Mitigasi Risiko dan Kebijakan Keamanan 2023

Questions and Answers

Apa langkah pertama dalam mitigasi risiko?

Evaluasi dan Penilaian Risiko

Strategi Mitigasi

Identifikasi Risiko (correct)

Implementasi Mitigasi

Apa tujuan dari evaluasi dan penilaian risiko?

Mengimplementasikan tindakan mitigasi

Memilih strategi mitigasi

Mengubah rencana proyek

Mengetahui tingkat keparahan dan kemungkinan terjadinya risiko (correct)

Salah satu strategi mitigasi adalah mentransfer risiko. Apa yang dimaksud dengan mentransfer risiko?

Mengubah rencana untuk mencegah risiko

Menerima risiko yang ada

Menyebarkan risiko kepada pihak lain (correct)

Mengurangi kemungkinan risiko

Apa tindakan yang dapat dilakukan saat melakukan implementasi mitigasi?

Mengubah prosedur operasional

Mengapa pemantauan dan evaluasi penting dalam proses mitigasi risiko?

Untuk memastikan strategi yang diterapkan efektif

Apa yang dimaksud dengan mengurangi risiko dalam strategi mitigasi?

Mengambil langkah-langkah untuk mengurangi dampak suatu risiko

Apa contoh tindakan untuk mengurangi risiko kebocoran data?

Melakukan enkripsi data dan kontrol akses yang ketat

Apa yang dapat dilakukan saat risiko dinilai terlalu biaya mitigasi lebih tinggi daripada biayanya?

Menerima Risiko

Apa yang menjadi keuntungan utama dari layanan cloud tanpa instalasi aplikasi?

Akses mudah dari mana saja dengan koneksi internet.

Apa yang dimaksud dengan NaaS (Network as a Service)?

Infrastruktur jaringan virtual yang disediakan oleh penyedia layanan.

Apa yang menjadi salah satu hak individu menurut GDPR?

Hak untuk mengakses data pribadi mereka.

Apa tujuan utama dari kebijakan BYOD (Bring Your Own Device)?

Meningkatkan fleksibilitas kerja.

Apa sanksi yang dapat dikenakan untuk pelanggaran GDPR?

Denda hingga €20 juta atau 4% dari pendapatan tahunan.

Apa yang diatur oleh HIPAA (Health Insurance Portability and Accountability Act)?

Perlindungan data kesehatan pribadi dan keamanan informasi pasien.

Apa tantangan utama yang dihadapi perusahaan dengan implementasi kebijakan BYOD?

Risiko keamanan data dan potensi ketidakcocokan perangkat.

Salah satu fitur penting dari NaaS adalah:

Pengguna bisa mengonfigurasi jaringan tanpa infrastruktur fisik.

Apa yang termasuk dalam proses pengelolaan resistensi terhadap perubahan?

Memberikan informasi lebih lanjut

Apa langkah pertama dalam Model Kotter untuk manajemen perubahan?

Menciptakan rasa urgensi

Mengapa penting untuk mengevaluasi dampak perubahan setelah diterapkan?

Untuk melihat apakah tujuan perubahan tercapai

Apa komponen terakhir dari model ADKAR?

Penguatan

Apa yang harus dilakukan jika masalah muncul selama proses perubahan?

Mengatasi masalah yang timbul

Apa tujuan dari menciptakan kemenangan jangka pendek dalam manajemen perubahan?

Meningkatkan motivasi dan komitmen dalam proses perubahan

Apa yang harus dilakukan untuk memastikan perubahan berlangsung dengan baik?

Melakukan pemantauan berkelanjutan

Apa yang dimaksud dengan memberikan pengetahuan dalam model ADKAR?

Memberikan pengetahuan tentang bagaimana perubahan akan dilakukan

Apa yang dimaksud dengan perangkat lunak dasar yang mengelola perangkat keras dan sumber daya perangkat lunak lainnya?

Sistem Operasi

Apa tujuan dari Virtual Private Network (VPN)?

Menyediakan koneksi yang aman antara lokasi yang berbeda

Apa yang dimaksud dengan Public Cloud dalam model penyebaran cloud computing?

Layanan cloud yang dikelola pihak ketiga dan dibagikan dengan banyak pelanggan.

Apa yang dilakukan oleh sistem Deteksi dan Pencegahan Intrusi (IDS/IPS)?

Memantau dan mendeteksi potensi ancaman dalam jaringan

Apa keuntungan utama dari Private Cloud?

Kontrol lebih besar terhadap keamanan dan kebijakan data.

Apa yang menjadi keuntungan utama dari infrastruktur cloud?

Sumber daya TI yang fleksibel dan dapat disewa

Apa yang dimaksud dengan Hybrid Cloud?

Kombinasi antara public cloud dan private cloud.

Sistem apa yang digunakan untuk mengelola identitas pengguna dan kontrol akses ke sumber daya TI?

Pengelolaan Identitas dan Akses (IAM)

Siapa yang menggunakan Community Cloud?

Organisasi dengan kebutuhan serupa dalam satu industri.

Apa tujuan utama dari manajemen aset?

Memaksimalkan nilai dari aset yang dimiliki.

Apa yang dilakukan oleh aplikasi berbasis cloud dalam konteks bisnis?

Mendukung operasional sehari-hari perusahaan

Apa yang dimaksud dengan database management systems (DBMS)?

Sistem yang digunakan untuk mengelola dan mengakses data terstruktur

Apa yang termasuk dalam pengelolaan risiko dalam manajemen aset?

Meminimalkan risiko kehilangan atau penyalahgunaan aset.

Apa yang menjadi fungsi utama dari firewall dalam jaringan?

Melindungi data dan aplikasi dari ancaman eksternal

Apa saja yang termasuk dalam kategori aset dalam manajemen aset?

Kedua kategori yaitu fisik dan non-fisik.

Apa manfaat cloud computing bagi organisasi?

Meningkatkan kolaborasi dan adopsi teknologi baru.

Apa yang menjadi perhatian utama dalam pengelolaan kinerja vendor?

Indikator kinerja yang telah disepakati

Apa tujuan dari manajemen risiko vendor?

Membuat rencana mitigasi risiko

Apa yang harus dilakukan dalam pemantauan dan evaluasi kinerja vendor?

Melakukan evaluasi kinerja secara berkala

Apa yang bisa menjadi alasan untuk pengakhiran kontrak dengan vendor?

Kinerja vendor yang tidak memenuhi standar

Dalam manajemen hubungan, aspek apa yang paling penting?

Mengelola komunikasi dan interaksi

Apa yang harus dilakukan organisasi untuk mengelola kualitas dari vendor?

Memantau kualitas produk yang diberikan

Dalam negosiasi harga, apa yang harus dicari organisasi?

Mendapatkan nilai terbaik dan kondisi yang menguntungkan

Apa yang menjadi fokus dalam pengelolaan keberlanjutan terhadap vendor?

Praktik keberlanjutan dan etika bisnis

Study Notes

ISO 9001 (Quality Management System)

• ISO 9001 adalah standar internasional untuk sistem manajemen mutu (QMS).
• Tujuannya memastikan produk atau layanan memenuhi kebutuhan pelanggan dan peraturan.
• Meningkatkan kepuasan melalui perbaikan berkelanjutan.
• Manfaatnya meningkatkan kredibilitas bisnis dan efisiensi operasional.

ISO 27001 (Information Security Management System)

• Standar internasional untuk sistem manajemen keamanan informasi (ISMS).
• Membantu organisasi melindungi data sensitif dari ancaman internal dan eksternal.
• Manfaatnya meningkatkan kepercayaan pelanggan, mengurangi risiko pelanggaran data, dan mematuhi peraturan perlindungan data.

ISO 27000 (Information Security Management)

• SO 27000 adalah serangkaian standar internasional untuk manajemen keamanan informasi (ISMS).
• Memberikan panduan tentang sistem manajemen keamanan informasi, meliputi kebijakan, prosedur, dan kontrol untuk melindungi informasi penting.
• ISO 27001: Standar utama untuk ISMS.
• ISO 27002: Kode etik dan praktik terbaik untuk mengimplementasi kontrol keamanan informasi.

ISO 20000 (IT Service Management)

• Standar internasional untuk manajemen layanan TI.
• Mengatur cara organisasi menyediakan layanan TI efektif dan efisien.
• Tujuannya menyediakan kerangka kerja untuk meningkatkan manajemen layanan TI, memastikan layanan konsisten, terukur, dan dapat dipertanggungjawabkan.
• Manfaatnya meningkatkan kualitas layanan TI dan menyediakan dasar untuk pemantauan serta evaluasi kinerja layanan.

ISO 31000 (Risk Management)

• Standar internasional memberikan pedoman untuk manajemen risiko.

EHR (Electronic Health Record)

• Sistem digital untuk menyimpan catatan kesehatan pasien secara elektronik.
• Mencakup riwayat kesehatan, diagnosis, obat-obatan, hasil tes, dan rencana perawatan.
• Manfaatnya memudahkan akses data, meningkatkan akurasi diagnosa dan pengobatan, serta mempercepat kolaborasi antar rumah sakit/klinik.

ROI (Return on Investment)

• Ukuran yang mengukur efektivitas investasi sistem TI.
• Metrik keuangan untuk mengukur efisiensi atau profitabilitas suatu investasi dibandingkan biayanya.

National Standards in Health Sector

• HITECH Act
• DICOM
• HITRUS CFS
• FASB

NIST (National Institute of Standards and Technology)

• Lembaga di bawah Departemen Perdagangan AS dengan fungsi menetapkan standar, pedoman, dan spesifikasi teknis untuk kemajuan teknologi, meliputi standar enkripsi seperti AES.

DDOS (Distributed Denial of Service)

• Serangan siber menggunakan botnet untuk mengirimkan lalu lintas berlebihan ke server atau jaringan, memperlambat atau menghentikan layanan.

Data Sovereignty

• Konsep pengelolaan data sesuai hukum, peraturan, dan norma negara tempat data berada.
• Terkait dengan lokasi fisik data dan aturan terkait pengumpulan, penyimpanan, pengolahan, dan penggunaan data.

IaaS (Infrastructure as a Service)

• Model layanan cloud computing di mana infrastruktur TI (server, penyimpanan, jaringan, sistem operasi) disediakan melalui internet.
• Amazon Web Services (AWS), Microsoft Azure, dan Google Cloud Platform merupakan contoh penyedia layanan IaaS.

PaaS (Platform as a Service)

• Model layanan cloud yang menyediakan platform untuk pengembangan, pengujian, dan penyebaran aplikasi tanpa pengelolaan infrastruktur dasar.
• Google App Engine, Heroku, dan Microsoft Azure App Service merupakan contoh penyedia layanan PaaS.

SaaS (Software as a Service)

• Model layanan cloud yang menyediakan perangkat lunak melalui internet sebagai layanan.
• Google Workspace (Docs, Drive), Microsoft 365 (Word, Excel), dan Salesforce merupakan contoh penyedia layanan SaaS.

NaaS (Network as a Service)

• Model layanan cloud yang menyediakan infrastruktur jaringan virtual kepada pelanggan.
• Berfokus pada komunikasi data, manajemen jaringan, dan penghubung antar sistem/aplikasi.

GDPR / GDRP (General Data Protection Regulation)

• Regulasi Uni Eropa untuk melindungi privasi data individu.
• Berlaku untuk perusahaan di seluruh dunia yang menangani data warga Uni Eropa, memberi kontrol lebih besar kepada individu atas data pribadi, memastikan transparansi dalam pengelolaan data, mewajibkan laporan pelanggaran data dalam waktu 72 jam, dan memberikan denda yang berat untuk pelanggaran.

BYOD (Bring Your Own Device)

• Kebijakan di tempat kerja yang memungkinkan karyawan menggunakan perangkat pribadi untuk mengakses jaringan/sistem perusahaan.

HIPAA (Health Insurance Portability and Accountability Act)

• Undang-Undang di AS yang dirancang untuk melindungi data kesehatan pribadi dan memastikan keamanan informasi pasien di industri layanan kesehatan.

PMBOK (Project Management Body of Knowledge)

• Panduan standar yang diterbitkan oleh PMI (Project Management Institute) untuk memberikan prinsip, praktik, dan metodologi manajemen proyek yang diterima luas.

ITIL (Information Technology Infrastructure Library)

• Kerangka kerja praktik terbaik untuk manajemen layanan IT (ITSM).
• Tujuannya meningkatkan efisiensi dan efektivitas layanan IT, menyelaraskan layanan IT dengan kebutuhan bisnis.
• Misalnya, Incident Management, Change Management merupakan proses ITIL.

TOGAF (The Open Group Architecture Framework)

• Kerangka kerja standar untuk pengembangan dan pengelolaan arsitektur perusahaan.
• Membantu organisasi merancang struktur TI yang efektif untuk mendukung tujuan bisnis.

COBIT (Control Objectives for Information and Related Technologies)

• Kerangka kerja untuk tata kelola dan manajemen teknologi informasi (TI).
• Memastikan TI mendukung tujuan bisnis, mengelola risiko, dan mematuhi peraturan.

Agile

• Metode pengembangan perangkat lunak yang iteratif dan bertahap.
• Berfokus pada fleksibilitas, kolaborasi tim, dan respons cepat terhadap perubahan.
• Scrum adalah contoh framework Agile.

Scrum

• Framework Agile berfokus pada pengelolaan proyek melalui iterasi singkat (sprint), dengan Product Owner, Scrum Master, dan Development Team.

Ransomware

• Jenis malware yang mengenkripsi data pada sistem korban dan meminta tebusan (biasanya dalam bentuk cryptocurrency).

Denial of Service (DoS)

• Serangan yang bertujuan membuat sistem atau jaringan tidak dapat diakses dengan membanjiri server dengan lalu lintas yang berlebihan.

Distributed Denial of Service (DDoS)

• Jenis serangan DoS yang menggunakan banyak perangkat yang terinfeksi (botnet).

Man-in-the-Middle (MitM)

• Serangan di mana penyerang menyusup di antara dua pihak yang berkomunikasi, mengakses atau memanipulasi data yang dikirimkan.

SQL Injection

• Teknik serangan menyisipkan kode SQL berbahaya ke dalam form input atau URL.

Cross-Site Scripting (XSS)

• Serangan di mana penyerang menyisipkan skrip berbahaya ke dalam halaman web.

Zero-Day Exploit

• Serangan yang memanfaatkan kerentanan dalam perangkat lunak atau sistem yang belum diketahui atau diperbaiki oleh vendor.

Social Engineering

• Teknik manipulasi psikologis untuk memperoleh informasi sensitif.

Spear Phishing

• Jenis phishing yang ditargetkan pada individu atau organisasi tertentu, menggunakan informasi yang dikumpulkan sebelumnya.

Keylogger

• Perangkat lunak/keras yang merekam setiap penekanan tombol untuk mencuri informasi pribadi.

Credential Stuffing

• Serangan menggunakan informasi login yang dibocorkan untuk mencoba masuk ke akun lain.

Botnet

• Jaringan komputer yang terinfeksi malware dan dikendalikan penyerang untuk melakukan serangan terkoordinasi.

Worm

• Jenis malware yang dapat menyalin dirinya sendiri dan menyebar secara otomatis tanpa interaksi pengguna.

Hacker Etis (Ethical Hacker)

• Seseorang yang menggunakan keterampilan hacking untuk tujuan sah dan bermanfaat, mengidentifikasi dan mengatasi kerentanan sistem.

Risk Mitigation

• Proses pengelolaan risiko atau ancaman yang dapat merugikan organisasi, proyek, atau sistem.
• Termasuk mengidentifikasi risiko, mengevaluasi potensi dampak, memilih strategi, dan mengimplementasikan rencana mitigasi.

Asset Management

• Proses perencanaan, pengelolaan, pemeliharaan, dan pengawasan terhadap aset yang dimiliki organisasi, baik fisik (peralatan, bangunan) maupun non-fisik (perangkat lunak, data) untuk memaksimalkan nilai, mengelola risiko, dan meningkatkan efisiensi.

Change Management

• Pendekatan terstruktur untuk mengelola perubahan dalam organisasi.
• Melibatkan perencanaan, pelaksanaan, dan pengawasan perubahan, fokus pada orang yang terdampak, serta sistem, proses, dan struktur yang berubah.

Data Center (Pusat Data)

• Fasilitas fisik yang menyimpan, mengelola, dan mendistribusikan data dan aplikasi TI.
• Komponen utamanya meliputi server, penyimpanan data, perangkat jaringan, sistem pendingin, sumber daya listrik, keamanan fisik, dan perangkat lunak manajemen.

Outsourcing TI

• Penyerahan sebagian atau seluruh tugas/aktivitas TI ke penyedia pihak ketiga.

SLA (Service Level Agreement)

• Perjanjian antara penyedia layanan dan pelanggan yang berisi tingkat layanan yang diharapkan, meliputi waktu respons layanan, ketersediaan, dan tanggung jawab kedua belah pihak.

Machine Learning (ML)

• Cabang kecerdasan buatan yang fokus pada pengembangan sistem yang dapat belajar dan mengambil keputusan sendiri berdasarkan data.

Scrum of Scrums (SoS)

• Teknik dalam kerangka kerja Scrum untuk mengoordinasikan beberapa tim Scrum yang bekerja pada proyek kompleks.

DLP (Data Loss Prevention)

• Strategi, kebijakan, dan teknologi untuk mencegah kebocoran data sensitif.

AES (Advanced Encryption Standard)

• Algoritma enkripsi simetris untuk melindungi data.

Data Silos

• Kondisi data yang disimpan terpisah dalam sistem/departemen, sehingga sulit diakses/digunakan oleh bagian lain.

Data Masking

• Proses menyembunyikan data asli dengan menggantinya data palsu, tetapi tetap mempertahankan struktur aslinya.

Kanban

• Metode manajemen kerja yang memvisualisasikan alur kerja untuk mengidentifikasi hambatan dan meningkatkan efisiensi.

UML (Unified Modeling Language)

• Bahasa standar untuk memvisualisasikan, merancang, dan mendokumentasikan sistem perangkat lunak.

SSL/TLS

• Protokol kriptografi untuk mengamankan komunikasi data dalam suatu jaringan.

Description

Kuis ini mengeksplorasi konsep mitigasi risiko serta berbagai strategi dan kebijakan keamanan yang relevan seperti GDPR dan HIPAA. Pelajari langkah-langkah evaluasi, pemantauan, dan implementasi yang diperlukan untuk pengelolaan risiko yang efektif dalam organisasi. Tanyakan pada diri Anda bagaimana memilih strategi yang tepat dan apa dampaknya terhadap perusahaan.