Lampiran-Lampiran. Aktivitas Langkah Deskripsi

Transkripsi

1 L-1 Lampiran-Lampiran 1. Proses dan Aktifitas OCTAVE-S Proses S1 : Identifikasi Informasi Organisasi Aktivitas Langkah Deskripsi S1.1 1 Menentukan ukuran kualitatif (tinggi, Membangun dampak sedang, rendah) terhadap efek risiko yang dari kriteria evaluasi akan dievaluasi dalam misi organisasi dan tujuan bisnis perusahaan. S1.2 2 Mengidentifikasi informasi yang terkait Mengidentifikasi aset organisasi dengan aset dalam organisasi (informasi, sistem, aplikasi dan orang). S1.3 3a Menentukan sejauh mana praktek yang Mengevaluasi praktek keamanan organissasi disurvei digunakan oleh organisasi 3b Mengevaluasi setiap area praktek keamanan yang menggunakan survei dari langkah 3a, contoh dokumen rincinya: Apa yang saat ini organisasi lakukan dengan baik di area ini (praktek keamanan). Apa yang saat ini tidak dilakukan dengan baik oleh organisasi di area ini (kerentanan organisasi).

2 L-2 4 Setelah menyelesaikan langkah 3a dan 3b, tentukan status stoplight (merah, kuning atau hijau) untuk setiap wilayah praktek keamanan. Status stoplight harus menunjukan seberapa baik kepercayaan terhadap kinerja organisasi di tiap area. --- Dokumen tindakan terhadap item yang diidentifikasi selama proses S1 --- Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S1 Proses S2 : Membuat Profil Ancaman Aktivitas Langkah Deskripsi S2.1 5 Meninjau ulang informasi yang Memilih aset kritis berhubungan dengan aset yang diidentifikasi pada langkah ke 2 dan pilih hingga 5 (lima) yang paling pernting untuk organisasi. 6 Memulai kertas kerja informasi aset kritis untuk setiap aset kritis. Catat nama dari aset informasi aset kritis.

3 L-3 7 Catat alasan dari setiap pemilihan aset kritis pada kertas kerja infomasi aset kritis. 8 Catat deskripsi dari seriap aset kritis pada kertas kerja informasi aset kritis. Pertimbangkan siapa yang menggunakan aset kritis seperti halnya yang bertanggung jawab untuk itu. 9 Catat aset yang berhubungan dengan setiap aset kritis yang terdapat pada kertas kerja informasi aset kritis. Lihat kertas kerja indetifikasi aset untuk menentukan aset yang terkait dengan aset kritis. S Catat kebutuhan keamanan untuk setiap Identifikasi kebutuhan keamanan untuk aset kritis aset kritis yang terdapat pada kertas kerja informasi aset kritis 11 Untuk setiap aset kritis catat kebutuhan keamanan yang paling penting yang terdapat pada kertas kerja infomasi aset kritis S2.3 Identifikasi ancaman pada aset kritis 12 Melengkapi semua ancaman yang sesuai dengan aset kritis. Tandai setiap cabang dalam setiap pohon dimana hal ini

4 L-4 merupakan kemungkinan ancaman yang tidak dapat diabaikan dalam aset. Setelah melengkapi langkah ini, jika mengalami kesulitan dalam menafsirkan sebuah ancaman pada setiap pohon, tinjau ulang deskripsi dan contoh ancaman dalam panduan penerjemah ancaman 13 Catat contoh spesifik dari pelaku ancaman dalam kertas kerja profil risiko yang berlaku untuk seriap kombinasi motif pelaku 14 Catat kekuatan motif untuk setiap ancaman yang disengaja yang dikarenakan tindakan manusia. Juga mencatat bagaimana kepercayaan terhadap perkiraan kekuatan atas motif pelaku. 15 Catat seberapa sering setiap ancaman telah terjadi di masa lalu. Juga mencatat bagaimana keakuratan datayang dipercaya. 16 Catat area yang terkait dengan setiap sumber dari ancaman yang sesuai. Sebuah

5 L-5 area yang terkait adalah sebuah scenario yang mendefinisikan seberapa spesifik ancaman dapat mempengaruhi aset kritis. --- Dokumen tindakan terhadap item yang diidentifikasi selama proses S Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S2 Proses S3 : Memeriksa Perhitungan Infrastuktur yang Berhubungan dengan Aset Kritis Aktivitas Langkah Deskripsi S Pilih sistem yang menarik untuk setiap aset Memeriksa jalur aset kritis (yakni sistem yang paling berkaitan dengan aset kritis). 18a Tinjau ulang jalur yang digunakan oleh setiap aset kritis dan pilih kelas kunci dari komponen yang berkaitan dengan setiap aset kritis. Tentukan kelas komponen yang merupakan bagian dari sistem yang menarik.

6 L-6 18b Menentukan kelas komponen yang bertindak sebagai akses poin lanjut (misalnya komponen yang digunakan untuk mengirimkan informasi dan aplikasi dari sistem yang menarik untuk orang) 18c Menentukan kelas komponen baik internal dan eksternal untuk jaringan organisasi, digunakan oleh orang (misalnya pengguna, penyerang) untuk mengakses sistem. 18d Menentukan dimana informasi yang menarik dari sistem disimpan untuk tujuan back-up. 18e Menentukan mana sistem akses informasi yang lain atau aplikasi dari sistem yang menarik dan kelas komponen mana yang dapat digunakan untuk mengakses informasi kritis atau layanan dari sistem yang menarik S3.2 19a Menentukan kelas komponen yang Menganalisa proses berhubungan dengan satu atau lebih aset yang terkait dengan kritis dan yang menyediakan akses kepada

7 L-7 Teknologi aset tersebut. Tandai setiap jalur untuk setiap kelas yang dipilih dalam langkah 18a sampai 18e. Tandai setiap bagian kelas atau contoh spesifik yang berhubungan jika diperlukan. 19b Untuk setiap kelas komponen yang didokumentasi dalam langkah 19a, tandai aset kritis mana yang terkait dengan kelas tersebut. 20 Untuk setiap kelas komponen yang di dokumentasikan dalam langkah 19a, tandai orang atau kelompok yang bertanggung jawab untuk memelihara dan melindungi kelas komponen tersebut. 21 Untuk setiap kelas komponen yang didokumentasikan dalam langkah 19a, tandai sejauh mana kelas tersebut dapat bertahan terhadap serangan jaringan. Juga catat bagaimana kesimpulan dibuat. Akhirnya, dokumen konteks tambahan berhubungan dengan analisis infrastuktur. --- Perbaiki tahap 1 informasi yang

8 L-8 berdasarkan dari jalur akses dan teknologi yang terkait dengan proses. Perbaharui hal berikut jika sesuai: Tandai setiap cabang tambahan dari pohon ancaman jika sesuai (langkah 12). Pastikan konteks dokumen yang sesuai untuk setiap cabang yang ditandai (langkah 13-16). Perbaiki dokumentasi area yang terkait dengan menambahkan rincian tambahan jika sesuai. Identifikasi dan dokumenkan setiap area baru yang terkait jika sesuai (langkah 16). Perbaiki dokumentasi praktek keamanan dan kerentanan organisasi dengan menambahkan rincian tambahan jika sesuai. Identifikasi dan dokumenkan praktek keamanan yang baru dan kerentanan organisasi jika diperlukan (langkah 3b). Perbaiki status stoplight untuk praktek keamanan jika sesuai (langkah 4).

9 L Dokumentasi tindakan terhadap item yang diidentifikasi selama proses S3 --- Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S3 Proses S4 : Identifikasi dan Analisis Risiko Aktivitas Langkah Deskripsi S Menggunakan kriteria evaluasi dampak Mengevaluasi dampak ancaman sebagai panduan, memberi nilai dampak (tinggi, sedang, rendah) untuk setiap ancaman yang aktif bagi aset kritis. S Menentukan ukuran kualitatif (tinggi, Membangun kemungkinan kriteria sedang, rendah) terhadap, kemungkinan terjadinya ancaman yang akan di evaluasi. evaluasi S Menggunakan kriteria evaluasi Mengevaluasi kemungkinan ancaman kemungkinan sebagai panduan, menetapkan nilai kemungkinan (tinggi, sedang, rendah) untuk setiap ancaman yang aktif terhadap aset kritis. Dokumenkan tingkat keyakinan dalam memperkirakan kemungkinan

10 L Dokumen tindakan terhadap item yang diidentifikasi selama proses S4 --- Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S4 Proses S5 : Mengembangkan strategi perlindungan dan rencana mitigasi Aktivitas Langkah Deskripsi S Mengirim status stoplight untuk setiap Menggambarkan area praktek keamanan yang sesuai strategi saat ini perlindungan dengan area kertas kerja strategi perlindungan. Untuk setiap area praktek keamanan identifikasikan pendekatan yang dilakukan oleh organisasi saat ini yang ditujukan terhadap area tersebut. S Mengirim status stoplight untuk setiap Memilih mitigasi pendekatan area praktek keamanan dari kertas kerja praktek keamanan ke area praktek keamanan (langkah 26) untuk setiap aset kritis dari kertas kerja profil risiko 27 Memilih pendekatan mitigasi (mengurangi, menunda, menerima) untuk setiap risiko aktif. Untuk setiap risiko

11 L-11 diputuskan untuk ditangani, lingkari satu atau lebih area praktek keamanan yang hendak dilakukan kegiatan mitigasi. S Mengembangkan rencana mitigasi untuk Mengembangkan rencana mitigasi risiko setiap area praktek keamanan yang dipilih pada langkah 27. Setelah langkah ini selesai, jika mengalami kesulitan untuk mendapatkan aktivitas mitigasi yang potensial pada area praktek keamanan, tinjau ulang contoh aktivitas mitigasi dari area tersebut dipanduan aktivitas mitigasi. S Menentukan apakah rencana mitigasi Identifikasi perubahan mempengaruhi strategi perlindungan untuk perlindungan strategi organisasi. Catat setiap perubahan pada kertas kerja strategi perlindungan. Selanjutan, tinjau tindak ulang strategi perlindungan, diikuti dengan tujuan perubahan. Tentukan apakah ada niat untuk membuat perubahan tambahan pada strategi perlindungan. Catat setiap perubahan tambahan pada kertas kerja strategi perlindungan.

12 L Dokumen tindakan terhadap item yang diidentifikasi selama proses S5. S Menentukan apa yang dibutuhkan Identifikasi selanjutnya langkah Organisasi

13 L-13 Hasil Analisa Dan Wawancara Langkah 1 Tipe Dampak Rendah Sedang Tinggi Reputasi/kepercayaan Pelanggan Reputasi Reputasi adalah Reputasi telah Reputasi telah tindakan yang rusak, dan hancur atau paling minimal, diperlukan rusak. sedikit atau beberapa biaya dan hampir tidak ada upaya yang biaya yang diperlukan untuk dibutuhkan untuk pulih. memperbaikinya. Kehilangan pelanggan Kurang dari 5% pengurangan Antara 5% sampai 10% pengurangan Lebih dari 10% pengurangan pelanggan karena pelanggan karena pelanggan karena kehilangan kehilangan kehilangan kepercayaan. kepercayaan. kepercayaan. Finansial Biaya operasional Meningkat kurang Biaya operasional Biaya operasional dari 5% dalam biaya operasional meningkat 5% sampai 15% setiap lebih dari 15% setiap tahun

14 L-14 setiap tahun Kehilangan pendapatan Lebih dari 5% kehilangan tahun. Antara 5% sampai 20% kehilangan Lebih besar dari 20% kehilangan pendapatan per pendapatan per pendapatan per tahun. tahun. tahun. One-Time Financial One-time One-time financial One-time Loss financial cost cost dari Rp financial cost yang kurang dari ,- lebih besar dari Rp ,-. sampai Rp Rp , ,-. Produktivitas Jam kerja Jam kerja Jam kerja karyawan Jam kerja karyawan meningkat antara karyawan meningkat lebih 10% sampai 20% meningkat lebih kecil dari 10% dari 20% Perlindungan/ Kesehatan Hidup Tidak ada Kehidupan Adanya ancaman karyawan sedang karyawan yang kehilangan atau terancam, tetapi meninggal. signifikan kehidupan pada mereka akan pulih

15 L-15 karyawan setelah menerima organisasi. perawatan medis. Kesehataan Kesehatan Pemulihan Pemulihan pelanggan atau sementara dari permanen dalam karyawan ancaman terhadap aspek signifikan organisasi dapat pelanggan atau dari pelanggan ditanggulangi karyawan. atau karyawan. dalam 4 hari Keselamatan Keselamatan Keselamatan Keselamatan dipertanyakan. terpengaruh. terlanggar. Denda/hukuman Denda Denda kurang dari Denda antara Rp Denda lebih besar Rp , ,- dan dari Rp Rp , ,-. Investigasi Tidak ada Pemerintah atau Pemerintah atau permintaan dari organisasi organisasi pemerintah atau investigasi lainnya investigasi

16 L-16 organisasi investigasi lain. meminta informasi atau catatan (low profile). lainnya melakukan investigasi profil tinggi dalam investigasi praktek organisasi. Langkah 2 Aset dan pertanyaan Jawaban Sistem Sistem-sistem apa saja yang dibutuhkan semua orang karyawan dalam perusahaan PC Jaringan Internet untuk mendukung pekerjaan mereka? Informasi Informasi apa saja yang dibutuhkan semua karyawan dalam perusahaan untuk mendukung pekerjaan mereka? Data pelanggan. Data penjualan. Data pembelian. Data pembayaran. Data barang. Data Kredit. Data stok.

17 L-17 Aplikasi dan pelayanan Aplikasi dan layanan apa saja yang dibutuhkan semua karyawan dalam perusahaan untuk mendukung pekerjaan mereka? Database Oracle Open Office Eclipse Koneksi internet berbasis first media Orang Siapa yang mempunyai keahlian atau kemampuan penting dalam organisasi dan susah untuk digantikan? IT manager Development Manager Network Engineer Admin Support Keahlian atau pengetahuan Apa keahlian atau kemampuan yang mereka miliki? 1. IT manager : Mempunyai tugas dan wewenang untuk menjalankan, mengembangkan dan bertanggung jawab atas IT infrastruktur korporat secara terstruktur dan sistematis 2. Development Manager Mempunyai tugas dan wewenang untuk membantu dalam memelihara dan mengembangkan sistem yang ada

18 L-18 ( , akses internet, file service, ftp service, print service, Backup data, door acces, billing system, dsb-nya). 3. Network Engineer Mempunyai tugas dan wewenang untuk membantu dalam memelihara dan mengembangkan jaringan dan interkoneksi-nya (switching, routing, cabling, Wi-Fi, dsb-nya). 4. Admin Support Mempunyai tugas dan wewenang untuk membantu dalam hal administrasi berkaitan masalah IT infrastruktur (aset IT inventori, backup inventori, pengadaan/pembelian, dsb-nya). Sistem yang berhubungan Siapa yang menggunakan sistem ini? Personal Computer (PC) digunakan oleh semua divisi.

19 L-19 Aset yang berhubungan Sistem lain yang digunakan? Internet Service Provider Langkah 3a Pertanyaan Banyak Sedikit Tidak 1. Kesadaran Keamanan dan Pelatihan Ada Para karyawan memahami peran keamanan dan tanggungjawab mereka, dimana hal ini didokumentasikan dan diverifikasi. Karyawan mempunyai keahlian yang cukup untuk mendukung semua pelayanan, mekanisme, dan teknologi, termasuk operasi keamanan mereka. Hal ini didokumentasikan dan diverifikasi. Kesadaran akan keamanan, pelatihan, dan pengingat periodik tersedia untuk semua personil pemahaman karyawan. Hal ini didokumentasikan dan desesuaikan secara periodik. Kesadaran mengikuti praktek keamanan dengan baik seperti : 1. Keamanan informasi 2. Merahasiakan informasi yang sensitive

20 L Mempunyai kemampuan yang menggunakan TI hardware dan software 4. Menggunakan password yang baik. 5. Memahani dan mematuhi kebijakan keamanan. 2. Stategi Keamanan Strategi bisnis perusahaan selalu mempertimbangan segi keamanan. Strategi keamanan dan kebijakan termasuk pertimbangan dari segi bisnis dan tujuan perusahan. Strategi keamanan, tujuan dan sasaran perusahaan didokumentasikan dan dikaji secara rutin, diperbahuri dan dikomunikasi dalam perusahaan. 3. Manajemen Keamanan Manajemen mangalokasikan dana dan sumberdaya yang cukup untuk aktivitas keamanan informasi. Peran keamanan dan tanggungjawab didefinisikan ke semua karyawan perusahaan. Semua karyawan di setiap tingkatan melaksanakan tugas dan tanggungjawab mereka dalam keamanan informasi. Ada prosedur dokumentasi untuk otoritasasi dan pengawasan semua karyawan yang berkerja dalam

21 L-21 penyediaan inforamsi atau penyajian informasi. Pemecatan dan penghentian praktek bagi setiap karyawan yang terlibat dalam permasalahan keamanan informasi. Perusahaan mengelola risiko keamanan informasi termaksud : 1. Penilaian risiko untuk keamanan informasi 2. Mengambil langkah-langkah untuk mengurangi risiko keamanan risiko keamanan informasi. Manajemen menerima dan bertindak atas laporan rutin dari informasi yang berhubungan dengan keamanan. 4. Kebijakan Keamanan dan Peraturan Perusahaan memiliki dokumentasi secara menyeluruh, dan kebijakan ditinjau dan diperbaharui secara berkala. Tersedia proses dokumentasi secara menyeluruh, dan kebijakan ditinjau dan diperbaruhi secara berkala. Tersedia proses dokumentasi dari kebijakan keamanan untuk manajemen termasuk: 1. Kreasi 2. Administrasi

22 L Komunikasi Perusahaan mempunyai proses dokumentasi dari evaluasi dan memastikan pemenuhan dengan kebijakan keamanan informasi. Perusahaan memaksakan kebijakan keamanan mereka. 5. Manajemen Keamanan dan Kolaboratif Perusahaan memiliki kebijakan dan prosedur melindungi informasi ketika berkerja dengan perusahaan lain, termasuk : 1. Melindungi informasi milik perusahaan lain. 2. Memahami kebijakan keamanan dan prosedur perusahaan lain. Dokumentasi informasi perusahaan untuk melindungi kebutuhan-kebutuhan dan dengan tegas memberitahukan ke semua aspek. Perusahaan memiliki mekanisme formal untuk verifikasi ke semua pihak perusahaan, outsource keamanan layanan, mekanisme, dan teknologi, agar sesuai dengan kebutuhan dan persyaratannya. Perusahaan memiliki kebijakan dan prosedur untuk berkerja sama dengan perusahaan lain, seperti :

23 L Memberikan kesadaran keamanan dan pelatihan perusahaan 2. Mengembangkan kebijakan keamanan untuk perusahaan. 3. Mengembangkan contigency plan untuk organisasi. 6. Perencanaan Contingency Sebuah analisis dari operasional, aplikasi-aplikasi dan data penting sudah dilaksanakan. Perusahaan telah melakukan dokumentasi, peninjauan kembali, dan pengujian. 1. Kontinuitas bisnis atau rencana operasi darurat 2. Rencana pemulihan bencana 3. Kemungkinan rencana untuk menanggapi keadaan darurat Kemungkinan pemulihan bencana, dan kontinuitas bisnis mempertimbangkan rencana fisik dan persyaratan elektronik dan kontrol akses. Seluruh karyawan: 1. Sadar akan kemungkinan, pemulihan bencana, dan kontinuitas bisnis.

24 L Memahami dan mampu untuk melaksanakan tanggungjawab mereka. 7. Pengendalian Akses Fisik Karyawan dari perusahaan bertanggungjawab untuk kawasan ini: 1. Prosedur dan rencana fasilitas keamanan dalam menjaga lokasi, bangunan dan apapun yang dibatasi 2. Daerah telah didokumentasikan dan diuji. Adanya kebijakan yang di dokumentasikan dan prosedur untuk mengelola pelanggan. Adanya kebijakan yang didokumentasikan dan prosedur untuk mengendalikan akses fisik ke tempat kerja dan perangkat keras (komputer, perangkat komunitas, dll) dan perangkat lunak media. Area kerja yang banyak menggunakan komputer dan komponen lainnya yang menggunakan akses ke informasi yang sensitif secara fisik menjamin untuk mencegah akses yang tidak sah.

25 L Pemantauan dan Audit Keamanan Fisik Karyawan dari perusahaan Anda bertanggungjawab untuk kawasan ini: Catatan pemeliharaan disimpan ke dokumen perbaikan dan modifikasi dari fasilitas fisik komponen. Tindakan individu atau grup, berkaitan dengan semua media dikontrol secara fisik, dan dapat dipertanggungjawabkan. Audit dan pemantauan dilakukan secara fisik dan diambil tindakan korektiif yang diperlukan. 9. Sistem dan Manajemen Jaringan Karyawan dari perusahaan anda bertanggungjawab untuk kawasan ini: Ada dokumentasi dan rencana uji keamanan untuk menjaga sistem keamanan dan jaringan. Sensitifitas informasi dilindungi oleh tempat penyimpanan yang aman (misalnya, back up disimpan didalam off-site) Integritas dari perangkat lunak diinstal secara teratur dan diverifikasi. Seluruh sistem selalu diperbahuri dengan revisi, patch, dan rekomendasi dalam laporam keamanan.

26 L-26 Ada dokumentasi dan rencana uji data cadangan untuk backup, perangkat lunak dan data. Semua karyawan memahami tanggungjawab mereka didalam backup plans. Perubahan TI untuk hardware dan software yang direncanakan, dikontrol, dan didokumentasikan. Karyawan TI mengikuti prosedur penerbitan, mengubah, dan mengakhiri pengguna password, account, dan hak istimewa: 1. Identifikasi pengguna secara unik diperlukan untuk semua pengguna sistem informasi, termasuk pihak ketiga pengguna. 2. Penetapan account dan penetapan password telah dihapus dari sistem. Hanya layanan yang diperlukan yang dijalankan pada sistem yang tidak perlu dihapus. Peralatan dan mekanisme untuk keamanan sistem dan jaringan administrasi yang digunakan, ditinjau secara rutin dan perbaruhi atau diganti. 10. Pemantauan dan Audit Keamanan TI

27 L-27 Karyawan dari perusahaan anda bertanggungjawab untuk kawasan ini: Sistem dan pemantauan jaringan dan audit secara rutin digunakan oleh organisasi. Aktivitas yang tidak bisa akan ditangani sesuai dengan kebijakan atau prosedur yang sesuai. Firewall dan komponen keamanan lainnya secara berkala diaudit untuk mematuhi kebijakan. 11. Pengesahan dan Otorisasi Karyawan dari perusahaan anda bertanggungjawab untuk kawasan ini: Kontrol sesuai akses dan otentikasi pengguna (misalnya: pengizinan file dan konfigurasi jaringan) konsisten dengan kebijakan ini digunakan utuk membatasi akses pengguna ke informasi, sistem sensitif, aplikasi dan layanan tertentu, dan koneksi jaringan. Adanya dokumentasi kebijakan dan prosedur untuk mendirikan dan mengakhiri hak akses untuk informasi baik untuk individu dan kelompok.

28 L-28 Metode atau mekanisme yang tersedia untuk memastikan bahwa sensitif informasi belum diakses, diubah, atau dihancurkan dalam bentuk yang tidak sah. Metode atau mekanisme secara berkala ditinjau dan diverifikasi.

29 L Manajemen Kerentanan Karyawan dari perusahaan anda bertanggungjawab untuk kawasan ini: Berikut adalah dokumentasi prosedur untuk mengelola tingkat kerentanan, yaitu: 1. Kerentanan memilih alat evaluasi 2. Up to date dengan kerentanan dan jenis serangan metode 3. Meninjau sumber informasi tentang kerentanan pengumuman, peringkat keamanan, dan pemberitahuan 4. Mengidentifikasi komponen infrastruktur untuk dievaluasi 5. Menafsirkan dan menanggapi hasil 6. Mengelola keamanan tempat penyimpanan dan menjaga kerentanan data.

30 L-30 Prosedur manajemen kerentanan diikuti dan ditinjau serta diupdate secara berkala. Penilaian kerentanan teknologi yang dilakukan secara periodik pada dasar, dan kerentanan yang dialamatkan ketika mereka dikenal. 13. Enkripsi Jika karyawan dari perusahaan bertanggungjawab di area ini: Keamanan sesuai kontrol yang digunakan untuk melindungi informasi sensitif selama dalam penyimpanan dan transmisi. Protokol enkripsi dipakai ketika mengelola sistem, router dan firewall dari jauh. 14. Desain dan Arsitektur Keamanan Jika karyawan dari organisasi bertanggungjawab area ini: Sistem arsitektur dan desain baru dan sistem yang di revisi termasuk pertimbangan untuk: 1. Keamanan strategi, kebijakan, dan prosedur 2. Sejarah keamanan kompromi 3. Hasil penilaian risiko keamanan

31 L-31 Perusahaan mempunyai diagram up-to-date yang menunjukan keamanan arsitektur dari perusahaan dan topologi jaringan. 15. Manajemen Insiden Jika karyawan dari perusahaan anda bertanggungjawab di area ini: Prosedur yang didokumentasikan untuk mengindentifikasi, melaporkan, dan menanggapi dugaan pelanggaran keamanan dan insiden. Prosedur insiden manajemen secara periodik dites, diverikasi, dan diupdate. Ada kebijakan yang didokumentasikan dan prosedur untuk bekerja dengan lembaga penegak hukum.

32 L-32 Langkah 3B Area Apa kelebihan organisasi di dalam area ini? Apa kekurangan organisasi di dalam area ini? 1. Kesadaran Keamanan dan Pelatihan. Karyawan kadang lupa akan tanggungjawab dan kurang nya kesadaran dalam mendukung kesadaran keamanan. 2. Strategi Keamanan Strategi bisnis perusahaan selalu mempertimbangkan setiap sisi keamanan. Strategi keamanan di Perusahaan tidak rutin diperbaharui 3. Manajemen Semua karyawan di setiap Pengupdatean keamanan Keamanan tingkatan melaksanakan harus di lakukan secara tugas dan tanggungjawab rutin mereka dalam keamanan informasi. 4. Kebijakan Keamanan dan Peraturan Perusahaan memiliki dokumentasi secara menyeluruh, dan kebijakan ditinjau dan diperbahuri secara berkala.

33 L Manajemen Keamanan Kolaboratif 6. Perencanan Contingency Kesadaran keamanan yang tinggi dikarenakan pelatihan perusahaan dan peraturan yang sudah di dokumentasi Karyawan sadar akan kemungkinan, pemulihan bencana, dan kontinuitas bisnis, mampu untuk melaksanakan tanggung jawab mereka.. 7. Pengendalian Akses Fisik Kebijakan yang di dokumentasikan dan prosedur untuk mengelola pelanggan.. 8. Pemantauan dan Adanya catatan Audit Fisik Keamanan pemeliharaan disimpan ke dokumen dan modifikasi dari fasilitas fisik komponen.. 9. Sistem dan manajemen jaringan Informasi dilindungi di tempat penyimpanan yang aman.

34 L Pemantauan dan Audit Keamanan TI Pemantauan dan audit keamanan dilakukan secara rutin. 11. Pengesahan dan Otorisasi 12. Manajemen Kerentanan Adanya dokumentasi kebijakan dan prosedur untuk mendirikan dan mengakhiri hak akses untuk informasi. Prosedur manajemen kerentanan diikuti dan ditinjau secara rutin. 13. Enkripsi Perusahaan menggunakan enkripsi, Keamanan sesuai dengan kontrol yang digunakan untuk melindungi informasi sensitif 14. Desain dan Arsitektur Keamanan Perusahaaan mempunyai diagram up- to-date yang menunjukan keamanan arsitektur 15. Manajemen Insiden Kebijakan yang sudah didokumentasikan dan prosedur untuk bekerja dengan lembaga penegak hukum.

35 L-35 Langkah 4 Seberapa efektif perusahaan Red Yellow Green mengimplementasikan pelatihan di area ini? 1. Kesadaran Keamanan dan Pelatihan 2. Strategi Keamanan 3. Manajemen keamanan 4. Kebijakan Keamanan dan Peraturan 5. Manajemen Keamanan Kolaboratif 6. Perencanaan Contingency 7. Pengendalian Akses Fisik 8. Pemantauan dan Audit Keamanan Fisik 9. Sistem dan Manajemen Jaringan 10. Pemantauan dan Audit Keamanan TI 11. Pengesahan dan Otorisasi 12. Manajemen Kerentanan 13. Enkripsi 14. Desain dan Arsitektur Keamanan 15. Manajemen Insiden

36 L-36 Langkah 5 Pertanyaan yang dipertimbangkan: Aset akan mempunyai dampak buruk dalam perusahaan jika: Aset jatuh ketangan orang lain yang tidak berwenang. Aset dimodifikasi tanpa otorisasi. Aset hilang atau rusak. Akses ke aset terputus. Aset Kritikal Catatan Source Code kumpulan kode bahasa pemrograman tertentu yang membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh komputer. SOP Sistem atau prosedur yang disusun untuk memudahkan, merapihkan dan menertibkan pekerjaan. Sistem ini berisi urutan proses melakukan pekerjaan dari awal sampai akhir. Perusahaan membuat SOP agar para karyawan dapat memahami dan melakukan tugasnya sesuai standar yang digariskan perusahaan.

37 L-37 L-40 Langkah 6 Langkah 7 Langkah 8 Aset Kritikal Alasan Untuk penilaian Deskripsi Source Code Karena ini adalah Kumpulan kode kode dalam Manager IT bahasa pemrograman tertentu penting yang digunakan sebagai sumber informasi yang hanya dapat diakses oleh orang yang mempunyai otorisasi. SOP Karena SOP merupakan Sistem Development sistem prosedur dan peraturan cara kerja perusahaan yang ada di perusahaan contohny pada development apa bila di dalam software development tidak terdapat SOP maka pembuatan software development akan tidak maksimal atau tidak sesuai yang di inginkan.

38 L-38 Langkah 9 Langkah 10 Langkah 11 Aset yang berhubungan Kebutuhan keamanan Kebutuhan keamanan yang paling penting Aset mana yang Apa kebutuhan keamanan Apa kebutuhan keamanan berhubungan dengan dalam sistem ini? yang paling penting sistem ini? dalam sistem ini? PC Confidentiality Confidentiality Internet Eclipse Integrity Integrity Availability Availability

39 DATA TABEL LAMPIRAN TERPISAH L-39

40 L-40

41 L-41

42 L-42

43 L-43

44 L-44

45 L-45

46 L-46

47 L-47 Langkah 16 Pihak dalam yang menggunakan akses jaringan Berikan contoh bagaimana pihak dalam yang bertindak secara tidak sengaja dapat menggunakan akses jaringan Dalam perusahaan ada yang dinamakan public folder, public folder tempat dimana tempat dimana folderfolder yang ada dapat di share atau dilihat oleh orang banyak. Masalah yang terjadi folder dapat sengaja atau tidak sengaja di hapus oleh orang yang tidak bertanggung jawab untuk mengancam sistem ini. Berikan contoh bagaimana pihak dalam yang bertindak secara sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini. Pihak dalam yang menggunakan akses jaringan Berikan contoh bagaimana pihak dalam yang bertindak secara tidak sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini.

48 L-48 Berikan contoh bagaimana pihak dalam yang bertindak secara sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini. Pernah terkena virus tetapi yang tidak menggunakan linux seperti notebook-notebook karyawan. Pihak dalam yang menggunakan akses fisik Berikan contoh bagaimana pihak dalam yang bertindak secara tidak sengaja dapat menggunakan akses fisik untuk mengancam sistem ini. Berikan contoh bagaimana pihak dalam yang bertindak secara sengaja dapat menggunakan akses fisik untuk mengancam sistem ini. Pihak luar yang menggunakan akses fisik

49 L-49 Berikan contoh bagaimana pihak luar yang bertindak secara tidak sengaja dapat menggunakan akses fisik untuk mengancam sistem ini. Berikan contoh bagaimana pihak luar yang bertindak secara sengaja dapat menggunakan akses fisik untuk mengancam sistem ini. Langkah 17 System of Interest Sistem apa yang paling dekat yang berkaitan dengan aset penting? SOP Langkah 18a System of Interest Kelas komponen mana yang dibawah ini yang merupakan bagian dari system of interest? Server Jaringan Internal

50 L-50 Lainnya Langkah 18b Intermediate Access Points Kelas komponen mana yang dibawah ini yang dapat berfungsi sebagai intermediate access points? Jaringan Internal Jaringan External Lainnya Langkah 18c System Access by People Kelas komponen mana yang dibawah ini merupakan orang yang dapat mengakses system of interest? On-Site Workstations Laptops PDAs/Wireless Components Home/External Workstations Lainnya

51 L-51 Langkah 18d Data Storage Locations Kelas komponen mana yang dibawah ini yang merupakan informasi dari system of interest disimpan untuk tujuan cadangan? Storage Devices Lainnya Langkah 18e Other Systems and Components Kelas komponen mana dibawah ini yang dapat digunakan untuk mengakses informasi penting atau aplikasi dari system of interest? Source Code

52 L-52 Langkah 19a Kelas Langkah 19b Aset kritis Langkah 20 Tanggung jawab Proteksi Langkah 21 Metode pengambilan data Banyak Sedikit Tidak ada Tidak tahu Formal Tidak formal Lainnya ` Server Server 1 Karyawan TI Internal Networks SEMUA Karyawan TI On-site workstation Logistic Purchasing Marketing Finance Laptops SEMUA Manager Karyawan TI Karyawan TI Storage devices Local back up Karyawan TI

53 L-53 Langkah 23 Frequency-Based Criteria Berpikir tentang apa yang tinggi, sedang, dan rendah yang memungkinkan terjadinya ancaman bagi aset-aset penting perusahaan anda. Tinggi Sedang Rendah Mengukur Hari Minggu Bulan 4 x Kurang 1 Kurang waktu Setahun dari 4 setahun dari 1 peristiwa setahun setahun Frekuensi <4 1 <1 tahunan

54 L Kesadaran Keamanan dan Langkah 25 Langkah 29 Pelatihan Stoplight Status R Pelatihan Keamanan Sebagaimana formal Akankah beberapa pelatihan strategi kegiatan mitigasi organisasi anda? mengubah pelatihan anda? strategi Suatu perusahaan mempunyai strategi pelatihan yang telah Sekarang Berubah

55 L-55 didokumentasikan meliputi Sekarang Berubah kesadaran keamanan dan keamanan-terkait pelatihan untuk mendukung teknologi. Suatu perusahaan mempunyai strategi pelatihan yang informal dan tidak didokumentasikan. Sekarang Berubah Pelatihan Kesadaran Keamanan Seberapa sering Akankan beberapa kesadaran keamanan kegiatan mitigasi diberikan pelatihan? mengubah pelatihan anda? strategi Secara berkala pelatihan kesadaran keamanan disediakan untuk semua karyawan 1 kali setiap 1tahun. Pelatihan kesadaran keamanan diberikan untuk anggota karyawan baru sebagai bagian dari orientasi mereka. Suatu organisasi tidak memberikan Sekarang Sekarang Sekarang Berubah Berubah Berubah pelatihan kesadaran keamanan. Anggota karyawan belajar tentang masalah keamanan dengan

56 L-56 sendirinya. Pelatihan Hubungan Keamanan Sejauh mana anggota Akankah beberapa untuk Pendukung Teknologi karyawan TI kegiatan mitigasi mensyaratkan untuk mengubah persyaratan mengikuti pelatihan untuk mengikuti yang berhubungan pelatihan yang dengan keamanan? berhubungan keamanan? dengan Anggota karyawan teknologi informasi yang diminta untuk mengikuti pelatihan keamanan yang terkait dengan teknologi yang ada untuk mendukung mereka. Anggota karyawan teknologi informasi dapat mengikuti pelatihan kemanan yang terkait Sekarang Sekarang Berubah Berubah untuk setiap teknologi yang mendukung mereka jika mereka memintanya. Peusahaan umumnya tidak memberikan kesempatan bagi Sekarang Berubah

57 L-57 anggota karyawan teknologi informasi untuk mengikuti pelatihan yang terkait keamanan yang didukung teknologi. Anggota karyawan teknologi informasi mempelajari tentang isu yang terkait dengan keamanan dengan sendirinya. Pembaharuan Keamanan Sebagaimana formal Akankah kegiatan Secara mekanisme organisasi mitigasi mengubah Periodik anda untuk mekanisme untuk Suatu perusahaan memiliki mekanisme formal untuk menyediakan anggota karyawan dengan pembaruan berkala tentang masalah keamanan. Suatu organisasi tidak memiliki mekanisme untuk menyediakan anggota karyawan dengan pembaruan memberikan keamanan periodic? Sekarang Sekarang memberikan keamanan periodik? Berubah Berubah

58 L-58 berkala tentang masalah keamanan. Pelatihan Verifikasi Sebagaimana formal mekanisme organisasi Akankah mitigasi kegiatan mengubah anda memverifikasi untuk mekanisme anda untuk memverifikasi karyawan yang karyawan yang Suatu perusahaan memiliki mekanisme formal untuk pelacakan dan verifikasi anggota karyawan yang menerima menerima pelatihan? Sekarang menerima pelatihan? Berubah pelatihan yang terkait dengan keamanan Perusahaan tidak memiliki mekanisme untuk pelacakan dan verifikasi anggota karyawan yang menerima pelatihan yang terkait dengan keamanan. Sekarang Berubah

59 L-59 Langkah Kesadaran Keamanan dan Pelatihan Kegiatan Mitigasi Alasan Penanggung Jawab Pendukung Kegiatan mitigasi Mengapa anda Siapa yang harus Apa dukungan yang mana yang memilih setiap terlibat dalam tambahan akan anda laksanakan kegiatan? melaksanakan setiap diperlukan ketika dalam praktek kegiatan? Mengapa? melaksanakan keamanan di setiap kegiatan wilayah ini? (misalnya, pendanaan, komitmen dari karyawan, sponsor)? Menyediakan Pelatihan kesadaran Pimpinan Pendanaan dari pelatihan keamanan secara perusahaan yang perusahaan dan kesadaran berkala diperlukan bertanggung jawab. komitmen dari keamanan pada semua karyawan karyawan seluruh karyawan agar penerapan perusahaan. keamaan menjadi lebih baik.

60 L-60 Memberikan Agar para karyawan Pimpinan Pendanaan dari kesempatan bagi mempunyai perusahaan dan perusahaan dan karyawan keahlian dibidang divisi TI komitmen dari teknologi keamanan yang karyawan. informasi untuk menggunakan mengikuti teknologi pelatihan yang terkait keamanan yang didukung teknologi Menyediakan Karena perangkat TI Manajer TI, dan Pendanaan dari pelatihan selalu berkembang Karyawan TI. perusahaan dan pendukung TI dan komitmen dari secara periodik perlu adanya karyawan TI. pada karyawan TI. pelatihan dalam karyawan TI agar penerapan TI organisasi menjadi lebih baik.

61 L-61 Memiliki Untuk mendata Manajer TI Komitmen dari mekanisme untuk karyawan apakah karyawan pelacakan dan sudah mengikuti verifikasi anggota pelatihan atau karyawan yang belum. menerima pelatihan yang terkait dengan keamanan. Melakukan sistem Agar keamanan data Divisi TI. Pendanaan dari pembaharuan perusahaan terjamin perusahaan dan keamanan secara komitmen periodik. karyawan

62 L-62 Langkah 30 Management Sponsorship for Security Improvement Apa yang harus dilakukan manajemen untuk mendukung pelaksanaan hasil dari OCTAVE-S? Mengutamakan keamanan informasi dalam strategi bisnis perusahaan Mengalokasikan dana untuk melakasanakan rencana mitigasi Menentapkan karyawan untuk

63 L-63 menerapkan kegiatan keamanan informasi dengan baik Monitoring Implementation Apa yang akan organisasi lakukan untuk melacak kemajuan dan memastikan bahwa hasil pengukuran ini dilaksanakan? Merencanakan proses mitigasi risiko yang matang Membuat laporan proses mitigasi yang telah dilakukan Melakukan evaluasi dalam rapat bulanan, dan memeriksa laporan rutin. Expanding the Current Information Security Risk Evaluation Akankah Anda mengembangkan pengukuran risiko dengan metode OCTAVE-S saat ini untuk menambahkan aset-aset penting? Perusahaan tidak akan melakukan pengukuran risiko penambahan aset-aset penting, jika kegiatan mitigasi yang ada sekarang belum diterapkan secara menyeluruh. Net Information Security Risk Evaluation Kapan sebuah organisasi akan melakukan pengukuran risiko dengan metode OCTAVE-S selanjutnya? Perusahaan dianjurkan untuk melakukan pengukuran risiko dengan OCTAVE-S setiap tahun.

64 L-64 Pertanyaan Wawancara Berikut ini adalah lampiran daftar pertanyaan yang telah diajukan kepada pejabat di perusahaan untuk proses pengumpulan data. 1. Bagaimana sejarah dibentuknya PT.Mandala Multifinance Tbk? Didirikan pada tahun 1983, PT Mandala MultifinanceTbk bergerak pada bidang usaha pembiayaandengan fokus utama pembiayaan konsumenkendaraan roda dua. Perusahaan didirikan dengannama PT Vidya Cipta Leasing Corporation dan telahbeberapa kali bergantinama, hingga pada 21 Juli1997 nama PT Mandala Multifinance disahkan olehmenteri Keuangan berdasarkan Keputusan MenteriKeuangan RI No.323/KMK.017/1997. kegiatan usaha Perusahaan meliputi Sewa Guna Usaha, Anjak Piutang, UsahaKartu Kredit, dan Pembiayaan Konsumen.Sejak pertama didirikan, Perusahaan memegangteguh komitmen untuk memberikan pelayananterbaik terhadap konsumen dan mitra bisnis. Pemegang saham utama PT MandalaMultifinance Tbk merupakan para professional yang berpengalaman lebih dari 20 tahun di bidangotomotif, diawali sebagai main dealer sepeda motordi wilayah Lampung dan Jawa Barat.Perusahaan mencatatkan sahamnya dengankode [MFIN] di Bursa Efek Indonesia pada tanggal l6 September 2005 dengan menjual sahamnyakepada publik sebesar 24,53%. Hal ini bertujuanuntuk memperkuat struktur permodalan sertameningkatkan sumber dana untuk modal kerjaperusahaan.unit Usaha Syariah dibuka pada April 2006 denganrekomendasi DewanSyariah Nasional MajelisUlama Indonesia No.U-075/DSN- MUI/IV/2006.Pembiayaan syariah ini dijalankan dengan dukungankerja sama dari

65 L-65 hampir semua bank syariah diindonesia dan perkembangannya dari tahun ke tahuncukup menggembirakan. 2. Apa yang menjadi visi dan misi PT.Mandala Multifinance Tbk? Visi : Menjadi perusahaan pembiayaan terbaik secara finansial yang berorientasi pada pelanggan. Misi : 1. Menyediakan fasilitas pembiayaan dengan cepat dan efektif melalui perbaikan proses kerja, teknologi informasi, dan perluasan jaringan. 2. Mengutamakan kepuasan pelanggan dan mitra usaha. 3. Mengutamakan kemitraan yang saling menguntungkan. 4. Menjaga kredibilitas dan kepercayaan perbankan. 3. Bagaimanakah struktur organisasi PT.Mandala Multifinance Tbk. Data hasil wawancara digunakan pada halaman Apa saja tugas dan wewenang dari tiap bagian pada struktur organisasi tersebut? Data hasil wawancara digunakan pada halaman 55 hingga Bagaimanakah proses bisnis PT.Mandala Multifinance Tbk? Pemesanan kredit yaitu proses nasabah memilih Mandala Multifinance sebagai pemberi jasa kredit untuk kendaraan bermotor yang akan dibelinya. Proses ini diawali dengan Konsumen yang ingin memiliki kendaraan bermotor tetapi tidak memiliki dana secara tunai atau cash, konsumen mengirimkan

66 L-66 permintaan untuk melakukan pembelian kendaraan secara kredit kepada pihak Mandala Multifinance. Mandala Multifinance bekerja sama dengan beberapa dealer atau agen yang telah dipilih oleh calon nasabah. Setelah calon nasabah memilih jenis kendaraan yang diinginkan dan memilih Mandala Multifinance sebagai jasa pemberi kreditnya, calon nasabah harus mengisi sebuah formulir permohonan kredit.formulir permohonan kredit yang telah diisi dengan lengkap beserta lampiran-lampiran yang dibutuhkan kemudian dikirimkan oleh dealer kepada pihak Mandala Multifinance untuk ditindak lanjuti.berkas-berkas diterima oleh bagian Administrasi Marketing, kemudian data-data calon nasabah dimasukan ke dalam sistem yang berjalan. Selanjutnya timsurvey yang telah ditugaskan untuk melakukan survey, membawa formulir yang berisikan daftar penilaian terhadap lingkungan tempat tinggal calon nasabah tersebut. Hasil survey yang diperoleh diserahkan kepada bagian Marketing. Bagian ini akan menghitung total perolehan nilai dari calon nasabah. Setelah total keseluruhan nilai diperoleh, maka nilai tersebut akan diberikan kepada pimpinan cabang sebagai bahan pertimbangan untuk menentukan apakah nasabah ini berhak untuk mendapatkan kredit yang diinginkan atau tidak. Bagian Marketing akan memberitahukan hasil keputusannya kembali kepada tim survey. Jika permohonan kredit calon nasabah diterima, maka timsurvey akan menginformasikan kepada dealer, lalu akan disampaikan kepada nasabah atau pembeli itu sendiri. Jika permohonan kredit tersebut ditolak, Tim survey akan langsung menginformasikan kepada nasabah. Bagian Purchasingakan melakukan pengecekan data pemesanan kredit yang baru. Untuk setiap pemesanan kredit yang baru, bagian ini akan

67 L-67 mengirimkan Purchase Order dan surat jalan kepada dealer yang berhubungan, sehingga motor dapat langsung dikirimkan kepada pembeli. Setelah itu bagian Purchasing akan mengurus asuransi yang dibutuhkan, lalu menyampaikan permintaan dana ke bagian Finance cabang. Bagian Finance cabang akan meneruskan permintaan dana tersebut ke bagian Finance pusat. Setelah dana dicairkan, Finance cabang dapat langsung mentransfer dana kepada dealer. Setelah itu pihak dealer akan menyerahkan BPKB dari kendaraan yang dipilih kepada bagian Finance cabang, yang lalu akan diteruskan kepada Finance pusat dan disimpan sampai nasabah melunasi kreditnya. 6. Bagaimanakah proses development PT.Mandala Multifinance Tbk? User melakukan permintaan/perbaikan program kepada bagian Komite Sistem& Prosedur dengan membuat Form Permintaan/Perbaikan Program sebanyak 3 rangkap : rangkap 1 rangkap 2 rangkap 3 : di berikan untuk kepala divisi,kepala divisi hanya mengecek saja : di berikan ke kepala sub divisi : di arsip oleh komite sistem&prosedur Setelah menerima Form Permintaan / Perbaikan Program dari Komite Sistem& Prosedur, Kepala Sub Divisi akan mengecek apakah program yang diberikan perlu didiskusikan dengan Komite Design. Apabila perlu didiskusikan maka Komite Design membuat / revisi design& spesifikasi berdasarkan prosedur design & spesifikasi sistem bersama dengan Kepala Sub Divisi yang menghasilkan Form Permintaan Persetujuan hasil Design/ Spesifikasi yang akan diberikan kepada Kepala Divisi.

68 L-68 Kepala Divisi bertugas menyetujui Form Permintaan Persetujuan hasil Design/ Spesifikasi. Jika disetujui maka Kepala Sub Divisi akan membuat Form Hasil Design & Spesifikasi yang akan diberikan kepada PIC yang ditugaskan. PIC akan memberikan Form Hasil Design & Spesifikasi kepada Bagian Developer lalu Bagian Developer akan melakukan implementasi kedalam design sistem. Jika tidak disetujui maka Komite Design akan mengulang proses dari membuat / revisi design& spesifikasi berdasarkan prosedur design & spesifikasi sistem. Apabila tidak perlu didiskusikan maka Kepala Sub Divisi akan membuat / revisi design& spesifikasi berdasarkan prosedur design & spesifikasi sistem. Kepala Sub Divisi membuat Form Permintaan Persetujuan hasil Design/ Spesifikasi. Jika Form Permintaan Persetujuan hasil Design/ Spesifikasi disetujui oleh Kepala Divisi maka akan membuat Form Hasil Design & Spesifikasi yang akan diberikan kepada PIC yang ditugaskan. PIC akan memberikan Form Hasil Design & Spesifikasi kepada Bagian Developer lalu Bagian Developer akan melakukan implementasi kedalam design sistem.7. Berapakah komputer yang digunakan pada PT.Mandala Multifinance Tbk? 8. OS apakah yang digunakan PT.Mandala Multifinance Tbk?

69 L-69 Menggunakan Operating System Linux. 9. Software apakah yang digunakan dalam pembuatan program pada PT.Mandala Multifinance Tbk? Pembuatan Program dengan menggunakan Software Java dan eclipse 10. Software apakah yang digunakan database PT.Mandala Multifinance Tbk? Sistem database menggunakan Oracle. 11. Strategi apakah yang diterapkan PT.Mandala Multifinance Tbk dalam hal menjaga keamanan IT? Data hasil wawancara digunakan pada halaman Risiko apa saja yang dapat terjadi pada PT.Mandala Multifinance Tbk? Data hasil wawancara digunakan pada halaman 67.