputer. Terdapat banyak jenis IDS yang didasarkan pada bagaimana administrator jaringan menerapkan IDS untuk mengamankan jaringan. Dalam penelitian ini Snort IDS akan diintegrasikan untuk dapat memberikan alerting maupun log apabila terjadi serangan di dalam jaringan, selain itu juga mampu melakukan monitoring serangan melalui interface web. Sistem ini dibagi menjadi beberapa modul yaitu IDS software yaitu Snort, report modul yaitu BASE, dan juga Visual Syslog Server yang mampu mengirimkan alerting secara real time. Kinerja dari IDS yang telah diintegrasikan akan dianalisis dari penggunaan RAM dan CPU. Dengan Empat skenario penyusupan yang berbeda seperti IP Scanning, Port Scanning, DoS dan MitM dilakukan untuk melihat efeknya pada kinerja sistem. Berdasarkan hasil pengujian yang telah dilakukan sistem berhasil mendeteksi adanya penyusupan dengan memberikan alert berdasarkan jenis serangan yang dilakukan. Pada penggunaan RAM dan CPU dapat terlihat adanya perbedaan ketika sistem mendeteksi adanya penyusupan pada jaringan. Penggunaan IDS yang telah diintegrasikan ini dapat menjadi langkah awal yang baik untuk mitigasi risiko pada jaringan dan sebagai peringatan awal adanya serangan cyber.

---

IDS describes network security solutions by detecting illegal access or intrusion that occurs in the computer network. There are many types of IDS based on how network administrators implement IDS to secure networks. In this study Snort IDS will be integrated to be able to provide alerts and logs if there is an attack on the network, besides that it is also capable of monitoring attacks through a web interface.

This system is divided into several modules those are IDS software (Snort), report module (BASE), and also Visual Syslog Server which is capable of sending alerts in real time. The performance of the IDS that has been integrated will be analyzed from the use of RAM and CPU. With four different intrusion scenarios such as IP Scanning, Portscanning, DoS, and MitM, it is done to see the effect on system performance.

Based on the results of testing, the system has successfully detected an inrusion by providing alerts based on the type of attack carried out. While the use of RAM and CPU can be seen a difference when the system detects an intrusion. The use of this integrated IDS can be a good first step to mitigate risk on the network and as an early warning of cyber attacks."

"Data dan informasi merupakan aset yang harus dilindungi dikarenakan aset berhubungan dengan kelangsungan bisnis perusahaan. Adanya pertumbuhan berbagai penipuan, virus, dan hackers dapat mengancam informasi bisnis manajemen dikarenakan adanya keterbukaan informasi melalui teknologi informasi modern. Dibutuhkan manajemen keamanan informasi yang dapat melindungi kerahasiaan, integritas, dan ketersediaan informasi. PT. XYZ sebagai perusahaan yang bergerak di bidang mobile solution tidak terlepas dari penggunaan teknologi informasi dalam penyimpanan, pengolahan data dan informasi milik perusahaan. Perusahaan diharuskan untuk dapat memberikan kemampuan mengakses dan menyediakan informasi secara cepat dan akurat. Oleh karena itu, perusahaan membutuhkan pengetahuan tentang keadaan keamanan informasi yang dimiliki saat ini, sehingga perusahaan dapat meminimalisir risiko yang akan terjadi. Tujuan penelitian ini memberikan usulan perbaikan manajemen risiko keamanan informasi dengan menggunakan standar ISO/IEC 27001:2005. Dengan menggunakan standar ISO/IEC 27001:2005, didapat kesenjangan keamanan informasi yang dimiliki oleh perusahaan. Selanjutnya, dipilih kontrol objektif yang sesuai dengan kebutuhan aset kritikal yang dimiliki oleh perusahaan. Dari kontrol objektif yang telah dipilih, selanjutnya diberikan usulan perbaikan agar perusahaan dapat menutupi kesenjangan keamanan informasi yang dimiliki. Hasil penelitian ini didapat kontrol-kontrol pengamanan informasi yang akan diimplementasikan di perusahaan dalam bentuk dokumen statemen of applicabality(SOA).

---

Data and Information are valuable assets that need to be protected for company's businesses. Rapid growth in fraud cases, virus, hackers could threat management business information by exposing them which is caused by modern information technology. Hence, it is required to have information security management which protects confidentiality, integrity, and availability of information. As a company who runs in mobile solution, PT. XYZ uses information technology in company's information and data storage and processing. In order to minimize the risk, current information security needs to be visible by the company.

This research is conducted to provide potential suggestions on risk management improvement of information security using standard ISO/IEC 270001:2005 standard. By using ISO/IEC 270001:2005 standard, this research is able to assess and obtain gap analysis checklist of company's information security. According to company asset needs, objective controls will be selected. Results of this study obtained information security controls to be implemented in the company in the form of statements of applicabality documents (SOA)."

"Keamanan informasi menjadi perhatian utama dalam era digitalisasi saat ini. Salah satu aspek penting dari keamanan informasi adalah perlindungan terhadap kata sandi. Pengumpulan kata sandi yang sering digunakan oleh penyerang dalam upayanya untuk meretas masuk ke dalam sebuah akun atau sistem memiliki peran yang sangat penting dalam memahami kelemahan sebuah sistem. Oleh karena itu, metode pengumpulan kata sandi yang efektif menjadi sangat penting dalam upaya melindungi sistem serta informasi dari sebuah serangan. Pada tesis ini bertujuan untuk mengembangkan metode pengumpulan kata sandi yang menggunakan honeypot cowrie dan mengacu kepada pedoman NIST SP 800-63b. Pedoman NIST SP 800-63b merupakan pedoman yang dikembangkan oleh National Institute of Standards and Technology (NIST) yang memberikan panduan praktis dalam hal kebijakan dan prosedur keamanan kata sandi. Honeypot cowrie merupakan sebuah sistem open source yang dapat dikustomisasi dan diperluas sesuai kebutuhan pengguna. Honeypot cowrie dirancang untuk menarik penyerang dan memantau aktivitas penyerang tersebut, termasuk upaya pembobolan terhadap sebuah kata sandi. Oleh karena itu, honeypot memiliki peranan yang penting untuk mempelajari teknik dan pola serangan yang digunakan oleh penyerang serta dilakukan identifikasi terhadap celah keamanan yang perlu diperbaiki. Pada penelitian kali ini, eksperimen dibagi kedalam dua tahapan, tahap pertama dengan menggunakan konfigurasi bawaan dan tahap kedua dilakukan penyesuaian konfigurasi honeypot cowrie dengan dilakukan variasi terhadap nama pengguna serta kata sandi yang digunakan oleh penyerang menggunakan pedoman NIST SP 800-63b . Hasil dari eksperimen dilakukan perbandingan untuk mengetahui efektivitas dari honeypot cowrie tersebut dalam melakukan pengumpulan kata sandi dengan indikator pengukuran yang berupa jumlah login attempt, username, password, serta password complexity. Dari hasil eksperimen didapati login attempt tahap 1 sebanyak 3364 dan tahap 2 sebanyak 7341, username tahap 1 sebanyak 776 dan tahap 2 sebanyak 904, password tahap 1 sebanyak 1341 dan tahap 2 sebanyak 2101, password complexity tahap 1 sebanyak 546 dan tahap 2 sebanyak 766. Dari data yang didapatkan tersebut, menunjukkan bahwa terjadi peningkatan indikator login attempt sebesar 118,2%, indikator username sebesar 16,49%, indikator password sebesar 56,70%, serta peningkatan indikator password complexity sebesar 40,29%.

---

Information security is a major concern in the current era of digitization. One important aspect of information security is the protection of passwords. The collection of passwords frequently used by attackers in their attempts to breach an account or system plays a crucial role in understanding the weaknesses of a system. Therefore, an effective method of collecting passwords becomes highly important in the effort to protect systems and information from attacks. This thesis aims to develop a password collection method that utilizes the honeypot Cowrie and references the NIST SP 800-63b guidelines. The NIST SP 800-63b guidelines, developed by the National Institute of Standards and Technology (NIST), provide practical guidance on password security policies and procedures.Cowrie honeypot is an open-source system that can be customized and expanded according to user needs. Cowrie honeypot is designed to attract attackers and monitor their activities, including attempts to crack a password. Thus, honeypots play an important role in studying the techniques and patterns of attacks used by attackers and identifying security vulnerabilities that need to be addressed. In this research, the experiments are divided into two stages: the first stage using the default configuration, and the second stage involving adjustments to the Cowrie honeypot configuration by varying the usernames and passwords used by attackers following the NIST SP 800-63b guidelines. The results of the experiments are compared to determine the effectiveness of the Cowrie honeypot in password collection using measurement indicators such as the number of login attempts, usernames, passwords, and password complexity. The experiment results showed that there were 3364 login attempts in stage 1 and 7341 in stage 2, 776 usernames in stage 1 and 904 in stage 2, 1341 passwords in stage 1 and 2101 in stage 2, and 546 password complexity indicators in stage 1 and 766 in stage 2. These findings indicate an increase of 118.2% in the login attempt indicator, 16.49% in the username indicator, 56.70% in the password indicator, and a 40.29% increase in the password complexity indicator."

"Indonesia merupakan negara dengan jumlah penduduk dan pengguna internet terbesar keempat di dunia membuat kemungkinan serangan siber semakin besar. Oleh karena itu, dalam mempertimbangkan banyak potensi serangan siber yang dapat terjadi, perusahaan harus memiliki pemahaman yang mendalam tentang kualitas keamanan infrastruktur teknologi informasi (TI) yang dimilikinya. Penelitian ini mengevaluasi kualitas keamanan infrastruktur TI yang dimiliki PT XYZ saat ini dan membandingkannya dengan kualitas keamanan infrastruktur TI yang diharapkan PT XYZ menggunakan perluasan model kematangan keamanan siber yaitu Cybersecurity Capability Maturity Model (C2M2). Peneliti mengadopsi 10 (sepuluh) domain C2M2 dan 2 (dua) domain lain yang bersumber dari Center for Internet Security (CIS) Controls sehingga jumlah domain yang diuji pada model konseptual adalah 12 domain. Perluasan model ini menyesuaikan dengan kondisi dalam masa pandemi COVID-19. Metode yang digunakan dalam penelitian ini adalah in-depth interview dan kuesioner self-evaluation assessment. Data kemudian diolah dan dianalisis menggunakan gap analysis dan importance-performance analysis. Berdasarkan hasil penelitian, 10 domain C2M2 dan 2 domain CIS yang diujikan terhadap PT XYZ memiliki gaps pada Maturity Indicator Level (MIL) di masing-masing domain. Hampir seluruh domain yang diujikan berada di kuadran A pada matriks importance-performance analysis dimana tingkat kinerja rendah namun tingkat kepentingan tinggi. Skala prioritas dibuat agar PT XYZ dapat fokus memperbaiki domain yang memiliki selisih gaps besar dan tingkat kepentingan tinggi. Prioritas I atau prioritas utama domain yang harus segera dibenahi oleh PT XYZ adalah asset, change, and configuration management (ACM); identity and access management (IAM); dan event and incident response, continuity of operations (IR). Kemudian, prioritas II yaitu domain threat and vulnerability management (TVM). Lalu, prioritas III yaitu domain risk management (RM) dan situational awareness (SA). Kemudian, prioritas IV yaitu domain workforce management (WM) dan data protection (PR). Lalu, prioritas V yaitu domain information sharing and communications (ISC) dan cybersecurity program management (CPM). Terakhir, prioritas VI yaitu domain supply chain and dependencies management (EDM). Hal ini menunjukkan bahwa secara keseluruhan kualitas keamanan infrastruktur TI di PT XYZ belum mampu mengatasi risiko keamanan yang ada sehingga membutuhkan banyak perbaikan dan perlu dievaluasi secara menyeluruh.

---

Indonesia is a country with the fourth largest population and internet users in the world, making the possibility of cyberattacks even greater. Therefore, in considering the many potential cyberattacks that can occur, companies must have a deep understanding of the security quality of their information technology (IT) infrastructure. This research evaluates the security quality of PT XYZ's current IT infrastructure and compares it with the quality of IT infrastructure security expected by PT XYZ using a framework’s expansion of Cybersecurity Capability Maturity Model (C2M2). The researcher adopted 10 (ten) C2M2 domains and 2 (two) other domains sourced from the Center for Internet Security (CIS) Controls so that the number of domains tested in the conceptual model is 12 domains. The expansion of this model adapts to conditions during the COVID-19 pandemic. The methods used in this research are in-depth interviews and self-evaluation assessment questionnaires. The data is then processed and analyzed using gap analysis and importance-performance analysis. Based on the research results, 10 C2M2 domains and 2 CIS domains tested against PT XYZ have gaps in the Maturity Indicator Level (MIL) in each domain. Almost all of the tested domains are in quadrant A in the importance-performance analysis matrix where the level of performance is low but the level of importance is high. The priority scale is made so that PT XYZ can focus on improving domains that have large gaps and high levels of importance. Priority I or the main priority domains that must be addressed by PT XYZ are asset, change, and configuration management (ACM); identity and access management (IAM); and event and incident response, continuity of operations (IR). Then, priority II is the threat and vulnerability management (TVM) domain. Then, priority III is the domain of risk management (RM) and situational awareness (SA). Then, priority IV is the domain of workforce management (WM) and data protection (PR). Then, priority V is the domain of information sharing and communications (ISC) and cybersecurity program management (CPM). Finally, priority VI is the supply chain and dependencies management (EDM) domain. This shows that the overall security quality of PT XYZ’s IT infrastructure has not been able to overcome the existing security risks so that it requires a lot of improvements and needs to be evaluated thoroughly. "