Nama : Mahasiswa

NIM : Nim20014
Mata Kuliah : Nama mata kuliah
Kelas : Kelas C

Soal A

1. Jelaskan konsep pengelolaan manajemen risiko menggunakan framework CIA.

Berikan analisis konteks manajemen risiko IT terhadap permasalahan resiko
kebocoran informasi transaksi di perbankan dan bagaimana mengatasinya.

Penggunaan framework CIA (Confidentiality, Integrity, Availability), memiliki

tujuan untuk dapat melindungi informasi yang berharga atau penting dari berbagai
macam jenis ancaman dari kemungkinan resiko yang akan terjadi.

Konsep dari framework CIA:

1. Confidentiality (Kerahasiaan)
Pada prinsip ini memiliki fokus untuk pembagian hak akses pengguna
terhadap data, dan mencegah pengguna yang tidak berwenang untuk dapat
mengakses data-data tersebut, atau berfokus pada perlindungan terhadap
informasi atau data agar tidak dapat diakses oleh pengguna yang tidak
berwenang. Untuk mengelola risiko pada prinsip ini, dapat menggunakan
enkripsi, menerapkan pembagian hak akses atau menerapkan sistem atau
mekanisme autentikasi yang kuat.
2. Integrity (Integritas)
Pada prinsip ini memiliki fokus untuk dapat menjaga informasi dan dapat
melindunginya dari kerusakan, perubahan atau memastikan bahwa informasi
tidak pernah terjadi perubahan dari perubahan yang tidak sah dari sistem. Untuk
mengelola risiko pada prinsip ini, dapat menggunakan tanda tangan digital atau
metode autentikasi lain yang lebih canggih dibandingkan hanya menggunakan
password, melakukan verifikasi dan validasi terhadap data, dan melakukan
pencatatan terhadap data agar dapat dilakukan pelacakan terhadap data tersebut
jika terjadi perubahan.
3. Availability (Ketersediaan)

1
 Pada prinsip ini memiliki fokus untuk dapat memastikan bahwa data atau
informasi dapat diakses kapanpun pengguna membutuhkannya. Untuk
mengelola risiko pada prinsip ini, dapat dengan mengimplementasikan
infrastruktur jaringan, dan memiliki mekanisme untuk dapat pulih dari bencana
yang mungkin akan terjadi, serta melakukan maintenance sistem atau server
secara teratur untuk memastikan bahwa sistem masih berjalan dengan baik dan
benar.

Analisis terhadap permasalahan kebocoran informasi transaksi pada perbankan,

yang pertama mengidentifikasi terlebih dahulu asset apa saja yang perlu dilindungi
secara lebih ketat, dan melakukan evaluasi dan pembaharuan terhadap kebijakan
keamanan yang telah diterapkan sebelumnya, dan terus melakukan perubahan
kebijakan secara berkala dengan tujuan untuk dapat meminimalisir ancaman baru, yang
memiliki potensi mengancam bisnis. Selain itu juga perlu di lakukan pelatihan dan
sosialisasi kepada karyawan tentang keamanan informasi, dan bagaimana
menggunakan dan menjaga asset IT yang digunakan setiap karyawan untuk bekerja,
agar tidak menginfeksi asset IT tersebut yang memiliki potensi untuk dapat menyebar
ke asset IT yang belum terinfeksi, selanjutnya melakukan penetrasi testing untuk
mengidentifikasi kemungkinan ancaman, sehingga dapat segera diperbaiki agar,
kebocoran data transaksi tidak terjadi, atau meminimalkan kemungkinan serangan.
Cara mengatasi risiko kebocoran data transaksi pada perbankan,
1. Melakukan audit terhadap keamanan terhadap sistem dan infrastruktur IT yang
ada untuk dapat mengetahui celah keamanan yang ada dan memastikan bahwa
sistem dibangun dengan standar keamanan yang telah ditentukan.
2. Menerapkan enkripsi pada data transaksi, sehingga data tersebut hanya dapat
diakses oleh pihak yang bersangkutan
3. Mengimplementasikan sistem monitoring, untuk memantau aktivitas atau lalu
lintas data sehingga dapat melihat jika terjadi aktivitas-aktivitas yang
mencurigakan, percobaan serangan.
4. Melakukan uji keamanan sistem secara teratur untuk dapat memastikan bahwa
sistem masih dalam keadaan aman, dan dapat mengidentifikasi jika cela
keamanan yang ada pada sistem.

2
2. Jika terjadi insiden IT maka yang harus dilakukan adalah proses assessment
terhadap insiden IT yang terjadi tersebut. Mengapa hal tersebut dalam manajemen
risiko perlu dilakukan? Berikan contoh dan referensi yang relevan.

Proses assessment perlu dilakukan karena dengan melakukan assessment dapat

membantu untuk mengidentifikasi, mengevaluasi, serta mengurangi dampak kerugian
yang mungkin akan terjadi sebagai akibat dari insiden tersebut. Selain itu dengan
melakukan proses assessment perusahaan atau organisasi dapat mengambil langkah
yang tepat dalam mengatasi insiden yang sedang terjadi, serta memperbaiki kelemahan
pada sistem yang ada, sehingga dapat mencegah terjadinya insiden yang sama pada
masa yang akan datang.

Sebagai contoh pada insiden yang terjadi pada bank BSI (Bank Syariah Indonesia),
yang mengalami serangan ransomware lock bit 3.0, yang menyebabkan gangguan pada
layanan seperti ATM, mobile bangking selama beberapa hari, dan data yang berhasil
dicuri sebesar 1.5 TB, yang berisi data dan informasi pengguna, karyawan, dokumen
keuangan, dokumen legal, NDA, password, dan termasuk 15 juta data pribadi nasabah
dan pegawai. Referensi: https://www.cnnindonesia.com/teknologi/20230513093401-
185-949046/ransomware-lockbit-30-klaim-lumpuhkan-bsi-dan-curi-data-pengguna.

3. Jika anda seorang CIO (Chief Information Officer), jelaskan bagaimana anda
mengamankan asset-aset IT yang anda kelola dengan menggunakan pendekatan BIA
(Business Impact Analysis). Apa keunggulan metode BIA ini jika oleh CIO
digunakan dalam antisipasi reaksi jika terjadi ancaman dan serangan.

Untuk dapat mengamankan asset IT yang dikelola, berikut ini langkah-langkah yang
akan saya ambil.
1. Melakukan identifikasi asset IT yang paling penting dalam menunjang bisnis
Saya akan melakukan pendataan terhadap semua asset IT yang digunakan,
Selanjutnya berdasarkan data tersebut saya bisa memilih asset IT mana yang
harus mendapatkan perlindungan yang lebih, karena asset tersebut merupakan
inti dari proses bisnis.
2. Melakukan identifikasi kemungkinan risiko yang akan terjadi
Setelah melakukan pendataan terhadap semua asset IT yang ada, tahap
Selanjutnya melakukan analisis kemungkinan apa saja yang akan terjadi
3
 terhadap asset IT tersebut, mulai dari risiko kesalahan manusia/pengguna,
serangan siber, dan bencana yang mungkin akan terjadi.
3. Melakukan identifikasi dampak kepada bisnis
Menganalisis dampak apa yang akan terjadi kepada bisnis jika, terjadi
kerusakan atau kehilangan data pada asset IT tersebut, misalnya kerugian secara
finansial, atau menurunnya tingkat kepercayaan pengguna terhadap perusahaan
atau organisasi.

4. Menentukan tindakan apa yang haru dilakukan

Menentukan tindakan apa yang harus dilakukan oleh perusahaan atau
organisasi jika, terjadi risiko atau ancaman terhadap asset IT, misalnya
melakukan backup data secara teratur dan otomatis, meningkatkan sistem
keamanan yang digunakan pada asset IT. Selanjutnya menentukan prioritas
pemulihan terhadap asset IT tersebut, dari langkah pertama, yang melakukan
pendataan terhadap asset IT yang digunakan, telah ditentukan mana yang
menjadi paling penting dalam menunjang bisnis, maka asset tersebutlah yang
harus dengan cepat dapat dipulihkan setelah terjadi bencana atau serangan.
5. Menentukan strategi pemulihan
Langkah terakhir adalah menentukan strategi yang digunakan agar semua
proses bisnis dapat berjalan dengan normal setelah terjadinya bencana atau
risiko, dan melakukan evaluasi ulang kenapa risiko tersebut bisa terjadi, serta
mencari cara agar hal yang sama tidak lagi terjadi di masa yang akan datang.

Keunggulan dari penerapan BIA (Business Impact Analysis) dalam

mengelola asset-asset IT, sebagai berikut
1. Dapat meningkatkan fokus pengamanan pada asset IT yang menjadi inti
dari proses bisnis, jika terjadi ancaman
2. Dapat mengelola sumber daya yang tersedia dengan lebih optimal
3. Dapat membantu mengurangi risiko pada bisnis, dengan mengambil
langkah yang tepat dan telah terencana sebelumnya
4. Dapat membantu proses pemulihan dengan lebih cepat, karena semua
sudah direncanakan dengan matang
5. Dapat meningkatkan nilai investasi kepada asset IT yang menjadi inti
atau asset yang paling penting bagi bisnis.
4
Soal B

1. Bagaimana organisasi tersebut mendefinisikan kebijakan pengendalian risiko IT

Tujuan dari kebijakan yang digunakan oleh organisasi adalah untuk melakukan
pengendalian penggunaan internet oleh karyawan. Cara organisasi ini dalam
mendefinisikan kebijakan dengan pendekatan yang sama dengan ISO 22301, yang
mana proses nya terdapat action, plan, do, dan check, dengan tujuan untuk

• Kebijakan dalam mengamankan informasi, dengan melakukan kebijakan untuk

mencatat semua traffic, sistem akan mencatat IP Address, tanggal waktu,
protocol, dan situs atau server tujuan. Yang mana data-data tersebut hanya dapat
diakses oleh tim CSIRT jika diperlukan, dengan tujuan agar data-data tersebut
dapat menjadi informasi tambahan bagi tim CSIRT untuk dapat mengatasi
masalah jika terjadi suatu risiko yang terjadi.
• Kebijakan etika pada organisasi, kebijakan ini diterapkan agar karyawan pada
organisasi tersebut tidak melanggar etika yang ada pada organisasi, maka
diberlakukan pemblokiran terhadap situs dan protocol internet, yang dianggap
organisasi tidak pantas untuk diakses pada lingkungan kerja, dan melindungi
organisasi dari masalah hukum yang mungkin akan terjadi.
• Review atau check, yang akan membantu organisasi dapat menerapkan
kebijakan menjadi lebih baik lagi, dan memastikan bahwa kebijakan masih
sesuai dengan tujuan dari organisasi untuk meminimalisir risiko yang
berpotensi mengancam keberlangsungan organisasi tersebut.

2. Apa yang dimaksud dengan CSIRT? Jelaskan apa peran dan fungsinya
CSIRT (Computer Security Incident Response Team) merupakan sebuah tim atau
kelompok yang bertugas untuk melindungi, mengatasi insiden siber, memulihkan
sistem dan jaringan, serta meminimalisir dampak dari risiko yang telah disebabkan oleh
insiden siber tersebut.

• Melindungi data dan sistem, Tim CSIRT harus mencegah insiden serangan siber
yang mungkin akan terjadi di masa depan, mereka harus melakukan analisis
risiko, dan merencanakan atau mengembangkan sebuah strategi keamanan
sistem yang dapat mengurangi kemungkinan terjadinya serangan siber.

5
 • Mengatasi serangan siber, ketika sudah terjadi serangan siber tim CSIRT harus
mampu mengidentifikasi, mengevaluasi, dan menyelesaikan insiden serangan
tersebut dengan cepat dan efektif.
• Memulihkan sistem dan jaringan, setelah insiden serangan siber dapat teratasi,
tim ini juga bertanggung jawab untuk memulihkan sistem dan jaringan ke
keadaan awal, dan memastikan semua berjalan dengan normal, serta memastikan
tidak ada lagi ancaman yang tersisa pada sistem.

3. Jelaskan proses dan langkah-langkah pengelolaan risiko di organisasi tersebut.

• Identifikasi risiko, departemen teknologi informasi akan melakukan proses
analisis terhadap risiko yang mungkin akan terjadi kepada organisasi yang
berasal dari penggunaan internet oleh karyawan perusahaan. Seperti
penyalahgunaan internet, dan pelanggaran hukum dan kebijakan organisasi, dll.
• Penilaian terhadap risiko, berdasarkan hasil identifikasi risiko yang telah
dilakukan, departemen teknologi informasi akan melakukan evaluasi ulang
terhadap risiko yang telah diidentifikasi berdasarkan tingkat risiko yang akan
terjadi.
• Implementasi kebijakan, proses ini tahap menerapkan kebijakan dan aturan
yang telah dibuat sebelumnya kepada sistem dan karyawan, yang mana
diperoleh untuk menerapkan kebijakan untuk memblokir situs wen dan
protokol, serta akan melakukan monitoring lalu lintas jaringan.
• Evaluasi kebijakan, kebijakan akan terus dievaluasi ulang agar kebijakan masih
tetap konsisten dan masih sesuai dengan tujuan organisasi.
• Check dan Revisi kebijakan, perubahan terhadap kebijakan dapat terjadi jika
terdapat kebijakan yang sudah tidak relevan dengan tujuan organisasi atau
terjadi kesalahan blokir situs web atau protocol sehingga diperlukan perubahan
terhadap kebijakan yang telah diterapkan sebelumnya.