43 Demikian pula pada aktivitas penetration testing yang juga mengacu ke Annex ISO 27001 : 2013 akan didapatkan nilai tingkat risiko temuan. Dari laporan penetration testing yang diinput ke dalam aplikasi jika tingkat risiko atas temuan tersebut tidak dapat diterima juga perlu diperbaiki sehingga tingkat risikonya dapat diterima atau dapat ditoleransi. Nilai risiko atas temuan pada pengujian keamanan siber baik melalui metode audit exercise maupun penetration testing dapat diagregasi, sehingga diperoleh nilai risiko total dari temuan hasil pengujian berdasarkan annex A ISO 27001 : 2013 tersebut melalui Persamaan 3.1 berikut. ������������������������������ ������������������������������ ������������������������������������ = ∑������������=1 ������������������������������������������������������ (3.1) ∑������������=1 ������������������������������������ Dimana : k :jumlah dari control dari annex; Aaccepted :jumlah total annex yang dapat diterima yaitu yang rendah (kuning) dan sedang (hijau) Atotal :jumlah total pengendalian dari annex yang di terapkan Hasil perhitungan pada Persamaan 3.1 tersebut dapat ditampilkan pada feature aplikasi seperti ditunjukan pada Gambar 4.9. Gambar 4.9. Feature Aplikasi Penilaian Risiko Pengendalian Keamanan Siber Universitas Indonesia
BAB 5 HASIL PENELITIAN 5.1 Hasil Penelitian Pertama: Penilaian Risiko Bencana Siber Hasil penelitian model cyberdisaster dengan studi kasus keamanan jaringan menunjukan bahwa : 1. Berdasarkan metode delphi (pendapat ahli), hasil identifikasi potensi ancaman keamanan jaringan dapat ditunjukan pada Gambar 5.1. Dari grafik tersebut terlihat beberapa faktor potensi ancaman bencana siber seperti bahwa faktor gempa bumi, ransomware, kebakaran, listrik padam, banjir, kerusakan perangkat lunak dan keras, penyakit menular, sabotase, huru-hara, alat komunikasi rusak, serta human error. Serangan ransomware selama masa pandemi merupakan nilai tertinggi di bandingkan ancaman lain. Gambar 5.1. Jumlah identifikasi Ancaman Keamanan Jaringan 2. Berdasarkan metode delphi dan metode fuzzy FMEA, maka model ini mampu menentukan prioritas risiko bencana siber. Berdasarkan hasil penilaian RPN pada Lampiran 1 menunjukan bahwa ancaman yang berkategori risiko tinggi adalah ancaman bencana gempa bumi dan serangan ransomware pada masa pandemik. Untuk itu perlu adanya pengujian dengan simulasi metode tabletop kesadaran situasi bencana siber melalui skenario penanganan ransomware selama bencana pandemi khususnya covid -19 dan gempa bumi. 5.2 Hasil Penelitian Pertama: Metode SAGAT (Situation Awareness Global Assessment Technique) Setelah dilakukan penentuan nilai prioritas potensi ancaman bencana dengan metode fuzzy FMEA selanjutnya adalah menganalisis hasil tabletop exercise dengan melakukan survey kepada responden yang pernah melakukan simulasi atau tabletop 44 Universitas Indonesia
exercise. Survey ini dilakukan untuk menganalisis faktor-faktor yang yang mempengaruhi tingkat keputusan kesadaran kognitif tim bencana dalam merespon situasi bencana ransomware maupun gempa bumi. Faktor-faktor yang diuji merujuk pada model Endsley yaitu kemampuan sistem (X1), pengetahun (X2), dan kesadaran akan situasi bencana (X3), seperti ditunjukan pada Gambar 5.2. X1 : Cyber Disaster Y: System Capabilities Recovery Level of Decision Making Sim ulat io n X2 : Kno wledge X3 : Disaster Situation Awaren es s Gambar 5.2. Hubungan Antara Faktor-Faktor Yang Mempengaruhi Kesadaran Dalam Pengambilan Keputusan Dalam Pemulihan Bencana Berdasarkan faktor-faktor yang mempengaruhi tingkat kesadaran dilakukan survey dengan 12 pertanyaan dan sampel penelitian adalah tim bencana yang terdiri dari 152 orang, dan sebagian besar responden memiliki pengalaman antara tiga sampai enam tahun dalam melaksanakan kegiatan rencana pemulihan bencana. Seluruh responden menyatakan telah melakukan simulasi tabletop baik dengan metode langsung di lapangan maupun dalam bentuk simulasi tabletop. Adapun hasil survey dapat ditunjukan pada Tabel 5.1. Tabel 5.1. Persentase Jumlah yang Memilih ‘Ya’ Pada Faktor X-Y yang Mempengaruhi Keputusan Skenario Bencana Siber No. Variabel Pertanyaan Jumlah Persentase Responden Selama simulasi, keputusan tim menangani atau bertindak terhadap ancaman ransomware atau 136 89% 1 Tingkat bencana gempa, apakah relatif cepat dalam waktu 137 90% Pengambilan kurang dari 2 jam ? 135 89% Keputusan/ Apakah tim membuat keputusan untuk 132 87% mengevaluasi hasil simulasi ransomware dan 141 93% Decision bencana gempa bumi? 138 91% Making Level Apakah tim membuat keputusan tindakan korektif setelah mengevaluasi simulasi ransomware dan bencana gempa? Apakah metode langsung simulasi meningkatkan kesadaran dan pemahaman lebih dari pada metode Kapabilitas jarak jauh? 2 Sistem/ Apakah tim dilengkapi dengan infrastruktur dalam System penanganan atau komunikasi selama simulasi? Capabilities Apakah tim menyediakan dan melakukan fasilitas backup data untuk menyimpan data selama simulasi bencana? Universitas Indonesia
No. Variabel Pertanyaan Jumlah Persentase Responden Apakah tim memiliki pelatihan yang memadai tentang cara menghadapi bencana gempa bumi 146 96% atau ransomware sebelum simulasi dilakukan? 3 Pengetahuan/ Apakah ada prosedur manajemen bencana, baik 143 94% Knowledge gempa bumi maupun ransomware? Selama simulasi bencana, apakah tim merespon penanggulangan bencana sesuai dengan prosedur 142 93% penanganan gempa atau serangan ransomware ? Apakah tim peduli untuk memahami apa yang Kesadaran sedang dilakukan saat mensimulasikan ancaman 138 91% 139 91% Situasi gempa bumi dan ransomware ? 142 93% 4 Bencana/ Apakah ransomeware dan gempa bumi merupakan Disaster ancaman bagi keamanan siber? Situation Apakah simulasi mampu meningkatkan Awareness kewaspadaan tim dalam merespon bencana? Dari hasil tabel diatas menunjukan bahwa 12 faktor memiliki prosentasi antara 87%-96%, hasil regresi logistik menunjukan hubungan antara 3 faktor terhadap keputusan yang akan diambil dalam mengamankan ancaman siber, adalah signifikan yaitu dibawah < 0.05 dan hasil reabilitas alpha cronbach adalah 0,75 yaitu reliable. 5.3 Hasil Penelitian Pertama: Tabletop Exercise Hasil dari pengujian dengan metode tabletop exercise dengan skenario ancaman serangan bencana ransomware dan gempa bumi dihasilkan nilai risiko temuan tabletop exercise, ditunjukan pada Tabel 5.2. Tabel 5.2. Hasil Nilai Risiko Temuan Tabletop Exercise Faktor No. Hasil Tabletop Jenis Bencana Tim Kesadaran Annex ISO Nilai Tingkat Rekomendasi Exercise Risiko Risiko Situasi 27001:2013 Endsley Peningkatan Beberapa pengguna A.7. Sumberdaya kesadaran user Keamanan 1 tidak sepenuhnya ransomware user kesadaran Informasi 50 medium melalui pelatihan memahami terkait situasi dan kampanye dengan ransomware ancaman ransomware • Situasi ransomware Perbaikan ransomware dokumen disaster adalah situasi yang recovery plan 50 medium yang melingkupi belum dinyatakan dalam dokumen situasi ancaman Disaster Recovery A.17. Manajemen ransomware yang keberlangsungan Plan bisnis dari aspek mengakibatkan keamanan 2 • Prosesprioritas ransomware dan tim pemulihan sistem informasi kelumpuhan pemulihan gempa bumi bencana layanan, bencana siber cybercrime, ransomware dan proses pemulihan gempa bumi 50 medium dan peralatan yang digunakan dijelaskan dalam dokumen Disaster untuk mematikan Recovery Plan dan pemulihan bencana Universitas Indonesia
No. Hasil Tabletop Jenis Bencana Tim Faktor Annex ISO Nilai Tingkat Rekomendasi Exercise Kesadaran 27001:2013 Risiko Risiko Situasi Endsley • Belum ada petunjuk khusus alat untuk mematikan dan ransomware 50 medium pemulihannya jika terjadi ransomware Perlu pelatihan Pelatihan dan aturan dan perbaikan tugas tanggungjawab dab taggungjawab terkait dengan sumberdaya A.6. Organisasi 50 medium terkait 3 pemulihan ancaman ransomware manusia pengetahuan Keamanan penanganan ransomware yang Informasi ancaman mengakibatkan serangan kelumpuhan layanan ransomware dan cybercrime Vendor yang terlibat 4 sudah memiliki non- ransomware pengadaan sistem A.15. Hubungan 100 low Monitoring sisclosure agreement dengan supplier kadaluarsa NDA (NDA) Beck uo data telah A.12. Pengamanan operasional 5 dilakukan secara ransomware operasional sistem 100 low Dipertahankan sistem berkala sistem Mekanisme aturan A.6. Organisasi Perlu perbaikan keamanan 50 medium kebijakan aturan 6 teleworking belum ransomware operasional informasi teleworking jelas Penetapan user 7 access privellage ransomware operasional A.9. Pengendalian 100 low Dipertahankan telah ditetapkan dan akses berjalan dengan baik Pengendalian vendor 8 data center, server ransomware dan operasional sistem A.12. Pengamanan 100 low Dipertahankan telah dievaluasi gempa bumi sistem operasional berkala dan berjalan dengan baik Mekanisme Perbaikan koordinasi informasi 9 anatara pemulihan gempa bumi A.6. Organisasi dokumen Disaster K3 dan IT perlu keamanan ditetapkan operasional informasi 50 medium Recovery Plan yang melingkupi situasi ancaman gempa bumi Penyediaan tempat operasional sistem A.17. Manajemen Perbaikan untuk krisis jika terjadi keberlangsungan evaluasi lokasi gempa bumi yang bisnis dari aspek 50 medium pusat krisis jika mengakibatkan keamanan terjadi gempa 10 gedung tidak bisa gempa bumi informasi bumi diakses perlu dievaluasi lokasi yang lebih aman dari gempa bumi 5.4 Hasil Penelitian Pertama: Pengembangan Model Cyberdisaster Proses dari penilaian risiko bencana siber dengan metode fuzzy FMEA pada keamanan jaringan , penentuan faktor-faktor yang mempengaruhi tingkat kesadaran tim bencana dalam pengambilan keputusan dengan metode SAGAT, dan hasil penilaian temuan kerentanan dengan metode tabletop exercise dapat dihasilkan sebuah model cyberdisaster situation awareness berdasarkan model kerangka Endsley. Model penelitian yang dihasilkan dari penelitian ini dapat ditunjukan pada Gambar 5.3. Universitas Indonesia
Gambar 5.3. Hasil Penelitian Pertama Model Cyberdisaster Situation Awareness Dengan Metode Fuzzy FMEA 5.5 Hasil Penelitian Kedua: Pengujian Pengendalian Keamanan Siber Dengan Metode Audit Pengujian keamanan siber dengan metode audit dihasilkan tabel ringkasan nilai risiko temuan audit seperti yang ditunjukan pada Tabel 5.3. Tabel 5.3. Ringkasan Temuan Audit Berdasarkan Annex ISO 27001 : 2013 Elemen Sasaran Pengendalian Nilai Risiko Skor Tingkat Risiko A5 Kebijakan Keamanan Informasi 0 Tinggi A6 Organisasi Keamanan Informasi 0 Tinggi A7 Keamanan Sumber Daya Manusia 0 Tinggi A8 Manajemen Aset 0 Tinggi A9 Kendali Akses 50 medium A10 Kriptografi 50 medium A11 Keamanan Fisik Dan Lingkungan 50 medium A12 Keamanan Operasi 50 medium A13 Keamanan Komunikasi 50 medium A14 Akuisisi, Pengembangan dan Perawatan Sistem 100 medium A15 Hubungan Pemasok 50 medium A16 Manajemen Insiden Keamanan Informasi 50 medium A17 Manajemen Keberlangsungan Bisnis dari Aspek Keamanan Informasi 50 medium A18 Kesesuaian 50 medium Dari Tabel 5.3 di atas menunjukan bahwa A5. Kebijakan Keamanan Informasi, A6. Organisasi Keamanan Informasi, A7. Sumberdaya Keamanan Informasi dan A8. Manajemen Aset menunjukan risiko berkategori merah yaitu risiko yang tidak dapat diterima karena kritikal. 5.6 Hasil Penelitian Kedua: Pengujian Pengendalian Keamanan Siber Dengan Metode Exercise Hasil pengujian keamanan siber dengan metode tabletop exercise pada Tabel 5.2 menunjukan bahwa nilai risiko berada antara risiko rendah (kuning) dan risiko medium Universitas Indonesia
(hijau), artinya nilai temuan risiko hasil tabletop exercise masih dapat diterima atau dapat ditoleransi. Untuk temukan nilai risiko dengan kategori tinggi (merah) tidak ditemukan. 5.7 Hasil Penelitian Kedua: Pengujian Pengendalian Keamanan Siber Dengan Metode Penetration Testing Pengujian keamanan siber dengan metode penetration testing dapat dihasilkan temuan dari eksploitas kerentatan ditunjukan pada Lampiran 7. Berdasarkan hasil temuan penetration testing eksploitasi kerentanan dapat dibuat tabel ringkasan nilai risiko temuan Tabel 5.4. Tabel 5.4. Tingkat Risiko Temuan Penetration Testing Pengendalian Risk Treatment Plan Keamanan Jaringan No. Temuan Annex A ISO Tingkat Deskripsi 27001 Risiko Tinggi Penyerang dapat menyusup ke perangkat 1 ScMM DSL Modem/Router A.13. dan mengakses data sensitive ketika eksploitasi itu berhasil dijalankan Backdoor Detection Communication security 2 MS12-020: Kerentanan A.9. Access Tinggi Penyerang dapat menyusup dan desktop di remote yang dapat control mengakses target memungkinkan mengeksekusi kode jarak jauh 3 Weak user dan password A.9. Access Tinggi Penyerang dapat mengakses aplikasi web control dengan level admin 4 SNMP Agent Default A.13. Tinggi Penyerang bisa mendapatkan semua Community Name (public) Communications informasi sensitif yang yang terdapat pada security target 5 Indikasi mining crypto A.10. Medium Perangkat dapat menjalankan currency Cryptography penambangan crypto currency secara otomatis, kemudian dapat menguras sumber daya perangkat keras dan CPU serta koneksi internet Berdasarkan tabel di atas tingkat risiko yang tidak diterima yaitu warna merah terjadi pada A9. Access Control dan A.13.Communication Security. 5.8 Hasil Penelitian Kedua: Penilaian Risiko dengan Bantuan Aplikasi Dari pengujian audit, exercise dan penetration testing dihasilkan nilai risiko dengan pendekatan temporal yang dapat diolah ke dalam aplikasi monitoring dan evaluasi pengendalian risk treatment plan secara visual. Adapun hasil nilai risiko berdasarkan metode audit dapat ditunjukan pada Gambar. 5.4. Universitas Indonesia
Gambar 5.4. Hasil Penilaian Risiko dengan Metode Audit Dari Gambar 5.4. hasil penilaian risiko dengan metode audit menunjukan bahwa indeks kondisi pengendalian risk treatment plan Annex ISO 27001 pada kasus keamanan jaringan sebesar 39,29 %. Dengan nilai risiko tinggi adalah annex A5.Kebijakan Keamanan Informasi, A6. Organisasi Keamanan Informasi, A7. Sumberdaya Keamanan Informasi dan A8. Manajemen Aset. Untuk nilai risiko medium adalah annex A9. Pengendalian Akses, A10. Kriptografi, A11. Pengamanan lingkungan dan fisik, A.2. Pengamanan Operasional, A13. Pengamanan Komunikasi, A15. Hubungan dengan Supplier, A16. Manajemen Insiden Keamanan Informasi, A17. Manajemen Keberlangsungan Bisnis dari Aspek Keamanan Informasi, A18. Pemenuhan. Dan untuk nilai risiko dengan nilai rendah pada annex A14. Akuisisi, pengembangan, dan pemeliharaan sistem. Setelah dilakukan tindakan atau rekomendasi perbaikan hasil temuan audit di annex dengan nilai tinggi dan medium maka nilai kinerja keamanan jaringan akan meningkat menjadi 100 %. Hasil pengujian selanjutnya adalah dengan metode exercise. Hasil nilai risiko berdasarkan metode exercise dapat ditunjukan pada Gambar 5.5. Gambar 5.5. Hasil Penilaian Risiko dengan Metode Tabletop Exercise Universitas Indonesia
Dari Gambar 5.5. hasil penilian risiko dengan tabletop exercise menunjukan bahwa indeks kondisi pengendalian risk treatment plan Annex ISO 27001 pada kasus keamanan jaringan sebesar 75 %. Beberapa annex ISO 27001 : 2013 yang terkait dengan pengujian exercise disimpulkan bahwa nilai dengan risiko tinggi tidak ada. Untuk nilai risiko medium ditemukan pada annex A6. Organisasi Keamanan Informasi, A7. Sumberdaya Keamanan Informasi dan A17. Manajemen Keberlangsungan Bisnis dari Aspek Keamanan Informasi. Untuk annex dengan nilai risiko rendah ditemukan pada A.9. Pengendalian Akses, A.12. Pengamanan Operasional dan A.15. Hubungan dengan Supplier. Setelah dilakukan tindakan atau rekomendasi perbaikan hasil temuan exercise pada nilai risiko medium maka nilai kinerja keamanan jaringan akan meningkat menjadi 100 %. Untuk pengujian dengan metode penetration testing di hasilkan nilai risiko yang ditunjukan pada Gambar 5.6. Gambar 5.6. Hasil Penilaian Risiko dengan Metode Penetration Testing Dari Gambar 5.6. menunjukan bahwa hasil pengujian dengan penetration testing menunjukan bahwa indeks kondisi pengendalian risk treatment plan Annex ISO 27001 pada kasus keamanan jaringan sebesar 16,66 %. Beberapa annex ISO 27001 : 2013 yang terkait dengan pengujian penetration testing yaitu nilai dengan risiko tinggi A9. Pengendalian Akses dan A.13. Pengamanan Komunikasi. Dan untuk nilai risiko medium ditemukan pada annex A10. Kriptografi. Setelah dilakukan tindakan atau rekomendasi perbaikan hasil temuan penetration testing di annex dengan nilai tinggi dan medium maka nilai kinerja keamanan jaringan akan meningkat menjadi 100 %. Universitas Indonesia
5.9 Hasil Penelitian Kedua: Pengembangan Kerangka Pengujian Pengendalian Keamanan Siber dengan Model Endsley Proses penilaian risiko pengendalian keamanan siber dengan pendekatan temporal dengan metode audit, exercise dan penetration testing. Metode audit untuk menguji sistem manajemen keamanan siber, metode exercise digunakan untuk menguji tingkat kesiapsiagaan tim saat menghadapi bencana, dan metode penetration testing digunakan untuk menguji pengendalian aspek teknis. Hasil penilaian risiko ini dibantu dengan aplikasi penilaian risiko untuk monitoring perbaikan sehingga setelah dilakukan perbaikan nilai risiko dapat turun dan kinerja keamanan siber dapat meningkat. Dari hasil tahapan penelitian ini maka dapat dibuat kerangka pengujian penilaian risiko keamanan siber yang terintegrasi berdasarkan annex ISO 27001 : 2013. Kerangka pengujian ini dapat ditunjukan pada Gambar 5.7. Gambar 5.7. Konsep Kerangka Pengujian Pengendalian Risk Treatment Plan Dengan Model Situation Awareness 5.10 Hasil Riset Model Cybersituation Awareness Hasil dari penelitian pertama yaitu model cyberdisaster situation awareness dan hasil penelitian kedua yaitu kerangka pengujian dengan model situation awareness dapat dihasilkan model kerangka secara terintegrasi cybersituation awareness dengan pendekatan plan-do-check-action (PDCA) ISO 27001 : 2013, yang ditunjukan pada Gambar 5.8. Universitas Indonesia
Gambar 5.8. Model Cybersituation Awareness Berbasis Risiko Model diatas dapat menjelaskan bahwa jika kondisi bencana siber atau cyberdisaster, maka dapat menggunakan exercise untuk menguji skenario kesiapsiagaan tim bencana dalam merespon ancaman bencana siber. Hasil pengujian berupa evaluasi kesiapsiagaan tim bencana siber dalam menghadapi risiko ancaman siber. Universitas Indonesia
BAB 6 KESIMPULAN DAN PENELITIAN SELANJUTNYA 6.1 Kesimpulan Hasil penelitian pertama menghasilkan model cyberdisaster situation awareness dengan metode fuzzy FMEA. Model ini menggambarkan proses dari analisis penetapan risiko bencana siber dengan metode fuzzy FMEA, kemudian proses pelaksanaan dan evaluasi tabletop exercise. Adapun hasil evaluasi berdasarkan faktor-faktor Endsley dan annex ISO 27001 : 2013 dengan metode pengujian tabletop exercise dapat disimpulkan bahwa indeks kondisi pengendalian risk treatment plan Annex ISO 27001 pada kasus keamanan jaringan sebesar 75 %. Beberapa annex ISO 27001 : 2013 yang terkait dengan pengujian exercise disimpulkan bahwa nilai dengan risiko tinggi tidak ada. Untuk nilai risiko medium ditemukan pada annex A6. Organisasi Keamanan Informasi, A7. Sumberdaya Keamanan Informasi dan A17. Manajemen Keberlangsungan Bisnis dari Aspek Keamanan Informasi. Untuk annex dengan nilai risiko rendah ditemukan pada A.9. Pengendalian Akses, A.12. Pengamanan Operasional dan A.15. Hubungan dengan Supplier. Setelah dilakukan tindakan atau rekomendasi perbaikan hasil temuan exercise pada nilai risiko medium maka nilai kinerja keamanan jaringan meningkat menjadi 100 % memenuhi annex ISO 27001 : 2013. Kesimpulan pada penelitian kedua menunjukan bahwa kerangka pengujian keamanan siber dengan model situation awareness Endsley mampu menggambarkan proses pengujian keamanan siber dengan metode audit, tabletop exercise dan penetration testing. Pengujian ini dapat mendeteksi tingkat risiko kerentanan keamanan siber berdasarkan pendekatan temporal. Adapun hasil pengujian audit dan penetration testing menggambarkan nilai risiko temuan. Hasil pengujian dengan metode tabletop exercise telah diuraian diatas dan untuk metode audit disimpulkan bahwa indeks kondisi pengendalian risk treatment plan Annex ISO 27001 pada kasus keamanan jaringan sebesar 39,29 %. Dengan nilai risiko tinggi adalah annex A5.Kebijakan Keamanan Informasi , A6. Organisasi Keamanan Informasi, A7. Sumberdaya Keamanan Informasi dan A8. Manajemen Aset. Untuk nilai risiko medium adalah annex A9. Pengendalian Akses, A10. Kriptografi, A11. Pengamanan lingkungan dan fisik, A.2. Pengamanan Operasional, A13. Pengamanan Komunikasi, A15. Hubungan dengan Supplier, A16. Manajemen Insiden Keamanan Informasi , A17. Universitas Indonesia
Manajemen Keberlangsungan Bisnis dari Aspek Keamanan Informasi, A18. Pemenuhan. Dan untuk nilai risiko dengan nilai rendah pada annex A14. Akuisisi, pengembangan, dan pemeliharaan sistem. Setelah dilakukan tindakan atau rekomendasi perbaikan hasil temuan audit di annex dengan nilai tinggi dan medium maka nilai kinerja keamanan jaringan meningkat menjadi 100 % memenuhi annex ISO 27001 : 2013. Hasil pengujian dengan metode penetration testing disimpulkan bahwa indeks kondisi pengendalian risk treatment plan Annex ISO 27001 pada kasus keamanan jaringan sebesar 16,66 %. Beberapa annex ISO 27001 : 2013 yang terkait dengan pengujian penetration testing yaitu nilai dengan risiko tinggi A9. Pengendalian Akses dan A.13. Pengamanan Komunikasi. Dan untuk nilai risiko medium ditemukan pada annex A10. Kriptografi. Setelah dilakukan tindakan atau rekomendasi perbaikan hasil temuan penetration testing di annex dengan nilai tinggi dan medium maka nilai kinerja keamanan jaringan meningkat menjadi 100 % memenuhi annex ISO 27001 : 2013. Konsep kerangka situation awareness diatas dapat menggambarkan proses dari pengujian pengendalian keamanan jaringan hingga menghasilkan nilai risiko temuan hasil pengujian. Nilai risiko temuan ini sebagai indikator kerentanan pengendalian keamanan jaringan. Kontribusi utama dari penelitian ini adalah tersedianya konsep model baru kerangka kesadaran situasi keamanan siber khususnya ancaman bencana yang terintegrasi, dari proses penilaian risiko keamanan siber hingga evaluasi pengendalian keamanan siber dengan metode pengujian simulasi bencana siber, audit, exercise dan penetration testing. Model ini digunakan untuk mendukung tim bencana dalam mengambil keputusan perencanaan bencana siber. Kontribusi selanjutnya diharapkan penyediakan perangkat lunak yang digunakan untuk pengujian kerentanan pengendalian keamanan siber. Pengujian ini menghasilkan penilaian tingkat risiko pengendalian keamanan siber. Dari konstribusi penelitian ini model yang disajikan mampu meningkatkan ketahanan keamanan siber organisasi di Indonesia melalui pengujian metode simulasi atau exercise dalam kondisi bencana siber. Exercise ini mampu meningkatkan kesadaran tim bencana siber akan kesiapsiagaan dalam menghadapi ancaman bencana siber. Universitas Indonesia
Pengujian metode audit dan penetration testing juga diharapkan membantu meningkatkan deteksi kerentanan kondisi pengendalian keamanan siber baik dari aspek manajemen sistem maupun teknis. Hasil temuan pengujian ini digunakan untuk melakukan tindakan perbaikan untuk meningkatkan ketahanan dan keamanan siber. 5.2 Penelitian Selanjutnya Dari hasil pengembangan model cyber situation awareness untuk keadaan bencana siber dan pengujian penilaian keamanan informasi telah dilakukan beberapa penelitian lanjutan yang dapat di kembangkan yaitu : 1. Pengembangan Model cyber situation awareness yang mengintegrasikan antara kondisi incident dan disaster 2. Pengembangan metode penilaian risiko keamanan informasi dalam kerangan situatioan awareness dengan metode machine learning dan quantum risk Universitas Indonesia
DAFTAR REFERENSI [1] A. Belzunegui-Eraso and A. Erro-Garcés, “Teleworking in the context of the Covid-19 crisis,” Sustain., vol. 12, no. 9, May 2020, doi: 10.3390/su12093662. [2] Internet World Stats, “Top 20 Countries with the Highest Number of Internet Users,” Internet World Stats: Usage and Population Statistic, 2021. https://www.internetworldstats.com/top20.htm (accessed Mar. 15, 2021). [3] Badan Siber dan Sandi Negara, “Informasi Serangan Siber,” Honeynet BSSN, 2021. https://honeynet.bssn.go.id (accessed Mar. 15, 2021). [4] ISO 22301:2019: Security and resilience-Busniness continuity management systems-Requirements.” Geneva, Switzerland,, 2019. [5] A. Khan, S. Gupta, and S. K. Gupta, “Multi-hazard disaster studies: Monitoring, detection, recovery, and management, based on emerging technologies and optimal techniques,” International Journal of Disaster Risk Reduction, vol. 47. Elsevier Ltd, Aug. 01, 2020. doi: 10.1016/j.ijdrr.2020.101642. [6] Weatherhead School of Management, “Wal-Mart’s Emergency Plan Shines During Hurricane Katrina Disaster,” Case Western Reserve University, 2005. https://weatherhead.case.edu/news/detail?idNews=249 (accessed Feb. 02, 2022). [7] A. Pribadi, “Tertinggi Selama 20 Tahun, Badan Geologi Catat 26 Kejadian Gempa Bumi Merusak Sepanjang Tahun 2021,” Siaran Pers Biro Komunikasi, Layanan Informasi Publik, dan Kerja Sama Kementerian ENERGI DAN SUMBER DAYA MINERAL, 2022. https://www.esdm.go.id/id/media-center/arsip-berita/tertinggi- selama-20-tahun-badan-geologi-catat-26-kejadian-gempa-bumi-merusak- sepanjang-tahun-2021 (accessed Feb. 02, 2022). [8] E. M. Lesk, M. R. Stytz, and R. L. Trope, “The new front line Estonia under Cyberassault,” IEEE Secur. Priv., vol. 5, no. 4, pp. 76–79, 2007, doi: 10.1109/MSP.2007.98. [9] ISO/IEC 27032:2012, “INTERNATIONAL STANDARD ISO / IEC 27032 Information-Security techniques-Guidelines for cybersecurity,” vol. 2012, 2012. [10] T. Grance, T. Nolan, K. Burke, R. Dudley, G. White, and T. Good, “Guide to test, training, and exercise programs for IT plans and capabilities,” Gaithersburg, MD, 2006. doi: 10.6028/NIST.SP.800-84. [11] J. Webb, A. Ahmad, S. B. Maynard, and G. Shanks, “A situation awareness model Universitas Indonesia
for information security risk management,” Comput. Secur., vol. 44, pp. 1–15, 2014, doi: 10.1016/j.cose.2014.04.005. [12] M. M. Silva, A. P. H. De Gusmão, T. Poleto, L. C. E. Silva, and A. P. C. S. Costa, “A multidimensional approach to information security risk management using FMEA and fuzzy theory,” Int. J. Inf. Manage., vol. 34, no. 6, pp. 733–740, 2014, doi: 10.1016/j.ijinfomgt.2014.07.005. [13] I. Ghiga et al., “PIPDeploy: Development and implementation of a gamified table top simulation exercise to strengthen national pandemic vaccine preparedness and readiness,” Vaccine, vol. 39, no. 2, pp. 364–371, Jan. 2021, doi: 10.1016/j.vaccine.2020.11.047. [14] U. Franke and J. Brynielsson, “Cyber situational awareness - A systematic review of the literature,” Comput. Secur., vol. 46, pp. 18–31, 2014, doi: 10.1016/j.cose.2014.06.008. [15] L. Jiang, A. Jayatilaka, M. Nasim, M. Grobler, M. Zahedi, and M. A. Babar, “Systematic Literature Review on Cyber Situational Awareness Visualizations,” IEEE Access, vol. 4, Dec. 2022, doi: 10.1109/ACCESS.2022.DOI. [16] P. R. J. Trim and Y. I. Lee, “The role of B2B marketers in increasing cyber security awareness and influencing behavioural change,” Ind. Mark. Manag., vol. 83, pp. 224–238, Nov. 2019, doi: 10.1016/j.indmarman.2019.04.003. [17] S. Abraham and S. Nair, “Cyber security analytics: A stochastic model for security quantification using absorbing markov chains,” J. Commun., vol. 9, no. 12, pp. 899–907, Dec. 2014, doi: 10.12720/jcm.9.12.899-907. [18] X. Rongrong, Y. Xiaochun, and H. Zhiyu, “Framework for risk assessment in cyber situational awareness,” IET Inf. Secur., vol. 13, no. 2, pp. 149–156, Mar. 2019, doi: 10.1049/iet-ifs.2018.5189. [19] M. Park, H. Oh, and K. Lee, “Security risk measurement for information leakage in IoT-based smart homes from a situational awareness perspective,” Sensors (Switzerland), vol. 19, no. 9, May 2019, doi: 10.3390/s19092148. [20] M. R. Endsley, “Toward a theory of situation awareness in dynamic systems,” Human Factors, vol. 37, no. 1. pp. 32–64, 1995. doi: 10.1518/001872095779049543. [21] ISO 31000:2018, “Risk management-Guidelines,” Geneva, Switzerland, 2018. Universitas Indonesia
[22] ISO/IEC 27005:2018, “Information technology-Security techniques-Information security risk management,” Geneva, Switzerland, 2018. [23] V. R. Renjith, M. Jose kalathil, P. H. Kumar, and D. Madhavan, “Fuzzy FMECA (failure mode effect and criticality analysis) of LNG storage facility,” J. Loss Prev. Process Ind., vol. 56, pp. 537–547, Nov. 2018, doi: 10.1016/j.jlp.2018.01.002. [24] J. Balaraju, M. Govinda Raj, and C. S. Murthy, “Fuzzy-FMEA risk evaluation approach for LHD machine-A case study,” J. Sustain. Min., vol. 18, no. 4, pp. 257– 268, Nov. 2019, doi: 10.1016/j.jsm.2019.08.002. [25] J. Ahn, Y. Noh, S. H. Park, B. Il Choi, and D. Chang, “Fuzzy-based failure mode and effect analysis (FMEA) of a hybrid molten carbonate fuel cell (MCFC) and gas turbine system for marine propulsion,” J. Power Sources, vol. 364, pp. 226– 233, 2017, doi: 10.1016/j.jpowsour.2017.08.028. [26] R. Fattahi and M. Khalilzadeh, “Risk evaluation using a novel hybrid method based on FMEA, extended MULTIMOORA, and AHP methods under fuzzy environment,” Saf. Sci., vol. 102, pp. 290–300, Feb. 2018, doi: 10.1016/j.ssci.2017.10.018. [27] J. Qin, Y. Xi, and W. Pedrycz, “Failure mode and effects analysis (FMEA) for risk assessment based on interval type-2 fuzzy evidential reasoning method,” Appl. Soft Comput. J., vol. 89, Apr. 2020, doi: 10.1016/j.asoc.2020.106134. [28] A. J. Sang, K. M. Tay, C. P. Lim, and S. Nahavandi, “Application of a genetic- fuzzy FMEA to rainfed lowland rice production in sarawak: Environmental, health, and safety perspectives,” IEEE Access, vol. 6, pp. 74628–74647, 2018, doi: 10.1109/ACCESS.2018.2883115. [29] N. Chanamool and T. Naenna, “Fuzzy FMEA application to improve decision- making process in an emergency department,” Appl. Soft Comput. J., vol. 43, pp. 441–453, Jun. 2016, doi: 10.1016/j.asoc.2016.01.007. [30] C. Dağsuyu, E. Göçmen, M. Narlı, and A. Kokangül, “Classical and fuzzy FMEA risk analysis in a sterilization unit,” Comput. Ind. Eng., vol. 101, pp. 286–294, Nov. 2016, doi: 10.1016/j.cie.2016.09.015. [31] B. Mosallanezhad and A. Ahmadi, “Using fuzzy FMEA to increase patient safety in fundamental processes of operating room Proposing Intelligent Cooperative System Based on Classifier Ensemble for Lung Cancer Diagnosis View project Universitas Indonesia
Water Supply and Wastewater Collection: Urmia Lake View pro,” J. Ind. Syst. Eng., vol. 11, no. 3, pp. 146–166, 2018, [Online]. Available: https://www.researchgate.net/publication/330761529 [32] H. C. Liu, J. X. You, X. J. Fan, and Q. L. Lin, “Failure mode and effects analysis using D numbers and grey relational projection method,” Expert Syst. Appl., vol. 41, no. 10, pp. 4670–4679, Aug. 2014, doi: 10.1016/j.eswa.2014.01.031. [33] A. Mentes, H. Akyildiz, M. Yetkin, and N. Turkoglu, “A FSA based fuzzy DEMATEL approach for risk assessment of cargo ships at coasts and open seas of Turkey,” Saf. Sci., vol. 79, pp. 1–10, Nov. 2015, doi: 10.1016/j.ssci.2015.05.004. [34] M. Hayati and M. Reza Abroshan, “Risk Assessment using Fuzzy FMEA (Case Study: Tehran Subway Tunneling Operations),” Indian J. Sci. Technol., vol. 10, no. 9, pp. 1–9, Feb. 2017, doi: 10.17485/ijst/2017/v10i9/110157. [35] Y. W. Kerk, K. M. Tay, and C. P. Lim, “An analytical interval fuzzy inference system for risk evaluation and prioritization in failure mode and effect analysis,” IEEE Syst. J., vol. 11, no. 3, pp. 1589–1600, Sep. 2017, doi: 10.1109/JSYST.2015.2478150. [36] WHO/EHA, “Disasters & Emergencies Definitions,” WHO/EHA Training package, no. March. pp. 1–26, 2002. [Online]. Available: http://apps.who.int/disasters/repo/7656.pdf [37] S. Snedaker, Business continuity & Disaster Recovery for IT Professionals, vol. 15, no. 1. 2007. [Online]. Available: http://www.bcifiles.com/CrisisManagementMarch2012.pdf%5Cnhttp://books.go ogle.com/books?hl=en&lr=&id=F0S9aEM8tb8C&oi=fnd&p g=PR23&dq=Business+Continuity+%26+Disaster+Recovery+for+IT+Profe ssionals&ots=J0Jj2-O1wh&sig=tS16_RurujRGA- [38] S. A. Torabi, R. Giahi, and N. Sahebjamnia, “An enhanced risk assessment framework for business continuity management systems,” Saf. Sci., vol. 89, pp. 201–218, Nov. 2016, doi: 10.1016/j.ssci.2016.06.015. [39] M. Swanson, P. Bowen, A. W. Phillips, D. Gallup, and D. Lynes, “Contingency planning guide for federal information systems,” Gaithersburg, MD, 2010. doi: 10.6028/NIST.SP.800-34r1. [40] B. Tomaszewski, “Situation awareness and virtual globes: Applications for Universitas Indonesia
disaster management,” Comput. Geosci., vol. 37, no. 1, pp. 86–92, Jan. 2011, doi: 10.1016/j.cageo.2010.03.009. [41] W. Zhai, Z. R. Peng, and F. Yuan, “Examine the effects of neighborhood equity on disaster situational awareness: Harness machine learning and geotagged Twitter data,” Int. J. Disaster Risk Reduct., vol. 48, Sep. 2020, doi: 10.1016/j.ijdrr.2020.101611. [42] M. Yu, Q. Huang, H. Qin, C. Scheele, and C. Yang, “Deep learning for real-time social media text classification for situation awareness–using Hurricanes Sandy, Harvey, and Irma as case studies,” Int. J. Digit. Earth, vol. 12, no. 11, pp. 1230– 1247, Nov. 2019, doi: 10.1080/17538947.2019.1574316. [43] Z. Wang and X. Ye, “Space, time, and situational awareness in natural hazards: a case study of Hurricane Sandy with social media data,” Cartogr. Geogr. Inf. Sci., vol. 46, no. 4, pp. 334–346, Jul. 2019, doi: 10.1080/15230406.2018.1483740. [44] A. A. Shah, Z. Gong, I. Pal, R. Sun, W. Ullah, and G. F. Wani, “Disaster risk management insight on school emergency preparedness – A case study of Khyber Pakhtunkhwa, Pakistan,” Int. J. Disaster Risk Reduct., vol. 51, Dec. 2020, doi: 10.1016/j.ijdrr.2020.101805. [45] M. Parham, R. Teeuw, C. Solana, and S. Day, “Quantifying the impact of educational methods for disaster risk reduction: A longitudinal study assessing the impact of teaching methods on student hazard perceptions,” Int. J. Disaster Risk Reduct., vol. 52, Jan. 2021, doi: 10.1016/j.ijdrr.2020.101978. [46] A. Qazi and M. C. E. Simsekler, “Assessment of humanitarian crises and disaster risk exposure using data-driven Bayesian Networks,” Int. J. Disaster Risk Reduct., vol. 52, Jan. 2021, doi: 10.1016/j.ijdrr.2020.101938. [47] A. M. AlQahtany and I. R. Abubakar, “Public perception and attitudes to disaster risks in a coastal metropolis of Saudi Arabia,” Int. J. Disaster Risk Reduct., vol. 44, p. 101422, Apr. 2020, doi: 10.1016/j.ijdrr.2019.101422. [48] J. Borgardt, J. Canaday, and D. Chamberlain, “Results from the second Galaxy Serpent web-based table top exercise utilizing the concept of nuclear forensics libraries,” J. Radioanal. Nucl. Chem., vol. 311, no. 2, pp. 1517–1524, Feb. 2017, doi: 10.1007/s10967-016-5069-x. [49] J. Hunter, M. Porter, A. Phillips, M. Evans-Brave, and B. Williams, “Do paramedic Universitas Indonesia
students have situational awareness during high-fidelity simulation? A mixed- methods pilot study,” Int. Emerg. Nurs., vol. 56, May 2021, doi: 10.1016/j.ienj.2021.100983. [50] L. M. Mazur et al., “Impact of Simulation-Based Training on Radiation Therapists’ Workload, Situation Awareness, and Performance,” Adv. Radiat. Oncol., vol. 5, no. 6, pp. 1106–1114, Nov. 2020, doi: 10.1016/j.adro.2020.09.008. [51] A. M. Corrales-Estrada, L. L. Gómez-Santos, C. A. Bernal-Torres, and J. E. Rodriguez-López, “Sustainability and resilience organizational capabilities to enhance business continuity management: A literature review,” Sustain., vol. 13, no. 15, Aug. 2021, doi: 10.3390/su13158196. [52] F. Caputo, L. Carrubbo, and D. Sarno, “The influence of cognitive dimensions on the consumer-SME relationship: A sustainability-oriented view,” Sustain., vol. 10, no. 9, Sep. 2018, doi: 10.3390/su10093238. [53] B. Poller et al., “‘VIOLET’: a fluorescence-based simulation exercise for training healthcare workers in the use of personal protective equipment,” J. Hosp. Infect., vol. 99, no. 2, pp. 229–235, Jun. 2018, doi: 10.1016/j.jhin.2018.01.021. [54] M. Musharraf, F. Khan, and B. Veitch, “Modeling and simulation of offshore personnel during emergency situations,” Saf. Sci., vol. 111, pp. 144–153, Jan. 2019, doi: 10.1016/j.ssci.2018.07.005. [55] P. A. Afulani, J. Dyer, K. Calkins, R. A. Aborigo, B. Mcnally, and S. R. Cohen, “Provider knowledge and perceptions following an integrated simulation training on emergency obstetric and neonatal care and respectful maternity care: A mixed- methods study in Ghana,” Midwifery, vol. 85, Jun. 2020, doi: 10.1016/j.midw.2020.102667. [56] D. Fogli, C. Greppi, and G. Guida, “Design patterns for emergency management: An exercise in reflective practice,” Inf. Manag., vol. 54, no. 7, pp. 971–986, Nov. 2017, doi: 10.1016/j.im.2017.02.002. [57] E. A. Skryabina, N. Betts, G. Reedy, P. Riley, and R. Amlôt, “The role of emergency preparedness exercises in the response to a mass casualty terrorist incident: A mixed methods study,” Int. J. Disaster Risk Reduct., vol. 46, Jun. 2020, doi: 10.1016/j.ijdrr.2020.101503. [58] J. O. Gomes, M. R. S. Borges, G. J. Huber, and P. V. R. Carvalho, “Analysis of Universitas Indonesia
the resilience of team performance during a nuclear emergency response exercise,” Appl. Ergon., vol. 45, no. 3, pp. 780–788, 2014, doi: 10.1016/j.apergo.2013.10.009. [59] B. E. Sandström, H. Eriksson, L. Norlander, M. Thorstensson, and G. Cassel, “Training of public health personnel in handling CBRN emergencies: A table-top exercise card concept,” Environ. Int., vol. 72, pp. 164–169, Nov. 2014, doi: 10.1016/j.envint.2014.03.009. [60] J. Landig, J. G. Erhardt, J. C. Bode, and C. Bode, “Validation and comparison of two computerized methods of obtaining a diet history,” Clin. Nutr., vol. 17, pp. 113–117, 1998. [61] N. Lopez-Peña, A. Cervera-Gasch, M. J. Valero-Chilleron, V. M. González- Chordá, M. P. Suarez-Alcazar, and D. Mena-Tudela, “Nursing student’s knowledge about breastfeeding: Design and validation of the AprendeLact questionnaire,” Nurse Educ. Today, vol. 93, Oct. 2020, doi: 10.1016/j.nedt.2020.104539. [62] Y. Attali and T. Fraenkel, “The Point-Biserial as a Discrimination Index for Distractors in Multiple-Choice Items: Deficiencies in Usage and an Alternative,” 2000. [63] J. M. Blazeby et al., “Validation and reliability testing of the EORTC QLQ- NMIBC24 questionnaire module to assess patient-reported outcomes in non- muscle-invasive bladder cancer,” Eur. Urol., vol. 66, no. 6, pp. 1148–1156, Dec. 2014, doi: 10.1016/j.eururo.2014.02.034. [64] R. Tosterud, K. Petzäll, S. Wangensteen, and M. L. Hall-Lord, “Cross-cultural validation and psychometric testing of the questionnaire: Debriefing experience scale,” Clin. Simul. Nurs., vol. 11, no. 1, pp. 27–34, Jan. 2015, doi: 10.1016/j.ecns.2014.09.011. [65] G. L. de M. Ghisi, N. Sandison, and P. Oh, “Development, pilot testing and psychometric validation of a short version of the coronary artery disease education questionnaire: The CADE-Q SV,” Patient Educ. Couns., vol. 99, no. 3, pp. 443– 447, Mar. 2016, doi: 10.1016/j.pec.2015.11.002. [66] K. S. Taber, “The Use of Cronbach’s Alpha When Developing and Reporting Research Instruments in Science Education,” Res. Sci. Educ., vol. 48, no. 6, pp. Universitas Indonesia
1273–1296, Dec. 2018, doi: 10.1007/s11165-016-9602-2. [67] M. Tavakol and R. Dennick, “Making sense of Cronbach’s alpha,” International journal of medical education, vol. 2. pp. 53–55, Jun. 27, 2011. doi: 10.5116/ijme.4dfb.8dfd. [68] ISO/IEC 27001:2013, “Information technology-Security techniques-Information security management systems-Requirements,” Geneva, Switzerland, 2013. [69] A. Simon, L. H. P. Yaya, S. Karapetrovic, and M. Casadesús, “An empirical analysis of the integration of internal and external management system audits,” J. Clean. Prod., vol. 66, pp. 499–506, Mar. 2014, doi: 10.1016/j.jclepro.2013.11.020. [70] ISO 19011:2018, “Guidelines for auditing management systems.” ISO, Geneva, Switzerland, 2018. [71] S. Zhou, J. Liu, D. Hou, X. Zhong, and Y. Zhang, “Autonomous penetration testing based on improved deep q-network,” Appl. Sci., vol. 11, no. 19, Oct. 2021, doi: 10.3390/app11198823. [72] M. C. Ghanem and T. M. Chen, “Reinforcement learning for efficient network penetration testing,” Inf., vol. 11, no. 1, Jan. 2020, doi: 10.3390/info11010006. [73] P. B. Purwandoko, K. B. Seminar, Sutrisno, and Sugiyanta, “Development of a smart traceability system for the rice agroindustry supply chain in Indonesia,” Inf., vol. 10, no. 10, Oct. 2019, doi: 10.3390/info10100288. [74] N. A. Chandra and M. Sadikin, “ISM application tool, a contribution to address the barrier of information security management system implementation,” J. Inf. Commun. Converg. Eng., vol. 18, no. 1, pp. 39–48, Mar. 2020, doi: 10.6109/jicce.2020.18.1.39. [75] R. Blank and P. Gallagher, “Guide for conducting risk assessments.” Computer Security Division Information Technology Laboratory National Institute of Standards and Technology, Gaithersburg, MD, 2012. doi: 10.6028/NIST.SP.800- 30r1. Universitas Indonesia
DAFTAR PUBLIKASI 1. Chandra, N.A.; Ramli, K.; Ratna, A.A.P. Development of a Cyber-Situation Awareness Model of Risk Maturity Using Fuzzy FMEA, 2020, IEEE Xplore (konferensi internasional ) 2. Chandra,N.A.; Ramli, K.; Ratna, A.A.P. Development and Simulation of Cybersituation Awareness Model, Sustainability, MDPI, 14, 1133 (Jurnal Internasional, Scopus Q1) 3. Chandra,N.A.; Ramli, K.; Ratna, A.A.P, Aplikasi Penilaian Risiko untuk Menguji Pengendalian Keamanan Informasi, Hak Kekayaan Intelektual (HAKI) (Draft Pengajuan) 4. Chandra,N.A.; Ramli, K.; Ratna, A.A.P. Information Security Risk Assessment Using Situational Awareness Frameworks and Application Tools,Risk,MDPI 2022, (Jurnal Internasional, Scopus Q2) ( Under Second Round Review) Universitas Indonesia
UCAPAN TERIMAKASIH Puji syukur saya panjatkan kepada Allah SWT, karena atas berkat dan rahmatNya, saya dapat menyelesaikan disertasi ini. Penulisan disertasi ini dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Doktor pada Departemen Teknik Elektro, Fakultas Teknik Universitas Indonesia. Saya menyadari bahwa, tanpa bantuan dan bimbingan dari promotor, sangatlah sulit bagi saya untuk menyelesaikan disertasi ini. Oleh karena itu, saya mengucapkan terima kasih kepada: 1) Prof. Dr. Ing. Kalamullah Ramli, M.Eng, selaku Promotor yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan disertasi ini; 2) Prof. Dr. Ir. Anak Agung Putri Ratna, M.Eng, selaku Ko-Promotor yang juga telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan disertasi ini; 3) Prof. Dr. Ir. Riri Fitri Sari, MM, MSc, Prof. Dr. Ir. Bagio Budiardjo, M.Sc., Dr. lr. Muhammad Salman, S.T., M.I.T., Dr. Yohan Suryanto, ST., MT., Dr. Ruki Harwahyu, S.T., M.T., M.Sc., Dr. Rudi Lumanto, M.Eng.; 4) Istri, anak-anak dan keluarga besar yang selalu mendukung dengan sepenuh hati 5) Staff Departemen Teknik Elektro UI Ibu Sulis dan Ibu Eka; 6) Rekan-rekan di EC UI khususnya Ibu Nuha, Pak Alfin, Pak Ferry, Pak Deiny, Ibu Brenda, Mas Ibam, serta rekan-rekan lainnya yang saling mendukung ; 7) Rekan-rekan kerja kantor khususnya Pak Afif, Desi, Rani, Leili, Adian, Shara, Fauzan dan rekan lainnya yang selalu membantu hingga disertasi ini selesai; 8) Rekan-rekan staff pengajar Teknik Informatika khususnya Dekan Fasilkom Universitas Mercubuana Bapak Mujiono dan Rektor Universitas Mercubuana yang mendukung disertasi ini; Akhir kata, saya berharap Allah SWT berkenan membalas segala kebaikan semua pihak yang telah membantu. Saya sadar, bahwa penulisan disertasi ini masih belum sepenuhnya sempurna. Semoga disertasi ini dapat membawa manfaat bagi pengembangan ilmu pengetahuan di bidang Teknik Elektro. Depok, Juli 2022 Penulis Universitas Indonesia
DAFTAR RIWAYAT HIDUP Nama Nungky Awang Chandra Tempat, tanggal lahir Semarang, 6 November 1973 Alamat Vila Dago Sanur A2 No. 1A Benda Baru Pamulang Tangerang Selatan Pendidikan Program Pendidikan Doktor, Departemen Teknik Elektro, 2018 - Sekarang Fakultas Teknik, Universitas Indonesia Magister Teknologi Informasi, Fakultas Ilmu Komputer, 2007-2009 Universitas Indonesia Sarjana Fisika Instrumentasi, Institut Teknologi Bandung 1993-1998 Pengalaman Kerja Staf Pengajar dan Peneliti, Teknik Informatika, Fakultas 2018 - Sekarang Ilmu Komputer, Universitas Mercubuana Auditor Keamanan Informasi dan Layanan Sistem 2016 - Sekarang Informasi, PT. TSI Sertifikasi Internasional Pengalaman Organisasi Auditor keamanan Informasi, teregister BSSN 2021 - Sekarang Auditor International Sustainability Palm Oil, teregister 2020 - Sekarang Kementerian Pertanian Asosiasi Lembaga Sertifikasi Indonesia 2020 - Sekarang Universitas Indonesia
Search
