Hasil Pencarian  ::  Simpan CSV :: Kembali

"Pencegahan terhadap serangan siber menjadi faktor penting yang perlu dilakukan organisasi untuk menungjang keberlangsungan proses bisnis yang maksimal. Salah satu faktor penting yang diperlukan adalah perlindungan aset data dan informasi oleh critical infrastructure yang dimiliki. Karya akhir ini meneliti mengenai peningkatan kapasitas critical infrastructure pada organisasi XYZ. Kerangka kerja NIST CSF sebagai alat penilaian tolak ukur utama terhadap kapasitas critical infrastructure di PT XYZ. Hasil yang didapatkan dari penilaian digunakan untuk membuat rekomendasi terhadap kontrol-kontrol yang bersesuaian dengan critical infrastructure. Penilaian risiko yang menemukan 107 macam skenario risiko yang membawa pada 11 rekomendasi kontrol peningkatan critical infrastructure. Pembuatan prioritas pada rekomendasi yang dihasilkan diharapkan dapat meningkatkan ketahanan dan kapasitas critical infrastructure di PT XYZ dalam menghadapi ancaman kejahatan siber saat ini dan di masa yang akan datang.

---

Prevention of cyber attacks is an important factor that organizations need to do to support maximum business process continuity. One of the important factors needed is the protection of data and information assets by the critical infrastructure owned. This final work examines the increase in critical infrastructure capacity at XYZ organization. The NIST CSF framework as the main benchmark assessment tool for critical infrastructure capacity at PT XYZ. The results obtained from the assessment are used to make recommendations for controls that correspond to critical infrastructure. The risk assessment found 107 various risk scenarios that led to 11 recommendations for critical infrastructure improvement controls. Prioritization of the resulting recommendations is expected to increase the resilience and capacity of critical infrastructure at PT XYZ in the face of current and future cybercrime threats."

"Cybersecurity atau keamanan siber telah menjadi perhatian utama bagi organisasi dan perusahaan-perusahaan di seluruh dunia. Sebagai salah satu institusi perbankan terbesar di Indonesia, PT XYZ sangat memperhatikan aspek tersebut dengan menerapkan kebijakan keamanan dalam hal tata kelola dan operasional dalam inisiatif perusahaan mereka.Sayangnya, kebijakan tersebut kurang tercermin untuk anak perusahaan dari PT XYZ. Kebijakan, kerangka, dan alur kerja untuk keamanan siber belum terdefinisikan dan terstruktur sehingga mereka akan lebih rentan terkena dampak dan risiko serangan dan kerentanan siber dibandingkan dengan perusahaan induk. Risiko tersebut termasuk availaibility untuk aplikasi, kerugian finansial, kebocoran data internal dan nasabah, dan masalah dan denda dari regulator.Untuk menghindari risiko tersebut, maka dibuatlah Security Operations Center (SOC) untuk grup perusahaan. SOC tersebut dibuat agar sinergi atau kesiapan untuk keamanan siber beserta manajemen risiko darinya bagi perusahaan anak lebih setara atau melebihi perusahaan induk. Tanggung jawab dan fungsi mereka mencerminkan kebijakan yang ada di perusahaan induk. Beberapa hasil dan manfaat yang diharapkan adalah sebagai inisiatif strategis, meningkatkan kepercayaan stakeholder, meningkatkan visibilitas keamanan, evaluasi dan peningkatan keamanan, pemenuhan regulasi, menutup celah keamanan, dan meningkatkan kesiapan keamanan siber.Penelitian ini menggunakan Soft System Methodology (SSM) dengan kerangka kerja NIST Framework. Pengumpulan data berbentuk observasi, studi literatur, dan wawancara. Hasil dari penelitian ini adalah rancangan kapabilitas SOC berupa aktivitas yang perlu dijalankan dan dikembangkan serta diprioritaskan. Rancangan tersebut kemudian akan divalidasikan oleh Team Lead Security Strategy & Management selaku pelaksana SOC di perusahaan induk. Diharapkan dari hasil penelitian ini agar penyelenggaraan SOC di grup perusahaan menjadi efektif serta memenuhi tujuan keamanan siber di lingkup grup perusahaan.

---

Cybersecurity has become a major concern for organizations and companies around the world. PT XYZ is also very concerned about this aspect by implementing security policies in terms of governance and operations in their corporate initiatives.

Unfortunately, the policy is less reflected for XYZ Group subsidiaries. The policies, frameworks, and workflows for cybersecurity have not been defined and structured so that they will be more vulnerable to the impact and risk of cyber-attacks and vulnerabilities compared to the parent company. Such risks include availability for applications, financial losses, internal and customer data leaks, and issues and fines from regulators.

To avoid these risks, a Security Operations Center (SOC) for company group was created. The SOC is created so that the synergy or readiness for cybersecurity and its risk management for subsidiaries is equal to or exceeds that of the parent company. Their responsibilities and functions reflect the policies of the parent company. Some of the expected results and benefits are as a strategic initiative, increasing stakeholder trust, increasing security visibility, evaluating, and improving security, fulfilling regulations, closing security gaps, and increasing cybersecurity readiness.

This research uses Soft System Methodology (SSM) with the NIST Framework. Data collection is in the form of observation, literature study, and interviews. The result of this research is an SOC capability design in the form of activities that need to be carried out and developed and prioritized. The design will then be validated by Team Lead Security Strategy & Management as the SOC implementer at the parent company. It is expected from the results of this research that the implementation of SOC in the group of companies will be effective and meet cybersecurity objectives within the scope of the company group."

"Laporan magang ini membahas evaluasi kesesuaian antara konsep atau standar terkait prosedur penilaian tingkat maturitas tata kelola cybersecurity dengan praktik riil yang dilakukan oleh PT SM Konsultan terhadap PT JKL selama masa magang. Terdapat tiga kerangka evaluasi (konsep atau standar) yang digunakan untuk mengevaluasi prosedur ini. Pertama, Pendekatan Empat Tahap oleh Funchall et al. (2017) untuk mengevaluasi tahapan prosedur penilaian tingkat maturitas secara keseluruhan. Kedua, Kerangka kerja NIST Cybersecurity untuk mengevaluasi aspek penilaian pada working paper PT SM Konsultan. Ketiga, Capability Maturity Model (CMM) untuk mengevaluasi penggunaan CMM yang digunakan PT SM Konsultan dalam menilai working paper. Secara keseluruhan, prosedur penilaian yang dilakukan oleh PT SM Konsultan telah sesuai dengan Pendekatan Empat Tahap. Working paper yang telah disusun PT SM Konsultan juga telah sesuai dengan Kerangka kerja NIST Cybersecurity. Namun, terdapat ketidaksesuaian terkait penggunaan CMM dalam penilaian, ada perbedaan mengenai cara menilai level maturitas dan interpretasi level 4 pada working paper PT SM Konsultan dengan CMM. Selain itu, laporan magang ini juga membahas refleksi diri dari pengalaman yang didapat selama menjalani program magang di PT SM Konsultan.

---

This internship report discusses the evaluation of cybersecurity governance maturity assessment procedure carried out by PT SM Konsultan for PT JKL during the internship periode with the concepts or standards related to it. There are three frameworks (concepts or standards) used to evaluate this procedure. First, the Four Step Approach by Funchall et al. (2017) to evaluate the overall maturity assessment procedure step. Second, the NIST Cybersecurity Framework to evaluate the assessment aspects on PT SM Konsultan's working paper. Third, the Capability Maturity Model (CMM) to evaluate the CMM used by PT SM Konsultan to assess their working paper. Overall, the assessment procedure carried out by PT SM Konsultan is in accordance with the Four Step Approach. The working paper that has been prepared by PT SM Konsultan is also in accordance with the NIST Cybersecurity Framework. However, there are discrepancies related to the use of CMM in the assessment. There are differences in the assessment of maturity level and interpretation of level 4 in PT SM Konsultan’s working paper with the CMM. Apart from that, this internship report also discusses self-reflection from the experience gained during the internship program at PT SM Konsultan."

"Tugas akhir ini berusaha mengkaji perancangan hingga implementasi dari arsitektur infrastruktur awan baru di AWS dari salah satu servis yang mendukung keberlangsungan proses bisnis di perusahaan PT. XYZ. Perancangan dilakukan berdasarkan kebutuhan perusahaan mengenai infrastruktur baru serta berbagai standar regulasi dan teknologi yang diterapkan di perusahaan. Dalam mengimplementasikan infrastruktur servis yang baru, Terraform memiliki peranan penting sebagai alat orkestrasi/penyedian infrastruktur untuk 6 (enam) kebutuhan teknologi perusahaan terkait servis tersebut. Tugas akhir ini menghasilkan infrastruktur awan baru yang telah diimplementasikan untuk servis tersebut sesuai dengan kebutuhan dan standar yang berlaku dan juga telah digunakan oleh perusahaan PT. XYZ.

---

This final project tries to examine the design to the implementation of the new cloud infrastructure on AWS from one of the services that support the sustainability of business processes in the company PT. XYZ. The design is carried out based on the company’s requirements regarding new infrastructure as well as various regulatory standards and technology applied in the company. In implementing the new service infrastructure, Terraform has an important role as an infrastructure orchestration/provisioning tool for 6 (six) company’s technology requirements related to the service. This final project produces a new cloud infrastructure that has been implemented for the service in the accordance with the requirements and applicable standards and has also been used by the company PT. XYZ."

"

Peningkatan serangan siber pada infrastruktur infomasi kritikal mengharusnya setiap pemilik infratsruktur untuk berkolaborasi menghadapi berbagai serangan tersebut. Salah satu bentuk kolaborasi yang dapat dilakukan adalah melalui cybersecurity information sharing dimana setiap pemilik infratsruktur dapat memanfaatkan bersama-sama kemampuan yang dimiliki oleh setiap pemilik infratsruktur dalam menghadapi serangan siber. Berbagai grup cybersecurity information sharing telah dibentuk pada berbagai negara baik dalam lingkup nasional maupun sektoral. Di Indonesia sendiri beberapa grup cybersecurity information sharing telah diinisiasi baik secara formal maupun non-formal. Guna mendukung penyelenggaraan cybersecurity information sharing diperlukan dukungan tata kelola berupa kerangka kerja yang dapat dijadikan acuan dalam pelaksanaan cybersecurity information sharing. Penelitian ini berfokus pada melakukan pengembangan kerangka kerja cybersecurity information sharing untuk sektor infratsruktur infomasi kritikal nasional di Indonesia yang terdiri dari tiga output utama yaitu usulan ekosistem, usulan kerangka kerja dan rekomendasi implementasi kerangka kerja. Usulan kerangka kerja disusun berdasarkan beberapa standar terkait cybersecurity information sharing antara lain ISO/IEC 27032, NIST SP 800-150 dan ENISA ISAC in a Box. Usulan kerangka kerja juga didasarkan pada best practice yang dikeluarkan beberapa organisasi di bidang keamanan siber dan best practice penyelenggaraan cybersecurity information sharing pada negara-negara yang dianggap baik dalam penyelenggaraan keamanan siber antara lain Amerika Serikat, Australia, Inggris, Singapura dan Kanada serta disesuaikan dengan kondisi ekosistem keamanan siber dan pelindungan IIKN di Indoensia. Guna melakukan validasi terhadap output penelitian, digunakan metode expert judgement terhadap tiga expert di bidang keamanan siber dan pelindungan IIKN untuk mendapatkan saran perbaikan terhadap usulan kerangka kerja. Metode expert judgement juga dilakukan secara kuantitatif untuk mengukur interrater reliability antar expert terhadap rekomendasi implementasi kerangka kerja dengan menggunakan Fleis Kappa Statistic. Hasil pengukuran menunjukkan nilai kappa sebesar 0.938 yang berarti usulan rekomendasi implementasi kerangka kerja mendapatkan kesepakatan para expert judgement pada level almost perfect agreement.

---

The increase in cyber attacks on critical information infrastructure requires every infrastructure owner to collaborate against these attacks. One form of collaboration that can be done is through cybersecurity information sharing where each infrastructure owner can take advantage of the capabilities of each infrastructure owner in dealing with cyber attacks. Various cybersecurity information sharing groups have been formed in various countries, both nationally and sectorally. In Indonesia, several cybersecurity information sharing groups have been initiated both formally and informally. In order to support the implementation of cybersecurity information sharing, governance support is needed in the form of a framework that can be used as a reference in the implementation of cybersecurity information sharing. This study focuses on designing a cybersecurity information sharing framework for the national critical information infrastructure sector in Indonesia, which consists of three main outputs, namely ecosystem proposals, framework proposals and framework implementation recommendations. The proposed framework is based on several standards related to cybersecurity information sharing, including ISO/IEC 27032, NIST SP 800-150 and ENISA ISAC in a Box. The proposed framework is also based on best practices issued by several organizations in the field of cybersecurity and best practices in implementing cybersecurity information sharing in countries that are considered good in cybersecurity implementation, including the United States, Australia, England, Singapore and Canada and are adapted to conditions. cyber security ecosystem and IIKN protection in Indonesia. In order to validate the research output, the expert judgment method was used against three experts in the field of cyber security and IIKN protection to obtain suggestions for improvements to the proposed framework. The expert judgment method was also carried out quantitatively to measure interrater reliability between experts on the recommendations for implementing the framework using Fleis Kappa Statistics. The measurement results show a kappa value of 0.938, which means that the proposed framework implementation recommendation gets an agreement from the expert judges at the almost perfect agreement level.

"

"Penelitian ini bertujuan untuk merancang kerangka kerja keamanan siber pada smart airport untuk meningkatkan keamanan siber dan mencegah serangan siber pada smart airport. Smart airport menimbulkan risiko baru akan adanya serangan siber, pengelolaan smart airport dengan menggunakan teknologi IT dan IoT harus dikelola dengan baik yaitu melalui tata kelola teknologi informasi yang sesuai dengan kerangka kerja yang sudah terimplementasi dengan baik dan berstandar Internasional. Selain kerangka kerja tata kelola teknologi informasi, perlu diperhatikan lebih dalam lagi mengenai keamanan siber dan perlindungan data pribadi agar smart airport memiliki tingkat keamanan yang tinggi untuk menjaga keberlangsungan bisnisnya. Untuk mewujudkan smart airport yang aman dengan mempertimbangkan risiko serangan siber perlunya dibuat kerangka kerja keamanan siber sebagai evaluasi untuk pengelola smart airport. Penelitian ini mengintegrasikan kerangka kerja Enisa Securing Smart Airport, NIST Cyber Security Framework dan ISO/IEC 27002:2022. Dari hasil penelitian diperoleh aktivitas yang berasal dari NIST CSF adalah 39%, aktivitas yang berasal dari ENISA Securing Smart Airport adalah 6%, dan aktivitas yang berasal dari ISO/IEC 27002:2022 adalah 17%. Diharapkan kerangka kerja smart airport ini dapat melindungi keamanan siber dengan menggunakan NIST CSF, melindungi keamanan informasi dengan menggunakan ISO 27002:20022 dan mengikuti standar keamanan airport berdasarkan ENISA Securing Smart Airport. Hasil dari penelitian ini adalah kerangka kerja keamanan siber untuk smart airport, yang diujicobakan di Bandara Internasional XYZ dengan hasil nilai kematangan 3,9 berada pada level implementasi terdefinisi.

---

This research aims to design a cyber security framework at smart. Airport to improve cyber security and prevent cyber attacks at smart airports. Airports are transforming into smart airports as airport user services continue to increase, creating an efficient, effective and comfortable travel experience for travelers. Smart airports pose new risks of cyber attacks, management of smart airports using IT and IoT technology must be managed well, namely through information technology governance that is in accordance with a framework that has been well implemented and has international standards. Apart from the information technology governance framework, futher attention needs to be paid to cyber security and personal data protection so that smart airports have a high. Level of security to maintain business continuity. To create a safe smart airport by considering the risk of cyber attacks, it is necessary to have a cyber security framework as an evaluation for smart airport managers. This research integrates the Enisa Securing Smart Airport Framework, NIST Cybersecurity Framework and ISO/IEC 27002:2022. From the research result, the activity originating from NIST CSF was 39%, from ENISA Securing Airport was 6% and from ISO/IEC 27002:2022 was 17%. The goal is a smart airport framework that can protect cyber security by using NIST CSF, protect information security by using ISO/IEC 27002:2022 and based on airport security standards by using ENISA Securing Smart Airport. The result of this research is a cybersecurity framework for smart airports, which was tested at XYZ Internasional Airport with a maturity value of 3,9 at the defined implementation level."

"Cost overruns merupakan masalah serius bagi perusahaan konstruksi, termasuk di Indonesia. Fraud adalah salah satu penyebab utama proyek konstruksi mengalami cost overruns. Korupsi, termasuk penyuapan, penggelapan, dan fraud menyebabkan biaya konstruksi menjadi jauh lebih tinggi. Penelitian ini bertujuan untuk mengevaluasi penyebab fraud, menilai tingkat maturitas risiko fraud, dan mengembangkan kerangka kerja manajemen risiko fraud di perusahaan konstruksi di Indonesia. Penelitian ini menggunakan metode kualitatif untuk menganalisis data primer yang diperoleh dari wawancara dan observasi, dan data sekunder yang diperoleh dari tinjauan literatur. Menggunakan teori fraud triangle untuk mengidentifikasi penyebab risiko fraud, model fraud risk maturity oleh EY untuk menilai tingkat maturitas risiko fraud, dan konsep fraud risk management oleh KPMG untuk mengembangkan kerangka kerja manajemen risiko fraud, penelitian ini memberikan tiga hasil: Studi tentang penyebab fraud, penilaian tingkat maturitas risiko fraud, dan kerangka kerja manajemen risiko fraud untuk perusahaan konstruksi.

---

Cost overruns is a serious issue for construction companies, including in Indonesia. Fraud is one of the main causes of construction projects experiencing cost overruns. Corruption, including bribery, embezzlement, and fraud causes construction costs to be significantly higher. This research aimed to evaluate the causes of fraud, to assess the maturity level of the fraud risk, and to develop fraud risk management framework in a construction company in Indonesia. This research used qualitative methods to analyse primary data obtained from interviews and observations, and secondary data obtained from a literature review. Using the fraud triangle theory to identify the cause of fraud risks, the fraud risk maturity model by EY to assess the fraud risk maturity level, and the fraud risk management concept by KPMG to develop a fraud risk management framework, this research provided three results: A study of causes of fraud, fraud risk maturity assessment, and fraud risk management framework for a construction company."

"Instansi XYZ adalah lembaga non kementrian yang berada di bawah Presiden dan bertanggung jawab langsung kepada Presiden. Salah satu tugas utama Instansi XYZ selain melakukan patroli keamanan dan keselamatan di laut adalah menyelenggarakan Sistem Peringatan Dini (SPD) keamanan dan keselamatan di wilayah perairan Indonesia. Didalam UU no. 32, disebutkan bahwa Instansi XYZ memiliki tugas pokok salah satunya adalah melakukan integrasi sistem peringatan dini keamanan dan keselamatan di wilayah perairan Indonesia.. Dalam rangka melakukan tugas dan fungsinya Instansi XYZ memiliki jaringan yang menggunakan Virtual Private Network (VPN) serta aktifitas lainnya yang digunakan oleh pengguna jaringan tersebut Kualitas keamanan informasi data pada Instansi XYZ perlu dilakukan peningkatan agar terjaminnya Confidentiality (Kerahasian), Integrity (Integritas), Availability (Ketersediaan). Indeks KAMI merupakan salah satu alat untuk menentukan indeks keamanan agar proses peningkatan kualitas keamanan dapat berjalan dengan efektif dan efisien. Tujuan pengukuran menggunakan Indeks KAMI pada Instansi XYZ adalah untuk menganalisis tingkat efektifitas pengamanan data dan informasi pada Instansi XYZ.Pengumpulan data dilakukan dengan melakukan pengamatan serta melakukan lembar penilaian dan wawancara. Metode yang dilakukan dalam penelitian ini adalah dengan melakukan pengukuran tingkat kematangan keamanan informasi pada Instansi XYZ dengan menggunakan Indeks KAMI dan mengevaluasi serta memberikan rekomendasi keamanan informasi dengan kerangka kerja NIST Cybersecurity Framework ISO 27001:2013 pada Instansi XYZ.Dari hasil pengukuran yang telah dilakukan pada Instansi XYZ menggunakan Indeks KAMI, diperoleh hasil bahwa instansi tersebut dikategorikan Tinggi untuk kategori sistem elektroniknya. Sedangkan hasil evaluasi akhirnya mendapatkan nilai yang “Tidak Layak”. Peneliti memberikan rekomendasi kontrol keamanan pada instansi XYZ dengan menggunakan framework NIST Cybersecurity dan ISO 27001:2013. Penggunaan kedua framework tersebut karena keduanya memiliki fleksibilitas yang dapat diterapkan pada semua jenis instansi serta dapat disesuaikan dengan kondisi sistem manajemen keamanan informasi yang ada pada instansi saat ini. Dalam penelitian ini, rekomendasi diberikan dimasing-masing area penilaian indeks KAMI dengan menggunakan kontrol keamanan NIST CSF dan ISO 27001:2013. Dari kelima area tersebut, rekomendasi prioritas berada pada area tata kelola yaitu berupa pembuatan kebijakan tentang keamanan informasi beserta turunannya dan 6 poin lainnya untuk meningkatkan tingkat kematangan sistem keamanan informasi di Instansi XYZ.

---

The Maritime Security Agency of the Republic of Indonesia (XYZ Agency) is a non-ministerial institution under the President and responsible directly to the President through the Coordinating Minister for Political Law and Human Rights (Menko Polhukam). One of XYZ Agencies main tasks apart from conducting security and safety patrols at sea is to organize a security and safety Early Warning System (SPD) in Indonesian waters. In Law no. 32, it is stated that XYZ Agency has a main task, one of which is to integrate security and safety early warning systems in Indonesian waters. In order to carry out its duties and functions XYZ Agency has a network that uses a Virtual Private Network (VPN) and other activities used by network users. The quality of data information security at XYZ Agency needs to be improved to ensure Confidentiality, Integrity, Availability. The KAMI index is one of the tools to determine the security index so that the process of improving the quality of security can run effectively and efficiently. The purpose of measurement using the KAMI Index on XYZ Agency is to analyze the level of effectiveness of data and information security at XYZ Agency.

From the results of measurements that have been carried out at XYZ Agency using the KAMI Index, the results show that the agency is categorized as High for the category of its electronic system. While the results of the evaluation finally get a value of "Not Eligible". Researchers provide recommendations for security control at XYZ agencies using the NIST Cybersecurity framework and ISO 27001:2013. The use of these two frameworks is because they have flexibility that can be applied to all types of agencies and can be adapted to the conditions of the information security management system that exists in the current agency. In this study, recommendations are given in each area of ​​the WE index assessment using NIST CSF and ISO 27001:2013 safety controls. Of the five areas, priority recommendations are in the governance area, namely in the form of making policies on information security and its derivatives and 6 other points to increase the maturity level of information security systems in XYZ Agencies."

"Menjaga ketersediaan layanan sistem informasi erat kaitannya dengan perencanaan contingency. Business impact analysis (BIA) merupakan tahap awal dalam melakukan perencanaan contingency. Dari data internal audit TI organisasi studi kasus, PT XYZ, kegiatan BIA belum dilakukan. Hal ini mengindikasikan ketidaksesuaian kegiatan perencanaan contingency yang dilakukan organisasi. Penelitian ini bertujuan melakukan BIA untuk salah satu sistem informasi organisasi yaitu web portal ABC. Hasil dari BIA nantinya akan digunakan untuk melakukan penilaian perencanaan contingency saat ini. Penelitian ini menggunakan standar kerja dari NIST 800-34 rev.1 Contingency Planning Guide for Federal Information Systems. Standar tersebut memiliki pedoman untuk melakukan BIA kemudian memetakan hasil dari BIA menjadi kontrol perencanaan contingency yang digunakan untuk menilai kondisi perencanaan contingency sistem saat ini. Hasil pelaksanaan BIA menunjukkan web portal ABC memiliki tingkat dampak yang tinggi. Sedangkan hasil dari penilaian kontrol perencanaan contingency menunjukkan masih banyak kegiatan perencanaan contingency yang belum dilakukan dan belum sesuai. Hal ini menunjukkan bahwa perencanaan contingency sistem saat ini belum sesuai dengan standar contingency NIST 800-34 rev.1.

---

Maintain the availability of information systems services closely related to contingency planning. Business impact Analysis (BIA) is an early stage in contingency planning. From IT Audit's internal data PT XYZ, BIA activities have not been carried out. This condition indicates discrepancy of contingency planning activities by the organization. This research aims to perform BIA for one of the organization's information system which is a web portal ABC. The results of the BIA will be used to assess the current contingency planning. This research uses a standard work of NIST 800-34 Rev.1 Contingency Planning Guide for Federal Information Systems. The standard has guidelines for BIA then map the results of the BIA into contingency planning controls that are used to assess the condition of the current system of contingency planning. The BIA results indicate the web portal BIA ABC has a high level of impact. And the results of the contingency planning assessment indicate there are still a lot of contingency planning activities that have not been done and is not appropriate. This shows that the current system of contingency planning is not in accordance with the NIST 800-34 standard contingency Rev.1."

"Tujuan dari penelitian ini adalah merancang implementasi manajemen risiko pada tech-startup PT XYZ yang bergerak di industri Natural Language Processing. Perancangan manajemen risiko pada penelitian ini mengacu kepada kerangka manajemen risiko ISO 31000:2018. Penelitian ini menggunakan pendekatan kualitatif dengan proses pemeringkatan risiko menggunakan Analytic Hierarchy Process serta analisis kemungkinan dan dampak risiko. Berdasarkan hasil penelitian, diperoleh sebanyak 36 faktor risiko yang dikelompokkan menjadi 5 jenis risiko, yaitu; risiko operasional, risiko keuangan, risiko risiko reputasi, risiko legal/kepatuhan, dan risiko bisnis. Hasil evaluasi risiko menunjukkan sebanyak 4 risiko termasuk kategori rendah, 19 risiko kategori sedang, dan 13 risiko kategori tinggi. Tidak ada risiko yang termasuk dalam kategori sangat tinggi. Setelah kategori masing-masing risiko diketahui, penelitian ini memberikan rekomendasi tindakan mitigasi yang dapat dilakukan oleh perusahaan untuk seluruh kategori risiko. Rekomendasi tindakan spesifik yang dapat dilakukan PT XYZ diberikan untuk risiko dengan kategori tinggi.

---

The purpose of this research is to design risk implementation management at tech-startup PT XYZ engaged in the Natural Language Processing industry. The design of risk management in this study refers to the risk management framework of ISO 31000:2018. This study uses a qualitative approach with a risk rating process using the Analytic Hierarchy Process and analysis of risk’s likelihood and impact. Based on the research results obtained, as many as 36 risk factors were collected into 5 types of risk, namely; operational risk, financial risk, reputational risk, legal/compliance risk and business risk. The results of the risk evaluation show that 4 risks are included in the low risk category, 19 are in the moderate category, and 13 are in the high category. There is no risk that is included in the very high category. After the categories of each risk are known, this study provides recommendations for mitigation strategies that can be taken by companies for all risk categories. Recommendations for specific actions that PT XYZ can take are given for high risk categories"