Tugas Personal ke 2

(Minggu 7 / Sesi 11)

1. Jelaskan mengapa disebutkan bahwa proses awal dari identifikasi resiko adalah
mengklasifikasikan asset.
Jawab :
Menurut saya, karena dalam sebuah perusahaan memiliki banyak asset dimana terdapat
kriteria yang berbeda-beda. Identifikasi asset dengan melakukan pendataan,
pengelompokkan dan penggolongan asset yang dimiliki dan membuat prioritas.
Termasuk asset didalamnnya adalah orang, prosedur, data, software, hardware,
network. Hal tersebut guna untuk mempermudah perusahaan melakukan pengecekan
asset dengan melalui klasifikasi asset di awal yang telah dilakukan. Sehingga bisa
mempersingkat waktu dalam proses identifikasi resiko berdasarkan kebutuhan dan
prioritas resiko.

2. Jelaskan beserta contohnya tiga tipe dari policy/kebijakan yang umumnya di

implementasikan.
Jawab :
Pada umumnya, terdapat 3 jenis policy yang biasa diimplementasikan oleh sebuah
organisasi yaitu :
a. Enterprise information security policy
Kebijakan ini berisikan tentang scope dan arahan yang berkaitan dengan security
pada perusahaan tersebut. Biasanya pada kebijakan ini juga mengatur tentang
penanggung jawaban area information policy. Umumnya kebijakan ini berisi
bagaimana cara perawatan information security dan menjabarkan tanggung jawab
seorang end user.
Contoh : Pada perusahaan tempat saya bekerja, terutama pada ruangan saya setiap
orang memiliki akses masuk yang berbeda-beda. Setiap bagian memiliki tingkatan
hak askses yang berbeda yang membedakan adalah jobdesc yang dikerjakan.
Pemilik kartu akses akan memegang tanggung jawabnya masing-masing
berdasarkan tugasnya.
b. Issue-specific security policy
Pada kebijakan ini ke menyediakan instruksi tentang penggunaan teknologi yang
dimiliki perusahan dan harus dipahami dan dilaksanakan oleh seluruh karyawan
pada perusahaan tersebut.

<<Kd Course>> - <<Nama Course>>

 Contoh : Pada perusahaan saya, di kartu akses terdapat kebijakan karyawan
pemegang kartu akses. Karyawan yang memiliki kartu akses akan diberi tahu cara
menggunakan dan harus dipahami tanggung jawab setiap tingkatan hak kartu akses
yang dipegang.
c. System-specific security policy
Sesuai dengan Namanya, kebijakan ini berisi tentang lebih ke sisi teknikal dalam
menjelaskan konfigurasi suatu sistem di perusahaan tersebut. System-specific
security policy biasanya memiliki 2 macam dokumen yaitu Managerial
guide(panduan dalam konfigurasi) dan technical specification(teknis pelaksanaan
implementasi)
Contoh : Pada perusahaan saya, secara umum guide dalam penggunaan semua kartu
akses saja hanya dibedakan hak aksesnya saja. Dokumen guide dapat dilihat pada
dokumen online yang sudah diinfornasikan ke semua karyawan agar dapat dibaca
dan dipahami. Pada implementasi untuk awalnya akan didampingi terlebih dahulu
dengan tim yang bersangkutan dengan pembuatan kartu akses.
Sumber : LN W6

3. Sebutkan pihak pihak yang umumnya bertanggung jawab akan proses

manajemen resiko beserta dengan peranannya.
Jawab :
Pihak yang umumnya bertanggung jawab akan proses manajemen resiko
a. Chief Information Security Officer(CISO)
Merupakan struktur tertinggi dalam manajemen resiko. Tah hanya itu, CISO
merupakan pihak yang berperan untuk menentukan policy apa yang diterapkan.
b. Security Manager
Memiliki peran sebagai penanggung jawab terhadap operasional keamanan sehari
– hari. Jika terjadi sesuatu pada sistem operasional, maka seorang security manager
haruslah bertanggung jawab untuk memberikan solusi yang kemudian akan
dieksekusi oleh security technician dan memberikan laporan kepada CISO.
c. Security Technician
Merupakan orang yang melakukan konfigurasi sistem keamanan. Security
technician biasanya hanya melakukan konfigurasi sesuai arahan dan bertanggung
jawab terhadap security manager.

<<Kd Course>> - <<Nama Course>>

 Sumber : LN W6

4. Jelaskan proses dari identifikasi resiko.

Jawab :
Proses identifikasi resiko :
a. Creating an Inventory of Information Asset
Pada proses ini, seluruh asset perusahaan akan didaftarkan. Hal ini dilakukan untuk
meninjau nilai asset yang dimiliki oleh perusahaan
b. Identifying hardware, software, and Network Asset
Asset yang sudah dimiliki oleh perusahaan akan diidentifikasikan berdasarkan
nama, asset tag, ip address, asset type, serial number, manufacturer’s name,
Manufacturer’s model, software version, dan. Physical location. Hal ini dilakukan
agar lebih mudah memahami asset yang dimiliki
c. Indentifying people, procedures, and Data Access
Pada tahap ini, manajer akan menilai sumber daya manusia yang dimiliki
perusahaan yang berdasarkan kualitas kerja para karyawan.
d. Classifying and categorizing asset
Asset yang sudah didaftarkan maka asset tersebut dikategorikan berdasarkan
fungsinya. Setiap asset hanya boleh masuk satu kategori dan semua asset harus
masuk ke dalam kategori.
e. Assessing values for information assets
Asset kemudian akan diberi nilai dengan ketentuan asset yang paling penting
diberikan nilai paling tinggi. Kemudian diberikan prioritas berdasarkan nilai dari
asset tersebut.
f. Listing assets in order of importance
Pada tahap ini yaitu mengidentifikasi asset yang kemungkinan ancaman yang paling
rentan berdasarkan prioritasnya. Sehingga organisasi lebih siap menghadapi
kemungkinan terjadinya ancaman.
Sumber : LN W7

<<Kd Course>> - <<Nama Course>>