BU

LETT

IN

BULETIN PERSATUAN JURUANALISA SISTEM SEKTOR AWAM

BIL 1/2019PERCUMA UNTUK AHLI

Topik Menarik• Pengenalan Kepada Indeks Pangkalan Data• Apa Itu Kejuruteraan Sosial (Social Engineering)?• Langkah Demi Langkah Menyediakan Emails Spoofing• Perkongsian Maklumat Geospatial Melalui Platform Malaysia

Geospatial Online Services (MyGOS)• A Framework for ICT Security Policy Compliance• Hala Tuju Komuniti Sumber Terbuka Sektor Awam• Gentle Introduction to Sentiment Analysis Using Naïve Bayes

Muka surat ini sengaja dibiarkan kosong

TopikMukaSurat

Perutusan Presideni

Dari Meja Editor ii

Sidang Redaksi iii

Ahli Jawatankuasa PERJASA iii

Seminar PERJASA-Oracle: Unleashing Digital Transformation

1

Seminar DevOps: Empowering Digital Services 2

Pengenalan Kepada Indeks Pangkalan Data 4

Apa Itu Kejuruteraan Sosial (Social Engineering)? 6

Langkah Demi Langkah Menyediakan Email Perdaya(Emails Spoofing)

8

Perkongsian Maklumat Geospatial Melalui Platform Malaysia Geospatial Online Services (MyGOS)

12

Hala Tuju Komuniti Sumber Terbuka Sektor Awam 17

A Framework for ICT Security Policy Compliance 20

A Gentle Introduction to Sentiment Analysis Using Naïve Bayes 27

Kejohanan Golf PERJASA 2019 - Piala GCIO 29

Sesi Perjumpaan Bersama Wakil PERJASA, KPPTM dan CTSU Bersama YBhg Ketua Pengarah MAMPU

30

Keperluan Membina Tahap Ketersediaan Yang Tinggi (HA) KeAtas Server Virtual

31

Dengan Nama Allah Yang Maha Pemurah LagiPenyayang.

Saya bersyukur ke hadrat Ilahi di ataskelahiran semua Buletin PERJASA setelah kaliterakhir PERJASA menerbitkan majalahadalah kira-kira 20 tahun yang lalu dengannama JAS News.

Saya mengucapkan tahniah kepada barisaneditorial dan juga ahli PERJASA yang sudimenyumbangkan artikel untuk BuletinPERJASA ini. Saya berharap ia akan menjadiwadah perkongsian ilmu dikalangan wargateknologi maklumat.

Di kesempatan ini juga, saya inginmengucapkan Selamat Menyambut BulanRamadan dan Selamat Menyambut Aidilfitrikepada semua umat Islam. Semoga kitaberoleh kejayaan di dunia dan akhirat.

Ahmad bin OsmanPresiden PERJASA 2017-2019

BULETIN PERJASA | i

Alhamdulilah syukur ke hadrat Illahi, akhirnyaBuletin PERJASA edisi yang pertama ini dapatditerbitkan.

Edisi yang julung kali ini menampilkanperkongsian yang hebat dan menarik olehahli-ahli PERJASA dan juga warga SkimPerkhidmatan Teknologi Maklumat SektorAwam. Antara topik-topik perkongsian adalahyang berkaitan dengan indexing pangkalandata, kejuruteraan sosial, email pedaya,Malaysia Geospatial Online Services(MyGOS), komuniti sumber terbuka, rangkakerja polisi teknologi maklumat dan jugalaporan aktiviti PERJASA.

Semoga semua perkongsian ini menjadimanfaat kepada semua pembaca.

Kami di sidang editorial sangat menghargaisumbangan artikel oleh semua pihak. Kamijuga berharap di keluaran akan datang, lebihbanyak artikel yang lebih berkualiti dapatditerbitkan.

Ts. Mohd Naim Mohd IbrahimKetua Editor Buletin PERJASA

BULETIN PERJASA | ii

Ketua EditorTs. Mohd Naim Mohd Ibrahim

EditorPuan Felicia Chua Swee SuanPuan Wan Amishah binti Wan MahmudDr. Sheila MahalingamTs. Adi Azlan bin Mohd Ali

Senarai AhliJawatankuasa Sesi 2017-2019Pengerusi : Tuan Haji Ahmad bin Osman (MAMPU)Timb Pengerusi : Dr. Nor’Ashikin binti Ujang (JPA)Setiausaha : Puan Felicia Chua Swee Suan (MAMPU)Penolong Setiausaha : Puan Razita binti Omar (JPA)Bendahari : Cik Hazliana bt Talha (Bahagian Istiadat, JPM)AJK :Ts. Dr. Jayaletchumi T.S.Moorthy (INTAN)Encik Luqman bin Subki (MKN)Ts. Mohd Naim bin Mohd Ibrahim (KDN)Ts. Adi Azlan bin Mohd Ali (JPA – Latihan)Dr. Nur Azaliah binti Abu Bakar (MAMPU)Ts. Mohamed Hairul bin Othman (JPA-Latihan)Encik Razale bin Ibrahim (Jabatan Perangkaan)Encik Mohd Safuan bin Elias (KPWKM)Puan Wan Amishah binti Wan Mahmud (MAMPU)

Pemeriksa kira-kira:Puan Mazilah binti Mohamad Amin (SWCorp)Encik Hariadi bin Hinta (JPA)

BULETIN PERJASA | iii

Seminar PERJASA-Oracle: Unleashing Digital Transformation

Wan Amishah Binti Wan MahmudAJK PERJASA 2017-2019

BULETIN PERJASA | 1

Digital Transformation is no longer a questionto Asia Pacific organizations. It has become areality for all segments that are serious aboutstaying relevant in the digital economy,including public sector. DX is a multiyear effortwith specific goals and objectives, revenuegrowth, increase productivity and efficiency.Moreover DX involves a radical rethink of howto secure our data.

Not just about delighting customers withsuperior services and quality in real-time,governments agencies also need to becomeextremely agile and adaptable and ability todevelop the right technological environmentfor continuous innovation.

PERJASA dengan kerjasama Oracle Malaysia telahmengadakan satu Seminar yang bertajukUnleashing Digital Transformation. Objektifprogram adalah untuk berkongsi pengalamanpihak Oracle dalam perancangan danmelaksanakan transformasi digital.

Program telah dirasmikan oleh Presiden PERJASAiaitu Tuan Haji Ahmad bin Osman dan diadakanpada 22 November 2018 bermula dari 8.30 amhingga 4.00 pm, bertempat di Hotel Marriott,Putrajaya.

Seramai 104 ahli PERJASA telah menghadiriprogram berkenaan termasuk 8 orang wakil dariKesatuan Penolong Pegawai Teknologi Maklumatdan Persatuan Juruteknik Komputer.

Dua (2) wakil PERJASA telah dijemput sebagai ahliForum dan telah memberi pandangan mengenaitransformasi digital dalam aspek modal insan danketersediaan struktur ICT Negara yangmemerlukan anjakan paradigm semua pihak.

Seminar DevOps: Empowering Digital Services

Chua Swee Suan (Felicia), PERJASA Secretary 2017-2019

BULETIN PERJASA | 2

Co-organized by PERJASA, KPPTM, CTSU & Microsoft Malaysia

Seminar DevOps: Empowering Digital Serviceshas marked the first time ever successfulcollaborative event of The Association of PublicSector System Analysts (PERJASA), Assistant ITOfficer Union (KPPTM) and ComputerTechnician Scheme Union (CTSU)! With theobjective to upskill our members, we haveinvited our members and also Public Sector ICTpersonnel to join this seminar. Partnering aswell with Microsoft Malaysia, this seminar wassuccessfully held on 29 April 2019 at PulseGrande Hotel Putrajaya with great support of95 ICT personnel from various public sectoragencies (75% attendance were the membersof 3 association/union).

Agenda of the seminar

What is DevOps?

DevOps (development and operations) is an enterprise software development phrase used to meana type of agile relationship between development and IT operations.The DevOps ideals extend agiledevelopment practices by further streamlining the movement of software change thru the build,validate, and deploy and delivery stages, while empowering cross-functional teams with fullownership of software applications – from design thru production support.

Implementation of DevOps automation in the IT-organization is heavily dependent on tools, which arerequired to cover different areas of the systems development lifecycle (SDLC) such as Infrastructure asCode, Continuous Integration/ Deployment (CI/CD), Test Automation, Containerization,Orchestration, Software Deployment, Measurement and ChatOps.

Azure DevOps Bootcamps

Thus, while we had this seminar as the first step to introduce DevOps and now with Microsoft’senthusiasm to assist in our upskilling program, we are exciting to announce that there will be 3 AzureDevOps bootcamps to help accelerate your journey as DevOps practitioner coming soon in July – Sept2019! Registration is open to PERJASA, KPPTM and CTSU members only. 50 members will beshortlisted and invited to the bootcamps and 3 commited participants will be chosen to attend 2Microsoft Azure Developer training and certifications! Stay tuned for more update..

BULETIN PERJASA | 3

Pengenalan Kepada IndeksPangkalan Data

Saya telah beberapa kali dipanggil untukmembantu menyelesaikan masalah prestasisistem aplikasi oleh Jabatan PendaftaranPertubuhan, Bahagian Pinjaman PerumahanKementerian Kewangan, Jabatan PertahananAwam, Jabatan Sukarelawan (RELA) dantempat saya berkhidmat sendiri. Kebanyakanmasalah prestasi sistem yang saya temuiadalah berpunca daripada masalah pangkalandata dan hampir 80% adalah berkaitan denganindexing (okay, angka 80% tu saya main tembakje, tapi memang kebanyakkanya lah). Sebelumkita mempelajari bagaimana untuk membuatpenalaan indeks (index tuning), mungkin adabaiknya kita mengenali dahulu apa itu indekspangkalan data, kesan sekiranya tiada indeksdan apa pula natijahnya jika terlalu banyakindeks.

Mengikut Pusat Rujukan Persuratan Melayu @ DBP , indeks membawa maksud

Daftar kata penting menurut abjad bersertanombor halaman terdapatnya kata tersebut, biasanya diletakkan di bahagian akhirsesebuah buku; 2. senarai tajuk buku, namapengarang dsb yg disusun secara sistematik pd kad di perpustakaan, faharasat, katalog;

Adakah anda pernah membaca buku ? Ya sayayakin anda tidak hanya membaca blog danmukabuku (Facebook) sahaja, anda pastinyapernah membaca buku secara fizikal. Lazimnyabuku (kecuali novel) mempunyai senarai isikandungan di bahagian hadapan buku untukmenerangkan tajuk-tajuk utama. Itu boleh jugadianggap sebagai indeks. Indeks memudahkankita untuk mencari tajuk yang kita ingin bacatanpa perlu membaca atau menyelakkeseluruhan buku.

Dalam sesebuah buku resipi, pastinya ada banyakresipi masakan dimuatkan di dalamnya. Jika sayaingin memasak Ayam Masak Merah misalnya,saya perlu menyelak satu persatu helaian bukuresipi tersebut sehingga saya jumpa Resipi AyamMasak Merah sekiranya buku tersebut tidakmempunyai menu isi kandungan. Perbuatanmenyelak satu persatu ini dalam pangkalan datadipanggil 'Full Table Scan'. Ianya memakan masayang lama dan sangat tidak efisian.

Sekiranya saya mempunyai pisang dan inginmenghasilkan suatu hidangan untuk minum petang,jika saya menyemak di ruangan isi kandungansahaja, antara hidangan yang akan saya jumpaberdasarkan kata kunci 'pisang' adalah gorengpisang, pengat pisang, lepat pisang dan gorengpisang cheese. Tetapi saya pasti tertinggal cucurkodok yang juga boleh dihasilkan daripada pisanghanya kerana tiada perkataan 'pisang' dalam tajukhidangan. Jadi untuk itu, saya perlu buat 'full tablescan' semula kepada buku resipi saya untukmenyenaraikan semua hidangan yang bolehdihasilkan daripada pisang.

Ts. Mohd Naim Mohd IbrahimKementerian Dalam Negeri

BULETIN PERJASA | 4

Alangkah mudahnya sekiranya sayamempunyai indeks hidanganberdasarkan bahan mentah. Sekiranyasaya ingin memasak ayam, saya hanyaperlu rujuk di indeks ini dibahagianayam sahaja. Sekiranya saya inginmemasak hidangan yang berasaskanikan, saya hanya perlu menyemak diruangan ikan.

Tetapi bagaimana pula jika saya inginmelihat jenis hidangan sama ada ianyatradisional melayu, masakan cina,barat, india ataupun perancis ? Ya,mempunyai indeks jenis hidangan akanmemudahkan kita mencari hidanganberdasarkan jenis atau negara asalnyaseperti jadual dibawah.

Pendek kata, lebih banyak indeks,lebih mudah dan cepat carian kita,begitu jugalah dengan pangkalandata, mempunyai lebih banyakindeks, lebih mudah dan cepat cariandilakukan.

“Lebih banyak indeks, lebihmudah dan cepat carian kita, begitu jugalah denganpangkalan data, mempunyai lebih banyakindeks, lebih mudah dan cepat carian dilakukan.”

Kesan Terlalu Banyak Indeks

Okay sekarang cuba bayangkan pulasekiranya kita mempunyai satu resipiyang baru yang kita ingin simpandalam buku resipi kita. Selaindaripada memasukkan resipi didalambuku, kita juga perlu mengemaskiniisi kandungannya. Sekiranya sayamempunyai indeks bahan mentah,saya perlu mengemaskini indeksbahan mentah. Begitu juga denganindeks jenis hidangan, negara asal,chef pencipta dan sebagainya.

Lebih banyak indeks, lebih leceh dan lama proses untuk memasukkan dan mengemaskini data baru. Begitulah halnya juga dengan pangkalan data, terlalu banyak indeks akanmempercepatkan carian, tetapi menyebabkan insert dan update menjadi perlahan.

Jadi bagaimana untuk membuat penalaan indeks ? Insyallah saya akan terangkan dalam edisiyang akan datang..

BULETIN PERJASA | 5

Apa Itu Kejuruteraan Sosial (SocialEngineering)?

Kejuruteraan Sosial adalah kaedahmemanipulasi psikologi serta tingkah lakumanusia atau sekumpulan manusia dengancara tertentu seperti kepercayaan dan emosibagi membolehkan mereka memberikanmaklumat sulit secara sukarela.

Contoh mudahnya, rakan sekerja kita mintakebenaran untuk akses PC sebab Big Bossminta hantarkan dokumen segera kepada dia.Kita pun memberikan kata laluan PC kitakepadanya. Secara automatik maklumat sulitkita sudah terdedah. Hati orang siapa yangtahu adakah rakan kita berniat baik atausebaliknya. Kalau kata laluan itu bolehmembuka akaun online banking kita juga?Bang! Jackpot!

Siapa yang popularkan istilah socialengineering?

Kevin Mitnick ialah orang yangbertanggungjawab mempopularkan istilahSoftware Engineering ni melalui bukunya TheArt Of Deception (2001).

Contoh kes berkaitan social engineering?

Berdasarkan sumber Ponemon Institute,Accenture pada tahun 2018, serangan siberyang paling banyak diterima oleh syarikatglobal adalah malware dan kedua sebanyak68% adalah Social Engineering.

Pada tahun 2007, terdapat satu kes berlianbernilai 28 juta telah dicuri dari ABM AMROBank di Belgium oleh seorang lelaki dengankaedah Social Engineering psikologi. Berbaikdengan staf bank dan seterusnyamengeluarkan berlian dari bilik kebal banktersebut untuk tujuan mencuri.

Pada tahun 2016, hampir 20,000 data personelFBI dicuri melalui Department Of Justice (DOJ)US. Kaedahnya adalah godam e-mel staff DOJ,menyamar sebagai IT Helpdesk untuk aksesInternal Portal. Seterusnya dapat akses kepadaserver berkenaan yang boleh akses server datapersonel FBI.

Adakah eknik social engineering perlukan toolsyang hebat?

Teknik ini tidak memerlukan tools yang hebat,cukup sekadar seseorang pengodam itu pandaibermain emosi dan psikologi mangsa. Kiramacam pandai jual minyak lah ibaratnya. Takperlu berbelanja besar untuk menipu mangsa.Beli nombor telefon prepaid, pengodammenghubungi mangsa dengan samaranseterusnya mendapatkan apa yang diperlukan.Namun ia bukan boleh diperoleh dalam masasingkat jadi pengamal Social Engineering niseorang yang sangat penyabar juga.

Muzamir bin MokhtarKementerian Kewangan Malaysia

BULETIN PERJASA | 6

Pada tahun 2013, akaunTwitter rasmi The AssociatedPress (AP) telah keluarkantweet yang hampirmenjatuhkan ekonomi dunia.Sekumpulan pengodambernama Syrian ElectronicArmy telah mengambil alihakaun Twitter rasmi AP danmenghantar ciapanmengatakan White House dibom dan Presiden BarrackObama cedera.Pasaran Dow Jones terus menjunam. Kaedah inimenggunakan Social Engineering melalui Phishing Email.

Teknik Social Engineering

1. In –Person : Contoh : Tinggalkan ThumbDrive di tempat terbuka di pejabat. Pastisifat ingin tahu siapa punya dan apadidalamnya ada pada sesiapa yangjumpa. Apabila dia akses di PC Pejabat,mungkin malware / trojan dah ditanamdalam PC dan seterusnya maklumat sulittersebar kepada pemilik Thumb Drivetersebut.

2. Phone : Contoh : Pemanggil hubungiOperator Telco dengan menyamarsebagai seorang isteri sedang dalamkesusahan dan perlu dapatkan aksesakaun online nombor suaminya(mangsa). Buat bunyi anak menangissebagai latar belakang untuk tunjukkankesusahannya dan sifat kesian operatorakan berikan maklumat tersebut.

3. Digital : Contoh : Daftar alamat domainyang hampiri domain popular. Domainmaybank2u.com.my pada pandangan orgmungkin sama denganrnaybank2u.com.my.

.

BULETIN PERJASA | 7

Bila bermulanya Social Engineering diMalaysia?

Cuba tengok semula filem P.Ramlee bertajukAli Baba Bujang tahun 1961. Sungguh bijak siAli Baba (Aziz Sattar) menyamar sebagaiwartawan untuk tagih kepercayaan secarabertanyakan pada Ketua Penyamun (P.Ramlee)untuk dapatkan kata laluan buka dan tutuppintu gua menyimpan harta rompakan sipenyamun. Itu kes pertama di Malaysiaagaknya.

.

Bagaimana untuk elakkan diri dari menjadimangsa kejuruteraan sosial ?

1. Sentiasa bersifat ingin tahu dan waspadamacam detektif conan;

2. Fikir panjang sebelum teruskan urusan bersifatperibadi atau sulit;

3. Kurangkan guna Free Survey dan Games diMedia Sosial; dan

4. Hati-hatilah berkongsi maklumat peribadi diMedia Sosial. Janganlah telanjangkansemuanya peribadi anda. Simpanlah sikit.

Menyediakan Email Perdaya(Emails Spoofing)

Email Spoofing

“Email spoofing is the forgery of an emailheader so that the message appears to haveoriginated from someone or somewhere otherthan the actual source. Email spoofing is apopular tactic used in phishing and spamcampaigns because people are more likely toopen an email when they think it has been sentby a legitimate or familiar source. The goal ofemail spoofing is to get recipients to open, andpossibly even respond to, a solicitation.”https://searchsecurity.techtarget.com/definition/email-spoofing

Langkah 1

Mendaftar Akaun SMTP2GO Secara Percumadan Terhad

https://www.smtp2go.com/signup-ty/#

Contoh email address account yang akandigunakan untuk mendaftar secara percuma –FREE.

Full Name : Peserta Kursus TMWork Email : pesertakursustm@yahoo.comPassword : ridzam@$12345TM!

Activate your SMTP2GO account melalui emailyang didaftarkan.

Pemeriksaan username, SMTP server port danSMTP port number untuk kesahihah.

Contohnya:

SMTP Server: mail.smtp2go.comUsername: nasir@instun.gov.mySMTP Port: 2525

Contoh :

Mendaftar tambahan akaun ‘Mukhlis’ denganSMTP2GO – Free.

Nasir bin IsmailInstitut Tanah dan Ukur Negara (INSTUN)

BULETIN PERJASA | 8

Langkah 2

Setup your SMTP Username

1. SMTP Username2. SMTP Password

Simpan untuk rekod dan kegunaan semasamenjalankan kerja-kerja email spoofing.

SMTP Password : 9XYnGOfytN7aX8a

Pemeriksaan username, SMTP server port danSMTP port number untuk kesahihah.

Contohnya:

SMTP Server: mail.smtp2go.comUsername: nasir@instun.gov.mySMTP Port: 2525

Contoh :

Mendaftar tambahan akaun ‘Mukhlis’ denganSMTP2GO – Free.

Langkah 3

Menggunakan The Social-Engineering Toolkit(SET) Kali Linux untuk menjalankan kerja-kerjaEmail Perdaya / Email Samaran (Email Spoofing).

[-] New set.config.py file generated on: 2019-05-04 00:05:48.379442[-] Verifying configuration update...[*] Update verified, config timestamp is: 2019-05-04 00:05:48.379442[*] SET is using the new config, no need torestart

Langkah Demi Langkah

Menggunakan Kali Linux Distro

Installasi SET Toolkit – GitHUB

#cd /root#git clonehttps://github.com/trustedsec/social-engineer-toolkit.git

#cd /root/social-engineer-toolkit#pip install –r requirements.txt

Langkah 4

Langkah demi langkah untuk menjalankankerja-kerja Spoofed Email bagi tujuanpembelajaran dan pengajaran.

#setoolkit

Select from the menu:

1) Social-Engineering Attacks2) Penetration Testing (Fast-Track)3) Third Party Modules4) Update the Social-Engineer Toolkit5) Update SET configuration6) Help, Credits, and About

99) Exit the Social-Engineer Toolkit

Select from the menu:

1) Social-Engineering Attacks

Select from the menu:

5) Mass Mailer Attack

.

BULETIN PERJASA | 9

Social Engineer Toolkit Mass E-Mailer

There are two options on the mass e-mailer, the firstwould be to send an email to one individual person.The second option will allow you to import a list andsend it to as many people as you want within that list.

What do you want to do:

1. E-Mail Attack Single Email Address

set:phishing> Send email to:pesertakursustm@yahoo.com

1. Use a gmail Account for your email attack.2. Use your own server or open relay

set:phishing>

2. Use your own server or open relay

set:phishing>2set:phishing> From address (ex: moo@example.com):info@duit.comset:phishing> The FROM NAME the user will see:Syarikat TULUS IKHLAS Sdn Bhdset:phishing> Username for open-relay [blank]:nasir@instun.gov.myPassword for open-relay [blank]: set:phishing> SMTP email server address (ex. smtp.youremailserveryouown.com):mail.smtp2go.comset:phishing> Port number for the SMTP server [25]:2525set:phishing> Flag this message/s as high priority? [yes|no]:yesDo you want to attach a file - [y/n]: nset:phishing> Email subject:Email Promosi Merdeka 2019set:phishing> Send the message as html or plain? 'h' or 'p' [p]:h[!] IMPORTANT: When finished, type END (all capital) then hit {return} on a new line.set:phishing> Enter the body of the message, type END (capitals) when finished:Promosi Merdeka 2019 -Gadget TerkiniNext line of the body: END[*] SET has finished sending the emails

Press <return> to continue

Langkah 5

Memeriksa DOMAIN yang hanya sah (valid)tersedia bagi digunakan sebagai pengantara.https://instantdomainsearch.com/#search=dunia

Contohnya Domain Name yang bolehdigunakan:dunia.com, hayat.com, hayat.app, duit.com,duit.my

Langkah 6

Pemeriksaan Email Perdaya / Email Samaran/ Email Palsu yang digunakan telah diterimaoleh penerima didalam peti email mangsamasing-masing.Contohnya : MS Exchange Server

Received: from INSTUN-MBX-01.instun.gov.my (10.137.81.72) byINSTUN-MBX-01.instun.gov.my

(10.137.81.72) with Microsoft SMTP Server (TLS)id 15.0.712.22 via Mailbox Transport; Fri, 3

May 2019 15:34:39 +0800Received: from mail.instun.gov.my (10.137.81.62) byINSTUN-MBX-01.instun.gov.my

(10.137.81.72) with Microsoft SMTP Server id15.0.712.22; Fri, 3 May 2019 15:34:32

+0800Authentication-Results: mail.instun.gov.my

header.from=tulus@kita.com; domainkeys=neutral (no sig)Authentication-Results: mail.instun.gov.my

header.from=tulus; dkim=pass (Success)Received: from a2i809.smtp2go.com (a2i809.smtp2go.com [103.47.207.41])

Langkah 6a

Contoh percubaan menyediakan SpoofedEmail dengan menggunakan Domain:hayat.app kepada akaunpesertakursustm@yahoo.com

.

BULETIN PERJASA | 10

X-Apparently-To: pesertakursustm@yahoo.com; Fri, 03 May 2019 07:45:23+0000Return-Path: <kita@hayat.app>Received-SPF: none (domain of hayat.app does not designate permittedsender hosts)X-YMailISG: VJzIUK0WLDuYVxj3Yaa1i.gwS3pLTwVG9ug7Env1JPMRsbyTbsCV.Csk0PvEWE5KwBab33QTZEfumB7kc_dzoZsPV.YPTREagr9S0vb_utbJGfYNClYqvOKTABoFsH3JA1CbV46gIi91Xqs_uNy995OVg3C62sbR3xB1gVLL

9UwFvj009yb5FH5SlT8jO4EFansMyNGCyFdZVvZ9matd1W9Vb90_R1F.GNY02HPMzgQcSRJKw0wnoqczUiQLlANkzQrMUSRscRqIZkwq7gNrLbJykss5OveuMbdTFbkftd_.4n9VDpTrKxN6Spp8uk4FrLy7PVLR2qqXTQ8sw7odlIlHJI1nfo9y3XZkwmiu_1qqgnsIDf0KRwzAly4kwagK2Z1altdON.K7fJjQc5lcN0mBR4Dr6IJtaOd9euLtUY0iLg4RLo42CNziuPnIyRXZ4glshKPfdpapSKPNbpf.P75KnPnBFlhGk69uaTg8nXUKjoiYLdCgxXKeLNSfFolfIAZVjR5ctQxv.2bNBaWW7XUdH6ljrHRrjQt8gG8tkBP.2fFX6VaUCJLYmGgnHcbtPeluxNpqxoxJw29r5t3jaGRaC.k0kLLYLJPH1SUbKH2584cLThNrclfvW01zHyidqicsY1wla2NtVzxV9uFsLqIBXlyvFKoi8Q19jTMRmkz8gl39J1Y.XHOE1CAfY1saDZPP0MfJzh39pHx5GySCWyDj7pnpVhPKmb5bKi7DpdIF9vtkkMIl6IVQrCKmwAiR9ispwSCiDiCpZpYXptXfO7VcSDiwNKTCvpUu6foYA2HxtNzVTktXw0f12F560Rwy.93i6is6obmeJ2V5t0ukcp5bnAMtIZLQ.eVmqGy_o7N6HT4fO8asXGxw6aYSP0e.Yvapx845VOQw7JDClLzRzrjs9BmNw7aCLZUC.w6m2Htei1M35dEQ8qqsF6RlhfUciVGqCtnPqpz8g3bjwhzNISD87Ira98ecF.aLPJYyBtcaiE.QhM6toBuYNHwLSZs26R9jXVZWsXcEJ4c-X-Originating-IP: [103.47.207.41]Authentication-Results: mta4406.mail.gq1.yahoo.comheader.i=@smtpservice.net; header.s=me4k30.a1-4.dyn; dkim=pass (ok)Received: from 10.253.33.220 (EHLO a2i809.smtp2go.com) (103.47.207.41)by mta4406.mail.gq1.yahoo.com with SMTPS; Fri, 03 May 2019 07:45:22

+0000DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

d=smtpservice.net; s=me4k30.a1-4.dyn; x=1556870422;h=Feedback-ID:

X-Smtpcorp-Track:Date:Message-Id:Subject:To:From:Reply-To:Sender:

List-Unsubscribe;bh=Oa8BqlRUITr1bn74jiX3TeGxkr/RKfIuNfQBPPJu2FA=; b=TngRZqIc

7Eim6SoU0XLyveYGoPUQSdecrzgePCg2YRO16GzFHNTA1LycNSwm85heorUtGj6nUu8pYgDW0z5yL

NxFaJZ09HReczKY4B3wKkHVbaeHPSH7yGLhU2aMUkoF3AhRKBtaBypwocGCfAPLNTQ3rmmvW8hJkl

hMpvURgy/LCgzPrRwGcvGb+eR/Q75saZ913H4a/fdVyef32YocrfQVWhrOyY9TAvZDcSevbzJ29Wo

yn1MptCRIqLob3/EtKbenud2re6kfDXr7wfi/5GSj70h2lU9FpB8aIDKaw93e7WhkGuGF2ShSwzl9

8y8ill+c0WkFCkYMDkeeb6/8fw==;Received: from [10.139.162.187] (helo=SmtpCorp)

by smtpcorp.com with esmtpsa(TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256)

(Exim 4.91)(envelope-from <kita@hayat.app>)id 1hMSsj-SH4fR3-ULfor pesertakursustm@yahoo.com; Fri, 03 May 2019 07:45:21

+0000Received: from [10.202.60.56] (helo=[10.127.0.1])

by smtpcorp.com with esmtpsa(TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256)

(Exim 4.91)(envelope-from <kita@hayat.app>)id 1hMSsi-4XaA9W-DBfor pesertakursustm@yahoo.com; Fri, 03 May 2019 07:45:20

+0000Content-Type: multipart/mixed;boundary="===============4773641122462292029==“

Received-SPF: temperror (google.com: error in processing during lookup ofguest@duit.my: DNS error) client-ip=103.47.207.41;Authentication-Results: mx.google.com;

Langkah 7

Memeriksa sumber asal dan alamat email penghantar menggunakan beberapa lamanweb percuma.

https://infotracer.com

Uncover Hidden Information About Email Address

Domain: dunia.com

• Data Breaches: CLICK HERE• IP Address: 74.125.141.27• Social Profiles: CLICK HERE• Email Service Provider: Google• Report Update: 05/04/2019• Full Report: CLICK HERE

Selamat mencuba bagi meningkatkan ilmupengetahuan dan menambah kefahamansediada. Wallahualam.

BULETIN PERJASA | 11

Perkongsian maklumat Geospatial Melalui Platform Malaysia Geospatial OnlineServices (MyGOS)

Pusat Infrastruktur Data Geospatial Negara /Malaysian Centre for Geospatial DataInfrastucture (MaCGDI), Kementerian Air,Tanah dan Sumber Asli (KATS) telahdipertanggungjawabkan dalam mengurusProgram MyGDI. MyGDI merupakan programnasional inisiatif kerajaan bagi menyediakaninfrastruktur perkongsian maklumat geospatialke arah meningkatkan kesedaran mengenaikepentingan kegunaan data/maklumatgeospatial dalam pembangunan negara.Melalui program MyGDI, MaCGDI telahmengambil inisiatif dalam membangunkanGeospatial Data Centre (GDC) bagi perkongsiandata dan pelbagai aplikasi GIS.

Artikel ini akan menerangkan perkongsianmaklumat geospatial melalui platform MyGOSyang berkonsepkan perkongsian map serviscollect once use by many. Pengemaskiniandata boleh dibuat secara atas talian dalampersekitaran yang selamat.

Pengenalan Malaysia Geospatial OnlineServices (MyGOS)

Portal Malaysia Geospatial Online Services(MyGOS) www.mygeoportal.gov.my/mygosmerupakan satu platform perkongsianmaklumat geospatial bagi Agensi Kerajaansecara atas talian yang membolehkanperkongsian maklumat dilakukan tanpaperpindahan data secara fizikal dalampersekitaran selamat.

Nor Hayati Binti Abdullah Pusat Infrastruktur Data Geospatial Negara (MaCGDI)

BULETIN PERJASA | 12

Tujuan utama dibangunkan adalah :

• Platform perkongsian dan penggunaanmaklumat geospatial antara sektor awamsecara atas talian dalam persekitaran yangselamat.

• Membolehkan pengguna yang tiadapengetahuan Geospatial Information System(GIS) menggunakan maklumat geospatialdengan mudah tanpa memerlukan perisianDesktop GIS.

• Untuk membantu agensi kerajaan yang tiadakemudahan infrastruktur seperti perisian danperkakasan GIS.

• Penjimatan kos perolehan perkakasan danperisian GIS oleh agensi-agensi yang inginmembangunkan projek GIS.

• Penjimatan kos pembangunan aplikasi GIS.• Penjimatan kos pengutipan data-data yang

diperlukan dalam sesuatu projekpembangunan aplikasi.

Aplikasi MIDA GIS

Kelebihan Fungsi-fungsi dalam MyGOS

Pengurusan Dokumen

Pengguna boleh menguruskan dokumenterhad, sulit atau umum secara tersusundengan menggunakan fungsi 'My Content'.Format dokumen yang boleh dimasukkanadalah seperti .pdf, .jpg dan lain - lain.Dengan fungsi ini, pengguna boleh berkongsidokumen secara atas talian dan selamat

Web Map

Memudahkan pengguna untuk membuatpemetaan dengan pantas secara atas talian.Pengguna turut boleh merekabentuk petatersebut dengan kreativiti dan penampilanyang menarik seperti menukar saiz / iconsymbology, membuat labels dan lain - lain

Pembangunan Aplikasi GIS

Pengguna yang tidak mempunyailatarbelakang GIS boleh membangunkanaplikasi GIS dengan cara yang mudah dimanaterdapat pelbagai widget mengikutkesesuaian

BULETIN PERJASA | 13

Perkongsian Maklumat

Maklumat yang hendak dikongsi boleh ditentukanmenggunakan fungsi groups.

Storymap

Pengguna dapat membangunkan storymapdengan membuat penceritaan mengenai sesuatukronologi kejadian atau tempat / lokasi yangmenarik. Storymap ini adalah paparan interaktifyang mempunyai peta serta maklumat asasmengenai penceritaan

Mencerap maklumat geospatial

Pengguna boleh mencerap maklumat geospatialmelalui smartphones secara offline atau onlinedengan mengunakan fungsi 'Collector for ArcGIS

Dashboard

Pengguna dapat memaparkan hasil analisis yanginteraktif untuk dibentangkan kepada pengurusanatasan.

Kolaborasi Bersama Agensi Kerajaan

MaCGDI telah mula berkolaborasi denganpelbagai Agensi Kerajaan melalui platformMyGOS sejak tahun 2013. Bagi kolaborasi ini,terlebih dahulu agensi perlu melalui proseskhidmat runding bagi mengenalpastikeperluan agensi tersebut. Setelahpersetujuan dicapai, proses seterusnyaadalah menyediakan Dokumen PermulaanProjek bagi menentukan skop aplikasi dandata-data GIS yang diperlukan bagipembangunan aplikasi. Skop membangunkanaplikasi dan data perlu disahkan olehPengurusan Atasan. Agensi akan diberi useridselepas penyerahan system bagi capaiankepada aplikasi MyGOS bagi tujuanpersekitaran yang selamat.Ini merupakan salah satu inisiatif dariMaCGDI dalam program transformasi awamuntuk merealisasikan pelaksanaan danperkongsian maklumat geospatial secarakolaborasi strategik. Sehingga kini, terdapattujuh puluh lima (75) Agensi Kerajaan yangtelah menggunakan perkhidmatan MyGOSdalam Pembangunan dan Pelaksanaan GIS diAgensi masing-masing. Jadual 1 menunjukkanstatus terkini maklumat projek AgensiKerajaan yang telah menggunakanperkhidmatan MyGOS secara aktifMelalui perkhidmatan MyGOS, Agensi telahdapat mengemaskini dan mengaksesmaklumat geospatial secara atas talian danreal – time serta membantu dalam membuatkeputusan, merangka strategi sertamenganalisis maklumat dengan cepat dantepat. Perkongsian maklumat geospatialadalah gabungan strategik yang membawafaedah sinergi kepada semua agensi yangterlibat. Ini membolehkan integrasi datadilakukan untuk manfaat semua dan bukanterhad kepada kepentingan sesuatu agensi

sahaja.

BULETIN PERJASA | 14

Jabatan/Agensi Maklumat Projek

Kementerian Pendidikan Tinggi Projek Pemetaan IPTA, IPTS

Kementerian Pembangunan Luar

Bandar (KPLB)

Projek Maklumat Geospatial Luar

Bandar

Kementerian Kerja Raya MyRoad-Pedia

Kementerian Tenaga, Teknologi

Hijau dan Air (KeTTHA)

Projek Maklumat Geospatial Loji

Rawatan Air dan Empangan

Angkatan Pertahanan Awam

Malaysia

Projek GIS APM

Agensi Penguatkuasaan Maritim

Malaysia

Projek Maklumat Geospatial APMM

NADI, ICU Projek Pemetaan Sekolah Dhaif

Pusat Zakat Melaka Projek Pemetaan Lokasi Prospek Zakat

Melaka

Pusat Hidrografi Nasional Projek Maklumat Geospatial Marin SDI

Lembaga Getah Malaysia Projek Maklumat Geospatial Ladang

Getah

Halal Industry Development

Corporation

Projek Pemetaan Halal Hab dan

Restoran Halal

Jabatan Kerja Raya Malaysia Caw.

Senggara Fasiliti Jalan

Projek Monitoring Potholes

Jabatan Kerja Raya Malaysia Caw.

Kejuteraan Geoteknik

Projek Monitoring Boreholes

Jabatan Penilaian Dan Perkhidmatan

Harta

Lokasi Rumah Mampu Milik

Lembaga Pembangunan Pelaburan

Malaysia (MIDA)

Projek Lokasi Industri Estate

Lembaga Kemajuan wilayah Kedah

(KEDA)

Projek GIS KEDA

Jabatan Perkhidmatan Awam PesaraFindMe ( Lokasi Pesara)

Perbadanan Kemajuan Kraftangan

Malaysia

Lokasi Produk Kraftangan

Jabatan Warisan Negara Lokasi tapak warisan dan warisan

Kebangsaan

Kementerian Perdagangan Dalam

Negeri dan Hal Ehwal Pengguna

(KPDNHEP)

Lokasi Stesen Minyak, Pasaraya ,

Majlis Bandaraya Alor Setar Pemantauan Lokasi Pembayaran Cukai

Pintu

Pembangunan Aplikasi GIS di Agensi melaluiplatform MyGOS

Storymap Lokasi Usahawan Kraf

BULETIN PERJASA | 15

Storymap Lokasi Usahawan Kraf

Veterinary Online Mapping (VENOM)

Penjimatan Kos Kerajaan

Setiap agensi yang ingin membangunkanaplikasi dan memproses data GISmemerlukan kos perolehan yang tinggiseperti kos perkakasan, kos perisian dansumber manusia. Bagi penggunaanMyGOS agensi hanya perlu berkolaborasidengan MaCGDI dan tidak lagi perlumembuat perolehan yang manamenjimatkan kos kerajaan. Jadual 1 danjadual 2 menunjukkan anggaran kos yangterlibat sekiranya Agensi inginmembangunkan projek GIS.

ActivitiesFrequency

(kali

setahun)

Cost/

Business

(kos 1

agensi)

# of

businesses

(bil. Agensi)

Total

(RM)

Perkakasan

Application

Server – MyGOS - 30,000 8 240,000

Database server - 35,000 8 280,000

Map service

server -

Federated

MyGOS

- 40,000 8 320,000

Perisian

ArcGIS Server

Enterprise

Advance 10.4 (4

core)

- 320,000 8 2,560,000

ArcGIS

Desktop 10.5.1

Advance

- 120,000 8 960,000

Microsoft SQL

Server

Enterprise 2012

- 40,000 8 320,000

MyGOS

Named User

(3*RM5000)- 15,000 8 120,000

JUMLAH600,000 4,800,000

Kos Perolehan Infrastruktur ICT oleh

Agensi Secara Outsource

Kos Pembangunan Aplikasi yang Dibangunkanoleh Agensi Secara Outsource

BULETIN PERJASA | 16

Anggaran kos penjimatan hasil tidak dituntut

bagi tahun 2014 hingga Mac 2019

Bengkel keperluan penggunamygos bersama KPDNHEP

Bengkel keperluan pengguna bersamaJabatan Warisan Negara

Lawatan Inspektorat MyGOS ke

Agensi Penguatkuasaan MaritimMalaysia (APMM)

Penutup

Impak dari projek kolaborasi ini adalah penjimatan

kos kepada Kerajaan dimana Agensi hanya

menggunakan infra yang dibekalkan oleh MaCGDI.

Melalui penggunaan platform MyGOS, Agensi boleh

membuat perkongsian data, menganalisa data

secara spatial, tambah nilai data dari pelbagai

Agensi serta dapat merancang dan membuat

keputusan dengan cepat dan tepat.

Hala Tuju Komuniti Sumber Terbuka SektorAwam

Perisian sumber terbuka boleh ditakrifkansebagai perisian yang mana kod sumbernyadidedahkan kepada umum, dibenarkan untukdiubah, dikongsi dan diedarkan semula.Perisian ini biasanya dibangunkan dandisenggara oleh para penggiat dari kalanganindividu atau organisasi yang dikenali sebagaikomuniti sumber terbuka. Kebiasaannyapembangunan dan perubahan pada perisian iniadalah lebih pantas kerana melibatkansumbangan dan kolaborasi banyak pihak.

Berbeza dengan perisian sumber tertutup atauproprietary, perisian jenis ini dimiliki olehsyarikat pengeluar yang melindungi hak ciptaperisiannya, berorientasikan keuntungan dandisokong oleh kepakaran dalaman syarikatberkenaan. Pembangunan dan perubahanperisian proprietary biasanya lebih perlahankerana melibatkan sumber dalaman yangmungkin terbatas dan wajib melalui sirijaminan kualiti sebelum diedarkan kepadapengguna umum.

Tidak kurang juga syarikat pembangun perisianyang menerajui produk perisian secara sumberterbuka kerana melihat kepada beberapakelebihan utama iaitu sumber tenagapengaturcara ramai dari kalangan komunitidengan kos yang minima di samping tempohpembangunan dan perubahan yang pantas.Produk seperti ini apabila telah matang akandiedarkan sebagai versi sumber terbuka dansyarikat pengasasnya mungkin menawarkanperkhidmatan sokongan berbayar denganperisian pelengkap lain sebagai nilai tambah.

Kelebihan Komuniti Sumber Terbuka

Terlibat dalam komuniti sumber terbukamemberikan banyak kelebihan. Kelebihan yangpaling ketara ialah peluang meningkatkankeupayaan dan kemahiran dalam teknologiberasaskan sumber terbuka.

Khairul Ashraf bin Basul HakUnit Permodenan Tadbiran dan Perancangan Pengurusan Malaysia(MAMPU)

BULETIN PERJASA | 17

. Teknologi baru yang diperkenalkan memerlukansokongan daripada komuniti untuk membuatpenilaian berterusan dan bersama-samamenyumbang dalam mengemaskini kekuranganatau pepijat yang ada. Kemahiran yang berbezadiperlukan dan individu yang memiliki kemahiranini boleh mengaplikasikannya secara bebasdalam projek sumber terbuka.

Walaupun komuniti sumber terbukakebiasaannya bekerja secara sukarela, manfaatyang diperolehi ialah kredibiliti penggiatkomuniti akan meningkat apabila tersenaraidalam pasukan pembangunan produk-produkyang akhirnya digunakan di seluruh dunia. Inimerupakan satu bentuk pengiktirafan kepadakepakaran yang dimiliki dan akan menjadi asetkepada kemajuan kerjaya pada masa akandatang.

Selain itu, komuniti yang aktif dalampembangunan dan pengemaskinian versiperisian sumber terbuka akan bebas untukmemasarkan perkhidmatan mereka kepadapengguna yang telah pun menggunapakaiproduk dan perisian berkenaan. Kelebihan inilebih ketara apabila produk yang dibangunkansemakin matang dan semakin mendapat tempatdalam pasaran. Lebih daripada itu, produkberkenaan juga boleh dibangunkan secaraberasingan dengan membentuk komuniti laindengan hala tuju dan perancangan yang berbezasehingga seterusnya memperkayakan pasarandengan pilihan produk yang pelbagai.

Komuniti Sektor Awam

Melihat kepada kelebihan pembangunanperisian berasaskan sumber terbuka, timbulpersoalan kepada kita iaitu bagaimana konsepsedemikian dapat diaplikasikan dalampembangunan sistem aplikasi sektor awam.Berdasarkan realiti hari ini, setiap agensimenggunakan banyak sumber dari suduttenaga kerja, masa dan kewangan dalammembangunan sesebuah aplikasi dalaman.Agensi pusat seperti MAMPU dan JPA dilihatsemakin aktif membangunkan perisian generikyang boleh digunakan secara guna samaseperti aplikasi MyMesyuarat, DDMS, HRMISdan lain-lain. Namun pembangunan secaraberasingan ini memakan masa yang panjang disamping kos yang tinggi apabila melibatkanbanyak tenaga kerja dalaman dan konsultasipihak luar.

Adalah menjadi satu pencapaian yang besarkepada kakitangan awam jika pendekatanpembangunan sistem aplikasi dapatdirevolusikan dengan menggemblengkepakaran dalaman yang ada dalamperkhidmatan awam merentas tanggungjawabhakiki kepada agensi masing-masing sebagaisatu komuniti. Ini akan lebih bermakna jikaimpaknya kelak menjimatkan banyak sumberseperti masa dan kewangan serta dalam masayang sama meningkatkan kepakaran dankeupayaan teknikal kakitangan awam. MAMPUsejak tahun 2004 telah memperkenalkan PelanInduk Perisian Sumber Terbuka Sektor Awamdan sehingga kini usaha menggiatkanpenggunaan perisian sumber terbuka iniditeruskan dalam Program PembangunanPerisian Sumber Terbuka dan Kapabiliti SektorAwam (OSDeC) melalui siri latihan,perkhidmatan coaching dan penyediaanprasarana.

Namun demikian, perkara yang lebih pentinguntuk membangunkan komuniti sumberterbuka sektor awam ialah tahap keupayaandan kepakaran yang dimiliki oleh kakitanganawam umumnya dan khususnya pegawaidaripada skim perkhidmatan teknologimaklumat. Sejauh mana keupayaan inimencapai tahap yang boleh digembleng untukpendekatan kolaborasi dalam pembangunanaplikasi dengan konsep komuniti sumberterbuka.

BULETIN PERJASA | 18

Lebih daripada itu, apakah model pembangunanyang paling sesuai untuk diterapkan bagimemastikan pendekatan ini benar-benar mencapaihasrat yang diinginkan iaitu menghasilkan produksistem aplikasi sumber terbuka yang matang.Dalam masa yang sama juga, pendekatan ini perlumengekalkan prinsip sumber terbuka dari sudutketerbukaan kod sumber, kolaborasi komunitidalam pembangunan serta jaminan kualiti,kebebasan untuk pembangunan berasingan danpengemaskinian produk yang lebih pantas.

Peranan Ahli Komuniti

Komuniti yang kukuh memerlukan komitmen yangpadu daripada ahlinya. Komuniti sumber terbukasektor awam memerlukan peneraju yang mampumemberikan hala tuju yang jelas. Model tadbir uruskomuniti seperti yang digariskan oleh The LinuxFoundation melibatkan beberapa peranan pentingseperti peneraju, penyelenggara, pelaksana,penyumbang dan pengguna.Peneraju memainkan peranan dalam membuatkeputusan akhir terhadap hasil, aktiviti dan halatuju keseluruhan projek, manakala penyelenggaraakan bertanggungjawab dalam pengagihan skopkerja di samping mengawal selia setiap komponenprojek. Pelaksana pula adalah ahli yangmemberikan komitmen dan tanggungjawabterhadap setiap tugasan projek manakalapenyumbang boleh datang daripada aspek-aspekbukan teknikal yang lain.

Kita ingin melihat tadbir urus seperti ini mampu direalisasikan dalam komuniti sumber terbukasektor awam dalam masa terdekat. Di sinilah peranan dan tanggungjawab daripada semua amatdiperlukan untuk sama-sama membentuk komuniti dalam sektor awam yang boleh membentukperspektif baharu terhadap keupayaan kakitangan awam, khususnya pegawai daripada skimteknologi maklumat.

Tiba masanya komuniti sektor awam diarusperdanakan dalam perkhidmatan awam denganmelibatkan kepakaran dari pelbagai bidang. Walaupun pendekatan komuniti sumber terbuka iniditerajui dengan fokus kepada pembangunan perisian, namun selaras dengan hala tuju pendigitalansektor awam, komuniti ini memerlukan sumbangan daripada lebih daripada sekadar komunititeknologi maklumat.

Sesebuah produk perisian yang matang memerlukan bukan hanya kod sumber yang bebas pepijat,tetapi memerlukan dokumentasi yang komprehensif, panduan pengguna, pelan pengurusanperubahan, siri-siri latihan dan selanjutnya input berterusan demi menjamin kelestarian produkberkenaan. Banyak aspek bukan teknikal boleh disumbangkan oleh ahli komuniti yang bukandaripada bidang teknikal.

Selain daripada pihak yang terlibat dalam pembangunan sesebuah aplikasi, jangan dilupakanbahawa golongan yang paling terkesan ialah pengguna aplikasi itu sendiri. Semua pengguna aplikasisumber terbuka juga boleh turut menyumbang secara aktif sebagai ahli komuniti dalammemberikan maklumbalas dan seterusnya mungkin menentukan kelangsungan produk berkenaansama ada akan terus berkembang dan lestari atau ditinggalkan kerana ketidakupayaan produkmemenuhi jangkaan keperluan pengguna yang seiring dengan perubahan teknologi.

BULETIN PERJASA | 19

Program Pengurusan Perubahan @osdec @MAMPUJPM : Bengkel Bersama KomunitiSumber Terbuka Bilangan 1 Tahun 2019 - Sesi Bergambar Bersama YBrs Encik Jaafar Ahmad, Pengarah Bahagian Pembangunan Aplikasi, MAMPU | Klana Beach Resort Port Dickson, Negeri Sembilan | 29 - 30 Januari 2019

A Framework for ICT Security Policy Compliance

ABSTRACT

Many organisations are beginning to realise theneed to protect their IT assets both fromaccidental disasters and malicious orintentional attacks. ICT Security is afundamental requirement. How organisationssafeguard and protect their assets depends onthe availability of resources and decision-making capability. The ICT Security Policy wasestablished to ensure the smooth running ofthe organization and also to minimize theimpact of ICT security incidents. In this study,four renowned Local Authorities (LAs) inMalaysia were the choosen in answering theresearch questions. Two modes of datacollection were adopted in this study;interview and survey. Five major constructs ofICT Security Policy Framework (ISPF) unique toLAs were identified during preliminaryinvestigation. The result provides valuableinformation on ISPF practices in establishingthe components of the ISPF. A proposed ISPFspecific for LAs was designed. Then a surveywas conducted to investigate IT personnelperceptions on the existing ICT Security Policypractices at the various LAs. The result of thestudy contributes to the understanding of thestatus and LAs practices of ICT Security Policyin Malaysian government sector

INTRODUCTION

The rapid development of InformationTechnology in this country proves howfortunate our generation nowadays. As aresult, we have a world without boudaries.Information, Communication and Technology(ICT) does not only serve as a communicationagent, it also acts as a bridge for user to benefitas part of the routine and the necessities oflife.

Ts. Dr. Mohd Farizul Mat Ghani Ministry of Education Malaysia

Najwa Hanis Abdul SamatDepartment of Statistics Malaysia

BULETIN PERJASA | 20

The security of ICT is closely related to ICT assetsand information protection. This is because thehardware equipment and software componentsthat are part of the ICT assets in governmentorganisations are large investments and need tobe protected. In addition, the information storedin the ICT system is valuable because a lot ofresources are required to produce it and theinformation will be difficult to be re-generated ina short period of time. The demography withinLAs in Malaysia took an evolutionary changesince the introduction of Information Technology(IT) in Malaysian government sector.Thesignificant achievement of IT in Malaysia can betraced from the early nineties after variousadjustments of regulatory and commercialpolicies, both macroeconomic and within IT’sconverging sectors (Hancock, 2000). In pace withsuch adaptation, local authority in Malaysia areincreasingly utilizing IT in all aspects of itsorganizational functions.Furthermore, certain information that has beenprocessed by the ICT system is deemed to besensitive and classified. Unauthorized disclosureor information leakage could harm the nationalinterest. Any usage of government’s ICT assetsapart from the outlined purpose and intention isconsidered as misuse of government’s resources.ISMS survey which was conducted byCyberSecurity Malaysia in the month of October2016 on 100 organizations had revealed thatnormal attacks are viruses (87%) and mailspamming (83%). In addition, more than 68% ofthe organizations have little knowledge on ISMS.Moreover, 37% of the organizations do not haveany security policy at all [22].

Literature review

This section, firstly defines ICT Security Policy.Secondly, the various information securityframeworks are examined and then discuss thefour standard Framework ICT Security Policycommonly used. CyberSecurity Malaysia is thenational cybersecurity specialist agency underthe preview of Ministry of Science, Technologyand Innovation (MOSTI). The establishment ofCyberSecurity Malaysia is to provide technicalspecialised in cyber security services to protectthe public, the economy and governmentservices [22]. For the bigger national objective,CyberSecurity Malaysia also plays an importantrole in preventing or minimising disruptions toboth critical national informationinfrastructures (CNII) and industries [24], [25].Back in 2017, CyberSecurity Malaysia obtainedfull certification in Information SecurityManagement System (ISMS) ISO/IEC27001[20],[22].

MAMPU ICT security policy

Malaysian Administrative Modernisation andManagement Planning Unit (MAMPU)developed a method to assess the safety of anequipment called High-Level Risk Assessment(HiLRA) and produced Guidelines for PublicSector ICT Security Management Malaysia(MyMIS) for the Malaysian public securitysector [24], [25]. MAMPU also provides ICTSecurity Consultancy to improve safety aspectsand develop government ICT infrastructure. Inaddition, MAMPU also offers (a) consultingservices on ICT security-related issues such asnews, articles, advisories and tools, (b) findingsand incident management, and (c) preparationof policy and ICT security management[26],[27].

The Public Sector Information Security RiskAssessment is intended to help public sectoragencies measure and analyze the risks of theirassets [19]. Once the risks have been analyzed,government agencies will take the necessaryaction in order to control the risks [18]. For thispurpose, the government prepared GeneralCircular Letter No. 6 Year 2005: Security RiskAssessment Guidelines for Public Sector toupdate on the importance of implementinginformation security risk assessment in thepublic sector [20], [21] .

BULETIN PERJASA | 21

Figures ICT security policy framework

Framework is define as an the outline action ofthe more thorough blueprint, which sets out themodel to be followed in the creation of thedesign, selection and initial and ongoingimplementation of all subsequent securitycontrol. It is also includes information securitypolicies and procedures, security educationtraining programs, and technological controls(Whitman and Mattord, 2010).From the Information Security (InfoSec) policyperspective, a framework offers a possiblestarting point for understanding a securitypolicy’s impact to an organization, and isintended to guide organizations in developing,implementing, and maintaining security policy(Kasmiran, 2008). Policy should address bothlogical and physical security. In addition, privacyand confidentiality, integrity and availability, andlegal compliance requirements (ComputerAssociates International Inc, 2015) also shouldbe included.A primary objective of InfoSec Policy is to definethe user’s rights and responsibilities in anorganization and the effective InfoSec Policy willhelps the users understand what acceptable andresponsible behavior is in regards to informationresources to ensure the safe environment (Honeand Eloff, 2012).InfoSec Policy has attained an internationalawareness and several international standardshave been built (Hong et al., 2016). The followingsection will explain the commonly usedstandards of Information Security Policy.

Existing information security standardsframework

In this section, we discuss the existing standardinformation security frameworks such as MyMIS,ISO/IEC 27001, COBIT and COSO [8]. Due to thelack of information security frameworkspecifically addressing higher educationinstitutions, the four established framework(MyMIS, ISO/IEC 27001, COBIT and COSO)provided some guideline in developing theproposed information security framework [16],[17].

MyMIS

MAMPU has introduced a handbook calledMyMIS. MyMIS basically provides a standardguideline especially for government sector. Itcomprises of management safeguards, basicoperation, technical operation and legalmatters (MAMPU, 2002).

ISO 27001

ISO 27001 is an auditable internationalstandard which defines the requirements forthe management of Information Security [20].The standard is designed to ensure theselection of adequate and proportionatesecurity controls. The focus on ISO 27001 as abasis for the policy development was to movetowards a standard that could be externallymeasured. The council acknowledges thatISO27001 prefers to separate policy fromprocedure. However, for the sake of keepingeach policy item ‘holistic’, the council will keepprocedures and templates with each policy asfar as possible. As the council becomes moremature in terms of policy management this canbe reviewed. This means that each time aprocedure is changed, the policy will need tobe updated, but the council will accept this andinclude it in the policy review procedure.

COBIT

The Information Systems Audit and ControlAssociation & Foundation (ISACAF) developedControl Objectives for Information and relatedTechnology (COBIT) to provide managementand business process owners with an ITgovernance model to help understand andmanage the risks associated with IT. COBITdescribes the processes and controls neededfor implementing an information securitypolicy, rather than focusing on the documentitself. It contains a brief section on the Securityand Internal Control Framework Policy, whichgives various pointers on writing andmaintaining such a document. COBIT consistsof four main components namely, plan andorganize, acquire and implement, deliver andsupport, and finally monitor and evaluate [15].

RESEARCH METHODOLOGY

In addressing the research questions, twophases of data collection were involved,namely, interview and survey. The interview isto determine the main component of ICTSecurity Policy for .

BULETIN PERJASA | 22

Having completed the interviews, a survey wasembarked on in examining the IT personnelperceptions on the existing information ISPF atrespective local authority in Malaysia.

Interview

The interview conducted involved four (4) LAs inMalaysia selected located in Selangor State. LAschosen are all renowned local located in themost populous area of Malaysia’s economicpulse. For anonymity and confidentiallityreasons, the selected local authoritys arereferred as Alpa- A District Council (ADC) , Beta-B District Council (BDC) , Chi- District Council(CDC), and Delta- D District Council (DDC). Theinterviewees comprises of IT-expert staff andpersonnel in-charge of developing the ICTSecurity Policy Framework for each LAs . It wasnoted that most of the respondents are above 35years of age; while the number of years in theirrespective organization and are in the currentposition recorded as more than six years. Thisimplies that the interviewees are best candidatesto provide information on an aggregated unit ofanalysis in relation to views of informationsecurity and its implementation and bestpractices. Each of the interview exercises lastedfrom 40 minutes to an hour. It was conductedbetween the months of April to May of 2018.

Results

Through the interviews, Table 1 summarizes themain components considered by the four LAs inthis research.

LA Component Considered Standard adopted

ADC Risk Assessment

Physical and Environmental Security Access Control

Information Security Incident Management Compliance

COBIT & ISO 27001

BDC Risk Assessment Security Policy

Organization of Information Security Asset Management

Human Resource Security

Physical and Environmental Security Communication and Operation

Management Access Control

Information Systems acquisition, development and maintenance

Information Security Incident Management

Compliance

ISO 27001

CDC Management Safeguards Basic Operations Technical Operations MyMIS

DDC Management Safeguards Basic Operations MyMIS

Table 1: Components of Main ComponentsConsidered by LAs.

As depicted in Table 1, various componentswere included by the respective LAs. BDCadopted all eleven domain of ISO 27001.Unlike ADC considered only five incorporatedalso those from COBIT. MyMIS is the standardadopted by CDC and DDC while CDC includestechnical operations. Besides this, it isnoteworthy to understand the current status ofInfoSec policy practices.

Conceptual Framework

ISPF constructs identified for LAs was adoptedfrom ISO 27001, MyMIS and COBIT. With theestablished guidelines, we developed theconceptual information security framework asillustrated in Figure 1. Based on the four (4)interviews, five main constructs were identifiedto be considered in the HEI ISPF. They areinformation security policy, risk management,access control, awareness program andtraining, and compliance. Figure 1 shows theconceptual components with their constructsconsidered for the proposed ISPF.

BULETIN PERJASA | 23

Figure 1 : Proposed Conceptual Information Security Framework for LA

Five security elements are used to enforce the ISPF. The security constructs are briefly described below:

Information Security PolicyThis part explains about security policies. Security policies control address management support, commitment and direction in accomplishing information security goals including information security policy (Carlson, 2001).

Risk Management Risk management is the identification and analysis of relevant risks to achievement of the objectives, forming a basis for determining how the risks should be managed (Radack, 2004).

Access Control Access control addresses an organization’s ability to control access to assets based on business and security requirements including business requirement, user management, user responsibilities, network access control, host access control, application access control, access monitoring and mobile computing (Carlson, 2001).

Awareness Program & Training Based on the awareness on the security issues, and is the single most effective means of ensuring information security. The most effective measures depend largely on the behavior of the people affected by those measures. For example, an access control system based on secret password is effective only if people do not share their password (Elliot et al., 1991).

Compliance Compliance control addresses an organization ability to remain in compliance with regulatory, statutory and security requirement including legal, technical and system requirements and audits (Carlson, 2001). Nevertheless, from the four established framework (MyMIS, ISO 27001, COBIT, and COSO) indeed provided beneficial guidelines to the LAs which in turn form the basis in developing the proposed information security framework depicted in Figure 1.

Discussion and conclusion

This study has successfully answered both the research questions. Firstly, the main constructs of LAs ISPF were determined through interviews. Secondly, based on the IT personal responses through a survey, it establishes their perceptions on the existing information security policy practices.Through the interviews, it revealed that largely all the established government- supported LAs have some form of IT policies in place. Various establish information security standards were found to form the basis of their efforts towards the development of their very own policy.

This research further discovers thatinformation security policy, risk management,access control, awareness program andtraining, and compliance are the majorcomponents or elements that fix upon thesuggested framework for LAs. Thesecomponents are in line with the objective ofdeveloping the framework which was to applyand cover all hardware, software, data,information, network, personal computingdevices, support personnel, and users withinLAs from intrusion, interception, interruptionand denial of services.

This study does disclose top managementconcerns on the importance of adequateinformation security policy in theorganizations. This is indicated by periodicallyreviewing and updating the policy based onsignificant changes due in relation to the riskidentified by the organizations. Thus, the policyis consistently and readily made available forcompliance by the administrator, faculties,staff, students and third party. Accordingly, thefindings indicated the effectiveness of thepolicy the organizations have addressed all thefive security constructs identified in the ISPF.Access control is found to be the mostimportant security element. Additionally, policyalso plays an important role in explaining tostaff and students of their responsibility in theprotection of the information resources, whilestressing the importance of having securedinformation.

Awareness and compliance is the success keyto the policy as implementation will take placeafter the policy had been endorsed. It wasshowed that the awareness training has beenconducted to administrator and staff in theorganization.

This study also indicated that LAs appointsspecific person in-charge or committee set upin addressing ISPF and policy concerns. Infurtherance of ensuring the complianceenforcement, information security policydepartment is actively in cooperation withother units of the organization and regularmeetings and scheduled reporting arepracticed.

BULETIN PERJASA | 24

Hence, thi effort would provide some clarificationand insights into how ISPF is depicted in theacademic setting. Further work is obviouslynecessary to look into the details of the framework.Thus, this research serves as an expansion ofsecurity and assurance in operational areasliterature in the area of ISPF engagements.

Despite the study’s limitations, we believe that ourwork makes significant contributions to practiceand research.

Managerial perspectivei. It provides as an indicator to the status of ISPF implementation from IT personnel perspective;ii. It identified the various standard adopted by LA or the lack of it;iii. LAs can enjoy significant benefits from making right choices in terms of construct that are relevantnor set a priority- level to its ICT-related activities;iv. Serves as preparatory guidelines for future planning and improvements to LAs ISPF; andv. Better understanding of critical ISPF construct to ensure successful enforcement of information security.

Theoretical Contributioni. Clarification and rearrangement of the available constructs: information security policy, risk management, access control, awareness program and training, and compliance are delineated in the proposed ISPF model;ii. Identification of new constructs whereby the involvement of top management plays a significant role in sustaining a robust and effective. Notably, adequate implementation and improvement of the ISPF hinges on management’s commitment.

In a nutshell, this study forms a basis in understanding the status and its practices of information security in Malaysian academic setting. This will further fulfill the LAs information security needs towards a more dynamic yet sustaining a secured academic environment.

References

[1] AS/NZ ISO/IEC 27002:2006 (2006),

[2] ‘Information Technology – SecurityTechniques – Code of Practice for InformationSecurity Management,’ AS/NZ ISO/IEC 27002.

[3] Albrechtsen E, A qualitative study of user’sview on information security. Computers &Security 2017; 26(4): 276–289.

[4] Bill and Morrow,. BYOD security challenges:control and protect your most sensitive dataNetwork Security 2012; (12), pp.5-8.

[5] Burton-Jones, A. and Grange,. From use toeffective use: a representation theoryperspective. Information Systems Research2015; 24(3), pp.632-658.

[6] Chan M, Woon I &Kankanhalli A,.Perceptions of Information Security in theWorkplace: Linking Information SecurityClimate to Compliant Behavior. Journal ofInformation Privacy & Security 2012; (3): 1841.

[7] Corpuz, M. and Barnes, P.H,. Integratinginformation security policy management withcorporate risk management for strategicalignment. In Proceedings of the 14th WorldMulti-Conference on Systemics; 2010.

[8] Cybernetics and Informatics (WMSCI 2010).

[9] D'Arcy, J. and Herath, T,. A review andanalysis of deterrence theory in the IS securityliterature: making sense of the disparatefindings. European Journal of InformationSystems 2011; 20(6), pp.643-658.

[10] Dickie,. Improving your organization;sattitude and commitment to security computeraudit update;

October 1996.

[11] Gaunt,. Practical approaches to creating asecurity culture international journal of mericalinformatics 2012; no.49. (1998) pp 131-134

[12] Herath T &Rao HR,. Protection Motivationand Deterrence: A Framework for SecurityPolicy Compliance in Organizations. EuropeanJournal of Information Systems 2009; 18(2):106–125.

[13] Hone, K and Eloff,. Information securitypolicy-What do international security standardcomputers and security 2015; vol.21, no.5pp.402-409.

BULETIN PERJASA | 25

[14] Humaidi, N. and Balakrishnan, V,. The influenceof security awareness and security technology onusers’ behavior towards the implementation ofhealth information system: A conceptualframework. In 2nd International Conference onManagement and Artificial Intelligence IPEDR 2014;(Vol. 35, pp. 1-6).[15] Ifinedo, P., 2011. Understanding informationsystems security policy compliance: An integrationof the theory of planned behavior and theprotection motivation theory. Computers & Security,31(1), pp.83-95.[16] ISO/IEC TR 13335-1:1996,. GMITS -Concepts

and models for IT Security 1996.[17] ISO/IEC TR 13335-2:1997,. GMITS -Managing

and planning IT Security 1997.[18] ISO/IEC TR 13335-3:1998,. GMITS -Techniques

for the management of IT Security 1998.[19] ISO/IEC TR 13335-4:2000,. GMITS -Selection of

safeguards 2000.[20] ISOIlEC FDIS 27001:2005,. Information

Technology –Secutity 2005.[21] ISO/IEC FDIS 17799:2005,.Information

Technology - security management systemsRequirements 2005.[22] ISMS and A LevellCT Through Diagrams, 2017,

NISER.[23] Kruger HA & Kearney WD,. A Prototype for

Assessing Information Security Awareness.Computers and Security 2006; 25(4): 289–296.[24] MAMPU,. The Malaysian Public Sector

Management of Information Security 2002.[25] MAMPU,. Techniques-Information security

management systems – Requirements 2002.[26] MDC., ICT Security Policy 2015; Version 2.[27] MAMPU,. ICT Security Policy Julai, 2010;

Version 5[28] Venkatraman, S., A framework for ICT security

policy management. Frameworks for ICT Policy:Government, Social and Legal Issues: Government,Social and Legal Issues 2010; p.1.

A Gentle Introduction to Sentiment Analysis Using Naïve Bayes

Sentiment analysis is a common textclassification technique that at its most basicfunction, identifies the polarity of a given topicthrough text mining. Polarity refers to thenumber of positive and negative terms inside agiven document. In simpler terms, sentimentanalysis is used to predict the category (couldbe positive or negative) of a given text in adocument, like a piece of product review onAmazon, or the latest Marvel’s movie reviewson IMDB’s website.

One of the most common techniques forsentiment analysis is Multinomial Naive Bayes(NB) text classification. Over the years, we sawadvancement in the development of moreadvanced and complex algorithms such asSupport Vector Machine (SVM), artificial neuralnetwork, etc. However, NB is still a preferablechoice for researchers all over.

So why NB, you asked? Simply, because it isfast, reliable and fairly accurate. Don’t take mywords just yet. Read on.

How Does it Work?

The promise of NB is simplicity. It is based onBayes’ Theorem, a probability theory to predictthe probability of an unknown event(posterior) based on previous occurrence ofrelated events (a-priori).

Meor Mohd Shahrulnizam bin Meor SepliUnit Permodenan Tadbiran dan Perancangan Pengurusan Malaysia(MAMPU)

BULETIN PERJASA | 26

I won’t bore you with the exact formula, but thecore principle is that each words in a sample textis counted and then a dictionary of frequentwords and its count is built. So how does thecategorization works? By counting how manytimes a word appears in a said category over thecount of all the words with that category. Inother words, supposed the word ‘quality’ isassociated with negative more than positivesamples, so it ends up being classified asnegative, although we know that ‘quality’ is asemantically positive word. Hence the “naive” inits name. This makes it a domain or topic-basedalgoritm.

Still scratching the back of your head? Don’t turnto dust yet!

Practical Example

Let’s take a look at a simplified example. Thetable below shows a training set, that is used bythe classifier to learn unseen data. The source ofinspiration for this data is taken from theAvengers: Endgame user reviews page athttps://www.imdb.com/title/tt4154796/reviews?ref_=tt_urv.

Item Text Label1 Thanos please snap this

movieNegative

2 Absolute perfection endgame

Positive

3 This movie was awful Negative4 The movie was very boring Negative5 Good acting performance to

all the charactersPositive

The probability for negative category,P(negative)=3/5. There are 3 negative samplesover 5 total items.

The probability for positive category,P(positive)=2/5. There are only 2 positivesamples over 5 total items.

To predict the category for Item #1: “Thanosplease snap this movie”, we simply calculatethe probability of each words’ occurences in itscategory.

The formula is,

𝑁𝑢𝑚𝑏𝑒𝑟 𝑜𝑓 𝑡ℎ𝑒 𝑤𝑜𝑟𝑑 𝑜𝑐𝑐𝑢𝑟𝑒𝑛𝑐𝑒𝑠 + 1

𝑁𝑢𝑚𝑏𝑒𝑟 𝑜𝑓 𝑤𝑜𝑟𝑑𝑠 𝑖𝑛 𝑐𝑎𝑡𝑒𝑔𝑜𝑟𝑦 + 𝑇𝑜𝑡𝑎𝑙 𝑛𝑢𝑚𝑏𝑒𝑟 𝑜𝑓 𝑤𝑜𝑟𝑑𝑠

The results of the calculation are shown below.

BULETIN PERJASA | 27

Word Negative Positive

Thanos1 + 1

14 + 25

0 + 1

11 + 25

please1 + 1

14 + 25

0 + 1

11 + 25

snap1 + 1

14 + 25

0 + 1

11 + 25

this2 + 1

14 + 25

0 + 1

11 + 25

movie3 + 1

14 + 25

0 + 1

11 + 25

Since it is labeled with a positive/negativecategory, it is called a supervised machinelearning classification. So NB “learns” by using aset of previously labeled dataset.

So, to get the category for which “Thanos pleasesnap this movie” belongs to, we just comparewhich value is bigger:

For P(“Thanos please snap this movie” |negative), read as, the probability of the sentence“Thanos please snap this movie” given negativecategory is,

Meanwhile, for the positive category,

Finally, obviously we have a winner here! Item#1: “Thanos please snap this movie" indeedbelongs to a negative category. Please note,since it is a multiplication, word order (andcommon sense, ha!) are unimportant, so itdoesn’t matter if “movie please snap thisThanos”.

Now, comes the boring part. In order toproceed further, a computer requires certainprocessing to convert the text into suitableformats the computer can understand. Thisprocessing or pre-processing is the most criticalphase in machine learning classification as itcleans out uninteresting parts from the data,which may affect the accuracy of prediction.Only a handful of words are selected thatinfluences the polarity orientation of the thetext, so the exclusion of these noises shouldconsequently improve and speed up classifier’sperformance. In the sample codes, the first stepof normalization is to fold all letters into lowercase so that “LOVE” and “love” are not countedas different words. All whole digits are removede.g. “95399”. All punctuations marks e.g. “,”,“:”, “&”, and “!” are removed. All charactersexcept spaces, lower case letters (a-z) and digits(0-9), and consecutive white spaces are alsoremoved. Stopwords like “a”, “is”, “the”, “on”are also removed. Stopwords are the mostcommon elements in a language.

The End Game Prediction

Accuracy is one of the most common metrics in measuring supervised machine learningperformance. In sentiment analysis context, it is a measure of how often a prediction is correct.

Using the Python code below, with only 46 items at 50% positive:negative data ratio and 3:4training and testing ratio, I managed to obtain an accuracy of 83.3%, which is comparable withhuman concordance at 70-80%. This also shows that NB fares favourably with other sophisticatedalgorithms, even with a small dataset.

BULETIN PERJASA | 28

We can get better accuracy by applying more advanced pre-processing techniques using naturallanguage processing tools such as stemming (crude removal of suffixes e.g. -ing, -er, -est), andlemmatization (dictionary-based root word reduction).

The full Jupyter Notebook code for this sample can be obtained athttps://github.com/meornizam/perjasa052019.

Welcome to the world of Data Science!

Kejohanan Golf PERJASA 2019 - PialaGCIO

Ts. Adi Azlan bin Mohd Ali AJK PERJASA 2017-2019

BULETIN PERJASA | 29

Pada 30hb Mac 2019 seramai 24 orang pesertaterdiri daripada ahli PERJASA dan rakanstrategik PERJASA telah menyertai KejohananGolf PERJASA 2019, bagi merebut piala GCIOyang telah dipertandingkan semenjak tahun2010 lagi. Kejohanan kali ini yang dijalankan diKelab Golf Perkhidmatan Awam dihadiri olehtetamu kehormat YBhg. Datuk Zainal Abidinbin Abu Hassan, Timbalan Ketua Setiausaha(Keselamatan), Kementerian Dalam Negeri.Terdapat dua kategori yang telah disediakanuntuk pemain iaitu Kategori Sektor Awam danKategori Korporat. Satu anugerah bagikeseluruhan pertandingan juga telahdisediakan berupa piala pusingan GCIO yangmenjadi rebutan semua peserta.

Keputusan pertandingan telah menyaksikan muka-muka baru dikalangan ahli perjasa mendudukikedua-dua kategori tersebut. Bagi Kategori SektorAwam, En Johari bin Hashim telah dianugerahkansebagai johan, En Turidi bin Mat mendudukitempat kedua dan tempat ketiga jatuh kepada EnMohd Iskandar Zulkarnain bin Mohd Noh.Manakala bagi Kategori Korporat, En Norhizam binMat Daud telah berjaya sebagai Johan, YBhg Dato’Azhar Ismail di tempat kedua dan akhir sekali EnWong Keng Hoe menduduki tempat ketiga. Juarakeseluruhan yang membawa pulang pialapusingan GCIO telah dirangkul oleh En. Khairuddinbin Mohemed Nor.Kejohanan golf ini dilihat sebagai satu cara untukmeningkatkan penyertaan ahli dalam bidang sukandan menjadi acara santai bagi ahli-ahli perjasabersama pihak industri menjalinkan hubunganerat dalam memajukan agenda transformasipendigitalan sektor awam. Diharapkan pada masaakan datang, aktiviti ini dapat diteruskanseterusnya meningkatkan persepsi bahawa aktivitigolf adalah hanya untuk pengurusan tertinggisahaja sedangkan ianya juga merupakan aktivitisukan yang diceburi oleh pegawai-pegawaiteknologi maklumat.

Sesi Perjumpaan Bersama Wakil PERJASA, KPPTM dan CTSU Bersama YBhg Ketua Pengarah MAMPUTs. Mohamed Hairul bin Othman AJK PERJASA 2017-2019

BULETIN PERJASA | 30

Sesi Perjumpaan Bersama Wakil PERJASA,KPPTM dan CTSU Bersama YBhg KetuaPengarah MAMPU pada 28 Januari 2019

PERJASA diwakili oleh Tn Hj Ahmad Bin Osman(Presiden) dan Ts. Mohamed Hairul Othman(AJK PERJASA).

Perjumpaan mengambil masa kira-kira 2 jamsetengah yang turut disertai oleh YBhg Dr.Suhazimah Dzazali (TKP), YBhg Dato’ AzlanJohar (Pengarah BKP), YBhg Dr. Mohd ZabriYusoff (Pengarah Bhg PenyelidikanPengurusan), Pn Susie Dorai Raj (Pengarah BhgPerundingan ICT), En Ahmad bin Daud(Pengarah Bhg Strategi & Arkitektur) danPentadbiran MAMPU.

Objektif perjumpaan adalah bagimembincangkan cadangan penubuhan AgensiDigital Sektor Awam (PSDA). Selain daripadaitu, banyak perkara turut diutarakan oleh wakilsetiap persatuan meliputi isu berkaitankebajikan, kompetensi, profesionalisma,kemajuan kerjaya, termasuk isu perjawatan diagensi negeri.

Bagi pihak YBhg Dato’ Dr KP, semua cadangandiambil maklum dan akan diteliti dengan terpeinci.Selain daripada itu, YBhg Dato’ Dr KP turutmenjelaskan bahawa keputusan melibatkanbeberapa perkara kritikal akan dibuat secara quickwin selain daripada beberapa isu yang memerlukanpenilitian lanjut untuk kajian dengan lebihkomprehensif.

PERJASA menyambut baik keterbukaan YBhg Dato’Dr. KP untuk memberikan komitmen terhadapsegala isu yang dibangitkan termasuk melibatkanPERJASA bagi membuat projection bagi keseluruhanSkim F. Disamping itu, beliau turut bersetujuperjumpaan secara berkala diadakan bagimemastikan segala isu dapat ditangani dengansebaiknya. Rakan-rakan Skim F juga diharapkan agardapat terus melengkapkan pengisian SPK bagimembantu proses perancangan kerjaya bagimemastikan bidang tugas seiring dengan kemahirandan kepakaran masing-masing.

Keperluan Membina Tahap KetersediaanYang Tinggi (HA) Ke Atas Server Virtual

Keselamatan Maklumat terdiri daripada tigaciri-ciri asas iaitu Kerahsiaan, Integriti danKetersediaan. Ini telah dinyatakan di dalamDasar Keselamatan ICT setiap agensi Kerajaandan Standard ISO/IEC 27001:2013 InformationSecurity Management Sistem (ISMS). Artikel inimenyentuh tentang bagaimana “Ketersediaan”harus dikekalkan ke atas server kerana servermerupakan tempat di mana data-data pentinganda disimpan. Jika kita sudah melaksanakanPensijilan ISMS, sudah tentu kita dapat melihatdi antara salah satu kawalan standard adalahperkara A.17.2 Redundancies iaitu berkaitandengan kemampuan kita untuk menyediakanfasiliti sekunder seperti server bagi menjamintahap ketersediaan yang tinggi. Oleh keranadata disimpan di dalam server, makaperlindungan terhadap server mestilahmendapat keutamaan agensi berbandingperlindungan yang lain.

Sememangnya banyak elemen yang perludilihat untuk melindungi server daripadaancaman terutama serangan penggodam.Misalnya, di antara perlindungan yang biasadiambil adalah dengan memasang firewall atauIntrusion Detection Sistem (IDS) dansebagainya. Namun, ancaman yang jarangdiambil perhatian adalah datang daripadasistem pengoperasian itu sendiri iaitu “PincangTugas”. Biasanya ancaman seperti ini akanmengakibatkan tempoh gendala (downtime)yang panjang dan sukar untuk dipulihkan.

Mohd Rizal KadisJabatan Kemajuan Islam Malaysia (JAKIM)

BULETIN PERJASA | 31

Dengan kemunculan teknologi server hypervisorsecara komersial hampir sedekad yang lalu, ianyatelah banyak memberi manfaat dalam bidang ICTkhususnya Pusat Data dimana keperluan terhadapserver fizikal telah dapat dikurangkan secaramendadak dan sumber komputer dapat digunakandengan lebih cekap dan berkesan dengankebolehan mewujudkan server virtual di dalamnyamengikut permintaan. Ditambah pula dengan ciri-cirinya yang sofistikated dan maju seperti fungsi“Pindah Alih” secara automatik, ia mampumenyediakan keperluan server yang mempunyaitahap ketersediaan yang tinggi. Ini bermaksud,perkhidmatan server virtual tidak terganggusekiranya berlaku kerosakan terhadap unit serverfizikal kerana dengan adanya fungsi “Pindah Alih”,kesemua server virtual yang berada dalam serverfizikal yang rosak dapat dialihkan ke server fizikalyang masih berfungsi dengan baik secaraautomatik. Ini secara tidak langsung telah dapatmemenuhi salah satu daripada komponen asasKeselamatan Maklumat iaitu Ketersediaan.

Kerajaan telah memanfaatkan teknologi inisepenuhnya dengan menyediakan perkhidmatanVirtual Server Hosting di Pusat Data Sektor Awam(PDSA) dimana agensi-agensi Kerajaan hanya perlumemohon server virtual yang diperlukan tanpamengeluarkan sebarang kos tambahan.Kemudahan yang disediakan oleh PDSA ini sedikitsebanyak telah berjaya mengurangkan kosperolehan server yang tinggi di agensi hanya untukmenempatkan sistem atau laman web yang tidakmemerlukan sumber komputer yang tinggi.

Namun begitu, adakah dengan menyediakansatu unit server virtual bagi sistem kritikalagensi sudah mencukupi bagi mencapai tahapketersediaan yang tinggi (High-Availability)?Sebagai contoh, sekiranya berlaku kerosakanterhadap sistem pengoperasian seperti KernelPanic atau Blue Screen of Death (BSoD), sudahtentu fungsi “Pindah Alih” seperti yangdinyatakan di atas tidak akan dapatmembantu. Mungkin juga terdapat kaedahalternatif lain yang boleh digunakan iaitumemulihkan semula server virtual daripada failsandaran (backup) atau snapshot, namunkaedah ini pasti akan melibatkan tempohgendala. Tempoh gendala mungkin akanmenjadi lebih panjang sekiranya kerosakantersebut berlaku diluar waktu bekerja sepertipada waktu tidur, cuti umum/perayaan, ataupemilik server virtual tersebut tidak dapatdihubungi untuk mendapatkan maklum balasdan persetujuan. Tidak kurang juga jika kerja-kerja penyelenggaraan server perludilaksanakan seperti menaik taraf perisian,mengemaskini patches, troubleshooting,reboot dan sebagainya pasti akan melibatkanwaktu gendala. Ini belum lagi jika terdapatkegagalan pada server selepas kerja-kerjapenyelenggaraan dilaksanakan.

Sekiranya perkara ini terjadi, sudah tentu iaakan mengakibatkan kekecewaan kepadapengguna yang sedang menggunakan sistempada masa tersebut kerana komponen asaskeselamatan iaitu ketersediaan tidak dapatdipenuhi.

Ketersediaan Yang Tinggi (HA) boleh dibinakepada dua cara iaitu Active-Passive HA atauActive-Active HA bergantung kepadakesesuaian produk dan teknologi yangdigunakan. Active-Passive HA terdiri daripadaprimary dan failover server dimana primaryserver adalah server yang aktif manakalafailover server adalah sandaran kepadaprimary server tersebut. Sekiranya berlakukerosakan kepada primary server, failoverserver akan mengambil alih peranan primaryserver tersebut sebagai aktif. ManakalanActive-Active HA pula, setiap server adalahaktif dan load-balancing boleh dimanfaatkanbagi mengimbangkan trafik rangkaian setiapserver. Load balancing membolehkan setiapserver mempunyai trafik yang sekata sekaligusmempercepatkan capaian sekiranya jumlahtrafik adalah tinggi.

BULETIN PERJASA | 32

Adakah kos untuk membina HA tinggi?Sebenarnya kos untuk membina HA tidak tinggidan boleh saja menggunakan teknologi sumberterbuka (open source) seperti Linux. Tambahanlagi, server virtual boleh dipohon secarapercuma daripada PDSA. Cuma yang diperlukanadalah sedikit masa dan tenaga untukmembuatnya.

Untuk memahami konsep HA ini, konsep Active-Passive HA yang paling asas boleh dibinadaripada teknologi yang biasa dan banyakdigunakan oleh agensi kerajaan seperti berikut:-1. Sistem dibangunkan menggunakan bahasa

pengaturcaraan PHP.2. Menggunakan perisian Apache Web Server.3. Platform Linux.

Asas Infrastruktur Active-Passive HA

Gambarajah 1 adalah asas infrastruktur servervirtual yang perlu dibangunkan bagi membentuksekurang-kurangnya tahap ketersediaan server yangminimum. Fungsi bagi setiap server adalah sepertiberikut:-• Apache Web Server – Mengandungi perisian

sumber terbuka HTTP server dan engine PHP. Iajuga mempunyai perisian HAProxy yangmenggunakan Virtual Router RedundancyProtocol (VRRP) untuk mengawal floating IP.

• MySQL Master – Pangkalan data MySQL yangbertindak sebagai master.

• MySQL Slave – Pangkalan data MySQL yangbertindak sebagai slave.

Gambarajah 1: Topologi Server berteraskan Active-Passive HA.

Apakah Floating IP?

Floating IP adalah bersamaan dengan alamat IPfizikal yang ditetapkan secara kekal padaNetwork Interface Card (NIC) server bagimembolehkan server dikenal pasti dalamrangkaian. Perbezaan floating IP denganalamat IP fizikal adalah ianya tidak akan kekalpada satu server sekiranya server yangmenyimpan IP tersebut rosak. Sebaliknya, iaakan dipindahkan ke server lain yang masihbaik keadaannya. Kerana itulah ia dinamakanfloating IP. Sudah tentu Domain Name sistemperlu dilekapkan bersama dengan floating IP.

Daripada topologi yang ditunjukkan dalamGambarajah 1, terdapat dua jenis server iaituApache Web Server dan MySQL yang masing-masing mempunyai lebih daripada satu server(redundancy) yang berfungsi secara Active-Passive HA. Di dalam persekitaran Active-Passive HA tersebut, Apache Web Server 1 danMySQL Master berfungsi sebagai primary(active) manakala Apache Web Server 2 danMySQL Slave berfungsi sebagai failover(passive). Server failover bertindak sebagaisandaran kepada server primary dimana servertersebut akan bertukar menjadi aktif sekiranyaberlaku kerosakan kepada server primary.

BULETIN PERJASA | 33

Sekiranya kegagalan berlaku pada Apache WebServer 1, floating IP akan berpindah ke ApacheWeb Server 2 secara automatic. Inimembolehkan sistem masih boleh dicapai olehpengguna tanpa gendala dan mereka langsungtidak menyedari kerosakan yang telah berlakuseperti pada Gambarajah 2.

Walau bagaimanapun, senibina yangditunjukkan masih mempunyai beberapakelemahan seperti berikut:-1) Failover server tidak akan digunakansehinggalah primary server rosak, ini akanmenyebabkan pembaziran sumber.2) Terdapat dua set kod sumber masing-masing dalam Apache Web Server 1 dan 2, inimenyebabkan Pentadbir Sistem perlu memuatnaik kod sumber kepada dua lokasi berlainan.3) Oleh kerana fail session disimpan diprimary server sahaja, pengguna akan terkeluardaripada sistem secara tiba-tiba dan perlu loginsemula (bayangkan jika beliau sedangmemasukkan data).4) Connection ke pangkalan data MySQLperlu ditetapkan secara manual, ini bermaknapertukaran IP host perlu dibuat dalam kodsumber dan akan menyebabkan waktu gendala.5) Pertukaran connection ke pangkalandata MySQL Slave mungkin menyebabkansistem tidak berfungsi terutama jika melibatkanoperasi Insert/Update/Delete.

Namun begitu, meskipun dengan kelemahan-kelemahan yang masih ada, ianya adalah lebihbaik berbanding daripada menggunakan hanyasatu server virtual tunggal sahaja.

Artikel seterusnya akan membincangkanpenambahbaikan kepada senibina di atas.

Gambarajah 2: Kerosakan berlaku kepada Apache Web Server 1 dan MySQL Master.

YBhg Dato’/Dr./Tuan/Puan dipelawa untuk menghantar artikel selewat-lewatnya pada 31 Julai 2019 (Rabu) untuk membolehkan sidang redaksimembaca dan membuat semakan terlebih dahulu sebelum diterbitkan.

Berikut adalah kreteria artikel :

✓ Format : Text file atau Microsoft Word (.doc / .docx) sahaja

✓ Panjang : Tidak kurang dari 200 patah perkataanSkop : Semua bidangdalam ICT

✓ Jenis artikel : Perkembangan teknologi terkini, amalan terbaik, step-by-step instruction, kajian kes, mengimbas sejarah jabatan/kerajaan dalamteknologi, jangkaan masa hadapan dll.

✓ Artikel yang di larang : Berunsurkan politik, mengkritik dasar kerajaansecara keras, berbaur lucah, menyentuh sensitiviti keagamaan dan perkauman, jauh menyimpang dari bidang ICT.

✓ Bahasa : Bahasa Melayu dan Bahasa Inggeris.

Artikel yang telah siap hendaklah dihantar kealamat email naim.ibrahim@gmail.com dan jawatankuasa@perjasa.org.my

Semua karya hendaklah asli dan dikarang sendiri oleh penghantar.