Scribd Logo
Unggah

Selamat datang di Scribd!

  • Soal - IT Risk Management 12 - Istiarso 202420040

    Diunggah oleh

    Istiarso Budiyuwono
    493 tayangan3 halaman
    Dokumen tersebut berisi jawaban dari seorang mahasiswa bernama Istiarso Budi Yuwono dengan NIM 202420040 untuk ujian akhir semester mengenai IT Risk Management. Mahasiswa tersebut menjawab lima pertanyaan yang terkait dengan strategi manajemen risiko TI, sumber ancaman sistem, cara mengamankan aset TI, penerapan integritas dalam keamanan TI, dan hubungan antara penanganan risiko dengan evaluasi risiko sebelumnya.

    Deskripsi Asli:

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    DOCX, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    Dokumen tersebut berisi jawaban dari seorang mahasiswa bernama Istiarso Budi Yuwono dengan NIM 202420040 untuk ujian akhir semester mengenai IT Risk Management. Mahasiswa tersebut menjawab lima pertanyaan yang terkait dengan strategi manajemen risiko TI, sumber ancaman sistem, cara mengamankan aset TI, penerapan integritas dalam keamanan TI, dan hubungan antara penanganan risiko dengan evaluasi risiko sebelumnya.

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    493 tayangan3 halaman

    Soal - IT Risk Management 12 - Istiarso 202420040

    Diunggah oleh

    Istiarso Budiyuwono
    Dokumen tersebut berisi jawaban dari seorang mahasiswa bernama Istiarso Budi Yuwono dengan NIM 202420040 untuk ujian akhir semester mengenai IT Risk Management. Mahasiswa tersebut menjawab lima pertanyaan yang terkait dengan strategi manajemen risiko TI, sumber ancaman sistem, cara mengamankan aset TI, penerapan integritas dalam keamanan TI, dan hubungan antara penanganan risiko dengan evaluasi risiko sebelumnya.

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 3

    Nama : Istiarso Budi Yuwono

    NIM : 202420040
    Ujian Akhir Semerter (UAS)

    IT Risk Management

    Pertanyaan:

    1. Mengingat seriusnya resiko keamanan akan asset Teknology Informasi dan komunikasi (TIK),
    managemen resiko secara efektif menjadi bagian penting untuk mengurangi dampak buruk yang
    dapat ditimbulkannya. Ditambah lagi, penggunaan TI semakin menjadi bagian integral dari
    proses bisnis dimana gangguan dengan TIK berdampak langsung terhadap kelancaran
    operasional organisasi. Berlatarbelakang hal tersebut maka menjadi penting baik bagi pihak
    manajemen maupun seluruh staff memahami resiko apa yang mungkin muncul dilingkungan IT
    mereka dan bagaimana resiko tersebut dapat dikurangi atau bahkan dihilangkan.
    Sehubungan dengan hal ini bagaimana strategy yang dapat diterapkan untuk memanajemen
    resiko ini…? Jelaskan dengan contoh

    2. Di era sekarang ini banyak ancaman terhadap system yang mungkin terjadi. Jelaskan sumber
    ancaman tersebut, beri contoh dan diskusikan masing-masingnya

    3. Jika anda seorang CIO, jelaskan bagaimana anda mengamankan asset IT yang anda kelola?

    4. Integrity merupakan bagian penting dari amannya suatu system berbasis teknologi. Jelaskan
    dengan menggunakan contoh, penerapan prinsip integritas dalam keamanan teknologi
    informasi

    5. Risk Treatment sangat berhubungan erat dengan hasil evaluasi resiko yang dilakukan
    sebelumnya. Anda diminta untuk menjelaskan hubungan keduanya. Agar lebih mengena, silakan
    jelaskan dengan contoh!

    --- Selamat bekerja ----

    Jawab :

    1. Ada 3 Strategi yang di ambil adalah sbb :


    a. Strategi terkait management - Mengadopsi/implementasi framework ISMS yang sesuai.
    Misal OCTAVE, NIST, ISO 27001. Menerapkan best practice ISMS framework dan
    perbaikan TI security policy.
    b. Strategi terkait Teknologi/proces - Meng-hardening peralatan jaringan seperti Firewall,
    router, switch dengan menerapkan configurasi yang mendukung standar keamanan
    tinggi.
    c. Strategi terkait people/manusianya - Menyelenggarakan training, IT Security awareness,
    mengedukasi semua pihak yang menggunakan Teknologi Informasi untuk sadar
    pentingnya menjaga keamanan IT dengan hal yang bisa di kerjakan misalnya perihal
    Nama : Istiarso Budi Yuwono
    NIM : 202420040
    Ujian Akhir Semerter (UAS)

    pembuatan password yang aman, minimal 8 char, kombinasi symbol, alfabet, angka &
    huruf kapital dll

    2. Sumber-sumber ancaman :
    a. Punya maksud dan metode yang ditargetkan pada eksploitasi kerentanan;
     Contoh : serangan hacker mafiaboy terhadap situs-situs e-commerce Yahoo,
    ebay, amazon, dll di tahun 2000
    b. Ada situasi dan metode yang mungkin tidak disengaja;
     Contoh : pemalsuan website klikBCA yang menyebabkan user tidak sengaja
    memberikan informasi user dan password dalam website palsu tersebut
    c. serangan cyber atau fisik yang bermusuhan;
     contoh : cyber attack karena persaingan bisnis, hacker dari china menyerang
    situs perusahaan-perusahaan amerika, begitu juga sebaliknya
    d. kesalahan manusia karena kelalaian atau kesengajaan;
     contoh : Serangan worm di sebabkan karyawan membuka attachment email yg
    berisi malware , virus I love you di tahun 2000, terjadi di perusahaan tempat
    saya bekerja
    e. kegagalan struktural sumber daya yang dikendalikan organisasi (misalnya, perangkat
    keras, perangkat lunak, kontrol lingkungan);
     contoh : perangkat jaringan dan/atau hardware server rusak, beberapa kali
    terjadi pada peralatan di tempat saya bekerja seperti server Hang, hardware
    hang, membutuhkan restart
    f. bencana alam dan buatan manusia, kecelakaan, dan kegagalan di luar kendali organisasi
     contoh 1 : Data center terkena banjir di Jakarta awal Januari 2020
     contoh 2 : Kabel bawah laut milik Telkom putus, jaringan internat ke Papua
    tergangu
    g. eksploitasi kerentanan
     contoh : virus nimda mengeksploitasi kelemahan IIS4 microsoft

    Ada Quota dari Dedy Syamsuar, PhD, yang intinya “Tidak tahu apa itu resiko adalah resiko
    (bahaya) terbesar”

    3. Untuk mengamankan asset, kita bisa menerapkan metode 7 layer cyber security
    a. The human layer , menggunakan policy, peraturan, himbauan
    b. Perimeter security , menggunakan CCTV, gembok, petugas secuity
    c. Network Security, menggunakan fitur keamanan di peralatan jaringan
    d. Endpoint security , menggunakan aplikasi security, antivirus dll
    e. Application Security , menerapkan fitur keamanan dari aplikasi
    f. Data Security, menerapkan standard datacenter security, dll
    g. Mission Critical Asset
    Nama : Istiarso Budi Yuwono
    NIM : 202420040
    Ujian Akhir Semerter (UAS)

    4. Integrity adalah salah satu dari 3 pilar utama system keamanan TI (teknologi informasi) CIA
    (Confidentiality, Integrity & Availability).

    Integrity mengacu pada suatu metode atau langkah-langkah untuk menjaga agar data atau
    informasi tidak dapat dimanipulasi, diubah atau diedit oleh pihak yang tidak punya
    wewenang. 
    Pada seminar APTIKOM, tentang blockchain, bisa di jadikan salah satu contoh penerapan
    prinsip data integrity, dimana setiap block akan menyimpan hashing dari block sebelumnya,
    perubahan data sedikit saja akan membuat hashing data berubah. Karena dalam block
    chain, setiap node menyimpan data yang sama

    5. Risk Treatment berhubungan erat dengan hasil evaluasi resiko.

    Dalam Risk treatment, resiko harus di selesaikan dengan beberapa pilihan :

    a. Risk Reduction
    b. Risk Retention
    c. Risk Avoidance
    d. Risk Transfer

    Contoh hasil evaluasi resiko data center, Memiliki UPS 15KV hanya 1 dengan kondisi :

    Load 60% , Battery time 30 menit (jika power Off)

    Langkah yang bisa di ambil

    i. Risk Reduction -> load terlalu tinggi, beli UPS satu lagi, bagi rata bebannya
    ii. Risk Retention -> jika terjadi mati listrik, segera matikan juga server/hadware yg kurang penting,
    untuk memperpanjang battery time supaya lebih lama dari 30 menit sambal berharap listrik
    hidup lagi
    iii. Risk Avoidance -> untuk antisipasi listrik mati, siapkan genset untuk cadangan, Genset harus
    hidup segera (kurang dari 30 menit, atau menggunakan ATS auto transfer switching)
    iv. Risk Transfer -> serahkan masalah UPS ke pihak elektrik atau pihak ketiga untuk pengelolaannya,
    minta mereka lakukan apapun untuk menjamin data center tersedia powernya walau listrik mati

    Keputusan yang dapat di ambil bisa merupakan gabungan dari risk treatment tsb : (contoh kasus di
    tempat saya bekerja)

    1. Kalo ada mati listrik dan dinformasikan akan lebih 30 menit, maka matikan server/hardware
    yang kurang penting, untuk memperjang battere (Risk Retention)
    2. Membuat permintaan ke departmen lain untuk penyiapan genset (Risk Avoidance)
    3. Membuat pengajuan pembelian UPS Baru.( Risk Reduction)

    Tetapi kami tidak menyerahkan alih tanggung jawab ke pihak lain

    Anda mungkin juga menyukai