MANAJEMEN RISIKO SISTEM INFORMASI

Transkripsi

1 BAB 4 MANAJEMEN RISIKO SISTEM INFORMASI 4.1 Latar Belakang Pembahasan Untuk mengumpulkan data-data yang berhubungan dengan manajemen risiko sistem informasi.wawancara dilakukan langsung kepada Manajer IT dan karyawan pada bagian sistem development PT Mandala Multifinance Tbk. Pendekatan yang dibahas pada Bab 2 sebelumnyamenggunakan pendekatan OCTAVE-S yang terdiri dari 3 tahap, yaitu: 1. Membangun aset berbasis profile ancaman (Built asset-based Threat Profiles) yang terdiri dari 2 proses, 6 aktifitas dan 16 langkah dimana proses pertamanya yaitu mengidentifikasi informasi organisasi (identify organizational information) yang memiliki 3 aktifitas yaitu membangun dari kriteria evaluasi (Establish Impact Evaluation Criteria), mengidentifikasi asset organisasi (Identify Organizational Assets), dan mengevaluasi praktek keamanan organisasi (Evaluate Organizational Security Practices) serta 4 langkah dan proses ke-duanya, membuat profil ancaman (Create threat profiles) yang memiliki 3 aktifitas yaitu memilih aset kritis (Select Critical Assets), identifikasi kebutuhan keamanan untuk aset kritis (Identify Security Requirements for Critical Assets) dan identifikasi ancaman pada aset kritis (Identify Threats to Critical Assets) serta 12 langkah. 2. Mengidentifikasi kerentanan infrastruktur (Identify Infrastructure Vulnerabilities) yang terdiri dari 1 proses, 2 aktifitas dan 5 langkah,

2 prosesnya yaitu memeriksa perhitungan infrastruktur yang berhubungan dengan aset kritis (Examine Computing Infrastructure in Relation to Critical Assets) dan memiliki 2 aktifitas yaitu memeriksa jalur akses (Examine Access Paths) dan menganalisa proses yang terkait dengan teknologi (Analyze Technology-Related Processes) serta 5 langkah. 3. Mengembangkan strategi keamanan dan perencanaan (Develop Security Strategy and Plans) yang terdiri dari 2 proses, 8 aktifitas dan 9 langkah dimana proses pertamanya yaitu identifikasi dan analisis risiko (Identify and Analyze Risks) yang terdiri dari 3 aktifitas yaitu mengevaluasi dampak ancaman (Evaluate Impacts of Threats), membangun kemungkinan kriteria evaluasi (Establish Probability Evaluation Criteria) dan mengevaluasi kemungkinan ancaman (Evaluate Probabilities of Threats) serta 3 langkah dan proses ke-duanya yaitu mengembangkan strategi perlindungan dan rencana mitigasi (Develop Protection Strategy and Mitigation Plans dan memiliki 5 aktifitas yaitu menggambar kan strategi perlindungan saat ini (Describe Current Protection Strategy), Memilih pendekatan mitigasi (Select Mitigation Approaches), mengembang-kan rencana mitigasi risiko (Develop Risk Mitigation Plans), identifikasi perubahan untuk strategi perlindungan (Identify Changes to Protection Strategy) dan Identifikasi langkah selanjutnya (Identify Next Steps) serta 6 langkah. Dengan metode OCTAVE-S yang terdiri dari 3 fase, 5 proses, 16 aktifitas dan 30 langkah tersebut diharapkantujuan penelitian terjawab, dan membantu dalam penilaian

3 dan pengukuran risiko penggunaan teknologi informasi, serta mendukung tercapai nya visi danmisi perusahaan. 4.2 Fase 1 Membangun aset berbasis profil ancam Proses 1 Identifikasi Informasi Perusahaan Kriteria Evaluasi Dampak(Langkah 1) PT Mandala Multifinance Tbk saat ini mempunyai kategori reputasi yang baik, terbukti pada tahun 2011 pendapatan usaha meningkat 37% dibandingkan dengan pendapatan usaha pada tahun 2010, Pertumbuhan ekonomi Indonesia di tahun 2011semakin membaik dengan didukung oleh beberapaindikator ekonomi yang menunjukkan peningkatansignifikan. Secara keseluruhan kondisi makroekonomi berada dalam keadaan yang positifdan stabil di sepanjang tahun.hal ini membawadampak baik terhadap pertumbuhan Perusahaanyang secara keseluruhan menunjukkan peningkatancukup baik dengan pencapaian laba bersihmeningkat 36%.Meski begitu Perusahaan tetapmemperhatikan faktor risiko global dan domestic dalam menjalankan strategi usahanya Aset Sistem Development(Langkah 2) PT Mandala Multifinance Tbk mempunyai aset aset yang penting dalam sistem development berupa spesifikasi program, source code program, dan Standard Operating Procedure(SOP) development. Spesifikasi program berisi

4 tentang rancanganprogram yang akan dibuat dalam proses pengembangan sistem dalam perusahaan dengan cara memahami dan menyeleksi keadaan dan proses yang dilakukan pengguna untuk dapat mendukung kebutuhan pengguna. Sumber data awal dari pengguna yang dijadikan acuan dalam perencanaan, analisa, perancangan dan implementasi.penggunaan acuan ini dimaksudkan agar sistem yang dibangun bisa menjembatani kebutuhan pengguna dari permasalahan yang dihadapinya.source code berisi tentangkumpulan kode bahasa pemrograman tertentu yang membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh komputer dan untuk menjalankan source code tersebut membutuhkan sebuah penterjemah dalam hal ini adalah software tertentu.sop atau Standard Operating Procedure berisikan tentang sistem atau prosedur yang disusun untuk memudahkan,merapihkan dan menertibkan pekerjaan. Sistem ini berisi urutan prosesmelakukan pekerjaan dari awal sampai akhir. Perusahaan membuat SOP agar para karyawan dapat memahami dan melakukan tugasnya sesuai standar yang digariskan perusahaan Evaluasi Praktek Keamanan Organisasi(Langkah 3-4) 1. Kesadaran Keamanan dan Pelatihan Kesadaran keamanan dan pelatihan di PT.Mandala Multifinance Tbk tergolong kurang baik. Karyawan tidak mempunyai kesadaran keamanan

5 yang baik untuk dilakukan saat praktek langsung, serta pelatihan hanya diberikan pada saat penerimaan karyawan baru. 2. Strategi Keamanan Perusahaan memiliki strategi keamanan dan kebijakan dengan mempertimbangkan tujuan perusahaan dan keamanan informasi dalam menjalani proses bisnis. Strategi dan tujuan keamanan perusahaan telah mengalami pengkajian secara rutin dan didokumentasikan dengan baik oleh perusahaan. 3. Manajemen Keamanan PT.Mandala Multifinance Tbk telah menjelaskan peran keamanan bagi karyawan-karyawannya, agar setiap karyawan mengerti dan memahami apa arti peran dan tanggung jawab yang akan diberikan kepada tiap-tiap individu. Dalam pengelolaannya, PT.Mandala MultiFinance Tbk telah melakukan alokasi dana yang cukup besar untuk praktik keamanan di perusahaan, sehingga tingkat keamanan pada perusahaan bisa terbilang cukup aman. 4. Peraturan dan Kebijakan Keamanan PT Mandala Multifinance Tbk sudah memperhatikan keamanan informasi terhadap peraturan dan kebijakan keamanan. Peraturan dan kebijakan keamanan yang sudah ada sudah terdokumentasi dengan baik.

6 5. Manajemen Keamanan dan Kolaborasi PT.Mandala Multifinance Tbk sangat menjaga hubungan baik dengan perusahaan lain karena perusahaan lain atau relasi merupakan aset perusahaan yang sangat berharga untuk menjaganya, perusahaan membuat berbagai kebijakan-kebijakan dan prosedur-prosedur untuk bekerja sama dengan perusahaan lain. 6. Rencana contigency Pada tahap contigency PT Mandala Multifinance Tbk sudah melakukan perencanaan bila terjadi bencana alam dan pemulihan dari bencana alam. Serta rencana kontinuitas bisnis perusahaan sudah terkontrol dengan baik dengan banyaknya cabang yang ada diseluruh indonesia perusahaan sudah mempertimbangkan dengan baik kebutuhan akses serta elektronik. Kesadaran dan pemahaman karyawan akan kemungkinan rencana pemulihan bencana cukup baik dikarenakan karyawan sudah diberikan pelatihan pada saat dini atau pada saat mereka sebelum menjadi karyawan PT Mandala Multifinance Tbk, yang membuat mereka sadar akan tanggung jawab mereka dalam menghadapi kemungkinan pemulihan bencana. 7. Kontrol Akses Fisik PT Mandala Multifinance Tbksudah mempunyai prosedur dan kebijakan dalam menjaga akses fisik.mengendalikan akses fisik serta menjaga informasi yang sensitif agar tidak dapat diakses oleh pihak yang tidak

7 berwenang.adanya pembatasan terhadap pengguna yang dapat mengakses ruang server (terbatas hanya oleh orang-orang yang berkepentingan langsung). 8. Pemantauan dan audit keamanan fisik Pemantauan dan audit untuk keamanan fisik pada PT Mandala Multifinance Tbk sudah cukup baik dilakukan. Pemantauan dan audit yang dilakukan untuk keamanan fisik sudah baik dilakukan. Dalam pengotrolan akses fisik, karyawan ikut berpartisipasi dalam mengontrol akses fisik.perusahaan memiliki catatan pemeliharaan guna dokumentasi perbaikan dan modifikasi dari komponen fisik fasilitas.tindakan individu yang terkait dikendalikan secara fisik dan dapat dipertanggungjawabkan.setiap orang yang hendak mendekati ruang server dipantau dan diawasi apakah ada akses yang tidak sah didalamnya.pemantau keamanan fisik sudah dapat diverifikasi oleh perusahaan.

8 9. Manajemen dan Sistem Jaringan Perusahaan sudah memiliki rencana keamanan untuk menjaga sistem dan jaringan yang ada dalam perusahaan.backup atas informasi yang sensitif disimpan dengan baik. Pihak TI melakukan revisi software dan patch terhadap sistem informasi sesuai rekomendasi dari bagian keamanan. Karyawan cukup baik dalam mengikuti prosedur dan kebijakan-kebijakan yang diterapkan dalam perusahaan. 10. Pemantauan dan Audit Keamanan TI Pada PT Mandala Multifinance Tbk sudah terdapat kebijakan keamanan dari perusahaan, Pemantauan keamanan TI dilakukan secara rutin oleh manager TI. 11. Pengesahan dan Otorisasi Karyawan perusahaan memahami tanggung jawabnya dalam hal control akses. Ada kebijakan dari perusahaan yang membatasi akses pengguna ke informasi, sistem sensitif, aplikasi dan layanan tertentu.terdapat juga kebijakan dan prosedur terdokumentasi untuk mendirikan dan mengakhiri hak akses atas informasi. 12. Manajemen Kerentanan Pengelolaan kerentanan cukup baik dilakukan ini ditunjukkan dengan adanya evaluasi untuk menjaga kerentanan dari semua ancaman yang terjadi secara up to date.

9 13. Enkripsi PT Mandala Multifinance sendiri melakukan enskripsi yang digunakan untuk melindungi informasi sensitif selama dalam penyimpanan.praktek ini hanya dilakukan oleh bagian internal perusahaan tanpa melibatkan bagian eksternal. 14. Perancangan dan arsitektur keamanan Desain dan arsitektur keamanan perusahaan masih terus direvisi dengan mempertimbangkan keamanan strategi, kebijakan, prosedur, dan hasil penilaian risiko agar perkembangan perusahaan dapat berjalan dengan lebih baik.perusahaan tidak memiliki diagram up-to-date yang menunjukkan keamanan arsitektur dari perusahaan. 15. Manajemen Insiden Perusahaan memiliki prosedur resmi untuk mengidentifikasi, melaporkan, dan menanggapi dugaan pelanggaran dan insiden.seluruh prosedur sudah didokumentasikan dengan baik dan dilakukan pengevaluasian secara berkala oleh divisi-divisi terkait.

10 Fase 1, Proses 2: Membuat Profil Ancaman 4.3 Profil Ancaman Aset Kritis(Langkah 5-9) Penilaian utama dalam aset-aset perusahaan adalah dampak yang diberikan aset dalam perusahaan.berdasarkan wawancara yang dilakukan kepada manager IT yang dilakukan di kantor pusat PT Mandala Multifinance Tbk. Dalam PT Mandala Multifinance Tbk yang menjadi aset kritis yaitu : 1. Source Code Program Berisi tentang kumpulan kode bahasa pemrograman tertentu yang membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh komputer dan untuk menjalankan source code tersebut membutuhkan sebuah penterjemah dalam hal ini adalah software tertentu. 2. SOP Development Berisikan tentang sistem atau prosedur yang disusun untuk memudahkan, merapihkan dan menertibkan pekerjaan. Sistem ini berisi urutan proses melakukan pekerjaan dari awal sampai akhir. Perusahaan membuat SOP agar para karyawan dapat memahami dan melakukan tugasnya sesuai standar yang digariskan perusahaan Kebutuhan Keamanan untuk Aset Kritikal

11 (Langkah 10-11) Berdasarkan hasil wawancara dengan manager IT,Kebutuhan keamanan untuk keseluruhan aset perusahaanyaitu kerahasian informasi, integritas data, ketersediaan informasi, dan pengevaluasian secara menyeluruh. Bagi PT.Mandala Multifinance kebutuhan keamanan yang paling penting adalah ketersediaan informasi, karena tanpa ketersediaan informasi yang baik, maka proses bisnis perusahaan tidak dapat berjalan dengan baik Ancaman Terhadap Aset Kritis(Langkah 12-16) Terjadinya ancaman terhadap aset kritis dalam perusahaan tidak dapat diabaikan begitu saja. Kemungkinan ancaman yang dapat terjadi terhadap aset kritis bisa terjadi melalui 2 faktor yaitu faktor internal dan eksternal.bagian internal biasanya berasal dari karyawan sendiri yang menyalahgunakan kewenangan yang diberikan oleh perusahaan.bila bagian eksternal ada orang yang sengaja mau menghancurkan atau memodifikasi aset kritis yang ada pada perusahaan.tujuan mereka melakukan tindakan tersebut biasanya dilakukan untuk mengganggu kinerja dari perusahaan sendiri.

12 Ancaman yang dapat terjadi pada akses jaringan perusahaan biasanya terjadi kesalahan penginputan data ke dalam sistem atau human error dan virus.ancaman untuk virus tidak terlalu bermasalah dalam perusahaan karena perusahaan mengupdate secara rutin anti virus yang dipunya serta perusahaan menggunakan operating sistem linux agar tidak mudahnya virus masuk ke dalam jaringan. Untuk ancaman berupa bencana alam sendiri perusahaan tidak dapat menghindari dari ancaman tersebut, ancaman tersebut menimbulkan kerugian finansial bagi perusahaan karena perusahaan harus menggantinya apabila terjadi kehilangan atau kerusakan Fase 2,Proses 3:Memeriksa perhitungan infrastruktur yang berhubungan dengan aset kritis 4.4 Infrastruktur yang berhubungan dengan Aset Kritis Jalur Aset(Langkah 17-18) Jalur aset berkaitan langsung dengan sistem dengan database. Database sendiri perusahaan menggunakan Oracle.dan menggunkan operating sistem linux Keterkaitan Tekhnologi(Langkah 19-21) Komponen penting yang terkait dengan sistem penting perusahaan terdiri dari server, laptop, internal server, on-site workstation, dan storage device.yang bertanggung jawab untuk menjaga dan mengkonfigurasi

13 server, laptop, internal server, on-site workstation, dan storage device adalah divisi IT PT. Mandala Multifinance Tbk. Fase 3,Proses 4: Identifikasi dan Analisis Resiko 4.5 Hasil Indentifikasi dan Analisa Risiko Hasil Evaluasi dan dampak ancaman(langkah 22) 1.Dampak ancaman pada aset kritikal(sop) melalui akses jaringan Oleh pihak dalam perusahaan yang tidak di sengaja. A. Dampak ancaman Reputasi bernilai Medium untuk semua hasil ancaman karena reputasi perusahaan cukup baik, serta sedikit nya pengurangan pelanggan arena kehilangan percayaan. Perusahaan memiliki reputasi yang baik. B. Dampak terhadap Finance bernilai Medium untuk semua hasil ancaman. Secara keuangan dinilai medium dikarenakan biaya Operasional yang digunakan perusahaan tidak meningkat melebihi 15% dari setiap tahun nya,serta perusahaan kehilangan pendapatan pertahun tidak lebih dari 20 % C. Dampak terhadap Produktifitas bernilai Low untuk penyingkapan dan bernilai medium modifikasi, penghancuran dan interupsi. Jam kerja karyawan meningkat hanya lebih kecil dari 10%-20% waktu produktivitas dikarenakan harus bekerja sesuai dengan yang ditetapkan.

14 D. Dampak terhadap Denda bernilai Low untuk penyingkapan dan interupsi,dan bernilai Medium untuk modifikasi dan penghancuran. Dampak terhadap denda dinilai kurang dari Rp ,- dan penuntutan perkara serius kurang dari Rp ,- digolongkan kategori low. E. Dampak terhadap Kesehatan bernilai Low untuk semua hasil ancaman. Tidak adanya ancaman kehilangan yang signifikan pada kehidupan, kesehatan pelanggan atau karyawan organisasi dapat ditanggulangi dengan baik Kriteria Kemungkinan Frekuensi terjadinya ancaman pada perusahaan ini masih tergolong sedang karena ancaman yang terjadi masih dibawah empat kali dalam setahun.sejauh ini ancaman yang terjadi pada perusahaan masih dapat diatasi karena perusahaan melalukan evaluasi secara berkala Peluang dari Ancaman (Langkah 24) A. Peluang terjadinya ancaman yang secara tidak di sengaja disebabkan oleh pihak dalam perusahaan melalui akses jaringan. Untuk ancaman terjadinya penyingkapan berpeluang sedang dengan tingkat keyakinan sedang terhadap perkiraan kemungkinan yang ada. Peluang terjadinya modifikasi bernilai rendah dengan tingkat keyakinan kecil, peluang terjadinya penghancuran dan interupsi samasama bernilai rendah dengan tingkat keyakinan kecil.

15 B. Peluang terjadinya ancaman melalui akses jaringan dalam internal perusahaan secara sengaja. Ancaman terjadinya penyingkapan dan modifikasi berpeluang sedang dengan tingkat keyakinan kecil, sedangkan untuk ancaman penghancuran dan interupsi berpeluang sedang dengan tingkat keyakinan kecil. C. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara tidak sengaja. Peluang terjadinya penyingkapan, modifikasi, penghancuran dan interupsi bernilai rendah dengan tingkat keyakinan rendah untuk semua ancaman. D. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara sengaja. Terjadinya ancaman penyingkapan, modifikasi, penghancuran, dan interupsi berpeluang kecil dengan keyakinan kecil untuk semua ancaman. Proses 5 Mengembangkan Strategi Perlindungan dan Rencana Mitigasi 4.6 Strategi Perlindungan dan Rencana Mitigasi Strategi Perlindungan(Langkah 25)

16 Berdasarkan kertas kerja profil risiko yang terdapat pada lampiran terdapat beberapa area memiliki stoplightstatus merah. Pada PT Mandala Multifinance Tbk memiliki praktik keamanan yang berstatus merah, yaitu: 1. Kesadaran keamanan dan pelatihan Saat ini perusahaan sudah mempunyai strategi pelatihan yang diberikan secara tidak formal dan tidak didokumentasikan. Pelatihan kesadaran keamanan hanya diberikan untuk anggota karyawan baru sebagai bagian dari orientasi mereka dan selanjutnya karyawan belajar tentang masalah keamanan dengan sendirinya. Disamping itu, perusahaan tidak memiliki mekanisme untuk menyediakan anggota karyawan dengan pembaruan berkala tentang masalah keamanan Pendekatan Mitigasi(Langkah26-27) Berdasarkan kertas kerja profil risiko yang terdapat pada hasil wawancara.diketahui bahwa stoplight pada area kesadaran dan keamanan pelatihan berwarna merah. Perusahaan memutuskan area ini berwarna merah Rencana Mitigasi Risiko(Langkah 28)

17 Berdasarkan pengisian lampiran diketahui area yang perlu dimitigasi oleh perusahaan. Rencana mitigasi risiko yang harus dibuat untuk setiap praktek keamanan : 1. Menyediakan pelatihan kesadaran keamanan pada seluruh karyawan perusahaan. Dimaksudkan agar dapat membantu perusahaan dalam meminimalkan risiko yang akan terjadi. Agar lebih efektif diperlukan pelatihan kesadaran keamanan secara berkala agar penerapaan keamanan akan lebih berfungsi secara baik. 2. Menyediakan pelatihan pendukung TI secara periodik pada karyawan TI karena perangkat TI selalu berkembang dan perlu adanya pelatihan dalam karyawan TI agar penerapan dalam organisasi lebih baik Perubahan Strategi Perlindungan(Langkah 29) Bagian ini menjelaskan mengenai aktivitas mitigasi yang direkomendasikan tim analisis untuk setiap bidang praktik keamanan yang telah dibahas yaitu: Kesadaran Keamanan dan Pelatihan Perubahan strategi perlindungan yang ingin dilakukan perusahaan dalam area ini adalah: A. Melakukan sistem pembaruan keamanan secara periodik agar keamanan data perusahaan dapat terus diawasi dengan baik.

18 B. Memberikan kesempatan bagi karyawan teknologi informasi untuk mengikuti pelatihan yang terkait keamanan yang didukung teknologi secara periodik sehingga karyawan lebih handal dalam menjalankan keamanan yang disesuaikan dengan kemajuan teknologi Identifikasi Langkah Selanjutnya(Langkah 30) Dalam pengimplementasi hasil dari evaluasi dan sikap keamanan, ada beberapa hal yang menjadi pertimbangan perusahaan, antara lain: 1. Manajemen harus mengutamakan keamanan informasi dalam strategi bisnis perusahaan dalam mendukung pelaksanaan hasil dari OCTAVE-S. 2. Menerapkan kegiatan keamanan informasi dengan baik pada karyawan perusahaan. 3. Merencanakan proses mitigiasi yang matang 4. Jika kegiatan mitigasi yang ada sekarang belum diterapkan secara menyeluruh, maka perusahaan tidak akan melakukan evaluasi penambahan aset-aset penting. caman Pengendalian Manajemen Resiko Resiko Perencana Implement Evaluasi Besaran Tidak an asi Resiko Lanjut tir Pengendalian jangka Direncakan Akan Dievaluasi Menggang Mematikan pendek : mematikan setiap dilaksanaka setiap 3 u 25% dari sebagian alat

19 beberapa komputer atau terjadinya n disetiap bulan sekali kegiatan yang alat eletronik yang tidak petir yang bagian secara perusahaan mungkin berguna. sering kali divisi berkala. tergangu menyambar perusahaan akibat dari, setiap. petir. karyawan dapat mematikan alat eletronik yang tidak Pengendalian jangka dipakai. panjang : Memasang alat anti petir di atas bangunaan perusahaan. Alat anti petir ini akan dievaluasi Alat anti setiap 6 Alat anti petir akan bulan sekali petir dipantau secara direncakan secara terus berkala oleh akan di menerus petugas pasang oleh pengelola sejumlah 4 petugas gedung buah, pengelola perusahaan. diletakan gedung. disetiap sisi bangunaan perusahaan.

20 njir - pelatihan penyelamatan Dilakukan Dilaksanak Akan Akan Bekerja sama diri dari bencana Banjir. diperusaha an setiap 1 dievaluasi menggang dengan pihak an dan di tahun secara 1 u aktivitas ketiga seperti ikuti oleh sekali tahun sekali perusahaan pemadam semua staff secara secara sebanyak kebakaran perusahaan berkala. berkala. 40%. ataupun -Membangun tangga pihak yang darurat. berwajib atau Akan Tangga kepolisian. dibangun darurat disetiap Setiap bangunaan lantai lantai akan di bangunan perusahaan evaluasi perusahaan dibangun setiap 6. tangga bulan sekali darurat secara - Menempelkan denah untuk berkala. bangunan perusahaan dan penyelamat tata cara penyelamatan an diri saat Akan di diri. gempa evaluasi terjadi. setiap 3 bulan sekali Direncanak secara an akan ditempel bekala ditempel disetiap disetiap lantai dan lantai dan ruangan ruangan perusahaan perusahaa. bakaran - Menyediakan alat Akan Setiap Akan Akan Bekerja sama

21 pemadan kebakaran diberikan lantai dievaluasi menggang dengan pihak alat perusahaan setiap 6 u aktivitas ketiga seperti pemadam diberikan bulan sekali perusahaan pemadam kebakaran alat secara sebanyak kebakaran di setiap pemadam berkala. 70%. ataupun lantai kebakaran pihak yang perusahaan berwajib atau kepolisian. Tabel Ancaman Resiko Tabel 4.1

22 Seberapa Efektif Perusahaan mengimplementasikanpelatihan di area ini? Red Yellow Green 1. Kesadaran Keamanan dan Pelatihan X 2. Strategi Keamanan X 3. Manajemen keamanan X 4. Kebijakan Keamanan dan Peraturan X 5. Manajemen Keamanan Kolaboratif X 6. Perencanaan Contingency X 7. Pengendalian Akses Fisik X 8. Pemantauan dan Audit Keamanan Fisik X 9. Sistemdan Manajemen Jaringan X 10.Pemantauan dan Audit Keamanan TI 11.Pengesahan dan Otorisasi 12.Manajemen Kerentanan 13.Enkripsi 14.Desain dan Arsitektur Keamanan X X X X X 15.Manajemen Insiden X Tabel Manajemen Resiko Tabel 4.2