Lampiran-Lampiran 1. Proses dan Aktifitas OCTAVE-S
Proses S1 : Identifikasi Informasi Organisasi
Aktivitas Langkah Deskripsi
S1.1
Membangun dampak dari kriteria evaluasi
1 Menentukan ukuran kualitatif (tinggi, sedang, rendah) terhadap efek risiko yang akan dievaluasi dalam misi organisasi dan tujuan bisnis perusahaan.
S1.2
Mengidentifikasi aset organisasi
2 Mengidentifikasi informasi yang terkait dengan aset dalam organisasi (informasi, sistem, aplikasi dan orang).
S1.3
Mengevaluasi praktek keamanan organissasi
3a Menentukan sejauh mana praktek yang disurvei digunakan oleh organisasi
3b Mengevaluasi setiap area praktek
keamanan yang menggunakan survei dari langkah 3a, contoh dokumen rincinya: • Apa yang saat ini organisasi lakukan
dengan baik di area ini (praktek keamanan).
• Apa yang saat ini tidak dilakukan dengan baik oleh organisasi di area ini (kerentanan organisasi).
4 Setelah menyelesaikan langkah 3a dan 3b, tentukan status stoplight (merah, kuning atau hijau) untuk setiap wilayah praktek keamanan. Status stoplight harus menunjukan seberapa baik kepercayaan terhadap kinerja organisasi di tiap area. --- Dokumen tindakan terhadap item yang
diidentifikasi selama proses S1
--- Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S1
Proses S2 : Membuat Profil Ancaman
Aktivitas Langkah Deskripsi
S2.1
Memilih aset kritis
5 Meninjau ulang informasi yang
berhubungan dengan aset yang
diidentifikasi pada langkah ke 2 dan pilih hingga 5 (lima) yang paling pernting untuk organisasi.
6 Memulai kertas kerja informasi aset kritis untuk setiap aset kritis. Catat nama dari aset informasi aset kritis.
7 Catat alasan dari setiap pemilihan aset kritis pada kertas kerja infomasi aset kritis. 8 Catat deskripsi dari seriap aset kritis pada
kertas kerja informasi aset kritis.
Pertimbangkan siapa yang menggunakan aset kritis seperti halnya yang bertanggung jawab untuk itu.
9 Catat aset yang berhubungan dengan setiap aset kritis yang terdapat pada kertas kerja informasi aset kritis. Lihat kertas kerja indetifikasi aset untuk menentukan aset yang terkait dengan aset kritis.
S2.2
Identifikasi kebutuhan keamanan untuk aset kritis
10 Catat kebutuhan keamanan untuk setiap aset kritis yang terdapat pada kertas kerja informasi aset kritis
11 Untuk setiap aset kritis catat kebutuhan keamanan yang paling penting yang terdapat pada kertas kerja infomasi aset kritis
S2.3
Identifikasi ancaman pada aset kritis
12 Melengkapi semua ancaman yang sesuai dengan aset kritis. Tandai setiap cabang dalam setiap pohon dimana hal ini
merupakan kemungkinan ancaman yang tidak dapat diabaikan dalam aset.
Setelah melengkapi langkah ini, jika mengalami kesulitan dalam menafsirkan sebuah ancaman pada setiap pohon, tinjau ulang deskripsi dan contoh ancaman dalam panduan penerjemah ancaman
13 Catat contoh spesifik dari pelaku ancaman dalam kertas kerja profil risiko yang berlaku untuk seriap kombinasi motif pelaku
14 Catat kekuatan motif untuk setiap ancaman yang disengaja yang dikarenakan tindakan manusia. Juga mencatat bagaimana kepercayaan terhadap perkiraan kekuatan atas motif pelaku.
15 Catat seberapa sering setiap ancaman telah terjadi di masa lalu. Juga mencatat bagaimana keakuratan datayang dipercaya.
16 Catat area yang terkait dengan setiap sumber dari ancaman yang sesuai. Sebuah
area yang terkait adalah sebuah scenario yang mendefinisikan seberapa spesifik ancaman dapat mempengaruhi aset kritis.
--- Dokumen tindakan terhadap item yang diidentifikasi selama proses S2.
--- Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S2
Proses S3 : Memeriksa Perhitungan Infrastuktur yang Berhubungan dengan Aset Kritis
Aktivitas Langkah Deskripsi
S3.1
Memeriksa jalur aset
17 Pilih sistem yang menarik untuk setiap aset kritis (yakni sistem yang paling berkaitan dengan aset kritis).
18a Tinjau ulang jalur yang digunakan oleh setiap aset kritis dan pilih kelas kunci dari komponen yang berkaitan dengan setiap aset kritis. Tentukan kelas komponen yang merupakan bagian dari sistem yang menarik.
18b Menentukan kelas komponen yang bertindak sebagai akses poin lanjut (misalnya komponen yang digunakan untuk mengirimkan informasi dan aplikasi dari sistem yang menarik untuk orang)
18c Menentukan kelas komponen baik internal dan eksternal untuk jaringan organisasi, digunakan oleh orang (misalnya pengguna, penyerang) untuk mengakses sistem.
18d Menentukan dimana informasi yang
menarik dari sistem disimpan untuk tujuan back-up.
18e Menentukan mana sistem akses informasi yang lain atau aplikasi dari sistem yang menarik dan kelas komponen mana yang dapat digunakan untuk mengakses informasi kritis atau layanan dari sistem yang menarik
S3.2
Menganalisa proses yang terkait dengan
19a Menentukan kelas komponen yang
berhubungan dengan satu atau lebih aset kritis dan yang menyediakan akses kepada
Teknologi aset tersebut. Tandai setiap jalur untuk setiap kelas yang dipilih dalam langkah 18a sampai 18e. Tandai setiap bagian kelas atau contoh spesifik yang berhubungan jika diperlukan.
19b Untuk setiap kelas komponen yang
didokumentasi dalam langkah 19a, tandai aset kritis mana yang terkait dengan kelas tersebut.
20 Untuk setiap kelas komponen yang di dokumentasikan dalam langkah 19a, tandai orang atau kelompok yang bertanggung jawab untuk memelihara dan melindungi kelas komponen tersebut.
21 Untuk setiap kelas komponen yang
didokumentasikan dalam langkah 19a, tandai sejauh mana kelas tersebut dapat bertahan terhadap serangan jaringan. Juga catat bagaimana kesimpulan dibuat. Akhirnya, dokumen konteks tambahan berhubungan dengan analisis infrastuktur.
berdasarkan dari jalur akses dan teknologi yang terkait dengan proses. Perbaharui hal berikut jika sesuai:
• Tandai setiap cabang tambahan dari pohon ancaman jika sesuai (langkah 12). Pastikan konteks dokumen yang sesuai untuk setiap cabang yang ditandai (langkah 13-16).
• Perbaiki dokumentasi area yang terkait
dengan menambahkan rincian
tambahan jika sesuai. Identifikasi dan dokumenkan setiap area baru yang terkait jika sesuai (langkah 16).
• Perbaiki dokumentasi praktek keamanan dan kerentanan organisasi dengan menambahkan rincian tambahan jika sesuai. Identifikasi dan dokumenkan praktek keamanan yang baru dan kerentanan organisasi jika diperlukan (langkah 3b).
• Perbaiki status stoplight untuk praktek keamanan jika sesuai (langkah 4).
--- Dokumentasi tindakan terhadap item yang diidentifikasi selama proses S3
--- Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S3
Proses S4 : Identifikasi dan Analisis Risiko
Aktivitas Langkah Deskripsi
S4.1
Mengevaluasi dampak ancaman
22 Menggunakan kriteria evaluasi dampak sebagai panduan, memberi nilai dampak (tinggi, sedang, rendah) untuk setiap ancaman yang aktif bagi aset kritis.
S4.2
Membangun
kemungkinan kriteria evaluasi
23 Menentukan ukuran kualitatif (tinggi, sedang, rendah) terhadap, kemungkinan terjadinya ancaman yang akan di evaluasi.
S4.3
Mengevaluasi kemungkinan ancaman
24 Menggunakan kriteria evaluasi
kemungkinan sebagai panduan, menetapkan nilai kemungkinan (tinggi, sedang, rendah) untuk setiap ancaman yang aktif terhadap aset kritis. Dokumenkan tingkat keyakinan dalam memperkirakan kemungkinan
--- Dokumen tindakan terhadap item yang diidentifikasi selama proses S4
--- Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S4
Proses S5 : Mengembangkan strategi perlindungan dan rencana mitigasi
Aktivitas Langkah Deskripsi
S5.1
Menggambarkan strategi perlindungan saat ini
25 Mengirim status stoplight untuk setiap area praktek keamanan yang sesuai dengan area kertas kerja strategi perlindungan. Untuk setiap area praktek keamanan identifikasikan pendekatan yang dilakukan oleh organisasi saat ini yang ditujukan terhadap area tersebut.
S5.2
Memilih pendekatan mitigasi
26 Mengirim status stoplight untuk setiap area praktek keamanan dari kertas kerja praktek keamanan ke “area praktek keamanan” (langkah 26) untuk setiap aset kritis dari kertas kerja profil risiko
27 Memilih pendekatan mitigasi
(mengurangi, menunda, menerima) untuk setiap risiko aktif. Untuk setiap risiko
diputuskan untuk ditangani, lingkari satu atau lebih area praktek keamanan yang hendak dilakukan kegiatan mitigasi. S5.3
Mengembangkan rencana mitigasi risiko
28 Mengembangkan rencana mitigasi untuk setiap area praktek keamanan yang dipilih pada langkah 27. Setelah langkah ini selesai, jika mengalami kesulitan untuk mendapatkan aktivitas mitigasi yang potensial pada area praktek keamanan, tinjau ulang contoh aktivitas mitigasi dari area tersebut dipanduan aktivitas mitigasi. S5.4
Identifikasi perubahan
untuk strategi
perlindungan
29 Menentukan apakah rencana mitigasi
mempengaruhi strategi perlindungan organisasi. Catat setiap perubahan pada kertas kerja strategi perlindungan. Selanjutan, tinjau tindak ulang strategi perlindungan, diikuti dengan tujuan perubahan. Tentukan apakah ada niat untuk membuat perubahan tambahan pada strategi perlindungan. Catat setiap perubahan tambahan pada kertas kerja strategi perlindungan.
--- Dokumen tindakan terhadap item yang diidentifikasi selama proses S5.
S5.5
Identifikasi langkah selanjutnya
30 Menentukan apa yang dibutuhkan
Hasil Analisa Dan Wawancara Langkah 1
Tipe Dampak Rendah Sedang Tinggi
Reputasi/kepercayaan Pelanggan
Reputasi Reputasi adalah
tindakan yang paling minimal, sedikit atau hampir tidak ada
biaya yang dibutuhkan untuk memperbaikinya. Reputasi telah rusak, dan diperlukan
beberapa biaya dan
upaya yang diperlukan untuk pulih. Reputasi telah hancur atau rusak.
Kehilangan pelanggan Kurang dari 5% pengurangan pelanggan karena kehilangan kepercayaan. Antara 5% sampai 10% pengurangan pelanggan karena kehilangan kepercayaan. Lebih dari 10% pengurangan pelanggan karena kehilangan kepercayaan. Finansial
Biaya operasional Meningkat kurang dari 5% dalam biaya operasional Biaya operasional meningkat 5% sampai 15% setiap Biaya operasional lebih dari 15% setiap tahun
setiap tahun tahun. Kehilangan pendapatan Lebih dari 5%
kehilangan pendapatan per tahun. Antara 5% sampai 20% kehilangan pendapatan per tahun.
Lebih besar dari 20% kehilangan pendapatan per tahun. One-Time Financial Loss One-time financial cost yang kurang dari Rp 50.000.000,-. One-time financial cost dari Rp 50.000.000,- sampai Rp 250.000.000,-. One-time financial cost lebih besar dari Rp 250.000.000,-.
Produktivitas
Jam kerja Jam kerja
karyawan
meningkat lebih kecil dari 10%
Jam kerja karyawan meningkat antara 10% sampai 20% Jam kerja karyawan meningkat lebih dari 20% Perlindungan/ Kesehatan
Hidup Tidak ada
ancaman kehilangan atau signifikan pada kehidupan Kehidupan karyawan sedang terancam, tetapi mereka akan pulih
Adanya
karyawan yang meninggal.
karyawan organisasi. setelah menerima perawatan medis. Kesehataan Kesehatan pelanggan atau karyawan organisasi dapat ditanggulangi dalam 4 hari Pemulihan sementara dari ancaman terhadap pelanggan atau karyawan. Pemulihan permanen dalam aspek signifikan dari pelanggan atau karyawan. Keselamatan Keselamatan dipertanyakan. Keselamatan terpengaruh. Keselamatan terlanggar. Denda/hukuman
Denda Denda kurang dari
Rp 100.000.000,-
Denda antara Rp 100.000.000,- dan Rp 500.000.000,-.
Denda lebih besar
dari Rp
500.000.000,-.
Investigasi Tidak ada
permintaan dari pemerintah atau Pemerintah atau organisasi investigasi lainnya Pemerintah atau organisasi investigasi
organisasi investigasi lain.
meminta informasi atau catatan (low profile). lainnya melakukan investigasi profil tinggi dalam investigasi praktek organisasi. Langkah 2
Aset dan pertanyaan Jawaban
Sistem
Sistem-sistem apa saja yang dibutuhkan semua orang karyawan dalam perusahaan untuk mendukung pekerjaan mereka?
• PC
• Jaringan • Internet
Informasi
Informasi apa saja yang dibutuhkan semua karyawan dalam perusahaan untuk mendukung pekerjaan mereka?
• Data pelanggan. • Data penjualan. • Data pembelian. • Data pembayaran. • Data barang. • Data Kredit. • Data stok.
Aplikasi dan pelayanan
Aplikasi dan layanan apa saja yang dibutuhkan semua karyawan dalam perusahaan untuk mendukung pekerjaan mereka?
• Database Oracle • Open Office • Eclipse
• Koneksi internet berbasis first media
Orang
Siapa yang mempunyai keahlian atau kemampuan penting dalam organisasi dan susah untuk digantikan?
• IT manager
• Development Manager • Network Engineer • Admin Support
Keahlian atau pengetahuan
Apa keahlian atau kemampuan yang mereka miliki?
1. IT manager :
Mempunyai tugas dan wewenang untuk menjalankan, mengembangkan dan bertanggung jawab atas IT infrastruktur korporat secara terstruktur dan sistematis
2. Development Manager
Mempunyai tugas dan wewenang untuk membantu dalam memelihara dan mengembangkan sistem yang ada
(e-mail, akses internet, file service, ftp service, print service, Backup data, door acces, billing system, dsb-nya).
3. Network Engineer
Mempunyai tugas dan wewenang untuk membantu dalam memelihara dan mengembangkan jaringan dan interkoneksi-nya (switching, routing, cabling, Wi-Fi, dsb-nya).
4. Admin Support
Mempunyai tugas dan wewenang untuk membantu dalam hal administrasi berkaitan masalah IT infrastruktur (aset IT inventori, backup inventori, pengadaan/pembelian, dsb-nya).
Sistem yang berhubungan
Siapa yang menggunakan sistem ini? • Personal Computer (PC) digunakan oleh semua divisi.
Aset yang berhubungan
Sistem lain yang digunakan? Internet Service Provider
Langkah 3a
Pertanyaan Banyak Sedikit Tidak
Ada 1. Kesadaran Keamanan dan Pelatihan
Para karyawan memahami peran keamanan dan tanggungjawab mereka, dimana hal ini didokumentasikan dan diverifikasi.
X
Karyawan mempunyai keahlian yang cukup untuk mendukung semua pelayanan, mekanisme, dan teknologi, termasuk operasi keamanan mereka. Hal ini didokumentasikan dan diverifikasi.
X
Kesadaran akan keamanan, pelatihan, dan pengingat periodik tersedia untuk semua personil pemahaman karyawan. Hal ini didokumentasikan dan desesuaikan secara periodik.
X
Kesadaran mengikuti praktek keamanan dengan baik seperti :
1. Keamanan informasi
2. Merahasiakan informasi yang sensitive
3. Mempunyai kemampuan yang menggunakan TI hardware dan software
4. Menggunakan password yang baik.
5. Memahani dan mematuhi kebijakan keamanan. 2. Stategi Keamanan
Strategi bisnis perusahaan selalu mempertimbangan segi keamanan.
X
Strategi keamanan dan kebijakan termasuk pertimbangan dari segi bisnis dan tujuan perusahan.
X
Strategi keamanan, tujuan dan sasaran perusahaan didokumentasikan dan dikaji secara rutin, diperbahuri dan dikomunikasi dalam perusahaan.
X
3. Manajemen Keamanan
Manajemen mangalokasikan dana dan sumberdaya yang cukup untuk aktivitas keamanan informasi.
X
Peran keamanan dan tanggungjawab didefinisikan ke semua karyawan perusahaan.
X
Semua karyawan di setiap tingkatan melaksanakan tugas dan tanggungjawab mereka dalam keamanan informasi.
X
Ada prosedur dokumentasi untuk otoritasasi dan pengawasan semua karyawan yang berkerja dalam
penyediaan inforamsi atau penyajian informasi. Pemecatan dan penghentian praktek bagi setiap karyawan yang terlibat dalam permasalahan keamanan informasi.
X
Perusahaan mengelola risiko keamanan informasi termaksud :
1. Penilaian risiko untuk keamanan informasi
2. Mengambil langkah-langkah untuk mengurangi risiko keamanan risiko keamanan informasi.
X
Manajemen menerima dan bertindak atas laporan rutin dari informasi yang berhubungan dengan keamanan.
X
4. Kebijakan Keamanan dan Peraturan
Perusahaan memiliki dokumentasi secara menyeluruh, dan kebijakan ditinjau dan diperbaharui secara berkala.
X
Tersedia proses dokumentasi secara menyeluruh, dan kebijakan ditinjau dan diperbaruhi secara berkala.
X
Tersedia proses dokumentasi dari kebijakan keamanan untuk manajemen termasuk:
1. Kreasi 2. Administrasi
3. Komunikasi
Perusahaan mempunyai proses dokumentasi dari evaluasi dan memastikan pemenuhan dengan kebijakan keamanan informasi.
X
Perusahaan memaksakan kebijakan keamanan mereka.
X
5. Manajemen Keamanan dan Kolaboratif
Perusahaan memiliki kebijakan dan prosedur melindungi informasi ketika berkerja dengan perusahaan lain, termasuk :
1. Melindungi informasi milik perusahaan lain. 2. Memahami kebijakan keamanan dan prosedur
perusahaan lain.
X
Dokumentasi informasi perusahaan untuk melindungi
kebutuhan-kebutuhan dan dengan tegas
memberitahukan ke semua aspek.
X
Perusahaan memiliki mekanisme formal untuk verifikasi ke semua pihak perusahaan, outsource keamanan layanan, mekanisme, dan teknologi, agar sesuai dengan kebutuhan dan persyaratannya.
X
Perusahaan memiliki kebijakan dan prosedur untuk berkerja sama dengan perusahaan lain, seperti :
1. Memberikan kesadaran keamanan dan pelatihan perusahaan
2. Mengembangkan kebijakan keamanan untuk perusahaan.
3. Mengembangkan contigency plan untuk organisasi.
6. Perencanaan Contingency
Sebuah analisis dari operasional, aplikasi-aplikasi dan data penting sudah dilaksanakan.
X
Perusahaan telah melakukan dokumentasi, peninjauan kembali, dan pengujian.
1. Kontinuitas bisnis atau rencana operasi darurat 2. Rencana pemulihan bencana
3. Kemungkinan rencana untuk menanggapi keadaan darurat
X
Kemungkinan pemulihan bencana, dan kontinuitas bisnis mempertimbangkan rencana fisik dan persyaratan elektronik dan kontrol akses.
X
Seluruh karyawan:
1. Sadar akan kemungkinan, pemulihan bencana, dan kontinuitas bisnis.
2. Memahami dan mampu untuk melaksanakan tanggungjawab mereka.
7. Pengendalian Akses Fisik
Karyawan dari perusahaan bertanggungjawab untuk kawasan ini:
1. Prosedur dan rencana fasilitas keamanan dalam menjaga lokasi, bangunan dan apapun yang dibatasi
2. Daerah telah didokumentasikan dan diuji.
X
Adanya kebijakan yang di dokumentasikan dan prosedur untuk mengelola pelanggan.
X
Adanya kebijakan yang didokumentasikan dan prosedur untuk mengendalikan akses fisik ke tempat kerja dan perangkat keras (komputer, perangkat komunitas, dll) dan perangkat lunak media.
X
Area kerja yang banyak menggunakan komputer dan komponen lainnya yang menggunakan akses ke informasi yang sensitif secara fisik menjamin untuk mencegah akses yang tidak sah.
8. Pemantauan dan Audit Keamanan Fisik
Karyawan dari perusahaan Anda
bertanggungjawab untuk kawasan ini:
Catatan pemeliharaan disimpan ke dokumen perbaikan dan modifikasi dari fasilitas fisik komponen.
X
Tindakan individu atau grup, berkaitan dengan semua media dikontrol secara fisik, dan dapat dipertanggungjawabkan.
X
Audit dan pemantauan dilakukan secara fisik dan diambil tindakan korektiif yang diperlukan.
X
9. Sistem dan Manajemen Jaringan
Karyawan dari perusahaan anda
bertanggungjawab untuk kawasan ini:
Ada dokumentasi dan rencana uji keamanan untuk menjaga sistem keamanan dan jaringan.
Sensitifitas informasi dilindungi oleh tempat penyimpanan yang aman (misalnya, back up disimpan didalam off-site)
X
Integritas dari perangkat lunak diinstal secara teratur dan diverifikasi.
X
Seluruh sistem selalu diperbahuri dengan revisi, patch, dan rekomendasi dalam laporam keamanan.
untuk backup, perangkat lunak dan data. Semua karyawan memahami tanggungjawab mereka didalam backup plans.
Perubahan TI untuk hardware dan software yang direncanakan, dikontrol, dan didokumentasikan.
X
Karyawan TI mengikuti prosedur penerbitan, mengubah, dan mengakhiri pengguna password, account, dan hak istimewa:
1. Identifikasi pengguna secara unik diperlukan untuk semua pengguna sistem informasi, termasuk pihak ketiga pengguna.
2. Penetapan account dan penetapan password telah dihapus dari sistem.
X
Hanya layanan yang diperlukan yang dijalankan pada sistem – yang tidak perlu dihapus.
X
Peralatan dan mekanisme untuk keamanan sistem dan jaringan administrasi yang digunakan, ditinjau secara rutin dan perbaruhi atau diganti.
X
Karyawan dari perusahaan anda bertanggungjawab untuk kawasan ini:
Sistem dan pemantauan jaringan dan audit secara rutin digunakan oleh organisasi. Aktivitas yang tidak bisa akan ditangani sesuai dengan kebijakan atau prosedur yang sesuai.
X
Firewall dan komponen keamanan lainnya secara berkala diaudit untuk mematuhi kebijakan.
X
11. Pengesahan dan Otorisasi
Karyawan dari perusahaan anda
bertanggungjawab untuk kawasan ini:
Kontrol sesuai akses dan otentikasi pengguna (misalnya: pengizinan file dan konfigurasi jaringan) konsisten dengan kebijakan ini digunakan utuk membatasi akses pengguna ke informasi, sistem sensitif, aplikasi dan layanan tertentu, dan koneksi jaringan.
X
Adanya dokumentasi kebijakan dan prosedur untuk mendirikan dan mengakhiri hak akses untuk informasi baik untuk individu dan kelompok.
memastikan bahwa sensitif informasi belum diakses, diubah, atau dihancurkan dalam bentuk yang tidak sah. Metode atau mekanisme secara berkala ditinjau dan diverifikasi.
12. Manajemen Kerentanan
Karyawan dari perusahaan anda
bertanggungjawab untuk kawasan ini:
Berikut adalah dokumentasi prosedur untuk mengelola tingkat kerentanan, yaitu:
1. Kerentanan memilih alat evaluasi
2. Up to date dengan kerentanan dan jenis serangan metode
3. Meninjau sumber informasi tentang kerentanan pengumuman, peringkat keamanan, dan pemberitahuan
4. Mengidentifikasi komponen infrastruktur untuk dievaluasi
5. Menafsirkan dan menanggapi hasil
6. Mengelola keamanan tempat penyimpanan dan menjaga kerentanan data.
serta diupdate secara berkala.
Penilaian kerentanan teknologi yang dilakukan secara periodik pada dasar, dan kerentanan yang dialamatkan ketika mereka dikenal.
X
13. Enkripsi
Jika karyawan dari perusahaan
bertanggungjawab di area ini:
Keamanan sesuai kontrol yang digunakan untuk melindungi informasi sensitif selama dalam penyimpanan dan transmisi.
X
Protokol enkripsi dipakai ketika mengelola sistem, router dan firewall dari jauh.
X
14. Desain dan Arsitektur Keamanan
Jika karyawan dari organisasi bertanggungjawab area ini:
Sistem arsitektur dan desain baru dan sistem yang di revisi termasuk pertimbangan untuk:
1. Keamanan strategi, kebijakan, dan prosedur 2. Sejarah keamanan kompromi
3. Hasil penilaian risiko keamanan
Perusahaan mempunyai diagram up-to-date yang menunjukan keamanan arsitektur dari perusahaan dan topologi jaringan.
X
15. Manajemen Insiden
Jika karyawan dari perusahaan anda bertanggungjawab di area ini:
Prosedur yang didokumentasikan untuk mengindentifikasi, melaporkan, dan menanggapi dugaan pelanggaran keamanan dan insiden.
X
Prosedur insiden manajemen secara periodik dites, diverikasi, dan diupdate.
X
Ada kebijakan yang didokumentasikan dan prosedur untuk bekerja dengan lembaga penegak hukum.
Area Apa kelebihan organisasi di dalam area ini ?
Apa kekurangan organisasi di dalam area
ini ? 1. Kesadaran Keamanan
dan Pelatihan
. Karyawan kadang lupa
akan tanggungjawab dan kurang nya kesadaran dalam mendukung kesadaran keamanan.
2. Strategi Keamanan Strategi bisnis perusahaan selalu mempertimbangkan setiap sisi keamanan.
Strategi keamanan di Perusahaan tidak rutin diperbaharui
3. Manajemen Keamanan
Semua karyawan di setiap tingkatan melaksanakan tugas dan tanggungjawab mereka dalam keamanan informasi.
Pengupdatean keamanan harus di lakukan secara rutin
4. Kebijakan Keamanan dan Peraturan
Perusahaan memiliki dokumentasi secara
menyeluruh, dan kebijakan ditinjau dan diperbahuri secara berkala.
5. Manajemen Keamanan Kolaboratif
Kesadaran keamanan yang tinggi dikarenakan pelatihan perusahaan dan peraturan yang sudah di dokumentasi
6. Perencanan Contingency
Karyawan sadar akan kemungkinan, pemulihan bencana, dan kontinuitas bisnis, mampu untuk melaksanakan tanggung jawab mereka. . 7. Pengendalian Akses Fisik Kebijakan yang di dokumentasikan dan prosedur untuk mengelola pelanggan. . 8. Pemantauan dan Audit Keamanan Fisik Adanya catatan pemeliharaan disimpan ke dokumen dan modifikasi dari fasilitas fisik komponen..
9. Sistem dan
manajemen jaringan
Informasi dilindungi di tempat penyimpanan yang aman.
Audit Keamanan TI
keamanan dilakukan secara rutin.
11. Pengesahan dan Otorisasi
Adanya dokumentasi
kebijakan dan prosedur untuk mendirikan dan mengakhiri hak akses untuk informasi. 12. Manajemen
Kerentanan
Prosedur manajemen kerentanan diikuti dan ditinjau secara rutin.
13. Enkripsi Perusahaan menggunakan
enkripsi, Keamanan sesuai dengan kontrol yang
digunakan untuk melindungi informasi sensitif
14. Desain dan Arsitektur Keamanan
Perusahaaan mempunyai diagram up- to-date yang
menunjukan keamanan
arsitektur
15. Manajemen Insiden Kebijakan yang sudah
didokumentasikan dan
prosedur untuk bekerja dengan lembaga penegak hukum.
Langkah 4
Seberapa efektif perusahaan
mengimplementasikan pelatihan di area ini ?
Red Yellow Green
1. Kesadaran Keamanan dan Pelatihan X
2. Strategi Keamanan X
3. Manajemen keamanan X
4. Kebijakan Keamanan dan Peraturan X
5. Manajemen Keamanan Kolaboratif X
6. Perencanaan Contingency X
7. Pengendalian Akses Fisik X
8. Pemantauan dan Audit Keamanan Fisik X
9. Sistem dan Manajemen Jaringan X
10. Pemantauan dan Audit Keamanan TI X
11. Pengesahan dan Otorisasi X
12. Manajemen Kerentanan X
13. Enkripsi X
14. Desain dan Arsitektur Keamanan X
Langkah 5
Pertanyaan yang dipertimbangkan:
Aset akan mempunyai dampak buruk dalam perusahaan jika: • Aset jatuh ketangan orang lain yang tidak berwenang. • Aset dimodifikasi tanpa otorisasi.
• Aset hilang atau rusak. • Akses ke aset terputus.
Aset Kritikal Catatan
Source Code kumpulan kode bahasa pemrograman
tertentu yang membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh komputer.
SOP Sistem atau prosedur yang disusun untuk
memudahkan, merapihkan dan menertibkan pekerjaan. Sistem ini berisi urutan proses melakukan pekerjaan dari awal sampai akhir. Perusahaan membuat SOP agar para karyawan dapat memahami dan melakukan tugasnya sesuai standar yang digariskan perusahaan.
L-40
Langkah 6 Langkah 7 Langkah 8
Aset Kritikal Alasan Untuk penilaian Deskripsi Source Code Karena ini adalah
Kumpulan kode kode dalam
bahasa pemrograman
tertentu penting yang digunakan sebagai sumber informasi yang hanya dapat diakses oleh orang yang mempunyai otorisasi.
Manager IT
SOP Karena SOP merupakan
sistem prosedur dan
peraturan cara kerja perusahaan yang ada di perusahaan contohny pada development apa bila di dalam software development tidak terdapat SOP maka
pembuatan software
development akan tidak maksimal atau tidak sesuai yang di inginkan.
Langkah 9 Langkah 10 Langkah 11 Aset yang berhubungan Kebutuhan keamanan Kebutuhan keamanan
yang paling penting
Aset mana yang
berhubungan dengan
sistem ini ?
Apa kebutuhan keamanan dalam sistem ini ?
Apa kebutuhan keamanan yang paling penting dalam sistem ini ?
PC Internet Eclipse ⌧ Confidentiality ⌧ Integrity ⌧ Availability Confidentiality Integrity ⌧ Availability
Langkah 16
Pihak dalam yang
menggunakan akses jaringan
Berikan contoh bagaimana pihak dalam yang bertindak secara tidak sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini.
Dalam perusahaan ada yang dinamakan public folder, public folder tempat dimana tempat dimana folder-folder yang ada dapat di share atau dilihat oleh orang banyak. Masalah yang terjadi folder dapat sengaja atau tidak sengaja di hapus oleh orang yang tidak bertanggung jawab
Berikan contoh bagaimana pihak dalam yang bertindak secara sengaja dapat
menggunakan akses jaringan untuk mengancam sistem ini. Pihak dalam yang
menggunakan akses jaringan
Berikan contoh bagaimana pihak dalam yang bertindak secara tidak sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini.
pihak dalam yang bertindak
secara sengaja dapat
menggunakan akses jaringan untuk mengancam sistem ini.
linux seperti notebook-notebook karyawan .
Pihak dalam yang menggunakan akses fisik Berikan contoh bagaimana pihak dalam yang bertindak secara tidak sengaja dapat menggunakan akses fisik untuk mengancam sistem ini. Berikan contoh bagaimana pihak dalam yang bertindak secara sengaja dapat
menggunakan akses fisik untuk mengancam sistem ini.
Pihak luar yang
Berikan contoh bagaimana pihak luar yang bertindak secara tidak sengaja dapat menggunakan akses fisik untuk mengancam sistem ini. Berikan contoh bagaimana pihak luar yang bertindak secara sengaja dapat menggunakan akses fisik untuk mengancam sistem ini.
Langkah 17
System of Interest
Sistem apa yang paling dekat yang berkaitan dengan aset penting? SOP
Langkah 18a
System of Interest
Kelas komponen mana yang dibawah ini yang merupakan bagian dari system of interest?
⌧Server
Lainnya Langkah 18b
Intermediate Access Points
Kelas komponen mana yang dibawah ini yang dapat berfungsi sebagai intermediate access points?
⌧ Jaringan Internal
Jaringan External
Lainnya Langkah 18c
System Access by People
Kelas komponen mana yang dibawah ini merupakan orang yang dapat mengakses system of interest? ⌧On-Site Workstations ⌧Laptops PDAs/Wireless Components Home/External Workstations Lainnya
Langkah 18d
Data Storage Locations
Kelas komponen mana yang dibawah ini yang merupakan informasi dari system of interest disimpan untuk tujuan cadangan?
⌧ Storage Devices
Lainnya Langkah 18e
Other Systems and Components
Kelas komponen mana dibawah ini yang dapat digunakan untuk mengakses informasi penting atau aplikasi dari system of interest?
Langkah 19a Kelas Langkah 19b Aset kritis Langkah 20 Tanggung jawab Langkah 21 Proteksi Metode pengambilan data B an y ak S ed ik it T id ak a d a T id ak t ah u F o rm al T id ak f o rm al L ai n n y a Server ` Server 1 Karyawan TI X X X Internal Networks SEMUA Karyawan TI X X X On-site workstation Logistic Purchasing Marketing Finance X Karyawan TI X X X X X Laptops SEMUA Manager Karyawan TI X X X Storage devices Local back up Karyawan TI X X X
Langkah 23
Frequency-Based Criteria
Berpikir tentang apa yang tinggi, sedang, dan rendah yang memungkinkan terjadinya ancaman bagi aset-aset penting perusahaan anda.
Tinggi Sedang Rendah
Mengukur waktu peristiwa
Hari Minggu Bulan 4 x
Setahun Kurang dari 4 X setahun 1 X setahun Kurang dari 1 X setahun Frekuensi tahunan 365 52 12 4 <4 1 <1
1. Kesadaran Keamanan dan Pelatihan
Langkah 25 Langkah 29
Stoplight Status R
Pelatihan Keamanan Sebagaimana formal pelatihan strategi organisasi anda? Akankah beberapa kegiatan mitigasi mengubah strategi pelatihan anda?
Suatu perusahaan mempunyai strategi pelatihan yang telah
didokumentasikan meliputi
kesadaran keamanan dan
keamanan-terkait pelatihan untuk mendukung teknologi.
⌧Sekarang Berubah
Suatu perusahaan mempunyai strategi pelatihan yang informal dan tidak didokumentasikan.
⌧ Sekarang Berubah
Pelatihan Kesadaran Keamanan Seberapa sering kesadaran keamanan diberikan pelatihan? Akankan beberapa kegiatan mitigasi mengubah strategi pelatihan anda?
Secara berkala pelatihan kesadaran keamanan disediakan untuk semua karyawan 1 kali setiap 1tahun.
⌧ Sekarang Berubah
Pelatihan kesadaran keamanan diberikan untuk anggota karyawan baru sebagai bagian dari orientasi mereka.
⌧ Sekarang Berubah
Suatu organisasi tidak memberikan pelatihan kesadaran keamanan. Anggota karyawan belajar tentang masalah keamanan dengan
sendirinya.
Pelatihan Hubungan Keamanan untuk Pendukung Teknologi
Sejauh mana anggota
karyawan TI mensyaratkan untuk mengikuti pelatihan yang berhubungan dengan keamanan? Akankah beberapa kegiatan mitigasi mengubah persyaratan untuk mengikuti pelatihan yang berhubungan dengan keamanan?
Anggota karyawan teknologi informasi yang diminta untuk mengikuti pelatihan keamanan yang terkait dengan teknologi yang ada untuk mendukung mereka.
Sekarang ⌧ Berubah
Anggota karyawan teknologi informasi dapat mengikuti pelatihan kemanan yang terkait untuk setiap teknologi yang mendukung mereka jika mereka memintanya.
Sekarang Berubah
Peusahaan umumnya tidak
memberikan kesempatan bagi
anggota karyawan teknologi informasi untuk mengikuti pelatihan yang terkait keamanan yang didukung teknologi. Anggota karyawan teknologi informasi mempelajari tentang isu yang terkait dengan keamanan dengan sendirinya. Pembaharuan Keamanan Secara Periodik Sebagaimana formal mekanisme organisasi anda untuk memberikan keamanan periodic? Akankah kegiatan mitigasi mengubah mekanisme untuk memberikan keamanan periodik?
Suatu perusahaan memiliki mekanisme formal untuk menyediakan anggota karyawan dengan pembaruan berkala tentang masalah keamanan.
⌧ Sekarang Berubah
Suatu organisasi tidak memiliki mekanisme untuk menyediakan
anggota karyawan dengan
pembaruan
keamanan.
Pelatihan Verifikasi Sebagaimana formal mekanisme organisasi anda untuk memverifikasi karyawan yang menerima pelatihan? Akankah kegiatan mitigasi mengubah mekanisme anda untuk memverifikasi
karyawan yang
menerima pelatihan? Suatu perusahaan memiliki
mekanisme formal untuk pelacakan dan verifikasi anggota karyawan yang menerima pelatihan yang terkait dengan keamanan
⌧Sekarang ⌧ Berubah
Perusahaan tidak memiliki mekanisme untuk pelacakan dan verifikasi anggota karyawan yang menerima pelatihan yang terkait dengan keamanan.
Langkah 28
1. Kesadaran Keamanan dan Pelatihan
Kegiatan Mitigasi Alasan Penanggung Jawab Pendukung Kegiatan mitigasi
yang mana yang anda laksanakan dalam praktek keamanan di wilayah ini? Mengapa anda memilih setiap kegiatan?
Siapa yang harus terlibat dalam melaksanakan setiap kegiatan? Mengapa? Apa dukungan tambahan akan diperlukan ketika melaksanakan setiap kegiatan (misalnya, pendanaan, komitmen dari karyawan, sponsor)? Menyediakan pelatihan kesadaran keamanan pada seluruh karyawan perusahaan. Pelatihan kesadaran keamanan secara berkala diperlukan semua karyawan agar penerapan keamaan menjadi lebih baik. Pimpinan perusahaan yang bertanggung jawab. Pendanaan dari perusahaan dan komitmen dari karyawan
kesempatan bagi karyawan teknologi informasi untuk mengikuti pelatihan yang terkait keamanan yang didukung teknologi mempunyai keahlian dibidang keamanan yang menggunakan teknologi perusahaan dan divisi TI perusahaan dan komitmen dari karyawan. Menyediakan pelatihan pendukung TI secara periodik pada karyawan TI.
Karena perangkat TI selalu berkembang dan perlu adanya pelatihan dalam karyawan TI agar penerapan TI organisasi menjadi lebih baik.
Manajer TI, dan Karyawan TI.
Pendanaan dari perusahaan dan komitmen dari karyawan TI.
Memiliki mekanisme untuk pelacakan dan verifikasi anggota karyawan yang menerima pelatihan yang terkait dengan keamanan. Untuk mendata karyawan apakah sudah mengikuti pelatihan atau belum.
Manajer TI Komitmen dari
karyawan
Melakukan sistem pembaharuan keamanan secara periodik.
Agar keamanan data perusahaan terjamin
Divisi TI. Pendanaan dari
perusahaan dan komitmen karyawan
Management Sponsorship for Security Improvement
Apa yang harus dilakukan manajemen untuk mendukung pelaksanaan hasil dari OCTAVE-S?
− Mengutamakan keamanan informasi dalam strategi bisnis perusahaan
− Mengalokasikan dana untuk
melakasanakan rencana mitigasi
menerapkan kegiatan keamanan informasi dengan baik
Monitoring Implementation
Apa yang akan organisasi lakukan untuk melacak kemajuan dan memastikan bahwa hasil pengukuran ini dilaksanakan?
− Merencanakan proses mitigasi risiko yang matang
− Membuat laporan proses mitigasi yang telah dilakukan
− Melakukan evaluasi dalam rapat bulanan, dan memeriksa laporan rutin. Expanding the Current Information
Security Risk Evaluation
Akankah Anda mengembangkan
pengukuran risiko dengan metode OCTAVE-S saat ini untuk menambahkan aset-aset penting?
Perusahaan tidak akan melakukan pengukuran risiko penambahan aset-aset penting, jika kegiatan mitigasi yang ada sekarang belum diterapkan secara menyeluruh.
Net Information Security Risk Evaluation
Kapan sebuah organisasi akan melakukan pengukuran risiko dengan metode OCTAVE-S selanjutnya?
Perusahaan dianjurkan untuk melakukan pengukuran risiko dengan OCTAVE-S setiap tahun.
Berikut ini adalah lampiran daftar pertanyaan yang telah diajukan kepada pejabat di
perusahaan untuk proses pengumpulan data.
1. Bagaimana sejarah dibentuknya PT.Mandala Multifinance Tbk ?
– Didirikan pada tahun 1983, PT Mandala MultifinanceTbk bergerak pada bidang usaha pembiayaandengan fokus utama pembiayaan konsumenkendaraan roda dua. Perusahaan didirikan dengannama PT Vidya Cipta Leasing Corporation dan telahbeberapa kali bergantinama, hingga pada 21 Juli1997 nama PT Mandala
Multifinance disahkan olehMenteri Keuangan berdasarkan Keputusan MenteriKeuangan RI No.323/KMK.017/1997. kegiatan usaha Perusahaan meliputi Sewa Guna Usaha, Anjak Piutang, UsahaKartu Kredit, dan Pembiayaan Konsumen.Sejak pertama didirikan, Perusahaan memegangteguh komitmen untuk memberikan pelayananterbaik terhadap konsumen dan mitra bisnis. Pemegang saham utama PT MandalaMultifinance Tbk merupakan para professional yang berpengalaman lebih dari 20 tahun di bidangotomotif, diawali sebagai main dealer sepeda motordi wilayah Lampung dan Jawa
Barat.Perusahaan mencatatkan sahamnya dengankode [MFIN] di Bursa Efek Indonesia pada tanggal l6 September 2005 dengan menjual sahamnyakepada publik sebesar 24,53%. Hal ini bertujuanuntuk memperkuat struktur permodalan sertameningkatkan sumber dana untuk modal kerjaPerusahaan.Unit Usaha Syariah dibuka pada April 2006 denganrekomendasi DewanSyariah Nasional – MajelisUlama Indonesia No.U-075/DSN-MUI/IV/2006.Pembiayaan syariah ini dijalankan dengan dukungankerja sama dari
hampir semua bank syariah diIndonesia dan perkembangannya dari tahun ke tahuncukup menggembirakan.
2. Apa yang menjadi visi dan misi PT.Mandala Multifinance Tbk ?
Visi :
Menjadi perusahaan pembiayaan terbaik secara finansial yang berorientasi pada pelanggan.
Misi :
1. Menyediakan fasilitas pembiayaan dengan cepat dan efektif melalui perbaikan proses kerja, teknologi informasi, dan perluasan jaringan.
2. Mengutamakan kepuasan pelanggan dan mitra usaha. 3. Mengutamakan kemitraan yang saling menguntungkan. 4. Menjaga kredibilitas dan kepercayaan perbankan.
3. Bagaimanakah struktur organisasi PT.Mandala Multifinance Tbk.
– Data hasil wawancara digunakan pada halaman 54.
4. Apa saja tugas dan wewenang dari tiap bagian pada struktur organisasi tersebut ?
– Data hasil wawancara digunakan pada halaman 55 hingga 60.
5. Bagaimanakah proses bisnis PT.Mandala Multifinance Tbk ?
Pemesanan kredit yaitu proses nasabah memilih Mandala Multifinance sebagai pemberi jasa kredit untuk kendaraan bermotor yang akan dibelinya. Proses ini diawali dengan Konsumen yang ingin memiliki kendaraan bermotor tetapi tidak memiliki dana secara tunai atau cash , konsumen mengirimkan
Mandala Multifinance.
Mandala Multifinance bekerja sama dengan beberapa dealer atau agen yang telah dipilih oleh calon nasabah. Setelah calon nasabah memilih jenis kendaraan yang diinginkan dan memilih Mandala Multifinance sebagai jasa pemberi kreditnya, calon nasabah harus mengisi sebuah formulir permohonan kredit.Formulir permohonan kredit yang telah diisi dengan lengkap beserta lampiran-lampiran yang dibutuhkan kemudian dikirimkan oleh dealer kepada pihak Mandala Multifinance untuk ditindak lanjuti.Berkas-berkas diterima oleh bagian Administrasi Marketing, kemudian data-data calon nasabah dimasukan ke dalam sistem yang berjalan. Selanjutnya timsurvey yang telah ditugaskan untuk melakukan survey, membawa formulir yang berisikan daftar penilaian terhadap lingkungan tempat tinggal calon nasabah tersebut. Hasil survey yang diperoleh diserahkan kepada bagian Marketing. Bagian ini akan menghitung total perolehan nilai dari calon nasabah. Setelah total keseluruhan nilai diperoleh, maka nilai tersebut akan diberikan kepada pimpinan cabang sebagai bahan pertimbangan untuk menentukan apakah nasabah ini berhak untuk mendapatkan kredit yang diinginkan atau tidak.
Bagian Marketing akan memberitahukan hasil keputusannya kembali kepada tim survey. Jika permohonan kredit calon nasabah diterima, maka timsurvey akan menginformasikan kepada dealer, lalu akan disampaikan kepada nasabah atau pembeli itu sendiri. Jika permohonan kredit tersebut ditolak, Tim survey akan langsung menginformasikan kepada nasabah.
Bagian Purchasingakan melakukan pengecekan data pemesanan kredit yang baru. Untuk setiap pemesanan kredit yang baru, bagian ini akan
mengirimkan Purchase Order dan surat jalan kepada dealer yang berhubungan, sehingga motor dapat langsung dikirimkan kepada pembeli. Setelah itu bagian Purchasing akan mengurus asuransi yang dibutuhkan, lalu menyampaikan permintaan dana ke bagian Finance cabang.
Bagian Finance cabang akan meneruskan permintaan dana tersebut ke bagian Finance pusat. Setelah dana dicairkan, Finance cabang dapat langsung mentransfer dana kepada dealer. Setelah itu pihak dealer akan menyerahkan BPKB dari kendaraan yang dipilih kepada bagian Finance cabang, yang lalu akan diteruskan kepada Finance pusat dan disimpan sampai nasabah melunasi kreditnya.
6. Bagaimanakah proses development PT.Mandala Multifinance Tbk ?
User melakukan permintaan/perbaikan program kepada bagian Komite Sistem& Prosedur dengan membuat Form Permintaan/Perbaikan Program sebanyak 3 rangkap :
rangkap 1 : di berikan untuk kepala divisi,kepala divisi hanya mengecek saja rangkap 2 : di berikan ke kepala sub divisi
rangkap 3 : di arsip oleh komite sistem&prosedur
Setelah menerima Form Permintaan / Perbaikan Program dari Komite Sistem& Prosedur, Kepala Sub Divisi akan mengecek apakah program yang diberikan perlu didiskusikan dengan Komite Design.
Apabila perlu didiskusikan maka Komite Design membuat / revisi design& spesifikasi berdasarkan prosedur design & spesifikasi sistem bersama dengan Kepala Sub Divisi yang menghasilkan Form Permintaan Persetujuan hasil Design/ Spesifikasi yang akan diberikan kepada Kepala Divisi.
Design/ Spesifikasi. Jika disetujui maka Kepala Sub Divisi akan membuat Form Hasil Design & Spesifikasi yang akan diberikan kepada PIC yang ditugaskan. PIC akan memberikan Form Hasil Design & Spesifikasi kepada Bagian Developer lalu Bagian Developer akan melakukan implementasi kedalam design sistem. Jika tidak disetujui maka Komite Design akan mengulang proses dari membuat / revisi design& spesifikasi berdasarkan prosedur design & spesifikasi sistem.
Apabila tidak perlu didiskusikan maka Kepala Sub Divisi akan membuat / revisi design& spesifikasi berdasarkan prosedur design & spesifikasi sistem. Kepala Sub Divisi membuat Form Permintaan Persetujuan hasil Design/
Spesifikasi. Jika Form Permintaan Persetujuan hasil Design/ Spesifikasi disetujui oleh Kepala Divisi maka akan membuat Form Hasil Design & Spesifikasi yang akan diberikan kepada PIC yang ditugaskan. PIC akan memberikan Form Hasil Design & Spesifikasi kepada Bagian Developer lalu Bagian Developer akan melakukan implementasi kedalam design sistem.7. Berapakah komputer yang digunakan pada PT.Mandala Multifinance Tbk ?
Menggunakan Operating System Linux.
9. Software apakah yang digunakan dalam pembuatan program pada PT.Mandala Multifinance Tbk ?
Pembuatan Program dengan menggunakan Software Java dan eclipse 10. Software apakah yang digunakan database PT.Mandala Multifinance Tbk ?
Sistem database menggunakan Oracle.
11. Strategi apakah yang diterapkan PT.Mandala Multifinance Tbk dalam hal menjaga keamanan IT ?
– Data hasil wawancara digunakan pada halaman 66.
12. Risiko apa saja yang dapat terjadi pada PT.Mandala Multifinance Tbk ?
