YAYASAN EL-BAYAN MAJENANG

SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER

(STMIK) KOMPUTAMA MAJENANG
TERAKREDITASI
Program Studi : S1 Sistem Informasi, S1 Teknik Informatika
Jl. Raya Majenang – Cimanggu KM 8 No. 99 Cilempuyang Kec. Cimanggu Kab. Cilacap 53256
Telp (0280)6265594 web : stmikkomputama.ac.id email : stmik.komputama.majenang@gmail.com

UJIAN AKHIR SEMESTER (UAS) GENAP

TAHUN AKADEMIK 2021/2022
Nama : Dimas Ramadan
NIM : 195720042
Makul : Audit Sistem Informasi
Kelas : 2SI6A
LEMBAR JAWAB

1. Jelaskan pengertian tentang cryptografi

Kriptografi adalah ilmu mengenai teknik enkripsi dimana “naskah asli” (plaintext)
diacak menggunakan suatu kunci enkripsi menjadi “naskah acak yang sulit dibaca”
(ciphertext) oleh seseorang yang tidak memiliki kunci dekripsi. Dekripsi menggunakan
kunci dekripsi bisa mendapatkan kembali data asli. Probabilitas mendapat kembali
naskah asli oleh seseorang yang tidak mempunyai kunci dekripsi dalam waktu yang
tidak terlalu lama adalah sangat kecil.
kriptografi adalah ilmu pengetahuan dan seni menjaga message-message agar tetap
aman (secure).
Kriptografi adalah cabang dari ilmu matematika yang memiliki banyak fungsi dalam
pengamanan data. Kriptografi adalah proses mengambil pesan/message dan
menggunakan beberapa fungsi untuk menggenerasi materi kriptografis (sebuah digest
atau message terenkripsi).
Kriptografi, secara umum adalah ilmu dan seni untuk menjaga kerahasiaan berita [bruce
Schneier - Applied Cryptography]. Selain pengertian tersebut terdapat pula pengertian
ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek
keamanan informasi seperti kerahasiaan data, keabsahan data, integritas data, serta
autentikasi data [A. Menezes, P. van Oorschot and S. Vanstone - Handbook of Applied
Cryptography]. Tidak semua aspek keamanan informasi ditangani oleh kriptografi.

2. Jelaskan langkah-langkah dalam melakukan analisa kebutuhan keamanan (

security requirement analysis) dengan menggunakan metode SQUARE.
Metodologi SQUARE (System Quality Requirements Engineering) adalah sembilan
langkah proses yang dikembangkan untuk membantu organisasi atau lembaga
menjamin keamanandan keberlangsungan sistem dan aplikasi berbasis Teknologi
Informasi dalam sebuah Sistem Manajemen Aset. Proses ini meliputi proses
mengidentifikasi dan menilai serta teknik untuk melakukan identifikasi kebutuhan,
analisis, spesifikasi, dan manajemen. Metodologi SQUARE juga berfokus pada isu-isu
manajemen yang terkait dengan perkembangan keamanan dan persyaratan privasi
sistem TI yang baik.
Step 1: Definitions
Mendeskripsikan perangkat lunak yang dibangun dan mendefinisikan istilah-
istilah keamanan informasi untuk sistem yang akan dianalisis yang disepakati di
dalam organisasi.
Step 2: Safety and Security Goals
Menganalisis tujuan dan persyaratan keamanan sistem yang diperlukan oleh
organisasi untuk memastikan keamanan secara keseluruhan sistem dan
ketersediaan (availability) setiap saat.
Step 3: System Architecture
Menjelaskan arsitektur aplikasi yang dibangun. Arsitekturnya dapat berupa
arsitektur aplikasi, data dan jaringan.
Step 4: Use Case
Menggambarkan diagram Use Case aplikasi menggunakan UML dan
menjelaskannya dalam tabel use case untuk masing-masing kasus penggunaan.
Use Case memberikan garis besar fungsi sistem dari perspektif pengguna,
dengan klasifikasi hak istimewa tingkat pengguna dengan Access Control List
(ACL). Penggambaran untuk use case meliputi:
a. pengguna yang berinteraksi dengan sistem, digambarkan sebagai seorang
actor.
b. deskripsi tujuan yang akan dicapai melalui kasus penggunaan.
c. asumsi yang harus dipenuhi untuk kasus penggunaan akan selesai dengan
sukses.
d. daftar langkah-langkah yang sebenarnya antara aktor dan system.
e. variasi atau alternatif cara untuk mencapai tujuan.
f. non-fungsional bahwa use case harus memenuhi, seperti kinerja atau
keandalan.
Step 5: Misuse Case
Mengidentifikasi kemungkinanan ancaman dan kasus potensi penyalahgunaan
aplikasi yang disepakati dalam organisasi. Tujuannya adalah untuk mengetahui
kerentanan dalam aplikasi yang ada dan memberikan rekomendasi arsitektur
dan kebijakan dalam mengurangi kerentanan untuk mengamankan komponen
 kritis Sistem Manajemen Aset. Digambarkan dalam bentuk diagram misuse
case.
Step 6: Attack Tree
Attack tree adalah pendekatan formal untuk memeriksa kasus penyalahgunaan
dan untuk memverifikasi bahwa rekomendasi arsitektur misuse case atau kasus
penyalahgunaan dan kebijakan yang diambil cukup dapat mengatasi semua
potensi kerentanan yang dapat menyebabkan terjadinya penyalahgunaan. Attack
tree merupakan representasi hirarkis, banyak jenis pelanggaran keamanan yang
didasarkan kepada misuse case. Setiap skenario di attack tree diperiksa secara
rinci untuk melihat apakah ada sekumpulan rekomendasi yang cukup dapat
mengurangi risikonya. Jika ada skenario yang saat ini tidak tercakup, tambahan
arsitektur dan/atau rekomendasi kebijakan perlu dipertimbangkan dan
ditambahkan ke daftar rekomendasi. Dengan kata lain,attack tree adalah
visualisasi rinci misuse case dan elemen penting dari validasi untuk arsitektur
dan rekomendasi kebijakan dari misuse case.
Step 7: Prioritization
Tahap metodologi SQUARE difokuskan pada prioritas persyaratan keselamatan
dan keamanan. Untuk memprioritaskan persyaratan keselamatan dan keamanan
digunakan misuse case dan kategorinya untuk menentukan misuse casemana
yang paling penting untuk menjamin survivabilitas dari Sistem Manajemen
Aset. Dengan mengevaluasi setiap misusecase atau kasus penyalahgunaan dan
atributnya, akan mampu membuat daftar prioritas kerentanan dan
penyalahgunaan yang merugikan Sistem Manajemen Aset.
Step 8: Categorizing and Detailing Recommendation
Membuat daftar kategori dan memberikan rekomendasi detail terhadap
arsitektur dan kebijakan persyaratan penerapan keamanan system. Semua solusi
teknis yang ada kemudian diteliti berdasarkan pada tingkatan prioritas misuse
case, yang akan menyediakan semua yang diperlukan, mula darii langkah demi
langkah keamanan dan teknis dalam rangka implementasi pada komponen inti
dari Sistem Manajemen Aset.
Step 9: Budgeting and Analisis
Dalam situasi ideal, semua misuse case atau kasus penyalahgunaan yang
diprioritaskan (tinggi, menengah dan rendah) akan diatasi dan diselesaikan
untuk melindungi Sistem Manajemen Aset. Namun, karena keterbatasan jumlah
 sumber daya yang tersedia, hanya bagian tertentu dari misuse case dan secara
inheren, arsitektur dan kebijakan rekomendasi harus dipilih.Untuk
mengoptimalkan bagian ini, model matematika dirumuskan untuk memecahkan
kombinasi terbaik dari misuse case. Hasilnya dalam tabel yang mereferensikan
use case mana yang harus ditangani berdasarkan anggaran yang tersedia.
3. Jelaskan apa yang dimaksud dengan segregation of dutie, least privilege dan
singlesign on
a. Segregation of duties adalah suatu kegiatan pemisahan tugas yang dilakukan
agar tidak terjadinya penunpukan tugas dan tidak terjadinya antrian yang
berarti, hal ini di lakukan untuk menghindari terjadinya sebuah proses yg dapat
menghentikan sebuah kegiatan atau tugas yg berjalan yang di akibatkan
tingginya frekuensi tugas yg harus di selesaikan sedangakan sistem tidak
mampu untuk menyelesaikan tugas-tugas dengan cepat.
b. Least privilege adalah prinsip yang menyatakan bahwa setiap proses dan
user/pengguna suatu sistem komputer harus beroperasi pada level/tingkatan
terendah yang diperlukan untuk menyelesaikan tugasnya. Dengan kata lain
setiap proses dan user hanya memiliki hak akses yang memang benar-benar
dibutuhkan. Hak akses harus secara eksplisit diminta, ketimbang secara default
diberikan.Tindakan seperti ini dilakukan untuk mengantisipasi kerusakan yang
dapat ditimbulkan oleh suatu penyerangan.
c. Single sign on adalah sebuah sistem authentifikasi terhadap user dengan sekali
login akan bias mengakses beberapa aplikasi tanpa harus login di masing-
masing aplikasi. Memiliki 2 bagian yaitu Single Sign On (login satu aplikasi,
maka aplikasi lain yang didefinisikan ikut dalam SSO otomatis akan bisa
diakses) dan Single Sign Out (log out di satu aplikasi, maka semua aplikasi yang
didefinisikan ikut dalam SSO akan ikut logout secaraotomatis).

4. Jelaskan kenapa perusahaan atau organisasi perlu membuat data classification

policy
Data classification adalah kategorisasi atau klasifikasi data untuk penggunaan yang
paling efektif dan efisien. Dalam pendekatan dasar untuk penyimpanan data komputer,
data dapat diklasifikasikan menurut nilai kritis dan kepentingannya atau seberapa sering
perlu diakses.Jenis klasifikasi cenderung untuk mengoptimalkan penggunaan
penyimpanan data untuk beberapa tujuan: teknis, administratif, hukum, dan ekonomi.
Dengan klasifikasi data yang ada pada setiap perusahaan atau organisasi dimana
memiliki dokumen-dokumen rahasia, baik itu dokumen keuangan, rancangan atau
dokumen yang memiliki hak paten sendiri, maka akan sangat membantu dalam
 mengidentifikasi informasidan data yang sensitif dan penting serta menunjukkan
komitmen terhadap keamanan informasi.
Dengan demikian dibutuhkan sebuah keamanan untuk mengelola dokumen tersebut
agar tetapaman, sehingga data classification policy sangat berguna untuk melindungi
dokumen-dokumen tersebut dari suatu kebijakan pengamanan data di dalamnya, hak
penciptaan hingga dapat mengontrol keabsahan dokumen-dokumen yang ada, dan juga
untuk menjaga dokumen dari aktifitas di luar perusahaan yang menyalahgunakan
dokumen atau memalsukannya. Juga dengan menerapkan data classification policy
akan mendukung terwujudnya CIA (Confidentiality, Integrity, Availability) serta
sebagai salah satu alasan untuk peraturan hukum.

5. Jika kita ingin mengimplementasi kontrol akses Biometrics, sebaiknya kita

perhatikan False Rejection Rate dan False Acceptance Rate . Jelaskan apa arti
kedua istilah ini.
a. False Rejection Rate (FRR) adalah suatu kondisi untuk ukuran/tingkatan dimana data yang diinput
oleh user ditolak oleh mesin kontrol akses biometrik sedangkan data yang dimasukkan adalah data
yang benar. Sistem mungkin menolak subjek yang memiliki otoritas. Diakibatkan karena
rendahnya pengaturan untuk FRR.
b. False Acceptance Rate (FAR) adalah suatu kondisi untuk ukuran/tingkatan dimana data yang
diinput oleh user diterima oleh mesin kontrol akses biometrik sedangkan data yang dimasukkan
adalah data yang salah. Sistem mungkin menerima subjek yang tidak memiliki otoritas.
Diakibatkan karena rendahnya pengaturan FAR.
Permasalahan pada biometrik adalah ketika sensitifitas sistem biometric diatur untuk
menurunkan FRR, maka FAR meningkat. Begitu juga berlaku sebaliknya. Posisi pengaturanyang
terbaik adalah bila nilai FRR dan FAR seimbang.