buletin Khas 360_julai_02

SIDANG EDITOR

Penerbit : Bahagian Inovasi & Teknologi Kreatif MARA

PENAUNG Sidang Editor MARA 3600 e-Khidmat Pengurusan
Rohayah binti Mohd Zain berhak meminda mengubah dan menggarap
Timbalan Ketua Pengarah (Khidmat Pengurusan) manuskrip yang dihantar agar bersesuaian dengan
MARA garis panduan yang ditetapkan dan tidak mengubah
isi asalnya. Semua manuskrip yang diterima sama
PENERBIT EKSEKUTIF ada disiarkan ataupun tidak disiarkan tidak akan
Nor Zaini binti Abu Kassim dikembalikan. Manuskrip ini juga boleh digunapakai
Pengarah oleh pihak yang diberi kebenaran untuk masa-
Bahagian Inovasi & Teknologi Kreatif MARA masa akan datang. Kami mengalu-alukan sebarang
cadangan atau komentar, surat menyurat, rencana
PENERBIT dan ulasan ke meja Sidang Redaksi atau email ke
Jamizan bin Baki [email protected]
Timbalan Pengarah II
Sebarang pertanyaan hendaklah dialamatkan kepada:
EKSEKUTIF EDITOR
Zuliana Haslinda binti Anhar Zubir Pengarah
Timbalan Pengarah I Bahagian Inovasi & Teknologi Kreatif MARA
Tingkat 4, Ibu Pejabat MARA
EDITOR 21, Jalan MARA
Rusmawati binti Adam 50609 Kuala Lumpur.
Ketua Penolong Pengarah Tel: 03 2613 2401
Faks: 03 2691 0075
BAHAN Email: [email protected]
Copyright@MARA 2021. All rights reserved
KREATIF
Haliza binti Abdul Hamid
Penolong Pengarah

JURUFOTO
Produksi Kreatif

TEKNIKAL & HEBAHAN
Iswardy Adha bin Mohamad
Penolong Pegawai Teknologi Maklumat (Kanan)

KEMERDEKAAN yang kita kecapi ini tidak mungkin tercapai dan
kekal sehingga kini tanpa usaha sama di antara kita.

Dengan kepesatan era digital masa kini, erti kemerdekaan dapat
dihayati dan dinikmati dalam suasana penuh harmoni serta

sejahtera. Marilah kita sama-sama menjadi warga digital yang
beretika dan berintegriti dengan mengamalkan sikap kawal kendiri

yang tinggi.

Teguh bersama kita melawan COVID-19

Demimu
Malaysia Tercinta

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 3

SELEKSI

Majalah MARA360° e-Khidmat Pengurusan

Bicara Eksklusif:
Mohmad Nor bin Yahya
Pengarah Bahagian Teknologi Maklumat
Persekitaran Perkhidmatan ICT: Produktif, Kolaboratif dan Selamat
Pelan Keselamatan Siber MARA
Tadbir Urus Keselamatan Siber di MARA
Inisiatif Dan Program Keselamatan Siber MARA

4 MARA 3600 | e - Khidmat Pengurusan Julai 2021

BICARA EKSKLUSIF

Ancaman siber berlaku secara berterusan selagi teknologi dan internet digunakan. Malah, keadaannya
menjadi lebih mencabar dan merumitkan kepada keselamatan siber terutamanya dalam situasi pandemik
Covid-19, iaitu segala urusan kerja, belajar dan komunikasi dilaksanakan secara maya.
Penggunaan internet dalam kalangan rakyat Malaysia meningkat kepada 89.6 % pada tahun 2020 berbanding
84.2% tahun 2019. Penambahan penggunaan internet sudah pasti meningkat pada tahun 2021 apabila
konsep Bekerja Dari Rumah (BDR) dan pembelajaran secara online terutama dalam tempoh arahan Perintah
Kawalan Pergerakan (PKP) yang semakin ketat, menuntut penggunaan peralatan digital dan perkhidmatan
Internet yang luas.
Makanya Majlis Amanah Rakyat (MARA), telah merencanakan strategi yang utuh, cekap dan berkesan dengan
menyediakan beberapa inisiatif antaranya Pelan Keselamatan Siber MARA. Pelan ini merangkumi kesedaran
keselamatan siber seperti penggunaan kata laluan dan pengesahan diri yang selamat, kesedaran akan pelbagai
jenis penipuan siber, kesedaran akan keselamatan penggunaan data, kesiagaan maklum balas kemalangan
siber dan pengenkripan maklumat rahsia berupaya mengurangkan risiko ancaman keselamatan siber. Ianya
juga bertujuan membudayakan peranan dan tanggungjawab warga kerja MARA dalam melindungi aset ICT
dan data adalah tanggungjawab bersama.
Justeru, saya menyeru semua warga kerja MARA agar menjadi warga digital yang lebih bertanggungjawab
dengan melaksanakan kawalan kendiri semasa melakukan aktiviti dalam talian khususnya sewaktu musim
PKP ini. Sentiasa bijak, ambil peduli ancaman siber yang berlaku kerana kita mampu membanteras serta
menghalangnya.

Mohmad Nor Bin Yahya
Pengarah
Bahagian Teknologi Maklumat

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 5

PERSEKITARAN
PERKHIDMATAN ICT:
PRODUKTIF, KOLABORATIF
DAN SELAMAT

Ketika dunia dilanda pandemik Covid-19, Cabaran utama dalam menangani risiko ini adalah
perkhidmatan ICT dilihat sebagai platform utama untuk mengenalpasti kategori e-mel yang diterima
dalam memastikan kesinambungan operasi bisnes oleh pengguna daripada penghantar yang dikenali
semasa tidak terjejas. Bahagian Teknologi Maklumat atau tidak dikenali. E-mel spam ialah e-mel
(BTM) MARA berperanan sebagai pemacu dan sampah (junk mail) yang dihantar oleh pihak tidak
penggerak utama ICT dalam menyediakan platform bertanggungjawab kepada penerima yang terdiri dari
infrastruktur teknologi, kolaborasi dan komunikasi agensi-agensi kerajaan dan sebagainya. E-mel spam
ICT terkini yang produktif serta selamat bagi juga berkemungkinan adalah e-mel phishing dan
memantapkan sistem penyampaian perkhidmatan spoofing yang bertujuan untuk mencuri maklumat
MARA. credential (Login ID dan Kata Laluan) atau maklumat
lain bagi tujuan jenayah siber. Selain itu e-mel tersebut
Aplikasi produktiviti Microsoft (MS) Office 365 juga dijadikan saluran penyebaran malware, worms,
iaitu MS Word, MS Excel dan MS PowerPoint trojan dan virus serta mampu menduplikasikan
digunakan sebagai perisian automasi pejabat dalam secara automatik dan menyebarkannya pula kepada
melaksanakan tugasan harian. Selain itu, aplikasi senarai alamat e-mel yang ada di dalam address
MS Outlook (Exchange Online), MS OneDrive dan book pemilik akaun e-mel yang dijangkiti.
MS Teams digunakan sebagai platform komunikasi
dan kolaborasi rasmi MARA. Berikut adalah panduan yang boleh dirujuk untuk
mengenalpasti e-mel phishing dan spoofing.
MS Outlook
(Exchange Online)

Aplikasi MS Outlook PANDUAN MENGENALPASTI
(Exchange Online) E-MEL PHISHING DAN SPOOFING
adalah aplikasi

pengurusan maklumat • Penghantar e-mel adalah individu/pihak yang tidak
dikenali atau dicurigai identitinya
komunikasi yang

berfungsi menguruskan • Tajuk e-mel menggunakan ayat yang tidak jelas,
perkhidmatan e-mel, mencurigakan atau tidak berkaitan dengan tugas rasmi.

kalendar, contact • Penggunaan ayat dalam e-mel tidak bersesuaian,
tunggang-langgang dan mencurigakan.
dan tugasan. Namun

begitu penggunaan • Meminta untuk klik pada pautan yang mencurigakan.

aplikasi ini terdedah • Menyertakan lampiran e-mel yang mungkin
berkaitan dengan tugasan anda.
kepada risiko ancaman

keselamatan siber

dalam perkhidmatan

e-mel iaitu penerimaan

e-mel spam, phishing dan spoofing. Hal ini boleh

berlaku disebabkan masih ramai pengguna yang

menggunakan e-mel rasmi bagi tujuan tidak rasmi.

6 MARA 3600 | e - Khidmat Pengurusan Julai 2021

Kawalan berkaitan pengurusan e-mel adalah seperti Selain itu, adalah amat penting untuk warga kerja
di dalam Pelan Keselamatan Siber MARA versi 2.0, MARA melaksanakan kawalan dalam mengendalikan
Bidang 06: Pengurusan Operasi dan Komunikasi, maklumat terperingkat yang dikelaskan sama ada
PKSMARA – 060802 Pengurusan Mel Elektronik. Rahsia Besar, Rahsia, Sulit atau Terhad sewaktu
Langkah-langkah berikut boleh dilakukan oleh penghantaran maklumat melalui e-mel. Bagi tujuan
pengguna sekiranya menerima e-mel spam, phishing ini, penghantar e-mel perlulah menggunakan fungsi
dan spoofing: encryption yang terdapat pada aplikasi MS Outlook
dan enkripsi ke atas dokumen yang dilampirkan.

APA YANG PERLU ANDA LAKUKAN
SEKIRANYA ANDA MENENERIMA

E-MEL SPAM, PHISHING DAN SPOOFING?

• JANGAN balas atau majukan e-mel tersebut.

• JANGAN beri sebarang maklumat peribadi anda kepada
penghantar e-mel tersebut.

• JANGAN buka lampiran e-mel yang tidak dikenali dan
mencurigakan.

• JANGAN klik mana-mana pautan pada e-mel spam.

SILA HAPUSKAN E-MEL SPAM TANPA MEMBUKANYA.
SILA KEMASKINI PERISIAN ANTIVIRUS ANDA.
SILA LINDUNGI KATA LALUAN E-MEL ANDA.
SILA HUBUNGI HELPDESK MARA/PENTADBIR E-MEL
SEKIRANYA TERDAPAT SEBARANG KEKELIRUAN

Pengurusan Kata Laluan versi 2.0, Bidang 07: Kawalan Capaian, PKSMARA
070203- Pengurusan Kata Laluan. Diantara perkara
yang sangat penting dalam pengurusan kata laluan
adalah seperti berikut:
Pengurusan kata laluan amat penting sebagai
kawalan dalam penggunaan Microsoft Office
365 dan sistem aplikasi MARA seperti yang telah
digariskan dalam Pelan Keselamatan Siber MARA

KAWALAN PERLINDUNGAN
KATA LALUAN

• Kata Laluan tidak boleh dikongsi dengan pengguna lain.

• Kata Laluan hendaklah ditukar serta merta apabila
disyaki berlakunya kebocoran kata laluan/telah
dikompromi atau selepas 90 hari/selepas tempoh masa
yang bersesuaian.

• Panjang kata laluan sekurang-kurangnya lapan aksara
dengan gabungan aksara, angka dan aksara khusus.

• Kata Laluan tidak boleh dicatat, disimpan atau
didedahkan dengan apa cara sekali pun.

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 7

MS OneDrive penyimpanan dalam talian yang membolehkan
pengguna menyimpan maklumat di pelayan maya
Penggunaan storan awan (cloud) menjadi pilihan (virtual server) yang disediakan oleh pihak Microsoft
utama dalam menyimpan dokumen-dokumen untuk kegunaan MARA.
berkaitan tugasan seharian yang boleh dicapai tanpa
had. Risiko keselamatan siber dalam penggunaan Bagi penggunaan storan awan, kawalan yang
storan awan termasuklah perlanggaran pematuhan dirujuk adalah seperti yang digariskan dalam Pelan
kepada polisi keselamatan, kecurian identiti, Keselamatan Siber MARA versi 2.0, Bidang 05:
penyebaran malware dan kebocoran maklumat Keselamatan Fizikal dan Persekitaran, PKSMARA
yang boleh mendatangkan kerugian, kerosakan dan 050203 - Storan Awan (Cloud Storage). Diantara
menjejaskan reputasi MARA. kandungan pentingnya termasuklah

Aplikasi MS OneDrive adalah aplikasi yang
menyokong fungsi storan awan melalui media

KAWALAN KESELAMATAN BAGI
PENYIMPANAN DI STORAN AWAN

(CLOUD STORAGE)

• Tidak menggunakan storan awan awam percuma bagi
menyimpan sebarang maklumat rahsia rasmi

• Warga kerja MARA perlu memanfaatkan storan awan yang
disediakan oleh pihak MARA dengan tidak menyimpan
perkara berkaitan hiburan dan tidak produktif dan
bermanfaat.

• Memastikan kandungan storan awan yang disediakan
oleh MARA diurus dengan baik dan sentiasa membuat
kerja-kerja pengemaskinian data atau housekeeping dari
semasa ke semasa

• Memastikan kawalan capaian perkongsian fail dan folder
hanya diberikan kepada pengguna yang sah dalam
tempoh waktu yang ditetapkan.

Aplikasi MS Teams

Aplikasi MS Teams merupakan aplikasi kolaborasi dan komunikasi melalui
sidang video secara atas talian dalam melaksanakan mesyuarat, webinar,
pengajaran dan pembelajaran.

Namun begitu, aplikasi sidang video juga terdedah kepada risiko keselamatan
siber seperti pencerobohan dan hijacking oleh pengguna tidak sah yang
mungkin melakukan perkongsian skrin tidak berkaitan dengan program
yang sedang dijalankan. Selain itu, sebarang rakaman video juga boleh
menyebabkan berlakunya kecurian dan kebocoran maklumat kepada
pihak yang tidak berkepentingan.

Diantara perkara yang digariskan sebagai panduan dalam penggunaan
aplikasi sidang video iaitu:

8 MARA 3600 | e - Khidmat Pengurusan Julai 2021

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 9

Capaian Jarak Jauh • MARA hendaklah memastikan
peralatan atau peranti ICT
Capaian jarak jauh yang dimaksudkan adalah yang berkaitan dilindungi dari
capaian kepada sistem aplikasi MARA yang berpusat kod hasad dengan memasang
di Pusat Data MARA melalui sistem rangkaian perisian Endpoint Detection And
MARA bagi lokasi luar pejabat dalam melaksanakan Response (EDR), atau sekurang-
tugas rasmi. Kaedah capaian ini hanya dibenarkan kurangnya perisian antivirus yang
mengikut keperluan dan penggunaannya terhad dapat mengesan kod hasad dan
kepada perkhidmatan dan sistem aplikasi yang ransomware secara real-time;
dibenarkan sahaja dengan mengambilkira risiko
keselamatan siber kepada pihak MARA. Penggunaan • MARA hendaklah mengeluarkan
kaedah ini adalah menggunakan teknologi tunneling
dan encryption berasaskan Secure Sockets Layer arahan pentadbiran yang
Virtual Private Network (SSLVPN) yang menjamin
keselamatan maklumat MARA. membenarkan pegawai

Dasar Bekerja Dari Rumah (BDR) sebagai alternatif membawa pulang peralatan
cara bekerja baharu dalam memastikan usaha
berterusan penambahbaikan sistem penyampaian atau peranti ICT yang diperlukan
perkhidmatan MARA, perkhidmatan SSLVPN
merupakan kaedah capaian sistem aplikasi MARA sekiranya pegawai menggunakan
secara jarak jauh. Garis Panduan Pelaksanaan
Bekerja Dari Rumah, Pekeliling Perkhidmatan peralatan atau peranti milik
Bilangan 5 Tahun 2020 yang dikeluarkan oleh
Jabatan Perkhidmatan Awam melalui Surat Pekeliling MARA;
Perkhidmatan MARA Bil.2/2021 bertarikh 8 Februari
2021 menyatakan peralatan dan peranti ICT menjadi • MARA tidak akan membekalkan
keperluan asas untuk menjalankan tugasan dengan
mengambil tindakan iaitu: perkakasan-perkakasan lain

• Pegawai hendaklah mempunyai telefon seperti mesin pencetak, mesin
bimbit dan kemudahan capaian internet yang
sewajarnya; fotostat, mesin pengimbas

• MARA boleh berdasarkan keperluan, dan mesin perincih. Sekiranya
membekalkan peralatan dan peranti ICT yang
bersesuaian kepada pegawai. Antara peralatan pegawai perlu menggunakan
dan peranti tersebut adalah komputer riba,
peranti mudah alih (contoh: tablet) atau lain- perkakasan-perkakasan ini,
lain perkakasan yang berkaitan. Peralatan
atau peranti ICT yang berkaitan perlu pegawai perlu hadir ke pejabat;
dilengkapi dengan perisian yang sesuai untuk
melancarkan pelaksanaan tugasan harian. • MARA perlu menyediakan Prosedur Operasi
Walau bagaimanapun, penggunaan peralatan Standard (SOP) bagi menjaga keselamatan
atau perkakasan persendirian boleh dibenarkan peralatan atau peranti ICT dengan merujuk
dengan syarat mematuhi kriteria keselamatan kepada Pelan Keselamatan Siber (PKS) MARA
dan disahkan oleh Pegawai Keselamatan ICT dan Rangka Kerja Keselamatam Sektor Awam
MARA; (RAKKSSA); dan

• Setiap pegawai hendaklah mengambil langkah-
langkah yang bersesuaian bagi memastikan
keselamatan peralatan atau peranti ICT yang
dibekalkan oleh Jabatan berdasarkan SOP yang
ditetapkan.

10 MARA 3600 | e - Khidmat Pengurusan Julai 2021

Perkongsian Maklumat Kesimpulan

Portal MARAnet merupakan platform Ekosistem digital yang selamat dan
perkongsian maklumat terkini berkaitan isu-isu menyokong kepada produktiviti dan kolaborasi ini
semasa dan operasi di MARA yang boleh dicapai sangat penting yang melibatkan sumber manusia,
tanpa had. Penggunaan media sosial seperti proses dan teknologi. Meski pun dalam suasana
Whatsapp, Telegram, Facebook bagi maklumat norma baru yang perlu dihadapi oleh warga kerja
umum seperti sebaran maklumat, infografik dan MARA, teknologi yang digunakan dapat membantu
perbincangan umum dibenarkan untuk dikongsi di dalam mengekalkan produktiviti. Dalam pada pasukan
platform media sosial. Namun begitu, perkongsian kerja terpisah disebabkan oleh faktor jarak sepanjang
dokumen terperingkat melalui media sosial tersebut tempoh BDR, jalinan kolaborasi seharusnya tidak
adalah tidak dibenarkan. terjejas malahan menjadikan cabaran pandemik ini
sebagai ruang untuk meningkatkan daya kreativiti
dan inovasi.

Sumber dan penulisan: Noor Afzan binti Mohd Nordin
Bahagian Teknologi Maklumat, MARA.

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 11

SELEKSI EDITOR

Sumber: Cyber Security Malaysia

12 MARA 3600 | e - Khidmat Pengurusan Julai 2021

PELAN KESELAMATAN SIBER
(PKS) MARA

APA ITU PELAN Pelan Keselamatan Siber (PKS) MARA mengandungi peraturan-
KESELAMATAN SIBER peraturan yang mesti dibaca dan dipatuhi dalam menggunakan aset
Teknologi Maklumat dan Komunikasi (ICT). Pelan ini juga menerangkan
MARA? kepada semua pelanggan mengenai tanggungjawab dan peranan
mereka dalam melindungi aset ICT MARA.

BAGAIMANA DAN DI MANA Buku Pelan Keselamatan Siber MARA versi 2.0 di setiap Pusat
IANYA BOLEH DIDAPATI?
Layari dan muat turun di Menu Dokumentasi, Portal MARAnet -
https://maranet.sharepoint.com

SIAPA YANG PERLU Pentadbir Sistem ICT
MEMBACA PELAN Pengguna ICT
Pihak ketiga (Pembekal ICT, Perunding ICT, Pelajar Praktikal)
KESELAMATAN SIBER MARA

TANGGUNGJAWAB ANDA Membaca, memahami dan mematuhi Pelan Keselamatan Siber MARA
SEBAGAI PENGGUNA ICT
Melaksanakan prinsip-prinsip Pelan Keselamatan Siber MARA dan
menjaga kerahsiaan maklumat

Melaporkan sebarang aktiviti yang mengancam keselamatan ICT
dengan segera

Menghadiri program-program kesedaran mengenai keselamatan ICT

Menandatangani Surat Akuan Pematuhan Pelan Keselamatan Siber
MARA di http://mypatuh.mara.gov.my

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 13

KANDUNGAN
PELAN KESELAMATAN SIBER
(PKS) MARA

Sumber: Noor Afzan binti Mohd Nordin
Bahagian Teknologi Maklumat, MARA.

14 MARA 3600 | e - Khidmat Pengurusan Julai 2021

SELEKSI EDITOR

Sumber: Cyber Security Malaysia

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 15

TADBIR URUS
KESELAMATAN SIBER
DI MARA

Keselamatan siber adalah salah satu bidang ICT Bagi memastikan keselamatan siber dilindungi dan
yang semakin mendapat perhatian dan perbincangan diuruskan dengan baik, MARA telah mewujudkan
dipelbagai peringkat, tidak kira sama ada di Pelan Keselamatan Siber (PKS) MARA yang
peringkat organisasi, nasional dan antarabangsa. melibatkan semua pengguna dan pemegang taruh
Kita sering menonton dan mendengar di kaca yang berkepentingan. Pengurusan dan pemantauan
televisyen dan di medial sosial, isu-isu yang berkaitan keselamatan siber di MARA dilaksanakan melalui
dengan keselamatan siber yang semakin hangat tadbir urus yang melibatkan pengurusan atasan
diperkatakan. Penggunaan komunikasi dan teknologi dalam membuat keputusan.
maklumat secara meluas merupakan norma baru
dan semakin meningkat dikalangan pengguna. Pelaksanaan tadbir urus dan pematuhan kawalan
Dengan ledakan teknologi terkini dalam menuju keselamatan siber adalah merujuk kepada garis
era pendigitalan, keselamatan siber telah menjadi panduan yang telah ditetapkan oleh Agensi
agenda utama dalam memastikan keselamatan Keselamatan Siber Negara (NACSA) seperti Malaysia
maklumat, aplikasi, rangkaian dan internet dilindungi Cyber Security Strategy 2020-2021 dan Rangka
dengan mengambilkira kepentingan pemeliharaan Kerja Keselamatan Siber Sektor Awam (RAKKSSA).
kerahsiaan (confidentiality), integriti (integrity) dan Struktur Tadbir Urus Keselamatan Siber MARA yang
kebolehsediaan (availability). diketuai oleh Ketua Pengarah MARA adalah seperti
Rajah 1 di bawah:

Jawatan Peranan dan Tanggungjawab
Ketua Pengarah MARA
• Memastikan semua pengguna memahami
peruntukan-peruntukan di bawah Pelan
Keselamatan Siber MARA;

• Memastikan semua pengguna mematuhi Pelan
Keselamatan Siber MARA;

• Memastikan semua keperluan organisasi
(sumber kewangan, sumber manusia dan
perlindungan keselamatan) adalah mencukupi;

• Memastikan penilaian risiko dan program
kesedaran keselamatan ICT dilaksanakan seperti
yang ditetapkan di dalam Pelan Keselamatan
Siber MARA; dan

• Mempengerusikan Mesyuarat Jawatankuasa
Pemandu ICT (JPICT), MARA

16 MARA 3600 | e - Khidmat Pengurusan Julai 2021

Jawatan Peranan dan Tanggungjawab

TKP Khidmat Pengurusan sebagai • Membantu KetuaPengarahdalammelaksanakan
Ketua Pegawai Maklumat (CIO) tugas-tugas yang melibatkan keselamatan ICT;

• Menentukan keperluan keselamatan ICT;
• Menyelaras dan mengurus pelan latihan dan

program kesedaran keselamatan ICT seperti
penyediaan Pelan Keselamatan Siber MARA
serta proses pengurusan risiko dan pengauditan;
dan
• Bertanggungjawab ke atas perkara-perkara yang
berkaitan dengan keselamatan ICT MARA.

Pengarah Bahagian Teknologi • Menyedia, melaksana dan mengurus
Maklumat sebagai Pegawai keseluruhan program-program keselamatan ICT
Keselamatan ICT (ICTSO) MARA;

Menguatkuasakan pelaksanaan Pelan
Keselamatan Siber MARA;

• Memberi penerangan dan pendedahan
berkenaan Pelan Keselamatan Siber MARA
kepada semua pengguna;

• Mewujudkan garis panduan, prosedur dan
tatacara selaras dengan keperluan Pelan
Keselamatan Siner MARA;

• Menjalankan pengurusan risiko;
• Menjalankan audit, mengkaji semula, merumus

tindak balas pengurusan MARA berdasarkan
hasil penemuan dan menyediakan laporan
mengenainya;
• Memberi amaran terhadap kemungkinan
berlakunya ancaman berbahaya seperti virus dan
memberi khidmat nasihat serta menyediakan
langkah-langkah perlindungan yang bersesuaian.
• Melaporkan insiden keselamatan ICT
kepada NACSA, memaklumkannya kepada
CIO dan mengambil tindakan pemulihan
atau pengukuhan bagi meningkatkan tahap
keselamatan infrastruktur ICT supaya insiden
seumpamanya dapat dielakkan;
• Bekerjasama dengan semua pihak yang berkaitan
dalam mengenal pasti punca ancaman atau
insiden keselamatan ICT dan memperakukan
langkah-langkah baik pulih dengan segera;
• Memberikan kebenaran hak akses yang
berkaitan keselamatan ICT kepada pengguna;
dan
• Bertindak sebagai koordinator dan melaporkan
insiden keselamatan ICT kepada CIO bagi insiden
ICT berdasarkan Pelan Pemulihan Bencana
(DRP).

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 17

Jawatan Peranan dan Tanggungjawab

Pengarah Bahagian Teknologi • Mengkaji semula dan melaksanakan kawalan
Maklumat sebagai Pengurus ICT keselamatan selaras dengan keperluan MARA;

• Menentukan kawalan akses pengguna terhadap
aset ICT MARA;

• Melaporkan sebarang perkara atau penemuan
mengenai keselamatan ICT kepada ICTSO:

• Menyimpan rekod, bahan bukti dan laporan
terkini mengenai ancaman keselamatan ICT
MARA;

• Membangun, mengkaji semula dan mengemas
kini Pelan Pemulihan Bencana (DRP)
keselamatan ICT;

• Memastikan Pelan Keselamatan Siber MARA
dikemas kini sesuai dengan perubahan teknologi,
perubahan dasar kerjaan dan ancaman-
ancaman terkini dari semasa ke semasa; dan

• Memastikan Pelan Strategik ICT MARA
mengandungi inisiatif di dalam aspek
keselamatan ICT.

• Mengambil tindakan yang bersesuaian dengan

segera apabila dimaklumkan mengenai

kakitangan yang berhenti, bertukar, bercuti,

berkursus panjang atau berlaku perubahan

dalam bidang tugas;

• Menentukan ketepatan dan kesempurnaan

sesuatu tahap capaian berdasarkan arahan

pemilik sumber maklumat sebagaimana yang

ditetapkan dalam Pelan Keselamatan Siber

MARA;

• Memantau aktiviti capaian harian sistem aplikasi

pengguna;

Pentadbir Sistem ICT • Mengenal pasti aktiviti-aktiviti tidak normal

seperti pencerobohan dan pengubahsuaian

data tanpa kebenaran dan membatalkan atau

memberhentikannya dengan serta merta;

• Menganalisis dan menyimpan rekod jejak audit;

• Menyediakan laporan mengenai aktiviti capaian

secara berkala;

• Memastikan setiap pengguna dikenali dengan

menggunakan User ID yang unik; dan

• Bertanggungjawab memantau setiap

perkakasan ICT yang diagihkan kepada

pengguna seperti komputer peribadi, komputer

riba, pencetak, pengimbas dan sebagainya di

dalam keadaan yang baik.

Jadual 1: Struktur Tadbir Urus Keselamatan Siber MARA

18 MARA 3600 | e - Khidmat Pengurusan Julai 2021

Dengan wujudnya gerak usaha dari sudut tadbir
urus keselamatan siber, ia membantu MARA
untuk mengenal pasti punca kuasa, dasar,
polisi dan garis panduan yang dikeluarkan oleh
Badan Bertanggungjawab bagi memastikan
pelaksanaannya di peringkat organisasi. Ia juga dapat
memastikan perundangan berkaitan ICT dapat diberi
perhatian. Gerak usaha ini juga telah memberi ruang
dan peluang kepada MARA untuk mengenalpasti
penambahbaikan bagi tujuan keselamatan ICT tidak
kira sama ada dari segi infrastuktur ICT, sistem
aplikasi, pengurusan sumber manusia mahu pun dari
segi polisi secara berterusan.

Sumber: Noor Afzan binti Mohd Nordin
Bahagian Teknologi Maklumat, MARA.

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 19

SELEKSI EDITOR

Sumber: Cyber Security Malaysia

20 MARA 3600 | e - Khidmat Pengurusan Julai 2021

INISIATIF DAN PROGRAM
KESELAMATAN SIBER
MARA

Malaysia Computer Emergency Response Team INISIATIF 1: PELAKSANAAN
(MyCERT),Cybersecurity Malaysiabertanggungjawab INFORMATION SECURITY
menyediakan statistik bulanan insiden di Malaysia MANAGEMENT SYSTEM (ISMS)
mengikut beberapa kategori utama. Menurut
statistik Insiden yang dikeluarkan oleh MyCERT bagi Pelaksanaan Information Security Management
tempoh Januari sehingga Jun 2021, insiden tertinggi System (ISMS) merupakan proses Pensijilan
ialah Pemalsuan (Forgery) sebanyak 4090 insiden MS ISO/IEC 27001/2013 – Pengurusan Sistem
diikuti oleh Pencerobohan (Intrusion) sebanyak 877 Keselamatan Maklumat (ISMS) adalah selaras
insiden dan Malicious Codes sebanyak 320 insiden. dengan arahan Ketua Pengarah Unit Pemodenan
Tadbiran Dan Perancangan Pengurusan Malaysia
MARA sebagai sebuah agensi kerajaan turut (MAMPU) kepada semua agensi kerajaan untuk
terdedah kepada risiko dan ancaman berkaitan melaksanakan pensijilan MS ISO/IEC 27001/2013 –
keselamatan siber berikutan perkembangan Pengurusan Sistem Keselamatan Maklumat (ISMS)
teknologi dan penggunaan ICT dalam sistem bagi menjamin kepentingan sistem penyampaian
penyampaian perkhidmatan semasa. Kini, MARA perkhidmatan pelanggan. Selain itu, pelaksanan
berhadapan dengan cabaran untuk memastikan ISMS merupakan saranan daripada Malaysia Cyber
pematuhan kepada Majlis Keselamatan Negara Security Strategy 2020-2024 yang menyatakan
(MKN) dalam melindungi keselamatan aset-aset inisiatif berkaitan piawaian ISMS di bawah Pillar 1:
ICT, melaksanakan penanda aras di kalangan agensi Effective Governance and Management dan Strategi
kerajaan dan juga memastikan program dan kempen 2: Improving Organisation Management and Business
kesedaran keselamatan siber diadakan secara Operation (Government, CNII and Business).
berterusan.
ISMS merupakan piawaian keselamatan global yang
Sehubungan dengan itu, beberapa inisiatif dan telah dikeluarkan oleh International Organization
program telah dilaksanakan dalam peningkatan for Standardization (ISO) dan International
kawalan serta jaminan keselamatan pengurusan Electrotechnical Commission (IEC). SIRIM Berhad
maklumat di MARA selaras dengan arahan dan dan Cybersecurity Malaysia merupakan badan
surat pekeliling yang telah dikeluarkan oleh Kerajaan pensijilan ISMS yang diiktiraf di Malaysia. Pensijilan
Malaysia. Pengurusan Tertinggi MARA sentiasa ini merupakan piawaian antarabangsa dan penanda
menyokong setiap inisiatif dan program peningkatan aras keselamatan maklumat yang merupakan
dan pematuhan selaras dengan kehendak salah satu agenda penting nasional dalam aspek
akta, arahan, peraturan dan prosedur berkaitan keselamatan siber.
keselamatan ICT semasa.

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 21

Pensijilan ISMS yang telah diterima oleh MARA adalah dan surveillance secara tahunan oleh pihak SIRIM.
untuk Sistem Pengurusan Keselamatan Maklumat Pengauditan ISMS yang dijalankan secara telus
bagi Penyampaian Perkhidmatan Permohonan oleh pihak profesional dalam menyemak kawalan
Pinjaman Pelajaran MARA Menggunakan Sistem keselamatan yang telah dilaksanakan oleh MARA
MyEduloan di Ibu Pejabat MARA bagi tempoh April dapat mengesahkan jaminan keselamatan sistem
2017 sehingga Mac 2023. Dalam tempoh tersebut, penyampaian perkhidmatan ICT MARA dan
MARA perlu melaksanakan audit recertification melayakkan MARA menerima pensijilan seperti
Gambarajah 1:

Gambarajah 1 : Sijil ISMS yang diterima oleh MARA
Pelaksanaan ISMS merujuk kepada pematuhan dua komponen utama iaitu:

a. Sistem Pengurusan terdiri daripada Tadbir Dalam pelaksanaan ISMS ini, faedah dan pematuhan
Urus ISMS, Polisi Keselamatan Siber, Pengurusan Domain Keselamatan merupakan proses
Risiko Siber, Dokumentasi, Audit Dalam dan Kajian penambahbaikan dan peningkatan kawalan dalaman
Semula Pengurusan. dalam operasi harian. Antara faedah yang dapat
memberi impak kawalan keselamatan adalah:
b. Domain Keselamatan yang melibatkan
kawalan bagi Sumber Manusia, Keselamatan a. Sumber Manusia : peningkatan kawalan
Fizikal, Operasi Keselamatan, Pengurusan Insiden, pengurusan akses ruang pejabat yang melibatkan
Pengurusan Kesinambungan, Hubungan Pembekal dokumen terperingkat dan pengurusan pengguna
dan Pematuhan. sistem di Bahagian Penganjuran Pelajaran

22 MARA 3600 | e - Khidmat Pengurusan Julai 2021

b. Hubungan Pembekal: pematuhan kepada
Dasar Keselamatan ICT/Pelan Keselamatan
Siber MARA dan Akta Rahsia Rasmi 1972 dengan
memastikan semua pembekal yang terlibat
menandatangani Non-Disclosure Agreement (NDA).

c. Operasi Keselamatan : pengurusan
pengasingan segmen capaian antara pelayan
pembangunan sistem, pengujian (QA) dan produksi,
penyeragaman masa bagi semua pelayan dan
perkakasan di Pusat Data MARA menggunakan
Network Time Protocol serta pengurusan kata laluan
bagi Sistem MyEduloan.

d. Keselamatan Fizikal: pemantauan

pergerakan pelawat atau pembekal melalui CCTV dan

buku rekod serta sistem pintu di Pusat Data MARA.

Bagi memastikan pelaksanaan ISMS mengikut garis INISIATIF 2: PELAKS
panduan yang telah ditetapkan, kompetensi yang ASSESSMENT (SPA)
diperlukan adalah seperti berikut berikut:
Security Posture As
a. Information Security Management Systems (ISMS) program penilaian
b. System Security Certified Practioner (SSCP) menyediakan pedeka
c. Certified Governance of Enterprise IT (CGEIT) risiko keselamatan d
d. Business Continuity Management (BCM) System Implementor dalam pengurusan ke
e. GIAC Systems and Network Auditor (GSNA) telah mengeluarkan
f. Business System Manager 3 Tahun 2009 bert
g. Business Continuity Management (BCM) System Manager Tahap Keselamatan
h. Certified in Risk and Information Control (CRISC) Sektor Awam yang
i. Certitification in Risk Management Assurance (CRMA) dilaksanakan sebag
j. ISO 22301 Business Continuity Management (BCM – Lead Auditor) penyampaian perkh
k. Business Continuity Management (BCM) System Expert Implementor tempoh 24x7. Pen
l. BCM System Expert Implementor perlu diadakan seku
m. Certified Information Security Manager (CISM) bagi memastikan M
n. Chief Information Security Officer (CISO) mengesan kelemaha
data dan sistem ap
supaya penambahba
dirancang dan dilak
dilaksanakan secar
perkhidmatan pihak k

MARA telah melak
menyemak Dasar
Pelan Keselamatan
keselamatan fizikal, p
keselamatan rangkai
menyediakan Lapora

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 23

g. Black-box testing simulasi dan pelbagai teknik eksploitasi bagi
Tiada maklumat akan diberikan kepada pasukan mengenalpasti dan mengatasi kelemahan
penguji sebelum penilaian keselamatan dijalankan. keselamatan yang boleh dimanipulasi oleh penyerang
Aktiviti ini adalah satu proses simulasi serangan dari luar. Ujian keselamatan dan risiko akan dianalisis
yang dijalankan dari persekitaran luar dengan penilai berdasarkan perspektif luaran.
tidak mempunyai sebarang maklumat mengenai
persekitaran yang disasarkan. Namun begitu, c. Web Application Penetration Test
pasukan penguji mempunyai pemahaman berkaitan Penilaian ini dilakukan bagi pengujian menyeluruh
apa yang perlu dicapai meski pun tidak mempunyai terhadap sistem aplikasi bagi mengenalpasti
maklumat yang lengkap. sekiranya terdapat kerentanan dan kelemahan yang
boleh menggugat tahap keselamatan dari aspek
h. Grey-box testing ketersediaan, integriti, kerahsiaan dan kesahihan
Pasukan penguji mempunyai maklumat yang terhad maklumat.
sebelum penilaian keselamatan dijalankan. Sebagai
contoh, pasukan penguji akan diberikan maklumat d. Penilaian Keselamatan Fizikal dan
credential (log masuk dan kata laluan) untuk log masuk Persekitaran
ke sistem aplikasi atau akses pelawat ke sesuatu Penilaian yang dijalankan bagi mengelakkan
laman web. Ini bertujuan untuk memahami tahap pencerobohan atau akses tanpa kebenaran
akses yang diperolehi oleh pengguna berdasarkan pada persekitaran fizikal, peralatan keselamatan
had capaian dan kemungkinan kerosakan yang persekitaran dan bangunan bagi mengelakkan
disebabkan oleh pengguna dalaman atau serangan kerosakan atau gangguan kepada premis MARA
khusus yang boleh dlakukan apabila mempunyai termasuk persekitaran Pusat Data MARA. Penilaian
pengetahuan berkaitan persekitaran sasaran. kawalan yang dilaksanakan bersesuaian dengan
risiko yang telah dikenalpasti dan nilai aset yang perlu
i. White-box testing dilindungi.
Pasukan penguji akan diberikan maklumat lengkap
sebelum penilaian keselamatan dijalankan. Contoh e. Pematuhan Dasar/Polisi/Prosedur
maklumat tersebut ialah kod sumber sistem
aplikasi, diagram rangkaian dan perjumpaan dengan Keselamatan ICT
pembangun sistem aplikasi. Ini bertujuan untuk
menyokong pengujian kepada sistem aplikasi dengan Semakan semula bagi mengenal pasti analisis
lebih terperinci bagi mengenalpasti kelemahan dan
vektor kepada serangan. jurang serta ketidakpatuhan dan kelemahan dalam

pelaksanaan kawalan keselamatan ICT di MARA

berdasarkan Dasar/Polisi/Prosedur Keselamatan ICT

serta amalan terbaik keselamatan maklumat.

Skop penilaian tahap keselamatan ICT bagi f. Semakan Semula Arkitektur Sistem
sistem aplikasi fungsi kritikal bisnes MARA yang Rangkaian
telah dilaksanakan adalah seperti berikut: Semakan semula dijalankan bagi menilai dan
a. Internal Penetration Test menganalisis arkitektur sistem rangkaian dengan
Penilaian terhadap kerentanan dan aktiviti eksploitasi memberi ulasan dan cadangan penambahbaikan
terhadap infrastruktur ICT seperti sistem rangkaian arkitektur berdasarkan amalan terbaik keselamatan
dan server dari persekitaran dalaman MARA ICT.
dengan melaksanakan simulasi dan pelbagai
teknik eksploitasi bagi mengenalpasti kelemahan g. Penilaian Perkakasan Sistem Rangkaian dan
keselamatan disebabkan oleh pengguna dalaman Keselamatan ICT
MARA. Ujian keselamatan dan risiko akan dianalisis Penilaian bagi mengesan dan mengenalpasti
berdasarkan perspektif dalaman. kerentanan pada polisi dan konfigurasi keselamatan
perkakasan sistem rangkaian dan keselamatan ICT
b. External Penetration Test MARA berdasarkan skop yang dipersetujui.
Penilaian terhadap kerentanan dan aktiviti eksploitasi
terhadap infrastruktur ICT melalui sistem rangkaian h. Penilaian Hos (Sistem Operasi)
luaran persekitaran MARA dengan melaksanakan Penilaian bagi mengesan dan mengenalpasti
kerentanan pada polisi dan konfigurasi keselamatan

24 MARA 3600 | e - Khidmat Pengurusan Julai 2021

server bagi pematuhan garis panduan Center Bagi memastikan pelaksanaan SPA mengikut garis
for Internet Security (CIS). Keputusan penilaian panduan yang telah ditetapkan, pasukan penguji yang
menggambarkan ketahanan sistem dalam dilantik perlu mempunyai kompetensi seperti berikut:
menangani percubaan pencerobohan. a. Certified Information Systems Security
Professional (CISSP);
i. Penilaian Keselamatan Pangkalan Data b. Certified in Risk and Information Systems
Penilaian bagi mengesan dan mengenalpasti Control (CRISC);
kerentanan pada sistem aplikasi terhadap percubaan c. Certified Ethical Hacker (CEH) oleh EC-
yang tidak dibenarkan melalui pengubahsuaian Council;
fungsi dan logik pengaturcaraan. d. Offensive Security Certified Professional
(OSCP) oleh Offensive Security;
Melalui pelaksanaan SPA yang telah e. Global Information Assurance Certification
dijalankan, terdapat beberapa penambahbaikan (GIAC) Certifications (Contoh: GIAC Certified Security
proses dan tindakan yang perlu dirancang dan Assessor (GPEN), GIAC Web Application Security
dilaksanakan dari semasa ke semasa iaitu dengan Assessor (GWAPT), atau GIAC Exploit Researcher
memastikan polisi serta konfigurasi keselamatan ICT and Advanced Security Assessor (GXPN)); dan/atau
dikemaskini kepada versi terkini dan ketersediaan f. CREST Certified Testers (CREST Certified
operasi Pusat Data MARA di tahap tinggi. Tester Application (CCT-APP), CREST Certified Tester
Infrastructure (CCT-INF)).

INISIATIF 3: PENGURUSAN INSIDEN KESELAMATAN melanggar Dasar Keselamatan ICT.
ICT
b. Penghalangan Penyampaian Perkhidmatan
Pengurusan insiden keselamatan adalah (Denial of Service)
proses mengenal pasti, mengurus, merekod dan Ancaman ke atas keselamatan sistem komputer
menganalisis ancaman keselamatan atau insiden. di mana perkhidmatan pemprosesan maklumat
Insiden keselamatan boleh berlaku dari pelbagai sengaja dinafikan terhadap pengguna sistem. Ia
bentuk ancaman daripada percubaan pencerobohan melibatkan sebarang tindakan yang menghalang
sehingga kepada pencerobohan yang berjaya dan sistem daripada berfungsi secara normal. Termasuk
berlaku kompromi data. denial of service (DoS), distributed denial of service
(DDoS) dan sabotage.
Menurut Surat Pekeliling Am Bilangan 4 Tahun 2006
yang dikeluarkan oleh Unit Pemodenan Tadbiran dan c. Pencerobohan (Intrusion)
Perancangan Pengurusan Malaysia (MAMPU) pada 9 Mengguna dan mengubahsuai ciri-ciri perkakasan,
November 2006 bertajuk Pengurusan Pengendalian perisian atau mana-mana komponen sesebuah
Insiden Keselamatan Teknologi Maklumat dan sistem tanpa pengetahuan, arahan atau persetujuan
Komunikasi (ICT) Sektor Awam, insiden keselamatan mana-mana pihak. Ia termasuk capaian tanpa
ICT ditakrifkan sebagai musibah (adverse event) kebenaran, pencerobohan laman web, melakukan
yang berlaku ke atas aset ICT atau ancaman kerosakan kepada sistem (system tampering),
kemungkinan berlaku kejadian tersebut. Ia mungkin pindaan data (modification of data) dan pindaan
suatu perbuatan yang melanggar dasar keselamatan kepada konfigurasi sistem.
ICT sama ada yang ditetapkan secara tersurat
atau tersirat. Terdapat sembilan (9) jenis insiden d. Pemalsuan (Forgery)
keselamatan ICT iaitu: Pemalsuan dan penyamaran identiti yang banyak
dilakukan dalam penghantaran mesej melalui emel
a. Pelanggaran Dasar (Violation of Policy) termasuk penyalahgunaan dan pencurian identiti,
Penggunaan aset ICT bagi tujuan kebocoran pencurian maklumat (information theft/espionage)
maklumat dan/atau mencapai maklumat yang dan penipuan (hoaxes).

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 25

e. Spam g. Menjalankan penilaian untuk memastikan
Spam adalah emel yang dihantar ke akaun emel tahap keselamatan ICT dan mengambil tindakan
orang lain yang tidak dikenali, menghantar dalam pemulihan atau pengukuhan bagi meningkatkan
satu masa dan secara berulang-kali (kandungan emel tahap keselamatan infrastruktur ICT supaya insiden
yang sama). Ini menyebabkan kesesakan rangkaian baru dapat dielakkan
dan tindak balas menjadi perlahan.
Insiden ICT yang kerap berlaku di MARA ialah
f. Malicious Code e-mel spam, phising dan spoofing, Malicious
Perkakasan atau perisian yang dimasukkan ke dalam Code seperti Ransomware dan Attempts/Hack
sistem tanpa kebenaran bagi tujuan pencerobohan. Threats/Information Gathering di gateway penyedia
Ia melibatkan serangan virus, trojan horse, worm, perkhidmatan internet bagi sistem aplikasi berasaskan
spyware dan sebagainya. web. MARA telah mengambil tindakan sewajarnya
berdasarkan tatacara Pengendalian insiden ICT
g. Harrassment/Threats seperti yang dinyatakan dalam Pelan Keselamatan
Gangguan dan ancaman melalui pelbagai cara iaitu Siber MARA versi 2.0, Bidang 06: Pengurusan Operasi
emel dan surat yang bermotif personal dan atas dan Komunikasi pada sub bidang PKSMARA 060104
sebab tertentu. Prosedur Pengurusan Insiden.

h. Attempts/Hack Threats/Information Bagi memastikan pengendalian insiden mengikut
garis panduan yang telah ditetapkan, pasukan dilantik
Gathering digalakkan mempunyai kompetensi seperti berikut:
a. GIAC (SANS Global Information Assurance
Percubaaan (sama ada gagal atau berjaya) untuk Certification) Certified Forensics Examiner (GCFE)
b. GIAC Information Security Fundamentals
mencapai sistem atau data tanpa kebenaran. (GISF) Fundamental
c. Computer Forensic (FCF)
Termasuk spoofing, phishing, probing, war driving d. GIAC Certified Forensic Analyst (GCFA)
e. GIAC Law of Data Security & Investigations
dan scanning. (GLEG)
f. Certified Ethical Hacker (CEH)
i. Kehilangan Fizikal (Physical Loss) g. GIAC Reverse Engineering Malware (GREM)
Kehilangan capaian dan kegunaan disebabkan h. Computer Hacking Forensic Investigator
kerosakan, kecurian dan kebakaran ke atas aset ICT (CHFI)
berpunca dari ancaman pencerobohan. i. EC-Council Certified Incident Handling (ECIH)

Dari aspek teknikal, penubuhan Pasukan Computer
Emergency Response Team (CERT) agensi yang
bertanggungjawab seperti berikut:
a. Menerima dan mengesan aduan
keselamatan ICT dan menilai tahap dan jenis insiden;
b. Merekod dan menjalankan siasatan awal
insiden yang diterima;
c. Menangani tindak balas (response) insiden
keselamatan ICT dan mengambil tindakan baikpulih
minima;
d. Menghubungi dan melapor insiden yang
berlaku kepada Government Computer Emergency
Response Team (GCERT) NACSA sama ada sebagai
input atau untuk tindakan seterusnya;
e. Menasihat agensi-agensi di bawah
kawalannya mengambil tindakan pemulihan dan
pengukuhan;
f. Menyebarkan makluman berkaitan insiden
kepada agensi di bawah kawalannya; dan

26 MARA 3600 | e - Khidmat Pengurusan Julai 2021

INISIATIF 4: PROGRAM KESEDARAN KESELAMATAN d. Menambahbaik keseluruhan tahap
SIBER keselamatan infrastruktur ICT dengan mengikuti
MARA telah menganjurkan program syor dan saranan dalam usaha mitigasi terhadap
kesedaran keselamatan siber sebagai langkah kelemahan yang telah dikenalpasti.
menghadapi serangan siber seperti poster digital di e. Meningkat pematuhan terhadap dasar/
Portal MARAnet, hebahan melalui e-mel rasmi MARA, polisi/prosedur keselamatan ICT dan selaras
program perkongsian pengetahuan melalui ceramah dengan teknologi terkini yang memerlukan penilaian
dan soal selidik. Melalui inisiatif ini, hebahan dan keselamatan.
perkongsian pengetahuan berkaitan keselamatan
siber dapat disampaikan secara menyeluruh kepada Dengan kawalan, jaminan dan penilaian keselamatan
semua komuniti MARA. ICT yang dilaksanakan secara konsisten ini mampu
meningkatkan kepercayaan orang awam dan reputasi
KESIMPULAN MARA dalam menyediakan perkhidmatan ICT dengan
Melalui inisiatif dan program yang telah dilaksanakan, memelihara kerahsiaan maklumat (confidentiality),
MARA mendapat faedah penambahbaikan integriti (integrity) dan kebolehsediaan (availability).
secara berterusan sebagai amalan terbaik dalam
pengurusan keselamatan ICT bagi menyokong Sebagai pengguna ICT, adalah menjadi
memantapkan sistem penyampaian perkhidmatan tanggungjawab bersama untuk melaksanakan
yang sedang dilaksanakan. Selain itu, pelaksanaan prinsip-prinsip yang terkandung dalam Pelan
inisiatif dan program tersebut juga dapat membantu Keselamatan Siber MARA sebagai panduan dan
mewujudkan dan menambahbaik Standard Operating langkah kawalan keselamatan ICT. Disamping itu,
Procedures (SOP) semasa selaras dengan Pelan pengguna juga digalakkan melibatkan diri dalam
Keselamatan Siber. Antara faedah pelaksanaan program kesedaran keselamatan siber sebagai usaha
inisiatif dan program tersebut adalah: penambahan pengetahuan berkaitan keselamatan
a. Mengurangkan risiko yang terhasil kesan siber. Sekiranya pengguna dapat mengesan sebarang
daripada akses sama ada secara sengaja atau tidak insiden keselamatan ICT di tempat kerja, pengguna
sengaja kepada aset ICT. bertanggungjawab melaporkan kepada Pengarah
b. Mengenalpasti kelemahan keselamatan Bahagian Teknologi Maklumat selaku Pegawai
yang menimbulkan risiko kepada infrastruktur ICT Keselamatan ICT (ICTSO) MARA.
secara proaktif.
c. Mampu membantu dalam mengenalpasti Sumber dan penulisan: Noor Afzan binti Mohd Nordin
keutamaan dalam mengatasi risiko ICT berdasarkan Bahagian Teknologi Maklumat, MARA.
risiko bisnes.

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 27

SELEKSI EDITOR SELEKSI EDITOR
Sumber: Cyber Security Malaysia



30 MARA 3600 | e - Khidmat Pengurusan Julai 2021

Julai 2021 MARA 3600 | e - Khidmat Pengurusan 31

Terbitan

Bahagian Inovasi & Teknologi Kreatif MARA
Tingkat 4, Ibu Pejabat MARA

50609 Jalan MARA, Kuala Lumpur.
Tel: 03 2613 2401 • Faks: 03 2691 0075

Email: [email protected]
www.mara.gov.my

32 MARA 3600 | e - Khidmat Pengurusan Julai 2021