Hasil Pencarian  ::  Simpan CSV :: Kembali

"Sebagai salah satu perusahaan yang bergerak di bidang teknologi, bisnis dari PT XYZ sangat bergantung pada teknologi dan keamanan informasi. Dalam mengamankan informasi, data, dan aset penting perusahaan, PT XYZ menerapkan pengamanan fisik yaitu Physical Access Control System (PACS). Sistem ini diimplementasi untuk melindungi bisnis dan aset perusahaan dari vandalisme, pencurian, dan pelanggaran, khususnya membatasi akses ke fasilitas organisasi yang memerlukan tingkat keamanan dan perlindungan yang lebih tinggi. Namun tingginya kasus insiden yang terjadi pada PACS menjadi kekhawatiran pihak manajemen perusahaan. Padahal tingkat ketergantungan organisasi terhadap keamanan fisik terutama pada PACS sangat tinggi. Insiden-insiden terkait PACS dengan sumber ancaman yang sama kerap terjadi berulang kali tanpa ada pemantauan yang memadai. Maka dari itu, penelitian ini bertujuan untuk melakukan evaluasi manajemen risiko terhadap Physical Access Control System PT XYZ. Pada penelitian ini digunakan beberapa seri standar ISO/IEC 27000 yang dapat membantu penelitian dalam menganalisis risiko dan melengkapi proses dalam mengevaluasi manajemen risiko di organisasi. Standar yang digunakan antara lain ISO/IEC 27001, ISO/IEC 27002, dan ISO/IEC 27005. Penelitian ini merupakan penelitian kualitatif dengan metode pengumpulan data secara studi literatur, dokumen, wawancara, observasi dan Focus Group Discussion. Hasil yang diperoleh dari penelitian ini adalah profil risiko dari PACS dengan total 54 skenario risiko keamanan informasi yang terdiri dari 44 skenario yang tidak diterima, dan 10 skenario risiko diterima. Adapun manfaat dari penelitian ini adalah dihasilkannya rekomendasi penanganan risiko keamanan informasi berdasarkan hasil evaluasi risiko keamanan informasi yang mengacu pada rekomendasi kontrol berdasarkan ISO/IEC 27002 dan diimplementasikan dalam bentuk dokumen Statement of Applicability (SoA).

---

As a technology company, the business of PT XYZ is highly dependent on technology and information security. In securing information, data, and important company assets, PT XYZ applies a physical security system, namely the Physical Access Control System (PACS). This system is implemented to protect the company’s business and assets from vandalism, theft, and breaches, specifically by restricting access to organizational facilities that require a higher level of security and protection. However, the high occurrence of incidences in PACS is a concern for company management, due to the organization's high level of dependence on physical security, especially PACS. Incidents related to PACS with the same source of threat often occur repeatedly without adequate monitoring. Therefore, this study aims to evaluate the risk management of PT XYZ's Physical Access Control System. In this research, several series of ISO/IEC 27000 standards are used to assist the study in analyzing risk and completing the process of risk management evaluation in organizations. The standards used include ISO/IEC 27001, ISO/IEC 27002, and ISO/IEC 27005. This research is qualitative research with data collection methods of literature studies, documents, interviews, observations, and Focus Group Discussions. The result of this study is the risk profile of PACS with a total of 54 information security risk scenarios consisting of 44 unacceptable scenarios and 10 acceptable risk scenarios. The benefit of this research is the production of recommendations for handling information security risks based on the results of the evaluation of information security risks that refer to control recommendations based on ISO/IEC 27002 and implemented in the form of a Statement of Applicability (SoA) document."

"Data dan informasi merupakan aset yang harus dilindungi dikarenakan aset berhubungan dengan kelangsungan bisnis perusahaan. Adanya pertumbuhan berbagai penipuan, virus, dan hackers dapat mengancam informasi bisnis manajemen dikarenakan adanya keterbukaan informasi melalui teknologi informasi modern. Dibutuhkan manajemen keamanan informasi yang dapat melindungi kerahasiaan, integritas, dan ketersediaan informasi. PT. XYZ sebagai perusahaan yang bergerak di bidang mobile solution tidak terlepas dari penggunaan teknologi informasi dalam penyimpanan, pengolahan data dan informasi milik perusahaan. Perusahaan diharuskan untuk dapat memberikan kemampuan mengakses dan menyediakan informasi secara cepat dan akurat. Oleh karena itu, perusahaan membutuhkan pengetahuan tentang keadaan keamanan informasi yang dimiliki saat ini, sehingga perusahaan dapat meminimalisir risiko yang akan terjadi. Tujuan penelitian ini memberikan usulan perbaikan manajemen risiko keamanan informasi dengan menggunakan standar ISO/IEC 27001:2005. Dengan menggunakan standar ISO/IEC 27001:2005, didapat kesenjangan keamanan informasi yang dimiliki oleh perusahaan. Selanjutnya, dipilih kontrol objektif yang sesuai dengan kebutuhan aset kritikal yang dimiliki oleh perusahaan. Dari kontrol objektif yang telah dipilih, selanjutnya diberikan usulan perbaikan agar perusahaan dapat menutupi kesenjangan keamanan informasi yang dimiliki. Hasil penelitian ini didapat kontrol-kontrol pengamanan informasi yang akan diimplementasikan di perusahaan dalam bentuk dokumen statemen of applicabality(SOA).

---

Data and Information are valuable assets that need to be protected for company's businesses. Rapid growth in fraud cases, virus, hackers could threat management business information by exposing them which is caused by modern information technology. Hence, it is required to have information security management which protects confidentiality, integrity, and availability of information. As a company who runs in mobile solution, PT. XYZ uses information technology in company's information and data storage and processing. In order to minimize the risk, current information security needs to be visible by the company.

This research is conducted to provide potential suggestions on risk management improvement of information security using standard ISO/IEC 270001:2005 standard. By using ISO/IEC 270001:2005 standard, this research is able to assess and obtain gap analysis checklist of company's information security. According to company asset needs, objective controls will be selected. Results of this study obtained information security controls to be implemented in the company in the form of statements of applicabality documents (SOA)."

"Operational Technology (OT) adalah salah satu komponen yang menjadi lingkup teknologi yang sangat berkembang saat ini, yang dalam sistemnya dapat menghubungkan antarperangkat fisik melalui jaringan internet atau intranet. Saat ini PT XYZ menerapkan sistem OT untuk mendukung dan meningkatkan kapasitas produksi dan mulai ada kebutuhan untuk dibuat menjadi sistem yang dapat diintegrasikan dengan jaringan IT dan internet. Berdasarkan hasil observasi ditemukan bahwa dalam penerapan sistem OT di perusahaan masih memiliki kekurangan kontrol keamanan yang menyebabkan sistem tersebut tidak memenuhi kepatuhan terhadap kebijakan keamanan yang dimiliki perusahaan dan berpotensi menjadi celah keamanan yang dapat mengancam sistem perusahaan dan memberi kerugian yang besar pada perusahaan secara finansial. Penelitian ini dilakukan dengan mengidentifikasi aset dan risiko untuk kemudian diberikan kontrol keamanan yang sesuai dengan kondisi implementasi sistem dalam perusahaan dan dijadikan standar untuk mengamankan sistem integrasi IT-OT yang diimplementasikan di dalam perusahaan. Kontrol keamanan yang digunakan mengacu pada standar global IEC 62443 tentang keamanan Industrial Control System (ICS). Dari hasil pemetaan dengan acuan standar IEC62443 didapatkan rancangan kontrol tambahan yang diimplementasikan ke komputer yang terhubung dengan mesin sebagai mitigasi untuk risiko-risiko yang memiliki tingkat ekstrim dan tinggi. Selain kontrol secara teknis, dilakukan juga perancangan prosedur dan instruksi kerja sebagai kontrol tambahan.

---

Operational Technology (OT) is one of the components that are within the scope of today's highly developed technology, which in its system can connect physical devices via the internet or intranet networks. Currently PT XYZ is implementing an OT system to support and increase production capacity and there is a need to make the system can be integrated with IT networks and the internet. Based on the results of observations, it was found that in the implementation of the OT system in the company still has a lack of security control which causes the system does not meet compliance with the company's security policies and has the potential to become a security gap that can be a threat to the company's system and give big losses to the company financially. This research was conducted by identifying assets and risks and then provide security control according to the conditions of system implementation in the company and used as a standard to secure the IT-OT integration system implemented within the company. The security controls use the global standard IEC 62443 on Industrial Control System (ICS) safety as a reference. From the results of the mapping with reference to the IEC62443 standard, additional control designs are obtained which are implemented to computers connected to machines as mitigation for risks that have extreme and high levels. In addition to technical control, procedures and work instructions are also designed as additional controls.

"

"Operational Technology (OT) adalah salah satu komponen yang menjadi lingkup teknologi yang sangat berkembang saat ini, yang dalam sistemnya dapat menghubungkan antarperangkat fisik melalui jaringan internet atau intranet. Saat ini PT XYZ menerapkan sistem OT untuk mendukung dan meningkatkan kapasitas produksi dan mulai ada kebutuhan untuk dibuat menjadi sistem yang dapat diintegrasikan dengan jaringan IT dan internet. Berdasarkan hasil observasi ditemukan bahwa dalam penerapan sistem OT di perusahaan masih memiliki kekurangan kontrol keamanan yang menyebabkan sistem tersebut tidak memenuhi kepatuhan terhadap kebijakan keamanan yang dimiliki perusahaan dan berpotensi menjadi celah keamanan yang dapat mengancam sistem perusahaan dan memberi kerugian yang besar pada perusahaan secara finansial. Penelitian ini dilakukan dengan mengidentifikasi aset dan risiko untuk kemudian diberikan kontrol keamanan yang sesuai dengan kondisi implementasi sistem dalam perusahaan dan dijadikan standar untuk mengamankan sistem integrasi IT-OT yang diimplementasikan di dalam perusahaan. Kontrol keamanan yang digunakan mengacu pada standar global IEC 62443 tentang keamanan Industrial Control System (ICS). Dari hasil pemetaan dengan acuan standar IEC62443 didapatkan rancangan kontrol tambahan yang diimplementasikan ke komputer yang terhubung dengan mesin sebagai mitigasi untuk risiko-risiko yang memiliki tingkat ekstrim dan tinggi. Selain kontrol secara teknis, dilakukan juga perancangan prosedur dan instruksi kerja sebagai kontrol tambahan.

---

Operational Technology (OT) is one of the components that are within the scope of today's highly developed technology, which in its system can connect physical devices via the internet or intranet networks. Currently PT XYZ is implementing an OT system to support and increase production capacity and there is a need to make the system can be integrated with IT networks and the internet. Based on the results of observations, it was found that in the implementation of the OT system in the company still has a lack of security control which causes the system does not meet compliance with the company's security policies and has the potential to become a security gap that can be a threat to the company's system and give big losses to the company financially. This research was conducted by identifying assets and risks and then provide security control according to the conditions of system implementation in the company and used as a standard to secure the IT-OT integration system implemented within the company. The security controls use the global standard IEC 62443 on Industrial Control System (ICS) safety as a reference. From the results of the mapping with reference to the IEC62443 standard, additional control designs are obtained which are implemented to computers connected to machines as mitigation for risks that have extreme and high levels. In addition to technical control, procedures and work instructions are also designed as additional controls"

"Call center perbankan merupakan salah satu bagian dari organisasi dalam perbankan yang memberikan pelayanan virtual kepada nasabah melalui media akses telepon.Call center memiliki peranan yang jauh lebih penting dari yang dibayangkan oleh sebagian besar orang di perusahaan. Divisi inilah yang menjadi representatif perusahaan yang bersentuhan langsung dengan pelanggan. Sehingga dapat dikatakan sebagai pusatnya data-data penting para nasabah dan reputasi perusahaan sangat dipengaruhi oleh call center.Berada di level 10 besar perusahaan perbankan di indonesia, menjadikan PT.XYZ meninjau ulang manajemen di lingkungan internalnya. Terfokus pada divisi call center, PT.XYZ menginginkan untuk membuat suatu kebijakan baru terkait dengan manajemen risiko keamanan informasi. Karena keamanan informasi sangat diperlukan untuk menjaga agar data-data nasabah tidak bocor ke pesaing bisnisnya. Selain itu juga untuk meningkatkan tingkat kepercayaan nasabah terhadap PT.XYZ. Penelitian ini dilakukan untuk melakukan evaluasi terhadap tingkat keamanan risiko sekaligus membuat suatu kebijakan baru terkait dengan manajemen risiko keamanan informasi di divisi call center yang mengacu kepada ISO 27001:2013, sehingga segala kegiatan yang berkaitan dengan call center dapat lebih terkontrol dan meminimalisir kemungkinan risiko yang dapat merugikan PT.XYZ baik secara finansial maupun fungsional.

---

Call center PT.XYZ is a part of the bank organization that provides virtual services to customersby phone call. Call center has much more important functions than imagined by the mostly people.This division became direct representative of the company that contact with customers, so it can be said as the center of important data from the customers and the companys reputation is strongly influenced by the call center.PT.XYZ is one of the top 10 largest banking companies in Indonesia, making PT.XYZ reviewing its internal environmental management.Focused on call center division, PT.XYZ wants to create a new policy related to information security risk management.Because information security is highly important to keep the customers data not leaked to a competitor business. In addition, to increase the level of customer trust and confidence of the PT.XYZ.This study was conducted to evaluate the safety level of risk at the same time create a new policy related to information security risk management in the division call center which refers to the ISO 27001: 2013,so that all activities related to call center can be better controlled and minimize the possible risks that can harm PT.XYZ both financially and functionally."

"Indeks Keamanan Informasi KAMI adalah alat bantu untuk mengukur tingkat kepatuhan sistem berdasarkan SNI/ISO 27001, standar ini diwajibkan pada sistem yang bersifat strategis sesuai dengan Peraturan Menteri Komunikasi dan Informatika Nomor 4 tahun 2016. Akan tetapi untuk organisasi yang sangat bergantung pada sistem kendali industri, seperti pada industri migas, sistem ketenagalistrikan ataupun industri manufacturing, best practice yang disarankan yaitu menggunakan kerangka NIST SP 800-82. Penelitian ini mencoba mengajukan suatu metode pendekatan agar sistem dapat patuh terhadap kedua standar tersebut sekaligus. Adapun metode yang dilakukan yaitu dengan melakukan audit berdasarkan standar NIST SP 800-82 sehingga didapatkan rekomendasi kontrol berdasarkan analisis risiko yang ditemukan. Selanjutnya rekomendasi kontrol tersebut akan dijadikan referensi untuk menjawab checklist Indeks KAMI. Melalui metode ini didapatkan tingkat kepatuhan sistem terhadap Indeks KAMI meningkat sebesar 81,2 sehingga sistem tidak hanya patuh berdasarkan SNI 27001 tetapi juga berdasarkan NIST SP 800-82.

---

Indeks Keamanan Informasi KAMI is a tool for measuring system compliance based on SNI ISO 27001, where based on the Regulation of the Minister of Communication and Information Technology Number 4 of 2016 states all strategic systems must comply with this standard. However, for the organizations that rely on industrial control systems, such as the oil and gas industry, electricity systems or manufacturing industries, the best practice is to use the NIST SP 800 82 framework. Therefore, this research tries to propose an approach method so that the system will comply with both of standards. The approach is done by conducting an audit based on the NIST SP 800 82 framework to obtain controls recommendation based on the risk analysis that found on the system. Furthermore, such control recommendations will be used as a reference to answer the checklist of Indeks KAMI. Through this approach method, the system compliance level on Indeks KAMI increased by 81.2 so that the system does not only complies with SNI 27001 but also based on NIST SP 800 82."

"ABSTRAKSistem Informasi Geospasial Kementerian Lingkungan Hidup dan Kehutanan KLHK merupakan sistem elektronik strategis yang menangani 33 informasi geospasial. KLHK membutuhkan suatu perencanaan manajemen risiko keamanan informasi yang mendukung sistem informasi geospasial. Penelitian ini akan menganalisis serta merancang manajemen risiko keamanan informasi geospasial KLHK dengan menerapkan pengumpulan data melalui wawancara, studi dokumen dan literatur serta pengolahan data dengan menggunakan kerangka kerja ISO 27005:2011 dan ISO 27002:2013. Hasil yang didapat dari penelitian ini adalah dokumen perencanaan manajemen risiko keamanan informasi berupa dokumen penanganan risiko, rekomendasi kontrol untuk mengurangi risiko dan penerimaan risiko sebagai solusi kebijakan dalam keamanan informasi geospasial KLHK.

---

ABSTRACTGeospatial Information Systems of the Ministry of Environment and Forestry KLHK is an electronic system that handle 33 strategic geospatial information. KLHK requires an information security risk management plan that supports geospatial information systems. The study will analyze and design the information security risk management at KLHK by applying geospatial data collection through interviews, documents and literature studies as well as data processing using ISO 27005 2011 and 27002 2013 framework. The results obtained from this study is document of information security risk management plan in the form of risk mitigation document, recommendations to reduce the risk and control of risk acceptance as a solutions in geospatial information security policy."

"In Crimology, Access control is known as one of the six teen technique introduced by Ronald V. Clarks on his famous writing about Situational Crime Prevention. Access control is a concept of some symbolic or physical barrier used to select and determine the mobility entry or exit of human. This concept is also potential to be develop on to it is own concept of security system. This research is about how to implement access control concept as a security system concept. Research was conducted at PT "X", an 35 years old foreign investment company, which is it site located at Pasar rebo District, East Jakarta. PT. "X" is a pharmaceutical company, producing gynecological product including oral contraception, which one of their most famous product is Pil KB Lingkaran Biru. Like others modem pharmaceutical company, PT "X" implement high standard of management principle and quality control, to each function under this company organization, including security function. Also like other manufacturing company, the community inside this company characterize by functional relationship, which then lead their employee into some unique relationship which colored by sub unit bonding in company structure, such as Department division or Section. This condition also become basic consideration to determine the mobility and access of each person who has interest to enter any space or room inside these company site. There are four element, choose as basic requirement if access control like to implemented in these company. Those element are administrational, technical, organizational and personal aspect. All this aspect has correlation and supporting as a system. Administrational aspect gives legitimation and power, technical aspect is a supporting tools to make the program runs easier and possible. Organizational aspect describe procedure and mechanism to do the system. Personal aspect lead to share responsibility and function for each unit in the security system. There are still no guarantee that system base on access control concept can or effective in reducing crime in a work place. But At least, access control can be used as a concept to build a security system at other industrial site which might have same characteristic and with same method."

"Situasi sesungguhnya pada perusahaan jasa konstruksi PT XYZ berdasarkan laporan pemeriksaan internal memperlihatkan bahwa terdapat beberapa transaksi terkait siklus pengeluaran kas perusahaan yang kurang lazim. Hal ini menunjukkan bahwa perusahaan memerlukan suatu Sistem Pengendalian Internal yang memadai untuk memberikan keyakinan atas transaksi-transaksi pengeluaran kas sehingga laporan atas pengeluaran kas dapat disajikan secara wajar.Selain itu, pengendalian internal jika dirancang dan diterapkan secara tepat, dapat mencegah dan mendeteksi fraudyang dapat merugikan perusahaan. Penelitian ini bertujuan untuk mengevaluasi dan memberikan usulan perbaikan sistem pengendalian internal atas siklus pengeluaran kas pada PT XYZ dengan menggunakan prinsip-prinsip COSO framework 2013. Penelitian ini merupakan penelitian studi kasus yang menggunakan pendekatan kualitatif deskriptif dengan melakukan observasi objek penelitian dan wawancara kepada pimpinan dan personil PT XYZ. Hasil penelitian menunjukkan bahwa masih terdapat beberapa kelemahan pada sistem pengendalian internal pada siklus pengeluaran kas perusahaan, seperti belum terdapat pakta integritas, SOP belum update dan belum menjelaskan peran teknologi dan sistem informasi, belum terdapat dokumen tertulis mengenai identifikasi dan penilaian risiko, metode untuk melakukan penilaian risiko, identifikasi risiko kecurangan,dan identifikasi risiko perubahan, aktivitas pengendalian belum mempertimbangkan mitigasi risiko, sosialisasi terkait pengendalian internal masih perlu ditingkatkan, belum terdapat saluran komunikasi terpisah untuk komunikasi anonim/rahasia, belum terdapat strategi pemantauan, dan belum terdapat dokumen tertulis mengenai rencana cakupan dan frekuensi evaluasi berdasarkan pada risiko. Selain itu penelitian ini juga melakukan penilaian risiko dan analisis fraud sehingga dapat diketahui sistem pengendalian yang tepat dan efektif dalam siklus pengeluaran kas. Lebih lanjut, usulan perbaikan diberikan berdasarkan kelemahan yang teridentifikasi dalam penelitian.

---

The real situation of construction company PT XYZ based on the internal audit report shows that there are some unusual transactions related to cash disbursement cycle. This indicates that the company needs an adequate Internal Control System to provide assurance in cash disbursement transactions so that reports on cash disbursements can be fairly presented. Furthermore, if internal control is properly designed and implemented, it can prevent and detect fraud which may harm the company. This research aims to evaluate and propose improvement of internal control system over the cash disbursement cycle of PT XYZ by using the principles of COSO framework 2013. This research is a case study research using descriptive qualitative approach by observing the object of research and interviewing to the senior personnel of PT XYZ.

The results show that there are still some weaknesses in the internal control system in cash disbursement cycle, such as there is no integrity pact yet, SOP has not been updated and has not explained the role of technology and information system, there is no written document on risk identification and assessment, risk assessment method, fraud risk identification, and identification risk changes, control activities have not considered risk mitigation yet, socialization related to internal controls needs to be improved, there is no separate communication line for anonymous confidential communication, there is no monitoring strategy, and there is no written document on the coverage and frequency of evaluation plan based on the risk. In addition, this research also conducts self control assessment and fraud analysis so that it can be known the appropriate and effective internal control in the cash disbursement cycle. Furthermore, the proposed improvement is based on the weaknesses identified in the study."

"Risiko pembiayaan sebagai salah satu risiko terbesar dalam industri pembiayaan dan memberikan eksposur yang semakin besar di tengah ketidakstabilan perekonomian. Pada studi kasus ini peneliti melihat risiko pembiayaan secara Enterprise Risk Management (ERM) dengan pendekatan model the Three Lines of Defence dan proses manajemen risiko berdasarkan ISO 31000. Berdasarkan peran dalam the Three Lines of Defence, penerapan proses manajemen risiko pembiayaan di unit bisnis PT XYZ saat ini sebenarnya sudah efektif namun belum sesuai karena dilakukan oleh divisi Risk dan menyebabkan risk owner menjadi kurang merasa bertanggung jawab atas risikonya. Kemudian, Audit Internal belum dapat menggunakan hasil manajemen risiko tersebut dalam meningkatkan sistem pengendalian intern perusahaan. Selain itu, penerapan manajemen risiko pembiayaan masih terpisah dari risiko lainnya dan tidak dilihat secara ERM.

---

Financing risk is one of the biggest risk in financial industry and give more exposure in the economic instability. In this case study researcher views financing risk in Entreprise Risk Management (ERM) way with the Three Lines of Defence model as approach and risk management process based on ISO 31000. Based on function in the Three Lines of Defence, implementation of financing risk management process in business unit PT XYZ for now is effective enough practically but not appropriate because it is implemented by Risk division and leads risk owner become irresponsible with their own risk. Afterwards, Internal Audit had not utilized risk management result for improving company?s internal control system. Furthermore, implementation of financing risk management is still detached from other risks and not observed with ERM."