Daftar Risiko yang Mungkin Terjadi Berdasarkan Ancaman. Risiko yang mungkin terjadi

Transkripsi

1 L1 Daftar Risiko yang Mungkin Terjadi Berdasarkan Ancaman Ancaman Alam Lingkungan Manusia Risiko yang mungkin terjadi Gempa bumi Hubungan jaringan antar sistem gagal didalam perusahaan Tidak adanya rekaman terhadap perubahan sistem/aplikasi software Putusnya koneksi internet Kerusakan hardware Penyalahgunaan user ID Informasi diakses oleh pihak yang tidak berwenang Mantan user atau karyawan masih memiliki akses informasi Kesalahan terhadap data dan dokumen yang dipublikasikan Data dan informasi tidak sesuai dengan fakta Penggunaan informasi yang tidak benar yang dapat berdampak pada bisnis Kebocoran informasi internal perusahaan Terdapatanya virus dapat menyebabkan kegagalan system atau hilangnya data Hacker dapat membuat sistem down Informasi diubah tanpa adanya persetujuan dari pihak yang bertanggungjawab Manipulasi data untuk kepentingan pribadi atau kelompok Human error pada saat meng-entry data manual kedalam sistem Kerusakan database Error pada program Gangguan jaringan yang diakibatkan virus Melihat informasi dari karyawan lain Kerusakan software Kerusakan hardware Tidak adanya rekaman terhadap perubahan sistem/aplikasi software

2 L2 Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses Priority Matrix Ancaman Risiko yang mungkin terjadi Tipe Prioritas Alam Gempa bumi AVA 2 Hubungan jaringan antar sistem gagal didalam perusahaan AVA 2 Lingkungan Tidak adanya rekaman terhadap perubahan sistem/aplikasi software AVA 2 Putusnya koneksi internet AVA 4 Kerusakan hardware AVA 2 Penyalahgunaan user ID CON 4 Informasi diakses oleh pihak yang CON, tidak berwenang INT 4 Mantan user atau karyawan masih memiliki akses informasi CON 5 Kesalahan terhadap data dan dokumen yang dipublikasikan INT 2 Manusia Data dan informasi tidak sesuai dengan fakta INT 2 Penggunaan informasi yang tidak benar yang dapat berdampak pada INT 2 bisnis Kebocoran informasi internal CON, perusahaan INT 5 Terdapatanya virus dapat menyebabkan kegagalan system INT 2 atau hilangnya data Hacker dapat membuat sistem down CON 3 Informasi diubah tanpa adanya persetujuan dari pihak yang INT 2

3 L3 bertanggungjawab Manipulasi data untuk kepentingan pribadi atau kelompok INT 4 Human error pada saat meng-entry data manual kedalam sistem INT 4 Kerusakan database AVA 3 Error pada program AVA 2 Gangguan jaringan yang diakibatkan virus CON 2 Melihat informasi dari karyawan lain CON 4 Kerusakan software AVA 2 Kerusakan hardware AVA 2 Tidak adanya rekaman terhadap perubahan sistem/aplikasi software AVA 2 Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses AVA 4 Keterangan : AVA : Availability CON : Confidentiality INT : Integrity 5 : Sangat Tinggi (Very High) 4 : Tinggi (High) 2 : Rendah (Low) 3 : Sedang (Medium) 1 : Sangat Rendah (Very Low)

4 L4 Hubungan Risiko dengan Kontrol Klausul Ancaman Risiko yang mungkin Kontrol Tipe Prioritas terjadi Klausul Alam Gempa bumi AVA 2 9 Hubungan jaringan antar sistem gagal AVA 2 12 didalam perusahaan Lingkungan Tidak adanya rekaman terhadap perubahan AVA 2 10 sistem/aplikasi software Putusnya koneksi internet AVA 4 10 Kerusakan hardware AVA 2 9 Penyalahgunaan user ID CON 4 11 Informasi diakses oleh pihak yang tidak CON, INT 4 13 berwenang Mantan user atau karyawan masih memiliki akses CON 5 11 Manusia informasi Kesalahan terhadap 12 data dan dokumen yang dipublikasikan INT 2 Data dan informasi tidak sesuai dengan INT 2 12 fakta Penggunaan informasi yang tidak benar yang dapat berdampak pada INT 2 11 bisnis Kebocoran informasi CON, INT 5 11

5 L5 internal perusahaan Terdapatanya virus dapat menyebabkan kegagalan system atau INT 2 10 hilangnya data Hacker dapat membuat sistem down CON 3 10 Informasi diubah tanpa adanya persetujuan dari pihak yang INT 2 6 bertanggungjawab Manipulasi data untuk kepentingan pribadi INT 4 6 atau kelompok Human error pada saat meng-entry data INT 4 12 manual kedalam sistem Kerusakan database AVA 3 14 Error pada program AVA 2 10 Gangguan jaringan yang diakibatkan virus CON 2 10 Melihat informasi dari karyawan lain CON 4 12 Kerusakan software AVA 2 13 Kerusakan hardware AVA 2 9 Tidak adanya rekaman terhadap perubahan AVA 2 10 sistem/aplikasi software Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses AVA 4 10

6 L6 Kategori Risiko Menurut Hughes No Kategori Risiko Risiko 1. Keamanan 1, 2, 4, 7, 8, 10, 12, 15, 16, 18, Ketersediaan 5, 11, 21, Daya Pulih 14, Perfoma Daya Skala 6 6. Ketaatan 9, 19 Kategori Risiko Menurut Jordan & Silcock No. Kategori Risiko Risiko 1. Project Failing to deliver IT Service Continuity When business operations go off the air Information Assets Failing to protect and preserve Service Providers and Vendor Breaks in the IT value chain 1, 9, 11, 20, 21 2, 3, 4, 5, 7, 8, 10, 11, 15, 19 12, 16, 17, 18, Applications Flaky systems 6. Infrastructure Shaku foundations Strategic and Emergent Disabled by IT

7 L7 Nilai Probabilitas dan Dampak Risiko Aset Kritis Ancaman Dampak Probabilitas Reputasi Keuangan Produktifitas Rendah Sedang Tinggi Kebocoran data informasi H H H internal perusahaan (dapat dibaca, diubah) oleh pihak yang SDBackOffice tidak berwenang Rusaknya media penyimpanan M L M Hilangnya atau rusaknya M M L dokumen Database Server Data dibaca oleh pihak yang tidak berwenang Data diubah oleh pihak yang tidak berwenang H M M H H H Rusaknya media penyimpanan M L L Jaringan Penyadapan (Hacker-Cracker) H H H Penggunaan peralatan yang M L L tidak diperbolehkan (Contoh:

8 L8 Modem pribadi) Kegagalan peralatan informasi M M M Hardware Kerusakan peralatan M L L Polusi (Debu, karat, efek bahan L L L kimia) Kebakaran H H H Tegangan listrik yang tidak M M H stabil Pencurian H H H Software Virus M H H Kesalahan pengunaan M M M Pengkopian tanpa ijin M H L Keterangan: Rentang nilai Reputasi, Keuangan, Produktivitas : - Low : 10% - 30% - Medium : 40% - 60% - High : 70% - 100%

9 L9 Ada Maksimal Ada Tidak Maksimal Klausul : 5 Kebijakan Keamanan Kategori Keamanan Utama : 5.1 Kebijakan Keamanan Informasi Dokumen kebijakan keamanan informasi Tinjauan ulang kebijakan kemanan informasi Klausul : 6 Organisasi Keamanan Informasi Kategori Keamanan Utama : 6.1 Organisasi Internal Komitmen manajemen terhadap keamanan Tidak Ada Keterangan Perusahaan membuat kebijakan penggunaan TI, dimana aturan kebijakan tersebut disosialisasikan dan diberikan kepada para pegawai. Agar setiap pegawai dapat mengetahui apa saja yang boleh dilakukan dan tidak, sehingga keamanan tetap informasi terjamin. Perusahaan melakukan evaluasi dan memonitor secara terus menerus terhadap pelaksanaan aturan kebijakan penggunaan TI yang berjalan. Sehingga dapat menjamin setiap kebijakan yang ada sudah berjalan dengan baik Para pegawai mengetahui batasan dan melakukan tugas dan Panduan Implementasi

10 L informasi. Koordinasi keamanan Informasi. Pembagian tanggung jawab keamanan informasi. tanggung jawabnya sesuai dengan kepentingannya. Agar dalam pelaksanaannya, semua pihak internal (karyawan) paham dan berkomitmen dalam menjaga aset informasi perusahaan. Pegawai sepakat dan mendukung kebijakan dalam hal pengaksesan informasi perusahaan, yang mana hanya beberapa orang saja yang dapat mengakses berdasarkan kepentingan orang tersebut. Hal ini bertujuan agar tidak terlalu banyak orang terlibat dan melakukan banyak pengaksesan pada informasi penting perusahaan tersebut. Pada perusahaan telah dibuat struktur organisasi beserta job desk yang telah didiskusi dan disepakati bersama. Untuk memperjelas tugas dan tanggung jawab yang akan dilakukan dalam mengamankan informasi perusahaan.

11 L Proses otorisasi untuk fasilitas pengolahan informasi Perjanjian kerahasiaan Kontak dengan pihak berwenang Kontak dengan kelompok minat khusus (lembaga tertentu) Perusahaan sudah memberikan otorisasi dalam mendukung pekerjaannya (edit, update, hapus) yakni dengan menggunakan SDBackOffice, tergantung dengan pengolahan informasi dengan mengakses informasi perusahaan Semua pihak internal yang diberikan hak khusus maupun para karyawan perusahaan berkomitmen dalam menjaga informasi perusahaan. Hal ini bertujuan agar informasi perusahaan tidak disalahgunakan oleh pihak ekternal. Karena tanpa adanya dengan pihak berwenang, tidak mempengaruhi proses bisnis yang berjalan pada perusahaan. Karena tanpa adanya kontak dengan kelompok minat khusus (lembaga tertentu) tidak mempengaruhi proses bisnis yang Membangun hubungan baik dan saling mendukung dengan vendorvendor atau penyedia SMKI perlu dipelihara untuk menunjang pelaksanaan Keamanan Informasi dalam Organisasi Perlu menjamin hubungan baik dengan organisasi otoritas penegak hukum, lembaga regulasi pemerintah, penyedia layanan

12 L Pengkajian ulang secara independen terhadap keamanan informasi Kategori Kebijakan Utama : 6.2 Pihak Eksternal Identifikasi risiko terhadap hubungannya dengan pihak ketiga berjalan pada perusahaan. informasi dan operator telekomunikasi harus dijaga untuk memastikan bahwa langkah yang tepat dapat segera diambil dan diperoleh saran penyelesaian bila terjadi insiden keamanan. Perusahaan melakukan evaluasi dan audit secara berkala (1 tahun). Sehingga perushaan dapat melakukan antisipasi dalam mengamankan informasi perusahaan. Perusahaan tidak memiliki hubungan dengan pihak ketiga, semua di lakukan oleh pihak internal. Perusahaan perlu mengidentifikasi risiko untuk mengetahui risiko yang ada pada pihak ketiga terhadap jenis akses yang diberikan kepada pihak ketiga. Perusahaan memberikan UserID dan password kepada pihak ketiga Akses keamanan dalam (pelanggan). Hal ini dikarenakan hubungan dengan pihak pihak ketiga menggunakan pelanggan fasilitas perusahaan tersebut, melakukan kerjasama Melibatkan persyaratan Perusahaan memberikan otorisasi Perlu adanya peningkatan

13 L13 keamanan dalam perjanjian dengan pihak ketiga (pelajar magang, konsultan, OB) kepada pihak ke-3 untuk mengolah informasi perusahaanny sendiri dengan hak akses yang diberikan oleh perusahaan, yakni edit dan pengupdate-an. Kurang maksimal, dikarenakan tidak adanya monitoring secara langsung, sehingga informasi yang diberikan oleh pihak ketiga bisa salah atau tidak sesuai fakta. Sehingga dapat berdampak pada manfaat dari informasi yang dihasilkan oleh perusahaan tersebut. keamanan dalam kontrak pihak ketiga ke fasilitas pemrosesan informasi organisasi yang berdasarkan kontrak formal yang berisikan semua persyaratan keamanan untuk memastikan keseuaian dengan kebijakan dan standar keamanan organisasi. Halhal yang menjadi pertimbangan dalam pembuatan kontrak adalah: - Kebijakan umum keamanan informasi - Perlindungan aset - Deskripsi setiap jenis layanan yang disediakan - Tingkatan layanan yang dapat dan tidak dapat diterima - Ketentuan pemindahan staf, jika diperlukan - Kewajiban masing-masing pihak dalam perjanjian - Tanggungjawab terkait dengan aspek legal, seperti peraturan perlindungan data, khususnya dengan mempertimbangkan

14 L14 sistem hukum nasional yang berbeda jika kontrak menyangkut kerjasama dengan organisasi di Negara lain - Hak Atas Kekayaan Intelektual (HAKI) dan pengaturan hak cipta serta perlindungan terhadap setiap kerja kolaborasi - Perjanjian kontrol akses - Definisi kriteria kinerja yang dapat diverifikasi, pemantauan dan pelaporannya - Hak untuk memantau dan menarik kembali atas aktivitas pengguna - Penentuan proses penyelesaian masalah secara bertahap dan jika diperlukan pengaturan kontingensi harus dicantumkan - Tanggungjawab instalasi serta perawatan hardware dan software - Struktur pelaporan yang jelas dan format pelaporan yang disepakati

15 L15 Klausul : 7 Manajemen Aset Kategori Keamanan Utama : 7.1 Tanggung jawab terhadap asset Inventarisasi asset Perusahan menjaga dan melakukan maintenance terhadap aset-aset perusahaan. Agar perusahaan dapat menentukan tingkat perlindungan yang sepandan dengan nilai dan tingkat kepentingan aset. - Proses manajemen perubahan yang jelas dan rinci - Kontrol perlindungan fisik yang diperlukan dan mekanisme untuk menjamin pelaksanaannya - Pelatihan untuk pengguna dan administrator mengenai metode, prosedur, dan keamanan. - Kontrol untuk melindungi dari piranti lunak yang berbahaya - Pengaturan mengenai pelaporan, pemberitahuan, investigasi terjadinya insiden dan pelanggaran keamanan. - Keterlibatan pihak ketiga dengan subkontraktor

16 L Kepemilikan asset Aturan penggunaan asset Kategori Keamanan Utama : 7.2 Klasifikasi Informasi Aturan klasifikasi Perusahaan melakukan pemetaan aset yang mana dapat diakses dan tidak, tergantung posisi dan job desk yang telah dibuat. Hal ini bertujuan agar tidak ada campur tangan dari pihak internal lain yang dapat melakukan tindakan penyalahgunaan, seperti pengeditan secara illegal. Dalam menggunakan aset kritikal, perusahaan memberikan hak otorisasi yang mana terdapat peraturan dalam menggunakan aset tersebut, disesuaikan dengan kebutuhan dalam menyelesaikan tugasnya, bahwa tidak diijinkan untuk merubah informasi yang ada tanpa adanya perijinan dari divisi yang bersangkutan. Dalam mengklasifikasi informasi yang ada, perusahaan mengklasifikasi informasi mana yang dapat digunakan dan tidak, berdasarkan kebutuhan divisi

17 L Penanganan dan pelabelan informasi masing-masing. Hal ini bertujuan agar informasi tersebut dapat mendukung aktifitas pekerjaan dari karyawan. Perusahaan tentu saja memiliki informasi yang jumlahnya sangat banyak. Oleh karena itu, perusahaan mengklasifikasi dan melabelkan data dan infrormasi yang ada. Contohnya saja SDBackOffice, terdapat pemetaan informasi perusahaan, dari database hingga laporan keuangan perusahaan Klausul : 8 Keamanan Sumber Daya Manusia Kategori Keamanan Utama : 8.1 Sebelum menjadi pegawai Perusahaan melakukan penyeleksian kepada calon pegawai berdasarkan dengan Aturan dan tanggung jawab kemampuan yang dimilikinya. keamanan Calon pegawai tersebut diberikan pengetahuan tentang job desk yang akan dilakukan jika diterima bekerja pada perusahaan Seleksi Perusahaan melakukan

18 L Syarat dan kondisi kerja Kategori Keamanan Utama : 8.2 Selama menjadi pegawai Tanggung jawab manajemen penyeleksian dengan cara interview dan tes kemampuan para calon pegawai berdasarkan kebutuhan perusahaan. Hal ini tentu saja melalui persetujuan dan kesepakatan oleh kepala divisi yang berkaitan. Calon pegawai yang diterima bekerja diperusahaan melakukan kontrak dan paham akan peraturan-peraturan yang berlaku serta budaya kerja dalam perusahaan. Hal ini bertujuan agar calon pegawai tersebut dapat mencapai target yang sesuai dengan harapannya dan dapat berkontribusi pada perusahaan.. Kurangnya pelatihan tentang prosedur keamanan dan penggunaan fasilitas pemrosesan informasi yang benar. Peningkatan yang diperlukan adalah manajemen harus memastikan bahwa pegawai sadar dan peduli terhadap ancaman dan hal yang perlu diperhatikan dalam keamanan informasi, dan dipersiapkan untuk mendukung

19 L Pendidikan dan pelatihan keamanan informasi Proses kedisplinan Pegawai yang diterima oleh perusahaan tentu saja sudah membekali ilmu dibidangnya, akan tetapi ketika bekerja pada perusahaan, pegawai tidak diberikan pelatihan, dikarenakan pegawai tersebut sudah dianggap dapat bekerja berdasarkan ilmu yang dimiliki, maka dikategorikan kurang adanya pelatihan untuk menambah ilmu pegawai tersebut dalam mendukung pekerjaannya. Perusahaan menerapkan kebijakan dalam bekerja, yaitu jam operasional perusahaan mulai dari pukul , jam istirahaht (makan siang) pukul , kebijakan keamanan organisasi selama masa kerja. Dimana pegawai harus mendapat pelatihan tentang prosedur keamanan dan penggunaan fasilitas pemrosesan informasi yang benar untuk memperkecil kemungkinan risiko keamanan. Perlu adanya peningkatan dalam pelatihan dan update berkala tentang kebijakan dan prosedur organisasi. Hal ini mencakup persyaratan keamanan, tanggungjawab legal dan kontrol bisnis, sebagaimana halnya pelatihan dalam penggunaan fasilitas pemrosesan informasi yang benar.

20 L20 Kategori Keamanan Utama : 8.3 Pemberhentian atau pemindahan pegawai Pemutusan Tanggung Jawab Pengembalian asset Penghapusan hak akses absensi masuk dan pulang menggunakan Finger Print, tidak memperbolehhkan merokok dalam kantor. Jika ada pegawai yang melanggar, maka akan diberikan sanksi seuai dengan peraturan berlaku. Pegawai yang melakukan pemberhentian kerja, berarti tidak ada menjalin hubungan lagi dengan perusahaan. Aset yang diberikan selama bekerja, akan dikembalikan langsung kepada perusahaan. Karena bukan hak dari mantan pegawai tersebut. Karena pegawai tersebut sudah melakukan pemutusan atau pemberhentian kerja, maka sesuai dengan kebijakan aturan berlaku perusahaan, akan adanya penghapusan hak akses terhadap informasi dan fasilitas pengolahan informasi perusahaan secara

21 L21 Klausul : 9 Keamanan Fisik dan Lingkungan Kategori Keamanan Utama : 9.1 Wilayah aman Pembatas keamanan fisik langsung. Hal ini salah satu cara dalam mengamankan aset informasi yang dimiliki oleh perusahaan. Pengamanann fisik dalam kantor sudah ada, akan tetapi kurang maksimal, dapat dilihat dari tingkat keamanan ruang server, yang mana hanya menggunakan kunci pintu biasa, dan dikunci setelah jam operasional perusahaan sudah selesai. Harus dipenuhi suatu perlindungan keamanan fisik seperti dinding, kartu akses masuk atau penjaga pintu. Perlindungan fisik dapat dicapai dengan membuat berbagai rintangan fisik disekitar tempat bisnis dan fasilitas pemrosesan informasi. Panduan dan mekanisme kontrol yang diperhatikan: - Batas perimeter keamanan harus ditetapkan dengan jelas - Batas perimeter bangunan atau tempat fasilitas pemrosesan informasi harus aman secara fisik - Wilayah penerima tamu atau alat kontrol akses fisik ke tempat kerja atau bangunan

22 L Kontrol masuk fisik Keamanan kantor, ruang, dan fasilitas Perlindungan terhadap ancaman eksternal dan lingkungan sekitar Kontrol masuk yang harus diperhatikan adalah ruang server perusahaan yang mana dalam pengamannya hanya menggunakan kunci pintu biasa. Sehingga pihak internal yakni pegawai dari berbagai divisi manapun dapat masuk ke ruang server tersebut. Kantor dilengkapi CCTV, Finger Print, alat pendeteksi asap, alat pemadam kebakaran, Sejauh ini, kantor tidak pernah kebobolan seperti pencurian maupun pengerusakan yang diakibatkan oleh pihak ekternal. Dan dampak yang ditimbulkan harus tersedia. Akses menuju tempat kerja atau bangunan harus dibatasi hanya untuk personil dengan otorisasi Semua pintu darurat dalam batas perimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. Kontrol yang masuk harus memadai untuk memastikan hanya personil dengan otoritas diperbolehkan masuk. Bagi peralatan sistem informasi harus direncanakan, ditempatkan atau dilindungi untuk mengurangi risiko serangan dari luar dan ancaman kerusakan dari

23 L23 dari lingkungan sekitar, tidak berakibat fatal bagi perusahaan itu sendiri. lingkungan sekitar serta kemungkinan terhadap akses tanpa otorisasi. Implementasi berikut harus diperhatikan : - Peralatan harus ditempatkan utnuk menimimalisir akses yang tidak penting ke tempat kerja. - Fasilitas pemrosesan informasi dan penyimpanan data sensitive harus ditempatkan dengan tepat agar dapat mengurangi risiko kelalaian selama penggunaan. - Hal yang perlu perlindungan khusus harus dievaluai guna mengurangi tingkat perlindungan umum yang diperlukan, - Kontrol harus diadopsi untuk meminimalisir risiko potensi ancaman termasuk : pencurian,kebakaran,ledakan,a sap, dan lain-lain - Organisasi harus

24 L Bekerja di daerah aman Akses publik, pengiriman, dan penurunan barang Terdapat Finger Print yang terletak didepan kantor, sehingga orang yang tidak berkepentingan tidak dapat masuk kedalam kantor. Untuk mengontrol akses yang berkaitan dengan informasi perusahaan, sehingga dapat menghindari akses yang tidak sah. mempertimbangkan kebijakan tentang makan, minum dan merokok disekitar fasilitas pemrosesan informasi. - Keadaan lingkungan harus dimonitor untuk kondisi yang dapat mempengaruhi operasi fasilitas pemrosesan informasi. - Penggunaan metode perlindungan khusus Dampak bencana yang terjadi diwilayah berdekatan seperti kebakaran di satu gedung tetangga, kebocoran air dari atap dan lainlain.

25 L25 Kategori Keamanan Utama : 9.2 Keamanan peralatan Letak peralatan dan pengamanannya Utilitas pendukung Keamanan pengkabelan Pemeliharaan peralatan Kurangnya penanganan dalam penempatan peralatan fisik, misalnya letak ruang server berada didekat pantry, yang mana bisa saja pegawai dapat masuk, didukung pula dengan pintu server yang tidak terkunci. Dalam menghindari kejadian yang tidak diinginkan, seperti mati lampu, maka perusahaan menggunakan UPS sebagai alat bantu dalam memberikan waktu atau jeda untuk menyimpan dan mematikan peralatan hardware dengan benar. Kabel yang digunakan, dilakukan pemantauan secara berkala, untuk menghindari konslet listrik. Perusahaan melakukan maintenance terhadap peralatan pendukung proses bisnisnya dengan mengganti atau melakukan update terhadap pendukung tambahan tersebut. Semua peralatan ditempatkan dan dilindungi untuk mengurangi risiko kerusakan dan ancaman dari lingkungan sekitar, serta kemungkinan diakses tanpa hak (memasang fingerprint / alat biometric)

26 L Keamanan peralatan diluar tempat yang tidak disyaratkan Keamanan pembuangan atau pemanfaatan kembali peralatan Hak pemanfaatan Perusahaan tidak memiliki tempat keamanan peralatan diluar kantor perusahaan, karena tidak berdampak bagi perusahaan Untuk menghindari pemanfaatan data penting perusahaan oleh pihak yang tidak bertanggung jawab, karena pihak tersebut bisa saja memanipulasi kembali data untuk menjatuhkan reputasi perusahaan. Dalam perusahaan, pemanfaatan peralatan baik hardware, software, maupun property lainnya diberikan batasan, yakni tidak diperbolehkan meng-copy (menggunakan) tanpa persetujuan terlebih dahulu. Klausul : 10 Manajemen komunikasi dan operasi Kategori Keamanan Utama : 10.1 Tanggung jawab dan prosedur operasional Pendokumentasian prosedur Semua kegiatan tindakan yang 1 operasi dilakukan oleh para pegawai Sebaiknya perusahaan menempatkan peralatan diluar tempat yang mana peralatan tersebut harus dilindungi dan dimonitor keamanannya, untuk menghindari risiko yang tidak diinginkan oleh organisasi.

27 L Pertukaran manajemen Pemisahan tugas diatur dalam kebijakan operasional Kurang adanya sosialisasi detil perubahan kepada semua pihak yang berkepentingan, serta kurang adanya prosedur persetujuan formal untuk perubahan yang direncanakan. Pemetaan tugas yang sudah ditetapkan beserta job desk masing-masing divisi masih belum maksimal, dikarenakan adanya double job yang mana Manajemen formal tanggung jawab dan prosedur harus diberlakukan untuk menjamin kontrol yg baik atas semua perubahan pada peralatan, piranti lunak dan prosedur.kontrol yang harus diperhatikan : - Identifikasi dan pencatatan perubahan penting. - Penilaian potensi dampak dari perubahan tersebut. - Sosialisasi detil perubahan kepada semua pihak yang berkepentingan Prosedur identifikasi tanggung jawab untuk penghentian dan pemulihan karena kegagalan perubahan. Untuk mengurangi kemungkinan risiko insiden atau penyalahgunaan sistem dengan sengaja harus mempertimbangkan kontrol sbb :

28 L Pemisahan pengembangan, pengujian, dan operasional informasi terdapat penduplikasi tugas. - Penting untuk memisahkan kegiatan yang membutuhkan persengkokolan dalam rangka mencegah pelanggaran. - Jika ada kemungkinan bahaya persekongkolan maka harus dibuat mekanisme kontrol yang melibatkan 2 orang atau lebih untuk memperkecil kemungkinan terjadi konspirasi. Sudah adanya pemisahan pengembangan dan fasilitas operational penting, tetapi kurang adanya evaluasi uji coba yang rutin. Perlu adanya pengembangan dalam mekanisme kontrol, seperti: - Piranti lunak pengembangan dan operasional, sedapat mungkin, dijalankan pada prosesor komputer yang berbeda, atau dalam domain atau direktori yang berbeda - Kegiatan pengembangan dan pengujian harus sejauh mungkin dipisahkan - Complier, editor, dan system utilities lain harus tidak bisa diakses dari system operasi

29 L29 apabila tidak dibutuhkan - Prosedur log-on yang berbeda harus digunakan untuk sistem operasi dan pengujian, untuk mengurangi risiko kesalahan. Pengguna harus menggunakan Password yang berbeda, dan menu menunjukkan identitas pesan yang sesuai. Staf pengembangan hanya memiliki akses ke Password operasional dimana ada kontrol untuk menerbitkan Password guna mendukung sistem operasi. Kontrol harus menjamin bahwa Password dirubah setelah digunakan. Kategori Keamanan Utama : 10.2 Manajemen pengiriman oleh pihak ketiga Layanan pengiriman Layanan kepada pihak ketiga dengan mengirim konfirmasi pertama dengan kemudian untuk konfirmasi selanjutnya dilakukan dengan via telepon untuk mempertanyakan kebutuhan pelanggan selanjutnya, dan jika

30 L Pemantauan dan pengkajian ulang layanan pihak ketiga Manajemen perubahan layanan jasa pihak ketiga sudah selesai, pelanggan diberikan link yang sudah di- LIVE-kan oleh perusahaan. Website sebelum diberikan kepada pihak klien (pelanggan) akan dilakukan pengkajian ulang agar tidak terjadi kesalahan dalam pengimplementasiannya. Ketika website klien (pelanggan) sudah selesai, maka website tersebut sudah merupakan tanggung jawab dari klien, kurang maksimal dikarenakan tidak ada campur tangan dari pihak perusahaan lagi terhadap klien, karena jika website sudah DEAL, maka disimpulkan website tersebut sudah terpenuhi dan bukan tanggungjawab pihak perusahaan lagi. Hal-hal yang perlu diperhatikan, yaitu; - Mengidentifikasi apikasi sensitive dan penting lebih baik tetap berada di tempat kerja - Mendapatkan persetujuan dari pemilik aplikasi, - Implikasi untuk rencana kelangsungan bisnis, - Perlu ditetapkan standar keamanan dan proses untuk mengukur kesesuaian, - Alokasi tanggung jawab spesifik dan prosedur pemantauan secara efektif untuk semua kegiatan

31 L31 Kontrol Keamanan Utama : 10.3 Perencanaan sistem dan penerimaan Manajemen kapasitas Penerimaan sistem Dalam mengembangkan sistem yang baru, terlebih dahulu disesuaikan dengan kapasitas atau kemampuan dari perusahaan itu sendiri. Hal ini bertujuan agar anggaran dan waktu tidak terbuang sia-sia. Jika sesuai dan memenuhi kebutuhan perusahaan, maka system tersebut akan dikomunikasikan kepada seluruh pihak internal perusahaan dan didokumentasikan untuk kepentingan evaluasi selanjutnya. Kategori Keamanan Utama : 10.4 Perlindungan terhadap malicious (kode berbahaya) dan mobile code Kontrol terhadap kode berbahaya Setiap penggunaan peranti lunak adanya peringatan terhadap kode yang dianggap asing, hanya orang yang memiliki kepentingan dan pelatihan yang hanya dapat pengamanan yang relevan. - Tanggung jawab dan prosedur untuk melaporkan dan menangani insiden keamanan.

32 L Kontrol terhadap mobile code menggunakan peranti lunak yang sensitive. Tidak menggunakan mobile code. Kontrol yang harus dipenuhi bahwa, dimana penggunaan mobile code diperbolehkan maka penggunaan mobile code yang telah memperbboleh hak akses mengoperasikan sesuai dengan kebijakan Keamanan Informasi yang telah didefinisikan dalam organisasi. Kategori Keamanan Utama : 10.5 Back-up Back-up informasi Kategori Keamanan Utama : 10.6 Manajemen keamanan jaringan Kontrol jaringan Perusahaan melakukan back-up informasi daily, weekly, dan monthly, tergantung prioritasnya. Hal ini bertujuan untuk menghindari kejadian yang tidak diinginkan, karena tidak dapat diprediksi dan diperkirakan kapan terjadinya. Setiap pengguna jaringan internal perusahaan diberikan masingmasing 1 (satu) IP Address yang merupakan ID bagi para pengguna

33 L Keamanan layanan Kategori Keamanan Utama : 10.7 Penanganan media Manajemen pemindahan media Pemusnahan atau pembuangan media jaringan untuk mengakses resource dari perusahaan dan tidak diperbolehkan untuk merubah, mengganti IP yang telah diberikan oleh Tim TI. Perusahaan memastikan bahwa jaringan internal perusahaan tersebut aman dalam melakukan pertukaran informasi dan mendukung transaksi kegiatan perusahaan. Media yang dapat dipindahkan sudah memiliki prosedur pengelolaan, dan sudah disimpan di tempat yang terlindung dan aman. Perusahaan masih tidak berani membuang semua media penyimpanan yang sudah tidak dipakai lagi. Fitur-fitur keamanan, level layanan diseluruh jaringan harus diidentifikasikan dengan jelas dan dipelihara termasuk perjanjian layanan jariingan yang disediakan oleh pihak ketiga. Mekanisme yang perlu diperhatikan, yaitu; - Media yang berisi informasi sensitif harus disimpan dan dibuang dengan aman dan tidak membahayakan, seperti penghancuran dan pemotongan, atau

34 L Prosedur penanganan informasi Adanya dokumen prosedur penanganan informasi yang sudah pengosongan data untuk penggunaan aplikasi lain dalam organisasi - Daftar berikut mengidentifikasi komponen yang mungkin membutuhkan pembuangan secara aman; a. Dokumen cetak, b. Suara atau bentuk rekaman lain, c. Laporan keluar, d. Media penyimpanan, e. Listing program, f. Dokumentasi sistem. - Lebih mudah untuk mengatur pengumpulan seluruh komponen media dan dibuang dengan aman, dibandingkan dengan melakukan pemisahan komponen sensitif. Pembuangan komponen sensitif harus dicatat, untuk mejaga bukti pemeriksaaan (audit trail).

35 L Keamanan dokumentasi sistem Kategori Keamanan Utama 10.8 Pertukaran informasi Kebijakan dan prosedur pertukaran Informasi Perjanjian pertukaran Transportasi media fisik konsisten. Dokumentasi sistem sudah berisi kumpulan informasi sensitive, seperti deskripsi proses aplikasi, prosedur, struktur data, prosedur otorisasi. Setiap karyawan diberikan masing-masing akun dengan nama domain yang telah ditentukan oleh perusahaan, yang digunakan untuk keperluan komunikasi antarkaryawan didalam lingkungan kantor perusahaan. Dan tidak diperkenankan menggunakan akun tersebut untuk kepentingan pribadi. Setiap adanya pertukaran informasi dengan pihak ketiga selalu dibuat dalam bentuk formal. Penggunaan transportasi atau jasa pengiriminan yang sudah dipercaya. Kebijakan dan prosedur pertukaran informasi harus dibuat secara formal untuk melindungi pertukaran informasi melalui penggunaan seluruh fasilitas informasi yang ada diorganisasi.

36 L Pesan elektronik Sistem informasi bisnis Kategori Keamanan Utama 10.9 Layanan E-commerce E-Commerce 1 Setiap karyawan diberikan masing-masing akun dengan nama domain yang telah ditentukan oleh perusahaan, yang digunakan untuk keperluan komunikasi antarkaryawan didalam lingkungan kantor perusahaan. Akun tersebut dapat digunakan untuk keperluan dengan klien. Kurang dimaksimalkan, dikarenakan masih adanya pencampuran informasi yang diakibatkan adanya double job. Sehingga diperlukan pemetaan yang jelas. Layanan e-commerce yang menggunakan jaringan publik Beberapa hal yang perlu diperhatikan; - Perlu adanya aturan atau klasifikasi informasi apa saja yang boleh diakses oleh pihak ketiga, Jika sistem informasi bisnis telah menggunakan suatu aplikasi maka perlu dibangun sistem keamanannya yang menyangkut cara pengaksesan dan penggunaan fasilitas pemrosesan informasi.

37 L Transaksi On-Line Informasi untuk publik kepada pelanggan (dengan membangun hubungan yang baik dengan pelanggan) dilindungi guna menghindari penyalahgunaan atau pengaksesan secara illegal. Transaksi yang dilakukan oleh perusahaan baik rekaman dokumen-dokumen maupun transaksi yang berhubungan dengan perusahaan dan pelanggan atau klien dimonitor untuk menghindari penghapusan, pengaksesan, dan penduplikasian informasi secara illegal. Perusahaan melakukan pemetaan informasi yang dapat dilihat dan tidak dapat dilihat oleh public. Kategori Keamanan Utama Monitoring Rekaman audit Perusahaan melakukan.1 pengauditan yang dilakukan setahun sekali secara keseluruhan yang mana orang yang terlibat sebanyak 5 orang termasuk tim dari Singapore. Dan hasil audit

38 L Monitoring penggunaan sistem Perlindungan catatan informasi Catatan addministrator dan operator Catatan kesalahan terseebut menjadi tolok ukur dalam mengamankan aset yang dimiliki oleh perusahaan dan didokumentasi. Monitoring aktivitas pemanfaatan pemrosesan informasi belum di kaji ulang secara regular. Fasilitas pencatatan dan catatan informasi sudah dilindungi terhadap sabotase dan akses illegal. Aktivitas administrator sistem dan operator sistem dicatat dan dipelihara. Kesalahan-kesalahan yang terjadi di dalam sistem dicatat, dianalisa dan dilakukan tindakan yang tepat. Perlu adanya peningkatan prosedur pemanfaatan fasilitas pemrosesan informasi harus dibuat dan hasil dari monitoring aktivitas pemanfaatan pemrosesan informasi harus dikaji ulang secara regular. Perlu adanya peningkatan dan monitoring dari fasilitas pendokumentasian dan catatan informasi sudah dilindungi terhadap sabotasi dan akses illegal. Perlu adanya peningkatan dan monitoring aktivitas pencatatan administrator sistem dan dimaintenance secara berkala.

39 L Sinkronisasi waktu Waktu seluruh pemrosesan Sistem Informasi di sinkronisasikan dengan waktu yang tepat dan telah disetujui. Perusahaan perlu adanya waktu untuk seluruh pemrosesan Sistem Informasi didalam organisasi atau domain Keamanan Informasi harus di sinkronisasikan dengan waktu yang tepat yang telah disetujui. Klausul 11 Kontrol akses Kategori Keamanan Utama 11.1 Persyaratan kontrol akses Kebijakan kontrol akses Kategori Keamanan Utama 11.2 Manajemen akses user Registrasi pengguna Perusahaan menerapkan kebijakan akses, yakni dengan membuat UserID dan password, untuk mengambil resource yang mereka perlukan untuk mendukung pekerjaan mereka. Setiap karyawan memiliki user ID yang unik, agar pengguna dapat terhubung dan bertanggung jawab agar dapat dimonitoring penggunaan akses terhadap informasi perusahaan oleh ID tersebut. Tetapi tidak adanya pernyataan secara tertulis tentang hak akses mereka. Harus ada prosedur pendaftaran dan pengakhiran secara formal terhadap pengguna untuk memberikan akses menuju sistem informasi dan layanan seluruh kelompok pengguna, dikontrol melalui proses pendaftaran pengguna secara formal yang harus meliputi :

40 L40 - Penggunaan ID pengguna yang unik, agar pengguna dapat terhubung dan bertanggung jawab atas tindakannya. - Memeriksa apakah pengguna yang mempunyai otorisasi dari pemilik sistem, menggunakan untuk akses sistem informasi. - Memeriksa apakah tingkatan akses yang diberikan sesuai dengan tujuan bisnis dan konsisten dengan kebijakan organisasi tentang sistem keamanan. - Memberikan pengguna pernyataan tertulis tentang hak akses mereka. - Harus menandatangani peryataan yang menandakan bahwa mereka memehami tentang kondisi dari aksesnya. - Penyedia layanan tidak menyediakan akses hingga prosedur otorisasi dilengkapi

41 L Manajemen hak istimewa dan khusus Manajemen password user Perusahaan membagi tugas dan tanggungjawab berdasarkan kepentingan atau posisi yang diduduki begitupun halnya dengan hak istimewa atau khususnya. Hal ini bertujuan agar tidak terjadi kejadian yang tidak diinginkan. Setiap karyawan memiliki satu atau lebih password dan berkewajiban menjaga kerahasian dari password tertentu dan tidak dibenarkan untuk membaginya - Memelihara catatan resmi seluruh individu yang terdaftar untuk menggunakan layanan. - Mengakhiri hak akses pengguna yang telah pindah dari pekerjaannya - Memeriksa secara periodic dan mengakhiri pengulangan pengguna id & catatan pengguna Menjamin ID pengguna yang sama tidak dikeluarkan kepada pengguna lain. Pengguna harus disarankan untuk; - Menghentikan sesi aktif ketika selesai, kecuali dapat diamankan dengan mekanisme pengunci yang tepat, misalnya screen

42 L Tinjauan hak akses pengguna kepada siapapun kecuali dalam kondisi tertentu yang akan didefinisikan kemudian. Password harus mengikuti aturan seperti terdiri dari setidaknya 8 karakter, mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna. Perusahaan melakukan pengajian ulang dalam rentang waktu secara berkala (kurang lebih 3 bulan) untuk memastikan bahwa tidak ada hak khusus diminta tanpa ijin. Kategori Keamanan Utama 11.3 Tanggung jawab user Setiap karyawan diwajibkan membuat password mengikuti aturan seperti terdiri dari Gunakan password setidaknya 8 karakter, 1 mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna Peralatan pengguna tanpa Tidak adanya perlindungan yang saver yang dilindungi dengan Password - Log-off dari mekanisme ketika sesi berakhir (contoh tidak sekedar mematikan komputer atau terminal) Mengamankan PC atau terminal dari akses tanpa ijin dengan menggunakan key lock atau alat kontrol sejenis, seperti akses Password, ketika tidak dipakai.

43 L43 2 penjagaan spesifik seperti password pada screen saver, log-off dari mainframe ketika sesi berakhir. Tidak adanya clear desk dan clear screen pada saat logged-on, sehingga pada saat aplikasi dikeluarkan dan masuk kembali masih dalam logged-on Kebijakan clear desk dan clear screen Organisasi perlu merencanakan atau mengadopsi kebijakan clear desk untuk cetakan atau dokumen dan media penyimpanan yang dapat dipindah, dan kebijakan clear screen untuk fasilitas pemrosesan informasi untuk mengurangi risiko akses tanpa ijin, kehilangan, dan kerusakan informasi selama dan diluar jam kerja. - Dimana mungkin, cetakan dan media komputer harus disimpan dalam rak yang terkunci baik dan/atau bentuk perangkat keamanan kantor lain pada saat tidak digunakan, khususnya diluar jam kerja. - Informasi bisnis yang sensitive dan penting harus disimpan terkunci (idealnya di almari besi atau rak tahan api) jika

44 L44 Kategori Keamanan Utama 11.4 Kontrol akses jaringan Kebijakan penggunaan layanan jaringan Otentikasi pengguna untuk koneksi eksternal Perusahaan hanya memberikan akses sesuai dengan job desk karyawan dan prosedur otorisasi untuk menentukan siapa yang diperolehkan mangakses jaringan mana dan layanan jaringan apa. Setiap karyawan akan diberikan masing-masing 1 IP Address yang merupakan ID bagi para pengguna jaringan untuk mengakses resource. Karyawan tidak diperkenankan untuk merubah, menganti IP yang telah diberikan dan atau menggunakan IP selain yang telah diberikan oleh tim TI. tidak dipergunakan, khususnya pada saat kantor kosong. Komputer pribadi dan terminal komputer dan printer tidak boleh ditinggal logged-on tanpa penjagaan dan harus dilindungi dengan kunci, Password, dan alat kontro lain, ketika tidak dipergunakan.

45 L Identifikasi peralatan jaringan Perlindungan remote diagnostic dan konfigurasi port Pemisahan dalam jaringan Adanya security gateway yaitu firewall yang mengontrol komunikasi dalam perusahaan. Terminal diagnostic sudah maksimal sehingga hanya akses yang mendapat ijin yang dapat menggunakannya, yang mana diliindungi dengan sistem keamanan yang tepat dan prosedur yang memastikan bahwa pengaksesan hanya dapat dilakukan melalui pengaturan antara pengelola perbaikan komputer dan perangkat keras dan lunak. Pemisahan dilakukan dengan memasang pengaman gateway antara dua jaringan yang akan terhubung yang mengontrol akses dan aliran informasi antara dua domain dan digunakan untuk menghadang akses tanpa ijin sesuai dengan kebijakan control akses informasi, yaitu firewall Kontrol jaringan koneksi Akun yang diberikan oleh

46 L46 6 perusahaan, yaitu hingga access network dibatasi dan dikontrol sesuai dengan aturan yang berlaku Kontrol jaringan routing Kategori Keamanan Utama A.11.5 Kontrol akses sistem operasi Prosedur Log-On yang aman Identifikasi dan otentikasi pengguna Sistem manajemen password Jaringan routing dalam perusahaan tetap dikontrol dan didokumentasikan oleh tim TI secara berkala. Terdapat pembatas jumlah kegagalan percobaan log-on, menampilkan informasi seperti tanggal dan waktu log-on berakhir, rincian seluruh kegagalan log-on sejak log-on terkahir berhasil. Menampilkan peringatan umum bahwa komputer hanya boleh di akses oleh pengguna yang diijinkan. Seluruh pengguna (karyawan, staf pendukung) mempunyai ID untuk dapat dilacak penggunaannya. Setiap karyawan diwajibkan membuat password mengikuti aturan seperti terdiri dari

47 L Penggunaan sistem utilitas Sesi time-out Batasan waktu koneksi Kategori Keamanan Utama 11.6 Kontrol akses informasi dan aplikasi Pembatasan akses informasi setidaknya 8 karakter, mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna. Pada saat ingin log-on tidak menampilkan password di layar ketika dimasukkan. Dapat dilihat pada adanya pembatasan pengunaan sistem fasilitas dan pemisahan sistem fasilitas software berdasarkan prosedur ontetikasi. Pada webpages, sesi time out kurang dimaksimalkan dilihat dari tidak adanya batas waktu pemakaian. Waktu koneksi hanya dibatasi pada jam kerja normal, untuk mengurangi peluang akses tanpa ijin. User ID dibuat sesuai dengan posisi pekerjaan, sehingga user ID tersebut hanya dapat mengakses informasi dari bagiannya.

48 L Pengisolasian sistem yang sensitive Sistem yang bersifat sensitif hanya dapat dijalankan pada komputer khusus, dan hanya orang yang memiliki akses yang dapat menjalankan sistem tersebut. Kategori Keamanan Utama 11.7 Komputasi bergerak dan bekerja dari lain tempat (teleworking) Komputasi bergerak dan terkomputerisasi yang bergerak Teleworking Klausul : 12 Akuisisi sistem informasi, pembangunan dan pemeliharaan Kategori Keamanan Utama 12.1 Persyaratan keamanan sistem informasi Analisis dan spesifikasi dan persyaratan keamanan Tersedianya back-up yang memadai untuk perlindungan dari pencurian atau hilangnya informasi. Adanya pelatihan yang diberikan untuk staf yang menggunakan komputasi bergerak guna meningkatkan kesadaran dalam mengantisipai risiko. Tidak adanya penggunaan teleworking di SD, karena semua perkerjaan tidak diperbolehkan dikerjakan diluar kantor. Belum adanya framework untuk menganalisis kebutuhan keamanan. Penghitungan risiko dan manajemen risiko harusnya Disesuaikan dengan kebutuhan tetapi harus tetap dikontrol. Membuat framework untuk menganalis kebutuhn kemanan dan mengidentifikasi kontrol untuk memenuhi kebutuhan

49 L49 Kategori Keamanan Utama 12.2 Pemrosesan yang benar dalam aplikasi Validasi data input Pengendalian proses internal Integritas pesan diimplementasikan secara maksimal. Pemeriksaan terhadap masukan ganda atau masukan kesalahan dapat di deteksi, dan adanya prosedur untuk merespon kesalahan validasi dan menguji kebenaran input data. Penyaringan terhadap data yang dimasukkan untuk mendeteksi adanya kerusakan data. Aplikasi yang digunakan belum memaksimalkan melihat pesan tersebut sudah di ubah atau belum. adalah perhitungan risiko dan manajemen risiko. Integritas pesan harus diperhatikan bagi aplikasi yang membutuhkan adanya keamanan demi menjaga keutuhan dari isi pesan, seperti pengiriman data elektronik, spesifikasi, kontrak, proposal dan lainnya atau jenis pertukaran data elektronik penting lainnya. Teknik kriptografi dapat dipergunakan sebagai alat yang tepat untuk menerapkan prosesw otentikasi pesan Validasi data output Kurang adanya pengecekan Validasi data output dapat

50 L50 4 kevalid suatu data yang di dapat. meliputi ; - Pengujian kebenaran untuk memeriksa apakah data output tersebut masuk akal atau tidak, - Rekonsiliasi jumlah perhitungan Kontro untuk memastikan seluruh data yang telah diproses, - Penyediaan informasi yang cukup bagi para pengguna informasi atau pemroses data berikutnya untuk menentukan tingkat akurasi, kelengkapan, ketepatan, dan klasifikasi informasi, - Prosedur untuk merespon pengujian validasi data output, Menetapkan tanggung jawab seuruh personil yang terlibat dalam proses data output. Kategori Keamanan Utama 12.3 Kontrol Kriptografi Penggunaan kriptografi sudah Kebijakan dalam penggunaan dipakai, sehingga hanya pihak SD 1 kontrol kriptografi yang dapat membaca Manajemen kunci Walaupun sudah menggunakan Sistem manajemen harus tersedia

51 L51 2 kriptografi, tapi manajemen kunci belum digunakan secara maksimal sehingga masih berkemungkinan terjadinya ancaman terhadap kerahasiaan, ontentikasi keutuhan informasi. untuk mendukung organisasi dalam penggunaan dua jenis teknik kriptografi, yaitu; - Teknik kunci rahasia, ketika dua atau lebih pihak berbagi kunci yang sama dan kunci iini digunakan untk mengenkripsi dan men-deskripsi informasi. - Teknik kunci publik, dimana setiap pengguna mempunyai sepasang kunci, sebuah kunci publik (yang dapat diperluhatkan ke semua orang) dan sebuah kunci pribadi (yang harus dirahasiakan). Sistem manajemen kunci harus dibangun melalui penyusunan standar, prosedur dan metode aman yang disepakati bersama untuk; - Menghasilkan kunci untuk beragam sistem kriptografi dan aplikasi, - Menghasikan dan

52 L52 Kategori Keamanan Utama 12.4 Keamanan File Sistem Kontrol operasional software Perlindungan data pengujian sistem Tersedianya prosedur untuk proses instalasi piranti lunak pada sistem operasi, sehingga tidak sembarangan dapat meng-instal suatu program. Prosedur akses diterapkan terhadap sistem aplikasi operasional, harus diterapkan mendapatkan sertifikat kunci publik, - Mendistribusikan kunci pada pengguna, termaduk bagaimana kunci harus diaktifkan ketika diterima, - Menyimpan kunci, termasuk bagaimana pihak berwenang mendapatkan akses terhadap kunci, - Kesepakatan mengenai kunci yang disalahgunakan, - Mengarsip kunci, misalkan untuk perarsipan atau pembuatan back up informasi, Memusnahkan kunci.

53 L53 terhadap aplikasi operasional dan harus diterapkan pula pada sistem aplikasi yang di uji Kontrol akses ke source 3 program Kategori Keamanan Utama 12.5 Keamanan dalam pembangunan dan proses-proses pendukung tidak adanya evaluasi kejadian secara berkala, sehingga tidak adanya prosedur mengupdate kontrol Prosedur perubahan kontrol Manajemen harus memastikan bahwa prosedur keamanan dan kontrol tidak dilanggar, dan pemrogram pendukung hanya diberi akses pada bagian sistem yang diperlukan untuk pekerjaannya, serta adanya perjanjian dan persetujuan formal untuk setiap perubahan diminta. Proses ini mencakup: - Memelihara catatan tingkat otorisasi yang disetujui - Memastikan perubahan yang diajukan oleh pengguna yang berhak - Mengkaji ulang prosedur kontrol dan integritas untuk memastikan bahwa mereka tidak menjadi rawan karena

54 L54 perubahan - Mengidentifikasi semua piranti lunak komputer, informasi, database organisasi dan piranti keras yang membutuhkan penyesuaian - Mendapat persetujuan formal untuk proposal yang lengkap sebelum pekerjaan dimulai - Memastikan bahwa pengguna dengan otorisasi meneriman perubahan sebelum implementasi - Memastikan bahwa implementasi dilakukan untuk meminimalisir gangguan bisnis - Memastikan bahwa sistem dokumentasi telah diperbaharui saat selesainya setiap perubahan, serta pengarsipan, dan pembuangan dokumentasi lama - Memelihara satu versi kontrol untuk semua pemutakhiran piranti lunak - Memelihara bukti pemeriksaan

55 L Tinjauan teknis aplikasi setelah dilakukan perubahan sistem operasi Sistem operasi diubah secara berkala, seperti memasang piranti lunak versi baru, tetapi sistem aplikasinya tidak dikaji ulang dan diuji secara berkala. (audit trail) dari semua permintaan perubahan - Memastikan bahwa dokumentasi operasional dan prosedur pengguna dirubah sesuai kebutuhan - Memastikan bahwa implementasi perubahan berlangsung pada waktu yang tepat dan tidak mengganggu proses bisnis terkait. Prosedur ini harus mencakup : - Pengkajian ulang dari kontrol apikasi dan prosedur keutuhan untuk memastikan bahwa tidak ada kebocoran oleh perubahan sistem operasi, - Memastikan bahwa rencana dukungan dan anggaran tahunan akan mencakup kaji ulang dan uji sistem sebagai akibat dari perubahan sistem operasi, - Memastikan bahwa modifikasi perubahan sistem operasi

56 L Pembatasan perubahan paket software Software tidak boleh diubah secara bebas, tetapi harus mendapat ijin dari manajemen yang bertanggung jawab Kelemahan informasi Kemungkinan-kemungkinan dilakukan tepat waktu untuk memungkinkan kaji ulang dilakukan sebelum implementasi, - Memastikan bahwa perubahan yang sesuai telah dibuat terhadap rencana kelangsungan bisnis. Hal yang harus dipertimbangkan, yaitu: - Risiko built-in kontrol dan proses keutuhan menjadi rawan atau lemah, - Apakah persetujuan vendor harus diminta, - Kemungkinan memperoleh perubahan yang diperlukan dari vendor nsebagai program updates standar, - Dampak jika organisasi menjadi bertanggung jawab untuk pemeliharaan piranti lunak sebagai bagian dari perubahan.

57 L57 4 kelemahan informasi dicegah, untuk mengurangi terjadinya risiko bisnis Pembangunan software yang di-outsource-kan Setiap piranti lunak yang dikerjakan oleh pihak ketiga harus diatur dalam lisensi, kepemilikan kode dan hak kekayaan intelektual. Kategori Keamanan Utama 12.6 Manajemen teknik kelemahan (Vulnerability) Kelemahan sistem informasi yang dimiliki tidak selalu dievaluasi dan diukur kelayakannya Kontrol terhadap kelemahan secata teknis (Vulnerability) Klausul 13 Manajemen Kejadian Keamanan Informasi Kategori Keamanan Utama 13.1 Pelaporan kejadian dan kelemahan Keamanan Informasi Pelaporan kejadian keamanan informasi Karena biasanya dilaporkan langsung kepada Manajer TI Dari waktu kewaktu informasi tentang kelemahan sistem informasi yang dimiliki oleh organisasi harus selalu dapat ditemukan, dievaluasi dan diukur kelayakannya berhunbungan dengan risiko yang dapat terjadi kepada organisasi. Sabaiknya seluruh karyawan, kontraktor dan pengguna pihak ketiga dari sistem informasi dan layanan seharusnya disyaratkan untuk mencatat dan melaporkan