Pertanyaan:
- What is the difference between a vulnerability, a threat, and a risk?
- Describe the four main strategies for treating risk (Accept, Avoid, Mitigate, Transfer). Provide a business example for each?
- Why is it useful for a business to adopt an established security framework like NIST CSF or ISO 27001?
STATUS : 100%
KETERANGAN : Saya telah mengerjakan tugas ini dengan baik dan benar
BUKTI :
1. Dalam keamanan informasi, vulnerability (kerentanan) adalah kelemahan dalam sistem, perangkat lunak, atau proses yang dapat dimanfaatkan oleh penyerang. Threat (ancaman) adalah sesuatu yang berpotensi mengeksploitasi kerentanan tersebut, seperti hacker, malware, atau kesalahan manusia. Sedangkan risk (risiko) adalah kemungkinan terjadinya kerugian atau dampak negatif ketika sebuah ancaman berhasil memanfaatkan kerentanan. Dengan kata lain, kerentanan adalah kelemahannya, ancaman adalah pihak atau kejadian yang dapat menyerang, dan risiko adalah potensi kerugian yang muncul jika serangan tersebut berhasil.
2. Ada empat strategi umum dalam manajemen risiko. Accept (menerima risiko) berarti bisnis menyadari adanya risiko tetapi memilih untuk tidak mengambil tindakan khusus karena dampaknya kecil, misalnya perusahaan kecil menerima risiko gangguan sementara pada website yang tidak terlalu kritis. Avoid (menghindari risiko) berarti perusahaan menghentikan aktivitas yang berpotensi menimbulkan risiko, misalnya bisnis memutuskan tidak menyimpan data kartu kredit pelanggan untuk menghindari risiko kebocoran data. Mitigate (mengurangi risiko) berarti perusahaan mengambil langkah untuk mengurangi kemungkinan atau dampak risiko, seperti memasang firewall, enkripsi data, dan sistem keamanan tambahan. Transfer (memindahkan risiko) berarti perusahaan memindahkan sebagian risiko kepada pihak lain, misalnya menggunakan layanan cloud atau membeli asuransi siber untuk melindungi dari kerugian akibat serangan digital.
3. Mengadopsi kerangka kerja keamanan seperti NIST Cybersecurity Framework atau ISO/IEC 27001 membantu bisnis memiliki panduan yang terstruktur dalam mengelola keamanan informasi. Kerangka kerja ini menyediakan standar praktik terbaik untuk mengidentifikasi risiko, melindungi sistem, mendeteksi ancaman, merespons insiden, dan memulihkan sistem setelah gangguan. Dengan mengikuti framework yang diakui secara internasional, perusahaan dapat meningkatkan keamanan sistem, mematuhi regulasi, membangun kepercayaan pelanggan, serta memastikan proses pengelolaan keamanan dilakukan secara konsisten dan profesional.