Nama: Damayanti Nim: 08.212..2702 Kelas: SIA-A-PAGI Tugas II: 1.

Cari contoh misi, visi dan pernyataan nilai dari sebuah perusahaan. Berapa banyak yang menyebutkan keamanan atau memasukkan keamanan sebagai bagian dari misi dan visi atau pernyataan nilai perusahaan (security) 2. Tuliskan 3 buah cerita dalam berita (koran, majalah, online news) yang menyebutkan / menjelaskan ancaman terhadap keamanan sistem informasi 3. Jelaskan pengertian Information Security Planning 4. Jelaskan juga hubungan antara organization planning dengan InfoSec Planning 5. Jelaskan pengertian Risk Management 6. Sebutkan dan jelaskan beberapa jenis thread terhadap sistem informasi 7. Coba anda kaitkan misi, visi dan pernyataan nilai dengan security planning 8. Jelaskan bidang-bidang dalam system management model menurut ISO 9. Sebutkan dan jelaskan hal-hal yang dilakukan dalam setiap tahapan Security SDLC 10. Sebutkan dan jelaskan beberapa jenis serangan (attack) thd sistem informasi

Jawaban no 1
Misi, visi dan pernyataan nilai dari sebuah perusahaan yang menyebutkan keamanan atau memasukkan keamanan sebagai bagian dari misi dan visi atau pernyataan nilai perusahaan (security)

PT Indosat Tbk Visi: menjadi penyelenggara komunikasi terpadu kelas dunia Misi: memberikan layanan terbaik kepada pelanggan memberikan hasil terbaik kepada pemegang saham

 memberikan citra terbaik

Strategi bisnis: menjadi penyelenggara jaringan dan jasa telekomunikasi terpadu yang terdepan dengan fokus pada bidang seluler

Penjelasan: Pada Misi PT Indosat Tbk bagian 1,2 dan 3 menyebutkan keamanan sebagai bagian yang paling penting bagi perusahaan tersebut. Jadi jelas dengan memberikan jaminan keamanan system informasi maka misi PT Indosat Tbk dapat terwujud dengan baik

TELKOMSEL Visi Menjadi perusahaan multimedia terkemuka di Indonesia Misi Memaksimalkan Nilai Perusahaan melalui ekspansi dan pengembangan portofolio usaha di bidang adjacent industries telekomunikasi Menjadi perusahaan holding strategis demi pertumbuhan tinggi dan sinergi melalui anak-anak perusahaan dan unit bisnis strategis Menjadi kontributor pendapatan yang utama bagi pemegang saham Tujuan Menjadi perusahaan dengan pendapatan senilai Rp10 trilyun pada tahun 2015 Memberikan jasa dengan kualitas prima kepada para pelanggan 7 Nilai Profesional: Integritas Transparensi Komitment Kerjasama Disiplin Kepedulian Tanggung Jawab

Penjelasan: Pada tujuanny, Telkomsel menyebutkan nilai professional yang sangat berhubungan dengan kemanan system informasi, dalam seluruh nilai tersebut menyebutkan kepedulian mereka terhadap keamana informasi pelanggan.

UNILEVER Misi Selalu bekerja dengan integritas Beroperasi dengan integritas dan rasa hormat pada orang-orang, sentuhan bisnis kami pada organisasi dan lingkungan selalu menjadi pusat dari tanggung jawabcorporate kami. dan lingkungan. Visi kami Produk Unilever telah menyentuh sekitar 2 milyar orang setiap hari, baik itu melalui perasaan yang luar biasa karena mereka memiliki rambut yang kemilau dan senyum yang menawan, membuat rumah mereka segar dan bersih, atau dengan menikmati secangkir kopi, makanan yang lezat atau snack yang sehat. Penjelasan: Pada Visi memberikan jaminan kenyaman terhadap produk yang dihasilkan.

Jawaban no 2
Cerita atau artikel yang menyebutkan/ menjelaskan ancaman terhadap keamanan sistem informasi Akhir Januari 1999. Domain yang digunakan untuk Timor Timur (TP) diserang sehingga hilang. Domain untuk Timor Timur ini diletakkan pada sebuah server di Irlandia yang bernama Connect-Ireland. Pemerintah Indonesia yang disalahkan atau dianggap melakukan kegiatan hacking ini. Menurut keterangan yang diberikan oleh administrator Connect-Ireland, 18 serangan dilakukan secara serempak dari seluruh

penjuru dunia. Akan tetapi berdasarkan pengamatan,vdomain Timor Timur tersebut dihack dan kemudian ditambahkan subdomain yang bernama need.tp. Berdasarkan pengamatan situasi,need.tp merupakan sebuah perkataan yang sedang dipopulerkan olehBeavis and Butthead (sebuah acara TV di MTV). Dengan kata lain,vcrackers yang melakukan serangan tersebut kemungkinan penggemar (atau paling tidak, pernah nonton) acara Beavis dan Butthead itu. Jadi, kemungkinan dilakukan oleh seseorang dari Amerika Utara. Beberapa web site Indonesia sudah dijebol dan daftarnya (beserta contoh halaman yang sudah dijebol) dapat dilihat di koleksi <http:// www.2600.com> dan alldas.de Januari 2000. Beberapa situs w````eb Indonesia diacak-acak oleh cracker yang menamakan dirinya fabianclone dan naisenodni (Indonesian dibalik). Situs yang diserang termasuk Bursa Efek Jakarta, BCA, Indosatnet. Selain situs yang besar tersebut masih banyak situs lainnya yang tidak dilaporkan. Seorang cracker Indonesia (yang dikenal dengan nama hc) tertangkap di Singapura ketika mencoba menjebol sebuah perusahaan di Singapura. September dan Oktober 2000. Setelah berhasil membobol bank Lippo, kembali Fabian Clone beraksi dengan menjebol web milik Bank Bali. Perlu diketahui bahwa kedua bank ini memberikan layanan Internet banking. September 2000. Polisi mendapat banyak laporan dari luar negeri tentang adanya user Indonesia yang mencoba menipu user lain pada situs web yang menyediakan transaksi lelang (auction) seperti eBay. 24 Oktober 2000. Dua warung Internet (Warnet) di Bandung digrebeg oleh Polisi (POLDA Jabar) dikarenakan mereka menggunakan account dialup curian dari ISP Centrin. Salah satu dari Warnet tersebut sedang online dengan menggunakan account curian tersebut. April 2001. Majalah Warta Ekonomi1 melakukan polling secara online selama sebulan dan hasilnya menunjukkan bahwa dari 75 pengunjung, 37% mengatakan meragukan keamanan transaksi secara online, 38% meragukannya, dan 27% merasa aman.

 16 April 2001. Polda DIY meringkus seorang carder2 Yogya. Tersangka diringkus di Bantul dengan barang bukti sebuah paket yang berisi lukisan (Rumah dan Orang Indian) berharga Rp 30 juta. Tersangka berstatus mahasiswa STIE Yogyakarta. Juni 2001. Seorang pengguna Internet Indonesia membuat beberapa situs yang mirip (persis sama) dengan situs klikbca.com, yang digunakan oleh BCA untuk memberikan layanan Internet banking. Situs yang dia buat menggunakan nama domain yang mirip dengan klikbca.com, yaitu kilkbca.com (perhatikan tulisan kilk yang sengaja salah ketik), wwwklikbca.com (tanpa titik antara kata www dan klik), clikbca.com, dan klickbca.com. Sang user mengaku bahwa dia medapat memperoleh PIN dari beberapa nasabah BCA yang salah mengetikkan nama situs layanan Internet banking tersebut. 16 Oktober 2001. Sistem BCA yang menggunakan VSAT terganggu selama beberapa jam. Akibatnya transaksi yang menggunakan fasilitas VSAT, seperti ATM, tidak dapat dilaksanakan. Tidak diketahui (tidak diberitakan) apa penyebabnya. Jumlah kerugian tidak diketahui.

Jawaban no 3
Pengertian Information Security Planning (Perencanaan Keamanan Sistem informasi): yaitu menciptakan langkah-langkah tindakan ke arah tujuan, & kemudian mengendalikannya, menyediakan arahan mengenai keamanan system informasi untuk masa depan organisasi Tujuan rencana keamanan sistem adalah untuk menyediakan suatu ikhtisar kebutuhan keamanan sistem dan menguraikan kendali pada tempatnya atau merencanakan untuk memenuhi kebutuhan keamanan sistem. Keamanan Sistem merencanakan juga gambaran tanggung-jawab dan perilaku yg diharapkan dari semua individu yang mengakses sistem tsbt. Hubungan antara organization planning dengan InfoSec Planning: yakni seperti sebuah proyek dan pekerja yang akan terlibat didalamnya. Dimana setiap level organisasi memiliki tugas dan tanggung jawab masing-masing dalam menangani keamanan sistem informasi. Masukan dari para manajer dengan tanggung-jawab mengenai sistem, mencakup pemilik informasi, pemilik sistem, dan petugas keamanan informasi yang senior.

Jawaban no 4
Pengertian Risk management atau Manajemen risiko adalah suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian yang berkaitan dengan ancaman; suatu rangkaian aktivitas manusia termasuk: Penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan menggunakan

pemberdayaan/pengelolaan sumberdaya. Strategi yang dapat diambil antara lain adalah memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi efek negatif risiko, dan menampung sebagian atau semua konsekuensi risiko tertentu. Manajemen risiko tradisional terfokus pada risiko-risiko yang timbul oleh penyebab fisik atau legal (seperti bencana alam atau kebakaran, kematian, serta tuntutan hukum. Manajemen risiko keuangan, di sisi lain, terfokus pada risiko yang dapat dikelola dengan menggunakan instrumen-instrumen keuangan. Sasaran dari pelaksanaan manajemen risiko adalah untuk mengurangi risiko yang berbeda-beda yang berkaitan dengan bidang yang telah dipilih pada tingkat yang dapat diterima oleh masyarakat. Hal ini dapat berupa berbagai jenis ancaman yang disebabkan oleh lingkungan, teknologi, manusia, organisasi dan politik. Di sisi lain pelaksanaan risk manajemen melibatkan segala cara yang tersedia bagi manusia, khususnya, bagi entitas manajemen risiko (manusia, staff, dan organisasi). Selain itu, definisi risk managemen bisa ditinjau dari : 1. On going process. Risk management dilaksanakan secara terus menerus dan dimonitor secara berkala. Risk management bukanlah suatu kegiatan yang dilakukan sesekali (one time event). 2. Effected by people. Risk management ditentukan oleh pihak-pihak yang berada di lingkungan organisasi. Untuk lingkungan institusi Pemerintah, risk management dirumuskan oleh pimpinan dan pegawai institusi/departemen yang bersangkutan.

3. Applied in strategy setting. Risk management telah disusun sejak dari perumusan strategi organisasi oleh manajemen puncak organisasi. Dengan penggunaan risk management, strategi yang disiapkan disesuaikan dengan risiko yang dihadapi oleh masing-masing bagian/unit dari organisasi. 4. Applied across the enterprise. Strategi yang telah dipilih berdasarkan risk management diaplikasikan dalam kegiatan operasional, dan mencakup seluruh bagian/unit pada organisasi. Mengingat risiko masing-masing bagian berbeda, maka penerapan risk management berdasarkan penentuan risiko oleh masingmasing bagian. 5. Designed to identify potential events. Risk management dirancang untuk mengidentifikasi kejadian atau keadaan yang secara potensial menyebabkan terganggunya pencapaian tujuan organisasi. 6. Provide reasonable assurance. Risiko yang dikelola dengan tepat dan wajar akan menyediakan jaminan bahwa kegiatan dan pelayanan oleh organisasi dapat berlangsung secara optimal. 7. Geared to achieve objectives. Risk management diharapkan dapat menjadi pedoman bagi organisasi dalam mencapai tujuan yang telah ditentukan.

Jawaban no 5
Secara garis besar sumber thread ada yakni dari manusia dan Tuhan. Jenis thread (ancaman) dari manusia dan Tuhan tersebut dapat diklasifikasikan sebagai berikut: Jenis Thread (Ancaman) 1. Bencana alam Contoh : Gempa bumi, banjir, kebakaran, perang. 2. Kesalahan manusia pemakai (users) a. Kesalahan pemasukan data. b. Kesalahan penghapusan data. c. Kesalahan operator(salah memberi label pada pita magnetik. 3. Kegagalan perangkat lunak dan perangkat keras a. Gangguan listrik. b. Kegagalan peralatan.

c. Kegagalan fungsi perangkat lunak. 4. Kecurangan dan kejahatan komputer a. Penyelewengan aktivitas. b. Penyalagunaan kartu kredit. c. Sabotase. d. Pengaksesan oleh orang lain yang tidak berhak 5. Program yang jahat/usil Contoh: Virus, cacing, bom waktu dll.

Jawaban no 6
Kaitan misi, visi dan pernyataan nilai dengan security planning seperti citacita dengan tindakan dan target ketetapan. Sebuah organisasi Organisasi yg sukses harus menggunakan perencanaan keamanan sifo yang tepat. Perencanaan: Yaitu menciptakan langkah-langkah tindakan ke arah tujuan, & kemudian mengendalikannya Menyediakan arahan untuk masa depan organisasi . Perencanaan strategis meliputi : Misi , Visi , Nilai-Nilai , Strategi dan Rencana yang dikoordinir untuk sub-unit. bagaimana visi,misi dan nilai digunakan untuk Mengetahui proses

perencanaan organisasi umum membantu proses bekerja dalam jadi,Misi, Visi, & Nilai-Nilai statement

perencanaan infosec .

bersama-sama

menyediakan pondasi untuk perencanaan keamanan SIFO. Untuk lebih jelasnya mari kita jabarkan apa itu visi,misi ,nilai dalam kaitannya dengan security planning diwujudkan

Jawaban no 7
Bidang-bidang dalam system management model menurut ISO Answer: 1. Morris (2003, section 1.2), fault management memberikan informasi dan menolak segala sesuatu yang tidak normal pada jaringan. Mauro dan Schmidt S (2001, section 1.2), tujuan utama fault management adalah mendeteksi, log dan notifikasi pengguna yang berhubungan dengan masalah dari sistem atau jaringan salah satunya dengan protokol SNMP.

2. Morris, configuration management berdasarkan pada pernyataan bahwa semua alat memerlukan konfigurasi. Mauro dan Schmidt, Tujuan dari configuration management adalah memonitor jaringan dan mengkonfigurasi informasi sistem sehingga efek dalam proses jaringan akibat perbedaan variasi hardware dan software dapat diketahui dan diatur. 3. Morris, accounting management berfungsi agar dapat mengisi ulang atas penggunaan sumber daya jaringan yang ada. Mauro dan Schmidt, Tujuan dari accounting management adalah memastikan bahwa proses instruksi sumber daya jaringan dapat digunakan cukup baik oleh semua pengguna berdasarkan kapasitas kemampuannya. 4. Morris, performance management memeriksa performa jaringan yang dapat memprediksi terjadinya penurunan performa dan kemacetan jaringan. Mauro dan Schmidt, Tujuan dari performance management adalah mengukur dan melaporkan berbagai hal yang mempengaruhi performa jaringan atau sistem. Selain itu juga menganalisis dan mengkontrol performa dari komponen-komponen jaringan salah satunya dengan service monitoring. 5. Morris, security management dibutuhkan untuk menjamin data dan yang di dalam jaringan agar dapat terjaga. Mauro dan Schmidt, Tujuan dari security management ada 2 hal penting yaitu pertama, mengontrol akses jaringan dan device jaringan. Kedua, untuk mendeteksi dan mencegah terjadinya serangan yang dapat membahayakan jaringan atau device jaringan tersebut. Security

management ini bukan hanya keamanan sistem tapi mencakup hingga keamanan secara fisik. Network management ini bila dikembangkan berdasarkan pada pengaplikasian dan penerapan akan memberikan efek baik dalam mengelola sebuah jaringan. Atas dasar itulah di maka terdapat penetapan-penetapan tersebut yang secara detil tertuang salah satunya di dalam ISO X.700 ini. Semoga dapat bermanfaat.

Jawaban no 8
Tahapan Security SDLC dalam keamanan system informasi

Konsep System Development Life Cycle dapat diterapkan dalam implementasi keamanan dalam suatu perusahaan .Setiap tahap dari SDLC memainkan peranan penting untuk mencapai tujuan yang terdiri dari 6 tahap , antara lain : Stage 1 : Initiation Stage 2: Analysis Systems Stage 3: System Design Stage 4: System Development Stage 5: Implementation Stage 6 :Maintenance Stage 1: Investigation Pada tahap ini mendefinisikan informasi yang dapat diketahui dari perusahaan ,antara lain: Identifikasi asset-aset perusahaan ( People , system , information ,data , aplikasi , hardware ) Sejarah ancaman yang pernah dialami oleh perusahaan (internal ,eksternal) Identifikasi dampak kriteria bagi perusahaan ( reputasi, financial, produktivitas, safety , fines ,others)

Stage 2: Analysis Setelah semua komponen perusahaan telah diidentifikasikan , selanjutnya dapat menentukan asset kritis perusahaan , kemudian menganalisa sistem keamanan yang telah diterapkan pada perusahaan , kemungkinan ancaman yang dapat terjadi terhadap asset kritis perusahaan perusahaan. Contoh : Pada tahap ini menganalisa sistem keamanan yang sudah berjalan pada perusahaan dan menganalisa resiko yang dapat terjadi ( risk analisis). Analisa dapat berupa quantitative dan qualitative. Risk analysis dapat membuat suatu model relasi antara threat, vulnerability , and controls sehingga mendapatkan balancing of risk Beberapa contoh resiko , antara lain : Unauthorised or accidental disclosure Unauthorised or accidental modification Unavailability of facilities / services Destruction of assets

Stage 4: Physical Design Mapping logic to physical implementation implementation components component locations component wiring geometrical shapes

examples TTL chips on a PC board single FPGA custom CMOS chip

Stage 5: Logical Design Dalam tahap ini mendesign sistem keamanan yang akan digunakan untuk mengatasi ancaman ataupun menghindari ancaman yang dapat dialami oleh perusahaan, memetakan dari skema konseptual ke sekema ralasional, bagaimana menyatakan model data. Stage 5: Implementation Pada tahap ini , bagaimana IT security yang telah di design , di kembangkan dan kemudian akan diimplementasikan secara riil , dengan checklist sebagai berikut : -Testing and Acceptance -Security Management -Disaster Recovery Plan (DRP) -File and program overlay settings and privileges -Personnel, responsibilities, job functions, and interfaces -Procedures (e.g. backup, labeling) -Use of commercial or in-house services -Backup, restore, and restart instructions and procedures Stage 6: Maintanance Pada tahap ini bagaimana kinerja IT security yang telah di implementasikan , secara terus menerus di maintain. -Backup and restoration parameters -Support training classes -User administration and access privileges -Audit logs -Log file analysis -Physical protection -Off-site storage -Software & hardware warrantees -Registration/Deregistration

Jawaban no 9

Security attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi. Menurut W. Stallings [40] ada beberapa kemungkinan serangan (attack): Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah denial of service attack. Interception: Pihak yang tidak berwenang berhasil mengakses aset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping). Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan-pesan yang merugikan pemilik web site. Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam jaringan komputer.