BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI

Transkripsi

1 BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI 4.1. Latar Belakang Pembahasan Dalam mengumpulkan data data yang dibutuhkan, kami melakukan wawancara dengan asisten direktur, (Ibu Irma) dan manajer TI (Bpk. Supri) serta pengisian kuesioner oleh manajer TI dan karyawan yang berkaitan. Seperti yang sebelumnya telah dibahas pada Bab 2, kami menggunakan pendekatan OCTAVE S untuk melakukan pengukuran risiko teknologi informasi, dimana OCTAVE S terdiri dari 3 fase, yaitu: 1. Membangun profil ancaman berbasis aset (build asset based threat profiles) yang terdiri atas dua proses, yaitu mengidentifikasi informasi organisasi (identify organizational information Proses S1) dan menciptakan profil ancaman (create threat profiles Proses S2). 2. Mengidentifikasi kerentanan infrastruktur (identify infrastructure vulnerabilities) dimana terdapat satu proses, yaitu memeriksa infrastruktur komputer dalam hubungannya dengan aset kritis (examine computing infrastructure in relation to critical assets Proses S3). 3. Mengembangkan strategi dan rencana keamanan (develop security strategy and plans) dimana terdapat dua proses, yaitu mengidentifikasi dan menganalisa risiko (identify and analyze risks Proses S4) dan mengembangkan strategi perlindungan dan rencana mitigasi (develop protection strategy and mitigation plans Proses S5). 50

2 51 Kelima proses tersebut memiliki enam belas aktivitas yang terdiri dari tiga puluh langkah untuk membantu dalam menilai dan mengukur risiko penggunaan teknologi informasi dimana telah dilampirkan pada lampiran L6 sampai L Fase 1, Proses S1: Identifikasi Informasi Perusahaan Data data yang telah dikumpulkan dari GEASINDO diolah sesuai dengan langkah langkah yang terdapat di dalam OCTAVE S. Pada lampiran L6 dapat dilihat hasil pengisian kuesioner oleh pihak perusahaan. Adapun hasilnya, yaitu: S1.1: Kriteria Evaluasi Kualitatif Dampak Risiko (Langkah 1) Reputasi GEASINDO bagi pelanggan sudah cukup baik berdasarkan kuesioner yang sudah diisi oleh responden. GEASINDO memiliki para pelanggan yang loyal dan sebagian masih menjadi klien yang setia, disamping itu GEASINDO juga jarang menerima keluhan yang berarti dari klien dan partner, dikarenakan komitmen yang tinggi untuk melayanani yang terbaik bagi semua klien. Dilihat dari segi keuangan, biaya operasional GEASINDO mengalami peningkatan antara 5% 10% tiap tahunnya, hal ini disebabkan oleh kenaikan harga harga bahan baku sehingga berdampak pada pendapatan rutin maupun pendapatan tidak rutin. Sedangkan biaya lisensi atas berbagai macam aplikasi yang digunakan di GEASINDO, perusahaan memiliki anggaran tidak sampai Rp Jam kerja di GEASINDO bisa mengalami peningkatan 30% dari biasanya apabila menerima suatu proyek yang cukup besar.

3 52 Kemungkinan ancaman terhadap kehidupan karyawan di GEASINDO tergolong sedang, dikarenakan pekerjaan yang dilakukan GEASINDO terbagi menjadi 2 golongan yaitu pekerjaan lapangan dan pekerjaan kantor, dimana di pekerjaan lapangan memiliki risiko yang cukup besar dan di dalam pekerjaan kantor risiko yang ada cukup rendah. Dalam hal kesehatan untuk para karyawan, GEASINDO memberikan toleransi bagi karyawan yang mengalami gangguan kesehatan, biasanya kalau penyakit ringan GEASINDO memberikan waktu 2 3 hari, sedangkan untuk penyakit yang tergolong sedang (memerlukan perawatan di rumah sakit), GEASINDO memberikan batas waktu 2 4 minggu. GEASINDO akan dikenakan sangsi berupa denda atas setiap keterlambatan pengerjaan proyek, tetapi pada umumnya denda tidak mencapai Rp dan dilakukan secara kekeluargaan. Belum ada pelaksanaan investigasi dari pemerintah atau lembaga investigasi lain untuk mengaudit PT Geasindo Teknik Prima S1.2: Identifikasi Aset Organisasi (Langkah 2) Untuk mendukung aktivitas perusahaan, GEASINDO menggunakan SMARTSYS sebagai sistem utama, yang mengolah informasi mengenai customer, vendor, penjualan, pembelian, dan informasi akuntansi lainnya. Layanan yang diperlukan adalah Koneksi LAN. Terdapat juga aset yang terkait dengan SMARTSYS yaitu: Personal Computer, Crystal Report, Microsoft SQL Server 2005, selain itu sistem yang diperlukan adalah E mail yang mana dianggap penting karena informasi yang terdapat di dalamnya bersifat rahasia. Aplikasi dan

4 53 layanan yang diperlukan untuk sistem E mail adalah E mail Server dan koneksi Internet, sedangkan Personal Computer diperlukan sebagai aset yang terkait. Di GEASINDO, terdapat empat bagian yang memiliki keahlian dan kemampuan yang vital bagi perusahaan dan sulit untuk digantikan, mereka adalah Bpk. Harto selaku Senior Design Engineer yang bertanggungjawab mengelola desain desain proyek; Ibu Christiana selaku Finance Manager yang bertugas mengelola segala berkas keuangan dan operasional perusahaan serta pembuatan laporan keuangan; Ibu Rosita selaku manajer Cost Control and Purchasing yang bertugas menangani perhitungan estimasi biaya dan pembelian barang ke supplier; serta Bpk. Supri selaku Manajer TI yang bertanggungjawab dalam mengelola server, E mail, jaringan, dan sebagai technical support/helpdesk. Dalam beraktivitas, mereka menggunakan sistem SMARTSYS, Koneksi LAN, dan E mail, kecuali Senior Design Engineer yang tidak menggunakan SMARTSYS, dan menggunakan AutoCAD serta berhubungan dengan Arsip Desain sebagai aset lain yang berupa dokumen S1.3: Evaluasi Praktek Keamanan Organisasi (Langkah 3 4) Hasil evaluasi praktek keamanan di GEASINDO, yaitu: 1. Kesadaran Keamanan dan Pelatihan Kesadaran keamanan dan pelatihan pada GEASINDO tergolong cukup baik. Karyawan cukup memahami peran keamanan dan tanggung jawab pada tingkat dasar, tetapi secara resmi

5 54 perusahaan belum mengadakan pelatihan keamanan yang sesuai standar. Perusahaan juga belum mempunyai dokumentasi resmi mengenai kesadaran keamanan, pelatihan, dan pengingat periodik yang tersedia untuk semua personil. Pelanggaran praktik keamanan juga pernah terjadi, seperti menyebarkan informasi sensitif kepada orang lain, menggunakan password dengan kurang baik, serta kurangnya kemampuan yang memadai dalam menggunakan perangkat keras dan perangkat lunak teknologi informasi. Dari segi kesadaran keamanan dan pelatihannya, GEASINDO belum melakukan upaya sebatas update keamanan secara rutin dan adanya penggunaan firewall untuk jaringan untuk mengurangi risiko yang mungkin terjadi. 2. Strategi Keamanan GEASINDO dapat disimpulkan cukup memperhatikan strategi keamanan, dengan selalu mempertimbangkan unsur unsur keamanan informasi dalam setiap strategi bisnis. Strategi keamanan dan kebijiakan dapat dikatakan telah cukup dipertimbangkan dari segi bisnis dan tujuan perusahaan. Strategi, tujuan, dan sasaran keamanan perusahaan telah didokumentasikan secara seadanya. 3. Manajemen Keamanan GEASINDO sudah cukup memperhatikan keamanan informasi dilihat dari alokasi dana dan sumber dayanya. Peran dan tanggung jawab sudah dijelaskan dan dilaksanakan kepada semua karyawan. Dokumentasi untuk otorisasi dan pengawasan semua

6 55 karyawan yang bekerja dalam penyajian informasi masih kurang lengkap. Perusahaan juga belum memiliki bentuk manajemen keamanan untuk menilai risiko dan mengambil keputusan yang tepat dalam mengurangi risiko keamanan informasi. Kebijakan perekrutan dan penghentian karyawan yang terlibat dalam permasalahan keamanan informasi juga masih dilakukan dengan seadanya saja. 4. Peraturan dan Kebijakan Keamanan Seperti telah disebut sebelumnya, GEASINDO sudah cukup memperhatikan keamanan informasi terhadap peraturan dan kebijakan keamanan akan tetapi GEASINDO belum melakukan mendokumentasi peraturan dan kebijakan keamanan secara menyeluruh serta tidak pernah melakukan evaluasi terhadap keamanan teknologi informasi. 5. Manajemen Keamanan Kolaboratif Dalam hal ini, GEASINDO telah memiliki kebijakan dan prosedur dalam bekerja sama dengan pihak luar, misalnya melindungi informasi perusahaan lain, memahami kebijakan dan prosedur keamanan perusahaan lain, serta membatasi akses bagi pihak yang tidak bersangkutan. Sedangkan hal yang belum dilakukan oleh perusahaan yaitu memiliki dokumen informasi perusahaan untuk melindungi kebutuhan kebutuhan dan secara tegas memberitahukan kepada semua aspek. Selain itu perusahaan juga belum melakukan kebijakan

7 56 dan prosedur untuk bekerjasama dengan perusahaan lain dalam memberikan kesadaran keamanan tekologi informasi. 6. Rencana Kemungkinan/Pemulihan dari Bencana GEASINDO sudah melakukan perencanaan jika terjadinya bencana dan pemulihan bencana, serta rencana kontinuitas bisnis sudah cukup baik di dalam mempertimbangkan kebutuhan akses serta kontrol fisik dan elektronik. Kesadaran dan pemahaman karyawan akan rencana kemungkinan pemulihan bencana belum cukup baik, hal ini menyebabkan karyawan belum bisa menjalankan tanggung jawab mereka dalam menghadapi kemungkinan pemulihan bencana. 7. Kontrol Akses Fisik GEASINDO sudah mempunyai prosedur dan kebijakan dalam menjaga bangunan kantor, mengelola pengunjung, mengendalikan akses fisik di tempat kerja, serta menjaga informasi yang sensitif agar tidak diakses oleh pihak yang tidak berwenang. Adanya pembatasan pemakaian terhadap pengguna yang dapat mengakses ruang server (terbatas hanya untuk administrator). Tetapi perusahaan belum melakukan dokumentasi dan pengujian atas kontrol akses fisik yang dilakukan dan belum diterapkannya dokumentasi dan prosedur untuk mengelola pelanggan dan perangkat keras perusahaan. 8. Pemantauan dan Audit Keamanan Fisik Pemantauan dan audit untuk keamanan fisik belum dilakukan oleh perusahaan dengan baik. Perusahaan belum memiliki catatan pemeliharaan guna dokumentasi perbaikan dan modifikasi dari

8 57 komponen fisik fasilitas. Tindakan individu atau grup yang terkait semua media dikendalikan secara fisik dan kurang lebih dapat dipertanggungjawabkan. Setiap orang yang hendak mendekati ruang server dipantau apakah ada akses yang tidak sah didalamnya. Terdapat verifikasi oleh perusahaan atas pemantauan keamanan fisik. 9. Manajemen Sistem dan Jaringan Perusahaan kurang lebih telah memiliki rencana keamanan untuk menjaga sistem dan jaringan, tanpa dokumentasi yang lengkap. Back up atas informasi sensitif disimpan tidak secara off site melainkan menggunakan external harddisk. Pihak pengelola TI juga telah melakukan revisi software dan patch terhadap sistem informasi sesuai rekomendasi dalam saran keamanan. Hanya layanan yang diperlukan saja yang dijalankan pada sistem. Karyawan sudah cukup baik dalam mengikuti prosedur penerbitan, pengubahan, serta pengakhiran penggunaan password dan hak istimewa. Perusahaan belum mensyaratkan manajemen sistem dan jaringan untuk didokumentasikan. 10. Pemantauan dan Auditan Keamanan TI Pada praktik keamanan ini nilai yang diberikan adalah hijau karena perusahaan sudah memiliki alat untuk memantau serta mengaudit sistem dan jaringan yang secara rutin digunakan. Penggunaan firewall dan komponen keamanan di GEASINDO sudah

9 58 diaudit dengan cukup baik untuk mematuhi kebijakan. Pemantauan keamanan TI telah dikomunikasikan kepada semua pihak pemantau sistem dan jaringan, dan mereka telah diverifikasi perusahaan. 11. Pengesahan dan Otorisasi Perusahaan telah melakukan pengendalian atas akses dan otentikasi pengguna yang tepat (misalnya: perizinan file, konfigurasi jaringan). Pada perusahaan tidak terdapat metode dan mekanisme untuk memastikan bahwa informasi sensitif belum pernah diakses dan diubah secara tidak sah. Sedikitnya terdapat kebijakan dan prosedur terdokumentasi untuk mendirikan dan mengakhiri hak akses atas informasi. Dalam hal persyaratan otentikasi dan otorisasi secara resmi, perusahaan belum melakukan komunikasi dan verifikasi. 12. Manajemen Kerentanan GEASINDO belum melakukan tindakan terhadap manajemen kerentanan. Perusahaan belum melakukan dokumentasi. Perusahaan belum memiliki hubungan kerja sama dengan pihak ketiga dalam bidang ini. 13. Enkripsi GEASINDO sudah melakukan tindakan keamanan dengan menerapkan kendali atas sistem yang digunakan untuk melindungi informasi sensitif selama dalam penyimpanan dan transmisi. Perusahaan belum memiliki protokol terenkripsi pada sistem

10 59 informasi perusahaan, namun akses Internet Wi Fi memiliki fitur enkripsi WPA Desain dan Arsitektur Keamanan Sistem informasi SMARTSYS pada pembuatannya telah mempertimbangkan strategi keamanan dalam tingkat desain dan arsitektur pada tingkat dasar. Perusahaan tidak memiliki diagram up to date yang menunjukan keamanan arsitektur dari perusahaan. 15. Manajemen Insiden GEASINDO memiliki prosedur yang cukup untuk mengidntifikasi, melaporkan dan menanggapi dugaan pelanggaran keamanan dan insiden, tapi belum terdapat dokumentasi atas hal tersebut. Prosedur yang ada belum diuji, diverifikasi dan di update secara periodik. Perusahaan tidak menjalin kerja sama dengan lembaga penegak hukum dalam menjalankan prosedurnya Fase 1, Proses S2: Membuat Profil Ancaman Berdasarkan pengisian kuesioner yang dapat dilihat pada lampiran L16, maka hasil pengolahan sebagai berikut: S2.1: Memilih Aset Kritis (Langkah 5 9) Adapun aset aset kritis yang terdapat di GEASINDO, yaitu: 1. SM ARTSYS Sistem ini merupakan sistem informasi utama perusahaan yang terdiri dari segala informasi kegiatan bisnis perusahaan, termasuk diantaranya: server, PC, LAN, dan lain lain. Sistem ini bekerja pada jaringan intranet perusahaan.

11 60 2. E mail Sistem komunikasi yang digunakan oleh seluruh karyawan perusahaan. Sistem ini bekerja pada jaringan Internet. 3. Arsip Desain Aset ini tergolong dokumen berharga yang berupa rancangan rancangan dari proyek yang dikerjakan perusahaan. Aset ini merupakan dokumen yang sifatnya offline. Menurut pendekatan OCTAVE S, tim analis diperlukan untuk mengambil lima aset terpenting dari semua aset aset perusahaan. Namun oleh karena sistem informasi terintegrasi di perusahaan, yaitu SMARTSYS, maka aset yang dianggap terpenting hanya ada tiga buah. SMARTSYS sudah mencakup seluruh informasi penting perusahaan seperti: penjualan, produksi, client, karyawan dan penggajian, dan sebagainya. GEASINDO memilih SMARTSYS sebagai aset paling kritis yang digunakan oleh semua pihak dalam perusahaan. SMARTSYS dipilih sebagai aset paling kritis karena tanpa SMARTSYS maka aktivitas perusahaan tidak akan berjalan. Selain itu, semua informasi penting seperti data pelanggan, data pemasok, detail proyek, data karyawan, data penagihan, dan data data lain perusahaan tersimpan di sistem informasi SMARTSYS ini, sehingga apabila terjadi gangguan pada SMARTSYS, maka akan mempengaruhi sistem lain yang terhubung dengannya.

12 61 Sistem SMARTSYS digunakan oleh: Direktur, semua manajer, Finance, Cost Control, Marketing, dan HRD. Aset yang terkait dengan SMARTSYS diantaranya adalah: Database, E Mail, Server, Personal Computer, Koneksi LAN, dan User S2.2: Kebutuhan Keamanan pada Aset Kritis (Langkah 10 11) Kebutuhan keamanan untuk SMARTSYS adalah kerahasiaan informasi, integritas data, dan ketersediaan informasi saat diperlukan. Bagi GEASINDO kebutuhan keamanan yang paling penting terletak pada ketersediaan informasi. Kebutuhan keamanan yang paling penting adalah ketersediaan informasi, dikarenakan jika informasi yang dibutuhkan perusahaan tidak tersedia, maka aktivitas bisnis di dalam perusahaan tidak akan berjalan dengan lancar S2.3: Identifikasi Ancaman terhadap Aset Kritis (Langkah 12 16) Jalur Akses, Aktor, Motif, dan Jenis Ancaman (Langkah 12) Langkah ini menampilkan aset kritis perusahaan dimana akses yang dilakukan terhadap aset ini adalah melalui jaringan dan secara fisik. Adapun untuk mengidentifikasi ancaman pada aset kritis ini, aktor dibagi menjadi 2, yaitu aktor yang berasal dari dalam perusahaan dan aktor yang berasal dari luar. Motif pelaku dalam melakukan ancaman dibagi menjadi 2, yaitu ancaman yang dilakukan dengan sengaja dan yang tidak sengaja. Motif pelaku tersebut mengakibatkan masing masing kemungkinan terjadinya penyingkapan, modifikasi,

13 62 penghancuran, dan interupsi. GEASINDO memiliki tiga aset kritis seperti yang telah disebutkan di Langkah 5, yaitu: SMARTSYS, E Mail, dan Arsip Desain Penjelasan Pelaku Ancaman (Langkah 13) Langkah ini menjabarkan pelaku ancaman untuk setiap metode ancaman yang telah disebutkan berdasarkan motif pelaku dan jenis aktor. Berikut penjelasannya untuk setiap aset kritis: 1. SM ARTSYS Pada akses jaringan, secara internal pelaku ancaman yang tidak disengaja adalah staf dan pejabat yang mengentri, meng update, dan memodifikasi data; sedangkan pelaku ancaman yang sengaja adalah staf yang berniat bertindak kriminal. Secara eksternal pelaku ancaman yang tidak disengaja adalah serangan virus dan spyware; sedangkan pelaku ancaman secara sengaja adalah hacker dan mata mata. Pada akses fisik, secara internal pelaku ancaman yang tidak disengaja adalah staf yang menggunakan komputer staf lain; sedangkan pelaku ancaman secara sengaja adalah staf yang berniat bertindak kriminal. Secara eksternal, pelaku ancaman yang tidak disengaja adalah pihak outsource SMARTSYS karena mereka memiliki akses fisik menuju sistem informasi SMARTSYS, lalu yang kedua adalah bencana alam. Sedangkan pelaku ancaman secara sengaja adalah mata mata.

14 63 2. E Mail Pada akses jaringan, secara internal pelaku ancaman yang tidak disengaja adalah pengguna e mail itu sendiri dan Manajer TI, karena beliau yang mengelola E Mail Server; sedangkan pelaku ancaman yang sengaja adalah staf yang berniat bertindak kriminal. Secara eksternal pelaku ancaman yang tidak disengaja adalah serangan virus dan spyware, serta serangan spam; sedangkan pelaku ancaman secara sengaja adalah hacker dan mata mata. Pada akses fisik, secara internal pelaku ancaman yang tidak disengaja adalah staf yang menggunakan komputer staf lain; sedangkan pelaku ancaman secara sengaja adalah staf yang berniat bertindak kriminal. Secara eksternal, pelaku ancaman yang tidak disengaja adalah bencana alam. Sedangkan pelaku ancaman secara sengaja adalah mata mata. 3. Arsip Desain Pada akses jaringan, secara internal maupun eksternal, tidak ada pelaku ancaman dikarenakan data arsip desain tidak berhubungan dengan jaringan LAN. Pada akses fisik, secara internal pelaku ancaman yang tidak disengaja adalah staf yang menggunakan komputer staf lain; sedangkan pelaku ancaman secara sengaja adalah staf yang berniat bertindak kriminal. Secara eksternal, pelaku ancaman yang tidak disengaja adalah bencana alam.

15 64 Sedangkan pelaku ancaman secara sengaja adalah mata mata dan pencuri Penjelasan Tingkat Motif dan Keyakinan (Langkah 14) Langkah ini menjelaskan seberapa kuat motif pelaku ancaman dan seberapa yakin tim analis dengan prediksi yang diajukan. Pada langkah ini tidak disebutkan tingkat motif dan keyakinan tim analis untuk pelaku ancaman secara tidak sengaja, karena tindakan secara tidak sengaja diasumsikan tidak memiliki motif. Berikut penjelasannya untuk setiap aset kritis: 1. SM ARTSYS Melalui akses jaringan dan fisik, motif penyingkapan dan modifikasi oleh pihak internal yang dilakukan dengan sengaja adalah pada tingkat menengah. Sedangkan melalui akses jaringan, keyakinan tim analis atas terjadinya penyingkapan dan modifikasi oleh pihak internal secara sengaja adalah tinggi, karena di GEASINDO pernah terjadi pencurian dan modifikasi data oleh karyawan dalam. 2. E Mail Melalui akses jaringan dan fisik, motif penyingkapan informail yang terdapat pada e mail secara disengaja berada di posisi menengah karena sudah sangat umum terjadi bahwa karyawan yang berniat bertindak kriminal berkesempatan menyingkap pesan e mail yang penting.

16 65 3. Arsip Desain Pelaku ancaman penyingkapan dan penghancuran terhadap arsip desain dari pihak eksternal secara disengaja berada di posisi menengah. Hal ini dikarenakan data arsip desain yang memang berharga dan dapat digunakan oleh pihak kompetitor untuk meningkatkan kualitas konstruksinya Data Frekuensi Kejadian Ancaman di Masa Lalu (Langkah 15) Langkah ini menyebutkan seberapa sering ancaman yang teridentifikasi telah terjadi di masa lalu. Data disajikan dengan cara menyebut frekuensi kejadian per satuan tahun, selain itu disebutkan juga tingkat akurasi data yang disajikan. Berikut penjelasannya untuk setiap aset kritis: 1. SM ARTSYS Melalui akses jaringan pernah terjadi ancaman dari pihak internal secara tidak disengaja maupun disengaja dalam hal penyingkapan dan modifikasi. Sedangkan dari pihak eksternal secara tidak disengaja adalah dalam semua jenis ancaman. Melalui akses fisik sama halnya dengan akses jaringan, kecuali pada ancaman dari pihak eksternal secara tidak disengaja, jenis ancaman yang terjadi hanya dalam hal interupsi.

17 66 2. E Mail Melalui akses jaringan pernah terjadi ancaman dari pihak internal secara tidak disengaja dalam hal penyingkapan dan perghancuran, secara disengaja adalah dalam hal penyingkapan. Sedangkan dari pihak eksternal secara tidak disengaja adalah dalam hal interupsi, yaitu serangan spam yang sangat sering terjadi dan tim analis memberikan nilai sangat akurat terhadap data ini. Melalui akses fisik pernah terjadi ancaman dari pihak internal secara tidak disengaja maupun disengaja dalam hal penyingkapan. 3. Arsip Desain Melalui akses jaringan tidak pernah terjadi ancaman oleh kedua jenis aktor dan motif karena arsip desain tidak memiliki akses jaringan. Melalui akses fisik pernah terjadi ancaman dari pihak internal secara tidak disengaja dalam hal penyingkapan, modifikasi, dan interupsi; secara disengaja adalah dalam hal penyingkapan. Sedangkan dari pihak eksternal secara disengaja adalah dalam hal penghancuran dan interupsi Identifikasi Potensi Ancaman (Langkah 16) Langkah ini menyajikan contoh contoh konkrit dari ancaman berdasarkan jenis aktor yang dibagi lagi berdasarkan motif pelaku ancaman, untuk setiap jenis akses dan aset kritis

18 67 yang sedang dibahas. Berikut penjelasannya untuk setiap aset kritis: 1. SM ARTSYS Melalui akses jaringan karyawan memiliki kemungkinan untuk lalai dalam mengentri data, dan juga Manajer TI dalam melakukan maintenance dan update server. Server juga bisa terserang malware seperti virus, spyware, dan worm, yang merupakan ancaman dari pihak eksternal. Pasokan listrik yang kurang stabil dapat menghentikan server sehingga mengganggu kegiatan bisnis perusahaan. Pihak outsource SMARTSYS memilki akses terhadap sistem informasi, segala tindakan yang dilakukannya dapat memberi dampak pada sistem informasi, yang merupakan ancaman dari pihak eksternal. 2. E Mail Melalui akses jaringan ancaman dari pihak dalam secara tidak sengaja adalah jika Manajer TI lalai dalam melakukan maintenance terhadap E Mail Server dan pengguna e mail mengakibatkan hilangnya data data penting. Pada akses fisik terdapat ancaman dari pihak dalam, secara tidak disengaja yaitu: Staf meninggalkan komputer dalam keadaan e mail belum ter logout; secara disengaja yaitu: karyawan yang tidak berwenang membobol akses ke E Mail Server dan menyingkap dan menghapus data penting.

19 68 Sedangkan ancaman dari pihak luar secara tidak disengaja adalah: pasokan listrik yang kurang stabil menghentikan E Mail Server sehingga berpotensi mengganggu kegiatan bisnis. 3. Arsip Desain Tidak ada bentuk ancaman terhadap Arsip Desain melalui akses jaringan. Sedangkan ancaman melalui akses fisik oleh pihak dalam adalah: staf yang memilki akses menyingkap arsip desain perusahaan; oleh pihak luar adalah: tamu atau pihak luar yang mencuri arsip desain perusahaan Fase 2, Proses S3: Memeriksa Infrastruktur Komputer Terkait Aset Kritis Berdasarkan pengisian kuesioner yang dapat dilihat pada lampiran L36, maka hasil pengolahan dapat diterangkan sebagai berikut: S3.1: Memeriksa Infrastruktur Komputer (Langkah 17 18) Sistem yang berkaitan paling dekat dengan aset kritis pada GEASINDO adalah sistem informasi SMARTSYS, yang merupakan System of Interest. SMARTSYS terdiri dari kelas kelas komponen yaitu: Servers, Internal Networks, dan On Site Workstations. Sistem informasi SMARTSYS hanya menggunakan kelas komponen Internal Networks untuk mengirim informasi dan aplikasi kepada orang orang (people). Orang orang dapat mengakses SMARTSYS dari kelas komponen On Site Workstations. Kelas komponen Storage Devices digunakan untuk menyimpan informasi dari SMARTSYS untuk tujuan back up. Tidak ada

20 69 sistem dan komponen lain yang mengakses informasi atau aplikasi dari SM ARTSYS S3.2: Menganalisa Proses Terkait Teknologi (Langkah 19 21) Kelas komponen Server terdiri dari Server Lantai 4 yang berkaitan dengan sistem informasi SMARTSYS dan E Mail. Orang yang bertanggung jawab merawat dan menjaga setiap kelas komponen adalah Manajer TI dan pihak outsource SMARTSYS. Proteksi yang diterapkan pada server berada di tingkat paling banyak. Data ini diperoleh secara resmi dari wawancara kepada Manajer TI. Koneksi LAN merupakan kelas komponen Internal Networks yang memiliki kaitan dengan SMARTSYS dan E Mail. Tidak ada proteksi istimewa untuk item kelas komponen Internal Networks. Sedangkan untuk kelas komponen On Site Workstations, terdapat beberapa item yaitu PC Accounting, PC Cost Control, PC Designer, PC HRD, dan PC Marketing. Semua item terkait dengan aset E Mail dan SMARTSYS, kecuali PC Designer yang tidak menggunakan SMARTSYS tetapi terhubung dengan Arsip Desain. Semua pengguna setiap item menjadi orang yang bertanggung jawab atas item kelas komponennya masing masing, dengan bantuan Manajer TI dalam bentuk support/helpdesk. Khusus PC Accounting mendapatkan proteksi yang istimewa karena mengelola data data akuntansi perusahaan. Laptop yang dipakai para petinggi di perusahaan terhubung dengan aset E Mail untuk keperluan komunikasi resmi yang melibatkan

21 70 data data sensitif perusahaan. Proteksi yang diterapkan pada item kelas komponen ini merupakan perlindungan pada tingkat dasar. Kelas komponen Storage Devices terdiri dari Local Backup yang berkaitan dengan semua aset kritis, untuk keperluan back up; dan dirawat oleh Manajer TI. Local Backup mendapatkan proteksi yang tergolong istimewa. Data ini diperoleh secara resmi dari wawancara kepada Manajer TI Fase 3, Proses S4: Mengidentifikasi dan Menganalisa Risiko Berdasarkan pengisian kuesioner yang dapat dilihat pada lampiran L17 hingga L33. Maka hasil pengolahan sebagai berikut: S4.1: Mengevaluasi Dampak Ancaman (Langkah 22) Langkah ini menyajikan data mengenai penilaian tim analis akan dampak yang ditimbulkan dari setiap ancaman yang dijelaskan pada Langkah 12 berdasarkan kriteria kriteria yang telah dijelaskan pada Langkah 1. Penjelasan dari pengisian kuesioner pada langkah 22 untuk setiap aset kritis adalah sebagai berikut: 1. SM ARTSYS Penyingkapan terhadap data data sensitif pada sistem informasi SMARTSYS memberi dampak medium bagi reputasi perusahaan, dan low pada kriteria lainnya; modifikasi memberi dampak medium bagi reputasi dan finansial perusahaan, dan low pada kriteria lainnya; penghancuran memberikan dampak medium bagi produktivitas perusahaan, dan low pada kriteria lainnya. interupsi memberikan dampak

22 71 high pada produktivitas perusahaan karena interupsi terhadap sistem SMARTSYS dapat menghambat kinerja di banyak bidang, dan low pada kriteria lainnya. Penilaian ini berlaku untuk akses jaringan maupun fisik, internal maupun eksternal, sengaja maupun tidak sengaja. 2. E Mail Pada aset kritis ini ancaman penghancuran memberikan dampak medium bagi finansial perusahaan karena data data yang terkirim melalui e mail tergolong sensitif, jika data data tersebut hilang akan merugikan perusahaan. Kemudian dampak medium diberikan kepada ancaman penghancuran dan interupsi bagi produktivitas perusahaan. Sedangkan ancaman yang lain memberi dampak low bagi kriteria lainnya. Penilaian ini berlaku untuk akses jaringan maupun fisik, internal maupun eksternal, sengaja maupun tidak sengaja. 3. Arsip Desain Tidak ada penilaian dampak atas semua jenis ancaman untuk semua kriteria pada Arsip Desain melalui akses jaringan, dikarenakan Arsip Desain tidak dapat diakses melalui jaringan. Untuk akses fisik, ancaman penyingkapan dan penghancuran memberi dampak medium bagi reputasi perusahaan, sedangkan ancaman modifikasi memberikan dampak high. Sedangkan kriteria finansial perusahaan

23 72 mengalami dampak high dari ancaman penyingkapan, dan dampak medium dari ancaman modifikasi. Ancaman yang lain memberi dampak low bagi kriteria lainnya. Penilaian ini berlaku untuk internal maupun eksternal, sengaja maupun tidak sengaja S4.2: Mendirikan Kriteria Evaluasi Probabilitas (Langkah 23) Pada GEASINDO, tim analis menentukan waktu peristiwa terjadinya ancaman, yaitu tertinggi adalah secara bulanan, dan terendah adalah satu kali dalam lima tahun. Pengukuran ini berlaku untuk semua ancaman pada aset kritis, baik yang disengaja maupun tidak disengaja S4.3: Mengevaluasi Probabilitas Ancaman (Langkah 24) Penjelasan untuk setiap aset kritis perusahaan adalah sebagai berikut: 1. SM ARTSYS Melalui akses jaringan, probabilitas yang memiliki nilai medium oleh pihak internal adalah pada penyingkapan dan modifikasi secara tidak disengaja, dan modifikasi secara sengaja; oleh pihak eksternal, motif tidak sengaja memiliki probabilitas medium untuk semua jenis ancaman. Melalui akses fisik, oleh pihak internal baik disengaja maupun tidak disengaja, probabilitas terjadinya penyingkapan dan modifikasi diberi nilai medium, juga oleh pihak eksternal secara tidak disengaja untuk ancaman interupsi.

24 73 2. E Mail Melalui akses jaringan, ancaman penghancuran oleh pihak internal secara tidak disengaja memiliki nilai probabilitas medium; sedangkan ancaman interupsi oleh pihak eksternal secara tidak disengaja memiliki nilai probabilitas high karena interupsi oleh serangan spam sangat umum terjadi dan frekuensinya sangat sering. Melalui akses fisik, ancaman penyingkapan oleh pihak internal secara tidak disengaja memiliki nilai probabilitas medium. Sedangkan untuk ancaman pada motif dan aktor lainnya memiliki nilai probabilitas low. 3. Arsip Desain Dikarenakan Arsip Desain tidak dapat diakses melalui jaringan, maka tidak ada probabilitas terjadinya ancaman, dan tim analis memberikan nilai low. Melalui akses fisik, ancaman penyingkapan, modifikasi, dan penghancuran secara tidak disengaja oleh pihak internal memiliki nilai probabilitas medium, juga untuk ancaman penghancuran dan interupsi oleh pihak eksternal Fase 3, Proses S5: Mengembangkan Strategi Perlindungan dan Rencana Mitigasi Berdasarkan pengisian kuesioner yang dapat dilihat pada lampiran L38. Maka hasil pengolahan sebagai berikut:

25 S5.1: Menjelaskan Strategi Perlindungan Saat Ini (Langkah 25) Langkah ini menjelaskan sudah seberapa jauh strategi perlindungan informasi diterapkan oleh perusahaan, untuk setiap bidang praktik keamanan yang memiliki stoplight status Red. Pada GEASINDO terdapat lima praktik keamanan yang memiliki stoplight status Red, yaitu: 1. Praktik Keamanan Nomor 4: Kebijakan Keamanan dan Peraturan. Tim analis menemukan bahwa perusahaan telah memiliki: kebijakan terkait keamanan yang tidak resmi dan tidak didokumentasikan; mekanisme untuk membuat dan memperbarui kebijakan yang terkait dengan keamanan tetapi tidak resmi dan tidak didokumentasikan; prosedur untuk menjalankan kebijakan yang terkait dengan keamanan yang tidak resmi dan tidak didokumentasikan; program pelatihan kesadaran keamanan dari perusahaan tidak mencakup informasi tentang kebijakan dan peraturan perusahaan sehingga anggota staf keamanan harus mempelajarinya sendiri; dan prosedur informal yang tidak didokumentasikan untuk mentaati kebijakan keamanan informasi, peraturan dan undang undang yang berlaku, dan persyaratan asuransi. 2. Praktik Keamanan Nomor 5: Manajemen Keamanan Kolaboratif. Hasil analisa menunjukkan bahwa perusahaan telah memilki kebijakan dan prosedur tidak terdokumentasi dan tidak resmi untuk melindungi informasi saat bekerja dengan kolaborator dan partner, dengan kontraktor dan subkontraktor, dan dengan penyedia layanan.

26 75 Perusahaan secara tidak resmi mengkomunikasikan persyaratan perlindungan informasi kepada semua pihak outsource SM ARTSYS. Perusahaan belum memiliki mekanisme resmi untuk memverifikasi bahwa semua perusahaan pihak outsource SMARTSYS, pelayanan keamanan outsource, mekanisme, dan teknologi telah memenuhi kebutuhan dan persyaratannya. Program pelatihan kesadaran keamanan perusahaan tidak memasukkan informasi mengenai kebijakan dan prosedur manajemen keamanan kolaboratif, karyawan lalu mempelajarinya sendiri. 3. Praktik Keamanan Nomor 11: Otentikasi dan Otorisasi Tanggung jawab untuk otentikasi dan otorisasi dalam hal menjalankan akses kontrol untuk membatasi akses pengguna, menjalankan otentikasi pengguna untuk membatasi akses, dan membuat atau mengakhiri akses ke sistem informasi baik untuk individu dan kelompok dilakukan semuanya oleh pihak internal. Perusahaan memiliki prosedur otorisasi dan otentikasi yang tidak resmi dan tidak didokumentasi untuk membatasi pengguna akses ke informasi, sistem sensitif, spesifik aplikasi dan layanan, dan jaringan koneksi. Perusahaan umumnya tidak memberikan kesempatan bagi staf teknologi informasi untuk menghadiri pelatihan untuk menerapkan langkah langkah teknologi dalam membatasi pengguna untuk akses informasi, sistem sensitif, spesifik aplikasi dan layanan, dan jaringan

27 76 koneksi sehingga anggota staf teknologi informasi harus belajar tentang otentikasi dan otorisasi sendiri. 4. Praktik Keamanan Nomor 12: Manajemen Kerentanan. Tanggung jawab yang telah dilakukan perusahaan untuk manajemen kerentanan dalam hal memilih alat alat, checklist, dan script kerentanan; menjadwalkan dan melakukan evaluasi kerentanan teknologi secara berkala; meng update jenis jenis kerentanan dan metode serangan; meninjau ulang sumber sumber informasi tentang pengumuman, peringatan keamanan, dan catatan kerentanan; menafsirkan hasil dari evaluasi kerentanan teknologi; mengalamatkan kerentanan teknologi yang teridentifikasi; memelihara penyimpanan yang aman terhadap karakter data kerentanan teknologi dilakukan semuanya oleh pihak internal. Perusahaan memiliki prosedur manajemen kerentanan yang tidak resmi dan tidak terdokumentasi. Staf TI tidak memiliki kesempatan untuk mendapatkan pelatihan untuk mengelola kerentanan teknologi dan menggunakan alat alat evaluasi kerentanan. Kebutuhan manajemen kerentanan perusahaan secara tidak resmi dikomunikasikan kepada semua kontraktor dan penyedia jasa yang mengelola kerentanan teknologi. Perusahaan tidak memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan manajemen kerentanan.

28 77 5. Praktik Keamanan Nomor 15: Manajemen Insiden. Tanggung jawab untuk manajemen insiden dalam hal mendokumentasikan dan merevisi prosedur untuk mengidentifikasi, melaporkan, dan menanggapi dugaan insiden dan pelanggaran keamanan; mendokumentasikan dan merevisi kebijakan dan prosedur untuk bekerja dengan lembaga penegak hukum; menguji prosedur manajemen insiden secara berkala dilakukan semuanya oleh pihak internal. Perusahaan sudah memilki prosedur terhadap manajemen insiden tetapi tidak resmi dan tidak terdokumentasi. Perusahaan belum menyediakan kesempatan bagi karyawan untuk mendapatkan pelatihan manajemen insiden S5.2: Memilih Pendekatan Mitigasi (Langkah 26 27) Berdasarkan kertas kerja profil risiko yang terdapat pada kuesioner, diketahui bahwa stoplight pada area praktik keamanan Kebijakan Keamanan dan Peraturan, Manajemen Keamanan Kolaboratif, Pengesahan dan Otorisasi, Manajemen Kerentanan, serta Manajemen Insiden berwarna merah. Area ini berwarna merah karena perusahaan belum memiliki peraturan dan kebijakan keamanan serta belum memastikan pemenuhan dari kebijakan keamanan informasi, penerapan hukum dan peraturannya. Untuk itu perusahaan memutuskan untuk segera melakukan mitigasi pada area ini.

29 S5.3: Mengembangkan Rencana Mitigasi Risiko (Langkah 28) Berdasarkan hasil pengisian kuesioner, sudah diketahui area yang perlu dimitigasi oleh perusahaan, rencana mitigasi risiko yang harus dibuat untuk setiap bidang praktek keamanan adalah: 1. Praktik Keamanan Nomor 4: Kebijakan Keamanan dan Peraturan Membuat kebijakan dan peraturan tentang keamanan dalam perusahaan yang terdokumentasi resmi dan memberikan pelatihan kesadaran keamanan pada anggota staf yang baru sebagai bahan orientasi. 2. Praktik Keamanan Nomor 5: Manajemen Keamanan Kolaboratif Membuat kebijakan dan prosedur terdokumentasi untuk melindungi informasi tertentu saat bekerja dengan pihak outsource SMARTSYS, dan melakukan verifikasi terhadap kebijakan dan prosedur pengamanan informasi yang dilakukan secara kolaboratif. 3. Praktik Keamanan Nomor 11: Pengesahan dan Otorisasi Membuat pembatasan terhadap segala bentuk otorisasi yang terjadi dan mengadakan pelatihan kepada staf mengenai otentikasi dan otorisasi. 4. Praktik Keamanan Nomor 12: Manajemen Kerentanan Membuat beberapa prosedur manajemen kerentanan yang terdokumentasi secara resmi dan diverifikasi dan membentuk tim pelaksana manajemen kerentanan.

30 79 5. Praktik Keamanan Nomor 15: Manajemen Insiden Membuat beberapa prosedur manajemen insiden secara resmi dan diverifikasi S5.4: Mengidentifikasi Perubahan Strategi Perlindungan (Langkah 29) Langkah ini menjelaskan mengenai aktivitas mitigasi yang direkomendasikan tim analis untuk setiap bidang praktik keamanan yang telah dibahas pada Langkah 25, yaitu: 1. Praktik Keamanan Nomor 4: Kebijakan Keamanan dan Peraturan. Rekomendasi yang diberikan untuk perusahaan yaitu: Perusahaan memberlakukan kebijakan yang terkait keamanan yang terdokumentasi; mekanisme resmi untuk menciptakan keamanan yang terkait dengan kebijakan; prosedur resmi untuk menjalankan keamanan yang terkait dengan kebijakan; prosedur resmi untuk mematuhi kebijakan keamanan tertentu, undang undang yang berlaku, dan persyaratan asuransi. Perusahaan juga harus dapat menjalankan prosedur yang diikuti secara konsisten dan perusahaan memberikan pelatihan kesadaran keamanan mencakup informasi tentang kebijakan dan peraturan perusahaan. Pelatihan ini disediakan untuk staf baru sebagai bagian dari kegiatan orientasi mereka. 2. Praktik Keamanan Nomor 5: Manajemen Keamanan Kolaboratif. Perusahaan harus memiliki kebijakan dan prosedur terdokumentasi untuk melindungi informasi tertentu saat bekerja

31 80 dengan: kolaborator dan partner, kontraktor dan subkontraktor, penyedia layanan, juga mekanisme resmi untuk memverifikasi bahwa semua perusahaan pihak ketiga, pelayanan keamanan outsource, mekanisme, dan teknologi telah memenuhi kebutuhan dan persyaratannya. Perusahaan juga harus mendokumentasikan kebutuhan perlindungan informasi dan secara tegas mengkomunikasikannya kepada semua pihak ketiga dan memberikan program pelatihan kesadaran keamanan mengenai kebijakan dan prosedur manajemen keamanan kolaboratif. Pelatihan ini diberikan kepada semua karyawan satu kali setiap satu tahun. 3. Praktik Keamanan Nomor 11: Otentikasi dan Otorisasi Perusahaan sebaiknya memiliki beberapa prosedur otorisasi dan otentikasi yang didokumentasi secara resmi untuk membatasi pengguna akses ke informasi, sistem sensitif, spesifik aplikasi dan layanan, dan jaringan koneksi. Beberapa prosedur di wilayah ini informal dan tidak didokumentasikan. Staf teknologi informasi dapat menghadiri pelatihan untuk menerapkan langkah langkah teknologi untuk membatasi pengguna untuk akses informasi, sistem sensitif, spesifik aplikasi dan layanan, dan jaringan koneksi. 4. Praktik Keamanan Nomor 12: Manajemen Kerentanan. Perusahaan dapat meberikan tanggung jawab dalam memilih alat alat, checklist, dan script kerentanan kepada pihak eksternal. Perusahaan juga dapat berkolaborasi dengan pihak eksternal dalam

32 81 menjadwalkan dan melakukan evaluasi kerentanan teknologi secara berkala, meng update jenis jenis kerentanan dan metode serangan, menafsirkan hasil dari evaluasi kerentanan teknologi. Perusahaan dapat membuat beberapa prosedur manajemen kerentanan yang terdokumentasi secara resmi, dan memberikan staf TI pelatihan untuk mengelola kerentanan teknologi dan penggunaan alat alat evaluasi kerentanan. Perusahaan diharapkan dapat memverifikasi kontraktor dan penyedia layanan apakah telah memenuhi persyaratan manajemen kerentanan. 5. Praktik Keamanan Nomor 15: Manajemen Insiden. Tim analis memberikan rekomendasi mitigasi untuk menguji prosedur manajemen insiden secara berkala dengan mengkolaborasikannya bersama pihak eksternal. Perusahaan diharapkan memilki prosedur manajemen insiden yang terdokumentasi secara resmi S5.5: Mengidentifikasi Langkah Selanjutnya (Langkah 30) Untuk mendukung peningkatan keamanan, manajemen harus membuat keamanan informasi sebagai prioritas pada tingkat strategis dan mengalokasikan dana untuk pelaksanaan implementasi rencana mitigasi, lalu semua manajer fungsional harus memastikan bahwa semua stafnya memiliki waktu yang cukup untuk berpartisipasi dalam segala aktivitas terkait keamanan yang diikuti. Untuk memantau implementasi dapat dilakukan dengan cara: memberikan tanggung jawab kepada pelaksana implementasi untuk

33 82 membuat penjadwalan oleh pihak manajemen, dan mewajibkan pembuatan laporan status bulanan kepada manajemen oleh pelaksana implementasi. Perusahaan tidak akan melakukan perluasan pengukuran untuk menambahkan aset kritis, jika kegiatan mitigasi yang ada sekarang belum diterapkan secara menyeluruh. Perusahaan dianjurkan oleh tim analis untuk melakukan pengukuran risiko keamanan selanjutnya dengan metode OCTAVE S setiap dua tahun, karena GEASINDO tidak memiliki sistem informasi dan aset teknologi informasi yang cukup kompleks, jika dibanding perusahaan lain yang skalanya lebih besar dimana pada perusahaan perusahaan tersebut mungkin diperlukan pengukuran setiap satu tahun sekali.