MAKALAH PENGAMANAN CYBER DAN KELANGSUNGAN BISNIS

TUGAS MATA KULIAH TEKNOLOGI INFORMASI UNTUK MANAJEMEN

Dosen Pengampu:

Suharyanto, S.Kom., M.M.

Disusun oleh:

KELOMPOK 3

1. Sylvia Maulidia Santang (2012070047)

2. Selysa Okaviani Khadiah (2012070049)
3. Abdul Choliq Ibnu Huda (2012070050)
4. Fahmi Aziz (2012070051)
5. Muhammad Yusuf Al Faruqi (2012070052)
6. Sulfiati (2012070053)
7. Muhammad Rizki (2012070064)
8. Novelia Nuryudiani Pratiwi (2012070065)
9. Rizka Destiani Kholifah (2012070068)

Perbanas Institute
Fakultas Ekonomi dan Bisnis
Program Studi Manajemen Kelas Karyawan
Tahun 2021
 BAB I PENDAHULUAN

A. Latar Belakang
Kemajuan ilmu pengetahuan dan teknologi membawa berbagai implikasi
kompleks dalam kehidupan manusia dan hubungan antar negara. Seiring dengan
perkembangan teknologi Internet, menyebabkan munculnya kejahatan yang disebut
dengan cyber crime atau kejahatan melalui jaringan Internet. Munculnya beberapa kasus
cyber crime di Indonesia, seperti pencurian kartu kredit, hacking beberapa situs,
menyadap transmisi data orang lain, misalnya email, dan memanipulasi data dengan cara
menyiapkan perintah yang tidak dikehendaki ke dalam programmer komputer.
Dalam dua dokumen Kongres PBB mengenai The Prevention of Crime and the
Treatment of Offenders di Havana, Cuba pada tahun 1990 dan di Wina, Austria pada
tahun 2000, ada dua istilah yang dikenal:
1. Cyber crime dalam arti sempit disebut computer crime, yaitu prilaku ilegal atau
melanggar secara langsung menyerang sistem keamanan suatu komputer atau data
yang diproses oleh computer.
2. Cyber crime dalam arti luas disebut computer related crime, yaitu perilaku ilegal atau
melanggar yang berkaitan dengan sistem komputer atau jaringan.
Dari beberapa pengertian diatas, secara ringkas dapat dikatakan bahwa cyber crime
dapat didefinisikan adalah suatu tindakan kriminal yang melanggar hukum dengan
menggunakan teknologi komputer sebagai alat kejahatannya. Dampak dari kejahatan
komputer tersebut sangat luar biasa, bahkan bisa menghancurkan bisnis perusahaan
raksasa sekalipun. Adapun motif yang melatarbelakangi kejahatan komputer dalam dunia
bisnis umumnya adalah motif ekonomi, antara lain untuk menghancurkan pihak lain yang
dianggap pesaing dan mengambil keuntungan ekonomi dari pihak lain.

B. Rumusan Masalah
1. Apa saja jenis kerentanan dan ancaman yang dihadapi sektor bisnis?
2. Apa saja macam jaminan perlindungan dan manajemen risiko TI seperti apa yang
dapat dilakukan?
 3. Apa yang disebut ISMS (Information Security Management System)?
4. Apa yang disebut pengamanan jaringan? Apa saja contohnya?
5. Bagaimana proses pengendalian internal dan kepatuhan?
6. Bagaimana kaitan antara kelangsungan bisnis dan pengauditan?
7. Apa contoh studi kasus terkait pengamanan cyber?

C. Tujuan
1. Untuk mengetahui jenis kerentanan dan ancaman yang dihadapi sektor bisnis
2. Untuk mengetahui macam jaminan perlindungan dan manajemen risiko TI yang dapat
dilakukan
3. Untuk mengetahui pengertian dari ISMS (Information Security Management System)
4. Untuk mengetahui pengertian dari pengamanan jaringan dan dapat memahami
contohnya
5. Untuk mengetahui proses pengendalian internal dan kepatuhan
6. Untuk mengetahui kaitan antara kelangsungan bisnis dan pengauditan
7. Untuk mengetahui contoh studi kasus terkait pengamanan cyber
 BAB II PEMBAHASAN

A. Kerentanan dan Ancaman dalam Sektor Bisnis

Menurut pendapat Mcdonnell dan Sayers, ancaman siber terdiri atas tiga jenis, yaitu
1. Ancaman perangkat keras (hardware threat) Ancaman ini merupakan ancaman yang
disebabkan oleh pemasangan perangkat tertentu yang berfungsi untuk melakukan
kegiatan tertentu didalam suatu sistem, sehingga peralatan tersebut merupakan
gangguan terhadap sistem jaringan dan perangkat keras lainnya.
2. Ancaman perangkat lunak (software threat) Ancaman ini merupakan ancaman yang
disebabkan masuknya perangkat lunak tertentu yang berfungsi untuk melakukan
kegiatan pencurian, perusakan, dan manipulasi informasi.
3. Ancaman data/informasi (data/ information threat) Ancaman ini merupakan ancaman
yang diakibatkan oleh penyebaran data/informasi tertentu yang bertujuan untuk
kepentingan tertentu.

Dalam kajian Strategis Keamanan Siber Nasional, mendefinisikan ancaman kejahatan

siber (cyber crime) sebagai setiap kondisi dan situasi serta kemampuan yang dinilai dapat
melakukan tindakan atau gangguan atau serangan yang mampu merusak atau segala
sesuatu yang merugikan sehingga mengancam kerahasiaan (confidentiality), integritas
(integrity), dan ketersedian (availability) sistem dan informasi. Ancaman siber dapat
terjadi karena adanya kepentingan dari berbagai individu atau kelompok tertentu dalam
aspek kehidupan masyarakat dapat menimbulkan berbagai ancaman fisik, baik nyata
ataupun yang tidak nyata dengan menggunakan kode-kode komputer (software) untuk
melakukan pencurian informasi (information theft), kerusakan sistem (system
destruction), manipulasi informasi (information corruption) atau perangkat keras
(hardware) untuk melakukan gangguan terhadap sistem (network instruction) ataupun
penyebaran data dan informasi tertentu.

Dalam dunia bisnis sendiri khususnya di Indonesia cukup sering terjadi kejahatan
siber melihat data yang dikeluarkan Badan Siber dan Sandi Negara (BSSN) pada tahun
2018 lalu terjadi 12.9 juta serangan kejahatan siber. Mudahnya akses internet saat ini
menjadi salah satu alasan hacker atau peretas mudah untuk menyerang ke jaringan
korbannya bahkan para peretas tidak hanya menggunakan computer saja dalam meretas
tapi mereka juga bisa menggunakan smartphone selama mereka mendapatkan akses
internet.

Beberapa jenis kejahatan siber yang dapat mengancam jaringan IT sebuah perusahaan
diantaranya:

1. DoS (Denial of Service)

DoS adalah kejahatan siber yang berusaha melumpuhkan sebuah website sehingga
tidak bisa diakses oleh pengguna. Serangan yang bertubi-tubi tersebut dilakukan oleh
para hacker agar pertama situs menjadi down. Semakin gencar serangannya, maka
bisa dipastikan lambat laun website menjadi lumpuh total.
Salah satu contoh dari serangan DoS paling parah terjadi pada bulan Maret 2018 lalu
yang menimpa situs Github. Sebagaimana dilansir dari FoxNews tingkat serangan ini
adalah yang paling besar, yakni mencapai 1.35 Terabit per Second (Tbps). Hal
tersebut membuat laman Github menjadi lumpuh untuk sementara waktu. Meskipun
serangan hanya berjalan sekitar 10 menit saja, jelas hal ini membuat kerugian
tersendiri bagi Github.
2. Malware
Bentuk dari serangan ini sendiri merupakan perangkat lunak yang memiliki kadar
bahaya tingkat tinggi karena di dalamnya terdapat virus. Saat perangkat lunak itu
sudah berhasil ke perangkat yang digunakan, Malware bisa dengan cepat merusak apa
saja yang ada di dalamnya.
Biasanya serangan berbahaya oleh Malware masuk ke perangkat saat mengunduh
suatu file hingga di-install. Hal inilah yang membuat Malware merupakan salah satu
bentuk kejahatan siber paling sangat berbahaya. Pada tahun 2016 lalu Indonesia
berdasarkan data Veritrans and Daily Social masuk sebagai salah satu negara paling
rentan serangan ini. Maka tidak heran bila banyak perusahaan sedikit memutar otak
untuk mencari solusi terbaik untuk menangkal serangan ini dari para hacker.
3. Phishing
Phishing berhubungan dengan pencurian data. Biasanya, data-data yang dicuri
merupakan data penting seperti PIN, password hingga username. Phishing biasanya
 menggunakan metode penyebaran melalui email yang memiliki attachment. Setelah
membuka attachment tersebut, maka kejahatan siber mulai dilancarkan.
Serangan Phishing yang cukup meresahkan dilakukan para hacker pernah terjadi
selama gelaran Piala Dunia 2018 lalu. Para pelaku kejahatan menurut Federal Trade
Commision seperti dikutip Inc.com memberikan iming-iming tiket terbaik bagi para
penonton yang akan datang langsung ke Rusia saat gelaran Piala Dunia 2018. Namun,
banyak para korban tertipu setelah memasukkan data penting dan melakukan
pembayaran. Setelah dikonfirmasi ternyata email tersebut palsu dan bukan dari pihak
resmi sehingga merugikan berbagai pihak penyelenggara.
4. Credential Reuse
Jenis kejahatan siber yang keempat adalah Credential Reuse. Jika memiliki
username, password dan PIN yang mirip atau sama di beberapa akun, maka hal
tersebut menjadi makanan empuk dari Credential Reuse. Hal karena konsep dari
jenis kejahatan siber ini yang menggunakan ulang beragam informasi penting yang
sudah mereka dapatkan sebelumnya.
Ketika hacker sudah mendapatkan informasi penting tersebut, mereka segera
menyerang akun-akun korban lainnya. Setidaknya dalam satu bulannya menurut hasil
survei oleh Akamai ada sekitar 12 perusahaan besar di dunia yang berpotensi menjadi
target dari serangan ini. Untuk mencegah serangan jenis ini kita perlu mengganti
password akun secara berkala.
5. SQL Injection
Jenis kejahatan siber yang juga wajib kita waspadai berikutnya, yaitu SQL Injection.
Untuk bagian IT di sebuah perusahaan, serangan model ini sangatlah berbahaya. Hal
ini terjadi dikarenakan adanya celah yang tidak bisa ditutupi oleh sistem keamanan
dari database tersebut. SQL Injection dalam praktiknya secara
manual, hacker biasanya memasukkan kode berupa tanda seperti titik, petik tunggal,
dan strip. Ketika kode tersebut berhasil, maka seluruh data dalam sebuah database
akan terhapus dan data tersebut digunakan oleh hacker untuk melakukan tindakan
lainnya yang merugikan sebuah perusahaan.
Dalam perkembangannya, SQL Injection banyak dilakukan oleh para hacker untuk
menyerang data-data penting yang berkaitan dengan situs-situs pelayanan publik.
 Tujuannya pun beragam, mulai untuk kejahatan hingga melemahkan sebuah sistem
yang ada. Contohnya adalah pencurian data milik sebuah departemen kesehatan, Wall
Street Journal, hingga lembaga pemerintahan di Amerika Serikat.
6. Cross-Site Scripting (XSS)
Merupakan kejahatan siber yang berusaha merusak atau mengambil alih
suatu website tertentu, terutama di instansi pemerintahan atau perusahaan di sektor
perbankan dan keuangan. Informasi semacam username, password dan PIN bisa
didapatkan oleh hacker dengan cara memasukkan kode HTML atau client script
code ke sebuah situs.
Serangan ini pertama kali diidentifikasi oleh Microsoft pada tahun 2000 silam, namun
beberapa waktu belakangan kembali mencuat. Bahkan data dari HackerOne yang
dikutip oleh TechRepublic melaporkan bila pada Juli 2017 lalu saja serangan ini
mendominasi berbagai platform di dunia maya.
7. Man in the Middle
Jenis kejahatan siber yang terakhir adalah Man in the Middle. Sesuai dengan
namanya, kejahatan siber jenis ini menempatkan hacker di tengah-tengah komunikasi
antara dua orang. Ketika mereka sedang berkomunikasi, maka berbagai informasi
penting yang dibagikan di antara keduanya bisa dicuri oleh hacker. Selain mengambil
informasi, hacker juga bisa menyisipkan malware ke dalam informasi yang dibagikan
sehingga menambah masalah untuk kedua orang tersebut.
B. Jaminan Perlindungan dan Manajemen Risiko TI
IT Risk Management (Manajemen Resiko Teknologi Informasi) adalah suatu proses
identifikasi kerentanan dan ancaman terhadap sumber daya informasi yang digunakan
oleh sebuah organisasi dan dilakukan oleh manajer IT untuk mencapai
tujuan bisnis,mengurangi resiko, dan menyeimbangkan pengeluaran dalam mencapai
keuntungan dan melindungi IT.
Ada dua hal didalam definisi ini yang membutuhkan penjelasan. Pertama,
proses manajemen resiko yang merupakan proses berulang yang berlangsung. Proses ini
harus diulang tanpa batas, sebab lingkungan bisnis yang fleksibel atau terus berubah yang
menyebabkan munculnya ancaman baru. Kedua, pilihan penanggulangan (kontrol) yang
digunakan untuk mengelola resiko harus menjaga keseimbangan antara produktivitas,
biaya, efektivitas penanggulangan, dan nilai aset informasi yang harus dilindungi.
Manajemen Resiko dirancang untuk melakukan lebih dari sekedar mengidentifikasi
resiko. Sistem juga harus mampu mengukur resiko dan memprediksi dampak dari resiko
pada proyek. Hasilnya adalah resiko yang dapat diterima atau tidak dapat diterima.
Persetujuan atau tidak dari suatu resiko biasanya tergantung pada tingkat
toleransi manajer proyek untuk resiko.
Beberapa organisasi memiliki sebuah Manajemen Resiko Perusahaan
(Enterprise Risk Management/ERM). Ada empat kategori, menurut Committee of
Sponsoring Organization of Treadway Commission (COSO), yaitu
1. Strategi
2. Operasi/pengerjaan
3. Laporan Pengeluaran
4. Pemenuhan/Penyesuian
Ada 4 proses manajemen risiko IT, yaitu
1. Mengidentifikasi Resiko
Perusahaan mengungkap, mengenali dan menggambarkan resiko yang mungkin
mempengaruhi proyek.
2. Menganalisis Resiko
Ketika resiko sudah di - identifikasi, perusahaan menentukan kemungkinan dan
konsekuensi dari setiap resiko yang ada. Perusahaan lalu mengembangkan sebuah
pemahaman tentang sifat resiko dan potensi untuk mempengaruhi tujuan dan sasaran
proyek .
3. Mengevaluasi Resiko
Perusahaan mengevalusi resiko dengan menentukan besarnya resiko, yang merupakan
kombinasi dari kemungkinan dan konsekuensi. Lalu Perusahaan membuat keputusan
apakah resiko itu diterima atau tidak.
4. Memantau dan Mempertimbangkan Resiko
Ini adalah tahap dimana perusahaan memantau setiap resiko yang ada untuk
menghindari resiko yang lebih besar. Hambatan umum terhadap data dan sistem
teknologi informasi meliputi
 - Kerusakan perangkat keras dan perangkat lunak

- Malware

- Virus komputer

- Spam, scams, and phishing

- Human error

Selain hambatan umum, dalam IT Risk Management juga mengelola hambatan

criminal terhadap teknologi informasi suatu perusahaan, antara lain

- Hackers, yaitu orang-orang yang secara tidak sah menerobos ke dalam sistem
computer

- Fraud, yaitu penggunaan computer untuk memanipulasi data untuk kepentingan yang
melanggar hukum

- Denial-of-service, yaitu serangan online yang membuat pengguna tidak dapat

mengakses situs tertentu

- Staff dishonesty, yaitu pencurian data atau informasi penting oleh karyawan internal.

C. Pengertian dari ISMS (Information Security Management System)

ISO/IEC 27001 disebut ISMS (Information Security Management System) ialah
sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara
internasional. ISO/IEC 27001 merupakan dokumen sistem manajemen keamanan
informasi yang memberikan gambaran secara umum mengenai apa saja yang harus
dilakukan oleh sebuah perusahaan maupun organisasi dalam usaha mereka untuk
mengevaluasi, mengimplementasikan dan memelihara keamanan informasi dimiliki
berdasarkan ”best practise” dalam pengamanan informasi. Pengamanan informasi adalah
suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini
- Memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki
wewenang.
- Memastikan bahwa informasi tetap lengkap dan akurat, serta informasi tersebut tidak
dapat dimodifikasi tanpa otorisasi yang jelas.

Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang
terdiri dari struktur organisasi, kebijakan, proses, prosedur, serta fungsi-fungsi
infrastruktur teknologi informasi. Dengan kata lain ISO/IEC 27001 adalah suatu cara
untuk melindungi dan mengelola informasi terhadap resiko bisnis berdasarkan
pendekatan yang sistematis untuk mempersiapkan, mengimplementasikan,
mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan
pengamanan informasi.

Berikut Manfaat dari penerapan ISO/IEC 27001:

1. Membantu organisasi yang terkait dengan kesesuaian terhadap kebutuhan standar

keamanan informasi yang sudah teruji.
2. Meningkatkan hal positif berkenaan dengan reputasi perusahaan, nilai, dan persepsi
yang baik dari pihak lain.
3. Memastikan bahwa organisasi memiliki kontrol terkait keamanan informasi terhadap
lingkungan proses bisnisnya yang mungkin dapat menimbulkan risiko atau gangguan.
4. Meningkatkan kepercayaan pelanggan, pihak ketiga, dan seluruh stakeholder yang
ada terhadap pelayanan yang diberikan melalui organisasi.
5. Membantu organisasi menjalankan perbaikan yang berkesinambungan di dalam
pengelolaan keamanan informasi.
6. Membuat pelaksanaan setiap proses menjadi lebih sistematis dan merubah etos kerja
organisasi.
7. Meminimalkan resiko melalui proses yang profesional, terstandarisasi dan
komprehensif dalam kerangka manajemen resiko.
8. Diferensiasi pasar.
9. Meningkatkan efektivitas dan kehandalan pengamanan informasi.
10. Salah satu standar pengamanan informasi yang diakui di seluruh dunia.
11. Karena standar yang sudah teruji maka kemungkinan rendahnya pembayaran premi
asuransi yang harus dibayar kepada perusahaan asuransi.
 12. Patuh terhadap hukum dan perundangan seperti UU ITE, dll.
13. Meningkatkan profit perusahaan.
14. Menunjukkan tata kelola yang baik dalam penanganan informasi.
15. Staf lebih fokus terhadap tanggung-jawabnya karena manajemen senior memiliki
tanggung-jawab keamanan informasi.
16. Adanya penilaian yang independen terkait ISMS dengan adanya audit setiap tahun.
17. Dapat digabung atau diintegrasikan dengan sistem manajemen lainnya seperti ISO
9001, ISO 14001.
18. Adanya mekanisme untuk mengukur berhasil atau tidaknya kendali pengamanan.

D. Pengertian dari Pengamanan Jaringan dan Contohnya

Sistem keamanan jaringan adalah suatu sistem yang memiliki tugas untuk melakukan
pencegahan dan identifikasi kepada pengguna yang tidak sah dalam jaringan komputer.
Langkah pencegahan ini berfungsi untuk menghentikan penyusup untuk mengakses lewat
sistem jaringan komputer. Tujuan dari dilakukan sistem keamanan jaringan komputer
adalah untuk antisipasi dari ancaman dalam bentuk fisik maupun logic baik secara
langsung atau tidak langsung yang mengganggu sistem keamanan jaringan.
Ada beberapa cara untuk bisa menjaga sistem keamanan jaringan computer:
1. Pengendalian Teknis adalah pengendalian yang menjadi satu di dalam system dan
dibuat oleh para penyususn system selama masa siklus penyusunan
system. Dilakukan melalui tiga tahap:
a. Identifikasi Pengguna: Memberikan informasi yang mereka ketahui seperti kata
sandi dan nomor telepon.nomor telepon.
b. Otentikasi Pengguna: Pengguna memverivikasi hak akses dengan cara
memberikan sesuatu yang mereka miliki, seperti chip identifikasi atau tanda
tertentu.
c. Otorisasi Pengguna: Pengguna dapat mendapatkan wewenang untuk memasuki
tingkat penggunaan tertentu.
Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat menggunakan sumber
daya informasi yang terdapat di dalam batasan file akses.
2. Pengendalian Kriptografis
 Merupakan penggunaan kode yang menggunakan proses-proses
matematika. Meningkatkan keamanan data dengan cara menyamarkan data dalam
bentuk yang tidak dapat dibaca. Berfungsi untuk melindungi data dan informasi yang
tersimpan dan ditransmisikan, dari pengungkapan yang tidak terotorisasi.
Kriptografi terbagi menjadi:
a. Kriptografi Simetris: Dalam kriptografi ini, kunci enkripsi sama dengan kunci
dekripsi.
b. Kriptografi Asimetris: Dalam kriptografi kunci enkripsi tidak sama dengan kunci
dekripsi.
3. Pengendalian Fisik
Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah mengunci
pintu ruangan computer.Perkembangan seterusnya menghasilkan kunci-kunci yang
lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta
kamera pengintai dan alat penjaga keamanan.
4. Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur
dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang
berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam
jangka panjang.
5. Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga agar
para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

E. Pengendalian Internal dan Kepatuhan

1. Pengendalian Internal
Pengendalian internal perusahaan adalah sistem manajemen yang
digunakan untuk melihat sejauh mana efektivitas dan pengawasan terhadap
ketidaksesuaian dalam mencari peluang perbaikan perusahaan. Pengendalian internal
yang dimaksud adalah tidak adanya sistem internal audit, atau pengawasan pada
sistem organisasi atau perusahaan. Hal itupun tidak akan berjalan dengan baik apabila
tidak ada komitmen yang baik dari dari masing-masing manajemen.
Tujuan Sistem Pengendalian Internal Perusahaan, antara lain:

- Kepatuhan: yaitu menjamin bahwa semua kegiatan usaha perusahaan telah

dilaksanakan sesuai dengan ketentuan dan peraturan perundang-undangan yang
berlaku, baik ketentuan yang oleh pemerintah maupun kebijakan dan prosedur
internal yang ditetapkan oleh perusahaan.

- Informasi: yaitu menyediakan laporan yang benar, lengkap, tepat waktu dan
relevan yang diperlukan dalam rangka pengambilan keputusan yang tepat dan
dapat dipertanggungjawabkan.

- Operasional: yaitu meningkatkan efektivitas dan efisiensi dalam menggunakan

aset dan sumber daya lainnya dalam rangka melindungi perusahaan dari risiko
kerugian.

Unsur-unsur pengendalian internal menurut para ahli yang perlu dirancang dan
diterapkan oleh manajemen perusahaan, adalah:

- Lingkungan pengendalian

- Penilaian Resiko (risk assessment)

- Prosedur pengendalian

- Pengawasan

- Informasi dan komunikasi

Arti penting Sistem Pengendalian Internal bagi manajemen dan auditor:

- Semakin luas lingkup dan ukuran perusahaan mengakibatkan di dalam banyak

hal manajemen tidak dapat melakukan pengendalian secara langsung atau secara
pribadi terhadap jalannya perusahaan.
 - Pengecekan dan review yang melekat pada sistem pengendalian internal yang
baik dapat akan pula melindungi dari kelemahan manusia dan mengurangi
kekeliruan dan penyimpangan yang akan terjadi.

2. Kepatuhan
Compliance atau kepatuhan terhadap keamanan informasi adalah masalah hukum
bagi organisasi yang bergerak di banyak industri saat ini. Standar regulasi dunia
seperti PCI DSS, HIPAA, dan IS 2 001 201 menetapkan rekomendasi untuk
melindungi data dan meningkatkan manajemen keamanan informasi di korporasi.
Untuk mencapai kepatuhan keamanan, perusahaan akan mendefinisikan aspek
keamanan informasi tersebut untuk mencapai tujuan keamanan informasi secara
spesifik, serta mengurangi ancaman serangan baik melalui jaringan maupun proses
seperti manajemen kerentanan.
Dalam beberapa kasus, kegagalan pemenuhan dan kepatuhan keamanan informasi
mengakibatkan hukuman kurungan dan denda finansial. Informasi juga merupakan
jantung dan aset perusahaan. Keamanan informasi akan berdampak kepada hidup
matinya perusahaan kerena turut menentukan dapat bersaing tidaknya perusahaan itu
di pasar yang ada.
Karena setiap standar keamanan utama melibatkan serangkaian persyaratan spesifik
yang berkembang sesuai aman, mencapai kepatuhan keamanan dapat menjadi sangat
rumit dan mahal. Untuk mendapatkan perlindungan dari kewajiban yang menyertai
pelanggaran keamanan, perusahaan menghabiskan banyak waktu dan uang untuk
upaya kepatuhan terhadap peraturan.
Berikut adalah undang-undang tentang cyber crime:
- Pasal 27 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak
mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya
informasi elektronik dan/atau dokumen elektronik yang memiliki muatan
yang melanggar kesusilaan. Ancaman pidana pasal 45(1) KUHP. Pidana penjara
paling lama 6 (enam) tahun dan/atau denda paling banyak Rp 1.000.000.000,00
(satu miliar rupiah). Diatur pula dalam KUHP pasal 282 mengenai kejahatan
terhadap kesusilaan.
- Pasal 30 UU ITE tahun 2008 ayat 3 : Setiap orang dengan sengaja dan tanpa hak
atau melawan hukum mengakses computer dan/atau system elektronik dengan
cara apapun dengan melanggar, menerobos, melampaui, atau menjebol system
pengaman (cracking, hacking, illegal access). Ancaman pidana pasal 46 ayat 3
setiap orang yang memebuhi unsure sebagaimana dimaksud dalam pasal 30 ayat
3 dipidana dengan pidana penjara paling lama 8 (delapan) dan/atau denda paling
banyak Rp 800.000.000,00 (delapan ratus juta rupiah).
- Pasal 33 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau
melawan hukum melakukan tindakan apa pun yang berakibat terganggunya
system elektronik dan/atau mengakibatkan system elektronik menjadi tidak
bekerja sebagaiman mestinya.
- Pasal 34 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau
melawan hukum memproduksi, menjual, mengadakan untuk digunakan,
mengimpor, mendistribusikan, menyediakan atau memiliki.
- Pasal 35 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau
melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan,
pengrusakan informasi elektronik dan/atau dokumen elektronik dengan tujuan
agar informasi elektronik dan/atau dokumen elektronik tersebut seolah-olah data
yang otentik (Phising = penipuan situs).

Selama bertahun-tahun, keamanan informasi telah mendapatkan berita buruk karena

berbagai alasan. Dua yang utama adalah definisi yang buruk dan penerapan keamanan
yang buruk. Berikut adalah beberapa prinsip keamanan informasi yang dapat
membantu kepatuhan korporasi terhadap sebuah standar
a. Keamanan informasi merupakan hal yang menyenangkan
Sering kali banyak pengguna aplikasi dan sistem keamanan informasi alergi
dengan keamanan. Pasalnya, keamanan berbanding terbalik dengan kenyamanan;
makin aman akan makin tidak nyaman dan makin nyaman akan makin tidak
aman. Dua hal ini dapat berpengaruh besar terhadap kepatuhan. Sebaiknya
perusahaan melakukan yang seimbang Balance , agar kepatuhan terhadap
keamanan informasi cepat tercapai di perusahaan tersebut.
b. Kepatuhan dan aman adalah dua hal yang berbeda
Sebaiknya pengguna tidak perlu bingung dengan dua kata tersebut karena
memang berbeda pemenuhannya. Kepatuhan adalah pemenuhan terhadap sebuah
standar tertentu, sedangkan aman adalah pemenuhan terhadap yang ingin dicapai
oleh perusahaan dengan tindakan mengamankan terhadap semua hal di
lingkungannya.
c. Aman adalah sebuah hal yang relatif
Seperti definisi sebelumnya, keamanan informasi adalah tindakan mengelola
risiko, bukan menghilangkannya. Dalam hal ini korporasi dan pengguna tidak
dapat mengurangi risiko sampai menjadi nol, tetapi hanya dapat meminimalisasi
saja. Keamanan yang relatif relativeness of security memerlukan pengukuran dan
perbandingan yang berkelanjutan terhadap sebuah standar yang ditentukan.
d. SDM adalah risiko terbesar
SDM merupakan salah satu aset perusahaan dan risiko kebocoran keamanan
informasi terbesar berada di tangan SDM tersebut. Perusahaan sudah begitu
banyak mengeluarkan uang untuk melakukan proteksi terhadap keamanan dengan
membeli teknologi yang canggih dan mahal, proses yang mahal dan rumit, tetapi
SDM-lah yang merupakan tulang punggung pelaksana proteksi keamanan
informasi. Tanpa kepatuhan SDM yang baik, perusahaan tidak akan pernah dapat
meraih kepatuhan keamanan informasi.
e. Kepatuhan terhadap keamanan informasi bukan penghambat untuk menghasilkan
uang
Kepatuhan keamanan informasi pada akhirnya dimaksudkan agar keamanan dan
kepatuhan dapat bekerja sama. Bukan keamanan vs kepatuhan, begitu juga
sebaliknya. Keamanan informasi di dalam perusahaan digunakan untuk mencapai
kepatuhan keamanan informasi dan kedua hal itu tidak dapat dipisahkan.
Tindakan yang berkelanjutan dan berulang yang dilakukan oleh semua pihak di
dalam organisasi akan dapat mempercepat pencapaian kepatuhan kepada standar
yang dirujuk. Itulah fenomena saat ini, bahwa kepatuhan keamanan informasi
perusahaan akan dapat meningkatkan bisnis dan pendapatan perusahaan di pasar
yang kompetitif. Seperti halnya pedal gas dan rem yang harus selaras untuk dapat
 ngebut dalam perjalanan. Tanpa kedua hal itu, seorang pengendara akan sulit
mencapai tujuan dengan selamat.

F. Kelangsungan Bisnis dan Pengauditan

Peran dan tugas audit internal dalam cyber security sangat dominan dalam rangka
mengamankan data-data penting milik perusahaan atau instansi dimana ia dipekerjakan.
Seperti kita tahu bahwa di era modern yang serba digital ini, yang ditandai dengan
penggunaan internet yang meluas di hampir semua sendi kehidupan maka diikuti pula
dengan dampak negatif. Salah satu dampak negatif yang viral saat ini adalah maraknya
penipuan dunia maya atau lazim disebut cyber crime Maka dari itu seorang audit internal
harus siap menjadi garda depan dalam cyber security.
1. Berpartisipasi dan bekerja secara efektif dengan para pemangku kepentingan
Hal ini merupakan salah satu peran dan tugas audit internal dalam cyber security.
Seorang audit internal harus mengetahui tujuan auditor dan memastikan obyektivitas,
menghindari konflik kepentingan selama proses audit, melakukan pre-audit planning,
mengetahui bagaimana teknik sampling audit efektif, merekam berbagai penemuan
dalam proses audit, serta mampu terlibat aktif dengan para pemangku kepentingan
2. Menanggulangi ancaman kejahatan ekonomi
Berbagai kejahatan ekonomi akan mengancam kelangsungan hidup perusahaan atau
instansi. Seorang Audit Internal harus bisa mengenali bentuk kejahatan ekonomi serta
kejahatan elektronik, antara lain Money laundrying (pencucian uang), pemalsuan
kartu kredit, pencurian data perusahaan, pemalsuan data gaji pegawai, dan lain
sebagainya.

- Melakukan kerjasama dengan korporasi kelangsungan hidup perusahaan atau

instansi dengan para pemangku kepentingan diikuti pGlobal Enforcement
Agencies

- Melakukan pengembangan deteksi secara efektif

- Melakukan perlindungan dan Compliance System

- Melakukan identifikasi area resiko

 - Memberikan klarifikasi dan menghitug (kuantifikasi) area resiko

- Melakukan pengembangan frekuensi audit serta re-audit yang sejalan dengan

resiko

- Memberikan tinjauan pada ancaman yang berkembang

3. Respon Audit Secara Efektif

Peran dan tugas audit internal dalam cyber crime selanjutnya adalah mengembangkan
respon audit secara efektif, antara lain

- Audit Internal mampu berperan sebagai konsultan bagi pihak lain

- Membuat laporan audit secara lengkap dalam rangka memberikan informasi

mengenai pengembangan kebijakan perusahaan atau instansi tempat ia bekerja.

- Mampu melakukan Continuous Improvement secara inisiatif

- Melakukan peningkatan dan mengukur terjadinya peningkatan secara obyektif

selanjutnya menunjukkan peningkatan hasil audit

4. Training Strategic Internal Audit

Mengingat pentingnya profesi audit internal dalam suatu instansi/ perusahaan, maka
sangat dianjurkan bagi audit internal mengikuti Training Strategic Internal Audit.
Pelatihan tersebut dilakukan secara intensif yang mana akan memberikan pelajaran
pada peserta agar lebih memahami konsep dan teknik, selanjutnya
mengaplikasikannya dalam internal audit secara lengkap dan integral.
Pelatihan Internal Audit bertujuan untuk:

- Meningkatkan peran dan fungsi audit

- Melakukan proses pelaporan serta audit secara efektif dan obyektif

- Memberikan kontribusi terhadap strategi audit organisasi secara efektif

- Terlibat aktif dan bekerjasama secara efektif dengan para pemangku kepentingan
 - Meningkatkan kualitas pada pengukuran serta Continuous Improvement di dalam
fungsi audit instansi/ organisasi

- Mengenali berbagai ancaman kejahatan ekonomi terhadap organisasi/ instansi

- Mengenali berbagai ancaman kejahatan ekonomi selanjutnya mengembangkan

respon audit secara efektif

- Mengintegrasikan beberapa teknologi baru ke dalam fungsi-fungsi audit

G. Studi Kasus Terkait Pengamanan Cyber

Judul: “Bagaimana Perusahaan Digital Antisipasi Isu Keamanan dan Privasi Data” oleh
Randi Eka (29 Mei 2020)

Kemanan dan privasi data menjadi sorotan penting beberapa waktu terakhir. Beberapa
platform di Indonesia memiliki isu di area ini yang berdampak bagi puluhan juta data
pengguna. Tentu ini menjadi kabar kurang baik bagi ekosistem digital yang tengah
berkembang, terlebih layanan yang akhir-akhir ini bocor cenderung dari perusahaan
teknologi yang cukup besar – dari sisi skala bisnis maupun cakupan penggunanya.

Aspek keamanan dan privasi data (idealnya) menjadi komponen yang harus ada dalam
sebuah proses pengembangan produk digital. Diskusi mengenai langkah antisipasi dari
isu tersebut menjadi menarik – terlebih bagi ekosistem startup di Indonesia yang sebagian
besar produknya digital dan melibatkan data-data pribadi pengguna.
Untuk mengulas seputar hal tersebut, DailySocial berkesempatan berbincang bersama
AVP Information Security Blibli Ricky Setiadi.AVP Information Security Blibli Ricky
Setiadi / Dok. Pribadi Ricky Setiadi

Berikut hasil wawancara kami:

DailySocial (DS): Isu data breach sebenarnya bukan hal baru di Indonesia, namun
menjadi buah bibir ketika melibatkan platform B2C/C2C dengan basis pengguna besar.
Dari pengalaman Pak Ricky sebagai praktisi di bidang keamanan siber, bisa dijelaskan
sebagai besar kejadian tersebut diakibatkan karena faktor apa?

Ricky Setiadi (RS): Risiko terhadap ancaman kebocoran data pada digital
platform senantiasa dalam rentang yang sangat tinggi. Jika menggunakan matriks risiko,
kebocoran terhadap data bisa dikategorikan ke dalam high to critical. Nilai ini akan
didapatkan dari kombinasi dampak dari frekuensi (seberapa sering terjadi) dan skala
(seberapa besar dampak) kejadian kebocoran data.

Ruang lingkup kebocoran data dalam skala besar biasanya dilakukan karena terdapatnya
celah atau vulnerability dari sistem yang dibuat oleh sebuah organisasi. Celah disebabkan
oleh berbagai macam faktor, namun secara umum menjadi tiga kelompok besar,
yakni People, Process, dan Technology.
(1) People — Kebocoran data terjadi karena human error atau kelalaian manusia, bisa
dari sisi pengembang atau pengguna. Pengguna kadang terlampau percaya kepada
pengembang. Padahal keamanan data merupakan tanggung jawab bersama, sehingga
keterlibatan dari sisi pengguna pun masih diperlukan. Beberapa penerapan keamanan
dasar yang bisa dilakukan dari sisi pengguna antara lain adalah
penggunaan password yang baik (kombinasi karakter password,
menggunakan password yang berbeda untuk setiap platform, serta menggantinya secara
berkala). Pengguna juga perlu memiliki kesadaran atau pengetahuan terhadap
ancaman social engineering (seperti phishing).

Tidak dimungkiri banyak kejadian yang juga terjadi karena kesalahan pada proses
pengembangan atau maintenance sebuah produk digital. Sebagai contoh, pengembang
tidak menerapkan enkripsi untuk penggunaan variable username dan password, dan
penyimpanan private key yang tidak aman, atau terdapatnya penggunaan account
default untuk setiap sistem yang digunakan. Contoh lainnya adalah kelalaian dalam
melakukan maintenance seperti pengembang menggunakan sertifikat digital yang sudah
kedaluwarsa, penggunaan database yang tidak terproteksi, hingga kelalaian dalam
melakukan design system (tidak mengindahkan kaidah standard practice berdasarkan
risiko dalam pembagian sistem yang bisa diakses secara publik dan sistem yang hanya
bisa diakses oleh internal).

(2) Process — Eksploitasi terhadap business proses. Terkadang pelaku tindak kejahatan
memanfaatkan kesalahan atau kelalaian proses yang dimiliki sebuah organisasi (logic
flaw exploitation). Paradigma bahwa security adalah tameng atau sebagai pelindung
terakhir sebuah produk, bisa menjadi salah satu faktor utama kebocoran data. Di Blibli,
kami selalu berusaha menguji produk kami dari fase awal pengembangannya untuk
menghindari serangan pada setiap tahapan. Ketidakhadiran pengujian terhadap sistem
dalam proses pengembangan juga merupakan salah satu kesalahan yang memberikan
dampak terhadap terjadinya kebocoran data.

Pengembang juga harus ingat untuk menerapkan proteksi pada perangkat keras. Beberapa
kasus kebocoran data juga terjadi karena eksploitasi perangkat keras yang berisikan data
pelanggan, contohnya seperti keamanan server atau hard disk yang menyimpan data
secara offline.

Technology – Pelaku kejahatan menemukan celah dari teknologi yang diterapkan

pengembang. Teknologi merupakan hasil dari sebuah pengembangan produk logika
manusia. Melalui pendekatan logika yang berbeda (terbalik), banyak para pelaku
tindakan kejahatan memanfaatkan celah ini untuk kemudian dijadikan sebagai pintu
dalam pengambilan data-data dari sebuah organisasi. Sebagai salah satu contoh adalah
adopsi protokol keamanan data TLS 1.0, pada tahun 1999 teknologi ini banyak
dimanfaatkan untuk mendukung layanan transaksi online. Namun seiringnya waktu,
ditemukan satu celah keamanan pada TLS 1.0 ini yang memungkinkan terjadinya “Man
in The Middle” attack. Dengan adanya celah ini, pelaku dapat
melakukan intercept terhadap transaksi yang dilakukan oleh korban atau targetnya.

Jika melihat kepada ketiga komponen di atas dan berdasarkan data

perkembangan incident report yang dikeluarkan oleh berbagai macam penelitian (salah
satunya adalah cyware.com), kecenderungan serangan dan kebocoran data saat ini banyak
terjadi karena faktor People melalui social engineering. Social
engineering seperti phishing, memudahkan pelaku untuk mengelabui targetnya. Pada saat
yang bersamaan, phishing juga dijadikan sebagai media utama dalam
menyebarkan malware. Kombinasi ini kemudian di-maintain oleh pelaku untuk sebagai
serangan baru yang biasa disebut dengan Advanced Persistent Threat (APT) attack.
Dengan APT attack, pelaku kemudian melakukan pengembangan dan eksploitasi data
yang kemudian bisa dikomersialisasi/dijual.

Untuk itu, edukasi mengenai social engineering kepada semua pihak yang terlibat dalam
sebuah proses bisnis menjadi salah satu prioritas untuk menjaga keamanan data, terutama
data pelanggan. Blibli, sebagai pengembang dan penyedia jasa digital, secara aktif
mengedukasi seluruh stakeholder hingga para pelanggan. Edukasi dan penyebaran
informasi dilakukan secara berkala agar Blibli dapat melakukan kontrol pengamanan
yang komprehensif.

DS:Ditinjau dari sisi pengembang, hal apa saja yang perlu menjadi perhatian sejak dini
agar sistem senantiasa mengakomodasi keamanan data dan privasi pelanggan? Faktor-
faktor apa saja yang berkaitan erat dengan keamanan dan privasi data pengguna?

RS:Keamanan data dan informasi menjadi tanggung jawab bersama. Pelanggan harus
jeli guna membatasi informasi yang diberikan ke penyedia jasa digital dan memahami
risiko jika informasi yang diminta terlalu sensitif dan tidak berhubungan dengan jasa.

Keterbatasan pemahaman akan keamanan data ini lah yang membuat keterlibatan
tim Security di setiap fase pengembangan sangatlah penting. Tim Security dapat
meminimalkan terjadinya gangguan terhadap data pelanggan terutama data yang
bersifat privacy atau rahasia (personally identifiable information atau PII). Pengamanan
tidak hanya sebatas dari faktor keamanan teknis saat produk digital siap dibuat, namun
penerapan pengamanan bahkan harus dilakukan saat produk didesain sesuai dengan
standar best practice.
 Berikut adalah beberapa faktor keamanan yang perlu diperhatikan, terutama ketika
melakukan pemrosesan data pribadi, yaitu:

- Regulasi pemerintah. Pastikan bahwa semua aspek regulasi yang dikeluarkan oleh
pemerintah setempat sudah dijadikan sebagai salah satu referensi utama dalam proses
pengambilan, pemrosesan, pengiriman, serta penyimpanan data pelanggan. Hal ini
menjadi penting karena setiap wilayah akan memiliki hukum dan regulasi yang berbeda-
beda.

- Kebijakan keamanan. Setiap pengembang saat ini harus memiliki sebuah payung yang
digunakan dalam pengamanan data terutama data pelanggan. Payung ini biasanya
dibentuk dalam sebuah Kebijakan Privasi. Dalam pembuatan kebijakan ini, pastikan
dibuatkan dalam format sesederhana mungkin dan dalam Bahasa yang mudah dimengerti
dengan tanpa melupakan aspek transparansi dan keamanan.

- Pengukuran risiko. Pertimbangan lain dalam penjagaan dan pengamanan pada saat
pengembangan aplikasi adalah melalui pendekatan terhadap pengukuran untuk setiap
risiko. Ada beberapa manfaat yang bisa diambil pada saat penilaian risiko yang
dilakukan. Selain melakukan identifikasi terhadap setiap potensi ancaman yang akan
terjadi, penggunaan kontrol yang efektif juga dapat mengurangi beban biaya dalam
proses mitigasi, mengingat setiap risiko akan memiliki bobot dan nilai serta kontrol yang
berbeda. Tentunya dalam pengukuran risiko ini, setiap organisasi harus menerapkan atau
memiliki kriteria penerimaan (acceptance level) dan rencana penanggulangannya (risk
treatment plan parameter).

- PII data collection. Dalam pengembangan sebuah platform pasti akan menggunakan
minimal salah satu dari data pribadi. Sebagai contoh adalah data nama lengkap, alamat
email, atau nomor telpon. Pengembang harus memperhitungkan dan mempertimbangkan
secara matang sejauh mana desain produk akan mengolah data tersebut. Misalnya dalam
proses registrasi, apakah platform yang kita kembangkan akan membutuhkan data-data
lengkap seperti nama ibu kandung padahal platform yang dikembangkan bukan untuk
 layanan perbankan. Contoh lainnya apakah kita membutuhkan data dalam bentuk kartu
identitas atau Credit Card pada saat pengembangan sebuah fitur promo. Atau yang paling
sering ditemukan dalam pengembangan produk untuk smartphone, terkadang
pengembang tidak benar-benar memperhatikan kebutuhan aplikasinya, sehingga ada
beberapa aplikasi yang secara default dapat mengakses contact, galeri, kamera, dan lain
sebagainya. Usahakan penggunaan data pribadi dilakukan sesuai dengan kebutuhan dan
pada saat menggunakan data tersebut dipastikan bahwa kita sudah memiliki kontrol yang
tepat untuk setiap data yang dikumpulkan.

- Fitur dan proses keamanan. Saat ini fitur keamanan adalah salah satu faktor yang akan
dipertimbangkan oleh pelanggan dan calon pelanggan. Penggunaan enkripsi (https dalam
mode web atau enkripsi lain dalam pengiriman data) merupakan salah satu fitur
keamanan yang dapat membantu dalam keamanan data pelanggan. Selain itu fitur two
factor authentication atau recovery methods lainnya adalah pendekatan pengembangan
lainnya yang dapat digunakan sebagai daya tarik pelanggan dalam pengamanan data.
Selain itu dalam proses internal, pastikan terdapat aturan yang tegas dalam memberikan
hak akses kepada setiap stakeholder yang terlibat. Segregation of duties atau pemisahan
tugas menjadi pendekatan untuk mencegah ancaman dari dalam. Klasifikasi data
merupakan pendekatan lain yang bisa dilakukan di dalam internal business process untuk
menghindari terjadinya data PII terekspos keluar.

DS: Di masa pandemi ini tiba-tiba platform online groceries melonjak transaksinya.
Maka startup perlu melakukan scale-up teknologi dari berbagai aspek. Menurut Pak
Ricky, di masa scale-up tersebut investasi apa yang perlu digelontorkan oleh bisnis untuk
menunjang keamanan sistem?

RS:Bagi kami, salah satu investasi terpenting adalah pada People dan Process. Dalam
perspektif keamanan informasi, pada dasarnya setiap sistem dan teknologi adalah alat
penunjang bisnis yang di dalamnya senantiasa mengandung kerentanan. Investasi pada
People dan Process akan mengubah pola pikir dan kultur pada bisnis. Kedua investasi
inilah yang kami coba terapkan di Blibli.
Perubahan pola pikir atau mindset memiliki sifat edukasi ke dalam dan ke luar. Seperti
yang telah dijelaskan sebelumnya, organisasi juga harus terus menginformasikan bahwa
keamanan data dan informasi pelanggan adalah merupakan tanggung jawab bersama
dengan cakupan yang sesuai dengan porsinya masing-masing.

Prioritas lainnya adalah perubahan kultur terhadap risiko. Kultur pada sebuah bisnis
dimulai dari proses implementasi, adopsi, hingga akuisisi teknologi. Jika proses ini
dilakukan dengan efektif dan efisien, perusahaan dapat menurunkan profil risiko serta
menerapkan kontrol pada organisasi. Organisasi pun dapat mempercepat perkembangan
bisnis karena sudah dapat menentukan kontrol keamanan yang tepat dari surface
attack pada saat melakukan scale-up.

DS: Ketika melakukan pengembangan, kadang engineer menemui kebimbangan. Di satu

sisi, aplikasi harus didesain semulus dan secepat mungkin, dengan UX yang sangat
sederhana. Di lain sisi, faktor keamanan harus menjadi perhatian. Menyebabkan
beberapa pengembang mengacuhkan opsi penambahan keamanan tambahan dalam
sistem. Bagaimana Pak Ricky menanggapi situasi tersebut?

RS: Permasalahan ini adalah permasalahan klasik antara tim pengembang

dengan security. Beberapa startup masih menggunakan konsep konvensional dalam
melakukan balancing atau penyeimbangan pada saat melakukan pengembangan aplikasi.
Sehingga masalah klasik ini senantiasa terjadi dan berulang. Dalam menghadapi ini,
sebenarnya kita bisa melakukan adopsi pendekatan Shifting Left. Berikut adalah
penjelasan mengenai pendekatan konvensional dan Shifting Left.
Konvensional:

Jika melihat kepada beberapa tahun ke belakang, proses pengembangan sebuah aplikasi
senantiasa akan menuliskan semua permintaan pada bagian awal pengembangan.
Proses testing, termasuk security testing, akan dilakukan pada akhir pengembangan. Satu
sisi, tahapan-tahapan ini akan menghasilkan sebuah aplikasi yang matang, namun di sisi
lain akan memberikan dampak yang cukup serius pada saat terjadinya
penemuan defect hasil testing yang banyak dan cukup kritis. Proses perbaikan terhadap
hasil dari testing akan membutuhkan biaya tambahan baik untuk desain maupun
implementasinya.
Metode ini sangat tidak efektif untuk diaplikasikan oleh organisasi startup yang
senantiasa mengandalkan kepada jumlah release yang cepat. Adopsi pendekatan yang
lebih agile dan shifting left bisa dilakukan untuk setiap organisasi startup dalam
menghasilkan produk yang cepat tanpa meninggalkan aspek keamanan.
Shifting Left:
Metode konvensional menerapkan testing hanya di tahapan akhir (Testing and
Verification). Pendekatan Shifting Left menerapkan proses pengujian mulai dari fase
awal yaitu “Requirement”. Pada fase ini, Requirement tidak hanya akan melibatkan
kebutuhan pelanggan dari sisi produk, bisnis, dan user experience, namun juga
memasukan unsur keamanan sebagai salah satu parameter. Blibli pun telah menerapkan
metode ini dalam proses pengembangan produk digitalnya.

Shifting left akan membentuk paradigma untuk melakukan pengujian semua aspek (test
everything), pengujian yang dilakukan kapan pun (test everytime), pengujian yang lebih
awal (test earlier), pengujian secara berkelanjutan (test continuously), dan melibatkan
pihak penguji dalam setiap tahap. Tim pengembang dan security dapat berkerja sama
untuk melakukan tindakan preventif daripada detective.

Metode dan pendekatan ini telah kami terapkan di Blibli sebelum kami meluncurkan
produk IT. Dengan adopsi ini, proses deteksi terhadap bugs atau defect menjadi lebih
cepat, meningkatkan efektifitas dari sisi waktu pengembangan dan biaya, serta
meningkatkan kemudahan dan kualitas produk/aplikasi.

DS: Menurut Pak Ricky, apa urgensinya melakukan sertifikasi sistem, terkait dengan
keamanan dan privasi data? Sertifikasi apa saja yang disarankan untuk diikuti?
RS:Sertifikasi akan menjadi sebuah competitive advantage. Karena melalui sertifikasi,
sebuah organisasi telah menunjukkan kemampuan kinerja yang lebih tinggi dan sesuai
dengan standar. Selain itu, sertifikasi juga menjadi sebuah comparative advantage dari
sebuah organisasi. Proses bisnis akan menyesuaikan dengan standar sehingga mampu
menghasilkan lebih banyak produk berkualitas yang efektif dan efisien serta mampu
melakukan manajemen risiko.

Ada banyak sertifikasi yang bisa diterapkan untuk level organisasi dalam dunia
keamanan informasi atau cybersecurity. Hal ini kembali lagi dengan kepentingan dan
ranah bisnis yang dilakukan organisasi. Blibli, sebagai contoh, telah mendapatkan
sertifikasi ISO/IEC 27001 tahun 2013 yang diakui secara global untuk pengelolaan
sistem keamanan informasi. E-commerce merupakan bisnis yang mengolah data
pelanggan, sehingga menjadi penting apabila bisnis serupa melakukan sertifikasi ini.
Proses sertifikasi juga perlu dilakukan oleh individu yang melakukan proses penerapan
keamanan. Profesional yang menjalankan proses pengamanan akan senantiasa menjadi
nilai tambah bagi perusahaan dalam menjalankan bisnisnya. Sertifikasi keamanan
informasi ini banyak sekali untuk level individual seperti:
Managerial: CISSP, CCISO, CISM, CIPP, CIPM, CRISC, CGEIT, EISM
Technical: OSCP, OSCE, OSEE, OSWE, CEH, CSSLP, Security+ CHFI, ECIH, LPT
Master, ECSA Master, CREST
Audit: CISA, ISO 2700 Lead Auditor, ISO2700 Internal Auditor

DS: Dalam tim teknis sebuah startup digital, idealnya tim keamanan ini terdiri dari
bagian apa -saja?

RS:Startup digital akan senantiasa melakukan pengolahan terhadap data-data dalam

bentuk digital. Fokus pengamanan sebuah organisasi harus lebih jauh, bukan hanya
pada pengamanan data semata, namun jauh lebih besar ke dalam hasil pengolahan data
tersebut – biasanya dikenal dengan informasi.

Kebutuhan tim teknis secara umum hanya membutuhkan tiga tim yaitu Yellow
(architect), Red (attacker) dan Blue (defender).
- Yellow: Pada saat melakukan pengembangan sebuah aplikasi, architecture review akan
senantiasa dilakukan baik dari sisi aplikasi, infrastruktur, maupun security. Tim Security
Architect akan melakukan review terhadap architecture dari aplikasi berdasarkan fungsi,
obyektif, rencana pengujian, serta pemantauan terhadap risiko teknis melalui
proses threat modelling.
- Red: Selain tim Yellow, sebuah aplikasi perlu diuji secara internal sebelum merilisnya ke
publik. Pengujian ini akan dilakukan oleh tim Red. Fungsi utama dari tim ini adalah
melakukan simulasi penyerangan terhadap aplikasi, platform, dan infrastruktur.
Skenarionya pun tidak hanya sebatas tes keamanan semata, namun melakukan berbagai
simulasi hacking dan social engineering sebagai bagian dari pengujian yang dilakukan.
- Blue: Selain simulasi penyerangan dijadikan sebagai metode dalam pengamanan aplikasi
atau platform, metode lain yang dibutuhkan adalah metode defensif. Tim Blue akan
bertanggung jawab terhadap implementasi skenario dan kontrol pertahanan dari serangan
pelaku tindak kejahatan siber atau simulasi serangan dari Tim Red seperti
implementasi web application firewall, firewall, logging, SIEM, incident handling, dan
sejumlah tindakan defensif lainnya.

Dalam perkembangannya, dari ketiga tim ini akan membentuk tim tambahan hasil dari
campuran ketiga warna tersebut. Blibli pun menerapkan campuran ini untuk memastikan
tim IT dapat beroperasi dengan maksimal. Ketiga tim tambahan tersebut adalah:

1. Green Team (kombinasi dari Blue dengan Yellow): Tim ini akan banyak
melakukan perbaikan dari security automation dan code yang dituliskan
oleh developer (programmer).
2. Orange Team (kombinasi dari Yellow dengan Red): Tim ini akan membantu
Tim Yellow untuk meningkatkan kapasitas tentang keamanan dalam
bentuk awareness atau edukasi teknis keamanan.
3. Purple Team (kombinasi dari Red dan Blue): Tim ini adalah sebagai tim
penyeimbang untuk meningkatkan kapasitas Tim Red dalam melakukan metode
ofensif atau pertahanan serta melakukan evaluasi dan perbaikan dari
Tim Blue dalam melakukan pertahanan.
 DS: Sebagai studi kasus, bagaimana Blibli menerapkan standar keamanan dan privasi
data? Fitur apa yang disajikan untuk mengantisipasi kegagalan sistem dari sisi
konsumen dan dari sisi platform?

RS: Blibli berkomitman untuk mengutamakan kepuasan pelanggan. Salah satu caranya
adalah memastikan bahwa keamanan data pelanggan terlindungi dan terkelola dengan
baik.

Keamanan data pelanggan merupakan subset atau bagian dari proses pengendalian
keamanan informasi, sehingga dalam pelaksanaannya kami melakukan tiga metode
pengendalian yang meliputi:

- Preventive: Pengendalian dengan pendekatan pencegahan ini kami lakukan dengan

melakukan perubahan budaya paradigma keamanan informasi. Beberapa kegiatan yang
kami lakukan termasuk kampanye yang meningkatkan awaraness pelanggan akan
keamanan data, menerapkan kendali terhadap akses dan teknologi sesuai
kebutuhan stakeholder, serta bekerja sama dengan pihak eksternal resmi seperti Badan
Sandi dan Siber Negara, komunitas Keamanan Informasi untuk meningkatkan keamanan
yang lebih luas.
- Detective: Dalam proses ini, pengendalian lebih ditekankan kepada aspek deteksi dengan
harapan terdapatnya perbaikan terhadap peningkatan keamanan informasi dan melihat
tingkat efektivitas terhadap kontrol yang kita miliki. Analisis log, pengujian keamanan,
dan laporan secara berkala merupakan langkah-langkah deteksi yang kami lakukan.
- Corrective: Pengendalian ini bertujuan untuk memperbaiki kondisi tingkat keamanan
pada saat sebuah insiden terjadi. Pembentukan tim Computer Incident Response
Team (CIRT) dan Cyber Security Incident Response Team (CSIRT), serta proses
pengelolaan manajemen insiden merupakan salah satu metode yang diterapkan oleh
Blibli.
Kami akui bahwa saat ini tindakan kejahatan dalam dunia siber semakin hari semakin
meningkat baik secara kualitas maupun kuantitas. Dalam pengamanannya kami
menerapkan banyak kontrol keamanan baik dari sisi pelanggan maupun platform kami.
Berikut ini adalah beberapa poin yang telah kami kembangkan demi menjaga keamanan
data dan kenyamanan bertransaksi.

(1) Pengamanan terhadap sistem e-commerce.

Penggunaan 100% secure communication untuk layanan yang dapat diakses oleh publik.
Selain memudahkan pelanggan dalam berbelanja, juga memastikan semua layanan
transaksi tersebut berjalan dengan aman.
Implementasi Bot Detection System (BDS) untuk melakukan deteksi transaksi yang
dilakukan oleh bot. Tindakan ini kami lakukan untuk memastikan pelanggan riil dapat
menikmati promosi yang sifatnya terbatas (flash sale, kode voucher, dan lainnya), bukan
bot yang disiapkan untuk melakukan eksploitasi.
Menjalankan Secure Software Development Lifecycle (SDLC). Dengan adopsi shifting
left, Blibli sudah menjalankan proses SDLC yang aman sehingga kami dapat melakukan
antisipasi tehadap kerentanan yang mungkin terjadi pada aplikasi.
Implementasi Security Operations Center (SOC) sehingga kami dapat melakukan deteksi
terhadap traffic yang berpotensi menjadi ancaman. Selain itu dengan SOC ini Blibli dapat
menjaga keamanan lingkungan digital perusahaan dari pihak yang tidak berwenang agar
tidak dapat mengakses Data Pelanggan.
Pengembangan aplikasi dan produk senantiasa mengedepankan aspek pengelolaan risiko,
di mana setiap risiko akan dikendalikan melalui kontrol yang sesuai.
(2) Perlindungan pelanggan.
Blibli telah menambahkan fitur Phone Number Verification dan Email Recovery sebagai
salah satu kontrol untuk melindungi dan meningkatkan keamanan akun pelanggan.
Dalam menghadapi ancaman tindakan fraud, kami menerapkan fitur 3D Secure for credit
card payment dan mengirimkan OTP kepada pelanggan saat bertransaksi dengan Blipay
dan BCA OneKlik.
Menjalankan phishing site detection, fitur yang memberikan kemudahan kepada
pelanggan Blibli dalam proteksi terhadap percobaan phishing.
End-to-end encryption untuk semua fitur yang mengandung informasi kritis dari
pelanggan seperti password, credit card, dan informasi sensitif lainnya.

DS: Sebagai sebuah worst case scenario, ketika sistem mendapati isu data breach, apa
yang seharusnya dilakukan oleh perusahaan — baik dari sisi tim pengembang, tim
komunikasi ke pelanggan dll?

RS: Sebuah organisasi harus sedini mungkin menyiapkan mekanisme skenario terburuk
dari sebuah serangan termasuk skenario kebocoran data. Tindakan pencegahan dan
respons terhadap kebocoran data harus melibatkan semua pihak baik dari sisi tim IT,
Security, komunikasi, legal, serta jajaran manajemen.

Setiap organisasi setidaknya harus memiliki prosedur baku dalam persiapan penanganan
insiden. Setiap insiden yang terjadi tidak harus diinformasikan kepada pelanggan.
Perusahaan juga harus melakukan kategorisasi insiden yang terjadi (apakah insiden
termasuk ke dalam kategori aktivitas malicious code, penggunaan akses yang tidak
normal, percobaan phishing spear atau insiden lain yang menyebabkan data terekspos).
Selain kategori tersebut di atas, tim incident handling harus menganalisis dampak dari
kejadian tersebut. Penggunaan matriks yang diturunkan dari matriks risiko akan
membantu tim melakukan perhitungan dengan lebih tepat dan cepat. Analisis ini perlu
juga ditunjang dengan proses validasi dan klasifikasi dari insiden tersebut. Apakah
insiden ini benar-benar valid atau hanya sebatas false positive, apakah kejadian ini
memiliki dampak yang sesuai dengan laporan pertama, serta data atau sistem apa saja
yang terkena dampak dari insiden ini.

Setelah melakukan analisis dan klasifikasi, langkah berikutnya adalah menentukan

prioritas baik dari jenis insiden maupun langkah kontrol untuk perbaikan yang sifatnya
sementara supaya insiden ini tidak memberikan dampak yang lebih besar. Proses
investigasi awal dengan melakukan analisis, validasi, klasifikasi, serta penentuan prioritas
 ini biasanya dikenal dengan Incident Triage. Incident Triage ini harus dilakukan dengan
teliti dan matang, mengingat ini akan menjadi input utama untuk menentukan langkah
selanjutnya.

Jika pada fase incident triage menghasilkan kesimpulan bahwa insiden terjadi, proses
notifikasi harus secepatnya diberikan kepada setiap komponen organisasi yang terlibat.
Notifikasi cepat ini harus melibatkan:

- Tim Legal untuk melihat dari aspek regulasi dan hukum yang berlaku.
- Tim IT untuk secepatnya berkoordinasi dalam melakukan penanganan awal dari insiden
yang terjadi, termasuk tim infrastructure dan developer untuk melakukan perbaikan
secepatnya.
- Management representative untuk memberikan laporan terbaru dari status insiden serta
meminta saran, rekomendasi, serta arahan untuk keputusan.
- Tim Komunikasi untuk memberikan pernyataan resmi (baik secara reaktif atau proaktif)
kepada publik mengenai kondisi insiden saat ini dan apakah insiden ini valid atau tidak
valid.

Seiring dengan proses notifikasi tersebut, tim penanganan insiden harus secepatnya
menjalankan proses containment. Fungsi dari proses ini adalah menghentikan laju dari
dampak insiden tidak semakin meluas ke aset dan sistem lain. Tujuan
lain containment adalah mengurangi kerugian atas dampak yang lebih besar dari insiden
tersebut.

Tim penanganan insiden juga harus mampu melakukan pengumpulan bukti-bukti dari
setiap insiden ini. Pengumpulan bukti ini menjadi bagian penting dalam pembuatan
laporan dan menentukan proses forensic dari insiden tersebut. Hasil forensic ini akan
menjelaskan detail informasi dari insiden tersebut seperti:
 Metode penyerangan.
 Jenis kerentanan yang digunakan untuk melakukan eksploitasi.
 Kontrol keamanan yang mampu menahan serangan.
  Jenis aplikasi atau sistem yang digunakan sebagai dormant host atau jalan masuk
penyerang serta informasi detailnya.

Setelah ditemukan inti permasalahan, tim penanganan insiden secepatnya melakukan

pembetulan pada kesalahan pemrograman atau patching terhadap sejumlah kerentanan
yang ditemukan dan dijadikan sebagai jalan masuk dari insiden tersebut. Dalam
penanganan insiden, melakukan patching ini biasa disebut dengan proses pemberantasan
atau eradication process. Beberapa contoh lain dari proses ini adalah dengan penggantian
perangkat yang malfungsi, mengubah konfigurasi baik dari perangkat
infrastruktur, security maupun code dari developer, serta
melakukan improvement (instalasi) baru untuk meningkatkan keamanan.

Langkah selanjutnya yang harus dilakukan oleh tim penanganan adalah melakukan
pemulihan sistem, layanan, serta data yang terkena dampak dari insiden tersebut. Tim
penanganan harus dapat memastikan bahwa semua layanan kembali normal.

Tim penanganan harus membuat laporan lengkap mengenai insiden dan melaporkannya
ke pihak terkait. Selain manajemen perusahaan, tim dapat melaporkannya kepada
pemerintah apabila insiden termasuk dalam kategori kritis dan berhubungan dengan
pelanggan. Pada saat memberikan informasi kepada stakeholder, setidaknya ada beberapa
poin yang harus dilakukan atau disampaikan:
Komunikasikan insiden ini dengan bahasa yang sederhana kepada stakeholder yang tepat.

Berikan informasi yang transparan, termasuk informasi tentang keterlibatan semua pihak
dalam melakukan perencanaan persiapan insiden merupakan salah satu pendekatan
terbaik. Informasikan juga bahwa kejadian ini di luar kontrol organisasi, mengingat
organisasi sudah melakukan serangkaian kegiatan preventif.
Berikan informasi secara wajar dan akurat terkait dengan dampak dari insiden tersebut.
Termasuk di dalamnya informasi tentang
Apa yang terjadi dengan data, semisal meski datanya terekspos tapi masih terlindungi
oleh enkripsi.
Langkah atau tindakan yang harus dilakukan pelanggan jika proses penanganan masih
dalam tahap investigasi atau perbaikan, seperti mengganti password semua akun digital
dan pengecekan saldo (untuk platform finansial) secara reguler
Melakukan tindakan (incident response) terhadap kebocoran data merupakan sebuah
tindakan kritis yang harus segera dilakukan. Namun demikian tindakan pencegahan
merupakan kunci utama dalam melakukan reaksi dan respons terhadap kebocoran data
tersebut.

DS: Terakhir, mungkin ada buku, online course atau sumber belajar lain yang dirasakan
oleh Pak Ricky untuk dapat dipelajari penggiat startup terkait metodologi, konsep,
hingga praktik keamanan dan privasi data?
RS:Saat ini banyak platform yang bisa digunakan untuk meningkatkan kapasitas dalam
keamanan informasi baik untuk pelaku bisnis startup atau individual. Baik dari yang
sifatnya free, freemium maupun premium baik dari sisi managerial maupun dari sisi
teknis. Platform yang biasa kami gunakan
adalah O’reilly, udemy, cybrary.it, hackerone, hackthebox, hacking-
lab, pwnable, coursera, opensecurity training, heimdal security, san
cyberaces, owasp, openSAMM project dan masih banyak lagi beberapa platform
community yang bisa digunakan.

Di Blibli, kami senantiasa melakukan peningkatan kapasitas dari tim IT, salah satunya
adalah melakukan edukasi terhadap pengembangan produk melalui secure coding
training, seminar, dan internal sharing session secara periodik. Kami juga mengajak
rekan-rekan IT di Blibli untuk bergabung dalam komunitas IT. Fungsi dari keikutsertaaan
karyawan di komunitas adalah memperluas network serta mendapatkan update mengenai
isu-isu terkini, baik yang terjadi di dalam maupun luar negeri.
 BAB III KESIMPULAN

- Kemajuan ilmu pengetahuan dan teknologi membawa berbagai implikasi kompleks

dalam kehidupan manusia dan hubungan antar negara. Seiring dengan perkembangan
teknologi Internet, menyebabkan munculnya kejahatan yang disebut dengan cyber crime
atau kejahatan melalui jaringan internet
- Crime dalam arti sempit disebut computer crime, yaitu prilaku ilegal atau melanggar
secara langsung menyerang sistem keamanan suatu komputer atau data yang diproses
oleh computer.
crime dalam arti luas disebut computer related crime, yaitu perilaku ilegal atau melanggar
yang berkaitan dengan sistem komputer atau jaringan.
- Beberapa jenis kejahatan siber yang dapat mengancam jaringan IT sebuah perusahaan
diantaranya:
1. DoS (Denial of Service)
2. Malware
3. Phishing
4. Credential Reuse
5. SQL Injection
6. Cross-Site Scripting (XSS)
7. Man in the Middle
- IT Risk Management (Manajemen Resiko Teknologi Informasi) adalah suatu proses
identifikasi kerentanan dan ancaman terhadap sumber daya informasi yang digunakan
oleh sebuah organisasi dan dilakukan oleh manajer IT untuk mencapai tujuan bisnis,
mengurangi resiko, dan menyeimbangkan pengeluaran dalam mencapai keuntungan dan
melindungi IT.
- Ada 4 proses manajemen risiko IT, yaitu
1. Mengidentifikasi Resiko
2. Menganalisis Resiko
3. Mengevaluasi Resiko
4. Memantau dan Mempertimbangkan Resiko
- IT Risk Management juga mengelola hambatan criminal terhadap teknologi informasi
suatu perusahaan, antara lain
1. Hackers, yaitu orang-orang yang secara tidak sah menerobos ke dalam sistem
computer
2. Fraud, yaitu penggunaan computer untuk memanipulasi data untuk kepentingan
yang melanggar hukum
3. Denial-of-service, yaitu serangan online yang membuat pengguna tidak dapat
mengakses situs tertentu
4. Staff dishonesty, yaitu pencurian data atau informasi penting oleh karyawan
internal.
- ISO/IEC 27001 disebut ISMS (Information Security Management System) ialah sebuah
metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara
internasional. ISO/IEC 27001 merupakan dokumen sistem manajemen keamanan
informasi yang memberikan gambaran secara umum mengenai apa saja yang harus
dilakukan oleh sebuah perusahaan maupun organisasi dalam usaha mereka untuk
mengevaluasi, mengimplementasikan dan memelihara keamanan informasi dimiliki
berdasarkan ”best practise” dalam pengamanan informasi.
- Sistem keamanan jaringan adalah suatu sistem yang memiliki tugas untuk melakukan
pencegahan dan identifikasi kepada pengguna yang tidak sah dalam jaringan komputer.
- Ada beberapa cara untuk bisa menjaga sistem keamanan jaringan computer:
1. Pengendalian teknis adalah pengendalian yang menjadi satu di dalam system dan
dibuat oleh para penyususn system selama masa siklus penyusunan
system. Dilakukan melalui tiga tahap: identifikasi pengguna, otentikasi pengguna,
otorisasi pengguna
2. Pengendalian Kriptografis
Merupakan penggunaan kode yang menggunakan proses-proses matematika.
3. Pengendalian Fisik
Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah
mengunci pintu ruangan computer.Perkembangan seterusnya menghasilkan
 kunci-kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan
cetakan suara, serta kamera pengintai dan alat penjaga keamanan.
4. Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur
dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang
berbeda dari panduan yang berlaku.
5. Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga
agar para karyawan perusahaan memahami serta mendukung program keamanan
tersebut.
- Pengendalian internal perusahaan adalah sistem manajemen yang digunakan untuk
melihat sejauh mana efektivitas dan pengawasan terhadap ketidaksesuaian dalam mencari
peluang perbaikan perusahaan.
- Compliance atau kepatuhan terhadap keamanan informasi adalah masalah hukum bagi
organisasi yang bergerak di banyak industri saat ini. Standar regulasi dunia seperti PCI
DSS, HIPAA, dan IS 2 001 201 menetapkan rekomendasi untuk melindungi data dan
meningkatkan manajemen keamanan informasi di korporasi. Untuk mencapai kepatuhan
keamanan, perusahaan akan mendefinisikan aspek keamanan informasi tersebut untuk
mencapai tujuan keamanan informasi secara spesifik, serta mengurangi ancaman
serangan baik melalui jaringan maupun proses seperti manajemen kerentanan.
- Peran dan tugas audit internal dalam cyber security:
1. Berpartisipasi dan bekerja secara efektif dengan para pemangku kepentingan
2. Menanggulangi ancaman kejahatan ekonomi
3. Respon Audit Secara Efektif
4. Training Strategic Internal Audit
-
 REFERENSI

IGN MANTRA Dosen Keamanan Informasi, Peneliti Cyber War dan Cyber Security
Inspection @lab, ABFII Perbanas Jakarta, Certified EC-Council Instructor dan Ketua Indonesia
Academic Computer Security Incident Response Team, korespondensi e-mail: mantra@acad-
csirt.or.id

“Peran dan Tugas Audit Internal dalam Cyber Security

https://www.robicomp.com/tugas-dan-peran-audit-internal-dalam-cyber-security.html

“Tips Menjaga Keamanan Data untuk Melindungi Bisnis”

http://www.asaba.co.id/article/preview/29/tips-menjaga-keamanan-data-untuk-melindungi-
bisnis-anda

ANALISIS MANAJEMEN RISIKO ANCAMAN KEJAHATAN SIBER (CYBER CRIME)

DALAM PENINGKATAN CYBER DEFENSE , oleh Ineu Rahmawati

http://jurnal.idu.ac.id/index.php/JPBH/article/viewFile/179/84

https://mtp.co.id/project/7-jenis-cyber-attack-yang-mengancam-it-perusahaan-dan-solusinya/

KERENTANAN YANG DAPAT TERJADI DI JARINGAN KOMPUTER PADA

UMUMNYA, oleh Andre M. R. Wajong

https://media.neliti.com/media/publications/166137-ID-kerentanan-yang-dapat-terjadi-di-
jaringa.pdf
https://www.dictio.id/t/apa-yang-dimaksud-dengan-manajemen-risiko-teknologi-informasi-atau-
it-risk-management/15022/2

https://sis.binus.ac.id/2019/04/08/it-risk-management/

https://isokonsultindo.com/iso-27001

https://www.hukumonline.com/klinik/detail/ulasan/lt5d588c1cc649e/perlindungan-hukum-atas-
privasi-dan-data-pribadi-masyarakat/

https://media.neliti.com/media/publications/43295-ID-perlindungan-hukum-terhadap-korban-
kejahatan-cyber-crime-di-indonesia.pdf