Hasil Pencarian  ::  Simpan CSV :: Kembali

"Meningkatnya jumlah pengguna perangkat mobile di Indonesia mendorong pemerintah untuk memanfaatkan aplikasi mobile sebagai fungsi layanan Sistem Pemerintahan Berbasis Elektronik (SPBE). SPBE adalah penyelenggaraan pemerintahan yang memanfaatkan teknologi informasi dan komunikasi untuk memberikan layanan kepada Pengguna SPBE. Salah satu layanan SPBE berbasis aplikasi mobile adalah aplikasi SPBE mobile. Aplikasi SPBE mobile merupakan salah satu bentuk layanan SPBE berupa aplikasi yang berjalan pada perangkat mobile. Aplikasi SPBE mobile tentunya dapat memberikan manfaat bagi penggunanya, namun terdapat risiko keamanan yang perlu diantisipasi. Maka untuk menjamin keamanan aplikasi SPBE, melalui Peraturan BSSN Nomor 4 Tahun 2021 diamanatkan bahwa setiap instansi pemerintah harus menerapkan keamanan SPBE dan mengidentifikasi persyaratan keamanan yang belum diterapkan pada aplikasi SPBE mobile. Sehingga kerangka kerja pemeriksaan keamanan aplikasi SPBE mobile menjadi penting dan diperlukan oleh instansi pemerintah untuk mengidentifikasi dan memvalidasi persyaratan keamanan yang belum diterapkan. Namun saat ini belum terdapat kerangka kerja tersebut. Oleh karena itu, pada penelitian ini dikembangkan sebuah rancangan kerangka kerja untuk melakukan pemeriksaan keamanan pada aplikasi SPBE mobile. Rancangan kerangka kerja pemeriksaan keamanan mengadopsi dari NIST SP 800-163r1 yang diintegrasikan dengan pengujian keamanan aplikasi menggunakan tool otomatis dan pengujian secara manual. Pengujian manual dilakukan berdasarkan standar OWASP MASTG dengan mempertimbangkan pengujian keamanan API berdasarkan OWASP API Security. Kemudian hasil pengujian keamanan aplikasi SPBE mobile digunakan untuk memvalidasi persyaratan keamanan aplikasi SPBE mobile berdasarkan Peraturan BSSN Nomor 4 Tahun 2021. Adapun hasil dari penelitian ini yaitu tersusunnya kerangka kerja pemeriksaan keamanan aplikasi SPBE mobile untuk melakukan validasi penerapan standar keamanan aplikasi SPBE mobile. Kemudian hasil rancangan tersebut disimulasikan pada aplikasi SPBE mobile “ABC” berbasis sistem operasi android. Berdasarkan hasil simulasi rancangan kerangka kerja pada sampel aplikasi SPBE mobile “ABC” milik salah satu pemerintah daerah di Indonesia, ditemukan pelanggaran terhadap beberapa persyaratan keamanan aplikasi SPBE mobile. Kemudian berdasarkan hasil simulasi, rancangan kerangka kerja tersebut dapat memvalidasi semua persyaratan keamanan aplikasi SPBE mobile dan diharapkan dapat menjadi referensi bagi instansi pemerintah dalam mendukung proses pemeriksaan keamanan aplikasi SPBE mobile.

---

The increasing number of mobile device users in Indonesia has encouraged the government to utilize mobile applications as an SPBE service function. The mobile SPBE application is a form of SPBE service in the form of application that can be operated on a mobile device. The mobile SPBE application can of course provide benefits to its users, however, there are security risks that need to be anticipated. So to ensure the security of the SPBE application, through BSSN Regulation Number 4 of 2021 it is mandated that every government agency must implement SPBE security and identify security requirements that have not been implemented in the mobile SPBE application. So the security vetting framework becomes important and necessary to identify and validate security requirements that have not been implemented. However, there is currently no such framework. Therefore, in this research, a framework design was proposed for vetting the security of the mobile SPBE application. The design of the security vetting framework adopts NIST SP 800-163r1 which is integrated with application security testing using automated tools and manual testing. Manual testing is carried out according to the OWASP MASTG standard taking into account API security testing based on OWASP API Security. Then the results of the SPBE mobile application security testing are used to validate the mobile SPBE application security requirements based on BSSN Regulation Number 4 of 2021. The result of this research is a framework for vetting the security of the mobile SPBE application to validate the implementation of security standards for the mobile SPBE application. Then the result of the framework design is simulated on the SPBE mobile application "ABC" based on the Android operating system. Based on the simulation results of the framework design on a sample SPBE mobile "ABC" application owned by a local government in Indonesia, violations were found against several mobile SPBE application security requirements. Then based on the simulation results, the framework design can validate all mobile SPBE application security requirements and is expected to be a reference for government agencies to carry out security vetting for mobile SPBE applications. "

"Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK) adalah lembaga pemerintahan Indonesia yang memiliki peran penting dalam melawan tindak pidana pencucian uang dan pendanaan terorisme. Keamanan data di PPATK sangat penting mengingat lebih dari 16 juta laporan transaksi keuangan dan kontribusi dari 37.228 pihak pelapor yang diterima dan perlu dikelola. Meskipun informasi khusus mengenai serangan di PPATK tidak tersedia, namun penting untuk menetapkan regulasi keamanan di lembaga tersebut. Badan Siber dan Sandi Negara (BSSN) telah menetapkan peraturan untuk memastikan keamanan informasi, termasuk Peraturan BSSN Nomor 4 tahun 2021 yang telah dipatuhi oleh PPATK. Penelitian ini dilakukan untuk menganalisis dan mengevaluasi tingkat kepatuhan PPATK terhadap regulasi tersebut dengan menggabungkan pendekatan kuantitatif dan kualitatif. Hasil penelitian menunjukkan tingkat kepatuhan tinggi sekitar 94.7% dengan evaluasi pada 12 fungsi keamanan informasi yang secara keseluruhan baik, namun beberapa fungsi memerlukan perbaikan. Metode penelitian menggunakan skala penilaian dari NIST CRS (Cyber Risk Scoring) dan USG (Urgency, Seriousness, Growth) dengan tujuan memberikan rekomendasi konstruktif untuk meningkatkan Sistem Manajemen Keamanan Informasi (SMKI) di PPATK.

---

The Financial Transaction Reports and Analysis Center (PPATK) is an Indonesian government institution that has an important role in fighting money laundering and terrorism financing. Data security at PPATK is very important considering that there are more than 16 million financial transaction reports and contributions from 37,228 reporters that need to be managed. Although specific information regarding the attack in PPATK is not available, it is important to establish security regulations at the institution. The National Cyber and Crypto Agency (BSSN) has made regulations to ensure information security remains safe, including BSSN Regulation Number 4 of 2021 which has been complied with by PPATK. This research was conducted to analyze and evaluate how well PPATK complies with these regulations, by combining quantitative and qualitative approaches. The research results show that information security systems in PPATK is running very well with a high level of around 94.7%, with an overall good evaluation of 12 information security functions, but there are several functions that require improvement. The research method uses assessment scales from NIST CRS (Cyber Risk Scoring) and USG (Urgency, Seriousness, Growth) with the aim of providing constructive recommendations for improving the Information Security Management System (SMKI) at PPATK."

"Di era digitalisasi saat ini, Instansi Pemerintah dalam memberikan layanannya tidak terlepas dari penggunaan teknologi informasi dan komunikasi (TIK). Era digital menawarkan berbagai kemudahan, namun disisi lain terdapat tantangan berupa ancaman siber yang mempengaruhi keamanan siber suatu negara. Dalam rangka meningkatkan keamanan siber secara lebih efektif dan efisien pada salah satu Instansi Pemerintah di Indonesia, Pusat Data dan Teknologi Informasi Komunikasi yang merupakan salah satu unsur pendukung di Badan XYZ menjadi obyek penelitian ini. Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2021 merupakan dasar hukum instansi pemerintah untuk melaksanakan audit teknologi informasi sebagai salah satu upaya peningkatan cyber security. Suatu kriteria diperlukan sebagai tolak ukur atau standar logis yang dapat diterapkan dalam penilaian pelaksanaan Cyber Security Audit. Pada penelitian ini digunakan NIST CSF dan CIS Controls v8 yang disesuaikan dengan Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2021 untuk menentukan kriteria audit. Kriteria yang telah dirancang diturunkan menjadi pertanyaan audit untuk dilakukan simulasi audit kepatuhan dengan diajukan dalam bentuk kuesioner kepada responden di tempat obyek penelitian. Kemudian, data dari kuesioner diolah ke dalam alat bantu audit dengan format Excel untuk memudahkan perhitungan penilaian level kepatuhan dengan pertimbangan dari SSE-CMM. Hasil dari penelitian ini berupa kriteria cyber security audit berdasarkan NIST CSF, CIS Controls v8, dan Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2021 yang tersusun atas 89 buah kontrol yang dikelompokkan ke dalam lima Function yaitu 25 buah pertanyaan aspek Identify, 35 buah pertanyaan aspek Protect, 13 buah pertanyaan aspek Detect, 12 buah pertanyaan aspek Respond dan 3 buah pertanyaan aspek Recover yang dapat diterapkan untuk instansi pemerintah dengan uji coba studi kasus pada Pusdatik, Badan XYZ.

---

In the current digitalization era, Government Institutions in providing their services cannot be separated from the use of information and communication technology (ICT). The digital era offers various conveniences, but on the other hand there are challenges in the form of cyber threats that affect the cyber security of a country. In order to improve cyber security more effectively and efficiently at one of the Government Institutions in Indonesia, ICT Data Center unit which is one of the supporting elements in the XYZ Agency is the object of this research. Regulation of the National Cyber ​​and Crypto Agency No. 4 of 2021 is the legal basis for government institutions to carry out information technology audits as one of the efforts to improve cyber security. A criterion is needed as a benchmark or logical standard that can be applied in assessing the implementation of a Cyber ​​Security Audit. In this study, NIST CSF and CIS Controls v8 were used which were adjusted to the Regulation of the National Cyber ​​and Crypto Agency No. 4 of 2021 to determine the audit criteria. The criteria that have been designed are reduced to audit questions for a compliance audit simulation to be conducted by submitting them in the form of a questionnaire to respondents at the research object. Then, the data from the questionnaire is processed into an audit tool with an Excel format to facilitate the calculation of the compliance level assessment with considerations from the SSE-CMM. The results of this study are cyber security audit criteria based on NIST CSF, CIS Controls v8, and National Cyber and Crypto Agency Regulation No. 4 of 2021 which is composed of 89 controls grouped into five Functions, namely 25 questions regarding Identify aspects, 35 questions Protect aspect, 13 questions Detect aspect, 12 Respond aspect questions and 3 Recover aspect questions that can be applied to government agencies with a case study trial at Pusdatik, XYZ Agency."

"Terdapat beberapa jenis pendekatan manajemen risiko keamanan informasi sebagai panduan dalam menerapkan program risiko keamanan. Setiap pendekatan mempunyai tujuan dan metodologi yang berbeda tergantung pada kebutuhan dan selera organisasi yang melakukannya. Jika suatu organisasi memiliki personel yang kompeten untuk mengimplementasikan manajemen risiko keamanan informasi, maka akan mudah untuk melakukannya. Namun, itu akan menjadi tantangan bagi organisasi yang tidak memiliki personil yang kompeten. Tujuan dari penelitian ini adalah untuk merancang kerangka kerja manajemen risiko keamanan informasi yang sederhana namun memenuhi prinsip-prinsip manajemen risiko keamanan informasi. Desain didasarkan pada integrasi empat pendekatan manajemen risiko keamanan informasi yang berbeda. ISO 27005 mewakili standar, Risk Management Framework (RMF) oleh NIST mewakili pedoman, OCTAVE Allegro mewakili metodologi, dan COBIT mewakili kerangka kerja. Integrasi tersebut dipenuhi dengan melakukan analisis komparatif dengan menyortir dan menggabungkan berdasarkan proses aktivitas manajemen risiko keamanan informasi. Penyortiran diterapkan untuk mendapatkan desain model sederhana, dan penggabungan digunakan untuk mendapatkan desain model lengkap. Desain model sederhana terdiri dari proses identifikasi, pengukuran, administrasi dan pemantauan. Proses identifikasi terdiri dari identifikasi konteks dan komponen risiko. Proses pengukuran meliputi pengukuran faktor risiko dan risiko. Proses administrasi menghasilkan rencana penanganan risiko dan pengambilan keputusan. Proses pemantauan dengan objek perubahan dan pertukaran informasi. Untuk memvalidasi hasil perancangan desain model sederhana, dilakukan studi penerapan awal dalam bentuk simulasi penerapan di Pusdiklat Badan XYZ. Hasil studi penerapan awal ini adalah mayoritas responden baik online maupun offline menyatakan bahwa desain sederhana namun memenuhi prinsip manajemen risiko keamanan informasi dibuktikan dengan seluruh indikator evaluasi penerapan desain bernilai di atas passing grade 50%.

---

There are several types of information security risk management (ISRM) methods as guidance in implementing a security risk program. Each method carried different goals and methodologies depending on the needs and tastes of the organization that carried it out. If an organization has personnel who are competent to implement ISRM, it will be easy to do so. However, it will be challenging for an organization that lacks skilled personnel. The purpose of this study is to design a framework for ISRM that is simple but meets the principles of ISRM. The design is based on the integration of four different ISRM methods. ISO 27005 represents the standard, RMF by NIST represents guidelines, OCTAVE represents methodology, and COBIT represents framework. The integration is fulfilled by conducting a comparative analysis by sorting and merging based on the activity processes of ISRM. The result of this study is two designs of ISRM, namely full design and simple design. Sorting is applied to get a simple design, and merging is used to get a full design. The simple model design consists of the process of identification, measurement, administration and monitoring. The identification process consists of identifying the context and components of risk. The measurement process includes the measurement of risk and risk factors. The administrative process produces a plan for risk management and decision making. The process of monitoring with objects of change and information exchange. To validate the results of the design of a simple model, a preliminary implementation study was carried out in the form of a simulation application at the XYZ Agency Training Center. The results of this preliminary implementation study are that the majority of respondents both online and offline stated that the design was simple but met the principles of information security risk management, evidenced by all the indicators of the evaluation values above 50% passing grade."

"Perkembangan teknologi memberikan dampak besar dalam terciptanya waktu, ruang, dan jarak sehingga saling terhubung satu sama lainnya dalam suatu ruang bernama ruang siber (cyberspace). Ruang siber memungkinkan adanya interaksi manusia satu sama lain yang tidak berbatas waktu dan jarak sehingga kebocoran data yang bersifat masif menjadi ancaman terjadinya peretasan. Untuk mencegah terjadinya serangan siber, perlindungan dari adanya pencurian data, gangguan pada sistem informasi, perangkat lunak serta perangkat keras maka diperlukan sebuah kerangka kerja keamanan atau Cybersecurity Framework beserta penerapan kontrol keamanan dan privasi yang didasarkan dari kerangka kerja keamanan tersebut. Instansi XYZ, sebagai salah satu PSE yang mengelola dan menyimpan data serta informasi yang sensitif, tidak terkecuali dari ancaman serangan siber dan kebocoran data tersebut. Karena dalam menjalankan tugasnya yakni melakukan pelayanan kepada masyarakat, Instansi XYZ telah membuat dan mengembangkan aplikasi mobilebernama Superapp untuk mempercepat dan mempermudah dalam pelayanannya. Namun berdasarkan telaah dokumen dari Instansi XYZ, ditemukan bahwa belum ada kebijakan manajemen keamanan informasi terkait aplikasi mobile Superapp. Hal ini dapat menjadi titik lemah yang rentan terhadap serangan siber dan berdampak pada kerahasiaan, ketersediaan serta integritas data dan informasi pada aplikasi mobile Superapp. Untuk itu perlu dilakukan evaluasi penerapan kontrol keamanan dan privasi informasi pada pengelolaan aplikasi mobile Superapp dengan melakukan asesmen berdasarkan FISP PUB 199 dan NIST SP 800 5 agar dapat menganalisis tingkat keamanan pada aplikasi mobile Superapp dan memberikan rekomendasi terhadap resiko keamanan yang ada berdasarkan kerangka kerja NIST pada aplikasi mobileSuperapp sebagai bentuk komitmen pimpinan dalam menjamin keamanan siber. Hasil penelitian menunjukkan bahwa penerapan kontrol keamanan dan privasi informasi terhadap pengelolaan aplikasi mobile Superapp di Instansi XYZ memiliki potensi dampak moderate berdasarkan hasil wawancara mendalam yang dilakukan dan menggunakan acuan FISP PUB 199. Tahap selanjutjnya adalah mengevaluasi lebih lanjut menggunakan standar NIST SP 800-53, dimana dari 17 indikator kontrol dasar keamanan dan privasi yang diuji, hanya 3 (tiga) indikator kontrol yang diterapkan dengan sempurna (100%) dan direkomendasikan 14 indikator sebagai peningkatan kontrol keamanan dan privasi informasi dengan rata-rata nilai kesenjangan sebesar 18%.

---

Technological developments have had a big impact on creating time, space, and distance so that they are connected in a space called cyberspace. Cyberspace allows for human interaction with each other that is not limited by time and distance, so massive data leaks become a threat of hacking. To prevent cyber attacks, protect against data theft, disruption of information systems, software and hardware, a security framework or Cybersecurity Framework is needed along with the implementation of security and privacy controls based on this security framework. XYZ Agency, as one of the PSEs that manages and stores sensitive data and information, is not exempt from the threat of cyber-attacks and data leaks. Because in carrying out its duties, namely providing services to the community, XYZ Agency has created and developed a mobile application called Superapp to speed up and simplify its services. However, based on a review of documents from the XYZ Agency, it was found that there is no information security management policy regarding the Superapp mobile application. This can be a weak point that is vulnerable to cyber-attacks and has an impact on the confidentiality, availability, and integrity of data and information on the Superapp XYZ mobile application. For this reason, it is necessary to evaluate the implementation of information security and privacy controls in the management of the Superapp mobile application by conducting an assessment based on FISP PUB 199 and NIST SP 800 5 in order to analyze the level of security in the Superapp mobile application and provide recommendations on existing security gaps based on the NIST framework in the Superapp mobile application as a form of leadership commitment to ensuring cyber security. The research results show that the implementation of information security and privacy controls for the management of the Superapp mobile application at XYZ Agency has the potential for a moderate impact based on the results of in-depth interviews conducted and using the FISP PUB 199 reference. The next stage is to start further using the NIST SP 800-53 standard, where of the 17 basic security and privacy control indicators tested, only 3 (three) control indicators were implemented perfectly (100%) and 14 indicators were recommended as improving information security and privacy controls with an average gap value of 18%."

"Badan Narkotika Nasional (BNN) adalah lembaga pemerintahan yang bertugas dalam rangka Pencegahan dan Pemberantasan Penyalahgunaan dan Peredaran Gelap Narkotika (P4GN) di Indonesia. Pada prosesnya, Pusat Penelitian, Data, dan Informasi (Puslitdatin) BNN bertanggung jawab dalam pengelolaan teknologi informasi dan komunikasi (TIK). Namun dalam praktiknya, terdapat kerentanan pada sistem SPBE di BNN sehingga banyak insiden serangan keamanan informasi yang terjadi seperti 6 juta serangan yang masuk ke Sistem Pemerintahan Berbasis Elektronik (SPBE) BNN pada 30 Agustus 2023 s.d 6 September 2023. Penelitian ini bertujuan untuk membuat rancangan manajemen keamanan informasi pada Badan Narkotika Nasional (BNN) berdasarkan panduan Peraturan BSSN Nomor 4 Tahun 2021 dan standar ISO/IEC 27001:2022 sehingga organisasi dapat mengidentifikasi kendali risiko keamanan informasi SPBE dan kebijakan SPBE yang diperlukan untuk memastikan tercapainya prinsip kerahasiaan, integritas, ketersediaan, keaslian, dan kenirsangkalan guna meminimalkan kerentanan dan ancaman keamanan informasi pada Puslitdatin BNN. Penelitian ini merupakan penelitian studi kasus yang menggunakan metode kualitatif dengan merujuk pada pedoman Peraturan BSSN Nomor 4 Tahun 2021 dan kerangka kerja ISO/IEC 27001:2022. Proses pengumpulan data dilakukan dengan metode wawancara 4 narasumber, Focus Group Discussion (FGD) dengan 3 pelaksana teknis SPBE, dan studi dokumen organisasi. Penelitian ini menghasilkan suatu rancangan kebijakan keamanan SPBE yang disusun berdasarkan penetapan ruang lingkup, penetapan penanggung jawab, perencanaan, dukungan pengoperasian, evaluasi kinerja, dan perbaikan berkelanjutan. Rancangan kebijakan keamanan SPBE ini dapat digunakan sebagai panduan dan prosedur pelaksanaan keamanan informasi pada Puslitdatin BNN.

---

The National Narcotics Agency (BNN) is a government agency responsible for the Prevention and Eradication of Drug Abuse and Illicit Trafficking (P4GN) in Indonesia. In the process, BNN's Research, Data and Information Center (Puslitdatin) is in charge of managing information and communication technology (ICT). However, in practice, there are vulnerabilities in the SPBE system at BNN that have led to many incidents of information security attacks such as 6 million attacks that have entered the BNN Electronic Based Government System (SPBE) on August 30, 2023 to September 6, 2023. This research aims to design information security management at the National Narcotics Agency (BNN) based on the guidelines of BSSN Regulation Number 4 of 2021 and ISO/IEC 27001: 2022 standards in order for organizations to identify SPBE information security risk controls and SPBE policies needed to ensure the achievement of the principles of confidentiality, integrity, availability, authenticity, and non-repudiation to minimize information security vulnerabilities and threats to the BNN Puslitdatin. This research is a case study research with qualitative method that refers to the guidelines of BSSN Regulation Number 4 of 2021 and the ISO/IEC 27001: 2022 framework. The data collection process was carried out by interviewing 4 IT employees, Focus Group Discussion (FGD) with 3 SPBE technical staff, and organizational document study. This research produces a draft SPBE security policy that is structured based on determining the scope, determining role and responsibility, planning, operating support, performance evaluation, and continuous improvement. This draft SPBE security policy can be used as a guide and procedure for implementing information security at Puslitdatin BNN.

"

"Hadirnya Revolusi Industri 4.0 tidak hanya memacu percepatan digitalisasi di bidang industri dan manufaktur, melainkan membawa pengaruh yang lebih luas hingga ke berbagai sektor, termasuk sektor pemerintahan. Salah satu upaya pemerintah dalam mendukung transformasi digital adalah dengan diterbitkannya Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Eletronik (SPBE). Namun, penerapan SPBE di Instansi Pusat dan Pemerintah Daerah yang beragam dapat melahirkan sejumlah risiko yang akan berpengaruh terhadap pencapaian tujuan SPBE. Oleh karena itu, Kementerian Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (PAN-RB) mengeluarkan Peraturan Menteri PAN-RB Nomor 5 Tahun 2020 yang memuat Pedoman Manajemen Risiko SPBE yang perlu diterapkan oleh penyelenggara SPBE dalam mengelola risiko SPBE di instansi masing – masing. Instansi ABC sebagai suatu lembaga pemerintah non kementerian yang baru dibentuk dan ditetapkan oleh Presiden Republik Indonesia memiliki amanah tugas dan fungsi untuk menyelenggarakan transformasi digital melalui penerapan Sistem Pemerintahan Berbasis Elektronik demi mewujudkan satu pemerintahan digital yang terpadu. Unit Kerja XYZ merupakan salah satu unit kerja di Instansi ABC yang bertanggung jawab untuk menyelenggarakan tugas dan fungsi di bidang data dan informasi. Namun, hingga kini Unit Kerja XYZ belum mempunyai pedoman Manajemen Risiko SPBE sehingga unit kerja kesulitan untuk melakukan identifikasi, analisis, dan evaluasi, serta memberikan penanganan berdasarkan prioritas terhadap risiko SPBE yang terjadi. Untuk mencapai tujuan tersebut maka dilakukan penelitian guna menyusun Rancangan Manajemen Risiko SPBE di Unit Kerja XYZ berdasarkan Peraturan Menteri PAN-RB Nomor 5 Tahun 2020. Adapun tahapan penelitian meliputi Penetapan Konteks Risiko SPBE, Penilaian Risiko SPBE yang terdiri atas proses Identifikasi Risiko SPBE, Analisis Risiko SPBE dan Evaluasi Risiko SPBE serta perancangan Rekomendasi Penanganan Risiko SPBE. Terdapat 68 Risiko SPBE Negatif yang berhasil diidentifikasi, 45 Risiko SPBE diantaranya berada di atas ambang batas Selera Risiko SPBE sehingga selanjutnya dibuat Rekomendasi Penanganan Risiko SPBE berdasarkan prioritas yang telah ditentukan untuk memitigasi kemunculan risiko SPBE seminimal mungkin sehingga mencapai level yang dapat diterima oleh Instansi ABC.

---

The presence of the Fourth Industrial Revolution not only accelerates digitization in the industrial and manufacturing sectors but also has a broader impact across various sectors, including the government sector. One of the government's efforts to support digital transformation is the issuance of Presidential Regulation Number 95 of 2018 concerning Electronic-Based Government Systems (SPBE). However, the implementation of SPBE in various central and regional government agencies can create several risks that will affect the achievement of SPBE objectives. Therefore, the Ministry of State Apparatus Utilization and Bureaucratic Reform (PAN-RB) has issued Ministerial Regulation Number 5 of 2020, which contains Guidelines for SPBE Risk Management that need to be implemented by SPBE organizers to manage SPBE risks in their respective agencies. ABC Agency, as a newly established non-ministerial government institution designated by the President of the Republic of Indonesia, has the responsibility and function to carry out digital transformation through the implementation of Electronic-Based Government Systems to achieve an integrated digital government. XYZ Work Unit is one of the work units in ABC Agency responsible for carrying out tasks and functions in data and information. However, until now, XYZ Work Unit still does not have an SPBE Risk Management guideline, making it difficult for the unit to identify, analyze, evaluate, and prioritize SPBE risks for appropriate handling. In order to achieve this objective, research is conducted to develop an SPBE Risk Management Draft in XYZ Work Unit based on Ministerial Regulation Number 5 of 2020. The research stages include Determining the SPBE Risk Context, SPBE Risk Assessment which consists of SPBE Risk Identification process, SPBE Risk Analysis and SPBE Risk Evaluation, and designing SPBE Risk Handling Recommendations. A total of 68 Negative SPBE Risks have been successfully identified, with 45 SPBE Risks exceeding the SPBE Risk Appetite threshold. Therefore, SPBE Risk Handling Recommendations are made based on predetermined priorities to mitigate the occurrence of risks as minimal as possible, thus achieving a level acceptable to ABC Agency."

"Di era digital saat ini, serangan siber terus meningkat dengan berbagai modus, salah satunya adalah rekayasa sosial yang memanfaatkan psikologi manusia untuk mendapatkan akses tidak sah ke sistem dan informasi. Penelitian ini bertujuan untuk merancang kerangka kerja pencegahan rekayasa sosial dengan menggunakan pendekatan Kerangka Kerja Kepribadian Rekayasa Sosial dan NIST SP 800-53 Rev. 5 di Perusahaan XYZ. Penelitian ini mengidentifikasi elemen-elemen kunci dari kepribadian yang rentan terhadap rekayasa sosial melalui pengukuran menggunakan BFI-10 (Big Five Inventory Ten Item Scale) dan simulasi serangan phishing. BFI-10 adalah instrumen yang digunakan untuk mengukur lima dimensi utama ciri kepribadian, yaitu Ekstraversi, Keterbukaan, Mudah Setuju, Neurotisisme, dan Ketelitian. Hasil penelitian menunjukkan bahwa ditemukan korelasi antara prinsip persuasi dengan ciri-ciri kepribadian saat respon compromised. Walaupun demkian semua klasifikasi generasi rentan menjadi korban dari serangan rekayasa sosial. Kesadaran dan pelatihan keamanan yang dilakukan efektif dalam mengurangi ancaman rekayasa sosial dan berhasil menurunkan jumlah karyawan yang mengklik situs phishing sebesar 37% dan jumlah karyawan yang memasukkan data pribadi ke situs phishing sebesar 43%. Kemudian penelitian ini menghasilkan Kerangka Kerja Pencegahan Rekayaasa Sosial yang menggabungkan Kerangka Kerja Kepribadian Sosial dan kontrol keamanan yang terkait dengan aspek manusia dari NIST SP 800-53 Rev. 5. Tahapan kerangka kerja meliputi tahap asesmen risiko, tahap penetapan kebijakan dan prosedur, tahap operasional, serta tahap perbaikan berkelanjutan. Dengan demikian, penelitian ini memberikan kontribusi signifikan dalam membangun pertahanan yang lebih kuat dan responsif terhadap serangan rekayasa sosial, serta meningkatkan ketahanan siber perusahaan secara keseluruhan.

---

In the current digital age, the frequency of cyber attacks is on the rise, employing several methods, including social engineering, which exploits human psychology to illicitly obtain access to networks and information. This research aims to create a framework for preventing social engineering utilizing the Social Engineering Personality Framework methodology and NIST SP 800-53 Rev. 5 at XYZ Company. This study analyzes the specific aspects of personality that are susceptible to manipulation through social engineering. It uses the BFI-10 (Big Five Inventory Ten Item Scale) and simulated phishing assaults to gather data. The BFI-10 is a tool utilized for assessing the big five personality traits, specifically Extraversion, Openness, Agreeableness, Neuroticism, and Conscientiousness. The results showed that there was a correlation between the principles of persuasion and personality traits when the response was compromised. However, all generation classifications are vulnerable to social engineering attacks. The security awareness and training initiatives reduced the number of employees clicking on phishing sites by 37% and the number of employees filling in personal data to phishing sites by 43%. This research then resulted in a Social Engineering Prevention Framework that incorporates the Social Personality Framework and the human-related security controls of NIST SP 800-53 Rev. 5. The framework consists of four stages: risk assessment, policy and process establishment, operational, and continual improvement. This research significantly contributes to enhancing the development of more robust and adaptive defenses against social engineering assaults, while also enhancing the overall cyber resilience of enterprises."

"Penelitian ini bertujuan untuk merancang kerangka kerja keamanan siber pada smart airport untuk meningkatkan keamanan siber dan mencegah serangan siber pada smart airport. Smart airport menimbulkan risiko baru akan adanya serangan siber, pengelolaan smart airport dengan menggunakan teknologi IT dan IoT harus dikelola dengan baik yaitu melalui tata kelola teknologi informasi yang sesuai dengan kerangka kerja yang sudah terimplementasi dengan baik dan berstandar Internasional. Selain kerangka kerja tata kelola teknologi informasi, perlu diperhatikan lebih dalam lagi mengenai keamanan siber dan perlindungan data pribadi agar smart airport memiliki tingkat keamanan yang tinggi untuk menjaga keberlangsungan bisnisnya. Untuk mewujudkan smart airport yang aman dengan mempertimbangkan risiko serangan siber perlunya dibuat kerangka kerja keamanan siber sebagai evaluasi untuk pengelola smart airport. Penelitian ini mengintegrasikan kerangka kerja Enisa Securing Smart Airport, NIST Cyber Security Framework dan ISO/IEC 27002:2022. Dari hasil penelitian diperoleh aktivitas yang berasal dari NIST CSF adalah 39%, aktivitas yang berasal dari ENISA Securing Smart Airport adalah 6%, dan aktivitas yang berasal dari ISO/IEC 27002:2022 adalah 17%. Diharapkan kerangka kerja smart airport ini dapat melindungi keamanan siber dengan menggunakan NIST CSF, melindungi keamanan informasi dengan menggunakan ISO 27002:20022 dan mengikuti standar keamanan airport berdasarkan ENISA Securing Smart Airport. Hasil dari penelitian ini adalah kerangka kerja keamanan siber untuk smart airport, yang diujicobakan di Bandara Internasional XYZ dengan hasil nilai kematangan 3,9 berada pada level implementasi terdefinisi.

---

This research aims to design a cyber security framework at smart. Airport to improve cyber security and prevent cyber attacks at smart airports. Airports are transforming into smart airports as airport user services continue to increase, creating an efficient, effective and comfortable travel experience for travelers. Smart airports pose new risks of cyber attacks, management of smart airports using IT and IoT technology must be managed well, namely through information technology governance that is in accordance with a framework that has been well implemented and has international standards. Apart from the information technology governance framework, futher attention needs to be paid to cyber security and personal data protection so that smart airports have a high. Level of security to maintain business continuity. To create a safe smart airport by considering the risk of cyber attacks, it is necessary to have a cyber security framework as an evaluation for smart airport managers. This research integrates the Enisa Securing Smart Airport Framework, NIST Cybersecurity Framework and ISO/IEC 27002:2022. From the research result, the activity originating from NIST CSF was 39%, from ENISA Securing Airport was 6% and from ISO/IEC 27002:2022 was 17%. The goal is a smart airport framework that can protect cyber security by using NIST CSF, protect information security by using ISO/IEC 27002:2022 and based on airport security standards by using ENISA Securing Smart Airport. The result of this research is a cybersecurity framework for smart airports, which was tested at XYZ Internasional Airport with a maturity value of 3,9 at the defined implementation level."

"Perkembangan pesat Sistem Pemerintahan Berbasis Elektronik (SPBE) telah membawa perbaikan signifikan dalam efisiensi dan aksesibilitas layanan publik. Namun, meningkatnya ketergantungan pada sistem ini juga menyebabkan meningkatnya kekhawatiran tentang keamanannya dan potensi dampak insiden keamanan terhadap operasi pemerintah dan kepercayaan warga negara. Untuk mengatasi tantangan ini, di dalam penelitian ini diusulkan kerangka kerja untuk menangani insiden keamanan menggunakan standar ISO/IEC 27035:2023 sebagai referensi. Standar ISO/IEC 27035:2023 menyediakan pendekatan komprehensif untuk manajemen insiden, yang mencakup seluruh siklus hidup dari persiapan dan identifikasi hingga penahanan, pemberantasan, dan pemulihan. Lembaga yang direkomendasikan ialah Ombudsman Republik Indonesia, lembaga pemerintah yang menjalankan fungsi pengawasan penyelenggaraan pelayanan publik dan menerima pengaduan publik atas dugaan maladministrasi penyelenggaraan pelayanan publik. Penyusunan kerangka kerja diawali dengan analisis menyeluruh terhadap praktik keamanan Ombudsman yang ada dan potensi ancaman terhadap sistem elektroniknya. Penilaian ini dijadikan dasar untuk memastikan bahwa solusi yang diusulkan disesuaikan dengan kebutuhan dan kerentanan khusus lembaga. Tahapan yang dilakukan ialah persiapan, identifikasi, penahanan, pemberantasan, pemulihan, dan pelajaran yang dipetik. Rekomendasi menghasilkan kerangka kerja dan wawasan yang dapat digunakan instansi pemerintah untuk mengadopsi standar ISO 27035:2023. Penelitian ini juga menunjukkan bahwa penerapan standar tersebut relevan dan sejalan dengan kebijakan SPBE di Indonesia.

---

The rapid development of Electronic Government Systems (EoBS or SPBE in Indonesian) has brought significant improvements in the efficiency and accessibility of public services. However, the increasing reliance on these systems has also increased concerns about their security and the potential impact of security incidents on government operations and citizen trust. In order to address these challenges, this study proposes a framework for handling security incidents using the ISO/IEC 27035:2023 standard as a reference. The ISO/IEC 27035:2023 standard provides a comprehensive approach to incident management, covering the entire life cycle from preparation and identification to containment, eradication, and recovery. The recommended institution is the Ombudsman of the Republic of Indonesia, a government institution that oversees the implementation of public services and receives public complaints regarding alleged maladministration of public services. The preparation of the framework begins with a thorough analysis of the Ombudsman's existing security practices and potential threats to its electronic systems. This assessment is used as a basis for ensuring that the proposed solution is tailored to the specific needs and vulnerabilities of the institution. The stages carried out are preparation, identification, containment, eradication, recovery, and lessons learned. The recommendations produce a framework and insights that government agencies can use to adopt the ISO 27035:2023 standard. This study also shows that the implementation of the standard is relevant and in line with the SPBE policy in Indonesia."