Hasil Pencarian  ::  Simpan CSV :: Kembali

"Sebagai perusahaan yang bergerak di bidang telekomunikasi, PT. XYZ harus memastikan bahwa mereka memiliki kemampuan yang memadai untuk melindungi data sensitif perusahaan dan pelanggannya. Meskipun berbagai sistem dan proses keamanan informasi sudah tersedia, sumber daya manusia masih merupakan mata rantai terlemah dalam keamanan siber. Metode bekerja Work From Home pada era New Normal membuat ancaman siber semakin besar. Pada dasarnya, Information Security Awareness (ISA) menunjukkan apakah pengguna menyadari tujuan dari keamanan informasi atau tidak. Dengan menggunakan skenario simulasi phishing assessment, penelitian ini menguji tingkat ISA karyawan PT. XYZ dan bagaimana edukasi ISA dapat meningkatkan tingkat kesadaran mereka. Hasil simulasidibandingkan antara sebelum dan sesudah mereka menerima edukasi ISA dalam skala prosentase. Hasil penelitian menunjukkan adanya dampak yang positif setelah edukasi diberikan. Karyawan yang mengklik URL phishing sebelum edukasi mencapai 31% berkurang menjadi 11% setelah edukasi. Sementara itu, karyawan yang terkena phishing menurun dari 24% menjadi 4%.

---

As a company that is operating in the telecommunication sector, PT. XYZ must ensure that they have adequate capabilities to protect their company’s and customers’ sensitive data. Although various information security systems and processes are already in place, human resources still are the weakest link in cyber security. The new method of Work From Home in the New Normal era makes the threat even larger. Basically, Information Security Awareness (ISA) denotes whether or not users are aware of information security objectives. Using a phishing scenario, this study examined the level of ISA of PT. XYZ employees and how ISA training might improve their awareness

level. The simulation outcomes were compared to the results before and after they received ISA education on a percentage scale. The results showed that there was a positive impact after ISA education was given. Employees who clicked on phishing URLs before training reached 31% reduced to 11% after training. Meanwhile, employees affected by phishing decreased from 24% to 4%."

"Permasalahan dalam keamanan informasi sebuah instansi pemerintah tidak hanya berkaitan dengan permasalahan teknis, tetapi juga berkaitan dengan sumber daya manusia yang merupakan unsur penting dalam sebuah instansi. Pada tanggal 30 April 2018, Direktorat Jenderal Pajak Kementerian Keuangan mengeluarkan surat pengumuman kepada masyarakat untuk mewaspadai penipuan yang sedang beredar dalam bentuk phishing yang mengatasnamakan Direktorat Jenderal Pajak. Hal ini menunjukkan betapa pentingnya edukasi keamanan informasi kepada masyarakat, khususnya pegawai instansi pemerintah yang sering bersinggungan dengan data pemerintah yang bersifat rahasia. Penelitian ini bertujuan untuk mengukur tingkat kesadaran keamanan informasi pegawai di instansi pemerintah dengan mengambil studi kasus pada Direktorat Jenderal Perbendaharaan. Penelitian ini menggunakan dua metode, pendekatan perilaku melalui phishing assessment dan pendekatan pengetahuan melalui kuesioner dengan skala Likert. Hasil simulasi dianalisis pada skala persentase dan dibandingkan dengan hasil kuesioner untuk menentukan tingkat kesadaran keamanan informasi pegawai dan menentukan metode mana yang terbaik. Hasil menunjukkan hubungan yang signifikan antara hasil simulasi dan hasil kuesioner. Di antara pegawai yang membuka email, 80% mengklik tautan yang mengarah ke halaman kamuflase dan melalui kuesioner, ditemukan bahwa tingkat kesadaran keamanan informasi pegawai Ditjen Perbendaharaan berada pada level 79,32% yang merupakan batas bawah dari kategori BAIK.

---

As an important institutional element, government information security is not only related to technical issues but also to human resources. Various types of information security instruments in an institution cannot provide maximum protection as long as employees still have a low level of information security awareness.

This study aims to measure the level of information security awareness of government employees through case studies at the Directorate General of Treasury (DG Treasury) in Indonesia. This study used two methods, behavior approach through phishing simulation and knowledge approach through a questionnaire on a Likert scale.

The simulation results were analyzed on a percentage scale and compared to the results of the questionnaire to determine the level of employees information security awareness and determine which method was the best. Results show a significant relationship between the simulation results and the questionnaire results. Among the employees who opened the email, 80% clicked on the link that led to the camouflage page and through the questionnaire, it was found that the information security awareness level of DG Treasury employees was at the level of 79.32% which was the lower limit of the GOOD category."

"Dalam keamanan informasi, aspek paling kompleks seperti sosioteknis dan faktor manusia, masih menjadi “rantai terlemah” dan paling sulit dipahami dalam menciptakan lingkungan digital yang aman. Sehingga, evaluasi kesadaran keamanan perlu dilakukan berkala untuk memastikan bahwa seluruh anggota Settama Badan XYZ, yang setiap harinya memiliki tugas dan tanggung jawab terhadap pengelolaan data strategis organisasi, dapat memahami risiko keamanan hingga konsekuensi dari perilaku/tindakan yang dilakukan di pekerjaan. Tujuan penelitian ini adalah untuk mengevaluasi kesadaran keamanan informasi personel Settama Badan XYZ. Penelitian dilakukan dengan pendekatan kuantitatif melalui kuesioner dan eksperimen melalui simulasi phishing. Kuesioner yang digunakan mengadopsi framework Knowledge, Attitude, dan Behavior (KAB), yang dikombinasikan dengan Human Aspects of Information Security Questionnaire (HAIS-Q), Indeks KAMI, dan masukan pakar dengan total 81 pertanyaan. Sedangkan untuk pendekatan eksperimen menggunakan framework dan simulator Gophish. Sampel penelitian adalah pegawai Settama Badan XYZ yang dipilih secara acak, dengan jumlah 200 orang untuk pengisian kuesioner dan 100 orang untuk simulasi phishing. Sebelum dilakukan perhitungan skor akhir, dilakukan kalkulasi pembobotan prioritas dengan pendekatan analytic hierarchy process (AHP), untuk setiap fokus dan subfokus area yang diteliti. Skor akhir kesadaran keamanan informasi pegawai Sekretariat Utama adalah 83,74%, dan dapat dikategorikan baik berdasarkan skala Kruger. Namun, masih terdapat dua fokus area yang berada dalam kategori menengah, yaitu penggunaan internet (77,73%) dan komputasi seluler (76,21%), serta satu subfokus area yaitu mengklik tautan e-mail dari pengirim yang dikenal (62,04%). Di sisi lain, hasil simulasi phishing menunjukkan success rate yang cukup tinggi untuk kedua skenario simulasi. Pada skenario simulasi pertama, diantara 30 pegawai yang membuka e-mail, 100% pegawai (30 orang) mengklik link umpan ke landing page decoy, dan 80% pegawai (24 orang) mengisikan kredensial mereka disana. Sedangkan pada skenario kedua, masih ditemukan 95,5% pegawai (21 orang) diantara 22 pegawai yang membuka e-mail, mengklik link umpan ke landing page decoy, dan 45,5% pegawai (10 orang) memasukkan kredensial mereka. Perbedaan pada hasil kuesioner dan hasil simulasi menunjukkan bahwa masih terdapat gap antara pengetahuan, sikap, dan perilaku pegawai Settama Badan XYZ. Terlihat bahwa pegawai sebenarnya telah memiliki pondasi pengetahuan dan pemahaman yang baik terkait cybersecurity/information security awareness, namun belum benar-benar termanifestasi dalam bentuk tindakan/perilaku saat di pekerjaan.

---

In information security, the most complex aspects, such as sociotechnical and human factors, are still the “weakest link” and most difficult to understand when creating a secure digital environment. Thus, security awareness evaluations need to be carried out periodically to ensure that all personnels of the Principal Secretariat of XYZ Agency, who have duties and responsibilities for managing the organization's strategic data every day, could understand security risks and the consequences of behavior/actions established inherently at work. Therefore, the purpose of this research is to evaluate the information security awareness of The Principal Secretariat’s personnel. The study was carried out using a quantitative and experimental-based approach through questionnaires and phishing simulations, respectively. Our questionnaire used the Knowledge, Attitude and Behavior (KAB) framework, which was then combined with the Human Aspects of Information Security Questionnaire (HAIS-Q), the KAMI Index, and expert’s input with a total of 81 questions. At the same time, the experimental approach used the open-source Gophish framework and simulator. The research sample was XYZ agency’s Principal Secretariat employees who were randomly selected, with 200 personnels to fill out the questionnaire and 100 personnels for the phishing simulation. Before calculating the final score, priority weighting calculations were first carried out using the analytic hierarchy process (AHP) approach, for each focus and sub-focus area used in this study. The final score for information security awareness of Principal Secretariat’s employees is then calculated using a simple scorecard method, resulted in 83.74%, thus can be categorized as good based on the Kruger scale. However, there are still two focus areas classified in the middle category, namely internet use (77.73%) and mobile computing (76.21%), as well as one sub-focus area, namely clicking on e-mail links from known senders (62, 04%). On the other hand, the phishing simulation results show a fairly high success rate for both scenarios. In the first simulation scenario, among 30 employees who opened e-mail, 100% of employees (30 personnels) clicked on the false link to the decoy landing page, and 80% of employees (24 personnels) actually filled in their credentials. Meanwhile, in the second scenario, it was still found that 95.5% of employees (21 personnels) among 22 employees who opened the e-mail, clicked on the fake link to the decoy landing page, and 45.5% of employees (10 personnels) still entered their credentials. The difference between the results of the questionnaire and the simulation shows that there is still a gap between the knowledge, attitudes and actual behavior of XYZ agency’s Principal Secretariat employees. It is shown that employees can in fact, have sufficient amount of knowledge and understanding regarding cybersecurity/information security awareness, but at the same time, couldn’t apply those knowledge in the form of actions during work."