Personal Assignment 2

Money Bank adalah sebuah institusi keuangan yang berbasis pada perbankan dengan cabang tersebar di 20 negara. Kegiatan transaksi Money Bank adalah kegiatan via teller, ATM, Internet banking, dan mobile banking. Selama ini perusahaan banyak mendapatkan serangan dari para penyusup dengan berbagai maksud. Selain itu tantangan terbesar adalah bagaimana mengamankan anjungan tunai (ATM) dari para pencuri elektronis.

Anda diminta oleh manajemen perusahaan untuk membantu dalam menyelesaikan masalah keamanan dalam sistem elektronik Bank tersebut.

Pertanyaan:

1. Berikanlah usulan teknologi electronic security yang paling cocok bagi Money Bank. Jelaskan dan lakukan perbandingan dengan teknologi sekelas yang ada!

2. Misalkan Anda diminta untuk melakukan 12 langkah Vital Records Protection. Jelaskan secara rinci kedua belas program tersebut!

3. Jelaskan risk assessment dari Money Bank dengan menggunakan kerangka di bawah ini!Jawab.Pengantar :Untuk meningkatkan loyalitas nasabah, Bank harus memiliki layanan IT yaitu layanan yang diberikan oleh Bank untuk dapat menjangkau seluruh nasabahnya. layanan IT merupakan produk layanan 24 jam yang dapat dinikmati oleh para nasabahnya. Produk tersebut antara lain :

1. Call center2. Internet Banking3. ATM4. Mobile Banking5. Electronic Data Capture (EDC)

Akan tetapi, pemanfaatan produk layanan IT tersebut memiliki risiko yang dapat mempengaruhi layanan. Identifikasi risiko dilakukan dengan menggunakan teknik Failure Mode and Effects Analysis (FMEA) dan terangkum pada pembahasan berikut.1. Koordinasi Call dengan Sistem Perbankan.

Risiko yang mungkin terjadi adalah koordinasi antara Call center dengan Sistem Bank . Permasalahan yang pernah terjadi adalah pembobolan rekening nasabah oleh orang lain yang memanfaatkan celah koordinasi tersebut. Kasus ini tentu saja akan mengurangi kepercayaan nasabah terhadap layanan yang diberikan oleh bank, sehingga nasabah akan berpikir untuk memilih bank lain yang dapat memberikan kenyamanan. Penanggulangan yang dilakukan oleh Bank adalah melakukan ganti rugi terhadap nasabah dan memberikan jaminan bahwa hal serupa tidak akan terjadi lagi. Dan selain itu, Bank harus menerapkan sistem terintegrasi yang dapat menjamin koordinasi setiap teknologi IT yang digunakan.

2. Internet Banking Risiko yang muncul dari internet banking adalah jika layanan internet banking tidak dapat diakses oleh nasabah sehingga akan mempengaruhi transaksi perbankan dan kepercayaan nasabah terhadap layanan yang diberikan oleh Bank. Permasalahan yang mungkin terjadi adalah kadaluarsanya situs Bank sehingga situs tersebut tidak dapat diakses. Penanggulangan yang dilakukan oleh Bank adalah secepat mungkin melakukan pembayaran perpanjangan penggunaan domain tersebut, sehingga internet banking dapat digunakan kembali. Selain itu, perlu adanya sebuah bagian untuk mengurusi situs tersebut agar kejadian serupa tidak terulang lagi.

3. Kesalahan Sistem ATM Risiko yang mungkin terjadi dari ATM adalah kesalahan sistem ATM dan pembobolan A T M itu sendiri Permasalahan yang terjadi adalah terpotongnya saldo nasabah di mesin ATM ketika melakukan penarikan tunai tetapi nasabah tidak mendapatkan uang yang ditarik tersebut. Permasalahan lainnya adalah transfer uang anta rekening yang tidak sampai ke tujuan tetapi saldo tabungan telah terpotong, pemblokiran kartu ATM tanpa konfirmasi, tertelannya kartu ATM dan cara penanggulangan yang berbelit belit. Hal-hal tersebut tentu akan mempengaruhi kepuasan dan kenyamanan pelanggan sehingga dapat mempengaruhi transaksi perbankan yang akan terjadi. Solusi yang mungkin adalah penerapan pelayanan pengaduan dan penanggulangan yang efektif untuk meningkatkan kualitas pelayanan bank.

4. Permasalahan Kartu Kredit

Risiko yang mungkin terjadi dari kartu kredit adalah kredit macet atau nasabah tidak membayar tagihan, dan laporan ke nasabah mengenai bunga kartu kredit. Permasalahan yang telah terjadi adalah aktivasi kartu kredit yang membingungkan, bunga kartu kredit yang tidak transparan. Kasus tersebut dapat memberikan kesan buruk bagi nasabah, sehingga dapat mempengaruhi minat nasabah untuk menggunakan layanan kartu kredit Banki. Solusinya adalah Bank memberikan surat keterangan tagihan disertai dengan rincian bunga kartu kredit.

Perlakuan Risiko

Perlakuan risiko yang paling tepat dalam mengatasi permasalahan yang sesuai dengan pembahasan diatas adalah dengan mitigasi, yaitu melakukan perlakuan risiko untuk mengurangi kemungkinan munculnya risiko, atau mengurangi dampak risiko jika terjadi, atau mengurangi keduanya yaitu kemungkinan dan dampak. Beberapa metode untuk melakukan mitigasi antara lain dengan menggunakan Ishikawa diagram, FMEA serta perbaikan prosedur dan kebijakan. Kegiatan pengendalian ini merupakan salah satu metode yang penting dalam melakukan mitigasi risiko. Beberapa bentuk kegiatan pengendalian antara lain adalah review oleh manajemen puncak, review oleh atasan, pemisahan tugas dan tanggung jawab, pemeriksaan secara fisik, pemantauan indikator kinerja atau proses, serta pelatihan dan pendidikan untuk meningkatkan keterampilan. Risiko memang tidak dapat ditolak, tetapi akan lebih baik jika perusahaan lebih siap untuk menghadapinya.

PERTANYAAN !1. Berikanlah usulan teknologi electronic security yang paling cocok bagi Money Bank.

Jelaskan dan lakukan perbandingan dengan teknologi sekelas yang ada!

JAWABAN

usulan teknologi electronic security yang paling cocok bagi Money Bank :

Software-Based Systems

Digital Signature

Digital Signature pertama kali diusulkan pada tahun 1976 oleh Whitfield Duffie, di

Stanford University. Digital Signature mengubah pesan yang ditandai sehingga siapa pun

yang membacanya bisa tahu siapa yang mengirimnya. Penggunaan Digital Signature

menggunakan kunci rahasia (private key) yang digunakan untuk menandai pesan dan

public key untuk memverifikasi mereka. Pesan dienkripsi dengan private key hanya dapat

diverifikasi oleh public key. Mustahil untuk prang yang berbeda mempunyai digital

signature yang sama, karena ia adalah satu-satunya orang dengan akses ke private key

yang diperlukan untuk membuat digital signature, namun, adalah mungkin untuk

menerapkan digital signature untuk sebuah pesan tanpa di enkripsi.

Secure Electronic Transaction (SET)

SET software merupakan standar global untuk pembayaran secure card di Internet, yang

digunakan oleh berbagai perusahaan internasional seperti Visa MasterCard, IBM,

Microsoft, Netscape Communications Corp, GTE, SAIC, Terisa Systems dan Verisign.

SET menjamin keamanan transaksi elektronis secara online yang menggunakan secure

card. SET mengadopsi enkripsi public key RSA untuk menjamin kerahasiaan pesan.

Selain itu, sistem ini menggunakan sepasang unique public/ private key untuk membuat

digital signature. Perhatian utama untuk transaksi tidak hanya untuk menjamin privasi

data sewaktu dalam transit, tetapi juga membuktikan keaslian data baik dari sisi pengirim

dan penerima yang mengklaim(proses authentication). SET memiliki kemampuan untuk

memungkinkan pembayaran tidak hanya yang berbasis kartu. Proses di SET tidak

spesifik hanya untuk transaksi kartu karena proses di SET itu generik: otentikasi,

sertifikasi, enkripsi, dan sebagainya.

Pretty Good Privacy (PGP)

Pretty Good Privacy (PGP), diciptakan oleh Philip Zimmermann, adalah cryptosystem

hybrid yang menggabungkan public key (asimetris) algoritma, dengan private key

konvensional (simetris) algoritma enkripsi untuk memberikan menggabungkan kecepatan

kriptografi konvensional dengan mengambil keuntungan public key kriptografi.

Kerberos

Kerberos dinamai dari pengawas berkepala tiga dari mitologi Yunani dan Kerberos

adalah salah satu yang paling dikenal dari private-key teknologi enkripsi. Kerberos

menciptakan paket data dienkripsi, disebut ticket, yang aman mengidentifikasi pengguna.

Untuk melakukan transaksi, sistem menghasilkan suatu ticket sewaktu serangkaian pesan

berkode membuat pertukaran dengan server Kerberos, yang berada di antara dua sistem

komputer. Kedua sistem berbagi private dengan server Kerberos untuk melindungi

informasi dari hacker dan untuk menjamin bahwa data belum diubah selama transmisi.

Hardware-Based Systems

Smartcard System

Smartcard System adalah sebuah alat mekanik yang memiliki informasi yang dikodekan

pada sebuah chip kecil pada sebuah kartu dan dengan identifikasi berupa algoritma

berdasarkan urutan asimetris. Setiap chip pada Smartcard yang unik dan terdaftar ke satu

pengguna tertentu, yang membuat mustahil bagi virus untuk menembus chip dan

mengakses data rahasia.

MeCHIP

MeCHIP yang dikembangkan oleh ESD terhubung langsung ke “keyboard PC”

menggunakan koneksi dipatenkan. Semua informasi yang perlu diamankan dikirim

langsung ke MeCHIP tersebut, menghindari mikroprosesor PC rentan klien. Kemudian

informasi tersebut ditandatangani dan dikirim ke bank dalam bentuk kode aman. Sebuah

saluran, tertutup aman dari klien ke bank diasumsikan dalam kasus ini.

PERTANYAAN !

1. Misalkan Anda diminta untuk melakukan 12 langkah Vital Records Protection. Jelaskan secara rinci kedua belas program tersebut!

JAWABAN1. Mengidentifikasi Catatan Penting

Tahap pertama dalam melindungi catatan penting adalah untuk mengidentifikasi apa yang

penting bagi perusahaan, baik catatan manual sampai ke catatan elektronik.

Ada beberapa cara yang digunakan untuk mengidentifikasi catatan penting :

- Menilai strategi kelangsungan bisnis dan memulai kembali perencanaan, karena beberapa

catatan penting akan di identifikasi untuk mengembalikan fungsi kritis dalam bisnis.

- Menilai penilaian risiko, karena beberapa catatan penting akan di identifikasi kembali untuk

mencegah risiko yang kritis.

- Menilai bagan perusahaan dan dokumentasi terkait untuk mengidentifikasi fungsi-fungsi

yang vital bagi perusahaan.

- Menilai fungsi dan catatan sebagai bagian dari proses penyusunan retensi dan pembuangan

otoritas atau mengkoordinasikan retensi berorientasi tidakan manajemen untuk catatan

dalam format apapun, dan

- Meninjau dokumentasi perusahaan.

2. Melindungi Catatan Penting

Setelah diidentifikasi, maka catatan penting perlu dilindungi melalui perencanaan

penyusunan strategi dalam menghadapi bencana. Adapun rencananya yaitu :

- Memastikan bahwa operasi darurat harus selalu siap siaga dalam perlindungan catatan

penting untuk kelangsungan kegiatan bisnis yang penting saat bencana akan datang di

tempat relokasi atau tempat perusahaan berdiri.

- Hak dan kepentingan melalui pelestarian cacatan penting untuk hak-hak hukum dan

kepentingan warga negara dan pemerintah selatan baru wales.

- Memastikan bahwa cacatan penting dievaluasi berdasarkan kecukupan mereka dalam

memfasilitasi operasi darurat atau dalam melindungi hak-hak dan kepentingan warga dan

pemerintah.

- Menggunakan teknik kontrol untuk memastikan bahwa catatn yang dibutuhkan tersedia di

tempat rrelokasi.

- Memastikan bahwa catatan akan mudah dan dapat dipelihara dalam kondisi yang sedang

digunakan.

- Memastikan bahwa alat bantu temuan yang diperlukan tersedia di situ, dan

- Memastikan bahwa persediaan saat ini catatan yang terletak di lokasi yang mudah di akses.

Dalam melindungi catatan penting harus mencakup yaitu :

- Langkah-langkah untuk mencegah atau meminimalkan dampak dari peristiwa bencana alam

- Pemulihan dan restorasi tindakan jika bencana tidak terjadi, dan

- Perlindungan data penting ketika terjadi bencana alam.

3. Merancang keamanan di kantor publik.

Bagian ini dirancang untuk memberikan arahan mengenai identifikasi dan melindungi

catatan penting dan bagaimana standar persyaratan dapat diterapkan untuk jabatan public

kecil.

Bahwa catatan penting mungkin dalam format media atau text. Ataupun catatan tersebut

masih aktif atau tidak aktif.

berwenang untuk mengambil catatan (termasuk keamanan dinilai material)

dapat mengakses area penyimpanan (dengan kunci, kartu kunci, kode entri, menimpa

darurat atau pengetahuan switch release) dan,

dapat menggunakan peralatan yang dibutuhkan untuk mengambil catatan (komputer,

peralatan mikrofilm, tangga, troli, forklift).

4. Mengidentifikasi standar penerapan di beberapa lokasi kantor publik

Bagian ini dirancang untuk memberikan panduan tentang bagaimana mengidentifikasi dan

melindungi catatan penting dan bagaimana persyaratan standar dapat diterapkan untuk

jabatan publik di beberapa lokasi. Konsep beberapa lokasi dapat mencakup kantor-kantor

pusat, kantor wilayah dan atau kantor lokal.

Koordinasi yang di perlukan untuk seluruh gagasan yang sepenuhnya dirancang oleh

beberapa kantor pusat namun dapat menyebabkan program catatan penting cacat. Proses

perancangan ini harus melibatkan upaya bersama untuk :

mengidentifikasi catatan penting bersama dengan dependensi untuk data penting

mengidentifikasi sumber daya minimum dan konfigurasi peralatan yang dibutuhkan untuk

mengakses / membaca catatan penting dalam berbagai format, dan

menerapkan perlindungan yang tepat dan pilihan pemulihan.

5. Melakukan Persiapan di kantor publik

Dalam melakukan perekaman catatan penting perlu di persiapkan dari mulai kantor publik

dengan memilih data-data yang dianggap masih aktif dan penting untuk memberikan

informasi pada kantor pusat.

6. Mengembangkan metode untuk melindungi dan pelestarian catatan penting

7. Melakukan analisis terhadap ancaman dan risiko

8. Melakukan program manajemen catatan resmi

Program ini dilakukan untuk membentuk manajemen catatan resmi yang terdiri dari

beberapa orang khusus yang bertugas untuk menjaga rekaman catatan penting. Manajemen

catatan resmi ini di bentuk dengan divisi-divisi yang berada pada kantor pusat dan publik.

Sehingga orang yang tidak berhak mengamankan catatan penting tidak akan mengetahui

dimana penyimpanan rekaman catatan penting tersebut.

9. Melakukan rekap dan penggandaan data

Untuk melakukan rekap data atau catatan penting bisa dilakukan menggunakan proses

penyimpanan di komputer. Dan penggandaan catatan penting bisa dilakukan dengan

menggunakan mesin potocopy atau fax. Tentunya semua catatan penting yang telah di rekap

dan ataupun di gandakan harus tetap dirahasikan.

10. Pemanfaatan perusahaan jasa pengarsipan.

11. Pemilihan media penyimpanan

Tidak semua catatan penting yang harus disimpan dalam bentuk digital, namun ada juga catatan penting yang di simpan dalam bentuk kertas. Sehingga dalam mengamankan rekaman catatan penting harus dilakukan pemilihan, manakah yang perlu disimpan dalam bentuk digital dan manakah catatan penting yang perlu di simpan dalam bentuk kertas. Namun lebih murah dan simpel menyimpan catatan penting dalam bentuk kertas dibandingkan menyimpan catatan penting dalam bentuk digital.

12. Melakukan Implementasi dan Pengujian

3.. Jelaskan risk assessment dari Money Bank dengan menggunakan kerangka di bawah ini!

JAWAB

3. Penjelasan dari kerangka diatas mengenai risk assessment dari Money Bank

Langkah 1. Karakterisasi system (System Characterization)

Langkah pertama dalam menilai risiko adalah untuk menentukan ruang lingkup usaha. Untuk melakukan hal ini, mengidentifikasi di mana dibuat, diterima, dipelihara, diproses, atau ditransmisikan. Menggunakan teknik pengumpulan informasi, batasan sistem TI diidentifikasi, serta sumber daya dan informasi yang merupakan bagian dari sistem. Mempertimbangkan kebijakan , hukum, tenaga kerja dan telecommuters, dan media removable dan perangkat komputasi portabel (misalnya, laptop, media removable, dan media backup). Output - Karakterisasi dari sistem TI dinilai, gambar yang bagus dari lingkungan sistem IT, dan batas sistem.

Langkah 2. Identifikasi ancaman (Threat source identification)

Untuk langkah ini, potensi ancaman (potensi sumber ancaman untuk berhasil melaksanakan kerentanan tertentu) diidentifikasi dan didokumentasikan. Sumber ancaman adalah setiap keadaan atau peristiwa dengan potensi untuk menyebabkan kerusakan pada sistem IT (disengaja atau tidak disengaja). Sumber ancaman secara umum dapat dari alam, manusia, atau pertimbangan lingkungan. semua potensi ancaman - sumber, melihat kembali kejadian sebelumnya dan data dari badan-badan intelijen, pemerintah, dll, membantu menghasilkan item untuk dimasukkan pada daftar. Daftar berdasar pada organisasi secara individu dan pengolahan lingkungan. Output - Sebuah pernyataan ancaman yang berisi daftar ancaman - sumber yang dapat mengeksploitasi sistem kerentanan.

Langkah 3. Identifikasi kerentanan ( Vulnerability Identification)

Tujuan dari langkah ini adalah untuk mengembangkan daftar kerentanan sistem teknis dan non-teknis (kekurangan atau kelemahan) yang dapat dimanfaatkan atau dipicu oleh sumber-sumber ancaman - potensial. Kerentanan dapat berkisar dari kebijakan yang tidak lengkap atau bertentangan yang mengatur penggunaan komputer organisasi untuk perlindungan memadai untuk melindungi fasilitas peralatan komputer ke sejumlah perangkat lunak, perangkat keras, atau kekurangan lain yang terdiri dari jaringan komputer organisasi. Output - Sebuah daftar kerentanan sistem (pengamatan) yang dapat dieksekusi oleh sumber ancaman-potensial.

Langkah 4. Analisis pengendalian (Control Analysis )

Tujuan dari langkah ini adalah untuk mendokumentasikan dan menilai efektivitas pengendalian teknis dan non-teknis yang telah atau akan dilaksanakan oleh organisasi untuk meminimalkan atau menghilangkan kemungkinan (probabilitas atau) dari sumber ancaman - mengeksploitasi kerentanan sistem. Output - Daftar kontrol saat ini atau yang direncanakan (kebijakan, prosedur, pelatihan, mekanisme teknis, asuransi, dll) yang digunakan untuk sistem TI untuk mengurangi kemungkinan kerentanan yang dilakukan dan mengurangi dampak seperti sebuah peristiwa yang merugikan.

Langkah 5. Penentuan kemungkinan (Probability)

Tujuan dari langkah ini adalah untuk menentukan nilai keseluruhan kemungkinan yang menunjukkan kemungkinan bahwa kerentanan dapat dimanfaatkan oleh sumber ancaman yang diberikan kontrol keamanan yang ada atau yang direncanakan. Output - Kemungkinan rating rendah (.1), menengah (.5), atau tinggi (1). Rujuk ke SP NIST 800-30 definisi rendah, menengah, dan tinggi.

Langkah 6. Analisis Dampak ( Impact Analysis )

Tujuan dari langkah ini adalah untuk menentukan tingkat dampak negatif yang akan dihasilkan dari ancaman berhasil mengeksploitasi kerentanan. Faktor data dan sistem untuk mempertimbangkan harus mencakup pentingnya misi organisasi, kepekaan dan kekritisan (nilai atau kepentingan), biaya yang terkait, hilangnya kerahasiaan, integritas, dan ketersediaan sistem dan data. Output - Besaran Peringkat dampak rendah (10), menengah (50), atau tinggi (100). Rujuk ke SP NIST 800-30 definisi rendah, menengah, dan tinggi.

Langkah 7. Penentuan risiko (Risk Determination)

Dengan mengalikan peringkat dari penentuan kemungkinan dan analisis dampak, tingkat resiko ditentukan. Ini merupakan derajat atau tingkat risiko yang bersistem TI, fasilitas, atau prosedur mungkin terkena jika kerentanan yang diberikan telah dieksekusi. Peringkat risiko juga menyajikan tindakan manajemen senior (pemilik misi) yang harus diambil untuk setiap tingkat risiko. Output - Risiko tingkat rendah (1-10), menengah (> 10-50) atau tinggi (> 50-100). Rujuk ke SP NIST 800-30 definisi rendah, menengah, dan tinggi.

Langkah 8. Rekomendasi kontrol (Control Recomendation)

Tujuan dari langkah ini adalah untuk mengidentifikasi kontrol yang dapat mengurangi atau menghilangkan risiko yang teridentifikasi, sesuai dengan operasi organisasi. Tujuan dari kontrol ini adalah untuk mengurangi tingkat risiko terhadap sistem dan data ke tingkat yang dapat diterima. Faktor-faktor yang perlu dipertimbangkan ketika mengembangkan kontrol mungkin termasuk efektivitas atas

pilihan yang direkomendasikan (yaitu, kompatibilitas sistem), undang-undang dan peraturan, kebijakan organisasi, dampak operasional, dan keselamatan dan keandalan. Rekomendasi kontrol memberikan masukan untuk proses mitigasi risiko, di mana kontrol direkomendasikan keamanan prosedural dan teknis dievaluasi, diprioritaskan, dan diimplementasikan. Output - Rekomendasi kontrol(s) dan solusi alternatif untuk mengurangi risiko.

Langkah 9. Dokumentasi hasil (Result Documentation)

Hasil dari penilaian risiko yang didokumentasikan dalam laporan resmi atau briefing dan diberikan kepada manajemen senior (pemilik misi) untuk membuat keputusan tentang kebijakan, prosedur, anggaran, dan sistem perubahan operasional dan manajemen. Output - Sebuah laporan penilaian risiko yang menggambarkan ancaman dan kerentanan, mengukur risiko, dan memberikan rekomendasi untuk pelaksanaan kontrol. Setelah menyelesaikan proses sembilan langkah penilaian risiko, langkah berikutnya adalah mitigasi risiko. Mitigasi risiko melibatkan memprioritaskan, mengevaluasi, dan menerapkan sesuai mengurangi risiko kontrol direkomendasikan dari proses penilaian risiko.

YULYANTO

MTI OL 1412401041