Hasil Pencarian  ::  Simpan CSV :: Kembali

"Sektor administrasi pemerintahan menjadi target utama peretasan. Kondisi ini cukup mengkhawatirkan mengingat kementerian dan lembaga (K/L) mengelola data sensitif, termasuk data profil Aparatur Sipil Negara (ASN). Lembaga XYZ menggunakan aplikasi internal Sistem Informasi Manajemen Kepegawaian (SIMPEG) yang dikembangkan oleh Unit Kerja Pusat Data dan Informasi (Pusdatin). Aplikasi SIMPEG wajib memenuhi standar teknis dan keamanan Sistem Pemerintahan Berbasis Elektronik (SPBE) sesuai dengan peraturan yang berlaku. Tujuan dari penelitian ini adalah merancang kriteria audit keamanan informasi siber untuk aplikasi SIMPEG dengan Perban BSSN Nomor 4 Tahun 2021, yang dikembangkan dengan standar keamanan informasi ISO/IEC 27001 dan kerangka kerja National Institute of Science and Technology (NIST) Cybersecurity Framework 2.0. Selain itu, penelitian ini juga bertujuan untuk mengevaluasi kondisi keamanan informasi siber aplikasi SIMPEG saat ini melalui pelaksanaa audit menggunakan kriteria yang telah dirancang, serta memberikan rekomendasi berdasarkan hasil audit tersebut. Penelitian ini menggunakan pendekatan kualitatif melalui deskripsi, analisis, interpretasi, dan perbandingan data yang dikumpulkan melalui wawancara, observasi, dan studi dokumen. Hasil dari penelitian ini adalah kriteria audit keamanan informasi siber dengan 133 pertanyaan yang mencakup aspek tata kelola dan manajemen serta fungsionalitas kinerja aplikasi. Kriteria ini juga dirancang sesuai prinsip perlindungan data pribadi dan karakteristik aplikasi SIMPEG. Audit yang dilakukan menunjukkan beberapa area yang perlu peningkatan, yaitu manajemen sesi, kriptografi, pencatatan log, keamanan komunikasi, serta pengelolaan file. Rekomendasi dari hasil penelitian ini yaitu pelatihan teknis keamanan informasi, menggunakan enkripsi data serta peningkatan security awareness.

---

The government administration sector is the main target of hacking. This condition is alarming considering that ministries and institutions (K / L) manage sensitive data, including the State Civil Apparatus (ASN) profile data. XYZ Institution uses the internal application of the Personnel Management Information System (SIMPEG) developed by the Data and Information Center Work Unit (Pusdatin). The SIMPEG application must meet the Electronic-Based Government System (SPBE) 's technical and security standards per applicable regulations. The purpose of this research is to design cyber information security audit criteria for the SIMPEG application with BSSN Regulation No. 4 of 2021, which was developed with the ISO/IEC 27001 information security standard and the National Institute of Science and Technology (NIST) Cybersecurity Framework 2.0 framework. In addition, this research also aims to evaluate the current state of SIMPEG application cybersecurity by conducting an audit using the criteria that have been designed and providing recommendations based on the audit results. This research uses a qualitative approach through description, analysis, interpretation, and comparison of data collected through interviews, observations, and document studies. This research results in a cyber information security audit criteria with 133 questions covering aspects of governance and management as well as application performance functionality. These criteria are also designed according to the principles of personal data protection and the characteristics of the SIMPEG application. The audit showed several areas that need improvement, namely session management, cryptography, logging, communication security, and file management. Recommendations from the results of this study are information security technical training, using data encryption, and increasing security awareness."

"Dalam era industri 4.0, teknologi informasi dan komunikasi menjadi tulang punggung utama dalam operasional sistem industri, termasuk sistem kontrol industri (ICS). Namun, meningkatnya ketergantungan pada teknologi digital juga meningkatkan risiko serangan siber. Penelitian ini bertujuan untuk mengembangkan dan menguji testbed keamanan siber untuk sistem kontrol tangki air otomatis menggunakan komunikasi Modbus TCP. Testbed ini memungkinkan simulasi berbagai serangan dan pengujian strategi mitigasi dalam lingkungan yang aman dan terkontrol. Sistem yang dikembangkan terdiri dari Arduino Mega sebagai server Modbus TCP, PLC Siemens S7-1200 sebagai klien, sensor ultrasonik untuk pengukuran ketinggian air, dan pompa submersible. Pengujian dilakukan dengan menggunakan berbagai alat keamanan siber seperti nmap, Wireshark, dan modbus poll. Hasil penelitian menunjukkan bahwa sistem ini dapat berfungsi dengan baik dan mampu menangani data yang tidak valid tanpa menyebabkan kerentanan keamanan atau ketidakstabilan. Rekomendasi untuk penelitian selanjutnya mencakup peningkatan protokol keamanan dan penerapan sistem dalam lingkungan industri nyata.

---

In the era of Industry 4.0, information and communication technology has become the backbone of industrial system operations, including Industrial Control Systems (ICS). However, the increased reliance on digital technology also heightens the risk of cyberattacks. This research aims to develop and test a cybersecurity testbed for automatic water tank control systems using Modbus TCP communication. The testbed enables the simulation of various attacks and testing mitigation strategies in a safe and controlled environment. The developed system comprises an Arduino Mega as the Modbus TCP server, a Siemens S7-1200 PLC as the client, an ultrasonic sensor for water level measurement, and a submersible pump. Testing was conducted using various cybersecurity tools such as NMAP, Wireshark, and Modbus Poll. The results show the system functions properly and can handle invalid data without causing security vulnerabilities or instability. Recommendations for future research include enhancing security protocols and applying the system in real industrial environments."

"Cybersecurity atau keamanan siber telah menjadi perhatian utama bagi organisasi dan perusahaan-perusahaan di seluruh dunia. Sebagai salah satu institusi perbankan terbesar di Indonesia, PT XYZ sangat memperhatikan aspek tersebut dengan menerapkan kebijakan keamanan dalam hal tata kelola dan operasional dalam inisiatif perusahaan mereka.Sayangnya, kebijakan tersebut kurang tercermin untuk anak perusahaan dari PT XYZ. Kebijakan, kerangka, dan alur kerja untuk keamanan siber belum terdefinisikan dan terstruktur sehingga mereka akan lebih rentan terkena dampak dan risiko serangan dan kerentanan siber dibandingkan dengan perusahaan induk. Risiko tersebut termasuk availaibility untuk aplikasi, kerugian finansial, kebocoran data internal dan nasabah, dan masalah dan denda dari regulator.Untuk menghindari risiko tersebut, maka dibuatlah Security Operations Center (SOC) untuk grup perusahaan. SOC tersebut dibuat agar sinergi atau kesiapan untuk keamanan siber beserta manajemen risiko darinya bagi perusahaan anak lebih setara atau melebihi perusahaan induk. Tanggung jawab dan fungsi mereka mencerminkan kebijakan yang ada di perusahaan induk. Beberapa hasil dan manfaat yang diharapkan adalah sebagai inisiatif strategis, meningkatkan kepercayaan stakeholder, meningkatkan visibilitas keamanan, evaluasi dan peningkatan keamanan, pemenuhan regulasi, menutup celah keamanan, dan meningkatkan kesiapan keamanan siber.Penelitian ini menggunakan Soft System Methodology (SSM) dengan kerangka kerja NIST Framework. Pengumpulan data berbentuk observasi, studi literatur, dan wawancara. Hasil dari penelitian ini adalah rancangan kapabilitas SOC berupa aktivitas yang perlu dijalankan dan dikembangkan serta diprioritaskan. Rancangan tersebut kemudian akan divalidasikan oleh Team Lead Security Strategy & Management selaku pelaksana SOC di perusahaan induk. Diharapkan dari hasil penelitian ini agar penyelenggaraan SOC di grup perusahaan menjadi efektif serta memenuhi tujuan keamanan siber di lingkup grup perusahaan.

---

Cybersecurity has become a major concern for organizations and companies around the world. PT XYZ is also very concerned about this aspect by implementing security policies in terms of governance and operations in their corporate initiatives.

Unfortunately, the policy is less reflected for XYZ Group subsidiaries. The policies, frameworks, and workflows for cybersecurity have not been defined and structured so that they will be more vulnerable to the impact and risk of cyber-attacks and vulnerabilities compared to the parent company. Such risks include availability for applications, financial losses, internal and customer data leaks, and issues and fines from regulators.

To avoid these risks, a Security Operations Center (SOC) for company group was created. The SOC is created so that the synergy or readiness for cybersecurity and its risk management for subsidiaries is equal to or exceeds that of the parent company. Their responsibilities and functions reflect the policies of the parent company. Some of the expected results and benefits are as a strategic initiative, increasing stakeholder trust, increasing security visibility, evaluating, and improving security, fulfilling regulations, closing security gaps, and increasing cybersecurity readiness.

This research uses Soft System Methodology (SSM) with the NIST Framework. Data collection is in the form of observation, literature study, and interviews. The result of this research is an SOC capability design in the form of activities that need to be carried out and developed and prioritized. The design will then be validated by Team Lead Security Strategy & Management as the SOC implementer at the parent company. It is expected from the results of this research that the implementation of SOC in the group of companies will be effective and meet cybersecurity objectives within the scope of the company group."

"Hubungan Internasional merupakan studi yang mencakup dinamika antarnegara, termasuk area penting keamanan siber di era digital. Serangan siber di Estonia dan Iran telah menyoroti ketidaksiapan global dalam menghadapi ancaman siber, mendorong negara-negara untuk mengambil langkah pengamanan dan terlibat dalam diplomasi digital. Kajian ini mengeksplorasi konteks dan variabel pendorong di balik sekuritisasi ruang siber, evolusi norma siber global, serta dinamika pengamanan ruang siber dalam wujud sekuritisasi yang dilakukan. Literatur mengidentifikasi empat mekanisme sekuritisasi—aktor sekuritisasi, speech act, audiens, dan facilitating conditions, sekaligus empat komponen utama keamanan ruang siber—referent object, emergency situations, existential threat, dan extraordinary measures. Kemajuan pesat teknologi informasi dan komunikasi (TIK) telah mengubah lanskap keamanan global, yang menuntut kebijakan keamanan siber yang adaptif. Akibatnya, fokus telah bergeser dari hanya melindungi infrastruktur menjadi memahami operasi siber, menempatkan ruang siber sebagai elemen penting dalam strategi keamanan nasional. Pendekatan extraordinary measures seperti multistakeholderisme dan kedaulatan digital menekankan kolaborasi antar pemangku kepentingan dan kontrol negara yang kuat. Eksplorasi strategi keamanan siber mencakup tindakan pencegahan dan mitigasi, potensi jalur kerjasama, dan formulasi kebijakan yang efektif. Kajian ini menekankan kebutuhan pendekatan holistik dan kooperatif terhadap sekuritisasi ruang siber, memberikan wawasan yang dapat diterapkan pada wilayah lain yang menghadapi tantangan serupa dan mewakili jalan yang menjanjikan untuk penelitian di masa depan.

---

International Relations encompasses the dynamics between nations, including the critical area of cybersecurity in the digital era. Recent cyberattacks on Estonia and Iran have highlighted global unpreparedness in addressing cyber threats, prompting nations to establish control measures and engage in digital diplomacy. This analysis explores the context and driving variables behind the securitization of cyberspace, along with the evolution of global cyber norms and the dynamics of cyber security through the lens of securitization. Literature identifies four mechanisms of securitization—securitizing actors, speech acts, the audience, and facilitating conditions, as well as four main components of cybersecurity—referent objects, emergency situations, and existential threats. The rapid advancement of information and communication technology (ICT) has transformed the global security landscape, necessitating adaptive cybersecurity policies. Consequently, the focus has shifted from safeguarding infrastructure to understanding cyber operations, positioning cyberspace as crucial in national security strategies. Extraordinary measure approaches such as multistakeholderism and digital sovereignty emphasize collaboration among stakeholders and robust state control. The exploration of cybersecurity strategies includes preventive and mitigation actions, potential cooperation avenues, and effective policy formulation. This analysis underscores the need for a holistic and cooperative approach to the securitization of cyberspace, providing insights applicable to other regions facing similar challenges and representing a promising avenue for future research."

"Cybersecurity Information Sharing (CIS) merupakan langkah proaktif dan kolaboratif dalam meningkatkan keamanan organisasi dengan bertukar informasi keamanan siber menggunakan layanan penyimpanan tersentralisasi antar organisasi sektoral. Namun pada praktiknya, penggunaan layanan tersentralisasi memiliki ancaman single point of failure yang menyebabkan berkurangnya ketersediaan informasi serta serangan man-in-the-middle (MITM) yang dapat mengakibatkan modifikasi dan pencurian informasi yang dipertukarkan. Ancaman dan serangan ini mengakibatkan kurangnya kepercayaan pengguna terhadap kerahasiaan, keutuhan, dan ketersediaan informasi. Penelitian ini mengusulkan rancangan sistem Secure Cybersecurity Information Sharing (SCIS) untuk mengamankan informasi terkait dengan keamanan siber dalam organisasi sektoral dengan menggunakan Interplanetary File System (IPFS) sebagai penyimpanan informasi terdesentralisasi, serta blockchain sebagai pencatatan data transaksi yang terdesentralisasi. Kedua teknologi tersebut memiliki skalabilitas yang baik dalam kinerja dan penyimpanan, serta mampu meningkatkan ketersediaan informasi hingga 75% lebih banyak dibandingkan dengan penyimpanan tersentralisasi. Selain itu, teknologi ini juga membantu mendeteksi hingga 2 proses modifikasi dan melindungi dari 2 jenis akses tidak sah yang dapat mengakibatkan pencurian informasi. Dengan demikian, sistem SCIS dapat menjamin tiga aspek keamanan informasi yaitu kerahasiaan, keutuhan, dan ketersediaan informasi, sehingga organisasi sektoral dapat menyimpan, berbagi, dan memanfaatkan informasi keamanan siber dengan aman.

---

Cybersecurity Information Sharing (CIS) is a proactive and collaborative measure in enhancing organizational security by exchanging cybersecurity information using a centralized repository service between sectoral organizations. However, in practice, the use of centralized services has the threat of a single point of failure which causes reduced information availability and man-in-the-middle (MITM) attacks which can result in modification and theft of information exchanged. These threats and attacks result in a lack of user confidence in the confidentiality, integrity and availability of information. This study proposes the design of a Secure Cybersecurity Information Sharing (SCIS) system to secure information related to cybersecurity in sectoral organizations by using the Interplanetary File System (IPFS) as a decentralized information store, and blockchain as a decentralized record of transaction data. Both technologies have good scalability in performance and storage, and are able to increase the availability of up to 75% more information compared to centralized storage. In addition, this technology also helps detect up to 2 modification processes and protects against 2 types of unauthorized access that can lead to information theft. Thus, the SCIS system can guarantee three aspects of information security, namely confidentiality, integrity, and availability of information, so that sectoral organizations can safely store, share, and utilize cybersecurity information."

"Penelitian ini bertujuan untuk merancang kerangka kerja keamanan siber pada smart airport untuk meningkatkan keamanan siber dan mencegah serangan siber pada smart airport. Smart airport menimbulkan risiko baru akan adanya serangan siber, pengelolaan smart airport dengan menggunakan teknologi IT dan IoT harus dikelola dengan baik yaitu melalui tata kelola teknologi informasi yang sesuai dengan kerangka kerja yang sudah terimplementasi dengan baik dan berstandar Internasional. Selain kerangka kerja tata kelola teknologi informasi, perlu diperhatikan lebih dalam lagi mengenai keamanan siber dan perlindungan data pribadi agar smart airport memiliki tingkat keamanan yang tinggi untuk menjaga keberlangsungan bisnisnya. Untuk mewujudkan smart airport yang aman dengan mempertimbangkan risiko serangan siber perlunya dibuat kerangka kerja keamanan siber sebagai evaluasi untuk pengelola smart airport. Penelitian ini mengintegrasikan kerangka kerja Enisa Securing Smart Airport, NIST Cyber Security Framework dan ISO/IEC 27002:2022. Dari hasil penelitian diperoleh aktivitas yang berasal dari NIST CSF adalah 39%, aktivitas yang berasal dari ENISA Securing Smart Airport adalah 6%, dan aktivitas yang berasal dari ISO/IEC 27002:2022 adalah 17%. Diharapkan kerangka kerja smart airport ini dapat melindungi keamanan siber dengan menggunakan NIST CSF, melindungi keamanan informasi dengan menggunakan ISO 27002:20022 dan mengikuti standar keamanan airport berdasarkan ENISA Securing Smart Airport. Hasil dari penelitian ini adalah kerangka kerja keamanan siber untuk smart airport, yang diujicobakan di Bandara Internasional XYZ dengan hasil nilai kematangan 3,9 berada pada level implementasi terdefinisi.

---

This research aims to design a cyber security framework at smart. Airport to improve cyber security and prevent cyber attacks at smart airports. Airports are transforming into smart airports as airport user services continue to increase, creating an efficient, effective and comfortable travel experience for travelers. Smart airports pose new risks of cyber attacks, management of smart airports using IT and IoT technology must be managed well, namely through information technology governance that is in accordance with a framework that has been well implemented and has international standards. Apart from the information technology governance framework, futher attention needs to be paid to cyber security and personal data protection so that smart airports have a high. Level of security to maintain business continuity. To create a safe smart airport by considering the risk of cyber attacks, it is necessary to have a cyber security framework as an evaluation for smart airport managers. This research integrates the Enisa Securing Smart Airport Framework, NIST Cybersecurity Framework and ISO/IEC 27002:2022. From the research result, the activity originating from NIST CSF was 39%, from ENISA Securing Airport was 6% and from ISO/IEC 27002:2022 was 17%. The goal is a smart airport framework that can protect cyber security by using NIST CSF, protect information security by using ISO/IEC 27002:2022 and based on airport security standards by using ENISA Securing Smart Airport. The result of this research is a cybersecurity framework for smart airports, which was tested at XYZ Internasional Airport with a maturity value of 3,9 at the defined implementation level."

"Instansi XYZ adalah lembaga non kementrian yang berada di bawah Presiden dan bertanggung jawab langsung kepada Presiden. Salah satu tugas utama Instansi XYZ selain melakukan patroli keamanan dan keselamatan di laut adalah menyelenggarakan Sistem Peringatan Dini (SPD) keamanan dan keselamatan di wilayah perairan Indonesia. Didalam UU no. 32, disebutkan bahwa Instansi XYZ memiliki tugas pokok salah satunya adalah melakukan integrasi sistem peringatan dini keamanan dan keselamatan di wilayah perairan Indonesia.. Dalam rangka melakukan tugas dan fungsinya Instansi XYZ memiliki jaringan yang menggunakan Virtual Private Network (VPN) serta aktifitas lainnya yang digunakan oleh pengguna jaringan tersebut Kualitas keamanan informasi data pada Instansi XYZ perlu dilakukan peningkatan agar terjaminnya Confidentiality (Kerahasian), Integrity (Integritas), Availability (Ketersediaan). Indeks KAMI merupakan salah satu alat untuk menentukan indeks keamanan agar proses peningkatan kualitas keamanan dapat berjalan dengan efektif dan efisien. Tujuan pengukuran menggunakan Indeks KAMI pada Instansi XYZ adalah untuk menganalisis tingkat efektifitas pengamanan data dan informasi pada Instansi XYZ.Pengumpulan data dilakukan dengan melakukan pengamatan serta melakukan lembar penilaian dan wawancara. Metode yang dilakukan dalam penelitian ini adalah dengan melakukan pengukuran tingkat kematangan keamanan informasi pada Instansi XYZ dengan menggunakan Indeks KAMI dan mengevaluasi serta memberikan rekomendasi keamanan informasi dengan kerangka kerja NIST Cybersecurity Framework ISO 27001:2013 pada Instansi XYZ.Dari hasil pengukuran yang telah dilakukan pada Instansi XYZ menggunakan Indeks KAMI, diperoleh hasil bahwa instansi tersebut dikategorikan Tinggi untuk kategori sistem elektroniknya. Sedangkan hasil evaluasi akhirnya mendapatkan nilai yang “Tidak Layak”. Peneliti memberikan rekomendasi kontrol keamanan pada instansi XYZ dengan menggunakan framework NIST Cybersecurity dan ISO 27001:2013. Penggunaan kedua framework tersebut karena keduanya memiliki fleksibilitas yang dapat diterapkan pada semua jenis instansi serta dapat disesuaikan dengan kondisi sistem manajemen keamanan informasi yang ada pada instansi saat ini. Dalam penelitian ini, rekomendasi diberikan dimasing-masing area penilaian indeks KAMI dengan menggunakan kontrol keamanan NIST CSF dan ISO 27001:2013. Dari kelima area tersebut, rekomendasi prioritas berada pada area tata kelola yaitu berupa pembuatan kebijakan tentang keamanan informasi beserta turunannya dan 6 poin lainnya untuk meningkatkan tingkat kematangan sistem keamanan informasi di Instansi XYZ.

---

The Maritime Security Agency of the Republic of Indonesia (XYZ Agency) is a non-ministerial institution under the President and responsible directly to the President through the Coordinating Minister for Political Law and Human Rights (Menko Polhukam). One of XYZ Agencies main tasks apart from conducting security and safety patrols at sea is to organize a security and safety Early Warning System (SPD) in Indonesian waters. In Law no. 32, it is stated that XYZ Agency has a main task, one of which is to integrate security and safety early warning systems in Indonesian waters. In order to carry out its duties and functions XYZ Agency has a network that uses a Virtual Private Network (VPN) and other activities used by network users. The quality of data information security at XYZ Agency needs to be improved to ensure Confidentiality, Integrity, Availability. The KAMI index is one of the tools to determine the security index so that the process of improving the quality of security can run effectively and efficiently. The purpose of measurement using the KAMI Index on XYZ Agency is to analyze the level of effectiveness of data and information security at XYZ Agency.

From the results of measurements that have been carried out at XYZ Agency using the KAMI Index, the results show that the agency is categorized as High for the category of its electronic system. While the results of the evaluation finally get a value of "Not Eligible". Researchers provide recommendations for security control at XYZ agencies using the NIST Cybersecurity framework and ISO 27001:2013. The use of these two frameworks is because they have flexibility that can be applied to all types of agencies and can be adapted to the conditions of the information security management system that exists in the current agency. In this study, recommendations are given in each area of ​​the WE index assessment using NIST CSF and ISO 27001:2013 safety controls. Of the five areas, priority recommendations are in the governance area, namely in the form of making policies on information security and its derivatives and 6 other points to increase the maturity level of information security systems in XYZ Agencies."

"Keamanan informasi merupakan aspek penting dan didukung oleh laporan yang dikeluarkan oleh Internal Audit Foundation yang berjudul Risk in Focus 2024 Global Summary disebutkan bahwa risiko paling besar yang akan dihadapi di tahun 2024 adalah Cybersecurity and Data Security dengan skor 73% untuk rata-rata worldwide. Berdasarkan report yang dikeluarkan oleh International Business Machine (IBM) berjudul Cost of a Data Breach Report 2023 dibutuhkan waktu rata - rata 204 hari untuk mengetahui adanya kebocoran data yang dialami pada instansi atau organisasi terdampak, serta membutuhkan waktu 73 hari untuk menanggulangi kebocoran data tersebut. Dalam rangka mewujudkan digitalisasi tersebut dilakukan implementasi sistem Audit Management System (AMS) yang dapat mengakomodir proses audit mulai dari tahap Planning, Execution, dan Reporting serta proses tindak lanjut rekomendasi baik yang dihasilkan dari audit internal maupun audit eksternal. Penggunaan AMS tidak terlepas dari risiko, akses menuju AMS dapat dilakukan tanpa Virtual Private Network (VPN). Dalam penelitian ini dilakukan risk assessment berbasis standar ISO/IEC 27005:2022 dengan mengusulkan metode penghitungan konsekuensi berdasarkan klasifikasi data yang ada dalam sistem dan metode peghitungan kemungkinan berdasarkan proses bisnis yang memiliki dampak ke kerentanan sistem serta risiko yang perlu dimitigasi akan digunakan ISO/IEC 27002:2022 sebagai standar untuk mengantisipasi risiko yang terjadi. Hasil pemeriksaan risiko diketahui terdapat 24 risiko dengan 1 risiko level sangat tinggi, 3 risiko level tinggi, 8 risiko dengan level sedang, 11 risiko dengan level rendah, dan 1 risiko dengan level sangat rendah yang terdapat pada departemen audit internal XYZ.

---

Information security is an important aspect and supported by a report issued by the Internal Audit Foundation entitled Risk in Focus 2024 Global Summary. Biggest risk that will be faced in 2024 is Cybersecurity and Data Security with a score of 73% for the global average. Based on a report issued by International Business Machine (IBM) entitled Cost of a Data Breach Report 2023, takes an average of 204 days to find out about a data leak by an affected agency or organization, and takes 73 days to overcome the data leak. In order to realize this digitalization, an Audit Management System (AMS) system was implemented which can accommodate the audit process starting from the Planning, Execution and Reporting stages as well as follow-up process for recommendations process. Using AMS is not without risks, access to AMS can be done without a Virtual Private Network (VPN). In this research, a risk assessment was carried out based on the ISO/IEC 27005:2022 standard by proposing a method for calculating consequences based on the classification of data in the system and a method for calculating possibilities based on business processes that have an impact on system vulnerabilities and risks that need to be mitigated. ISO/IEC 27002:2022 will be used to anticipate risks. Results of the risk examination revealed that there were 24 risks with 1 very high level risk, 3 high level risks, 8 medium level risks, 11 low level risks, and 1 very low level risk in the XYZ internal audit department."

"

Peningkatan serangan siber pada infrastruktur infomasi kritikal mengharusnya setiap pemilik infratsruktur untuk berkolaborasi menghadapi berbagai serangan tersebut. Salah satu bentuk kolaborasi yang dapat dilakukan adalah melalui cybersecurity information sharing dimana setiap pemilik infratsruktur dapat memanfaatkan bersama-sama kemampuan yang dimiliki oleh setiap pemilik infratsruktur dalam menghadapi serangan siber. Berbagai grup cybersecurity information sharing telah dibentuk pada berbagai negara baik dalam lingkup nasional maupun sektoral. Di Indonesia sendiri beberapa grup cybersecurity information sharing telah diinisiasi baik secara formal maupun non-formal. Guna mendukung penyelenggaraan cybersecurity information sharing diperlukan dukungan tata kelola berupa kerangka kerja yang dapat dijadikan acuan dalam pelaksanaan cybersecurity information sharing. Penelitian ini berfokus pada melakukan pengembangan kerangka kerja cybersecurity information sharing untuk sektor infratsruktur infomasi kritikal nasional di Indonesia yang terdiri dari tiga output utama yaitu usulan ekosistem, usulan kerangka kerja dan rekomendasi implementasi kerangka kerja. Usulan kerangka kerja disusun berdasarkan beberapa standar terkait cybersecurity information sharing antara lain ISO/IEC 27032, NIST SP 800-150 dan ENISA ISAC in a Box. Usulan kerangka kerja juga didasarkan pada best practice yang dikeluarkan beberapa organisasi di bidang keamanan siber dan best practice penyelenggaraan cybersecurity information sharing pada negara-negara yang dianggap baik dalam penyelenggaraan keamanan siber antara lain Amerika Serikat, Australia, Inggris, Singapura dan Kanada serta disesuaikan dengan kondisi ekosistem keamanan siber dan pelindungan IIKN di Indoensia. Guna melakukan validasi terhadap output penelitian, digunakan metode expert judgement terhadap tiga expert di bidang keamanan siber dan pelindungan IIKN untuk mendapatkan saran perbaikan terhadap usulan kerangka kerja. Metode expert judgement juga dilakukan secara kuantitatif untuk mengukur interrater reliability antar expert terhadap rekomendasi implementasi kerangka kerja dengan menggunakan Fleis Kappa Statistic. Hasil pengukuran menunjukkan nilai kappa sebesar 0.938 yang berarti usulan rekomendasi implementasi kerangka kerja mendapatkan kesepakatan para expert judgement pada level almost perfect agreement.

---

The increase in cyber attacks on critical information infrastructure requires every infrastructure owner to collaborate against these attacks. One form of collaboration that can be done is through cybersecurity information sharing where each infrastructure owner can take advantage of the capabilities of each infrastructure owner in dealing with cyber attacks. Various cybersecurity information sharing groups have been formed in various countries, both nationally and sectorally. In Indonesia, several cybersecurity information sharing groups have been initiated both formally and informally. In order to support the implementation of cybersecurity information sharing, governance support is needed in the form of a framework that can be used as a reference in the implementation of cybersecurity information sharing. This study focuses on designing a cybersecurity information sharing framework for the national critical information infrastructure sector in Indonesia, which consists of three main outputs, namely ecosystem proposals, framework proposals and framework implementation recommendations. The proposed framework is based on several standards related to cybersecurity information sharing, including ISO/IEC 27032, NIST SP 800-150 and ENISA ISAC in a Box. The proposed framework is also based on best practices issued by several organizations in the field of cybersecurity and best practices in implementing cybersecurity information sharing in countries that are considered good in cybersecurity implementation, including the United States, Australia, England, Singapore and Canada and are adapted to conditions. cyber security ecosystem and IIKN protection in Indonesia. In order to validate the research output, the expert judgment method was used against three experts in the field of cyber security and IIKN protection to obtain suggestions for improvements to the proposed framework. The expert judgment method was also carried out quantitatively to measure interrater reliability between experts on the recommendations for implementing the framework using Fleis Kappa Statistics. The measurement results show a kappa value of 0.938, which means that the proposed framework implementation recommendation gets an agreement from the expert judges at the almost perfect agreement level.

"

"PT XYZ merupakan penyedia layanan pengelolaan dokumen tagihan, bekerjasama dengan bank-bank lokal maupun asing. Dokumen tagihan berkaitan dengan informasi pelanggan bank, sehingga keamanan informasi perlu diatur untuk memberikan layanan yang memenuhi kriteria kemanan informasi. Hasil audit kemanan informasi menunjukkan bahwa keamanan informasi PT XYZ lemah, kurang terpantau dan dievaluasi. Penelitian ini berfokus pada audit kemanan informasi sesuai ISO 27001 untuk memberikan rekomendasi kebijakan dan prosedur keamanan informasi yang kompherensif. Metodologi yang digunakan adalah penilaian, analisis risiko dan dampak, pemilihan kontrol-kontrol serta rekomendasi kebijakan dan prosedur. Hasil audit menunjukkan adanya kesenjangan antara kebijakan dan prosedut yang berlaku di PT XYZ dengan ISI 27001."