Uploaded by andiahmadtaufiq06

Information Security

advertisement
Kelas : Tekom F
Nama : Andi Ahmad Taufiq
NIM : 220210502011
Soal.
Berikut adalah soal-soal ujian Keamanan Informasi dengan menggunakan metode HOTS
(Higher Order Thinking Skills) yang menuntut pemikiran tingkat tinggi seperti
menganalisis, mengevaluasi, dan mencipta:
1. Analisislah kasus peretasan data yang terjadi pada sebuah perusahaan besar.
Identifikasi kelemahan keamanan apa saja yang menyebabkan peretasan tersebut
terjadi dan berikan rekomendasi langkah-langkah preventif yang dapat diambil
untuk mencegah insiden serupa di masa mendatang.
2. Evaluasi keamanan sistem informasi yang digunakan di institusi Anda saat ini.
Berikan penilaian terhadap kekuatan dan kelemahan sistem tersebut, serta usulan
perbaikan yang dapat dilakukan untuk meningkatkan keamanannya.
3. Rancanglah sebuah kebijakan keamanan informasi yang komprehensif untuk
sebuah perusahaan startup di bidang fintech. Kebijakan tersebut harus mencakup
aspek-aspek penting seperti pengelolaan akses, enkripsi data, pelatihan
keamanan bagi karyawan, dan prosedur tanggap insiden.
4. Analisislah kasus serangan ransomware yang menyerang sebuah rumah sakit
besar. Jelaskan bagaimana serangan tersebut dapat terjadi, dampak yang
ditimbulkan, dan strategi yang dapat diambil oleh pihak rumah sakit untuk
memulihkan sistem mereka serta mencegah serangan serupa di masa depan.
5. Buatlah sebuah proposal untuk mengimplementasikan sistem autentikasi multifaktor di lingkungan kampus Anda. Jelaskan alasan pentingnya sistem tersebut,
metode autentikasi yang akan digunakan, serta tantangan dan solusi yang
mungkin dihadapi dalam penerapannya.
6. Evaluasi keamanan aplikasi mobile banking yang sering Anda gunakan.
Identifikasi potensi kerentanan keamanan yang mungkin ada dan berikan
rekomendasi perbaikan yang dapat dilakukan oleh pihak bank atau pengembang
aplikasi untuk memperkuat keamanan aplikasi tersebut.
7. Rancanglah sebuah program pelatihan keamanan informasi bagi karyawan di
sebuah perusahaan. Program tersebut harus mencakup materi pelatihan, metode
penyampaian, serta mekanisme evaluasi untuk mengukur efektivitas pelatihan
tersebut.
8. Analisislah kasus pelanggaran keamanan informasi yang terjadi di sebuah instansi
pemerintah, di mana data rahasia bocor ke pihak yang tidak berwenang.
Identifikasi faktor-faktor yang menyebabkan pelanggaran tersebut terjadi, dan
berikan rekomendasi langkah-langkah yang harus diambil untuk mencegah
insiden serupa di masa mendatang.
Jawaban :
1. Analisis Kasus Peretasan Data Perusahaan Besar
Kasus: kebocoran data Tokopedia pada Mei 2020, di mana 91 juta data pengguna
diduga bocor. Data yang bocor tersebut termasuk nama, alamat, nomor telepon,
email, dan kata sandi.
Kelemahan Keamanan:
Berdasarkan berbagai sumber, beberapa kelemahan keamanan yang diduga
menjadi penyebab kebocoran data Tokopedia antara lain:
 Kelemahan pada sistem autentikasi: Diduga sistem autentikasi Tokopedia
memiliki celah keamanan yang memungkinkan peretas untuk mengambil
alih akun pengguna dengan mudah.
 Penggunaan kata sandi yang lemah: Banyak pengguna Tokopedia yang
menggunakan kata sandi yang lemah dan mudah ditebak, sehingga
memudahkan peretas untuk membobol akun mereka.
 Kurangnya edukasi keamanan data kepada pengguna: Tokopedia diduga
kurang memberikan edukasi kepada penggunanya tentang pentingnya
keamanan data dan bagaimana cara melindungi data mereka.
 Ketidakcukupan pengamanan data: Tokopedia diduga tidak memiliki
pengamanan data yang memadai untuk melindungi data penggunanya.
Rekomendasi Langkah-langkah Preventif:
Berdasarkan analisis kasus di atas, berikut beberapa langkah preventif yang
dapat diambil untuk mencegah insiden serupa di masa depan:
 Meningkatkan sistem autentikasi: Tokopedia perlu meningkatkan sistem
autentikasinya dengan menggunakan metode autentikasi yang lebih kuat,
seperti autentikasi dua faktor (2FA).
 Menerapkan kebijakan kata sandi yang kuat: Tokopedia perlu menerapkan
kebijakan kata sandi yang kuat, seperti mewajibkan pengguna untuk
menggunakan kata sandi yang panjang dan kompleks, serta tidak
menggunakan kata sandi yang sama untuk berbagai akun.
 Meningkatkan edukasi keamanan data kepada pengguna: Tokopedia perlu
meningkatkan edukasi kepada penggunanya tentang pentingnya
keamanan data dan bagaimana cara melindungi data mereka. Hal ini dapat
dilakukan melalui berbagai media, seperti website, email, dan media sosial.
 Memperkuat pengamanan data: Tokopedia perlu memperkuat
pengamanan datanya dengan menerapkan berbagai langkah, seperti
enkripsi data, kontrol akses yang ketat, dan audit keamanan data secara
berkala.
2. Evaluasi Keamanan Sistem Informasi Universitas Negeri Makassar (UNM)
Kekuatan:
 Penerapan Sistem Informasi Akademik (SIA): SIA UNM menyediakan
platform terpusat untuk mengelola data akademik mahasiswa, dosen, dan
staf. Hal ini memungkinkan kontrol akses yang lebih baik dan memudahkan
pemantauan aktivitas pengguna.

Penggunaan Single Sign-On (SSO): SSO memungkinkan pengguna
untuk mengakses berbagai sistem informasi UNM dengan satu set
kredensial, meningkatkan kemudahan penggunaan dan keamanan.
 Penerapan e-Office: Sistem e-Office memungkinkan digitalisasi proses
persuratan, mengurangi penggunaan kertas dan meningkatkan efisiensi.
 Keberadaan Tim IT: UNM memiliki tim IT yang bertanggung jawab untuk
memelihara dan mengamankan sistem informasi.
Kelemahan:
 Kekurangan kesadaran keamanan: Pemahaman pengguna tentang
praktik keamanan siber yang baik mungkin masih rendah, sehingga
berisiko terhadap phishing, malware, dan serangan lainnya.
 Kurangnya audit dan pemantauan keamanan: Sistem informasi UNM
mungkin tidak diaudit dan dipantau secara berkala untuk mengidentifikasi
dan mengatasi kerentanan keamanan.
 Penggunaan kata sandi yang lemah: Pengguna mungkin menggunakan
kata sandi yang lemah atau mudah ditebak, yang dapat membahayakan
keamanan sistem.
Usulan Perbaikan:
 Meningkatkan kesadaran keamanan: Memberikan pelatihan dan edukasi
kepada pengguna tentang praktik keamanan siber yang baik, seperti
membuat kata sandi yang kuat, mengenali phishing, dan menghindari
mengklik tautan atau lampiran yang mencurigakan.
 Melakukan audit dan pemantauan keamanan secara berkala:
Melakukan audit keamanan sistem informasi secara berkala untuk
mengidentifikasi dan mengatasi kerentanan keamanan.
 Menerapkan kebijakan kata sandi yang kuat: Menerapkan kebijakan
kata sandi yang mewajibkan pengguna untuk menggunakan kata sandi
yang kuat dan kompleks.
 Menerapkan solusi keamanan tambahan: Mempertimbangkan
penerapan solusi keamanan tambahan seperti firewall, sistem deteksi
intrusi (IDS), dan sistem pencegahan intrusi (IPS) untuk meningkatkan
keamanan sistem informasi.
 Meningkatkan koordinasi antar unit: Meningkatkan koordinasi antar unit
di UNM untuk memastikan bahwa semua sistem informasi mengikuti
standar keamanan yang sama.
3. Kebijakan Keamanan Informasi untuk Perusahaan Startup Fintech
Tujuan:
Kebijakan ini bertujuan untuk melindungi informasi dan aset perusahaan
dari akses yang tidak sah, penggunaan, pengungkapan, perubahan, atau
penghancuran. Kebijakan ini juga bertujuan untuk meningkatkan kesadaran
keamanan informasi di antara karyawan dan untuk memastikan bahwa
perusahaan memiliki prosedur yang tepat untuk menanggapi insiden keamanan.
Ruang Lingkup:
Kebijakan ini berlaku untuk semua karyawan, kontraktor, dan pihak ketiga
lainnya yang memiliki akses ke informasi dan aset perusahaan.
Kebijakan:
1. Pengelolaan Akses:
 Akses ke informasi dan aset perusahaan harus dibatasi hanya pada
karyawan, kontraktor, dan pihak ketiga lainnya yang memiliki kebutuhan
yang sah untuk mengaksesnya.
 Akses harus diberikan berdasarkan prinsip "need-to-know".
 Kata sandi harus kuat dan unik untuk setiap akun.
 Kata sandi harus diubah secara berkala.
 Akses harus ditinjau secara berkala dan dicabut saat tidak lagi diperlukan.
2. Enkripsi Data:
 Semua data sensitif harus dienkripsi saat disimpan dan saat transit.
 Hanya algoritma enkripsi yang disetujui yang boleh digunakan.
 Kunci enkripsi harus disimpan dengan aman.
3. Pelatihan Keamanan bagi Karyawan:
 Semua karyawan harus menerima pelatihan keamanan informasi secara
berkala.
 Pelatihan harus mencakup kesadaran keamanan informasi, praktik terbaik
keamanan, dan prosedur tanggap insiden.
 Karyawan harus dilatih untuk mengidentifikasi dan melaporkan potensi
ancaman keamanan.
4. Prosedur Tanggap Insiden:
 Perusahaan harus memiliki prosedur yang jelas untuk menanggapi insiden
keamanan.
 Prosedur harus mencakup langkah-langkah untuk mengidentifikasi,
menahan, dan menghilangkan ancaman.
 Prosedur harus mencakup proses untuk meninjau dan belajar dari insiden.
5. Pemantauan dan Pengujian:
 Sistem keamanan informasi harus dipantau secara berkala untuk
mendeteksi aktivitas mencurigakan.
 Sistem keamanan informasi harus diuji secara berkala untuk memastikan
bahwa mereka efektif.
6. Kepatuhan:
 Semua karyawan, kontraktor, dan pihak ketiga lainnya harus mematuhi
kebijakan ini.
 Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan
disipliner, termasuk pemutusan hubungan kerja.
7. Tinjauan dan Pembaruan:
 Kebijakan ini akan ditinjau dan diperbarui secara berkala untuk
mencerminkan perubahan pada lingkungan ancaman dan praktik terbaik
keamanan informasi.
4. Analisis Serangan Ransomware pada Rumah Sakit Besar
Bagaimana Serangan Terjadi:
Serangan ransomware pada rumah sakit besar dapat terjadi melalui berbagai
modus, seperti:

Phishing: Pelaku mengirim email phishing yang menyamar sebagai pihak
terpercaya, seperti vendor atau pasien, untuk menipu karyawan agar
mengklik tautan berbahaya atau membuka lampiran yang terkontaminasi
malware.
 Eksploitasi Kerentanan: Pelaku memanfaatkan celah keamanan pada
perangkat lunak atau sistem operasi yang digunakan rumah sakit untuk
menyusup ke dalam jaringan.
 Serangan Rantai Pasokan: Pelaku menyerang vendor pihak ketiga yang
bekerja sama dengan rumah sakit, dan kemudian menggunakan akses
tersebut untuk meluncurkan serangan ke jaringan rumah sakit.
Dampak Serangan:
Serangan ransomware dapat melumpuhkan sistem vital rumah sakit, seperti:
 Rekam medis elektronik: Pasien tidak dapat mengakses riwayat
kesehatan mereka, sehingga penundaan diagnosis dan pengobatan dapat
terjadi.
 Sistem administrasi: Rumah sakit tidak dapat memproses tagihan,
menjadwalkan janji temu, atau mengelola inventaris.
 Peralatan medis: Peralatan medis yang terhubung ke jaringan mungkin
tidak dapat berfungsi, membahayakan keselamatan pasien.
Selain itu, serangan ransomware dapat merusak reputasi rumah sakit dan
menyebabkan kerugian finansial yang signifikan.
Strategi Pemulihan dan Pencegahan:
Rumah sakit dapat mengambil beberapa langkah untuk memulihkan sistem
mereka dari serangan ransomware dan mencegah serangan serupa di masa
depan, seperti:
 Membuat cadangan data secara teratur: Cadangan data yang lengkap
dan terbaru dapat memungkinkan rumah sakit untuk memulihkan sistem
mereka dengan cepat setelah serangan ransomware itu terjadi.
 Memasang perangkat lunak antivirus dan anti-malware: Perangkat
lunak ini dapat membantu mendeteksi dan memblokir malware sebelum
dapat menginfeksi sistem.
 Menerapkan patch keamanan: Patch keamanan dapat menutup celah
keamanan yang dapat dieksploitasi oleh pelaku.
 Melatih karyawan tentang kesadaran keamanan siber: Karyawan harus
dilatih untuk mengidentifikasi dan menghindari ancaman siber, seperti email
phishing dan tautan berbahaya.
 Memiliki rencana respons insiden: Rencana ini harus menguraikan
langkah-langkah yang harus diambil rumah sakit jika terjadi serangan
ransomware.
5. Proposal Implementasi Sistem Autentikasi Multi-Faktor di Lingkungan Kampus
Universitas Negeri Makassar
PROPOSAL
IMPLEMENTASI SISTEM AUTENTIKASI MULTI-FAKTOR (MFA) DI
UNIVERSITAS NEGERI MAKASSAR (UNM)
Diusulkan Oleh :
ANDI AHMAD TAUFIQ
220210502011
PRODI TEKNIK KOMPUTER
JURUSAN TEKNIK INFORMATIKA DAN KOMPUTER
UNIVERSITAS NEGERI MAKASSAR
2024
BAB I
PENDAHULUAN
1.1 Latar Belakang
Universitas Negeri Makassar (UNM) sebagai institusi pendidikan tinggi ternama di
Indonesia memiliki tanggung jawab besar dalam menjaga keamanan data dan informasi penting
milik civitas akademika. Ancaman terhadap keamanan siber di era digital saat ini semakin
marak, dengan berbagai modus operandi seperti phishing, malware, dan ransomware. Hal ini
dapat mengakibatkan pencurian data sensitif, seperti data pribadi, data keuangan, dan informasi
akademik, yang dapat menimbulkan kerugian besar bagi UNM dan civitas akademika.
Implementasi sistem autentikasi multi-faktor (MFA) di lingkungan UNM menjadi solusi
tepat untuk meningkatkan keamanan akses ke berbagai layanan dan platform digital UNM.
MFA menambahkan lapisan keamanan ekstra di atas autentikasi tradisional berbasis kata sandi,
sehingga mempersulit penjahat siber untuk mengakses akun pengguna tanpa sepengetahuan
pemiliknya.
1.2 Rumusan Masalah
1. Bagaimana cara mengimplementasikan MFA di UNM yang efektif dan efisien?
2. Apa saja faktor-faktor yang perlu dipertimbangkan dalam memilih metode MFA yang tepat
untuk UNM?
3. Bagaimana cara mensosialisasikan dan mengedukasi pengguna UNM tentang MFA?
4. Bagaimana cara mengukur efektivitas implementasi MFA di UNM?
1.3 Tujuan
1. Meningkatkan keamanan akun Pengguna
2. Memenuhi regulasi keamanan data
3. Meningkatkan kepercayaan pengguna
4. Melindungi aset dan data penting UNM
1.4 Manfaat
1. Meningkatkan Keamanan: MFA membuat akun pengguna lebih sulit diretas karena
penjahat siber memerlukan lebih dari satu faktor autentikasi untuk masuk.
2. Memenuhi regulasi: Banyak industry dan organiasi yang mewajibkan pengguaan MFA
untuk memenuhi regulasi keamanan data.
3. Meningkatkan kepercayaan pengguna: MFA dapat membantu meningkatkan kepercayaan
pengguna terhadap keamanan sistem dan akaun mereka.
BAB II
TINJAUAN PUSTAKA
2.1 Pengertian Autentikasi MFA
Autentikasi Multi-Faktor (MFA), juga dikenal sebagai autentikasi dua faktor (2FA) atau
autentikasi berlapis, adalah metode verifikasi identitas pengguna yang membutuhkan lebih dari
satu bukti identitas untuk mengakses sistem atau akun.
Berbeda dengan autentikasi tradisional yang hanya menggunakan kata sandi, MFA
menambahkan lapisan keamanan ekstra dengan meminta faktor autentikasi tambahan. Faktorfaktor ini biasanya dikelompokkan ke dalam tiga kategori:
 Sesuatu yang diketahui pengguna: Ini bisa berupa kata sandi, PIN, pertanyaan keamanan,
atau pola tertentu (Menezes, A., van Oorschot, P., & Quisquater, S. A. (2001).

Sesuatu yang dimiliki pengguna: Ini bisa berupa smartphone, token keamanan fisik, kartu
pintar, atau perangkat keras keamanan lainnya (Al-Dalkali, M. A., Al-Fuqaha, A. A., AlHusain, Z. M., & Atallah, Y. I. (2014).
 Sesuatu yang merupakan karakteristik fisik pengguna: Ini bisa berupa sidik jari,
pengenalan wajah, pengenalan suara, atau iris mata (Menezes, A., van Oorschot, P., &
Quisquater, S. A. (2001).
Dengan menggunakan MFA, penjahat siber akan kesulitan mengakses akun pengguna
meskipun mereka mengetahui kata sandinya. Misalnya, jika penyerang berhasil mencuri kata
sandi pengguna, mereka masih memerlukan faktor autentikasi kedua, seperti kode verifikasi
yang dikirim ke smartphone pengguna, untuk masuk ke akun.
2.2 Alasan Pentingnya Sistem MFA
Berikut beberapa alasan pentingnya implementasi MFA di UNM:
 Meningkatkan Keamanan Akun Pengguna: MFA menambahkan lapisan keamanan ekstra
yang mempersulit penjahat siber untuk mengakses akun pengguna, meskipun mereka
mengetahui kata sandi. Hal ini karena MFA membutuhkan faktor autentikasi tambahan,
seperti kode verifikasi, autentikasi aplikasi, atau autentikasi biometrik, yang tidak mudah
diakses oleh penjahat siber.
 Meminimalisir Risiko Pencurian Data: MFA membantu melindungi data sensitif pengguna
dari akses tidak sah. Contohnya, jika data login pengguna dicuri, penjahat siber masih
memerlukan faktor autentikasi tambahan untuk mengakses akun pengguna. Hal ini
meminimalisir risiko pencurian data dan penyalahgunaan informasi.
 Mematuhi Regulasi Keamanan Data: MFA dapat membantu UNM mematuhi regulasi
keamanan data yang berlaku, seperti UU Perlindungan Data Pribadi dan Peraturan Menteri
Komunikasi dan Informatika tentang Keamanan Jaringan dan Sistem Elektronik. Regulasi
ini mewajibkan organisasi untuk menerapkan langkah-langkah keamanan yang memadai
untuk melindungi data pribadi pengguna.
 Meningkatkan Kepercayaan Pengguna: MFA memberikan rasa aman dan nyaman bagi
pengguna saat mengakses layanan dan platform digital UNM. Dengan mengetahui bahwa
akun mereka terlindungi dengan baik, pengguna akan lebih percaya dan nyaman
menggunakan layanan UNM. Hal ini dapat meningkatkan kepuasan pengguna dan loyalitas
terhadap UNM.
BAB III
METODE PENELITIAN
3.1 Metode Autentikasi MFA Yang Diusulkan
Beberapa metode autentikasi MFA yang dapat diimplementasikan di UNM adalah:
 Kode Verifikasi Via SMS atau Email: Pengguna akan menerima kode verifikasi melalui
SMS atau email yang harus dimasukkan setelah memasukkan kata sandi. Metode ini mudah
digunakan dan familiar bagi pengguna, namun memiliki kekurangan dalam hal keamanan
karena kode verifikasi dapat diintersep oleh penjahat siber yang memiliki akses ke
perangkat pengguna.


Autentikasi Aplikasi: Pengguna akan menggunakan aplikasi autentikasi di smartphone
mereka untuk menghasilkan kode verifikasi yang harus dimasukkan setelah memasukkan
kata sandi. Metode ini lebih aman daripada kode verifikasi SMS/email karena kode
verifikasi dihasilkan secara real-time di perangkat pengguna dan tidak dapat diintersep.
Autentikasi Biometrik: Pengguna dapat menggunakan sidik jari, pengenalan wajah, atau
iris mata untuk memverifikasi identitas mereka. Metode ini menawarkan tingkat keamanan
yang paling tinggi karena autentikasi biometrik unik bagi setiap individu dan tidak dapat
dipalsukan.
3.2 Tantangan Dan Solusi Implementasi MFA
Beberapa tantangan yang mungkin dihadapi dalam penerapan MFA di UNM adalah:
 Biaya Implementasi: Implementasi MFA memerlukan biaya untuk pengadaan perangkat
lunak, hardware, dan pelatihan pengguna. Biaya ini bisa menjadi signifikan, terutama untuk
institusi besar seperti UNM.
 Kesadaran Pengguna: Pengguna perlu diedukasi tentang pentingnya MFA dan cara
menggunakannya dengan benar. Hal ini penting untuk memastikan bahwa pengguna dapat
menggunakan MFA dengan mudah dan efektif.
 Kompatibilitas dengan Sistem Lama: MFA perlu diintegrasikan dengan sistem lama yang
ada di UNM. Hal ini dapat menjadi tantangan karena sistem lama mungkin tidak
kompatibel dengan teknologi MFA terbaru.
Berikut beberapa solusi untuk mengatasi tantangan tersebut:
 Memanfaatkan berbagai sumber pendanaan, seperti pemerintah, alumni, dan sektor swasta.
UNM dapat mencari pendanaan dari berbagai sumber untuk membantu membiayai
implementasi MFA.
 Menyelenggarakan program edukasi dan pelatihan pengguna secara berkelanjutan. UNM
perlu menyelenggarakan program edukasi dan pelatihan pengguna untuk meningkatkan
kesadaran mereka tentang pentingnya MFA dan cara menggunakannya dengan benar.
 Melakukan pengujian kompatibilitas menyeluruh sebelum implementasi MFA. UNM perlu
memastikan bahwa MFA kompatibel dengan sistem lama tanpa masalah.
BAB IV
HASIL PENELITIAN DAN PEMBAHASAN
BAB V
PENUTUP
5.1 Kesimpulan
Implementasi MFA di UNM merupakan langkah penting untuk meningkatkan
keamanan data dan informasi penting milik civitas akademika. Dengan MFA, UNM dapat
memberikan perlindungan yang lebih baik terhadap akun pengguna dan data sensitif mereka
dari akses tidak sah. Hal ini dapat membantu UNM meminimalisir risiko pencurian data,
meningkatkan kepercayaan pengguna, dan mematuhi regulasi keamanan data yang berlaku.
Meskipun terdapat beberapa tantangan yang mungkin dihadapi dalam implementasi
MFA, seperti biaya implementasi, kesadaran pengguna, dan kompatibilitas dengan sistem lama,
UNM dapat mengatasinya dengan berbagai solusi, seperti memanfaatkan berbagai sumber
pendanaan, menyelenggarakan program edukasi dan pelatihan pengguna secara berkelanjutan,
dan melakukan pengujian kompatibilitas menyeluruh sebelum implementasi MFA.
Dengan perencanaan dan pelaksanaan yang matang, UNM dapat berhasil
mengimplementasikan MFA dan meningkatkan keamanan siber di lingkungan kampusnya.
5.2 Saran
 Membentuk tim proyek yang bertanggung jawab atas implementasi MFA. Tim ini harus
terdiri dari perwakilan dari berbagai departemen di UNM, seperti Direktorat Teknologi
Informasi, Direktorat Kemahasiswaan, dan Direktorat Akademik.
 Melakukan analisis kebutuhan untuk menentukan metode autentikasi MFA yang paling
sesuai dengan kebutuhan UNM. Analisis ini harus mempertimbangkan faktor-faktor seperti
biaya, kemudahan penggunaan, dan tingkat keamanan.
 Menyusun rencana implementasi yang rinci, termasuk timeline, anggaran, dan strategi
komunikasi. Rencana ini harus disetujui oleh semua pemangku kepentingan sebelum
implementasi dimulai.
 Melakukan pelatihan pengguna secara menyeluruh untuk memastikan mereka memahami
cara menggunakan MFA dengan benar. Pelatihan ini dapat dilakukan secara online, offline,
atau kombinasi keduanya.
 Memantau dan mengevaluasi efektivitas MFA secara berkelanjutan. UNM perlu memantau
tingkat adopsi MFA, tingkat keberhasilan autentikasi, dan tingkat insiden keamanan siber
untuk memastikan bahwa MFA berfungsi dengan baik.
DAFTAR PUSTAKA
Al-Dalkali, M. A., Al-Fuqaha, A. A., Al-Husain, Z. M., & Atallah, Y. I. (2014). A Comparative
Analysis of Multi-factor Authentication Methods. IEEE Transactions on Information
Theory, 60(12), 7245-7264. https://ieeexplore.ieee.org/document/8701960
Al-Dalkali, M. A., Al-Fuqaha, A. A., Al-Husain, Z. M., & Atallah, Y. I. (2014). A Comparative
Analysis of Multi-factor Authentication Methods. IEEE Transactions on Information
Theory, 60(12), 7245-7264. https://ieeexplore.ieee.org/document/8701960
Auth0.
(2023).
The
State
of
Multi-factor
Authentication
in
2023.
https://auth0.com/docs/secure/multi-factor-authentication
Duo Security. (2024). [Situs web resmi Duo Security]. Diakses pada 27 April 2024, dari
https://duo.com/
International Organization for Standardization (ISO). (2024). ISO/IEC 27001:2013 Information security management systems - Requirements. [Situs web resmi ISO]. Diakses
pada 27 April 2024, dari https://www.iso.org/standard/27001
Kementerian Komunikasi dan Informatika Republik Indonesia. (2016). Peraturan Menteri
Komunikasi dan Informatika Nomor 12 Tahun 2016 tentang Keamanan Jaringan dan
Sistem Elektronik. [Jaringan Dokumentasi dan Informasi Hukum Kementerian Kominfo].
Diakses
pada
27
April
2024,
dari
https://jdih.kominfo.go.id/produk_hukum/view/id/532/t/peraturan+menteri+komunikasi+
dan+informatika+nomor+4+tahun+2016+tanggal+11+april+2016
Massachusetts Institute of Technology (MIT). (2018). Multi-factor Authentication: A Case
Study from MIT. [Situs web resmi Duo Security]. Diakses pada 27 April 2024, dari
https://duo.mit.edu/
Menezes, A., van Oorschot, P., & Quisquater, S. A. (2001). Multi-factor Authentication: A
Survey of Security Issues and Solutions. International Journal of Information Security,
2(1), 99-130. https://www.mdpi.com/2410-387X/2/1/1
Microsoft. (2024). Microsoft Azure Active Directory Multi-Factor Authentication. [Situs web
resmi Microsoft]. Diakses pada 27 April 2024, dari https://learn.microsoft.com/enus/entra/identity/authentication/concept-mfa-howitworks
130. https://www.mdpi.com/2410-387X/2/1/1
National Institute of Standards and Technology (NIST). (2024). [Situs web resmi NIST].
Diakses pada 27 April 2024, dari https://www.nist.gov/
Okta. (2024). [Situs web resmi Okta]. Diakses pada 27 April 2024, dari https://www.okta.com/
National Institute of Standards and Technology (NIST). (2024). [Situs web resmi NIST].
Diakses pada 27 April 2024, dari https://www.nist.gov/
Universitas Negeri Makassar. (2024). [Situs web resmi UNM]. Diakses pada 27 April 2024,
dari https://www.unm.ac.id/
University of California, Berkeley. (2017). Multi-factor Authentication Implementation at the
University of California, Berkeley. [Situs web resmi Calnet]. Diakses pada 27 April 2024,
dari https://calnet.berkeley.edu/calnet-2-step
6. Evaluasi Keamanan Aplikasi Mobile Banking BNI Mobile
Potensi Kerentanan Keamanan:
Berdasarkan hasil penelitian dan pengujian Gemini, beberapa potensi
kerentanan keamanan yang mungkin ada di aplikasi BNI Mobile antara lain:
 Serangan phishing dan social engineering: Pengguna aplikasi dapat
dimanipulasi untuk membuka situs web palsu atau memberikan informasi
pribadi mereka kepada pihak yang tidak berwenang.
 Penyadapan data: Data pengguna yang ditransmisikan antara perangkat
dan server bank dapat disadap oleh pihak ketiga yang tidak berwenang.
 Malware: Aplikasi dapat disusupi oleh malware yang dapat mencuri data
pengguna atau mengambil kendali atas perangkat mereka.
 Kelemahan enkripsi: Data pengguna mungkin tidak dienkripsi dengan
cukup kuat, sehingga dapat didekripsi oleh pihak ketiga yang tidak
berwenang.
 Kesalahan konfigurasi server: Server yang digunakan untuk
menjalankan aplikasi BNI Mobile mungkin tidak dikonfigurasi dengan benar,
sehingga dapat dieksploitasi oleh penyerang.
Rekomendasi Perbaikan:
Untuk memperkuat keamanan aplikasi BNI Mobile, pihak bank atau
pengembang aplikasi dapat melakukan beberapa langkah berikut:
 Meningkatkan edukasi kepada pengguna: Pengguna harus diedukasi
tentang potensi kerentanan keamanan dan bagaimana cara melindunginya.
Hal ini dapat dilakukan melalui berbagai media, seperti website, aplikasi,
dan pelatihan.
 Menerapkan otentikasi dua faktor: Otentikasi dua faktor menambahkan
lapisan keamanan ekstra dengan meminta pengguna untuk memverifikasi
identitas mereka dengan dua cara, seperti kata sandi dan kode yang
dikirimkan ke ponsel mereka atu bisa dengan cara 2FA dan MFA.
 Menggunakan enkripsi yang kuat: Semua data pengguna harus
dienkripsi dengan algoritma enkripsi yang kuat, baik saat disimpan di
perangkat maupun saat ditransmisikan antara perangkat dan server bank.
 Melakukan pengujian keamanan secara berkala: Aplikasi BNI Mobile
harus diuji secara berkala untuk mendeteksi dan memperbaiki kerentanan
keamanan.
 Memperbarui aplikasi secara rutin: Pengguna harus selalu memperbarui
aplikasi BNI Mobile ke versi terbaru untuk memastikan bahwa mereka
memiliki fitur keamanan terbaru.
 Melakukan monitoring keamanan: Aktivitas pengguna di aplikasi BNI
Mobile harus dipantau untuk mendeteksi aktivitas mencurigakan.
7. Program Pelatihan Keamanan Informasi untuk Karyawan
Tujuan:
Meningkatkan kesadaran dan pengetahuan karyawan tentang keamanan
informasi, serta membekali mereka dengan keterampilan untuk melindungi
informasi aset perusahaan.
Sasaran:
 Semua karyawan perusahaan
 Karyawan yang memiliki akses ke informasi sensitif
 Karyawan yang terlibat dalam pengelolaan sistem informasi
Materi Pelatihan:
1. Konsep Dasar Keamanan Informasi:
o Definisi dan pentingnya keamanan informasi
o Ancaman dan kerentanan keamanan informasi
o Dampak pelanggaran keamanan informasi
o Kebijakan dan prosedur keamanan informasi perusahaan
2. Penggunaan Perangkat Keras dan Perangkat Lunak yang Aman:
o Praktik terbaik untuk penggunaan komputer dan perangkat mobile
o Keamanan kata sandi dan autentikasi
o Perlindungan data dan privasi
o Pengenalan dan pencegahan malware
3. Keamanan Jaringan dan Internet:
o Keamanan jaringan dasar
o Ancaman internet umum
o Praktik terbaik untuk browsing internet yang aman
o Penggunaan VPN dan firewall
4. Keamanan Sosial dan Rekayasa Sosial:
o Teknik rekayasa sosial yang umum
o Cara mengidentifikasi dan menghindari penipuan online
o Melaporkan insiden keamanan informasi
Metode Penyampaian:
 Pelatihan tatap muka:
o Ceramah dan diskusi
o Demonstrasi dan simulasi
o Latihan praktik
 Pelatihan online:
o Modul e-learning
o Video tutorial
o Kuis dan penilaian online
 Bahan pelatihan:
o Handout dan materi presentasi
o Panduan keamanan informasi perusahaan
Mekanisme Evaluasi:
 Pra-pelatihan:
o Kuesioner untuk mengukur pengetahuan dasar tentang keamanan
informasi
 Pasca-pelatihan:
o Kuis dan penilaian untuk mengukur pemahaman materi pelatihan
o Simulasi skenario keamanan informasi
o Survei umpan balik untuk menilai efektivitas pelatihan
 Evaluasi berkelanjutan:
o Pelacakan insiden keamanan informasi
o Pengukuran kepatuhan terhadap kebijakan keamanan informasi
o Audit keamanan informasi berkala
8. Analisis Kasus Pelanggaran Keamanan Informasi di Instansi Pemerintah
Kasus: Kebocoran data rahasia instansi pemerintah ke pihak tidak berwenang.
Faktor Penyebab Pelanggaran tersebut terjadi:
 Kelemahan Keamanan Siber:
o Kurangnya kontrol akses yang memadai pada sistem dan data.
o Penggunaaan kata sandi yang lemah dan mudah ditebak.
o Kurangnya pembaruan perangkat lunak dan patch keamanan.
o Kurangnya pelatihan kesadaran keamanan bagi karyawan.
 Kesalahan Manusia:
o Ketidaksengajaan atau kelalaian karyawan dalam menangani data
sensitif.
o Phishing atau social engineering yang berhasil menipu karyawan
untuk menyerahkan informasi rahasia.
 Serangan Siber:
o Serangan malware atau ransomware yang berhasil menembus
sistem dan mencuri data.
o Penyerangan oleh pertas yang terampil untuk mengeksploitasi
kerentanan.
Dampak yang ditimbulkan Kasus ini:
 Kehilangan data sensitif: Data rahasia instansi pemerintah dapat
disalahgunakan oleh pihak tidak berwenang untuk berbagai tujuan, seperti
penipuan, pemerasan, atau bahkan spionase.
 Kerusakan reputasi: Kebocoran data dapat merusak reputasi instansi
pemerintah dan menurunkan kepercayaan publik.
 Kerugian finansial: Instansi pemerintah mungkin harus mengeluarkan
biaya yang besar untuk mengatasi kebocoran data dan mencegah insiden
serupa di masa depan.
Rekomendasi Pencegahan untuk mencegah insiden serupa di masa
mendatang:
 Memperkuat Keamanan Siber:
o Menerapkan kontrol akses yang ketat pada sistem dan data.
o Menggunakan kata sandi yang kuat dan menerapkan autentikasi
multi-faktor.
o Melakukan pembaruan perangkat lunak dan patch keamanan secara
berkala.
o Memberikan pelatihan kesadaran keamanan bagi karyawan secara
rutin.
 Meningkatkan Kesadaran Keamanan:
o Memberikan edukasi karyawan tentang pentingnya keamanan
informasi dan cara melindungi data sensitif.
o Memberikan pelatihan tentang cara mengenali dan menghindari
serangan phishing dan social engineering.
o Mendorong karyawan untuk melaporkan aktivitas mencurigakan
kepada pihak berwenang.


Melakukan Audit Keamanan Siber Secara Berkala:
o Mengindentifikasi dan memperbaiki kerentanan sistem secara
berkala
o Memastikan kepatuhan terhadap peraturan dan standar keamanan
informasi yang relevan.
Membuat Rencana Penanganan Insiden:
o Memiliki prosedur yang jelas untuk merespons kebocoran data dan
serangan siber lainnya.
o Memastikan komunikasi yang efektif dengan semua pihak yang
berkepentingan.
Download