![Makalah TI - Pengamanan Cyber [PDF]](https://pdfs.asia/img/200x200/makalah-ti-pengamanan-cyber.jpg)
27 0 646 KB
MAKALAH PENGAMANAN CYBER DAN KELANGSUNGAN BISNIS TUGAS MATA KULIAH TEKNOLOGI INFORMASI UNTUK MANAJEMEN
Dosen Pengampu: Suharyanto, S.Kom., M.M.
Disusun oleh: KELOMPOK 3 1. 2. 3. 4. 5. 6. 7. 8. 9.
Sylvia Maulidia Santang Selysa Okaviani Khadiah Abdul Choliq Ibnu Huda Fahmi Aziz Muhammad Yusuf Al Faruqi Sulfiati Muhammad Rizki Novelia Nuryudiani Pratiwi Rizka Destiani Kholifah
(2012070047) (2012070049) (2012070050) (2012070051) (2012070052) (2012070053) (2012070064) (2012070065) (2012070068)
Perbanas Institute Fakultas Ekonomi dan Bisnis Program Studi Manajemen Kelas Karyawan Tahun 2021
BAB I PENDAHULUAN
A. Latar Belakang Kemajuan ilmu pengetahuan dan teknologi membawa berbagai implikasi kompleks dalam kehidupan manusia dan hubungan antar negara. Seiring dengan perkembangan teknologi Internet, menyebabkan munculnya kejahatan yang disebut dengan cyber crime atau kejahatan melalui jaringan Internet. Munculnya beberapa kasus cyber crime di Indonesia, seperti pencurian kartu kredit, hacking beberapa situs, menyadap transmisi data orang lain, misalnya email, dan memanipulasi data dengan cara menyiapkan perintah yang tidak dikehendaki ke dalam programmer komputer. Dalam dua dokumen Kongres PBB mengenai The Prevention of Crime and the Treatment of Offenders di Havana, Cuba pada tahun 1990 dan di Wina, Austria pada tahun 2000, ada dua istilah yang dikenal: 1. Cyber crime dalam arti sempit disebut computer crime, yaitu prilaku ilegal atau melanggar secara langsung menyerang sistem keamanan suatu komputer atau data yang diproses oleh computer. 2. Cyber crime dalam arti luas disebut computer related crime, yaitu perilaku ilegal atau melanggar yang berkaitan dengan sistem komputer atau jaringan. Dari beberapa pengertian diatas, secara ringkas dapat dikatakan bahwa cyber crime dapat didefinisikan adalah suatu tindakan kriminal yang melanggar hukum dengan menggunakan teknologi komputer sebagai alat kejahatannya. Dampak dari kejahatan komputer tersebut sangat luar biasa, bahkan bisa menghancurkan bisnis perusahaan raksasa sekalipun. Adapun motif yang melatarbelakangi kejahatan komputer dalam dunia bisnis umumnya adalah motif ekonomi, antara lain untuk menghancurkan pihak lain yang dianggap pesaing dan mengambil keuntungan ekonomi dari pihak lain.
B. Rumusan Masalah 1. Apa saja jenis kerentanan dan ancaman yang dihadapi sektor bisnis? 2. Apa saja macam jaminan perlindungan dan manajemen risiko TI seperti apa yang dapat dilakukan?
3. Apa yang disebut ISMS (Information Security Management System)? 4. Apa yang disebut pengamanan jaringan? Apa saja contohnya? 5. Bagaimana proses pengendalian internal dan kepatuhan? 6. Bagaimana kaitan antara kelangsungan bisnis dan pengauditan? 7. Apa contoh studi kasus terkait pengamanan cyber?
C. Tujuan 1. Untuk mengetahui jenis kerentanan dan ancaman yang dihadapi sektor bisnis 2. Untuk mengetahui macam jaminan perlindungan dan manajemen risiko TI yang dapat dilakukan 3. Untuk mengetahui pengertian dari ISMS (Information Security Management System) 4. Untuk mengetahui pengertian dari pengamanan jaringan dan dapat memahami contohnya 5. Untuk mengetahui proses pengendalian internal dan kepatuhan 6. Untuk mengetahui kaitan antara kelangsungan bisnis dan pengauditan 7. Untuk mengetahui contoh studi kasus terkait pengamanan cyber
BAB II PEMBAHASAN A. Kerentanan dan Ancaman dalam Sektor Bisnis Menurut pendapat Mcdonnell dan Sayers, ancaman siber terdiri atas tiga jenis, yaitu 1. Ancaman perangkat keras (hardware threat) Ancaman ini merupakan ancaman yang disebabkan oleh pemasangan perangkat tertentu yang berfungsi untuk melakukan kegiatan tertentu didalam suatu sistem, sehingga peralatan tersebut merupakan gangguan terhadap sistem jaringan dan perangkat keras lainnya. 2. Ancaman perangkat lunak (software threat) Ancaman ini merupakan ancaman yang disebabkan masuknya perangkat lunak tertentu yang berfungsi untuk melakukan kegiatan pencurian, perusakan, dan manipulasi informasi. 3. Ancaman data/informasi (data/ information threat) Ancaman ini merupakan ancaman yang diakibatkan oleh penyebaran data/informasi tertentu yang bertujuan untuk kepentingan tertentu. Dalam kajian Strategis Keamanan Siber Nasional, mendefinisikan ancaman kejahatan siber (cyber crime) sebagai setiap kondisi dan situasi serta kemampuan yang dinilai dapat melakukan tindakan atau gangguan atau serangan yang mampu merusak atau segala sesuatu yang merugikan sehingga mengancam kerahasiaan (confidentiality), integritas (integrity), dan ketersedian (availability) sistem dan informasi. Ancaman siber dapat terjadi karena adanya kepentingan dari berbagai individu atau kelompok tertentu dalam aspek kehidupan masyarakat dapat menimbulkan berbagai ancaman fisik, baik nyata ataupun yang tidak nyata dengan menggunakan kode-kode komputer (software) untuk melakukan pencurian informasi (information theft), kerusakan sistem (system destruction), manipulasi informasi (information corruption) atau perangkat keras (hardware) untuk melakukan gangguan terhadap sistem (network instruction) ataupun penyebaran data dan informasi tertentu. Dalam dunia bisnis sendiri khususnya di Indonesia cukup sering terjadi kejahatan siber melihat data yang dikeluarkan Badan Siber dan Sandi Negara (BSSN) pada tahun 2018 lalu terjadi 12.9 juta serangan kejahatan siber. Mudahnya akses internet saat ini menjadi salah satu alasan hacker atau peretas mudah untuk menyerang ke jaringan
korbannya bahkan para peretas tidak hanya menggunakan computer saja dalam meretas tapi mereka juga bisa menggunakan smartphone selama mereka mendapatkan akses internet. Beberapa jenis kejahatan siber yang dapat mengancam jaringan IT sebuah perusahaan diantaranya: 1. DoS (Denial of Service) DoS adalah kejahatan siber yang berusaha melumpuhkan sebuah website sehingga tidak bisa diakses oleh pengguna. Serangan yang bertubi-tubi tersebut dilakukan oleh para hacker agar pertama situs menjadi down. Semakin gencar serangannya, maka bisa dipastikan lambat laun website menjadi lumpuh total. Salah satu contoh dari serangan DoS paling parah terjadi pada bulan Maret 2018 lalu yang menimpa situs Github. Sebagaimana dilansir dari FoxNews tingkat serangan ini adalah yang paling besar, yakni mencapai 1.35 Terabit per Second (Tbps). Hal tersebut membuat laman Github menjadi lumpuh untuk sementara waktu. Meskipun serangan hanya berjalan sekitar 10 menit saja, jelas hal ini membuat kerugian tersendiri bagi Github. 2. Malware Bentuk dari serangan ini sendiri merupakan perangkat lunak yang memiliki kadar bahaya tingkat tinggi karena di dalamnya terdapat virus. Saat perangkat lunak itu sudah berhasil ke perangkat yang digunakan, Malware bisa dengan cepat merusak apa saja yang ada di dalamnya. Biasanya serangan berbahaya oleh Malware masuk ke perangkat saat mengunduh suatu file hingga di-install. Hal inilah yang membuat Malware merupakan salah satu bentuk kejahatan siber paling sangat berbahaya. Pada tahun 2016 lalu Indonesia berdasarkan data Veritrans and Daily Social masuk sebagai salah satu negara paling rentan serangan ini. Maka tidak heran bila banyak perusahaan sedikit memutar otak untuk mencari solusi terbaik untuk menangkal serangan ini dari para hacker. 3. Phishing Phishing berhubungan dengan pencurian data. Biasanya, data-data yang dicuri merupakan data penting seperti PIN, password hingga username. Phishing biasanya
menggunakan metode penyebaran melalui email yang memiliki attachment. Setelah membuka attachment tersebut, maka kejahatan siber mulai dilancarkan. Serangan Phishing yang cukup meresahkan dilakukan para hacker pernah terjadi selama gelaran Piala Dunia 2018 lalu. Para pelaku kejahatan menurut Federal Trade Commision seperti dikutip Inc.com memberikan iming-iming tiket terbaik bagi para penonton yang akan datang langsung ke Rusia saat gelaran Piala Dunia 2018. Namun, banyak para korban tertipu setelah memasukkan data penting dan melakukan pembayaran. Setelah dikonfirmasi ternyata email tersebut palsu dan bukan dari pihak resmi sehingga merugikan berbagai pihak penyelenggara. 4. Credential Reuse Jenis kejahatan siber yang keempat adalah Credential Reuse. Jika memiliki username, password dan PIN yang mirip atau sama di beberapa akun, maka hal tersebut menjadi makanan empuk dari Credential Reuse. Hal karena konsep dari jenis kejahatan siber ini yang menggunakan ulang beragam informasi penting yang sudah mereka dapatkan sebelumnya. Ketika hacker sudah mendapatkan informasi penting tersebut, mereka segera menyerang akun-akun korban lainnya. Setidaknya dalam satu bulannya menurut hasil survei oleh Akamai ada sekitar 12 perusahaan besar di dunia yang berpotensi menjadi target dari serangan ini. Untuk mencegah serangan jenis ini kita perlu mengganti password akun secara berkala. 5. SQL Injection Jenis kejahatan siber yang juga wajib kita waspadai berikutnya, yaitu SQL Injection. Untuk bagian IT di sebuah perusahaan, serangan model ini sangatlah berbahaya. Hal ini terjadi dikarenakan adanya celah yang tidak bisa ditutupi oleh sistem keamanan dari database tersebut.
SQL
Injection
dalam
praktiknya
secara
manual, hacker biasanya memasukkan kode berupa tanda seperti titik, petik tunggal, dan strip. Ketika kode tersebut berhasil, maka seluruh data dalam sebuah database akan terhapus dan data tersebut digunakan oleh hacker untuk melakukan tindakan lainnya yang merugikan sebuah perusahaan. Dalam perkembangannya, SQL Injection banyak dilakukan oleh para hacker untuk menyerang data-data penting yang berkaitan dengan situs-situs pelayanan publik.
Tujuannya pun beragam, mulai untuk kejahatan hingga melemahkan sebuah sistem yang ada. Contohnya adalah pencurian data milik sebuah departemen kesehatan, Wall Street Journal, hingga lembaga pemerintahan di Amerika Serikat. 6. Cross-Site Scripting (XSS) Merupakan
kejahatan
siber yang
berusaha
merusak
atau
mengambil
alih
suatu website tertentu, terutama di instansi pemerintahan atau perusahaan di sektor perbankan dan keuangan. Informasi semacam username, password dan PIN bisa didapatkan oleh hacker dengan cara memasukkan kode HTML atau client script code ke sebuah situs. Serangan ini pertama kali diidentifikasi oleh Microsoft pada tahun 2000 silam, namun beberapa waktu belakangan kembali mencuat. Bahkan data dari HackerOne yang dikutip oleh TechRepublic melaporkan bila pada Juli 2017 lalu saja serangan ini mendominasi berbagai platform di dunia maya. 7. Man in the Middle Jenis kejahatan siber yang terakhir adalah Man in the Middle. Sesuai dengan namanya, kejahatan siber jenis ini menempatkan hacker di tengah-tengah komunikasi antara dua orang. Ketika mereka sedang berkomunikasi, maka berbagai informasi penting yang dibagikan di antara keduanya bisa dicuri oleh hacker. Selain mengambil informasi, hacker juga bisa menyisipkan malware ke dalam informasi yang dibagikan sehingga menambah masalah untuk kedua orang tersebut. B. Jaminan Perlindungan dan Manajemen Risiko TI IT Risk Management (Manajemen Resiko Teknologi Informasi) adalah suatu proses identifikasi kerentanan dan ancaman terhadap sumber daya informasi yang digunakan oleh
sebuah organisasi dan
dilakukan
oleh manajer IT
untuk
mencapai
tujuan bisnis,mengurangi resiko, dan menyeimbangkan pengeluaran dalam mencapai keuntungan dan melindungi IT. Ada dua hal didalam definisi ini yang membutuhkan penjelasan. Pertama, proses manajemen resiko yang merupakan proses berulang yang berlangsung. Proses ini harus diulang tanpa batas, sebab lingkungan bisnis yang fleksibel atau terus berubah yang menyebabkan munculnya ancaman baru. Kedua, pilihan penanggulangan (kontrol) yang
digunakan untuk mengelola resiko harus menjaga keseimbangan antara produktivitas, biaya, efektivitas penanggulangan, dan nilai aset informasi yang harus dilindungi. Manajemen Resiko dirancang untuk melakukan lebih dari sekedar mengidentifikasi resiko. Sistem juga harus mampu mengukur resiko dan memprediksi dampak dari resiko pada proyek. Hasilnya adalah resiko yang dapat diterima atau tidak dapat diterima. Persetujuan atau
tidak
dari suatu
resiko
biasanya
tergantung
pada
tingkat
toleransi manajer proyek untuk resiko. Beberapa organisasi memiliki
sebuah Manajemen Resiko
Perusahaan
(Enterprise Risk Management/ERM). Ada empat kategori, menurut Committee of Sponsoring Organization of Treadway Commission (COSO), yaitu 1. Strategi 2. Operasi/pengerjaan 3. Laporan Pengeluaran 4. Pemenuhan/Penyesuian Ada 4 proses manajemen risiko IT, yaitu 1. Mengidentifikasi Resiko Perusahaan mengungkap, mengenali dan menggambarkan resiko yang mungkin mempengaruhi proyek. 2. Menganalisis Resiko Ketika resiko sudah di - identifikasi, perusahaan menentukan kemungkinan dan konsekuensi dari setiap resiko yang ada. Perusahaan lalu mengembangkan sebuah pemahaman tentang sifat resiko dan potensi untuk mempengaruhi tujuan dan sasaran proyek . 3. Mengevaluasi Resiko Perusahaan mengevalusi resiko dengan menentukan besarnya resiko, yang merupakan kombinasi dari kemungkinan dan konsekuensi. Lalu Perusahaan membuat keputusan apakah resiko itu diterima atau tidak. 4. Memantau dan Mempertimbangkan Resiko Ini adalah tahap dimana perusahaan memantau setiap resiko yang ada untuk menghindari resiko yang lebih besar. Hambatan umum terhadap data dan sistem teknologi informasi meliputi
-
Kerusakan perangkat keras dan perangkat lunak
-
Malware
-
Virus komputer
-
Spam, scams, and phishing
-
Human error Selain hambatan umum, dalam IT Risk Management juga mengelola hambatan
criminal terhadap teknologi informasi suatu perusahaan, antara lain -
Hackers, yaitu orang-orang yang secara tidak sah menerobos ke dalam sistem computer
-
Fraud, yaitu penggunaan computer untuk memanipulasi data untuk kepentingan yang melanggar hukum
-
Denial-of-service, yaitu serangan online yang membuat pengguna tidak dapat mengakses situs tertentu
-
Staff dishonesty, yaitu pencurian data atau informasi penting oleh karyawan internal.
C. Pengertian dari ISMS (Information Security Management System) ISO/IEC 27001 disebut ISMS (Information Security Management System) ialah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. ISO/IEC 27001 merupakan dokumen sistem manajemen keamanan informasi yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan maupun organisasi dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi dimiliki berdasarkan ”best practise” dalam pengamanan informasi. Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini -
Memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang.
-
Memastikan bahwa informasi tetap lengkap dan akurat, serta informasi tersebut tidak dapat dimodifikasi tanpa otorisasi yang jelas. Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang
terdiri dari struktur organisasi, kebijakan, proses, prosedur, serta fungsi-fungsi infrastruktur teknologi informasi. Dengan kata lain ISO/IEC 27001 adalah suatu cara untuk melindungi dan mengelola informasi terhadap resiko bisnis berdasarkan pendekatan
yang
sistematis
untuk
mempersiapkan,
mengimplementasikan,
mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi. Berikut Manfaat dari penerapan ISO/IEC 27001: 1. Membantu organisasi yang terkait dengan kesesuaian terhadap kebutuhan standar keamanan informasi yang sudah teruji. 2. Meningkatkan hal positif berkenaan dengan reputasi perusahaan, nilai, dan persepsi yang baik dari pihak lain. 3. Memastikan bahwa organisasi memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin dapat menimbulkan risiko atau gangguan. 4. Meningkatkan kepercayaan pelanggan, pihak ketiga, dan seluruh stakeholder yang ada terhadap pelayanan yang diberikan melalui organisasi. 5. Membantu organisasi menjalankan perbaikan yang berkesinambungan di dalam pengelolaan keamanan informasi. 6. Membuat pelaksanaan setiap proses menjadi lebih sistematis dan merubah etos kerja organisasi. 7. Meminimalkan resiko melalui proses yang profesional, terstandarisasi dan komprehensif dalam kerangka manajemen resiko. 8. Diferensiasi pasar. 9. Meningkatkan efektivitas dan kehandalan pengamanan informasi. 10. Salah satu standar pengamanan informasi yang diakui di seluruh dunia. 11. Karena standar yang sudah teruji maka kemungkinan rendahnya pembayaran premi asuransi yang harus dibayar kepada perusahaan asuransi.
12. Patuh terhadap hukum dan perundangan seperti UU ITE, dll. 13. Meningkatkan profit perusahaan. 14. Menunjukkan tata kelola yang baik dalam penanganan informasi. 15. Staf lebih fokus terhadap tanggung-jawabnya karena manajemen senior memiliki tanggung-jawab keamanan informasi. 16. Adanya penilaian yang independen terkait ISMS dengan adanya audit setiap tahun. 17. Dapat digabung atau diintegrasikan dengan sistem manajemen lainnya seperti ISO 9001, ISO 14001. 18. Adanya mekanisme untuk mengukur berhasil atau tidaknya kendali pengamanan.
D. Pengertian dari Pengamanan Jaringan dan Contohnya Sistem keamanan jaringan adalah suatu sistem yang memiliki tugas untuk melakukan pencegahan dan identifikasi kepada pengguna yang tidak sah dalam jaringan komputer. Langkah pencegahan ini berfungsi untuk menghentikan penyusup untuk mengakses lewat sistem jaringan komputer. Tujuan dari dilakukan sistem keamanan jaringan komputer adalah untuk antisipasi dari ancaman dalam bentuk fisik maupun logic baik secara langsung atau tidak langsung yang mengganggu sistem keamanan jaringan. Ada beberapa cara untuk bisa menjaga sistem keamanan jaringan computer: 1. Pengendalian Teknis adalah pengendalian yang menjadi satu di dalam system dan dibuat
oleh
para
penyususn
system
selama
masa
siklus
penyusunan
system. Dilakukan melalui tiga tahap: a. Identifikasi Pengguna: Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor telepon.nomor telepon. b. Otentikasi Pengguna: Pengguna memverivikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti chip identifikasi atau tanda tertentu. c. Otorisasi Pengguna: Pengguna dapat mendapatkan wewenang untuk memasuki tingkat penggunaan tertentu. Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat menggunakan sumber daya informasi yang terdapat di dalam batasan file akses. 2. Pengendalian Kriptografis
Merupakan
penggunaan
kode
yang
menggunakan
proses-proses
matematika. Meningkatkan keamanan data dengan cara menyamarkan data dalam bentuk yang tidak dapat dibaca. Berfungsi untuk melindungi data dan informasi yang tersimpan dan ditransmisikan, dari pengungkapan yang tidak terotorisasi. Kriptografi terbagi menjadi: a. Kriptografi Simetris: Dalam kriptografi ini, kunci enkripsi sama dengan kunci dekripsi. b. Kriptografi Asimetris: Dalam kriptografi kunci enkripsi tidak sama dengan kunci dekripsi. 3. Pengendalian Fisik Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan computer.Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. 4. Pengendalian Formal Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen
menghabiskan
banyak
waktu
untuk
menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang. 5. Pengendalian Informal Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.
E. Pengendalian Internal dan Kepatuhan 1. Pengendalian Internal Pengendalian
internal
digunakan untuk melihat
perusahaan
adalah
sistem
manajemen
yang
sejauh mana efektivitas dan pengawasan terhadap
ketidaksesuaian dalam mencari peluang perbaikan perusahaan. Pengendalian internal
yang dimaksud adalah tidak adanya sistem internal audit, atau pengawasan pada sistem organisasi atau perusahaan. Hal itupun tidak akan berjalan dengan baik apabila tidak ada komitmen yang baik dari dari masing-masing manajemen. Tujuan Sistem Pengendalian Internal Perusahaan, antara lain: - Kepatuhan: yaitu menjamin bahwa semua kegiatan usaha perusahaan telah dilaksanakan sesuai dengan ketentuan dan peraturan perundang-undangan yang berlaku, baik ketentuan yang oleh pemerintah maupun kebijakan dan prosedur internal yang ditetapkan oleh perusahaan. - Informasi: yaitu menyediakan laporan yang benar, lengkap, tepat waktu dan relevan yang diperlukan dalam rangka pengambilan keputusan yang tepat dan dapat dipertanggungjawabkan. - Operasional: yaitu meningkatkan efektivitas dan efisiensi dalam menggunakan aset dan sumber daya lainnya dalam rangka melindungi perusahaan dari risiko kerugian. Unsur-unsur pengendalian internal menurut para ahli yang perlu dirancang dan diterapkan oleh manajemen perusahaan, adalah: - Lingkungan pengendalian - Penilaian Resiko (risk assessment) - Prosedur pengendalian - Pengawasan - Informasi dan komunikasi Arti penting Sistem Pengendalian Internal bagi manajemen dan auditor: - Semakin luas lingkup dan ukuran perusahaan mengakibatkan di dalam banyak hal manajemen tidak dapat melakukan pengendalian secara langsung atau secara pribadi terhadap jalannya perusahaan.
- Pengecekan dan review yang melekat pada sistem pengendalian internal yang baik dapat akan pula melindungi dari kelemahan manusia dan mengurangi kekeliruan dan penyimpangan yang akan terjadi. 2.
Kepatuhan Compliance atau kepatuhan terhadap keamanan informasi adalah masalah hukum bagi organisasi yang bergerak di banyak industri saat ini. Standar regulasi dunia seperti PCI DSS, HIPAA, dan IS 2 001 201 menetapkan rekomendasi untuk melindungi data dan meningkatkan manajemen keamanan informasi di korporasi. Untuk mencapai kepatuhan keamanan, perusahaan akan mendefinisikan aspek keamanan informasi tersebut untuk mencapai tujuan keamanan informasi secara spesifik, serta mengurangi ancaman serangan baik melalui jaringan maupun proses seperti manajemen kerentanan. Dalam beberapa kasus, kegagalan pemenuhan dan kepatuhan keamanan informasi mengakibatkan hukuman kurungan dan denda finansial. Informasi juga merupakan jantung dan aset perusahaan. Keamanan informasi akan berdampak kepada hidup matinya perusahaan kerena turut menentukan dapat bersaing tidaknya perusahaan itu di pasar yang ada. Karena setiap standar keamanan utama melibatkan serangkaian persyaratan spesifik yang berkembang sesuai aman, mencapai kepatuhan keamanan dapat menjadi sangat rumit dan mahal. Untuk mendapatkan perlindungan dari kewajiban yang menyertai pelanggaran keamanan, perusahaan menghabiskan banyak waktu dan uang untuk upaya kepatuhan terhadap peraturan. Berikut adalah undang-undang tentang cyber crime: -
Pasal 27 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya informasi elektronik dan/atau dokumen elektronik yang memiliki muatan yang melanggar kesusilaan. Ancaman pidana pasal 45(1) KUHP. Pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp 1.000.000.000,00 (satu miliar rupiah). Diatur pula dalam KUHP pasal 282 mengenai kejahatan terhadap kesusilaan.
-
Pasal 30 UU ITE tahun 2008 ayat 3 : Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses computer dan/atau system elektronik dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol system pengaman (cracking, hacking, illegal access). Ancaman pidana pasal 46 ayat 3 setiap orang yang memebuhi unsure sebagaimana dimaksud dalam pasal 30 ayat 3 dipidana dengan pidana penjara paling lama 8 (delapan) dan/atau denda paling banyak Rp 800.000.000,00 (delapan ratus juta rupiah).
-
Pasal 33 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan tindakan apa pun yang berakibat terganggunya system elektronik dan/atau mengakibatkan system elektronik menjadi tidak bekerja sebagaiman mestinya.
-
Pasal 34 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau melawan hukum memproduksi, menjual, mengadakan untuk digunakan, mengimpor, mendistribusikan, menyediakan atau memiliki.
-
Pasal 35 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan, pengrusakan informasi elektronik dan/atau dokumen elektronik dengan tujuan agar informasi elektronik dan/atau dokumen elektronik tersebut seolah-olah data yang otentik (Phising = penipuan situs).
Selama bertahun-tahun, keamanan informasi telah mendapatkan berita buruk karena berbagai alasan. Dua yang utama adalah definisi yang buruk dan penerapan keamanan yang buruk. Berikut adalah beberapa prinsip keamanan informasi yang dapat membantu kepatuhan korporasi terhadap sebuah standar a. Keamanan informasi merupakan hal yang menyenangkan Sering kali banyak pengguna aplikasi dan sistem keamanan informasi alergi dengan keamanan. Pasalnya, keamanan berbanding terbalik dengan kenyamanan; makin aman akan makin tidak nyaman dan makin nyaman akan makin tidak aman. Dua hal ini dapat berpengaruh besar terhadap kepatuhan. Sebaiknya perusahaan melakukan yang seimbang Balance , agar kepatuhan terhadap keamanan informasi cepat tercapai di perusahaan tersebut.
b. Kepatuhan dan aman adalah dua hal yang berbeda Sebaiknya pengguna tidak perlu bingung dengan dua kata tersebut karena memang berbeda pemenuhannya. Kepatuhan adalah pemenuhan terhadap sebuah standar tertentu, sedangkan aman adalah pemenuhan terhadap yang ingin dicapai oleh perusahaan dengan tindakan mengamankan terhadap semua hal di lingkungannya. c. Aman adalah sebuah hal yang relatif Seperti definisi sebelumnya, keamanan informasi adalah tindakan mengelola risiko, bukan menghilangkannya. Dalam hal ini korporasi dan pengguna tidak dapat mengurangi risiko sampai menjadi nol, tetapi hanya dapat meminimalisasi saja. Keamanan yang relatif relativeness of security memerlukan pengukuran dan perbandingan yang berkelanjutan terhadap sebuah standar yang ditentukan. d. SDM adalah risiko terbesar SDM merupakan salah satu aset perusahaan dan risiko kebocoran keamanan informasi terbesar berada di tangan SDM tersebut. Perusahaan sudah begitu banyak mengeluarkan uang untuk melakukan proteksi terhadap keamanan dengan membeli teknologi yang canggih dan mahal, proses yang mahal dan rumit, tetapi SDM-lah yang merupakan tulang punggung pelaksana proteksi keamanan informasi. Tanpa kepatuhan SDM yang baik, perusahaan tidak akan pernah dapat meraih kepatuhan keamanan informasi. e. Kepatuhan terhadap keamanan informasi bukan penghambat untuk menghasilkan uang Kepatuhan keamanan informasi pada akhirnya dimaksudkan agar keamanan dan kepatuhan dapat bekerja sama. Bukan keamanan vs kepatuhan, begitu juga sebaliknya. Keamanan informasi di dalam perusahaan digunakan untuk mencapai kepatuhan keamanan informasi dan kedua hal itu tidak dapat dipisahkan. Tindakan yang berkelanjutan dan berulang yang dilakukan oleh semua pihak di dalam organisasi akan dapat mempercepat pencapaian kepatuhan kepada standar yang dirujuk. Itulah fenomena saat ini, bahwa kepatuhan keamanan informasi perusahaan akan dapat meningkatkan bisnis dan pendapatan perusahaan di pasar yang kompetitif. Seperti halnya pedal gas dan rem yang harus selaras untuk dapat
ngebut dalam perjalanan. Tanpa kedua hal itu, seorang pengendara akan sulit mencapai tujuan dengan selamat.
F. Kelangsungan Bisnis dan Pengauditan Peran dan tugas audit internal dalam cyber security sangat dominan dalam rangka mengamankan data-data penting milik perusahaan atau instansi dimana ia dipekerjakan. Seperti kita tahu bahwa di era modern yang serba digital ini, yang ditandai dengan penggunaan internet yang meluas di hampir semua sendi kehidupan maka diikuti pula dengan dampak negatif. Salah satu dampak negatif yang viral saat ini adalah maraknya penipuan dunia maya atau lazim disebut cyber crime Maka dari itu seorang audit internal harus siap menjadi garda depan dalam cyber security. 1. Berpartisipasi dan bekerja secara efektif dengan para pemangku kepentingan Hal ini merupakan salah satu peran dan tugas audit internal dalam cyber security. Seorang audit internal harus mengetahui tujuan auditor dan memastikan obyektivitas, menghindari konflik kepentingan selama proses audit, melakukan pre-audit planning, mengetahui bagaimana teknik sampling audit efektif, merekam berbagai penemuan dalam proses audit, serta mampu terlibat aktif dengan para pemangku kepentingan 2. Menanggulangi ancaman kejahatan ekonomi Berbagai kejahatan ekonomi akan mengancam kelangsungan hidup perusahaan atau instansi. Seorang Audit Internal harus bisa mengenali bentuk kejahatan ekonomi serta kejahatan elektronik, antara lain Money laundrying (pencucian uang), pemalsuan kartu kredit, pencurian data perusahaan, pemalsuan data gaji pegawai, dan lain sebagainya. -
Melakukan kerjasama dengan korporasi kelangsungan hidup perusahaan atau instansi dengan para pemangku kepentingan diikuti pGlobal Enforcement Agencies
-
Melakukan pengembangan deteksi secara efektif
-
Melakukan perlindungan dan Compliance System
-
Melakukan identifikasi area resiko
-
Memberikan klarifikasi dan menghitug (kuantifikasi) area resiko
-
Melakukan pengembangan frekuensi audit serta re-audit yang sejalan dengan resiko
-
Memberikan tinjauan pada ancaman yang berkembang
3. Respon Audit Secara Efektif Peran dan tugas audit internal dalam cyber crime selanjutnya adalah mengembangkan respon audit secara efektif, antara lain -
Audit Internal mampu berperan sebagai konsultan bagi pihak lain
-
Membuat laporan audit secara lengkap dalam rangka memberikan informasi mengenai pengembangan kebijakan perusahaan atau instansi tempat ia bekerja.
-
Mampu melakukan Continuous Improvement secara inisiatif
-
Melakukan peningkatan dan mengukur terjadinya peningkatan secara obyektif selanjutnya menunjukkan peningkatan hasil audit
4. Training Strategic Internal Audit Mengingat pentingnya profesi audit internal dalam suatu instansi/ perusahaan, maka sangat dianjurkan bagi audit internal mengikuti Training Strategic Internal Audit. Pelatihan tersebut dilakukan secara intensif yang mana akan memberikan pelajaran pada
peserta
agar
lebih
memahami
konsep
dan
teknik,
selanjutnya
mengaplikasikannya dalam internal audit secara lengkap dan integral. Pelatihan Internal Audit bertujuan untuk: -
Meningkatkan peran dan fungsi audit
-
Melakukan proses pelaporan serta audit secara efektif dan obyektif
-
Memberikan kontribusi terhadap strategi audit organisasi secara efektif
-
Terlibat aktif dan bekerjasama secara efektif dengan para pemangku kepentingan
-
Meningkatkan kualitas pada pengukuran serta Continuous Improvement di dalam fungsi audit instansi/ organisasi
-
Mengenali berbagai ancaman kejahatan ekonomi terhadap organisasi/ instansi
-
Mengenali berbagai ancaman kejahatan ekonomi selanjutnya mengembangkan respon audit secara efektif
-
Mengintegrasikan beberapa teknologi baru ke dalam fungsi-fungsi audit
G. Studi Kasus Terkait Pengamanan Cyber Judul: “Bagaimana Perusahaan Digital Antisipasi Isu Keamanan dan Privasi Data” oleh Randi Eka (29 Mei 2020)
Kemanan dan privasi data menjadi sorotan penting beberapa waktu terakhir. Beberapa platform di Indonesia memiliki isu di area ini yang berdampak bagi puluhan juta data pengguna. Tentu ini menjadi kabar kurang baik bagi ekosistem digital yang tengah berkembang, terlebih layanan yang akhir-akhir ini bocor cenderung dari perusahaan teknologi yang cukup besar – dari sisi skala bisnis maupun cakupan penggunanya.
Aspek keamanan dan privasi data (idealnya) menjadi komponen yang harus ada dalam sebuah proses pengembangan produk digital. Diskusi mengenai langkah antisipasi dari isu tersebut menjadi menarik – terlebih bagi ekosistem startup di Indonesia yang sebagian besar produknya digital dan melibatkan data-data pribadi pengguna. Untuk mengulas seputar hal tersebut, DailySocial berkesempatan berbincang bersama AVP Information Security Blibli Ricky Setiadi.AVP Information Security Blibli Ricky Setiadi / Dok. Pribadi Ricky Setiadi
Berikut hasil wawancara kami:
DailySocial (DS): Isu data breach sebenarnya bukan hal baru di Indonesia, namun menjadi buah bibir ketika melibatkan platform B2C/C2C dengan basis pengguna besar.
Dari pengalaman Pak Ricky sebagai praktisi di bidang keamanan siber, bisa dijelaskan sebagai besar kejadian tersebut diakibatkan karena faktor apa?
Ricky
Setiadi
(RS): Risiko
terhadap
ancaman
kebocoran
data
pada digital
platform senantiasa dalam rentang yang sangat tinggi. Jika menggunakan matriks risiko, kebocoran terhadap data bisa dikategorikan ke dalam high to critical. Nilai ini akan didapatkan dari kombinasi dampak dari frekuensi (seberapa sering terjadi) dan skala (seberapa besar dampak) kejadian kebocoran data.
Ruang lingkup kebocoran data dalam skala besar biasanya dilakukan karena terdapatnya celah atau vulnerability dari sistem yang dibuat oleh sebuah organisasi. Celah disebabkan oleh berbagai macam faktor, namun secara umum menjadi tiga kelompok besar, yakni People, Process, dan Technology. (1) People — Kebocoran data terjadi karena human error atau kelalaian manusia, bisa dari sisi pengembang atau pengguna. Pengguna kadang terlampau percaya kepada pengembang. Padahal keamanan data merupakan tanggung jawab bersama, sehingga keterlibatan dari sisi pengguna pun masih diperlukan. Beberapa penerapan keamanan dasar
yang
bisa
dilakukan
penggunaan password yang
dari
sisi
baik
pengguna (kombinasi
antara
lain
adalah
karakter password,
menggunakan password yang berbeda untuk setiap platform, serta menggantinya secara berkala). Pengguna juga perlu memiliki kesadaran atau pengetahuan terhadap ancaman social engineering (seperti phishing).
Tidak dimungkiri banyak kejadian yang juga terjadi karena kesalahan pada proses pengembangan atau maintenance sebuah produk digital. Sebagai contoh, pengembang tidak menerapkan enkripsi untuk penggunaan variable username dan password, dan penyimpanan private key yang tidak aman, atau terdapatnya penggunaan account default untuk setiap sistem yang digunakan. Contoh lainnya adalah kelalaian dalam melakukan maintenance seperti pengembang menggunakan sertifikat digital yang sudah kedaluwarsa, penggunaan database yang tidak terproteksi, hingga kelalaian dalam melakukan design system (tidak mengindahkan kaidah standard practice berdasarkan
risiko dalam pembagian sistem yang bisa diakses secara publik dan sistem yang hanya bisa diakses oleh internal). (2) Process — Eksploitasi terhadap business proses. Terkadang pelaku tindak kejahatan memanfaatkan kesalahan atau kelalaian proses yang dimiliki sebuah organisasi (logic flaw exploitation). Paradigma bahwa security adalah tameng atau sebagai pelindung terakhir sebuah produk, bisa menjadi salah satu faktor utama kebocoran data. Di Blibli, kami selalu berusaha menguji produk kami dari fase awal pengembangannya untuk menghindari serangan pada setiap tahapan. Ketidakhadiran pengujian terhadap sistem dalam proses pengembangan juga merupakan salah satu kesalahan yang memberikan dampak terhadap terjadinya kebocoran data.
Pengembang juga harus ingat untuk menerapkan proteksi pada perangkat keras. Beberapa kasus kebocoran data juga terjadi karena eksploitasi perangkat keras yang berisikan data pelanggan, contohnya seperti keamanan server atau hard disk yang menyimpan data secara offline. Technology – Pelaku kejahatan menemukan celah dari teknologi yang diterapkan pengembang. Teknologi merupakan hasil dari sebuah pengembangan produk logika manusia. Melalui pendekatan logika yang berbeda (terbalik), banyak para pelaku tindakan kejahatan memanfaatkan celah ini untuk kemudian dijadikan sebagai pintu dalam pengambilan data-data dari sebuah organisasi. Sebagai salah satu contoh adalah adopsi protokol keamanan data TLS 1.0, pada tahun 1999 teknologi ini banyak dimanfaatkan untuk mendukung layanan transaksi online. Namun seiringnya waktu, ditemukan satu celah keamanan pada TLS 1.0 ini yang memungkinkan terjadinya “Man in
The
Middle”
attack.
Dengan
adanya
celah
ini,
pelaku
dapat
melakukan intercept terhadap transaksi yang dilakukan oleh korban atau targetnya.
Jika
melihat
kepada
ketiga
komponen
di
atas
dan
berdasarkan
data
perkembangan incident report yang dikeluarkan oleh berbagai macam penelitian (salah satunya adalah cyware.com), kecenderungan serangan dan kebocoran data saat ini banyak
terjadi
karena
faktor People melalui social
engineering. Social
engineering seperti phishing, memudahkan pelaku untuk mengelabui targetnya. Pada saat yang
bersamaan, phishing juga
dijadikan
sebagai
media
utama
dalam
menyebarkan malware. Kombinasi ini kemudian di-maintain oleh pelaku untuk sebagai serangan baru yang biasa disebut dengan Advanced Persistent Threat (APT) attack. Dengan APT attack, pelaku kemudian melakukan pengembangan dan eksploitasi data yang kemudian bisa dikomersialisasi/dijual.
Untuk itu, edukasi mengenai social engineering kepada semua pihak yang terlibat dalam sebuah proses bisnis menjadi salah satu prioritas untuk menjaga keamanan data, terutama data pelanggan. Blibli, sebagai pengembang dan penyedia jasa digital, secara aktif mengedukasi seluruh stakeholder hingga para pelanggan. Edukasi dan penyebaran informasi dilakukan secara berkala agar Blibli dapat melakukan kontrol pengamanan yang komprehensif.
DS:Ditinjau dari sisi pengembang, hal apa saja yang perlu menjadi perhatian sejak dini agar sistem senantiasa mengakomodasi keamanan data dan privasi pelanggan? Faktorfaktor apa saja yang berkaitan erat dengan keamanan dan privasi data pengguna?
RS:Keamanan data dan informasi menjadi tanggung jawab bersama. Pelanggan harus jeli guna membatasi informasi yang diberikan ke penyedia jasa digital dan memahami risiko jika informasi yang diminta terlalu sensitif dan tidak berhubungan dengan jasa.
Keterbatasan pemahaman akan keamanan data ini lah yang membuat keterlibatan tim Security di setiap fase pengembangan sangatlah penting. Tim Security dapat meminimalkan terjadinya gangguan terhadap data pelanggan terutama data yang bersifat privacy atau rahasia (personally identifiable information atau PII). Pengamanan tidak hanya sebatas dari faktor keamanan teknis saat produk digital siap dibuat, namun penerapan pengamanan bahkan harus dilakukan saat produk didesain sesuai dengan standar best practice.
Berikut adalah beberapa faktor keamanan yang perlu diperhatikan, terutama ketika melakukan pemrosesan data pribadi, yaitu:
-
Regulasi pemerintah. Pastikan bahwa semua aspek regulasi yang dikeluarkan oleh pemerintah setempat sudah dijadikan sebagai salah satu referensi utama dalam proses pengambilan, pemrosesan, pengiriman, serta penyimpanan data pelanggan. Hal ini menjadi penting karena setiap wilayah akan memiliki hukum dan regulasi yang berbedabeda.
-
Kebijakan keamanan. Setiap pengembang saat ini harus memiliki sebuah payung yang digunakan dalam pengamanan data terutama data pelanggan. Payung ini biasanya dibentuk dalam sebuah Kebijakan Privasi. Dalam pembuatan kebijakan ini, pastikan dibuatkan dalam format sesederhana mungkin dan dalam Bahasa yang mudah dimengerti dengan tanpa melupakan aspek transparansi dan keamanan.
-
Pengukuran risiko. Pertimbangan lain dalam penjagaan dan pengamanan pada saat pengembangan aplikasi adalah melalui pendekatan terhadap pengukuran untuk setiap risiko. Ada beberapa manfaat yang bisa diambil pada saat penilaian risiko yang dilakukan. Selain melakukan identifikasi terhadap setiap potensi ancaman yang akan terjadi, penggunaan kontrol yang efektif juga dapat mengurangi beban biaya dalam proses mitigasi, mengingat setiap risiko akan memiliki bobot dan nilai serta kontrol yang berbeda. Tentunya dalam pengukuran risiko ini, setiap organisasi harus menerapkan atau memiliki kriteria penerimaan (acceptance level) dan rencana penanggulangannya (risk treatment plan parameter).
-
PII data collection. Dalam pengembangan sebuah platform pasti akan menggunakan minimal salah satu dari data pribadi. Sebagai contoh adalah data nama lengkap, alamat email, atau nomor telpon. Pengembang harus memperhitungkan dan mempertimbangkan secara matang sejauh mana desain produk akan mengolah data tersebut. Misalnya dalam proses registrasi, apakah platform yang kita kembangkan akan membutuhkan data-data lengkap seperti nama ibu kandung padahal platform yang dikembangkan bukan untuk
layanan perbankan. Contoh lainnya apakah kita membutuhkan data dalam bentuk kartu identitas atau Credit Card pada saat pengembangan sebuah fitur promo. Atau yang paling sering
ditemukan
dalam
pengembangan
produk
untuk smartphone,
terkadang
pengembang tidak benar-benar memperhatikan kebutuhan aplikasinya, sehingga ada beberapa aplikasi yang secara default dapat mengakses contact, galeri, kamera, dan lain sebagainya. Usahakan penggunaan data pribadi dilakukan sesuai dengan kebutuhan dan pada saat menggunakan data tersebut dipastikan bahwa kita sudah memiliki kontrol yang tepat untuk setiap data yang dikumpulkan.
-
Fitur dan proses keamanan. Saat ini fitur keamanan adalah salah satu faktor yang akan dipertimbangkan oleh pelanggan dan calon pelanggan. Penggunaan enkripsi (https dalam mode web atau enkripsi lain dalam pengiriman data) merupakan salah satu fitur keamanan yang dapat membantu dalam keamanan data pelanggan. Selain itu fitur two factor authentication atau recovery methods lainnya adalah pendekatan pengembangan lainnya yang dapat digunakan sebagai daya tarik pelanggan dalam pengamanan data. Selain itu dalam proses internal, pastikan terdapat aturan yang tegas dalam memberikan hak akses kepada setiap stakeholder yang terlibat. Segregation of duties atau pemisahan tugas menjadi pendekatan untuk mencegah ancaman dari dalam. Klasifikasi data merupakan pendekatan lain yang bisa dilakukan di dalam internal business process untuk menghindari terjadinya data PII terekspos keluar.
DS: Di masa pandemi ini tiba-tiba platform online groceries melonjak transaksinya. Maka startup perlu melakukan scale-up teknologi dari berbagai aspek. Menurut Pak Ricky, di masa scale-up tersebut investasi apa yang perlu digelontorkan oleh bisnis untuk menunjang keamanan sistem?
RS:Bagi kami, salah satu investasi terpenting adalah pada People dan Process. Dalam perspektif keamanan informasi, pada dasarnya setiap sistem dan teknologi adalah alat penunjang bisnis yang di dalamnya senantiasa mengandung kerentanan. Investasi pada People dan Process akan mengubah pola pikir dan kultur pada bisnis. Kedua investasi inilah yang kami coba terapkan di Blibli.
Perubahan pola pikir atau mindset memiliki sifat edukasi ke dalam dan ke luar. Seperti yang telah dijelaskan sebelumnya, organisasi juga harus terus menginformasikan bahwa keamanan data dan informasi pelanggan adalah merupakan tanggung jawab bersama dengan cakupan yang sesuai dengan porsinya masing-masing.
Prioritas lainnya adalah perubahan kultur terhadap risiko. Kultur pada sebuah bisnis dimulai dari proses implementasi, adopsi, hingga akuisisi teknologi. Jika proses ini dilakukan dengan efektif dan efisien, perusahaan dapat menurunkan profil risiko serta menerapkan kontrol pada organisasi. Organisasi pun dapat mempercepat perkembangan bisnis karena sudah dapat menentukan kontrol keamanan yang tepat dari surface attack pada saat melakukan scale-up.
DS: Ketika melakukan pengembangan, kadang engineer menemui kebimbangan. Di satu sisi, aplikasi harus didesain semulus dan secepat mungkin, dengan UX yang sangat sederhana. Di lain sisi, faktor keamanan harus menjadi perhatian. Menyebabkan beberapa pengembang mengacuhkan opsi penambahan keamanan tambahan dalam sistem. Bagaimana Pak Ricky menanggapi situasi tersebut?
RS: Permasalahan
ini
adalah
permasalahan
klasik
antara
tim
pengembang
dengan security. Beberapa startup masih menggunakan konsep konvensional dalam melakukan balancing atau penyeimbangan pada saat melakukan pengembangan aplikasi. Sehingga masalah klasik ini senantiasa terjadi dan berulang. Dalam menghadapi ini, sebenarnya kita bisa melakukan adopsi pendekatan Shifting Left. Berikut adalah penjelasan mengenai pendekatan konvensional dan Shifting Left.
Konvensional:
Jika melihat kepada beberapa tahun ke belakang, proses pengembangan sebuah aplikasi senantiasa akan menuliskan semua permintaan pada bagian awal pengembangan. Proses testing, termasuk security testing, akan dilakukan pada akhir pengembangan. Satu sisi, tahapan-tahapan ini akan menghasilkan sebuah aplikasi yang matang, namun di sisi lain
akan
memberikan
dampak
yang
cukup
serius
pada
saat
terjadinya
penemuan defect hasil testing yang banyak dan cukup kritis. Proses perbaikan terhadap hasil dari testing akan membutuhkan biaya tambahan baik untuk desain maupun implementasinya. Metode ini sangat tidak efektif untuk diaplikasikan oleh organisasi startup yang senantiasa mengandalkan kepada jumlah release yang cepat. Adopsi pendekatan yang lebih agile dan shifting
left bisa
dilakukan
untuk
setiap
organisasi startup dalam
menghasilkan produk yang cepat tanpa meninggalkan aspek keamanan. Shifting Left:
Metode konvensional menerapkan testing hanya di tahapan akhir (Testing and Verification). Pendekatan Shifting Left menerapkan proses pengujian mulai dari fase awal yaitu “Requirement”. Pada fase ini, Requirement tidak hanya akan melibatkan kebutuhan pelanggan dari sisi produk, bisnis, dan user experience, namun juga memasukan unsur keamanan sebagai salah satu parameter. Blibli pun telah menerapkan metode ini dalam proses pengembangan produk digitalnya.
Shifting left akan membentuk paradigma untuk melakukan pengujian semua aspek (test everything), pengujian yang dilakukan kapan pun (test everytime), pengujian yang lebih awal (test earlier), pengujian secara berkelanjutan (test continuously), dan melibatkan pihak penguji dalam setiap tahap. Tim pengembang dan security dapat berkerja sama untuk melakukan tindakan preventif daripada detective.
Metode dan pendekatan ini telah kami terapkan di Blibli sebelum kami meluncurkan produk IT. Dengan adopsi ini, proses deteksi terhadap bugs atau defect menjadi lebih cepat, meningkatkan efektifitas dari sisi waktu pengembangan dan biaya, serta meningkatkan kemudahan dan kualitas produk/aplikasi.
DS: Menurut Pak Ricky, apa urgensinya melakukan sertifikasi sistem, terkait dengan keamanan dan privasi data? Sertifikasi apa saja yang disarankan untuk diikuti? RS:Sertifikasi akan menjadi sebuah competitive advantage. Karena melalui sertifikasi, sebuah organisasi telah menunjukkan kemampuan kinerja yang lebih tinggi dan sesuai
dengan standar. Selain itu, sertifikasi juga menjadi sebuah comparative advantage dari sebuah organisasi. Proses bisnis akan menyesuaikan dengan standar sehingga mampu menghasilkan lebih banyak produk berkualitas yang efektif dan efisien serta mampu melakukan manajemen risiko.
Ada banyak sertifikasi yang bisa diterapkan untuk level organisasi dalam dunia keamanan informasi atau cybersecurity. Hal ini kembali lagi dengan kepentingan dan ranah bisnis yang dilakukan organisasi. Blibli, sebagai contoh, telah mendapatkan sertifikasi ISO/IEC 27001 tahun 2013 yang diakui secara global untuk pengelolaan sistem keamanan informasi. E-commerce merupakan bisnis yang mengolah data pelanggan, sehingga menjadi penting apabila bisnis serupa melakukan sertifikasi ini. Proses sertifikasi juga perlu dilakukan oleh individu yang melakukan proses penerapan keamanan. Profesional yang menjalankan proses pengamanan akan senantiasa menjadi nilai tambah bagi perusahaan dalam menjalankan bisnisnya. Sertifikasi keamanan informasi ini banyak sekali untuk level individual seperti: Managerial: CISSP, CCISO, CISM, CIPP, CIPM, CRISC, CGEIT, EISM Technical: OSCP, OSCE, OSEE, OSWE, CEH, CSSLP, Security+ CHFI, ECIH, LPT Master, ECSA Master, CREST Audit: CISA, ISO 2700 Lead Auditor, ISO2700 Internal Auditor
DS: Dalam tim teknis sebuah startup digital, idealnya tim keamanan ini terdiri dari bagian apa -saja?
RS:Startup digital akan senantiasa melakukan pengolahan terhadap data-data dalam bentuk digital. Fokus pengamanan sebuah organisasi harus lebih jauh, bukan hanya pada pengamanan data semata, namun jauh lebih besar ke dalam hasil pengolahan data tersebut – biasanya dikenal dengan informasi.
Kebutuhan tim teknis secara umum hanya membutuhkan tiga tim yaitu Yellow (architect), Red (attacker) dan Blue (defender).
-
Yellow: Pada saat melakukan pengembangan sebuah aplikasi, architecture review akan senantiasa dilakukan baik dari sisi aplikasi, infrastruktur, maupun security. Tim Security Architect akan melakukan review terhadap architecture dari aplikasi berdasarkan fungsi, obyektif, rencana pengujian, serta pemantauan terhadap risiko teknis melalui proses threat modelling.
-
Red: Selain tim Yellow, sebuah aplikasi perlu diuji secara internal sebelum merilisnya ke publik. Pengujian ini akan dilakukan oleh tim Red. Fungsi utama dari tim ini adalah melakukan simulasi penyerangan terhadap aplikasi, platform, dan infrastruktur. Skenarionya pun tidak hanya sebatas tes keamanan semata, namun melakukan berbagai simulasi hacking dan social engineering sebagai bagian dari pengujian yang dilakukan.
-
Blue: Selain simulasi penyerangan dijadikan sebagai metode dalam pengamanan aplikasi atau platform, metode lain yang dibutuhkan adalah metode defensif. Tim Blue akan bertanggung jawab terhadap implementasi skenario dan kontrol pertahanan dari serangan pelaku
tindak
kejahatan
siber
atau
simulasi
serangan
dari
Tim Red seperti
implementasi web application firewall, firewall, logging, SIEM, incident handling, dan sejumlah tindakan defensif lainnya.
Dalam perkembangannya, dari ketiga tim ini akan membentuk tim tambahan hasil dari campuran ketiga warna tersebut. Blibli pun menerapkan campuran ini untuk memastikan tim IT dapat beroperasi dengan maksimal. Ketiga tim tambahan tersebut adalah:
1. Green Team (kombinasi dari Blue dengan Yellow): Tim ini akan banyak melakukan
perbaikan
dari security
automation dan code yang
dituliskan
oleh developer (programmer). 2. Orange Team (kombinasi dari Yellow dengan Red): Tim ini akan membantu Tim Yellow untuk
meningkatkan
kapasitas
tentang
keamanan
dalam
bentuk awareness atau edukasi teknis keamanan. 3. Purple Team (kombinasi dari Red dan Blue): Tim ini adalah sebagai tim penyeimbang untuk meningkatkan kapasitas Tim Red dalam melakukan metode ofensif atau pertahanan serta melakukan evaluasi dan perbaikan dari Tim Blue dalam melakukan pertahanan.
DS: Sebagai studi kasus, bagaimana Blibli menerapkan standar keamanan dan privasi data? Fitur apa yang disajikan untuk mengantisipasi kegagalan sistem dari sisi konsumen dan dari sisi platform?
RS: Blibli berkomitman untuk mengutamakan kepuasan pelanggan. Salah satu caranya adalah memastikan bahwa keamanan data pelanggan terlindungi dan terkelola dengan baik.
Keamanan data pelanggan merupakan subset atau bagian dari proses pengendalian keamanan informasi, sehingga dalam pelaksanaannya kami melakukan tiga metode pengendalian yang meliputi: -
Preventive: Pengendalian dengan pendekatan pencegahan ini kami lakukan dengan melakukan perubahan budaya paradigma keamanan informasi. Beberapa kegiatan yang kami lakukan termasuk kampanye yang meningkatkan awaraness pelanggan akan keamanan
data,
menerapkan
kendali
terhadap
akses
dan
teknologi
sesuai
kebutuhan stakeholder, serta bekerja sama dengan pihak eksternal resmi seperti Badan Sandi dan Siber Negara, komunitas Keamanan Informasi untuk meningkatkan keamanan yang lebih luas. -
Detective: Dalam proses ini, pengendalian lebih ditekankan kepada aspek deteksi dengan harapan terdapatnya perbaikan terhadap peningkatan keamanan informasi dan melihat tingkat efektivitas terhadap kontrol yang kita miliki. Analisis log, pengujian keamanan, dan laporan secara berkala merupakan langkah-langkah deteksi yang kami lakukan.
-
Corrective: Pengendalian ini bertujuan untuk memperbaiki kondisi tingkat keamanan pada saat sebuah insiden terjadi. Pembentukan tim Computer Incident Response Team (CIRT) dan Cyber Security Incident Response Team (CSIRT), serta proses pengelolaan manajemen insiden merupakan salah satu metode yang diterapkan oleh Blibli.
Kami akui bahwa saat ini tindakan kejahatan dalam dunia siber semakin hari semakin meningkat baik secara kualitas maupun kuantitas. Dalam pengamanannya kami menerapkan banyak kontrol keamanan baik dari sisi pelanggan maupun platform kami. Berikut ini adalah beberapa poin yang telah kami kembangkan demi menjaga keamanan data dan kenyamanan bertransaksi.
(1) Pengamanan terhadap sistem e-commerce. Penggunaan 100% secure communication untuk layanan yang dapat diakses oleh publik. Selain memudahkan pelanggan dalam berbelanja, juga memastikan semua layanan transaksi tersebut berjalan dengan aman. Implementasi Bot Detection System (BDS) untuk melakukan deteksi transaksi yang dilakukan oleh bot. Tindakan ini kami lakukan untuk memastikan pelanggan riil dapat menikmati promosi yang sifatnya terbatas (flash sale, kode voucher, dan lainnya), bukan bot yang disiapkan untuk melakukan eksploitasi. Menjalankan Secure Software Development Lifecycle (SDLC). Dengan adopsi shifting left, Blibli sudah menjalankan proses SDLC yang aman sehingga kami dapat melakukan antisipasi tehadap kerentanan yang mungkin terjadi pada aplikasi. Implementasi Security Operations Center (SOC) sehingga kami dapat melakukan deteksi terhadap traffic yang berpotensi menjadi ancaman. Selain itu dengan SOC ini Blibli dapat menjaga keamanan lingkungan digital perusahaan dari pihak yang tidak berwenang agar tidak dapat mengakses Data Pelanggan. Pengembangan aplikasi dan produk senantiasa mengedepankan aspek pengelolaan risiko, di mana setiap risiko akan dikendalikan melalui kontrol yang sesuai. (2) Perlindungan pelanggan. Blibli telah menambahkan fitur Phone Number Verification dan Email Recovery sebagai salah satu kontrol untuk melindungi dan meningkatkan keamanan akun pelanggan. Dalam menghadapi ancaman tindakan fraud, kami menerapkan fitur 3D Secure for credit card payment dan mengirimkan OTP kepada pelanggan saat bertransaksi dengan Blipay dan BCA OneKlik.
Menjalankan phishing site detection, fitur yang memberikan kemudahan kepada pelanggan Blibli dalam proteksi terhadap percobaan phishing. End-to-end encryption untuk semua fitur yang mengandung informasi kritis dari pelanggan seperti password, credit card, dan informasi sensitif lainnya.
DS: Sebagai sebuah worst case scenario, ketika sistem mendapati isu data breach, apa yang seharusnya dilakukan oleh perusahaan — baik dari sisi tim pengembang, tim komunikasi ke pelanggan dll?
RS: Sebuah organisasi harus sedini mungkin menyiapkan mekanisme skenario terburuk dari sebuah serangan termasuk skenario kebocoran data. Tindakan pencegahan dan respons terhadap kebocoran data harus melibatkan semua pihak baik dari sisi tim IT, Security, komunikasi, legal, serta jajaran manajemen.
Setiap organisasi setidaknya harus memiliki prosedur baku dalam persiapan penanganan insiden. Setiap insiden yang terjadi tidak harus diinformasikan kepada pelanggan. Perusahaan juga harus melakukan kategorisasi insiden yang terjadi (apakah insiden termasuk ke dalam kategori aktivitas malicious code, penggunaan akses yang tidak normal, percobaan phishing spear atau insiden lain yang menyebabkan data terekspos). Selain kategori tersebut di atas, tim incident handling harus menganalisis dampak dari kejadian tersebut. Penggunaan matriks yang diturunkan dari matriks risiko akan membantu tim melakukan perhitungan dengan lebih tepat dan cepat. Analisis ini perlu juga ditunjang dengan proses validasi dan klasifikasi dari insiden tersebut. Apakah insiden ini benar-benar valid atau hanya sebatas false positive, apakah kejadian ini memiliki dampak yang sesuai dengan laporan pertama, serta data atau sistem apa saja yang terkena dampak dari insiden ini.
Setelah melakukan analisis dan klasifikasi, langkah berikutnya adalah menentukan prioritas baik dari jenis insiden maupun langkah kontrol untuk perbaikan yang sifatnya sementara supaya insiden ini tidak memberikan dampak yang lebih besar. Proses investigasi awal dengan melakukan analisis, validasi, klasifikasi, serta penentuan prioritas
ini biasanya dikenal dengan Incident Triage. Incident Triage ini harus dilakukan dengan teliti dan matang, mengingat ini akan menjadi input utama untuk menentukan langkah selanjutnya.
Jika pada fase incident triage menghasilkan kesimpulan bahwa insiden terjadi, proses notifikasi harus secepatnya diberikan kepada setiap komponen organisasi yang terlibat. Notifikasi cepat ini harus melibatkan:
-
Tim Legal untuk melihat dari aspek regulasi dan hukum yang berlaku.
-
Tim IT untuk secepatnya berkoordinasi dalam melakukan penanganan awal dari insiden yang terjadi, termasuk tim infrastructure dan developer untuk melakukan perbaikan secepatnya.
-
Management representative untuk memberikan laporan terbaru dari status insiden serta meminta saran, rekomendasi, serta arahan untuk keputusan.
-
Tim Komunikasi untuk memberikan pernyataan resmi (baik secara reaktif atau proaktif) kepada publik mengenai kondisi insiden saat ini dan apakah insiden ini valid atau tidak valid.
Seiring dengan proses notifikasi tersebut, tim penanganan insiden harus secepatnya menjalankan proses containment. Fungsi dari proses ini adalah menghentikan laju dari dampak
insiden
tidak
semakin
meluas
ke
aset
dan
sistem
lain.
Tujuan
lain containment adalah mengurangi kerugian atas dampak yang lebih besar dari insiden tersebut.
Tim penanganan insiden juga harus mampu melakukan pengumpulan bukti-bukti dari setiap insiden ini. Pengumpulan bukti ini menjadi bagian penting dalam pembuatan laporan dan menentukan proses forensic dari insiden tersebut. Hasil forensic ini akan menjelaskan detail informasi dari insiden tersebut seperti:
Metode penyerangan.
Jenis kerentanan yang digunakan untuk melakukan eksploitasi.
Kontrol keamanan yang mampu menahan serangan.
Jenis aplikasi atau sistem yang digunakan sebagai dormant host atau jalan masuk penyerang serta informasi detailnya.
Setelah ditemukan inti permasalahan, tim penanganan insiden secepatnya melakukan pembetulan pada kesalahan pemrograman atau patching terhadap sejumlah kerentanan yang ditemukan dan dijadikan sebagai jalan masuk dari insiden tersebut. Dalam penanganan insiden, melakukan patching ini biasa disebut dengan proses pemberantasan atau eradication process. Beberapa contoh lain dari proses ini adalah dengan penggantian perangkat
yang
malfungsi,
mengubah
infrastruktur, security maupun code dari
konfigurasi
baik
dari
developer,
perangkat serta
melakukan improvement (instalasi) baru untuk meningkatkan keamanan.
Langkah selanjutnya yang harus dilakukan oleh tim penanganan adalah melakukan pemulihan sistem, layanan, serta data yang terkena dampak dari insiden tersebut. Tim penanganan harus dapat memastikan bahwa semua layanan kembali normal.
Tim penanganan harus membuat laporan lengkap mengenai insiden dan melaporkannya ke pihak terkait. Selain manajemen perusahaan, tim dapat melaporkannya kepada pemerintah apabila insiden termasuk dalam kategori kritis dan berhubungan dengan pelanggan. Pada saat memberikan informasi kepada stakeholder, setidaknya ada beberapa poin yang harus dilakukan atau disampaikan: Komunikasikan insiden ini dengan bahasa yang sederhana kepada stakeholder yang tepat.
Berikan informasi yang transparan, termasuk informasi tentang keterlibatan semua pihak dalam melakukan perencanaan persiapan insiden merupakan salah satu pendekatan terbaik. Informasikan juga bahwa kejadian ini di luar kontrol organisasi, mengingat organisasi sudah melakukan serangkaian kegiatan preventif. Berikan informasi secara wajar dan akurat terkait dengan dampak dari insiden tersebut. Termasuk di dalamnya informasi tentang Apa yang terjadi dengan data, semisal meski datanya terekspos tapi masih terlindungi oleh enkripsi.
Langkah atau tindakan yang harus dilakukan pelanggan jika proses penanganan masih dalam tahap investigasi atau perbaikan, seperti mengganti password semua akun digital dan pengecekan saldo (untuk platform finansial) secara reguler Melakukan tindakan (incident response) terhadap kebocoran data merupakan sebuah tindakan kritis yang harus segera dilakukan. Namun demikian tindakan pencegahan merupakan kunci utama dalam melakukan reaksi dan respons terhadap kebocoran data tersebut.
DS: Terakhir, mungkin ada buku, online course atau sumber belajar lain yang dirasakan oleh Pak Ricky untuk dapat dipelajari penggiat startup terkait metodologi, konsep, hingga praktik keamanan dan privasi data? RS:Saat ini banyak platform yang bisa digunakan untuk meningkatkan kapasitas dalam keamanan informasi baik untuk pelaku bisnis startup atau individual. Baik dari yang sifatnya free, freemium maupun premium baik dari sisi managerial maupun dari sisi teknis. Platform yang
biasa
kami
gunakan
adalah O’reilly, udemy, cybrary.it, hackerone, hackthebox, hackinglab, pwnable, coursera, opensecurity
training, heimdal
security, san
cyberaces, owasp, openSAMM project dan masih banyak lagi beberapa platform community yang bisa digunakan.
Di Blibli, kami senantiasa melakukan peningkatan kapasitas dari tim IT, salah satunya adalah melakukan edukasi terhadap pengembangan produk melalui secure coding training, seminar, dan internal sharing session secara periodik. Kami juga mengajak rekan-rekan IT di Blibli untuk bergabung dalam komunitas IT. Fungsi dari keikutsertaaan karyawan di komunitas adalah memperluas network serta mendapatkan update mengenai isu-isu terkini, baik yang terjadi di dalam maupun luar negeri.
BAB III KESIMPULAN
-
Kemajuan ilmu pengetahuan dan teknologi membawa berbagai implikasi kompleks dalam kehidupan manusia dan hubungan antar negara. Seiring dengan perkembangan teknologi Internet, menyebabkan munculnya kejahatan yang disebut dengan cyber crime atau kejahatan melalui jaringan internet
-
Crime dalam arti sempit disebut computer crime, yaitu prilaku ilegal atau melanggar secara langsung menyerang sistem keamanan suatu komputer atau data yang diproses oleh
computer.
crime dalam arti luas disebut computer related crime, yaitu perilaku ilegal atau melanggar yang berkaitan dengan sistem komputer atau jaringan. -
Beberapa jenis kejahatan siber yang dapat mengancam jaringan IT sebuah perusahaan diantaranya:
1. DoS (Denial of Service) 2. Malware 3. Phishing 4. Credential Reuse 5. SQL Injection 6. Cross-Site Scripting (XSS) 7. Man in the Middle -
IT Risk Management (Manajemen Resiko Teknologi Informasi) adalah suatu proses identifikasi kerentanan dan ancaman terhadap sumber daya informasi yang digunakan oleh sebuah organisasi dan dilakukan oleh manajer IT untuk mencapai tujuan bisnis, mengurangi resiko, dan menyeimbangkan pengeluaran dalam mencapai keuntungan dan melindungi IT.
-
Ada 4 proses manajemen risiko IT, yaitu 1. Mengidentifikasi Resiko 2. Menganalisis Resiko 3. Mengevaluasi Resiko 4. Memantau dan Mempertimbangkan Resiko
-
IT Risk Management juga mengelola hambatan criminal terhadap teknologi informasi suatu perusahaan, antara lain 1. Hackers, yaitu orang-orang yang secara tidak sah menerobos ke dalam sistem computer 2. Fraud, yaitu penggunaan computer untuk memanipulasi data untuk kepentingan yang melanggar hukum 3. Denial-of-service, yaitu serangan online yang membuat pengguna tidak dapat mengakses situs tertentu 4. Staff dishonesty, yaitu pencurian data atau informasi penting oleh karyawan internal.
-
ISO/IEC 27001 disebut ISMS (Information Security Management System) ialah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. ISO/IEC 27001 merupakan dokumen sistem manajemen keamanan informasi yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan maupun organisasi dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi dimiliki berdasarkan ”best practise” dalam pengamanan informasi.
-
Sistem keamanan jaringan adalah suatu sistem yang memiliki tugas untuk melakukan pencegahan dan identifikasi kepada pengguna yang tidak sah dalam jaringan komputer.
-
Ada beberapa cara untuk bisa menjaga sistem keamanan jaringan computer: 1. Pengendalian teknis adalah pengendalian yang menjadi satu di dalam system dan dibuat
oleh para
penyususn system
selama
masa
siklus
penyusunan
system. Dilakukan melalui tiga tahap: identifikasi pengguna, otentikasi pengguna, otorisasi pengguna 2. Pengendalian Kriptografis Merupakan penggunaan kode yang menggunakan proses-proses matematika. 3. Pengendalian Fisik Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan computer.Perkembangan seterusnya menghasilkan
kunci-kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. 4. Pengendalian Formal Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. 5. Pengendalian Informal Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut. -
Pengendalian internal perusahaan adalah sistem manajemen yang digunakan untuk melihat sejauh mana efektivitas dan pengawasan terhadap ketidaksesuaian dalam mencari peluang perbaikan perusahaan.
-
Compliance atau kepatuhan terhadap keamanan informasi adalah masalah hukum bagi organisasi yang bergerak di banyak industri saat ini. Standar regulasi dunia seperti PCI DSS, HIPAA, dan IS 2 001 201 menetapkan rekomendasi untuk melindungi data dan meningkatkan manajemen keamanan informasi di korporasi. Untuk mencapai kepatuhan keamanan, perusahaan akan mendefinisikan aspek keamanan informasi tersebut untuk mencapai tujuan keamanan informasi secara spesifik, serta mengurangi ancaman serangan baik melalui jaringan maupun proses seperti manajemen kerentanan.
-
Peran dan tugas audit internal dalam cyber security: 1. Berpartisipasi dan bekerja secara efektif dengan para pemangku kepentingan 2. Menanggulangi ancaman kejahatan ekonomi 3. Respon Audit Secara Efektif 4. Training Strategic Internal Audit
-
REFERENSI IGN MANTRA Dosen Keamanan Informasi, Peneliti Cyber War dan Cyber Security Inspection @lab, ABFII Perbanas Jakarta, Certified EC-Council Instructor dan Ketua Indonesia Academic Computer Security Incident Response Team, korespondensi e-mail: [email protected]
“Peran dan Tugas Audit Internal dalam Cyber Security https://www.robicomp.com/tugas-dan-peran-audit-internal-dalam-cyber-security.html
“Tips Menjaga Keamanan Data untuk Melindungi Bisnis” http://www.asaba.co.id/article/preview/29/tips-menjaga-keamanan-data-untuk-melindungibisnis-anda
ANALISIS MANAJEMEN RISIKO ANCAMAN KEJAHATAN SIBER (CYBER CRIME) DALAM PENINGKATAN CYBER DEFENSE , oleh Ineu Rahmawati http://jurnal.idu.ac.id/index.php/JPBH/article/viewFile/179/84
https://mtp.co.id/project/7-jenis-cyber-attack-yang-mengancam-it-perusahaan-dan-solusinya/
KERENTANAN
YANG
DAPAT
TERJADI
DI
JARINGAN
KOMPUTER
UMUMNYA, oleh Andre M. R. Wajong https://media.neliti.com/media/publications/166137-ID-kerentanan-yang-dapat-terjadi-dijaringa.pdf
PADA
https://www.dictio.id/t/apa-yang-dimaksud-dengan-manajemen-risiko-teknologi-informasi-atauit-risk-management/15022/2
https://sis.binus.ac.id/2019/04/08/it-risk-management/
https://isokonsultindo.com/iso-27001
https://www.hukumonline.com/klinik/detail/ulasan/lt5d588c1cc649e/perlindungan-hukum-atasprivasi-dan-data-pribadi-masyarakat/
https://media.neliti.com/media/publications/43295-ID-perlindungan-hukum-terhadap-korbankejahatan-cyber-crime-di-indonesia.pdf
