BAB 4 HASIL DAN PEMBAHASAN MANAJEMEN RISIKO TI. IT. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis

Transkripsi

1 A 4 HASIL DAN PEMAHASAN MANAJEMEN RISIKO TI 4.1 Latar elakang Pembahasan Dalam manajemen risiko yang dilakukan pada PT. Cipta Sumber Sejahtera, kami mengolah data berdasarkan wawancara dengan apak William selaku Manager IT. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis metode FRAP yang terdiri dari 4 tahap, yaitu 1. Pre FRAP Meeting Terdapat komponen penting pada Pre FRAP Meeting : - Ruang Lingkup - Pembuatan Model Visual - Pembentukan Tim FRAP 2. The Frap Session Meliputi 3 proses, yaitu : - Identifikasi risiko dalam risk list - Prioritas dari risiko - Menyarankan kontrol pada risiko 3. FRAP analysis and report generation Dalam proses ini terdiri dari beberapa tahap, antara lain : - Anualized Loss Exposure / ALE

2 - Annualized Rate of Occurance / ARO 4. Post-FRAP Meeting Proses dari Post-FRAP, yaitu : - Action Plan - Cross-reference sheet Keempat proses tersebut memiliki aktivitas yang membantu dalam menilai dan mengukur manajemen risiko teknologi informasi. 4.2 Informasi dari Organisasi erdasarkan pengumpulan data yang didapat dari PT. Cipta Sumber Sejahtera, datadata diolah sesuai dengan langkah-langkah yang terdapat di dalam metode FRAP. Di mana pada lampiran L1 dapat dilihat hasil pengisian kuesioner oleh pihak TI perusahaan. Adapun hasil pengolahan, yaitu: 1. Kebijakan Keamanan erdasarkan kuesioner yang sudah diisi oleh koresponden, telah terdapat kebijakan yang mengatur mengenai keamanan informasi pada PT Cipta Sumber Sejahtera, namun masih berada pada tahap pengembangan. Dengan adanya pelatihan yang singkat pada karyawan, dapat membantu mereka untuk menerapkan keamanan informasi pada perusahaan ini, hal ini terlihat dari bagaimana karyawan dapat memahami peran dan tanggung jawab dalam mendukung operasi keamanan informasi, tetapi karena tidak adanya buku panduan, para karyawan tidak dapat mengerti secara detail mengenai konsekuensi dari ketidakamanan informasi tersebut. 2. Organizational Suitability Perusahaan sudah memiliki pengalokasikan dana dan sumberdaya yang cukup untuk aktivitas keamanan informasi perusahaan. Peran keamanan dan

3 tanggung jawab sudah dipraktekan oleh semua karyawan dalam mencapai tujuan perusahaan, namun dikarenakan sebagian kebijakan hanya dikomunikasikan saja dan tidak adanya audit berkala pada kebijakan keamanan informasi membuat perusahaan tidak memprioritaskan / melakukan penerapan IT yang kompleks pada setiap divisi 3. Physical Security Perusahaan tidak memiliki pengendalian akses fisik yang cukup baik, kebijakan serta fasilitas keamanan yang disediakan oleh perusahaan dalam menjaga lokasi hanya sebatas pada bangunan tempat kerja dengan menggunakan cctv pada ruangan - ruangan tertentu. Tindakan perusahaan sudah cukup baik dalam menjaga informasi yang sensitif agar tidak di akses oleh pihak yang tidak berwenang, contohnya pada penggunaan password dalam mengakses informasi serta pembatasan terhadap penggunaan informasi sensitive yang hanya dapat diakses oleh pihak-pihak tertentu. 4. usiness Impact Analysis, Disaster Recovery Plan Saat ini perusahaan belum melakukan analisa dampak bisnis terhadap hal-hal yang berkaitan dengan kegiatan operasional, aplikasi-aplikasi dan data penting yang ada diperusahaan. Dari segi rencana pemulihan bencana, perusahaan belum memiliki perencanaan yang maksimal, dikarenakan perusahaan akan mengambil tindakan langsung ketika risiko dan bencana terjadi. Oleh karena itu, kesadaran serta pemahaman karyawan akan rencana kemungkinan pemulihan bencana belum cukup baik, hal ini menyebabkan karyawan belum dapat menjalankan tanggung jawab mereka dalam menghadapi kemungkinan pemulihan bencana secara maksimal.

4 5. Technical Safeguards Perusahaan tidak mengelola sistem dan jaringan dengan baik, hal tersebut dapat dilihat dari tidak adanya rencana uji keamanan dalam menjaga sistem dan jaringan perusahaan. Dengan tidak diaktifkannya firewall, membuat pihak yang tidak berwenang dapat mengambil atau merusak data diantara komputer komputer yang ada. Tidak adanya network diagram dan audit infrakstruktur jaringan, merupakan kendala yang cukup besar bagi perusahaan ini. Akan tetapi, Perusahaan telah melindungi informasi sensitif di tempat yang aman dengan menggunakan password untuk mengakses informasi tersebut. 6. Telecommunications Security Perusahaan sudah memiliki kebijakan atas penggunaan sumber daya telekomunikasi yang cukup baik, tetapi hanya terbatas pada pengecekan billing telepon, keamanan Wi-Fi pada perusahaan sudah di protect menggunakan mac address tertentu. Tidak adanya kontrol yang berkala terhadap remote akses computer menjadi salah satu kendala dalam mengontrol pihak pihak yang tidak berwenang untuk mengakses computer pada perusahaan. 4.3 Analysis menggunakan metode FRAP Dalam melakukan proses manajemen risiko teknologi informasi pada PT. Cipta Sumber Sejahtera, kami menggunakan metode FRAP (Facilitated Risk Analysis Process) untuk menganalisis kemungkinan risiko yang akan terjadi, control terhadap risiko maupun pencegahan atas risiko tersebut, sehingga risiko dapat

5 dihindari agar tidak menggangu proses bisnis yang berjalan pada PT Cipta Sumber Sejahtera. - erdasarkan data yang kami dapatkan melalui observasi dan wawancara pada PT. Cipta Sumber Sejahtera, menghasilkan data sebagai berikut. 1. Pre FRAP Meeting Pre-FRAP Meeting merupakan kunci sukses dari metode FRAP, karena merupakan proses perencanaan awal dalam melakukan analisis, dilakukan di ruang tamu PT. Cipta Sumber Sejahtera. Pertemuan ini membahas ruang lingkup (scope statement, model visual (visual model), dan team FRAP yang dibentuk. A. Scope Statement Application / System : ack Office System Pre FRAP Date : 26 maret 2010 Pemimpin proyek dan informasi / pemilik sistem akan menjelaskan pada Pre- FRAP meeting mengenai ruang lingkup dan proses bisnis utama. Mereka menentukan ruang lingkup dan identifikasi dari proses bisnis SCOPE STATEMENT : Penjualan arang Key business processes isnis Proses 1 isnis Proses 2 isnis Proses 3 : Input arang : Kirim arang : Retur arang

6 . Visual Model erikut adalah tampilan dari aplikasi ack Office System 1. Tampilan aplikasi login pada ack Office System Gambar 4.1 Aplikasi Log in 2. Tampilan ack Office System keseluruhan Gambar 4.2 Aplikasi ack Office System

7 3. Tampilan aplikasi Input arang pada ack Office System Gambar 4.3 Aplikasi Input arang 4. Tampilan aplikasi arang Masuk pada ack Office System Gambar 4.4 Aplikasi arang Masuk

8 5. Tampilan aplikasi Kirim arang pada ack Office System Gambar 4.5 Aplikasi Kirim arang 6. Tampilan aplikasi Retur arang pada ack Office System Gambar 4.6 Aplikasi Retur arang

9 C. Team Frap Team FRAP yang terdapat pada PT Cipta Sumber Sejahtera ada 7 peserta yaitu : 1. Owner ( Soetjipto Lays ) 2. Application programing ( Livian S.Kom ) 3. Sistem progaming (Ahad S.Kom) 4. Sistem Analis (William S.Kom) 5. Administrasi jaringan IT (Dwiyanti) 6. Administrasi Database (Anna Rosiana) 7. System User ( Erhan. M ) 2. FRAP Session FRAP Session yang berlangsung pada PT. Cipta Sumber Sejahtera dibatasi selama 4 jam. Adapun hasil dari pengolahan, yaitu : A. Risk List dan Priority erdasarkan hasil pertemuan dengan pk. William selaku Manager IT PT Cipta Sumber Sejahtera, didapatkan Risk List beserta priority sebagai berikut : Risk # Risk Type Risk Description Priority 1 Integrity Informasi diakses oleh karyawan yang tidak berwenang 2 Integrity Database bisa rusak oleh kerusakan perangkat keras, dan perangkat lunak D 3 Integrity Kerusakan aplikasi

10 4 Integrity Kesalahan input data 5 Integrity Kurangnya proses internal untuk mengendalikan, mengelola seluruh fungsi data A 6 Integrity Kehilangan data 7 Integrity Data diperbarui secara internal tapi tidak dibuat eksternal 8 Integrity Akses ke informasi yang ditolak C 9 Integrity Dampak untuk usaha dengan menggunakan informasi yang tidak benar 10 Integrity Kebocoran informasi sensitif 11 Integrity perubahan yang tidak tercatat pada sistem / aplikasi perangkat lunak atau data 12 Integrity E produk bisnis tidak dirancang sesuai dengan harapan pengguna 13 Confidentiality Informasi / data yang tidak benar 14 Confidentiality Tidak sesuainya Job desk yang jelas 15 Confidentiality Tidak aman untuk mengirimkan informasi /data yang sensitif A 16 Confidentiality Informasi pada laptop tidak terlindungi 17 Confidentiality informasi sensitif dan nonsensitive dicampur 18 Confidentiality erbagi UserID 19 Confidentiality Tidak adanya firewall 20 Availability Hacker bisa membuat situs down 21 Availability Kebijakan keamanan hanya terbatas pada pemberitahuan lisan C 22 Availability Kerusakan hardware

11 23 Availability Kesalahan aplikasi dapat menyebabkan sumber daya kesulitan dalam menggunakan aplikasi 24 Availability Virus dapat menyebabkan tidak tersedianya informasi dalam sistem aplikasi 25 Availability Tidak adanya buku pedoman panduan aplikasi maupun kebijakan keamanan C A C 26 Availability ackup tidak mencukupi C Tabel 4.1 Risk List. Control List erdasarkan hasil pertemuan dengan pk. William selaku Manager IT PT Cipta Sumber Sejahtera, didapatkan Control List sebagai berikut : Nomor Kontrol Class Deskripsi Kontrol 1 ackup Kebutuhan backup ditentukan dan dikomunikasikan, serta dilakukan pada tiap-tiap bagian 2 Rencana Pemulihan Perancangan prosedur pemulihan aplikasi dengan menggunakan backup 3 Kontrol akses Melaksanakan mekanisme kontrol akses untuk mencegah akses yang tidak sah terhadap informasi perusahaan 4 Kontrol akses menerapkan mekanisme untuk membatasi akses ke informasi yang sensitive, seperti menggunakan Log in

12 5 Pengendalian Aplikasi 6 Pengujian Penerimaan Merancang dan implementasi pengendalian kontrol pada aplikasi untuk memastikan integritas, kerahasiaan, dan ketersediaan informasi Mengembangkan prosedur pengujian yang harus diikuti selama pengembangan aplikasi dan modifikasi pada aplikasi 7 Anti Virus 1). memastikan administrator LAN menginstal software anti-virus standar pada komputer perusahaan dan database 2). pelatihan dan kesadaran teknik pencegahan virus 8 Kebijakan Mengembangkan ketentuan dan prosedur untuk membatasi akses dan memberikan akses khusus sesuai dengan kebutuhan bisnis 9 Pelatihan Pelatihan termasuk intruksi dan dokumentasi untuk penggunaan aplikasi yang benar. 10 Review Mengimplementasikan mekanisme untuk memonitor, melaporkan dan mereview aktifitasaktifitas yang dibutuhkan proses bisnis. 11 ackup Kontrol operasi: pelatihan backup aplikasi yang diberikan kepada seluruh karyawan. 12 Pelatihan Kontrol operasi: pengembangan aplikasi yang menyediakan dokumentasi dan memastikan pertukaran data antar aplikasi berjalan dengan baik dan aman. 13 Access Control Kontrol operasi: mekanisme yang dilakukan guna mengamankan database dari akses yang tidak diinginkan dengan mengunakan log in 14 Pemeliharaan Kontrol operasi: melakukan maintenance database dan membicarakannya dengan pihak manajemen. 15 Pelatihan Kontrol pengguna: mengimplementasikan aplikasi bagi pengguna sesuai dengan ketentuan dan prosedur yang berlaku. Serta memastikan fungsifungsi dari aplikasi.

13 16 Service Level Agreement Menentukan tingkat harapan kepuasan dari pengguna. 17 Keamanan Fisik Penyediaan kebutuhan untuk melindungi informasi, software, dan hardware yang dibutuhkan oleh system 18 Manajemen suport Meminta management support untuk memastikan kooperasi dan koordinasi dari masing-masing unit bisnis, serta memastikan transisi yang baik ke dalam system. 19 Proprietary Kontrol prioritas 20 Manajemen Perubahan Memastikan semua perpindahan data berlangsung secara benar. Tabel 4.2 Control List 3. FRAP analysis and report generation Dalam FRAP analysis and report generation dapat dijelaskan mengenai biaya yang harus dikeluarkan oleh PT Cipta Sumber Sejahtera, apabila terjadinya risiko yang telah diidentifikasi sebelumnya, erikut merupakan contoh kondisi perusahaan saat risiko terjadi menyebabkan dampak kerugian operasional pada perusahaan. PT Cipta Sumber Sejahtera saat ini memiliki 21 unit komputer, harga 1 unit 113omputer Rp erdasarkan data 5 tahun terakhir, telah terjadi kehilangan hardware computer sebanyak 5 buah, dan diasumsikan terjadi kehilangan 1 unit hardware dalam 1 tahun. Kerugian yang sering terjadi adalah kehilangan hardware komputer seharga / unit. Manager IT mengusulkan pembelian teralis dan gembok yang dipasangkan pada meja 113omputer, seharga Rp /unit dan masa berlaku

14 teralis dan gembok selama 6 tahun. Dengan adanya teralis dan gembok dapat menurunkan kemungkinan pencurian dibandingkan tanpa gembok dan teralis erdasarkan perhitungan Exposure Factor (EF) didapat persentase dari risiko yang teridentifikasi karena kehilangan asset hardware pada PT Cipta Sumber Sejahtera senilai 3,2%. Ancaman yang terjadi 1 kali dalam 1 tahun, dengan perumpamaan 1/1. Nilai kerugian terhadap asset bila sebuah risiko yang teridentifikasi terjadi, sebesar Rp iaya yang harus dikeluarkan oleh perusahaan selama 1 tahun untuk memperbaiki risiko yang telah terjadi sebesar Rp Rp ; iaya yang dikeluarkan PT Cipta Sumber Sejahtera untuk penganggulangan risiko dengan membeli teralis dan gembok tahunan adalah sebesar Rp atau menurut perhitungan adalah sebesar 14,9%. Menurut perhitungan Return On Investment (ROI), perusahaan akan balik modal pada 7,2 tahun kemudian atas biaya yang dikeluarkan oleh perusahaan untuk menanggulangi risiko.

15 4. Post-FRAP Meeting Dalam tahap ini, dilakukan pembahasan tentang control terhadap resiko yang telah diidentifikasi pada PT Cipta Sumber Sejahtera A. Action Plan Application : ack Office System Tanggal FRAP : 30 Maret 2010 Risk# Risiko Type Prioritas kontrol Owner action Oleh siapa Kapan 1 Informasi diakses oleh karyawan yang tidak berwenang 3, 4, 8, 13 Memberikan password dan menerapkan mekanisme kontrol akses untuk mencegah IT akses ke informasi oleh pihak yang tidak berwenang 2 Database bisa rusak oleh kegagalan perangkat keras, dan perangkat lunak D 1, 2, 11, 14, 17 Update terhadap software dan hardware pada database. Pelaksaan kontrol akses dan fisik yang di rancang untuk IT melindungi informasi. 3 Kerusakan aplikasi 2, 5, 6, 12, Pengembangan aplikasi dan IT 14, 20 pemberian pelatihan terhadap

16 karyawan dalam melakukan transaksi data yang aman dan maintenance aplikasi 4 Kesalahan input data 9, 15 Apabila terdapat kesalahan seperti input data, terdapat pengecekan yang dilakukan oleh pihak counter counter Operation Manajer 5 Kurangnya proses internal untuk mengendalikan, mengelola seluruh fungsi data A 3, 4, 5, 10, 16 Penerapan dengan sistem kepercayaan satu sama lain General Manajer 6 Kehilangan data 2, 3, 11, 13 Pelaksanaan kontrol keamanan dan fisik yang dirancang untuk melindungi informasi dan back up data dimasing masing bagian IT 7 Data diperbarui secara internal tapi tidak dibuat eksternal 8, 9, 10, 15 Penerapan update data yang dilakukan secara internal IT 8 Akses ke informasi yang C 4, 6, 9 Penerapan mekanisme IT

17 ditolak otentikasi pengguna, untuk membatasi akses ke karyawan yang berwenang 9 Dampak untuk usaha dengan menggunakan informasi yang tidak benar 9, 11, 12, 16, 20 Pencocokan data yang dilakukan oleh bagian counter Manajer Operasional 10 kebocoran informasi yang sensitive 3, 4, 8 Informasi sensitive disimpan dalam server menggunakan IT log in password 11 Perubahan yang tidak tercatat pada sistem / aplikasi perangkat lunak atau data 1, 2, 5, 20 Perubahan harus di informasikan terlebih dahulu IT 12 E produk bisnis tidak dirancang untuk memenuhi harapan pengguna 10, 18, 20 E bisnis produk hanya sebatas pada promosi, catalog barang, dealer, contact, dll IT

18 Risk# Risiko Type Prioritas Kontrol Owner action Oleh Siapa Kapan 1 Informasi / data yang tidak benar CON 5, 8, 9, 10, 18 Pengecekan data yang dilakukan bagian counter Manajer operasional 2 Tidak sesuaian Job desk yang jelas CON 9, 12, 15 Melakukan pelatihan terhadap karyawan sesuai bagiannya General Manajer 3 Tidak aman untuk mengirimkan informasi /data yang sensitif CON A 5, 6, 8, 9 Pemisahan wewenang terhadap informasi penting perusahaan EDP 4 Informasi pada laptop tidak terlindungi CON 17, 19 Laptop perusahaan hanya untuk presentasi IT 5 Informasi sensitif dan tidak sensitif dicampur CON 5, 6, 8, 9 Pemisahan wewenang terhadap informasi penting perusahaan IT 6 erbagi UserID CON 8, 9, 15 Penerapan berbagi userid, hanya untuk karyawan pada IT

19 bagian yang sama 7 Tidak adanya firewall CON 10, 17, 18 Firewall yang diaktifkan hanya pada computer computer tertentu yang memiliki akses internet IT Risk# Risiko Type Prioritas Kontrol Owner action Oleh Siapa Kapan 1 Hacker bisa membuat situs down AVA 3, 7, 8 Memakai provider website diluar perusahaan IT 2 Kebijakan keamanan hanya terbatas pada pemberitahuan lisan AVA C 9, 12, 15 Apabila ada ketidakjelasan tentang keamanan, hanya terbatas bertanya kepada bag.it IT 3 Kerusakan hardware AVA 2, 7, 13, 14, Melakukan perawatan hardware IT 17 dan melakukan perbaikan atau pembelian hardware baru apabula rusak 4 Kesalahan aplikasi dapat menyebabkan sumber daya kesulitan dalam AVA C 5, 10, 12, 15 Apabila ada kesalahan, diberitahukan kepada pihak IT IT

20 menggunakan aplikasi untuk memperbaiki aplikasi tersebut 5 Virus dapat menyebabkan tidak tersedianya informasi dalam sistem aplikasi AVA A 1, 2, 7, 17 Menggunakan anti virus IT 6 Tidak adanya buku pedoman panduan aplikasi maupun kebijakan keamanan AVA C 9, 12 Pelatihan kepada sumber daya (karyawan) IT 7 ackup tidak mencukupi AVA C 1, 9, 11, Penerapan backup dilakukan perhari oleh bagian masingmasing Tabel 4.3 Action Plan IT b. Control/Risks Cross-reference List Control Control Description Risk Risk Description Type Concern

21 1 Kebutuhan backup ditentukan dan 2 Database bisa rusak oleh kerusakan perangkat D dikomunikasikan, serta dilakukan pada tiap- keras, dan perangkat lunak tiap bagian 11 perubahan yang tidak tercatat pada sistem / aplikasi perangkat lunak atau data 5 Virus dapat menyebabkan tidak tersedianya AVA C informasi dalam sistem aplikasi 7 ackup tidak mencukupi AVA C 2 Perancangan prosedur pemulihan aplikasi 2 Database bisa rusak oleh kerusakan perangkat D dengan menggunakan backup keras, dan perangkat lunak 3 Kerusakan aplikasi 11 perubahan yang tidak tercatat pada sistem / aplikasi perangkat lunak atau data

22 3 Kerusakan hardware AVA 5 Virus dapat menyebabkan tidak tersedianya AVA A informasi dalam sistem aplikasi 3 Melaksanakan mekanisme kontrol akses 1 Informasi diakses oleh karyawan yang tidak untuk mencegah akses yang tidak sah berwenang terhadap informasi perusahaan 5 Kurangnya proses internal untuk A mengendalikan, mengelola seluruh fungsi data 10 Kebocoran informasi sensitif 1 Hacker bisa membuat situs down AVA 4 menerapkan mekanisme untuk membatasi 1 Informasi diakses oleh karyawan yang tidak akses ke informasi yang sensitive, seperti

23 menggunakan Log in berwenang 5 Kurangnya proses internal untuk mengendalikan, mengelola seluruh fungsi data A 8 Akses ke informasi yang ditolak C 10 Kebocoran informasi sensitif 5 Merancang dan implementasi pengendalian 3 Kerusakan aplikasi kontrol pada aplikasi untuk memastikan integritas, kerahasiaan, dan ketersediaan informasi

24 5 Kurangnya proses internal untuk mengendalikan, mengelola seluruh fungsi data A 11 perubahan yang tidak tercatat pada sistem / aplikasi perangkat lunak atau data 1 Informasi / data yang tidak benar CON 3 Tidak aman untuk mengirimkan informasi /data yang sensitif CON A 4 Kesalahan aplikasi dapat menyebabkan sumber daya kesulitan dalam menggunakan aplikasi AVA C Control /Risk Cross-reference List (Lanjutan)

25 Control Control Description Risk Risk Description Type Concern 5 informasi sensitif dan nonsensitive dicampur CON 6 Mengembangkan prosedur pengujian yang 3 Kerusakan aplikasi harus diikuti selama pengembangan aplikasi dan modifikasi pada aplikasi 8 Akses ke informasi yang ditolak C 3 Tidak aman untuk mengirimkan informasi /data yang sensitif CON A 5 informasi sensitif dan nonsensitive dicampur CON

26 7 1). memastikan administrator LAN menginstal software anti-virus standar pada komputer perusahaan dan database 1 Hacker bisa membuat situs down AVA 2). pelatihan dan kesadaran teknik pencegahan virus 3 Kerusakan hardware AVA 5 Virus dapat menyebabkan tidak AVA A tersedianya informasi dalam sistem aplikasi 8 Mengembangkan ketentuan dan prosedur untuk 1 Informasi diakses oleh karyawan yang membatasi akses dan memberikan akses khusus tidak berwenang sesuai dengan kebutuhan bisnis 7 Data diperbarui secara internal tapi tidak dibuat eksternal 10 Kebocoran informasi sensitif

27 1 Informasi / data yang tidak benar CON 3 Tidak aman untuk mengirimkan informasi /data yang sensitif CON A 5 informasi sensitif dan nonsensitive dicampur CON 6 erbagi UserID CON 1 Hacker bisa membuat situs down AVA Control/Risks Cross-reference List (Lanjutan) Control Control Description Risk Risk Description Type Concern 9 Pelatihan termasuk intruksi dan dokumentasi 4 Kesalahan input data untuk penggunaan aplikasi yang benar.

28 7 Data diperbarui secara internal tapi tidak dibuat eksternal 8 Akses ke informasi yang ditolak C 9 Dampak untuk usaha dengan menggunakan informasi yang tidak benar 1 Informasi / data yang tidak benar CON 2 Tidak sesuainya Job desk yang jelas CON 3 Tidak aman untuk mengirimkan informasi /data yang sensitif CON A 5 informasi sensitif dan nonsensitive dicampur CON

29 6 erbagi UserID CON 2 Kebijakan keamanan hanya terbatas pada pemberitahuan lisan AVA A 6 Tidak adanya buku pedoman panduan aplikasi maupun kebijakan keamanan AVA C 7 ackup tidak mencukupi AVA C Control/Risks Cross-reference List (Lanjutan) Control Control Description Risk Risk Description Type Concern 10 Mengimplementasikan mekanisme untuk 5 Kurangnya proses internal untuk A memonitor, melaporkan dan mereview mengendalikan, mengelola seluruh aktifitas-aktifitas yang dibutuhkan proses fungsi data bisnis.

30 7 Data diperbarui secara internal tapi tidak dibuat eksternal 12 E produk bisnis tidak dirancang sesuai dengan harapan pengguna 1 Informasi / data yang tidak benar CON 7 Tidak adanya firewall CON 4 Kesalahan aplikasi dapat menyebabkan AVA C sumber daya kesulitan dalam menggunakan aplikasi 11 Kontrol operasi: pelatihan backup aplikasi yang 2 Database bisa rusak oleh kerusakan D diberikan kepada seluruh karyawan. perangkat keras, dan perangkat lunak 6 Kehilangan data 9 Dampak untuk usaha dengan

31 menggunakan informasi yang tidak benar 7 ackup tidak mencukupi AVA C 12 Kontrol operasi: pengembangan aplikasi yang 3 Kerusakan Aplikasi menyediakan dokumentasi dan memastikan pertukaran data antar aplikasi berjalan dengan baik dan aman. 9 Dampak untuk usaha dengan menggunakan informasi yang tidak benar 2 Tidak sesuainya Job desk yang jelas CON 2 Kebijakan keamanan hanya terbatas pada pemberitahuan lisan AVA C

32 4 Kesalahan aplikasi dapat menyebabkan sumber daya kesulitan dalam menggunakan aplikasi AVA C 6 Tidak adanya buku pedoman panduan aplikasi maupun kebijakan keamanan AVA C Control Control Description Risk Risk Description Type Concern 13 Kontrol operasi: mekanisme yang dilakukan guna 1 Informasi diakses oleh karyawan yang mengamankan database dari akses yang tidak tidak berwenang diinginkan dengan mengunakan log in 6 Kehilangan data 9 Dampak untuk usaha dengan menggunakan informasi yang tidak benar

33 3 Kerusakan hardware AVA 14 Kontrol operasi: melakukan maintenance database 2 Database bisa rusak oleh kerusakan D dan membicarakannya dengan pihak manajemen perangkat keras, dan perangkat lunak 3 Kerusakan aplikasi 3 Kerusakan hardware AVA 15 Kontrol pengguna: mengimplementasikan aplikasi bagi pengguna sesuai dengan ketentuan dan prosedur yang berlaku. Serta memastikan fungsifungsi dari aplikasi. 4 Kesalahan input data 7 Data diperbarui secara internal tapi tidak dibuat eksternal 2 Tidak sesuainya Job desk yang jelas CON 6 erbagi UserID CON 2 Kebijakan keamanan hanya terbatas AVA C

34 pada pemberitahuan lisan 4 Kesalahan aplikasi dapat menyebabkan AVA C sumber daya kesulitan dalam menggunakan aplikasi 16 Menentukan tingkat harapan kepuasan dari pengguna. 5 Kurangnya proses internal untuk mengendalikan, mengelola seluruh fungsi data A 9 Dampak untuk usaha dengan menggunakan informasi yang tidak benar Control/Risks Cross-reference List (Lanjutan) Control Control Description Risk Risk Decription Type Concern

35 17 Penyediaan kebutuhan untuk melindungi 2 Database bisa rusak oleh kerusakan D informasi, software, dan hardware yang perangkat keras, dan perangkat lunak dibutuhkan oleh sistem 4 Informasi pada laptop tidak terlindungi CON 7 Tidak adanya firewall CON 3 Kerusakan hardware AVA 5 Virus dapat menyebabkan tidak AVA A tersedianya informasi dalam sistem aplikasi 18 Meminta management support untuk memastikan 12 E produk bisnis tidak dirancang sesuai kooperasi dan koordinasi dari masing-masing unit dengan harapan pengguna bisnis, serta memastikan transisi yang baik ke dalam sistem.

36 1 Informasi / data yang tidak benar CON 7 Tidak adanya firewall CON 19 Kontrol prioritas 4 Informasi pada laptop tidak terlindungi CON 20 Memastikan semua perpindahan data berlangsung 3 Kerusakan Aplikasi secara benar. 9 Dampak untuk usaha dengan menggunakan informasi yang tidak benar 11 perubahan yang tidak tercatat pada sistem / aplikasi perangkat lunak atau data 12 E produk bisnis tidak dirancang sesuai dengan harapan pengguna