BAB III METODOLOGI PENELITIAN

Transkripsi

1 BAB III METODOLOGI PENELITIAN Bab III Metodologi Penelitian 3.1 Profil Perusahaan PT. XYZ adalah sebuah perusahaan yang didirikan pada tahun 1967, merupakan perusahaan investasi asing yang menyediakan layanan telekomunikasi internasional di Indonesia, serta melakukan operasinya pada tahun 1969 dengan inagurasi Stasiun Bumi Jatiluhur. Pada tahun 1980, pemerintah Indonesia mengakuisisikan semua saham PT. XYZ, untuk kemudian menjadi BUMN. Saat ini PT. XYZ merupakan perusahaan penyelenggara layanan telekomunikasi terbesar kedua di Indonesia. PT. XYZ saat ini memiliki lebih kurang 8155 karyawan, dimana karyawan PT.XYZ ini terdiri dari 3873 karyawan tetap dan 4282 karyawan kontrak. PT.XYZ saat ini telah memperdagangkan sahamnya di Bursa Efek di Indonesia dan Amerika Serikat New York Stock Exchange. Dengan kepemilikan saham PT. XYZ dimiliki oleh perusahaan asing (65%), Publik (20,1%), serta Pemerintah Republik Indonesia (14,9%). PT. XYZ memberikan layanan jasa selular, jasa telekomunikasi tetap atau jasa suara tetap, jasa fixed wireless. Selain itu PT. XYZ juga merupakan penyelenggara jasa data tetap (MIDI) dan menjadi pelopor penyedia layanan seluler 3.5 G dengan teknologi HSDPA untuk pascabayar maupun prabayar. Bagi PT. XYZ, tata kelola perusahaan merupakan landasan penting dari keseluruhan pendekatan bisnis perusahaan. Lima pilar utama yang menjadi tumpuan tata 20

2 21 kelola PT. XYZ adalah transparansi, akuntabilitas, tanggung jawab, independensi, dan kesetaraan.pt. XYZ selalu berusaha melakukan segala upaya untuk melakukan bisnis secara bertanggung jawab untuk memberikan manfaat yang berkelanjutan bagi para pemegang saham dan pemangku kepentingan. Susunan organisasi PT. XYZ dapat dilihat pada Gambar 2. Divisi IT Security merupakan salah satu divisi yang berada dibawah Group IT Operation. Divisi ini mempunya tugas untuk memastikan terjaminnya kemanan aset serta bertanggung jawab terhadap segala sesuatu yang berhubungan dengan keamanan jaringan beserta komponen pendukung lainnya termasuk pengaturan dan pemeliharaan didalamnya Visi, Misi, dan Tujuan Perusahaan Visi Menjadi pilihan utama pelanggan untuk seluruh kebutuhan informasi dan komunikasi. Misi Menyediakan dan mengembangkan produk layanan dan solusi inovatif dan berkualitas untuk memberikan manfaat yang sebesar - besarnya bagi para pelanggan. Meningkatkan keuntungan pemegang saham secara terus menerus. Mewujudkan kualitas kehidupan pemangku kepentingan yang lebih baik.

3 Susunan Organisasi Gambar 3. Susunan Organisasi PT. XYZ

4 Gambar 4. Susunan Organisasi PT. XYZ (lanjutan) 23

5 Kerangka Pikir Gambar 5. Kerangka Pikir

6 Gambar 6. Kerangka Pikir Penilaian Risiko Menggunakan Metode NIST SP

7 26 Dokumen Kebijakan Keamanan PT. XYZ Dokumen ISO/IEC Pemetaan Kebijakan Tambahan Kebijakan Keamanan PT. XYZ Rekomendasi NIST SP800-61rev1 Pembuatan SOP Dokumen SOP Input Proses Rekomendasi NIST SP800-61rev1 Penanggulangan Insiden (Incident Handling) Tambahan kontrol Untuk Penanggulangan Insiden Output Gambar 7. Kerangka Pikir Mitigasi Risiko Secara garis besar, kerangka pikir pada Gambar 5 terdiri dari 5 tahap. Untuk penilaian risiko dan mitigasi risiko di breakdown menjadi Gambar 6 dan 7. Kerangka pikir tersebut dapat dijabarkan sebagai berikut : 1. Mendefinisikan masalah Berdasarkan data hasil monitoring log IDS/IPS selama waktu tiga tahun, dapat ditarik tiga gangguan (intrusion) teratas yang terjadi pada PT. XYZ. Hal ini sekaligus menjadi ruang lingkup dari penulisan tesis ini. 2. Melakukan penilaian risiko (risk assessment) Penilaian risiko dilakukan dengan menggunakan metode NIST SP Pada tahap ini ada 9 tahapan yang dilakukan yaitu : Karakterisasi sistem : Tahap ini dilakukan pengumpulan aset-aset yang dimilik oleh divisi IT security.

8 27 Identifikasi ancaman : Ancaman adalah suatu eksploitasi potensial terhadap kerentanan. Pada tahap ini dilakukan identifikasi ancaman yang ada terkait dengan ruang lingkup. Identifikasi kerentanan : Kerentanan adalah suatu kelemahan yang ada dari suatu sistem. Pada tahap ini dilakukan identifikasi kerentanan yang ada terkait dengan ruang lingkup. Analisis pengendalian (pengukuran tahap 1) : Pada tahap ini dilakukan pengukuran penanganan insiden saat ini dengan menggunakan incident handling checklist (NIST SP rev1). Kuesioner akan dibagikan kepada tim Divisi IT Security. Penentuan kemungkinan : Pada tahap ini dilakukan penyusunan dan pendefinisian tingkat banyaknya kejadian. Analisis dampak : Pada tahap ini dilakukan penyusunan dan pendefinisian tingkat dampak. Tahap ini dilakukan dengan wawancara dengan staf Divisi IT Security. Penentuan risiko : Pada tahap ini dilakukan penyusunan dan pendefinisian tingkat risiko. Selanjutnya akan ditentukan tingkat risiko dari ancaman yang ada pada tahap identifikasi ancaman sebelumnya. Rekomendasi kontrol : Pada tahap ini diberikan beberapa rekomendasi kontrol yang sesuai dengan hasil dari proses penilaian risiko. Tahap ini selanjutnya akan dibahas dibagian mitigasi risiko. Dokumentasi hasil : Pada tahap ini dibuat dokuemtasi hasil penilaian risiko.

9 28 3. Melakukan mitigasi risiko Pada tahap ini akan dilakukan beberapa hal terkait dengan mitigasi dari risiko yang didapat dari hasil tahap analisa sebelumnya, yaitu : Kebijakan keamanan (security policy) : Pemetaan ISO/IEC terhadap kebijakan keamanan yang berlaku. Apabila terdapat kekurangan pada kebijakan keamanan PT. XYZ maka kontrol dari ISO/IEC akan ditambahkan sebagai kebijakan baru. Prosedur keamanan (Prosedur Operasi Standar) : Peningkatan terhadap prosedur keamanan yang ada saat ini mengacu pada NIST SP rev1. Penanggulangan insiden (incident handling) : Pada tahap ini akan diberikan beberapa rekomendasi dan kontrol tambahan untuk menanggulangi insiden. 4. Melakukan pengukuran hasil mitigasi risiko (pengukuran tahap 2) Pengukuran dilakukan kembali dengan menggunakan incident handling checklist (NIST SP rev1). Kuesioner akan dibagikan kepada tim Divisi IT Security. 5. Kesimpulan dan saran Merupakan tahap akhir dimana hasil keseluruhan tesis ini akan diberikan suatu kesimpulan.

10 Metode Pengumpulan Data Pengumpulan data dan informasi yang berkaitan dengan pembahasan tesis ini menggunakan beberapa cara, yaitu : 1. Dokumen perusahaan Data diperoleh dari dokumen internal yang ada pada Divisi IT Security. Terdapat dua jenis dokumen perusahaan yang akan digunakan, yaitu: Dokumen Data diperoleh dari dokumen-dokumen yang dimiliki oleh Divisi IT Security baik berupa kebijakan, laporan dan berkas tertulis. Portal Internal Data diperoleh dengan mengakses portal yang dimiliki oleh Divisi IT Security yang menyimpan data-data mencakup keamanan informasi. Data yang diambil melalui portal merupakan data selama 2 tahun yaitu Dimana portal berisikan hasil pengolahan dari log IDS/IPS serta insiden yang terjadi. Selain itu portal juga berisi tiket-tiket yang dibuat bila terjadi insiden. 2. Melakukan pengamatan langsung ke lapangan Studi ini dilakukan untuk mendapatkan gambaran dan data yang objektif mengenai penggunaan Internet pada Divisi IT Security. 3. Studi pustaka Data tambahan diperoleh dari studi jurnal dan buku-buku yang berkaitan dengan pembahasan tesis ini.

11 30 4. Kuesioner Kuesioner akan dibagikan kepada anggota Divisi IT Security.