# OUTLINE DETAIL — BAB 11
## Keamanan Sistem Informasi dan Manajemen Risiko TI

> **Bagian:** III — Analisis dan Perancangan SI  
> **Level:** Menengah–Lanjut  
> **Estimasi Halaman:** 20–24  
> **Target Kata:** 5.000–5.500

---

## SEK 11.1 — PEMBUKA

**Opening Bridge dari Bab 10:**
*Cloud Strategy Canvas (Artefak 10.1) mengidentifikasi infrastruktur dan data yang paling kritikal bagi organisasi Anda. Sekarang pertanyaannya: bagaimana kita melindungi semua itu? Bab ini menjawab pertanyaan yang semakin tidak bisa dihindari: bagaimana manajer — bukan hanya tim IT — mengelola keamanan informasi dan risiko TI sebagai kapabilitas bisnis?*

**Hook:**
Jumat, 19 Mei 2023, jam 23:14 WIB. Sistem IT Bank Syariah Indonesia (BSI) mulai tidak merespons. Besok paginya, 15 juta nasabah tidak bisa mengakses ATM, mobile banking, atau layanan apapun. Serangan ransomware LockBit 3.0. Data 1,5 TB diklaim dicuri, termasuk data nasabah dan karyawan. Kerugian tidak hanya finansial — kepercayaan dan reputasi. Manajemen BSI kemudian mengakui: mereka tidak memiliki incident response plan yang matang. Pertanyaan yang harus dijawab setiap manajer: kapan giliran organisasi Anda?

**Pertanyaan sentral:** "Bagaimana manajer bisnis memimpin pengelolaan keamanan informasi dan risiko TI — dari identifikasi ancaman, evaluasi risiko, hingga membangun kultur keamanan — sebagai tanggung jawab seluruh organisasi, bukan hanya departemen IT?"

---

## SEK 11.2 — MODEL UTAMA (Gambar 11.1)

**Nama Model:** Kerangka Manajemen Risiko Keamanan SI (KMRSI) — 5 Proses Siklus

```
Mermaid graph TD:
1. IDENTIFY (Identifikasi Aset & Ancaman)
   → 2. ASSESS (Analisis & Evaluasi Risiko — Risk Matrix)
   → 3. PROTECT (Kontrol & Mitigasi)
   → 4. DETECT (Monitoring & Deteksi)
   → 5. RESPOND & RECOVER (Incident Response & BCP)
   → kembali ke 1 (siklus berkelanjutan)

Side box: GOVERN (kebijakan, kepatuhan, audit) — menyelubungi semua 5 proses
```

Referensi: NIST Cybersecurity Framework (CSF) 2.0 + ISO 27001:2022

---

## SEK 11.3 — DEFINISI KUNCI

1. 📌 **Keamanan Informasi (*Information Security*)** — perlindungan informasi dan sistem informasi dari akses tidak sah, penggunaan, pengungkapan, gangguan, modifikasi, atau penghancuran, untuk memberikan kerahasiaan (*confidentiality*), integritas (*integrity*), dan ketersediaan (*availability*) — dikenal sebagai CIA Triad (NIST, 2021). Relevansi manajerial: keamanan bukan hanya tentang mencegah akses ilegal — termasuk memastikan sistem selalu tersedia, data tidak diubah tanpa otorisasi, dan informasi sensitif hanya diakses yang berhak.

2. 📌 ***Risk* (Risiko)** — kombinasi dari kemungkinan (*likelihood*) suatu ancaman mengeksploitasi kerentanan, dan dampak (*impact*) dari eksploitasi tersebut pada aset organisasi (ISO 27001:2022). Relevansi: Risiko = Ancaman × Kerentanan × Dampak. Manajemen risiko bukan eliminasi risiko (tidak mungkin), tapi pengurangan risiko ke level yang dapat diterima organisasi.

3. 📌 **Ransomware** — jenis *malware* yang mengenkripsi file korban dan menuntut pembayaran tebusan untuk kunci dekripsi (BSSN, 2024). Relevansi: ransomware kini menargetkan organisasi jauh lebih agresif dari individu — karena "ransomware-as-a-service" (RaaS) dan nilai data organisasi yang jauh lebih tinggi.

4. 📌 ***Business Continuity Plan* (BCP)** — prosedur terdokumentasi yang memandu organisasi untuk merespons, pulih, melanjutkan, dan memulihkan operasi bisnis ke level yang telah ditetapkan setelah gangguan (ISO 22301:2019). Relevansi: BCP adalah persiapan untuk "kapan terjadi", bukan "jika terjadi" — organisasi modern harus mengasumsikan insiden akan terjadi.

---

## SEK 11.4 — KONSEP INTI

### 11.4.1 — CIA Triad: Fondasi Keamanan Informasi
**Argumen utama:** Setiap keputusan keamanan informasi dapat dievaluasi dari tiga sudut: apakah data terlindungi dari akses tidak sah (*confidentiality*)? Apakah data akurat dan tidak diubah pengancam (*integrity*)? Apakah sistem tersedia saat dibutuhkan (*availability*)?

**Confidentiality:**
- Ancaman: data breach, insider threat, unauthorized access
- Kontrol: enkripsi, access control, data classification

**Integrity:**
- Ancaman: data tampering, SQL injection, man-in-the-middle
- Kontrol: digital signatures, hashing, checksums, audit logs

**Availability:**
- Ancaman: DDoS attack, ransomware, hardware failure, natural disaster
- Kontrol: redundancy, failover, backup, BCP/DRP

**Prioritas CIA berbeda per industri:**
- Perbankan: Confidentiality > Integrity > Availability
- Rumah sakit: Availability > Integrity > Confidentiality (sistem harus tersedia untuk nyawa)
- Media sosial: Availability > Integrity > Confidentiality

### 11.4.2 — Landscape Ancaman Modern
**Argumen utama:** Ancaman keamanan SI bukan lagi tentang hacker individual remaja yang iseng — ini adalah industri kejahatan terorganisir, dengan aktor-aktor dari nation-state hingga criminal syndicate.

**Kategorisasi ancaman:**
1. **Ransomware** — enkripsi + extortion. LockBit, ALPHV/BlackCat, Cl0p. Target: healthcare, finance, government. BSI 2023 adalah contoh Indonesia.
2. **Phishing & Social Engineering** — manipulasi manusia, bukan sistem. 74% breach melibatkan human element (Verizon DBIR 2024).
3. **Supply Chain Attack** — menyerang vendor yang digunakan target. SolarWinds 2020 adalah kasus terkenal.
4. **Insider Threat** — karyawan (tidak disengaja atau disengaja) yang menyebabkan breach.
5. **APT (Advanced Persistent Threat)** — serangan tersembunyi jangka panjang, biasanya nation-state. Sering menargetkan infrastruktur kritis.
6. **Zero-day exploits** — kerentanan yang belum diketahui vendor dan belum ada patch-nya.

**Data Indonesia (BSSN 2024):** 403 juta serangan siber terdeteksi di Indonesia sepanjang 2023. Sektor yang paling diserang: pemerintah (42%), keuangan (18%), kesehatan (12%).

### 11.4.3 — Manajemen Risiko: Dari Identifikasi ke Penerimaan
**Argumen utama:** Risk management adalah proses bisnis, bukan proses IT. Keputusan "risiko ini dapat diterima" atau "risiko ini harus dimitigasi" adalah keputusan manajemen, bukan insinyur IT.

**Proses manajemen risiko keamanan:**
1. **Identifikasi aset** — apa yang perlu dilindungi? Data pelanggan, IP, sistem kritikal, reputasi.
2. **Identifikasi ancaman & kerentanan** — apa yang bisa salah? Siapa yang bisa mengancam?
3. **Analisis risiko** — Risk = Likelihood × Impact. Risk Matrix 5×5.
4. **Evaluasi & prioritisasi** — risiko mana yang di atas risk appetite organisasi?
5. **Perlakuan risiko** — 4 opsi: Mitigate (kurangi), Transfer (asuransi), Accept (toleran), Avoid (hentikan aktivitas).
6. **Monitoring & review** — risiko berubah, kontrol perlu diperbarui.

**Risk appetite vs risk tolerance:**
- Risk appetite: berapa banyak risiko yang mau kami ambil secara keseluruhan?
- Risk tolerance: seberapa besar deviasi dari risk appetite yang masih dapat diterima per-kasus?

### 11.4.4 — Kontrol Keamanan: Preventif, Detektif, Korektif
**Argumen utama:** Tidak ada kontrol tunggal yang 100% efektif — "defense in depth" menggunakan multiple layers sehingga failure satu layer tidak berarti kegagalan total.

**3 tipe kontrol:**
1. **Preventif** — mencegah insiden terjadi. (Firewall, MFA, enkripsi, patching)
2. **Detektif** — mendeteksi insiden yang terjadi. (SIEM, IDS/IPS, log monitoring, DLP)
3. **Korektif** — merespons dan memulihkan setelah insiden. (Incident playbooks, backup restore, forensics)

**Prioritas kontrol berdasarkan CIS Controls v8:**
1. Inventarisasi aset hardware & software (Anda tidak dapat melindungi yang tidak Anda ketahui)
2. Konfigurasi aman semua perangkat
3. Patch management — patch kritis dalam 24 jam
4. Privilege access management — prinsip least privilege
5. Backup yang teruji

**Multi-Factor Authentication (MFA):**
MFA mengurangi risiko account takeover sebesar 99,9% (Microsoft, 2023). Ini adalah low-cost, highest-impact control yang bisa diimplementasikan dalam hari.

### 11.4.5 — ISO 27001/27002 dan NIST CSF: Kerangka Tata Kelola
**Argumen utama:** Manajer tidak perlu menjadi ahli teknis keamanan — mereka perlu memastikan organisasinya menggunakan kerangka yang terbukti.

**ISO 27001:2022:**
- Standar internasional untuk Information Security Management System (ISMS)
- Sertifikasi ISO 27001 memberikan assurance kepada stakeholder (pelanggan, regulator, partner)
- Fokus: 93 kontrol keamanan dalam 4 tema (Organizational, People, Physical, Technological)
- Prinsip: Plan-Do-Check-Act (PDCA) cycle

**NIST Cybersecurity Framework (CSF) 2.0:**
- Dikembangkan NIST AS, diadopsi luas globally
- 6 fungsi: Govern → Identify → Protect → Detect → Respond → Recover
- Lebih operasional dan modular dari ISO 27001
- Cocok sebagai implementasi guide

**Regulasi Indonesia:**
- UU PDP No. 27/2022 (Personal Data Protection Law) — wajib untuk semua controller data pribadi
- POJK 11/2022 — perbankan (mandatory risk assessment TI, incident reporting 1 jam)
- PMK 248/2020 — lembaga keuangan non-bank

### 11.4.6 — Zero Trust Architecture
**Argumen utama:** Model keamanan tradisional "castle-and-moat" (percaya semua yang ada di dalam perimeter) sudah tidak relevan — di era cloud dan remote work, tidak ada perimeter yang jelas.

**Prinsip Zero Trust:**
1. **Never trust, always verify** — setiap akses diverifikasi, tidak ada trust default
2. **Least privilege access** — berikan hak akses minimum yang diperlukan saja
3. **Assume breach** — desain sistem sebagaimana jika sudah dikompromis

**Zero Trust → practical implementation:**
- Identity verification (MFA, conditional access)
- Device verification (endpoint compliance check)
- Network micro-segmentation (data center terpisah per fungsi)
- Application-level access control (bukan hanya VPN)
- Continuous monitoring dan analytics

**Relevansi Indonesia:** Remote work pasca-COVID menyebabkan banyak karyawan mengakses sistem kantor via laptop pribadi dari jaringan rumah — perimeter-based security sudah tidak applicable.

### 11.4.7 — Business Continuity dan Disaster Recovery
**Argumen utama:** Insiden keamanan adalah "kapan", bukan "jika" — organisasi harus memiliki rencana yang teruji untuk merespons, bertahan, dan pulih.

**BCP vs DRP:**
- BCP (Business Continuity Plan): rencana untuk mempertahankan fungsi bisnis selama disruption
- DRP (Disaster Recovery Plan): rencana teknis untuk memulihkan sistem IT setelah disaster

**Metrics kritikal:**
- RTO (Recovery Time Objective): berapa lama sistem boleh down?
- RPO (Recovery Point Objective): berapa banyak data loss yang bisa ditoleransi?
- RTO dan RPO menentukan strategi dan biaya backup/recovery

**Incident Response Plan (IRP) — 5 fase:**
1. Preparation (sebelum insiden: playbooks, tim, tools)
2. Detection & Analysis (identifikasi dan klasifikasi insiden)
3. Containment (batasi penjalaran)
4. Eradication (hapus penyebab)
5. Recovery (pulihkan layanan)
6. Post-Incident Review (pelajaran)

**Tabletop Exercise:** Simulasi insiden siber yang melibatkan C-level dan semua departemen terkait — bukan hanya IT. BSI tidak memiliki ini sebelum serangan 2023.

---

## SEK 11.5 — KOMPARASI (Tabel 11.1)

**Judul Tabel:** "Pendekatan Keamanan SI Reaktif vs Proaktif: 8 Dimensi"

| Dimensi | Pendekatan Reaktif | Pendekatan Proaktif |
|---------|-------------------|---------------------|
| Filosofi dasar | "Kita akan urus jika terjadi" | "Kita asumsikan akan terjadi, kita siapkan" |
| Anggaran keamanan | Cost center, dipotong saat efisiensi | Investment, diprioritaskan seperti asuransi |
| Tanggung jawab | IT Department saja | Seluruh organisasi, didorong C-level |
| Risk assessment | Tidak dilakukan atau reaktif | Rutin, minimal tahunan, dengan simulasi |
| Incident response | Ad-hoc, improvisasi saat terjadi | Playbook terdokumentasi, dilatih berkala |
| Vendor management | Kepercayaan penuh ke vendor | Third-party risk assessment rutin |
| Kultur karyawan | "Keamanan itu urusan IT" | Security awareness training wajib semua karyawan |
| Regulasi kepatuhan | Minimal, hanya jika diaudit | Proaktif, ISO 27001 / compliance sebagai baseline |

💡 **Insight:** Perbedaan terbesar antara organisasi yang survive insiden siber dan yang tidak bukan pada teknologi — tapi pada kematangan governance dan kesiapan incident response.

---

## SEK 11.6 — REALITAS LAPANGAN

### Fenomena 1: BSI Ransomware Attack 2023
**Konten:** Serangan LockBit 3.0 terhadap Bank Syariah Indonesia (BSI) Mei 2023. 12 hari layanan terdampak, 1,5 TB data diklaim dicuri oleh kelompok yang menargetkan data nasabah, karyawan, dan dokumen internal. OJK mendenda BSI karena kegagalan incident reporting dan business continuity. Total kerugian (finansial + reputasi + denda) diestimasi >500 miliar rupiah. BSSN menemukan: kelemahan utama adalah patch management yang tidak konsisten dan tidak ada network segmentation. (BSSN, 2024)

💡 **Insight:** Serangan BSI bukan disebabkan kerentanan unik yang canggih — tapi eksploitasi kerentanan yang sudah dikenali (known vulnerability) yang tidak di-patch. Ini adalah kegagalan governance, bukan kegagalan teknologi.

### Fenomena 2: Phishing sebagai Vektor Utama
**Konten:** Verizon Data Breach Investigations Report 2024 menemukan 74% breach melibatkan human element (phishing, social engineering, credential theft). Di Indonesia, BSSN (2023) melaporkan 35% insiden siber yang diselidiki dimulai dari email phishing yang diklik karyawan. Ironi: organisasi menghabiskan ratusan miliar untuk firewall dan security tools, tapi tidak mengalokasikan budget untuk security awareness training tahunan.

💡 **Insight:** Manusia adalah "firewall terlemah" — dan satu-satunya cara meningkatkan keandalan firewall ini adalah pelatihan berkelanjutan, bukan hanya teknologi.

### Fenomena 3: Regulasi UU PDP dan Dampaknya bagi Bisnis
**Konten:** UU PDP No. 27/2022 mulai efektif sepenuhnya Oktober 2024. Pelanggaran dapat dikenai denda hingga 2% dari pendapatan tahunan atau sanksi pidana (5 tahun penjara untuk pelanggaran berat). KOMINFO (2024) menemukan bahwa 67% perusahaan Indonesia belum sepenuhnya siap memenuhi UU PDP dalam hal: consent management, right to erasure, breach notification (72 jam). Perusahaan kecil-menengah paling tidak siap.

💡 **Insight:** UU PDP bukan hanya persoalan pribadi — ini adalah business risk. Ketidakpatuhan berarti risiko denda, sanksi, dan kehilangan kepercayaan pelanggan. Compliance harus menjadi agenda board, bukan hanya legal atau IT.

---

## SEK 11.7 — JEBAKAN KOGNITIF

1. ⚠️ **"Keamanan IT itu urusan departemen IT, bukan urusan saya sebagai manajer bisnis"**
   - Mengapa salah: 74% breach dimulai dari human element — karyawan yang klik phishing, menggunakan password lemah, atau berbagi credential. Ini adalah masalah People dan Process, bukan teknologi. CEO dapat dipidanakan atas kegagalan data protection.
   - Koreksi: Keamanan informasi adalah tanggung jawab seluruh organisasi. Manajer senior bertanggung jawab memastikan kebijakan ada, pelatihan dilakukan, dan risiko dilaporkan ke board.

2. ⚠️ **"Kita sudah punya antivirus dan firewall, kita sudah aman"**
   - Mengapa salah: Antivirus dan firewall adalah dua kontrol dari ratusan yang diperlukan. Serangan modern menggunakan legitimate tools (living off the land) yang tidak terdeteksi antivirus, dan phishing melewati email gateway.
   - Koreksi: Defense in depth — berlapis-lapis kontrol saling mengkompensasi kelemahan masing-masing. Tidak ada single control yang mencukupi.

3. ⚠️ **"Data kami tidak menarik untuk hackers"**
   - Mengapa salah: Setiap organisasi, sekecil apapun, memiliki data yang bernilai: data karyawan, data pelanggan, data keuangan, akses ke sistem partner. Bahkan UMKM digunakan sebagai batu loncatan (supply chain attack) untuk masuk ke client yang lebih besar.
   - Koreksi: Pertanyaan yang benar bukan "apakah kami menarik?" tapi "biaya insiden vs biaya proteksi berapa?" Untuk organisasi apapun, cost of prevention << cost of breach.

4. ⚠️ **"Backup kami sudah ada, jadi kalau terkena ransomware kita tinggal restore"**
   - Mengapa salah: Ransomware modern menginfeksi backup terlebih dahulu sebelum mengenkripsi sistem utama. Backup yang tidak diisolasikan (air-gapped) atau tidak diuji restore secara reguler akan gagal saat dibutuhkan.
   - Koreksi: 3-2-1 backup rule: 3 copy, 2 media berbeda, 1 offsite (dan idealnya 1 air-gapped). Uji restore minimal kuartalan. BSI adalah contoh dramatis dari backup yang tidak dipersiapkan.

---

## SEK 11.8 — STUDI KASUS

### Kasus A (Dasar): Bank Syariah Indonesia (BSI) — Ransomware Crisis 2023
**Sumber:** BSSN (2024), OJK Press Release (2023), Kompas (2023)
**❌ Sebelum:** BSI tidak melakukan tabletop exercise keamanan. Patch management tidak konsisten — beberapa server masih menjalankan OS yang outdated. Tidak ada network segmentation antara core banking dan sistem lain. Incident response plan ada tapi tidak pernah diuji. Backup ada tapi tidak di-test restore reguler.
**✅ Setelah:** Post-breach, BSI mandatory melakukan: ISO 27001 certification, network segmentation, air-gapped backup routine test, quarterly tabletop exercise dengan direksi, SOC (Security Operations Center) eksternal.
**Tabel:** Timeline insiden, dampak per hari, tindakan korektif, perubahan biaya keamanan
**Pelajaran:** Kesiapan insiden (preparedness) lebih murah dari respons insiden (incident cost). Investasi keamanan yang ditunda lebih mahal dari investasi yang dilakukan.

### Kasus B (Lanjutan): Colonial Pipeline — Ransomware yang Menghentikan Infrastruktur Nasional
**Sumber:** CISA (2021), Dragos (2022)
**❌ Sebelum 2021:** Colonial Pipeline (operator pipa bahan bakar terbesar AS) memiliki Single-Factor Authentication pada VPN. Akun VPN yang sudah tidak aktif belum dihapus. Tidak ada network segmentation antara IT dan OT (Operational Technology) network.
**✅ Attack & Response:** DarkSide group mencuri credential lama via Dark Web, masuk lewat VPN. 5 hari Colonial Pipeline menutup operasi — 45% pasokan bensin East Coast AS terhenti. Tebusan $4,4 juta dibayar. FBI berhasil recover $2,3 juta. Dampak nasional: harga bensin naik, kepanikan pembelian.
**Tabel:** Timeline, dampak bisnis dan nasional, respon, pelajaran kebijakan
**Pelajaran:** Satu credential yang tidak dikelola dengan baik dapat menghentikan infrastruktur nasional. MFA, credential hygiene, dan network segmentation adalah kontrol yang murah vs dampak yang sangat besar.

---

## SEK 11.9 — TEMPLATE PRAKTIS

**Nama Template:** Risk Assessment Keamanan SI (Simplified)

```
======================================
TEMPLATE 11.1 — RISK ASSESSMENT KEAMANAN SI
Berdasarkan ISO 27001:2022 + NIST CSF 2.0
======================================

ORGANISASI: ____________________________
TANGGAL ASSESSMENT: ____________________
TIM: ___________________________________

BAGIAN A: INVENTARISASI ASET KRITIS
(Daftarkan 5–8 aset informasi paling kritikal)

Aset | Tipe | CIA Priority | Pemilik Bisnis
-----|------|--------------|---------------
     | [Data/Sistem/Proses/Orang] | [C/I/A urutan] | 
     |      |              | 

BAGIAN B: ANALISIS RISIKO
(Untuk setiap aset kritis, identifikasi ancaman utama)

Aset | Ancaman | Kerentanan | Likelihood (1-5) | Impact (1-5) | Risk Score | Perlakuan
-----|---------|-----------|-----------------|--------------|------------|----------
     |         |           |                 |              | L×I =      | [M/T/A/Av]
     |         |           |                 |              |            |

Keterangan Perlakuan: M=Mitigate, T=Transfer (asuransi), A=Accept, Av=Avoid

BAGIAN C: STATUS KONTROL KRITIS
(Centang jika sudah ada dan efektif)
[ ] Multi-Factor Authentication untuk semua akses sensitif
[ ] Patch management: kritikal < 24 jam, tinggi < 7 hari
[ ] Backup 3-2-1 dengan restore test kuartalan
[ ] Security awareness training untuk semua karyawan (>80% selesai)
[ ] Incident Response Plan terdokumentasi dan diuji
[ ] Network segmentation: area kritikal terpisah
[ ] Vendor / third-party risk assessment

BAGIAN D: RISIKO PRIORITAS & ACTION PLAN
Risk tertinggi (Top 3):
1. ______________ | Pemilik: ____________ | Target mitigasi: ________
2. ______________ | Pemilik: ____________ | Target mitigasi: ________
3. ______________ | Pemilik: ____________ | Target mitigasi: ________

BAGIAN E: METRIK MONITORING BULANAN
KPI 1 — Phishing simulation click rate: TARGET < ____%  | ACTUAL: ____
KPI 2 — Patch compliance rate:          TARGET > ____%  | ACTUAL: ____
KPI 3 — MFA adoption rate:              TARGET > ____%  | ACTUAL: ____
KPI 4 — Mean Time to Detect (MTTD):     TARGET < ___ jam | ACTUAL: ____

======================================
```

---

## SEK 11.10 — PETA KONSEP (Gambar 11.2)

```
Root: Manajemen Keamanan SI
├── Konsep Dasar
│   ├── CIA Triad (C/I/A)
│   └── Risk = Threat × Vulnerability × Impact
├── Landscape Ancaman Modern
│   ├── Ransomware, Phishing, APT
│   └── Supply Chain Attack, Insider
├── Kontrol: Defense in Depth
│   ├── Preventif (MFA, enkripsi, patching)
│   ├── Detektif (SIEM, IDS, audit log)
│   └── Korektif (IRP, backup, forensics)
├── Kerangka & Standar
│   ├── ISO 27001:2022
│   ├── NIST CSF 2.0
│   └── UU PDP No.27/2022 (Indonesia)
└── BCP & Incident Response
    ├── RTO / RPO
    ├── 5 Fase IRP
    └── Tabletop Exercise
```

---

## SEK 11.11 — RANGKUMAN

**7 poin takeaway:**
1. Keamanan informasi adalah tanggung jawab seluruh organisasi — dimulai dari C-level yang menetapkan kebijakan dan kultur, bukan hanya IT yang mengimplementasikan teknologi.
2. CIA Triad (Confidentiality, Integrity, Availability) adalah kerangka evaluasi setiap keputusan keamanan — prioritasnya berbeda per industri dan tipe data.
3. 74% breach dimulai dari human element — security awareness training berkelanjutan adalah kontrol dengan ROI tertinggi.
4. Defense in depth: tidak ada kontrol tunggal yang cukup — berlapis-lapis kontrol saling mengkompensasi kelemahan.
5. Zero Trust Architecture adalah respons atas runtuhnya "perimeter" di era cloud dan remote work.
6. BCP/DRP dengan RTO dan RPO yang jelas, serta incident response plan yang teruji, adalah pembeda antara organisasi yang pulih cepat dan yang terdampak berminggu-minggu.
7. Kepatuhan regulasi (UU PDP, POJK 11/2022) bukan pilihan — ini adalah kewajiban hukum dengan konsekuensi finansial dan pidana.

**Closing Bridge ke Bab 12:**
*Infrastruktur yang aman (Bab 11) adalah prasyarat untuk menjalankan sistem informasi fungsional yang mendukung operasi bisnis. Bab 12 mengeksplorasi SI fungsional — ERP, CRM, SCM, dan HRIS — yaitu aplikasi-aplikasi yang menjadi tulang punggung operasional organisasi modern.*

🔥 *"Keamanan informasi bukan tentang membangun tembok yang tidak bisa ditembus — tapi tentang memastikan organisasi bisa bertahan, belajar, dan bangkit lebih kuat bahkan setelah tembok itu jebol."*

---

## SEK 11.12 — LATIHAN & REFLEKSI

**Pertanyaan Reflektif:**
1. Anda adalah Direktur sebuah rumah sakit swasta di Indonesia. Sistem rekam medis elektronik Anda terkena ransomware. Apa langkah-langkah yang Anda ambil dalam 24 jam pertama? (Petunjuk: gunakan 5 fase Incident Response)
2. Bagaimana Anda menjelaskan kepada CFO bahwa anggaran keamanan sebesar Rp 2 miliar untuk tahun ini adalah investasi, bukan pengeluaran?
3. Anda menemukan bahwa 40% karyawan mengklik link phishing dalam simulasi. Sebagai manajer SDM, apa program yang Anda rancang untuk 6 bulan ke depan?
4. Dalam konteks UU PDP Indonesia, apa 3 perubahan proses bisnis yang paling mendesak untuk segera dilakukan perusahaan e-commerce?

**Latihan Artefak 11.1 — Risk Assessment Keamanan SI**
Gunakan Template 11.1 untuk organisasi pilihan Anda:
1. Identifikasi 5 aset informasi terkritis
2. Lakukan analisis risiko untuk 10 ancaman relevan (5×5 risk matrix)
3. Evaluasi 7 kontrol kritis — mana yang sudah ada, mana yang belum?
4. Buat Action Plan 3 prioritas tertinggi dengan pemilik dan timeline

*Artefak 11.1 + Artefak 10.1 (Cloud Strategy Canvas) membentuk IT Risk & Infrastructure Strategy yang komprehensif.*

---

## REFERENSI BAB 11

- NIST. (2021). *NIST SP 800-53 Rev. 5: Security and privacy controls for information systems and organizations*. National Institute of Standards and Technology.
- ISO. (2022). *ISO/IEC 27001:2022 Information security management systems — Requirements*. International Organization for Standardization.
- Whitman, M. E., & Mattord, H. J. (2022). *Principles of information security* (7th ed.). Cengage Learning.
- BSSN. (2024). *Laporan keamanan siber nasional 2023–2024*. Badan Siber dan Sandi Negara.
- Verizon. (2024). *Data breach investigations report 2024*. Verizon Communications.
- CISA. (2021). *Colonial Pipeline attack: Lessons learned for critical infrastructure*. US Cybersecurity & Infrastructure Security Agency.
- OJK. (2022). *POJK No. 11 Tahun 2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum*. Otoritas Jasa Keuangan.
- DPR RI. (2022). *Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi*. Sekretariat Negara.
- Laudon, K. C., & Laudon, J. P. (2022). *Management Information Systems* (17th ed.). Pearson.
- KPMG. (2023). *Cybersecurity considerations for Indonesian enterprises*. KPMG International.
- Alim, H. B. (2025). AI-integrated public digital infrastructure for geopark tourism. *JIMAT*.
- Microsoft. (2023). *Digital defense report 2023*. Microsoft Corporation.