BAB IV HASIL DAN PEMBAHASAN

Transkripsi

1 BAB IV HASIL DAN PEMBAHASAN Bab ini akan menguraikan dari pembahasan pada bab III dari tahap perencanaan, persiapan, pelaksanaan dan tahap pelaporan audit sistem informasi yang ada. Dapat dilihat pada Gambar 4.1. Studi Literatur A. Studi ISO Dokumen ISO/IEC edisi pertama Buku Manajemen Keamanan Sitem Informasi (R. Sarno Iffano) B. Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT.Telekomunikasi Indonesia, Tbk. Nomor : KD. 57/HK-290/ITS-30/2006. Planning Perencanaan Audit 1.Identifikasi informasi organisasi perusahaan 2.Pemahaman proses bisnis 3.Penentuan ruang lingkup, objek audit & tujuan audit 4.Penentuan klausul, objektif kontrol dan kontrol 5.Membuat dan menyampaikan Engagement Letter Fieldwork and Documentation Persiapan Audit 1.Melakukan penyusunan Audit Working Plan (AWP) 2.Penyampaian kebutuhan data 3.Membuat pernyataan 4.Melakukan pembobotan pernyataan 5.Membuat pertanyaan Fieldwork and Documentation, Issues Discovery and Validation, Solution Development Pelaksanaan Audit 1.Melakukan wawancara pada pihak terkait 2.Melakukan pemeriksaan data 3.Penyusunan daftar temuan audit dan rekomendasi 4. Konfirmasi temuan dan rekomendasi audit Hasil Perencanaan Audit 1.Profil perusahaan, visi misi PT.Telkom DIVRE V Jatim, profil Desktop Management, Struktur Organisasi Desktop Management, deskripsi pekerjaan di Desktop Management 2. Alur proses bisnis desktop management 3.Ruang lingkup, objek audit & tujuan audit 4.Hasil pemilihan klausul,objektif kontrol dan kontrol 5.Engagement Letter Hasil Persiapan Audit 1.Audit Working Plan untuk merencanakan dan memantau pelaksanaan audit 2.Kebutuhan data yang diperlukan auditor 3.Pernyataan yang dibuat oleh auditor 4.Tingkat pembobotan masingmasing pernyataan 5.Daftar pertanyaan dari pernyataan yang dibuat oleh auditor Hasil Pelaksanaan Audit 1.Dokumen wawancara 2.Dokumen pemeriksaan 3.Daftar temuan & rekomendasi Report Drafting and Issuance, Issue Tracking Pelaporan Audit 1.Permintaan tanggapan atas daftar temuan audit 2.Penyusunan draft laporan audit 3.Persetujuan draft laporan audit 4.Pelaporan hasil audit Hasil Pelaporan Audit 1.Hasil Permintaan Tanggapan Atas Temuan Audit 2.Penyusunan dan persetujuan Draft laporan Audit 3.Pertemuan penutup, notulen pertemuan penutup audit Keterangan : Referensi dari Davis Tahap Pengembangan Langkah Audit Gambar 4.1 Tahapan-Tahapan dalam Audit Keamanan Sistem Informasi 53

2 Hasil Perencanaan Audit Keamanan Sistem Informasi Hasil dari tahapan perencanaan ini berupa: 1.) Hasil identifikasi informasi organisasi perusahaan, 2.) Hasil pemahaman proses bisnis yang telah dilihat, 3.) Hasil penentuan ruang lingkup objek audit & tujuan audit, 4.) Hasil penentuan klausul, objektif kontrol, 5.) Hasil perjanjian audit berupa surat perjanjian audit atau Engagement Letter Hasil Identifikasi Informasi Organisasi Perusahaan Pada perencanaan audit, identifikasi informasi organisasi perusahaan merupakan hal yang pertama yang harus dilakukan oleh seorang auditor untuk mengetahui seluk beluk perusahaan sebelum dilakukan audit dengan cara memahami dokumen perusahaan, yaitu profil perusahaan, visi dan misi PT Telkom DIVRE V Jatim, profil Desktop Management PT Telkom DIVRE V Jatim, struktur organisasi fungsional Desktop Management PT Telkom DIVRE V Jatim, Job description pegawai Desktop Management PT Telkom DIVRE V Jatim. 1. Profil PT Telkom DIVRE V Jatim Telkom merupakan BUMN yang bergerak di bidang jasa layanan telekomunikasi dan jaringan di wilayah Indonesia dan karenanya tunduk pada hukum dan peraturan yang berlaku di Indonesia. Dengan statusnya sebagai Perusahaan milik negara yang sahamnya diperdagangkan di bursa saham, pemegang saham mayoritas Perusahaan adalah Pemerintah Republik Indonesia sedangkan sisanya dikuasai oleh publik. Saham Perusahaan diperdagangkan di BEI, NYSE, LSE dan Public Offering Without Listing ( POWL ) di Jepang.

3 55 2. Visi, Misi dan Tujuan PT Telkom DIVRE V Jatim Visi : Menjadi perusahaan yang unggul dalam penyelenggaraan Telecommunication, Information, Media, Edutainment dan Services ( TIMES ) di kawasan regional. Misi : a. Menyediakan layanan TIMES yang berkualitas tinggi dengan harga yang kompetitif. b. Menjadi model pengelolaan korporasi terbaik di Indonesia. Visi dan Misi ditetapkan berdasarkan keputusan Komisaris PT Telekomunikasi Indonesia, Tbk No.09/KEP/DK/2012 pada tanggal 30 Mei Profil Desktop Management Pada PT Telkom DIVRE V Jatim Desktop Management merupakan bagian dari ISSSM (Information System Service Support Management), sedangkan ISSSM merupakan unit dari Divisi ISC(Information System Center). Desktop management merupakan bagian yang mendukung fasilitas kerja pegawai Telkom dan kebutuhan di bidang desktop untuk wilayah seluruh Indonesia. Beberapa kebutuhan desktop tersebut diantaranya adalah PC, laptop, layar proyektor, printer, dan lain lain. Pada bagian desktop management ini belum pernah dilakukan audit sebelumnya dan berdasarkan rekomendasi pihak perusahaan untuk dilakukan audit pada bagian desktop management. Maka bagian desktop management perlu diaudit dan diperkuat oleh dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-

4 56 290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi untuk menjamin keberlangsungan keamanan sistem informasi. 4. Struktur Organisasi Fungsional di Desktop Management Manager Desktop Management Bpk Rizsa Sutadi NIK OFF1 Desktop Operation & Lisensi Bpk Uyud Warsono NIK OFF1 Adm. & Monitoring Bpk Setiyo Budi Eko N. NIK OFF1 Multimedia Operation Bpk.Suchris Junaedy NIK OFF2 Adm. & Monitoring Bpk.Agus Widodo NIK Gambar 4.2 Struktur Organisasi Desktop Management di PT Telkom DIVRE V Jatim Gambar 4.2 adalah gambaran struktur organisasi fungsional Desktop Management di PT Telkom DIVRE V Jatim. Desktop Management memiliki struktur organisasi fungsional yang didalamnya terdapat individu-individu yang ahli pada bidangnya masing-masing. Pada Desktop Management terdapat 5 bagian yang masing-masing bagiannya memiliki Job Description. 5. Deskripsi Pekerjaan di Desktop Management Desktop Management mempunyai struktur organisasi fungsionalitas dimana pada stuktur didalamnya terdapat keahlian pekerjaan apa saja yang dimiliki

5 57 oleh setiap bagiannya. Pada Tabel 4.1 menjelaskan job description Desktop Management di PT Telkom DIVRE V Jatim. Tabel 4.1 Job Description Desktop Management PT Telkom DIVRE V Jatim No. Nama & Jabatan Deskripsi Tugas 1 MGR DESKTOP MANAGEMENT RIZSA SUTADI / Memastikan pengelolaan DESKTOP MANAGEMENT diselenggarakan secara efektif, efisien, dan inovatif sekaligus mengarahkan, mengkoordinasikan dan menyelaraskan aktivitas-aktivitas unit kerja (bagian) dengan strategi dan pedoman operasional yang dikembangkan Senior Manager untuk mendukung pencapaian indikatorindikator dipersyaratkan bagi fungsi SUB UNIT IS SERVICE SUPPORT MANAGEMENT OFF 1 DESKTOP OPERATION & LISENSI UYUD WARSONO / OFF 1 ADMINISTRASI & MONITORING SETIYOBUDI EKO NUGROHO / OFF 2 ADMINISTRASI & MONITORING Agus Widodo / Memastikan pelaksanaan pengurusan lisensi software dan problem solving desktop dalam rangka membangun image desktop yang comply dan mendukung pencapaian indikatorindikator yang dipersyaratkan bagi pengelolaan Desktop (Desktop Management) Memastikan pelaksanaan pengadministrasian dan monitoring Seat Management dalam rangka memenuhi dan mencatat kebutuhan sarana kerja desktop secara akurat dan mendukung pencapaian indikatorindikator yang dipersyaratkan bagi pengelolaan Desktop (Desktop Management) Memastikan pelaksanaan pengadministrasian dan monitoring Seat Management dalam rangka memenuhi dan mencatat kebutuhan sarana kerja desktop secara akurat dan mendukung pencapaian indikatorindikator yang dipersyaratkan bagi pengelolaan Desktop (Desktop Management)

6 58 Tabel 4.1 Job Description Desktop Management PT Telkom DIVRE V Jatim (Lanjutan) No. Nama & Jabatan Deskripsi Tugas 5 OFF 1 MULTIMEDIA OPERATION Suchris Junaedy / Memastikan pelaksanaan operasi, pemeliharaan, dan problem handling Aplikasi Non Shared Service ( Non SS), Desktop Dismantling, layanan Vicon dalam rangka mencapai service avaibility secara optimal untuk memberikan service /layanan kepada para user (pengguna) dan mendukung pencapaian indikator-indikator yang dipersyaratkan bagi pengelolaan Desktop Hasil Pemahaman Proses Bisnis Setelah mengidentifikasi informasi organisasi perusahaan maka langkah selanjutnya adalah memahami proses bisnis pada Desktop Management. Proses bisnis pada Desktop Management yaitu memenuhi permintaan kebutuhan desktop yang diajukan oleh karyawan Telkom melalui nota dinas dari atasan (surat permintaan secara dinas) tentang kebutuhan fasilitas kerja (fasker) & proses ini dilakukan perorangan. Berdasarkan info kebutuhan desktop, bahwa fasker atau kebutuhan desktop yang diminta tidak dapat disediakan sesuai keinginan pegawai yang meminta atau seenaknya, karena telah diatur dalam aturan kepemilikan fasker. KR (Keputusan Direktur) 10 merupakan dokumen kebijakan yang mengatur tentang kepemilikan fasilitas kerja pegawai yang di dalamnya tercantum aturan aturan khusus untuk fasilitas kerja yang diperoleh pegawai. Ketika permintaan sudah masuk di SLA (Service Level Agreement) Management, proses selanjutnya yaitu menganalisa kebutuhan desktop berdasarkan KR 10. Proses ini menggunakan metode sewa aset dari vendor, karena sudah tidak ada lagi yang membeli aset. Setelah dianalisa berdasarkan KR

7 59 10 maka terdapat komitmen pemenuhan desktop dan update software dari pihak SSM (Service Support Management) ke SLA Management dan kepada pengguna. Apabila sudah terdapat komitmen pemenuhan desktop maka perangkat desktop akan dikirim ke lokasi pengiriman sesuai permintaan dan akan dilakukan proses instalasi serta service desktop oleh vendor. Proses terakhir setelah dilakukan pengiriman desktop yaitu update data inventory dan evaluasi pemenuhan desktop oleh SLA Management kepada pengguna. Dalam proses bisnis ini dibantu oleh aplikasi yang mengontrol pergerakan fasker pegawai yaitu aplikasi Computer & Network Equipment Management System (CNEMAS). Pada aplikasi CNEMAS ini tingkatan password hanya terdapat pada login awal saja, jadi apabila terdapat salah satu karyawan yang saling menitipkan password maka akan beresiko merusak data inventory di CNEMAS. Apabila data inventory di CNEMAS rusak, maka dapat menimbulkan hambatan dalam alur proses bisnis Desktop Management yaitu terutama pada proses perencanaan & pemenuhan kebutuhan Desktop. Karena dalam proses perencanaan dan pemenuhan kebutuhan desktop, terdapat data penting berupa daftar kebutuhan desktop yang setelah itu dianalisis dan dievaluasi berdasarkan inventory, KR, anggaran, kontrak SM dan waktu pemenuhan, dimana pemrosesan data tersebut harus dilakukan berdasarkan jobdesk masing-masing karyawan. Berikut adalah alur proses bisnis pada Desktop Management yang dapat dilihat dalam Gambar 4.3.

8 60 Service Level Agreement SLA Operation Level Agreement OLA Underpining Contract UC USER SLA MNG SSM, Sso (IS Center) Vendor/Mitra Permintaan Desktop - Sesuai KR 10/ Skala prioritas - Sesuai juklak fasker - Sesuai SLA/JPS KPI SLA Desktop : - Service delivery time desktop Respon Permintaan Desktop - Analisis Permintaan H/W dan S/W sesuai SSC(Standart Software Catalog) akhir - Mengajukan kebutuhan - Koordinasi Delivery dan Update Data Inventory - Evaluasi Data Inventory OLA : - End user data readliness - Respon penyelesaian Pemenuhan Desktop - Analisis pemenuhan H/W dan S/W - Mengajukan anggaran - Rencana instalasi & Delivery - Monitor, Update Data Inventory & koordinasi Mitra OLA : - Delivery completion - User acceptence completion Vendor/Mitra - Pemenuhan rencana - Rencana deployment - Delivery & Instalation - Update data inventory UC (Underpining Contract) : - Fulfillment completion - User acceptence completion 1 Permintaan Desktop 4 Komitmen pemenuhan desktop & update software 2 Info Kebutuhan Desktop 3 Analisis Kebutuhan Desktop 5 6 Delivery, instalasi dan service desktop Update data inventory & evaluasi pemenuhan desktop Gambar 4.3 Bisnis Proses Desktop Management (Sumber : Dokumen Prosedur Desktop Management Nomor : P/ISCIFD.08) Ruang Lingkup, Objek Audit dan Tujuan Audit Menentukan ruang lingkup, objek audit dan tujuan audit ditentukan dengan cara melakukan observasi, wawancara dan review pada Desktop Management. Adapun hasil dari penentuan ruang lingkup objek audit dan tujuan audit yaitu ruang lingkup yang akan diaudit membahas keadaan fisik dan lingkungan yang terdapat di Desktop Management, kepatuhan karyawan terhadap kebijakan yang terdapat di bagian Desktop Management dan kontrol akses informasi di Desktop Management. Objek auditnya yaitu pada bagian Desktop Management di PT Telkom DIVRE V Jatim. Berdasarkan hasil wawancara mengenai alur proses bisnis desktop management dapat ditentukan ruang lingkup yang sesuai dengan identifikasi permasalahan. Identifikasi permasalahan dilakukan dari setiap tahapan proses

9 61 bisnis yang ada pada bagian desktop management. Pada alur proses bisnis dan identifikasi permasalahan yang ada kemudian direlasikan dan dapat digunakan untuk menentukan ruang lingkup audit. Pemetaan alur proses bisnis dan identifikasi masalah dapat dilihat pada Tabel 4.2. Tabel 4.2 Pemetaan Alur Proses Bisnis dan Identifikasi Masalah Pemetaan Alur Proses Bisnis dan Identifikasi Masalah No. Alur Proses Bisnis Identifikasi Masalah 1. Proses permintaan desktop Proses permintaan desktop diajukan oleh karyawan melalui nota dinas dari atasan tentang kebutuhan fasilitas kerja. Dan data permintaan tersebut akan disimpan di dalam aplikasi CNEMAS yang dibutuhkan kepatuhan dari setiap karyawan dalam menggunakan aplikasi tersebut serta menjaga keamanan informasi desktop. Dalam penggunaan aplikasi tersebut dicurigai beberapa dari karyawan desktop mengabaikan kebijakan penggunaan aplikasi dan tidak menjaga akses informasi desktop sebagai mana mestinya sehingga informasi yang seharusnya tidak bisa dilihat oleh yang tidak memiliki akses atas informasi tersebut dikhawatirkan bisa melihat informasi tersebut dan dapat menimbulkan dampak pada proses permintaan desktop yaitu terhambatnya data proses permintaan desktop untuk diproses pada tahapan berikutnya dalam alur proses bisnis 2. Info kebutuhan desktop Pada penyampaian info kebutuhan desktop telah ditetapkan berdasarkan dokumen KR.10 dan disampaikan oleh SLA Management kepada SSM (Service Support Management) agar dapat diproses lebih lanjut pada tahapan analisis kebutuhan desktop

10 62 Tabel 4.2 Pemetaan Alur Proses Bisnis dan Identifikasi Masalah (Lanjutan) Pemetaan Alur Proses Bisnis dan Identifikasi Masalah No. Alur Proses Bisnis Identifikasi Masalah 3. Proses analisis kebutuhan desktop Pada proses analisa kebutuhan desktop juga disesuaikan berdasarkan dokumen KR.10 yang dilakukan pihak SSM agar mendapatkan komitmen pemenuhan desktop oleh SSM dan 4. Komitmen pemenuhan desktop dan update software 5. Delivery, instalasi dan service laptop 6. Update data inventory dan evaluasi pemenuhan desktop SLA Management Dalam proses komitmen pemenuhan desktop ini dilakukan oleh pihak SSM kepada SLA dan kepada pengguna agar dapat melakukan proses delivery atau pengiriman desktop. Pada proses delivery atau pengiriman desktop, harus dicek terlebih dahulu keamanan perangkat desktop yang akan dikirim ke pengguna. Dalam proses ini dibutuhkan lingkungan fisik yang aman agar mudah untuk proses keluar masuk barang/ perangkat desktop yang akan dikirim. Namun dicurigai bahwa lingkungan fisik kurang terlindungi dengan sebagai mana mestinya sehingga barang yang seharusnya dimasukkan atau dikeluarkan melewati pintu utama atau gudang, terkadang barang dimasukkan melalui pintu darurat. Pada proses update data inventory dan evaluasi pemenuhan desktop dilakukan oleh SLA Management kepada pengguna apabila semua tahap proses bisnis sebelumnya sudah dilakukan dengan baik, maka desktop sudah siap digunakan oleh pengguna Dari hasil pemetaan alur proses bisnis dan pengidentifikasian masalah didapatkan beberapa indikasi permasalahan pada alur proses bisnis di tahap proses permintaan desktop dan proses pengiriman desktop. Kemudian ruang lingkup

11 63 audit dapat ditentukan sesuai dengan indikasi permasalahan yang muncul pada dua tahap proses bisnis desktop management tersebut. Indikasi permasalahan pada proses permintaan desktop dicurigai bahwa karyawan mengabaikan kebijakan penggunaan aplikasi dan tidak menjaga informasi desktop dari orang lain yang tidak memiliki akses atas informasi tersebut maka ruang lingkup yang perlu diaudit adalah keamanan sumber daya manusia yang terdapat pada klausul 8 dan kontrol akses yang terdapat pada klausul 11. Indikasi permasalahan pada proses delivery desktop dicurigai bahwa lingkungan fisik kurang terlindungi sehingga barang yang seharusnya keluar masuk melalui pintu utama atau gudang terkadang melalui pintu darurat maka ruang lingkup yang perlu diaudit adalah keamanan fisik dan lingkungan yang terdapat pada klausul 9. Pemilihan ruang lingkup tersebut juga telah sesuai dengan kesepakatan bersama kedua belah pihak yaitu auditor dan auditee dengan tujuan dapat mengurangi terjadinya resiko keamanan informasi dan mengetahui keamanan sistem informasi yang sedang berlangsung. Pemetaan indikasi permasalahan pada proses bisnis dan ruang lingkup dapat dilihat pada Tabel 4.3. Tabel 4.3 Pemetaan Permasalahan dan Ruang Lingkup Audit Keamanan Sistem Informasi Pemetaan Permasalahan dan Ruang Lingkup Audit No. Indikasi Permasalahan Ruang Lingkup Penjelasan 1. Dicurigai bahwa karyawan mengabaikan kebijakan penggunaan aplikasi dan tidak menjaga akses informasi desktop sebagai mana Kepatuhan karyawan terhadap kebijakan perusahaan khususnya untuk penggunaan aplikasi dan kontrol akses terhadap informasi desktop Berdasarkan indikasi permasalahan ketidak patuhan karyawan tersebut maka ruang lingkup yang harus diaudit adalah keamanan sumber daya manusia yang terdapat di klausul

12 64 Tabel 4.3 Pemetaan Permasalahan dan Ruang Lingkup Audit Keamanan Sistem Informasi (Lanjutan) Pemetaan Permasalahan dan Ruang Lingkup Audit No. Indikasi Permasalahan Ruang Lingkup Penjelasan mestinya 8. Dan untuk permasalahan menjaga keamanan akses informasi desktop maka ruang lingkup yang harus diaudit adalah kontrol akses yang 2. Dicurigai bahwa lingkungan fisik pada desktop management kurang terlindungi dengan optimal Keadaan Fisik dan Lingkungan yang Terdapat di Desktop Management terdapat di klausul 11. Berdasarkan indikasi permasalahan kurangnya perlindungan pada lingkungan fisik tersebut maka ruang lingkup yang harus diaudit adalah keamanan fisik dan lingkungan yang terdapat di klausul 9. Dari beberapa indikasi permasalahan yang ada pada proses bisnis di bagian Desktop Management tersebut maka terdapat beberapa klausul yang digunakan sebagai acuan dalam melakukan audit keamanan sistem informasi, diantaranya yaitu klausul 8 (Keamanan Sumber Daya Manusia), klausul 9 (Keamanan Fisik dan Lingkungan) dan kalusul 11 (Kontrol Akses) Hasil Klausul, Objektif Kontrol dan Kontrol Untuk melakukan audit keamanan sistem informasi, digunakan standar ISO 27002:2005 dan beberapa klausul sebagai acuan dalam pelaksanaan audit. Berdasarkan beberapa indikasi permasalahan dan penetapan ruang lingkup, maka langkah selanjutnya adalah menentukan klausul, objektif kontrol dan kontrol. Adapun dalam menetapkan klausul, objektif kontrol dan kontrol berdasarkan beberapa permasalahan dan ruang lingkup yang telah ditetapkan dan disesuaikan berdasarkan kesepakatan bersama kedua belah pihak. Sehingga hasil

13 65 yang didapatkan adalah klausul 8 (Keamanan Sumber Daya Manusia), Klausul 9 (Keamanan Fisik dan Lingkungan) dan Klausul 11 (Kontrol Akses) beserta objektif kontrol dan kontrol masing masing klausul seperti pada Tabel 4.4. Tabel 4.4 Pemetaan Klausul, Objektif Kontrol dan Kontrol yang Digunakan Pemetaan Kalusul, Objektif Kontrol dan Kontrol No. Klausul Objektif Kontrol Kontrol Klausul 8 Keamanan Sumber Daya Manusia Klausul 9 Keamanan Fisik dan Lingkungan a. 8.1 Sebelum Menjadi Pegawai b. 8.2 Selama Menjadi Pegawai c. 8.3 Pemberhentian atau pemindahan pegawai a. 9.1 Wilayah Aman b. 9.2 Keamanan Peralatan a Aturan dan tanggung jawab keamanan b Persyaratan dan kondisi yang harus dipenuhi oleh pegawai c Tanggung jawab manajemen d Pendidikan dan pelatihan keamanan informasi e Proses Kedisiplinan f Tanggung jawab pemberhentian g Pengembalian aset h Penghapusan hak akses a Pembatasan keamanan fisik b Kontrol masuk fisik c Keamanan kantor, ruang dan fasilitasnya d Perlindungan terhadap ancaman dari luar dan lingkungan sekitar e Bekerja di wilayah aman

14 66 Tabel 4.4 Pemetaan Klausul, Objektif Kontrol dan Kontrol yang Digunakan (Lanjutan) Pemetaan Kalusul, Objektif Kontrol dan Kontrol No. Klausul Objektif Kontrol Kontrol f Akses publik, tempat pengiriman dan penurunan barang g Letak peralatan dan pengamanannya h Utilitas pendukung i Keamanan pengkabelan j Pemeliharaan Peralatan k Keamanan peralatan di luar tempat yang tidak disyaratkan l Keamanan untuk pembuangan atau pemanfaatan kembali peralatan m Hak pemanfaatan 3. Klausul 11 Kontrol akses a Persyaratan Bisnis Untuk Akses Kontrol b Manajemen Akses User c Tanggung Jawab Pengguna d Kontrol Akses Jaringan e Kontrol Akses Sistem Operasi f Kontrol Akses Informasi dan Aplikasi g Komputasi Bergerak dan Bekerja Dari Lain Tempat a Kebijakan kontrol akses b Registrasi pengguna c Manajemen hak istimewa d Manajemen password user e Tinjauan terhadap hak akses user f Penggunaan password g Peralatan penggunaan yang tanpa penjagaan h Kebijakan Clear desk dan clear screen i.

15 67 Tabel 4.4 Pemetaan Klausul, Objektif Kontrol dan Kontrol yang Digunakan (Lanjutan) Pemetaan Kalusul, Objektif Kontrol dan Kontrol No. Klausul Objektif Kontrol Kontrol j Kebijakan penggunaan layanan jaringan k Otentikasi pengguna untuk melakukan koneksi keluar l Identifikasi peralatan di dalam jaringan m Perlindungan remote diagnostic dan konfigurasi port n Pemisahan dengan jaringan o Kontrol terhadap koneksi jaringan p Kontrol terhadap koneksi jaringan q Prosedur Log- On yang aman r Identifikasi dan autentikasi pengguna s Sistem Manajemen Password t Penggunaan utilitas sistem u Sesi time-out v Batasan waktu koneksi w Pembatasan akses informasi x Pengisolasian sistem yang sensitif y Komunikasi dan terkomputerisasi yang bergerak z Teleworking

16 Engagement Letter Engagement Letter merupakan surat perjanjian kedua belah pihak antara auditor dengan client sebagai bentuk kesepakatan. Pada gambar 4.4 merupakan hasil potongan Engagement Letter. Adapun surat perjanjian atau Engagement Letter ada pada lampiran 1 dan berisi poin sebagai berikut. a. Peran auditor b. Tujuan auditor c. Tugas dan tanggung jawab auditor d. Kewenangan dan kode etik auditor e. Ruang lingkup auditor f. Bentuk laporan g. Akses auditor h. Pengesahan dan waktu pelaksanaan 4.2 Hasil Persiapan Audit Keamanan Sistem Informasi Hasil persiapan Audit Keamanan Sistem Informasi dilakukan dengan cara menyusun Audit Working Plan (AWP), penyampaian kebutuhan data audit, membuat pernyataan, melakukan pembobotan, membuat pertanyaan. Pernyataan yang telah dibuat berdasarkan standar ISO 27002:2005 dan pertanyaan yang telah dibuat berdasarkan pernyataan Hasil Penyusunan Audit Working Plan Ouput dari penyusunan Audit Working Plan (AWP) berupa jadwal kerja. Jadwal kerja dimulai dari awal kegiatan sampai akhir kegiatan dimana dapat dilihat pada gambar 4.5.

17 Hasil Penyampaian Kebutuhan Data Pada tahap persiapan audit, setelah membuat AWP maka proses selanjutnya adalah menyampaikan kebutuhan data yang diperlukan kepada auditee untuk penunjang pemeriksaan auditor. Fungsinya dalam menyampaikan kebutuhan data sebelumnya agar auditor lebih mudah dan lebih cepat dalam memeriksa pada tahap pelaksanaannya sehingga penyampaian kebutuhan data bisa dipersiapkan sebelumnya. Selain data penunjang yang terdapat pada gambar 4.6 mengenai lampiran kebutuhan audit, ada beberapa data yang telah dikumpulkan dan selengkapnya berada pada Lampiran 2, diantaranya yaitu : a. Data penunjang yang diperlukan dalam pelaksanaan audit b. Data yang bersangkutan dengan alur proses bisnis c. Data berdasarkan klausul 8 d. Data berdasarkan klausul 9 Data berdasarkan klausul 11

18 70 Gambar 4.4 Hasil potongan Engagement Letter Gambar 4.5 Hasil Audit Working Plan

19 71 Gambar 4.6 Lampiran Kebutuhan Data Penunjang yang Diperlukan Dalam Pelaksanaan Audit Hasil Pernyataan Pada proses selanjutnya pada tahapan persiapan audit dilakukan dengan membuat pernyataan berdasarkan kontrol keamanan yang terdapat pada setiap klausul yang telah ditetapkan berdasarkan standar ISO Pada setiap kontrol keamanan dapat ditentukan pernyataan yang mendiskripsikan implementasi dan pemeliharaan kontrol keamanan tersebut. Beberapa contoh pernyataan yaitu pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol proses kedisiplinan (Disciplinary Process), klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol pembatas keamanan fisik (Physical security perimeter) dan klausul 11

20 72 (sebelas) Kontrol Akses dengan kontrol penggunaan password (Password Use) dapat dilihat pada Tabel 4.5, Tabel 4.6, Tabel 4.7 dan untuk selengkapnya dapat dilihat pada Lampiran 3. Dalam memenuhi kontrol audit pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol (proses kedisiplinan (Disciplinary Process)) yaitu berupa proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga keamanan informasi, maka dibutuhkan beberapa pernyataan yang sesuai. Untuk itu auditor harus mengetahui beberapa hal tentang proses kedisiplinan karyawan diantaranya yaitu : a. Harus mengetahui bagaimana prosedur kedisiplinan seluruh karyawan khususnya untuk bagian Desktop Management b. Harus mengetahui beberapa faktor dalam pertimbangan kedisiplinan formal c. Harus mengetahui konsekuensi untuk karyawan yang kurang memperhatikan prosedur keamanan informasi dalam perusahaan. Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol (proses kedisiplinan (Disciplinary Process)) di atas, maka didapatkan pernyataan seperti yang ada pada Tabel 4.5. Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol Proses Kedisiplinan PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA) Klausul 8.2 Selama Menjadi Pegawai (During Employment) Proses Kedisiplinan (Disciplinary Process) Kontrol: Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi. No. PERNYATAAN 1. Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan

21 73 Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol Proses Kedisiplinan (Lanjutan) PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA) Klausul 8.2 Selama Menjadi Pegawai (During Employment) Proses Kedisiplinan (Disciplinary Process) Kontrol: Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi. No. PERNYATAAN 2. Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor Terdapat konsekuensi bagi karyawan yang cenderung mengabaikan prosedur 3. keamanan sistem informasi Dalam memenuhi kontrol audit pada klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol (pembatas keamanan fisik (Physical security perimeter)) yaitu pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan informasi dan perangkat pemrosesan informasi. Untuk itu auditor harus mengetahui banyak hal tentang pembatas keamanan tersebut diantaranya : a. Harus mengetahui batas perimeter yang jelas dan aman khususnya pada tempat fasilitas pemrosesan informasi b. Harus mengetahui bahwa pada akses menuju tempat kerja harus dibatasi hanya untuk personil dengan otorisasi c. Harus mengetahui bahwa pada pintu darurat harus terpasang tanda bahaya dan benar benar tertutup rapat d. Harus mengetahui bahwa setiap pengunjung atau orang yang menuju wilayah aman harus diawasi Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1

22 74 (pembatas keamanan fisik (Physical security perimeter)) di atas, maka akan didapatkan pernyataan seperti yang ada pada Tabel 4.6. Tabel 4.6 Pernyataan Klausul 9 Dengan Kontrol Pembatas Keamanan Fisik (Physical security perimeter) PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman Pembatasan keamanan fisik Kontrol : Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi. No. PERNYATAAN Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman 1. secara fisik 2. Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. 3. Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. 4. Pengunjung ke wilayah aman harus diawasi Dalam memenuhi kontrol audit pada klausul 11 (sebelas) Kontrol Akses dengan kontrol (penggunaan password (Password Use)) yaitu pengguna harus mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password, maka dibutuhkan beberapa pernyataan yang sesuai. Untuk itu auditor harus mengetahui banyak hal tentang penggunaan password tersebut diantaranya : a. Harus mengetahui seberapa besar kesadaran para karyawan untuk menjaga password yang telah dimiliki b. Harus mengetahui sikap karyawan apabila setiap ada kemungkinan sistem dalam bahaya, diharuskan untuk mengganti password c. Harus mengetahui bahwa karyawan telah mematuhi larangan dalam pembuatan catatan password

23 75 d. Harus mengetahui kedisiplinan karyawan dalam menjaga password yang dimiliki agar tidak membagikan kepada yang tidak berhak e. Harus mengetahui bahwa karyawan telah melakukan pergantian password sementara pada saat pertama kali log-on f. Harus mengetahui bahwa karyawan telah memilih password yang berkualitas dan mudah untuk diingat g. Harus mengetahui bahwa karyawan telah melakukan perubahan password secara berkala dan larangan menggunakan password yang lama Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 11 (sebelas) Kontrol Akses dengan kontrol (penggunaan password (Password Use)) di atas, maka akan didapatkan pernyataan seperti yang ada pada Tabel 4.7. Tabel 4.7 Pernyataan Klausul 11 Dengan Kontrol Penggunaan Password (Password Use) PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES) Klausul 11.3 Tanggung Jawab Pengguna (User Respon sibilities) Penggunaan Password (Password Use) Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. No. PERNYATAAN 1. Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password 2. Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya 3. Terdapat larangan dalam pembuatan catatan password 4. Terdapat larangan untuk tidak membagi satu password kepada pengguna lain 5. Terdapat pergantian password sementara pada saat pertama kali log-on 6. Terdapat pemilihan password secara berkualitas yang mudah diingat 7. Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama Pernyataan berdasarkan standar ISO 27002:2005 digunakan untuk memudahkan auditor sebagai acuan membuat pertanyaan untuk wawancara audit

24 76 keamanan sistem informasi dari beberapa contoh klausul yaitu klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol (proses kedisiplinan (Disciplinary Process)) membahas proses kedisiplinan sehingga bila semua aspek kedisiplinan terdapat pada bagian Desktop Management maka dapat menjadi standar kedisiplinan sumber daya manusia pada Desktop Management, klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol (pembatas keamanan fisik (Physical security perimeter)) membahas tentang pembatas keamanan fisik sehingga bila semua aspek pembatas keamanan fisik terdapat pada bagian Desktop Management maka dapat menjadi standar pembatas keamanan fisik pada Desktop Management, klausul 11 (Sebelas) Kontrol Akses dengan kontrol (Penggunaan Password (Password Use)) membahas tentang penggunaan password sehingga bila semua aspek penggunaan password terdapat pada bagian Desktop Management maka dapat menjadi standar kontrol akses pada Desktop Management Hasil Pembobotan Pernyataan Setelah membuat pernyataan, maka langkah selanjutnya adalah melakukan pengukuran pembobotan pada setiap pernyataan. Pembobotan dilakukan berdasarkan perhitungan, dengan membagi tingkat pembobotan dalam manajemen menjadi 3 (tiga), yaitu: rendah, cukup dan tinggi yang telah disesuaikan dengan kondisi Desktop Management dan kesepakatan dengan pihak Desktop Management. Hasil nilai pembobotan didapatkan dengan cara memberikan angket kepada pihak auditee dengan posisi jabatan officer 1 administrasi dan monitoring. Beberapa contoh pembobotan yang ada dalam klausul 8 (delapan) Keamanan

25 77 Sumber Daya Manusia dengan kontrol (proses kedisiplinan (Disciplinary Process)), klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol (pembatasan keamanan fisik (Physical security perimeter)) dan klausul 11 (sebelas) Kontrol Akses dengan kontrol (penggunaan password (Password Use)), dapat dilihat pada Tabel 4.8, Tabel 4.9, Tabel 4.10 dan untuk selengkapnya dapat dilihat pada Lampiran 4. Pembobotan pada klausul 8 dengan kontrol proses kedisiplinan, didapatkan beberapa nilai dari pihak auditee yang disesuaikan dengan kondisi Desktop Management diantaranya yaitu : a. Pernyataan nomor 1 (satu) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee, bahwa karyawan harus mengutamakan disiplin dasar dari pegawai karena setiap karyawan desktop management wajib menerapkan prosedur yang mengatur kedisiplinan seluruh karyawan, beberapa kedisiplinan diantaranya yaitu kedisiplinan waktu, kedisiplinan pekerjaan serta kedisiplinan menaati prosedur kerja yang sudah ditetapkan, oleh karena itu diberikan nilai 1 dalam pernyataan nomor 1 tersebut. b. Pernyataan nomor 2 (dua) mendapatkan nilai pembobotan 0,7 yang juga masuk kategori tinggi yaitu memiliki peranan sangat penting dalam proses sistem informasi, namun nilainya lebih kecil dibanding dengan pernyataan nomor satu karena menurut pihak auditee meskipun sama sama penting dan perlu diterapkan di desktop management, tetaplah tingkat keutamaan prosedur kedisiplinan lebih utama dibandingkan pertimbangan kedisiplinan formal. Jadi

26 78 harus menerapkan pertimbangan kedisiplinan formal dengan melihat beberapa faktor namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 2 tersebut. c. Pernyataan nomor 3 (tiga) mendapatkan nilai pembobotan 0,9 yang juga masuk kategori tinggi yaitu memiliki peranan sangat penting dalam proses sistem informasi, namun nilainya lebih besar dari pernyataan nomor 2 karena menurut auditee suatu konsekuensi harus dilakukan pada setiap karyawan yang tidak taat pada prosedur perusahaan namun terkadang konsekuensi ini belum berjalan secara optimal. Jadi harus menerapkan konsekuensi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,9 dalam pernyataan nomor 3 tersebut. Tabel 4.8 Pembobotan Klausul 8 Dengan Kontrol Proses Kedisiplinan (Disciplinary Process) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi PEMBOBOTAN PERNYATAAN AUDIT (Bagian Off 1 KEAMANAN SISTEM INFORMASI KLAUSUL Administrasi & 8 (KEAMANAN SUMBER DAYA MANUSIA) Monitoring) Tanggal: Februari 2015 Klausul 8.2 Selama Menjadi Pegawai (During Employment) Proses Kedisiplinan (Disciplinary Process) Kontrol : Aturan-aturan dan tanggung jawab keamanan dari pegawai, kontraktor dan pengguna pihak ketiga harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi.

27 79 Tabel 4.8 Pembobotan Klausul 8 Dengan Kontrol Proses Kedisiplinan (Lanjutan) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi PEMBOBOTAN PERNYATAAN AUDIT (Bagian Off 1 KEAMANAN SISTEM INFORMASI KLAUSUL Administrasi & 8 (KEAMANAN SUMBER DAYA MANUSIA) Monitoring) Tanggal: Februari 2015 Klausul 8.2 Selama Menjadi Pegawai (During Employment) Proses Kedisiplinan (Disciplinary Process) Kontrol : Aturan-aturan dan tanggung jawab keamanan dari pegawai, kontraktor dan pengguna pihak ketiga harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi. No PERNYATAAN Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi Rendah (0,1-0,39) Bobot Cukup (0,4-0,69) Tinggi (0,7-1,0) 1 0,7 0,9 Pembobotan pada klausul 9 dengan kontrol pembatasan keamanan fisik, didapatkan beberapa nilai dari pihak auditee yang disesuaikan dengan kondisi Desktop Management diantaranya yaitu : a. Pernyataan nomor 1 (satu) mendapatkan nilai pembobotan 0,7 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee, telah terdapat batas fisik yang jelas dan sesuai prosedur KD 57 yang menjelaskan bahwa area aman harus diberi batas sekuriti fisik untuk melindungi area yang berisi informasi dan fasilitas pengolah informasi namun masih dirasa kurang optimal karena tidak dilengkapi cctv di ruang pemrosesan informasi. Jadi harus menerapkan batas perimeter yang jelas pada tempat fasilitas informasi

28 80 yang aman secara fisik namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 1 tersebut. b. Pernyataan nomor 2 (dua) mendapatkan nilai pembobotan 0,8 yang juga masuk kategori tinggi yaitu memiliki peranan sangat penting dalam proses sistem informasi, namun nilainya lebih tinggi dibanding pernyataan nomor 1. Berdasarkan keterangan pihak auditee untuk masuk menuju ke tempat tertentu harus dengan otorisasi khusus dan cctv hanya ada di beberapa tempat tertentu, sedangkan pada ruang desktop management dan sepanjang jalan menuju ruang desktop masih belum terdapat cctv. Jadi harus menerapkan akses menuju tempat kerja dibatasi hanya untuk pesonil dengan otorisasi namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,8 dalam pernyataan nomor 2 tersebut. c. Pernyataan nomor 3 (tiga) mendapatkan nilai pembobotan 0,6 yang masuk kategori cukup dimana nilai tersebut mempunyai peranan cukup penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee pada semua pintu darurat terpasang tanda bahaya namun salah satu pintu darurat yang terletak di lantai dasar dan dekat dengan ruang desktop tersebut pernah digunakan untuk akses keluar masuknya barang. Jadi tetap perlu menerapkan semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat, namun masih belum bisa memberikan nilai kategori tinggi melainkan masih di 0,6 pada pernyataan nomor 3 tersebut. d. Pernyataan nomor 4 (empat) mendapatkan nilai pembobotan 0,7 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Tingkat keutamaannya sama dengan pernyataan

29 81 nomor 1, berdasarkan keterangan pihak auditee harus ada pengawasan dari petugas sekuriti untuk orang lain yang akan masuk ke wilayah aman, namun dirasa kurang optimal karena terkadang tidak memeriksa setiap orang lain selain karyawan yang masuk ke wilayah aman. Jadi harus menerapkan pengawasan terhadap orang yang akan ke wilayah aman namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 4 tersebut. Tabel 4.9 Pembobotan Klausul 9 Dengan Kontrol Pembatasan Keamanan Fisik (Physical security perimeter) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi PEMBOBOTAN PERNYATAAN AUDIT (Bagian Off 1 KEAMANAN SISTEM INFORMASI KLAUSUL 9 Administrasi & (KEAMANAN FISIK & LINGKUNGAN) Monitoring) Tanggal: Januari 2015 Klausul 9.1 Wilayah Aman Pembatasan keamanan fisik Kontrol : Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi. No PERNYATAAN Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. Orang yang akan ke wilayah aman harus diawasi Rendah (0,1-0,39) Bobot Cukup (0,4-0,69) 0,6 Tinggi (0,7-1,0) Pembobotan pada klausul 11 dengan kontrol penggunaan password, didapatkan beberapa nilai dari pihak auditee yang disesuaikan dengan kondisi Desktop Management diantaranya yaitu : 0,7 0,8 0,7

30 82 a. Pernyataan nomor 1 (satu) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee, bahwa kesadaran dari diri sendiri untuk menjaga kerahasiaan password wajib dilakukan karena ditakutkan akan disalahgunakan oleh yang tidak bertanggung jawab oleh karena itu diberikan nilai 1 dalam pernyataan nomor 1 tersebut. b. Pernyataan nomor 2 (dua) mendapatkan nilai 0,6 yang masuk kategori cukup dimana nilai tersebut mempunyai peranan cukup penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee masih belum ada sistem yg berbahaya, jadi tetap perlu menerapkan penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya namun masih belum bisa memberikan nilai kategori tinggi melainkan masih di 0,6 pada pernyataan nomor 2 tersebut. c. Pernyataan nomor 3 (tiga) mendapatkan nilai 0,8 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee dilarang membuat catatan password tanpa perlindungan, hal ini sangat penting namun tidak sempurna nilainya, dikarenakan terkadang masih ada beberapa yang mungkin tanpa sadar mencatat passwordnya di kertas. Jadi harus menerapkan larangan dalam pembuatan catatan password namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,8 dalam pernyataan nomor 3 tersebut. d. Pernyataan nomor 4 (empat) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam

31 83 proses sistem informasi. Berdasarkan keterangan dari pihak auditee, bahwa larangan untuk tidak membagi satu password kepada pengguna lain wajib dilakukan karena ditakutkan akan disalahgunakan oleh yang tidak bertanggung jawab oleh karena itu diberikan nilai 1 dalam pernyataan nomor 4 tersebut. e. Pernyataan nomor 5 (lima) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee terdapat pergantian password sementara setelah pertama kali log-on karena takut akan disalahgunakan oleh yang tidak bertanggung jawab sehingga pergantian password sementara pada saat pertama kali log-on lain wajib dilakukan, oleh karena itu diberikan nilai 1 dalam pernyataan nomor 5 tersebut. f. Pernyataan nomor 6 (enam) mendapatkan nilai 0,6 yang masuk kategori cukup dimana nilai tersebut mempunyai peranan cukup penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee untuk memilih password tentunya dengan pemilihan yang mudah diingat bagi setiap karyawan, jadi tetap perlu menerapkan pemilihan password secara berkualitas yang mudah diingat namun masih belum bisa memberikan nilai kategori tinggi melainkan masih di 0,6 pada pernyataan nomor 6 tersebut. g. Pernyataan nomor 7 (tujuh) mendapatkan nilai 0,7 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee terdapat perubahan sandi yang dilakukan secara berkala yaitu setiap 3 bulan sekali bukan dilakukan berdasarkan jumlah akses. Jadi harus menerapkan perubahan kata

32 84 sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 7 tersebut. Tabel 4.10 Pembobotan Klausul 11 Dengan Kontrol Penggunaan Password (Password Use) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi PEMBOBOTAN PERNYATAAN AUDIT (Bagian Off 1 KEAMANAN SISTEM INFORMASI KLAUSUL Administrasi & 11 (KONTROL AKSES) Monitoring) Tanggal: 6-7 Mei 2015 Klausul 11.3 Tanggung Jawab Pengguna (user) Penggunaan password Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. No PERNYATAAN Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya Terdapat larangan dalam pembuatan catatan password Terdapat larangan untuk tidak membagi satu password kepada pengguna lain Terdapat pergantian password sementara pada saat pertama kali log-on Terdapat pemilihan password secara berkualitas yang mudah diingat Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama Rendah (0,1-0,39) Bobot Cukup (0,4-0,69) 0,6 Tinggi (0,7-1,0) Dari hasil pembobotan untuk klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol (proses kedisiplinan (Disciplinary Process)) didapatkan pentingnya kedisiplinan pegawai untuk bagian Desktop Management, sehingga pihak Desktop Management harus lebih memperhatikan proses 0,6 1 0, ,7

33 85 kedisiplinan. Untuk klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol (pembatas keamanan fisik (Physical security perimeter)) didapatkan pentingnya pembatas keamanan fisik untuk bagian Desktop Management, sehingga pihak Desktop Management harus lebih memperhatikan pembatas keamanan fisik. Untuk klausul 11 (Sebelas) Kontrol Akses dengan kontrol (penggunaan password (Password Use)) didapatkan pentingnya penggunaan password untuk Desktop Management, sehingga pihak Desktop Management harus lebih memperhatikan penggunaan password. Pernyataan yang digunakan tersebut sesuai dengan permintaan auditee yang sebelumnya juga telah mengetahui nilai beserta makna dari tingkat kepentingan dalam pembobotan pernyataan dan juga menyesuaikan dengan kondisi sebenarnya pada bagian Desktop Management maka yang digunakan adalah tingkat resiko cukup/medium (0,4-0,69) dan tinggi/high (0,7-1,0). Apabila terdapat nilai yang tingkat resikonya rendah/low maka pihak auditee sepakat tidak menggunakannya karena berdasarkan tingkat kepentingan dalam pembobotan pernyataan, pernyataan tersebut mempunyai peranan kurang penting dalam proses sistem informasi. Hasil pembobotan dapat dilihat pada Tabel 4.11, Tabel 4.12, Tabel 4.13 dan selengkapnya di Lampiran 5. Tabel 4.11 Hasil Pembobotan Klausul 8 Dengan Kontrol Proses Kedisiplinan (Disciplinary Process) Dengan Nilai Bobot Medium (0,4-0,69) dan High(0,7-1,0) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi HASIL PEMBOBOTAN PERNYATAAN (Bagian Off 1 AUDIT KEAMANAN SISTEM INFORMASI Administrasi & KLAUSUL 8 (KEAMANAN SUMBER DAYA Monitoring) MANUSIA) Tanggal: Februari 2015 Klausul 8.2 Selama Menjadi Pegawai (During Employment)

34 Proses Kedisiplinan (Disciplinary Process) Kontrol : Aturan-aturan dan tanggung jawab keamanan dari pegawai, kontraktor dan pengguna pihak ketiga harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi. No PERNYATAAN Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi Rendah (0,1-0,39) Bobot Cukup (0,4-0,69) Tinggi (0,7-1,0) 1 0,7 0,9 Tabel 4.12 Hasil Pembobotan Klausul 9 Dengan Kontrol Pembatasan Keamanan Fisik (Physical security perimeter) Dengan Nilai Bobot Medium (0,4-0,69) dan High(0,7-1,0) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi HASIL PEMBOBOTAN PERNYATAAN AUDIT (Bagian Off 1 KEAMANAN SISTEM INFORMASI KLAUSUL 9 Administrasi & (KEAMANAN FISIK & LINGKUNGAN) Monitoring) Tanggal: Januari 2015 Klausul 9.1 Wilayah Aman Pembatasan keamanan fisik Kontrol : Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi. No PERNYATAAN Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. Orang yang akan ke wilayah aman harus diawasi Rendah (0,1-0,39) Bobot Cukup (0,4-0,69) 0,6 Tinggi (0,7-1,0) 0,7 0,8 0,7

35 87 Tabel 4.13 Hasil Pembobotan Klausul 11 Dengan Objektif k Kontrol (penggunaan password (Password Use)) Dengan Nilai Bobot Medium (0,4-0,69) dan High(0,7-1,0) HASIL PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal: 6-7 Mei 2015 Klausul 11.3 Tanggung Jawab Pengguna (user) Penggunaan password Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. No PERNYATAAN Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya Terdapat larangan dalam pembuatan catatan password Terdapat larangan untuk tidak membagi satu password kepada pengguna lain Terdapat pergantian password sementara pada saat pertama kali log-on Terdapat pemilihan password secara berkualitas yang mudah diingat Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama Rendah (0,1-0,39) Bobot Cukup (0,4-0,69) 0,6 0,6 Tinggi (0,7-1,0) 1 0, , Hasil Pertanyaan Setelah melakukan pembobotan pernyataan langkah selanjutnya adalah membuat pertanyaan. Pertanyaan yang dibuat mengacu pada pernyataan yang ada dimana satu pernyataan bisa memiliki lebih dari satu pertanyaan, hal tersebut dikarenakan setiap pertanyaan harus mewakili pernyataan pada saat dilakukan wawancara. Pertanyaan pada tabel didasarkan pada pernyataan yang telah

36 88 disesuaikan dengan standar ISO Beberapa pertanyaan pada klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol (Proses Kedisiplinan (Disciplinary Process)), klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol (pembatasan keamanan fisik (Physical security perimeter)) dan klausul 11 (sebelas) Kontrol Akses dengan kontrol (penggunaan password (Password Use)), dapat dilihat pada Tabel 4.14, Tabel 4.15, Tabel 4.16 dan untuk selengkapnya dapat dilihat pada Lampiran 6. Berdasarkan beberapa hasil pernyataan dari klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol (Proses Kedisiplinan (Disciplinary Process)) maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu : a. Pada pernyataaan nomor 1 (satu), dibutuhkan data atau prosedur yang mengatur tentang kedisiplinan karyawan maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 1 (satu) b. Pada pernyataan nomor 2 (dua), dibutuhkan data pertimbangan kedisiplinan dengan melihat beberapa faktor maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 2 (dua) c. Pada pernyataan nomor 3 (tiga), dibutuhkan data yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password, serta data mengenai konsekuensi apabila terdapat karyawan yang tidak patuh pada prosedur perusahaan maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 3 (tiga)

37 89 Tabel 4.14 Hasil Pertanyaan Klausul 8 Dengan Kontrol Proses Kedisiplinan (Disciplinary Process) AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA) Klausul 8.2 Selama Menjadi Pegawai (During Employment) Proses Kedisiplinan 1 Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan P: Apakah terdapat prosedur yang mengatur kedisiplinan para karyawan? P: Apa saja isi dari prosedur tentang kedisiplinan karyawan tersebut? P: Apakah terdapat dokumentasi yang mengatur kedisiplinan karyawan? 2 Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa factor P: Apakah terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi sebagai bentuk suatu kesadaran pegawai dalam mengamankan informasi? P: Apa saja isi dari pertimbangan pendisiplinan formal tersebut dengan melihat beberapa faktor? P: Apakah terdapat dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai? 3 Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi P: Apakah seluruh karyawan harus mematuhi serta melaksanakan seluruh aturan dan prosedur keamanan sistem informasi yang terdapat pada perusahaan? P: Apakah karyawan tidak diperbolehkan menyebar atau memberikan informasi yang bersifat internal? misalkan menyebarkan username dan password kepada rekan lain meskipun setiap jobdesk masing masing karyawan berbeda? P: Selama ini apakah pernah terjadi beberapa karyawan yang mengabaikan prosedur keamanan informasi tersebut? P: Lalu apa konsekuensi yang tepat bagi karyawan yang mengabaikan, bahkan

38 90 AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA) Klausul 8.2 Selama Menjadi Pegawai (During Employment) Proses Kedisiplinan melanggar prosedur keamanan sistem informasi yang telah ditetapkan oleh perusahaan? P: Apakah ada dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password tersebut pak? Berdasarkan beberapa hasil pernyataan dari klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol (Pembatasan Keamanan Fisik (Physical security perimeter)) maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu : a. Pada pernyataaan nomor 1 (satu), dibutuhkan kepastian bahwa batas perimeter yang terdapat pada tempat fasilitas informasi benar benar terjamin keamanannya sesuai standar keamanan serta dibutuhkan data atau prosedur keamanan yang mengatur tentang batas fisik tersebut, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 1 (satu) b. Pada pernyataan nomor 2 (dua), dibutuhkan kepastian bahwa akses menuju tempat kerja dan pada saat di tempat kerja harus terjamin keamanannya dengan membatasi personil yang memiliki otorisasi saja yang diperbolehkan masuk selain itu dibutuhkan data yang mengatur akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 2 (dua)

39 91 c. Pada pernyataan nomor 3 (tiga), dibutuhkan kepastian bahwa seluruh pintu darurat dalam batas perimeter keamanan harus tertutup rapat dan dalam pengawasan pihak keamanan yang bersangkutan, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 3 (tiga) d. Pada pernyataan nomor 4 (empat), dibutuhkan kepastian bahwa orang yang akan ke wilayah aman benar benar harus diawasi dan terjamin keamanannya, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 4 (empat) Tabel 4.15 Hasil Pertanyaan Klausul 9 Dengan Kontrol Pembatasan Keamanan Fisik (Physical security perimeter) AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman (Secure Areas) Pembatas keamanan fisik 1 Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik P: Batas fisik seperti apakah yang terdapat di dalam ruangan Desktop Management untuk melindungi pemrosesan informasi yang sedang berlangsung dan bagaimana gambaran keamanan sebelum masuk menuju ruang Desktop?) P: Apakah batas fisik tersebut terjamin keamanannya secara optimal untuk melindungi kegiatan pemrosesan informasi yang sedang berlangsung? P: Apakah batas fisik tersebut telah dibuat sesuai standar keamanan yang layak? Terbuat dari bahan apakah pembatas fisik tersebut? P: Apakah ada prosedur keamanan yang mengatur tentang batas fisik tersebut? P: Pada ruangan Desktop Management ini terdapat kaca yang memiliki pandangan keluar gedung, apakah kaca tersebut terbuat dengan bahan yang kuat dan tidak mudah pecah untuk pencegahan huru hara, apakah kaca tersebut tahan peluru atau tidak? (apabila di lantai dasar maka ideal apabila diproteksi dengan kaca anti peluru) dan

40 92 AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman (Secure Areas) Pembatas keamanan fisik dilindungi dari cahaya matahari yang menyengat P: Selama ini apakah pernah terjadi insiden penembakan di daerah ruang Desktop Management? Apakah ada standar khusus untuk kaca harus terbuat dari apa untuk ruang Desktop Management ini? 2 Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. P: Siapakah yang menempati ruangan pemrosesan informasi di sini? P: Perlindungan seperti apakah yang digunakan untuk melindungi tempat kerja yang khusus hanya personil dengan otorisasi saja yang boleh masuk?(pintu,kartu akses,penjaga pintu,dll) P: Apakah terdapat cctv (close circuit tele vision) yang ditempatkan di lokasi yang ideal untuk merekam keluar masuknya karyawan? Apakah di dalam ruang kerja atau pemrosesan informasi juga ada cctv? P: Apakah ada dokumen yang mengatur bahwa untuk akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi? 3 Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. P: Apakah pintu darurat telah dipasang sesuai standar keamanan dan tertutup rapat? P: Standar yang dimaksud di sini seperti apa pak? Mungkin bisa dijelaskan? (missal kalau pintu darurat, khusus pintu darurat harus memiliki criteria khusus bahwa pegangan pintunya harus terbuat dari bahan apa dan bentuknya harus seperti apa, dll) P: Bagaimana kontrol pengawasan apabila terjadi bencana mendadak seperti kebakaran, banjir atau gempa? P: Apakah setiap karyawan mengetahui di mana saja pintu darurat berada?

41 93 AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman (Secure Areas) Pembatas keamanan fisik P: Apakah pintu darurat tersebut hanya dapat dibuka dari dalam atau juga dapat dibuka dari luar? (Kalaupun dapat dibuka dari luar, hanya dengan menggunakan kunci yang dimiliki oleh orang-orang yang telah ditunjuk misalnya personal keamanan gedung) 4 Orang yang akan ke wilayah aman harus diawasi P: Apakah ada persyaratan khusus untuk orang lain selain karyawan yang akan mengunjungi wilayah aman? Seperti apakah persyaratan tersebut? P: Apakah ada pencatatan khusus apabila ada yang keluar masuk ruangan Desktop Management? P: Adakah cctv yang mengawasi siapa saja yang masuk dan keluar ke wilayah aman? Berdasarkan beberapa hasil pernyataan dari klausul 11 (sebelas) Kontrol Akses dengan kontrol (Penggunaan Password (Password Use)) maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu : a. Pada pernyataaan nomor 1 (satu), dibutuhkan kepastian bahwa karyawan telah memiliki kesadaran dalam menjaga passwordnya masing masing maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 1 (satu) b. Pada pernyataan nomor 2 (dua), dibutuhkan kepastian bahwa karyawan telah melakukan pergantian password pada saat sistem atau password dalam

42 94 keadaan bahaya maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 2 (dua) c. Pada pernyataan nomor 3 (tiga), dibutuhkan kepastian bahwa karyawan tidak membuat catatan password tanpa perlindungan enkripsi maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 3 (tiga) d. Pada pernyataan nomor 4 (empat), dibutuhkan kepastian bahwa karyawan tidak membagi satu password yang dimillikinya kepada orang lain maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 4 (empat) e. Pada pernyataan nomor 5 (lima), dibutuhkan kepastian bahwa karyawan telah melakukan penggantian password pada saat pertama kali log-on maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 5 (lima) f. Pada pernyataan nomor 6 (enam), dibutuhkan kepastian bahwa karyawan telah memilih password yang berkualitas dan mudah diingat maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 5 (lima) g. Pada pernyataan nomor 7 (tujuh), dibutuhkan kepastian bahwa karyawan telah melakukan perubahan password secara berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 6 (enam) Tabel 4.16 Hasil Pertanyaan Klausul 11 Dengan Kontrol Penggunaan password (Password Use) AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES) Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) Penggunaan password

43 95 AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES) Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) Penggunaan password 1 Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password P: Apakah karyawan Desktop Management telah menyadari mengenai pentingnya kerahasiaan password masing-masing? P: Apakah ada perintah tertulis yang menangani pentingnya menjaga kerahasiaan password? 2 Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya P: Apakah karyawan yang bersangkutan sering melakukan pergantian password jika dirasa sistem dalam keadaan bahaya? P: Apakah ada pencatatan perintah dalam pergantian password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya? 3 Terdapat larangan dalam pembuatan catatan password P: Apakah ada larangan dalam pembuatan catatan password? P: Siapa yang membuat larangan pembuatan catatan password? P: Apakah karyawan memiliki metode penyimpanan yang aman dalam peletakan passwordnya? 4 Terdapat larangan untuk tidak membagi satu password kepada pengguna lain P: Apakah ada larangan agar tidak membagi satu password kepada pengguna lain? P: Apakah karyawan pernah melakukan penyebaran password individu kepada karyawan lain atau orang lain? P: Berdasarkan kuesioner terdahulu, apabila sudah ada yang mengatur bahwa tidak diperbolehkan membagi password, lantas mengapa masih ada saja yang melanggar prosedur tersebut pak?

44 96 AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES) Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) Penggunaan password P: Apakah terdapat konsekuensi khusus apabila karyawan tersebut melakukan penyebaran password kepada karyawan lain? 5 Terdapat pergantian password sementara pada saat pertama kali log-on P: Apakah terdapat pergantian password sementara? P: Apakah pergantian password sementara tersebut digunakan saat pertama kali logon? 6 Terdapat pemilihan password secara berkualitas yang mudah diingat P: Apakah karyawan memilih password yang mudah diingat? Apakah password dipilih berdasarkan tgl lahir, nama karyawan atau secara acak? P: Apakah password yang digunakan sudah tidak menggunakan informasi yang mudah ditebak oleh orang lain? P: Apakah password yang digunakan sudah teracak dengan baik antara nomor dan alphabet? P: Apakah terdapat dokumentasi khusus mengenai cara pemilihan kata sandi yang berkualitas? 7 Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama P: Berapa kali karyawan melakukan perubahan kata sandi/password? P: Apakah perubahan kata sandi dilakukan secara berkala? P: Apakah perubahan kata sandi sudah dilakukan berdasarkan jumlah akses dilakukan? P: Apakah sandi yang lama sudah dipastikan tidak dipergunakan kembali?

45 97 AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES) Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) Penggunaan password 4.3 Hasil Pelaksanaan Audit Keamanan Sistem Informasi Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. Melakukan wawancara, 2. Melakukan proses pemeriksaan data, 3. Penyusunan daftar temuan audit keamanan sistem informasi dan rekomendasi. Tahap ini akan menghasilkan temuan dan bukti, dokumen wawancara, hasil daftar temuan dan rekomendasi audit Hasil Wawancara Pada proses wawancara, auditor melakukan wawancara berdasarkan pertanyaan yang telah dibuat. Wawancara dilakukan berdasarkan pertanyaan yang telah dibuat oleh auditor. Wawancara ditujukan kepada beberapa pihak yang terkait didalamnya yaitu pihak auditee dengan jabatan officer 1 administrasi dan monitoring, serta dua rekan dari pihak auditee lainnya yang ikut membantu dalam proses wawancara yaitu bagian officer 2 administrasi dan monitoring dan bagian officer 1 Desktop Operation dan Lisensi, pemetaan wawancara dan kewenangan dari setiap orang yang diwawancarai terdapat pada Tabel Beberapa contoh hasil wawancara terdapat pada klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol (Proses Kedisiplinan (Disciplinary Process)), klausul 9 (Sembilan) Keamanan Fisik dan Lingkungan dengan kontrol (Pembatasan Keamanan Fisik (Physical security perimeter)) dan klausul 11 (sebelas) Kontrol Akses dengan kontrol (penggunaan password (Password

46 98 Use)) dapat dilihat pada Tabel 4.18, Tabel 4.19, Tabel 4.20 dan selengkapnya pada Lampiran 7. Tabel 4.17 Pemetaan Wawancara dengan Beberapa Narasumber Pemetaan Wawancara dengan Beberapa Narasumber No. Tanggal Wawancara Narasumber Bagian/ Kewenangan Oktober Oktober Desember Agustus Juli 2015 Wawancara mengenai proses perencanaan audit yang meliputi profil perusahaan, visi misi PT Telkom, profil Desktop Management, struktur organisasi Desktop Management dan deskripsi pekerjaan Wawancara alur proses bisnis perusahaan Wawancara mulai dari persiapan audit, pelaksanaan audit dan pelaporan audit Persiapan Audit meliputi - Penyampaian Agus Widodo NIK : Uyud Warsono NIK : Setiyobudi Eko N NIK : Bagian Officer 2 administrasi dan monitoring yang memiliki kewenangan kewenangan dalam pelaksanaan pengadministrasian dan monitoring Seat Management dalam rangka memenuhi dan mencatat kebutuhan sarana kerja desktop secara akurat. Serta memiliki kewenangan dalam melaksanakan instalasi desktop management di pengguna dan menjamin validasi data pengguna setiap bulan Bagian Officer 1 Desktop Operation dan Lisensi memiliki kewenangan dalam pelaksanaan lisensi software dan problem solving desktop. Serta memiliki kewenangan dalam memastikan masalah desktop management di pengguna tersolusikan dan memastikan operasional desktop berjalan lancar Bagian Officer 1 administrasi dan monitoring memiliki kewenangan dalam pelaksanaan pengadministrasian dan monitoring Seat Management dalam rangka memenuhi dan

47 99 Pemetaan Wawancara dengan Beberapa Narasumber No. Tanggal Wawancara Narasumber Bagian/ Kewenangan kebutuhan data audit - Melakukan pembobotan pernyataan audit Pelaksanaan Audit meliputi - Wawancara audit - Konfirmasi temuan dan rekomendasi audit Pelaporan Audit - Permintaan tanggapan dan rekomendasi atas daftar temuan audit mencatat kebutuhan sarana kerja desktop secara akurat. Serta memiliki kewenangan dalam menjamin ketersediaan perangkat desktop di seluruh wilayah Indonesia dan memonitor penyelesaian delivery di seluruh wilayah Indonesia. Tabel 4.18 Hasil Wawancara Klausul 8 Dengan Kontrol Proses Kedisiplinan (Disciplinary Process) Auditor : Dian Ayu P Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA) Tanggal : 5 29 Januari 2015 Klausul 8.2 Selama Menjadi Pegawai (During Employment) Proses Kedisiplinan 1 Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan P: Apakah terdapat prosedur yang mengatur kedisiplinan para karyawan? Ada P: Apa saja isi dari prosedur tentang kedisiplinan karyawan tersebut? antara lain Disiplin Dasar mengenai Karyawan P: Apakah terdapat dokumentasi yang mengatur kedisiplinan karyawan? Ada di HRC 2 Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor P: Apakah terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi? Ada P: Apa saja isi dari pertimbangan pendisiplinan formal tersebut dengan melihat

48 100 AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA) Auditor Auditee : Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 5 29 Januari 2015 Klausul 8.2 Selama Menjadi Pegawai (During Employment) Proses Kedisiplinan beberapa faktor? Terdapat pada dokumen Disiplin Dasar Pegawai P: Apakah terdapat pendokumentasian khusus mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai? Dokumentasi bersifat Rahasia ada di HRC, tapi yang saya tahu ada beberapa macam jenis konsekuensi mengenai kedisiplinan yaitu apabila pelanggaran yang dilakukan karyawan dalam tingkatan rendah maka hanya akan ditegur, kalau tingkat pelanggarannya sedang maka akan diberikan nota dinas mengenai kedisiplinan dan apabila pelanggaran dalam tingkat yang tinggi maka karyawan tersebut bisa dikeluarkan dari perusahaan. 3 Terdapat konsekuensi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi P: Apakah seluruh karyawan harus mematuhi serta melaksanakan seluruh aturan dan prosedur keamanan sistem informasi yang terdapat pada perusahaan? Mematuhi P: Apakah karyawan tidak diperbolehkan menyebar atau memberikan informasi yang bersifat internal? misalkan menyebarkan username dan password kepada rekan lain meskipun setiap jobdesk masing masing karyawan berbeda? Tidak Diijinkan P: Selama ini apakah pernah terjadi beberapa karyawan yang mengabaikan prosedur keamanan informasi tersebut? Pernah, yaitu menitipkan password P: Lalu apa sanksi yang tepat bagi karyawan yang mengabaikan, bahkan melanggar prosedur keamanan sistem informasi yang telah ditetapkan oleh perusahaan? Sejauh ini masih dalam teguran lisan P: Apakah ada dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password tersebut pak? Ada. Di KD 57 Bab VIII pasal 34 ayat 4(d), tentang alokasi password harus dikelola untuk memaksimumkan perlindungan terhadap sistem

49 101 Tabel 4.19 Hasil Wawancara Klausul 9 Dengan Kontrol Pembatasan Keamanan Fisik (Physical security perimeter) Auditor : Dian Ayu P Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman (Secure Areas) Tanggal : 5 September 16 Desember Pembatas keamanan fisik 1 Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik P: Batas fisik seperti apakah yang terdapat di dalam ruangan Desktop Management untuk melindungi pemrosesan informasi yang sedang berlangsung dan bagaimana gambaran keamanan sebelum masuk menuju ruang Desktop? (disertai foto,ukuran batas fisik tersebuut) Batas fisik berupa sekat dengan bahan playwood seperti yang terdapat di foto di bawah ini Untuk gambaran umum keamanan sebelum masuk menuju ruang Desktop yaitu sebelum menuju ke ruang Desktop harus melalui resepsionist (Front Desk) terlebih dahulu untuk mengisi buku kunjungan sesuai keperluan. Setelah itu melewati pintu akses untuk masuk ke ruang ISSSM (Information System Service Support Management), pegawai resepsionist memiliki kartu akses yang khusus hanya untuk memasukkan tamu ke ruang ISSSM. Karena tidak ada pintu khusus untuk memasuki ruang Desktop Management jadi langsung menuju ke ruangan tersebut. Berikut foto dari ruang resepsionist sampai ke ruang Desktop Management.

50 102 AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman (Secure Areas) Pembatas keamanan fisik Auditor Auditee : Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 5 September 16 Desember 2014 P: Apakah batas fisik tersebut terjamin keamanannya secara optimal untuk melindungi kegiatan pemrosesan informasi yang sedang berlangsung? Aman. P: Apakah batas fisik tersebut telah dibuat sesuai standar keamanan yang layak? Terbuat dari bahan apakah pembatas fisik tersebut? Sudah sesuai. P: Apakah ada dokumen atau prosedur keamanan yang mengatur tentang batas fisik tersebut? Iya ada prosedurnya, yaitu di dokumen keputusan Direksi Perusahaan Perseroan (PERSERO) PT Telekomunikasi Indonesia, Tbk. Nomor : KD.57/HK-290/ITS- 30/2006 di Bab VI ((Sekuriti Fisik dan Lingkungan Aset Informasi), pasal 16(Area Aman) ayat 1)). P: Pada ruangan Desktop Management ini terdapat kaca yang memiliki pandangan keluar gedung, apakah kaca tersebut terbuat dengan bahan yang kuat dan tidak mudah pecah untuk pencegahan huru hara, apakah kaca tersebut tahan peluru atau tidak?

51 103 AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman (Secure Areas) Auditor Auditee : Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 5 September 16 Desember Pembatas keamanan fisik (apabila di lantai dasar maka ideal apabila diproteksi dengan kaca anti peluru) dan dilindungi dari cahaya matahari yang menyengat Kaca tidak tahan peluru, namun kalau hanya lemparan batu batu kecil masih kuat kacanya. P: Selama ini apakah pernah terjadi insiden penembakan di daerah ruang Desktop Management? Apakah ada standar khusus untuk kaca harus terbuat dari apa untuk ruang Desktop Management ini? Tidak ada 2 Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. P: Siapakah yang menempati ruangan pemrosesan informasi di sini? GM (General Manager) dan staff. P: Perlindungan seperti apakah yang digunakan untuk melindungi tempat kerja yang khusus hanya personil dengan otorisasi saja yang boleh masuk?(pintu,kartu akses,penjaga pintu,dll) Setiap karyawan memilki kartu akses. Kartu akses tersebut dapat digunakan karyawan untuk masuk ke beberapa ruangan yang bisa dimasuki oleh orang orang tertentu saja. Dan di dekat pintu masuk juga ada ruang security yang dijaga oleh bagian keamanan. P: Apakah terdapat cctv (close circuit tele vision) yang ditempatkan di lokasi yang ideal untuk merekam keluar masuknya karyawan? Apakah di dalam ruang kerja atau pemrosesan informasi juga ada cctv? Hanya di ruang tertentu saja terdapat cctv, pada ruangan kerja tidak ada cctv. P: Apakah ada dokumen yang mengatur bahwa untuk akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi? Sesuai dengan dokumen KD 57 Bab VI (Sekuriti Fisik dan Lingkungan Aset Informasi), pasal 16(Area Aman), ayat 2 3 Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. P: Apakah pintu darurat telah dipasang sesuai standar keamanan dan tertutup rapat? Iya, sudah sesuai standar. P: Standar yang dimaksud di sini seperti apa pak? Mungkin bisa dijelaskan? (misal

52 104 AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman (Secure Areas) Auditor Auditee : Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 5 September 16 Desember Pembatas keamanan fisik kalau pintu darurat, khusus pintu darurat harus memiliki criteria khusus bahwa pegangan pintunya harus terbuat dari bahan apa dan bentuknya harus seperti apa, dll) Terbuat dari besi, lebarnya kurang lebih 90cm, tingginya 200cm dan langsung menuju tangga darurat dan juga bisa menuju pintu darurat yang terhubung langsung dengan halaman luar kantor. P: Bagaimana kontrol pengawasan apabila terjadi bencana mendadak seperti kebakaran, banjir atau gempa? Masih manual, apabila terjadi suatu bencana yang tidak diinginkan maka barang atau fasilitas yang sekiranya bisa diamankan, langsung diamankan dengan cara diangkut atau dibawa oleh para karyawan ke area yang lebih aman. P: Apakah setiap karyawan mengetahui di mana saja pintu darurat berada? Iya, semua karyawan pasti tahu. Letaknya skitar 18m dari sini dan menyambung ke

53 105 AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman (Secure Areas) Pembatas keamanan fisik tangga darurat. Auditor Auditee : Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 5 September 16 Desember 2014 P: Apakah pintu darurat tersebut hanya dapat dibuka dari dalam atau juga dapat dibuka dari luar? (Kalaupun dapat dibuka dari luar, hanya dengan menggunakan kunci yang dimiliki oleh orang-orang yang telah ditunjuk misalnya personal keamanan gedung) Pintu darurat dapat dibuka dari dalam dan dari luar. Namun yang dari luar kuncinya hanya dipegang oleh security. Pintu daruratnya terkadang rusak, karena digunakan untuk keluar masuknya barang, harusnya digunakan saat darurat saja. 4 Orang yang akan masuk ke wilayah aman harus diawasi P: Apakah ada persyaratan khusus untuk orang lain selain karyawan yang akan mengunjungi wilayah aman? Seperti apakah persyaratan tersebut? Ada. Orang tersebut harus menemui resepsionist ditanyai dulu apa keperluannya - lalu diarahkan oleh resepsionis ke masing-masing unit yang bersangkutan menitipkan KTP lalu diberi kartu visitor yang akan dikenakan sampai selesai urusannya, lalu kartu visitor dikembalikan kepada resepsionis dan KTP akan dikembalikan kepada yang bersangkutan. P: Apakah ada pencatatan khusus apabila ada yang keluar masuk ruangan Desktop Management? Ada. Di buku kunjungan yang terdapat pada resepsionis. P: Adakah cctv yang mengawasi siapa saja yang masuk dan keluar ke wilayah aman? Cctv ada di pintu utama, di pintu yang menuju ruang kerja Desktop Management tidak ada.