Salah satu bentuk transaksi elektronik yang semakin diminati oleh masyarakat pada saat ini adalah dompet digital. Dengan penggunaan yang mudah karena tidak menggunakan uang sebagai alat pembayaran langsung, proses registrasi pendaftarannya juga tidak sulit untuk dilakukan. Di balik semua kemudahan yang ada dalam dompet digital, sebagai suatu aplikasi yang didalamnya terdapat dana yang berasal dari pengguna, aplikasi dompet digital ini menjadi salah satu aplikasi yang banyak diincar oleh pelaku serangan siber. Tesis ini membahas dan menelaah proses desain suatu kerangka kerja keamanan infrastruktur untuk layanan dompet digital yang menggunakan standarisasi kombinasi PCI DSS 4.0 dan COBIT 2019 dengan pendekatan analisis berbasis manajemen risiko. Desain kerangka kerja tersebut kemudian diimplementasikan dalam suatu lingkup organisasi dompet digital XYZ. Penerapan kerangka kerja ini berisikan rangkaian proses berupa identifikasi ruang lingkup, aset dan celah keamanan, asesmen risiko, pengendalian risiko dalam bentuk validitas dan penerapan kontrol serta pengamatan dan umpan balik dari penerapan kendali terhadap risiko. Dalam proses pencarian data untuk penerapan kerangka kerja ini dilakukan juga wawancara dengan jumlah 10 pertanyaan terkait kebijakan teknis kepada Kepala Bagian IT dan Senior Expert divisi IT dengan hasil wawancara berupa data-data aset kritikal, celah keamanan dan kerentanan yang timbul dan kebijakan yang sudah diambil perusahaan untuk mengurangi risiko yang ditimbulkan oleh serangan keamanan sistem infrastruktur. Hasil kuesioner terhadap desain kerangka kerja yang dilakukan menyatakan 100% setuju bahwa kerangka kerja ini memiliki langkah-langkah yang lengkap dan dapat menjadi tolok ukur untuk digunakan dalam layanan dompet digital akan tetapi hanya 66,7% responden yang menyatakan kerangka kerja ini mudah untuk diterapkan. Dari hasil penerapan kerangka kerja di organisasi dompet digital XYZ ditemukan terdapat 27 aset kritikal dengan 30 faktor risiko teridentifikasi, dan 14 risiko dalam level sangat tinggi, tinggi dan sedang yang perlu dilakukan pengendalian kontrol baru.
e-Wallets are one form of electronic transaction that is increasingly favored by everyone. Apart from the convenience of not having to carry physical cash as adirect means of payment, the registration process is also considered relatively easyto do. However, behind all the conveniences found in digital wallets, as anapplication that contains funds originating from users, these digital walletapplications have become one of the applications that are being aggressivelytargeted by cyber attackers. This thesis examines the process of developing aninfrastructure security framework for e-wallet services by combining a standardizedof PCI DSS 4.0 and COBIT 2019 with an analytical risk management approach.The framework design is then implemented into practice within the parameters ofthe XYZ e-wallet company. This framework's implementation process entails thenumber of steps, including scope, asset, and security vulnerability identification;risk assessment; risk control, including the implementation of controls andmonitoring their effectiveness; and observation feedback on the process. In theprocess of searching for data to implement this framework, interviews were alsoconducted with the Head of IT Department and Senior IT Expert of the IT division,consisting of 10 questions related to technical policies. The interview resultsinclude critical asset data, security vulnerabilities and weaknesses that arise, andthe company's policies already implemented to mitigate the risks posed by securityattacks on the infrastructure system. According to the survey findings on theframework design, 100% of respondents agreed that this framework containedcomplete stages and could serve as a benchmark for usage in digital wallet services,however only 66.7% said that it was simple to put into practice. Following theframework's implementation, it was discovered that the XYZ e-wallet company had27 important assets, 30 recognized risk factors, and 14 risks at very high, high, and medium levels that needed for new controls |
T-Mangampu R. Silaban.pdf :: Unduh