BAB I PENDAHULUAN. restrukturisasi internal, Kerjasama Operasi (KSO), dan Initial Public Offering

Transkripsi

1 BAB I PENDAHULUAN 1.1 Latar Belakang Perseroan Terbatas Telekomunikasi (PT Telkom) merupakan suatu Badan Usaha Milik Negara (BUMN) yang bergerak dalam bidang jasa telekomunikasi dan telah berdiri sejak tahun menyediakan sarana dan jasa layanan telekomunikasi kepada masyarakat luas sampai ke pelosok daerah di seluruh Indonesia. Perubahan besar terjadi pada tahun 1995 yang meliputi restrukturisasi internal, Kerjasama Operasi (KSO), dan Initial Public Offering (IPO). Sebagai hasil restrukturisasi, sejak 1 Juli 1995 organisasi PT Telkom terdiri dari 7 (tujuh) Divisi Regional dan 1 (satu) Divisi Network yang keduanya mengelola bidang usaha utama. PT Telkom DIVRE V JATIM merupakan salah satu dari 7 (tujuh) Divisi Regional yang terletak di JL. Ketintang no.156 Surabaya. Perkembangan terakhir pada tanggal 1 Februari 2013 PT Telkom baru saja melakukan Transformasi Organisasi (TO), dibagi menjadi dua divisi, yaitu Divisi Telkom Barat yang berkedudukan di Jakarta dan Divisi Telkom Timur (DTT) yang berkedudukan di Surabaya. DIVRE V JATIM memiliki beberapa aset diantaranya aset piranti lunak, aset informasi, aset fisik dan aset layanan. Salah satu aset PT Telkom DIVRE V JATIM adalah Computer & Network Equipment Management System (CNEMAS) merupakan aset piranti lunak yang dimiliki oleh bagian desktop management di Divisi Information System Service Support Management (ISSSM) sejak 5 tahun lalu. Aplikasi CNEMAS yang digunakan ini tidak membeli dari 1

2 2 pihak ketiga, tetapi asli dari pihak PT Telkom sendiri dan telah beroperasi selama 3 tahun terakhir. Bagian desktop management memiliki tugas mendukung kebutuhan di bidang desktop dan fasilitas kerja pegawai seluruh Indonesia. Dengan adanya penanganan kebutuhan desktop di seluruh Indonesia, maka bagian desktop management ini sangat berperan penting dalam memanajemen keamanan informasi, karena pegawai di seluruh Indonesia akan mengirimkan dan mengakses data-data kebutuhan desktop serta fasilitas kerja dalam rentang waktu tertentu. Pada bagian desktop management ini belum pernah dilakukan audit sebelumnya dan berdasarkan rekomendasi pihak perusahaan untuk dilakukan audit pada bagian desktop management. Apabila proses kerja pada bagian desktop management mengalami suatu kendala dikhawatirkan akan berdampak pada proses bisnis perusahaan, karena bagian desktop berperan penting dalam mendukung fasilitas kerja pegawai dan pemenuhan kebutuhan di bidang desktop untuk pegawai Telkom di seluruh Indonesia. Apabila terdapat kendala dalam pemenuhan kebutuhan fasilitas kerja para karyawan maka jelas akan menghambat kinerja pegawai Telkom dan merugikan perusahaan dalam hal waktu, dimana seharusnya waktu yang dapat digunakan untuk bekerja tetapi karyawan tersebut tidak dapat bekerja karena mengalami kendala yaitu belum terpenuhi fasilitas kerjanya seperti laptop dan perangkat desktop lainnya. Maka bagian desktop management perlu diaudit dan diperkuat oleh dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi untuk menjamin keberlangsungan keamanan sistem informasi. Oleh karena itu bagian

3 3 desktop management membutuhkan evaluasi dan pemeriksaan tentang proses manajemen resiko. Audit yang digunakan dalam penelitian berdasarkan kebutuhan perusahaan tersebut adalah audit keamanan sistem informasi. Hal ini diperlukan untuk memenuhi Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi. Apabila bagian desktop management tidak memenuhi prosedur yang terdapat pada Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS- 30/2006 tentang Kebijakan Sekuriti Sistem Informasi, dikhawatirkan akan menyebabkan resiko tidak adanya kerahasiaan (Confidentiality) data, keutuhan (Integrity) data, keamanan informasi, dan ketersediaan (Availability) data pada bagian desktop management. Untuk mengurangi terjadinya resiko tersebut dan mengetahui keamanan sistem informasi yang sedang berlangsung pada perusahaan, maka perlu dilakukan audit keamanan sistem informasi. Adapun yang dimaksud audit keamanan informasi adalah suatu proses atau kejadian yang memiliki basis pada kebijakan atau standar keamanan untuk menentukan semua keadaan dari perlindungan yang ada, dan untuk memverifikasi apakah perlindungan yang ada berjalan dengan baik (Ahmad 2012:27). Pada bagian desktop management, mulai tahun 2006 menggunakan standar yang tercantum di dalam Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD. 57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi. Adapun ketentuan standar yang berlaku sebelumnya adalah KD.33/HK270/IFO-00/2001 yang berlaku sejak tahun 2001.

4 4 Kedua kebijakan sekuriti/keamanan sistem informasi tersebut menggunakan referensi utama yaitu ISO/IEC 17799:2005. Selain menggunakan standar ketentuan yang ada yaitu KD. 57/HK- 290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, penelitian ini juga menggunakan referensi yang ada pada standar ISO 27002:2005 sebagai standar yang paling baru diterapkan menggantikan standar lama ISO 17799:2005. ISO menyediakan rekomendasi best practice terhadap manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab untuk proses implementasi, dan pemeliharaan Information Security Management Systems (ISMS) pada suatu organisasi. Standar ini tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang tepat sesuai kebutuhannya. Standar ini sangat fleksibel digunakan karena sangat tergantung dari kebutuhan organisasi, tujuan organisasi, persyaratan keamanan, proses bisnis dan dalam implementasinya bisa sangat tergantung kebutuhan organisasi. Berdasarkan permasalahan yang ada dan engagement letter yang telah dibuat atas persetujuan antara dua belah pihak yakni manager desktop management dan auditor, maka ada beberapa klausul yang digunakan sebagai acuan untuk melakukan audit keamanan sistem informasi yaitu : 1. Keamanan Sumber Daya Manusia (Klausul 8) 2. Keamanan Fisik dan Lingkungan (Klausul 9) 3. Kontrol Akses (Klausul 11) Klausul didapatkan berdasar kondisi permasalahan awal dari bagian desktop management, adapun kondisi permasalahan awal tersebut yaitu informasi

5 5 desktop management yang seharusnya terlindungi, dapat dilihat oleh karyawan lain di bagian yang sama namun sebenarnya karyawan tersebut tidak memiliki akses untuk melihat informasi khusus yang bukan haknya. Karena setiap karyawan telah memiliki hak akses yang berbeda untuk melihat informasi yang dibutuhkan sesuai jobnya, maka klausul 11 yang digunakan untuk acuan kontrol akses. Lalu penempatan perangkat keras atau fisik yang kurang dilindungi dengan maksimal, maka klausul 9 yang digunakan untuk acuan keamanan fisik dan lingkungan. Karyawan yang tidak memenuhi ketentuan yang telah terdapat pada dokumen kebijakan perusahaan yaitu Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS- 30/2006 tentang Kebijakan Sekuriti Sistem Informasi, maka klausul 8 yang menjadi acuan untuk keamanan sumber daya manusia. Batasan klausul tersebut berdasarkan kesepakatan bersama antara auditor dan manager desktop management. Dengan adanya audit keamanan sistem informasi pada bagian desktop management di PT Telkom DIVRE V JATIM melalui penyusunan Tugas Akhir maka diharapkan dapat menghasilkan temuan audit yang berupa daftar temuan, hasil pengukuran untuk mengetahui rekomendasi perbaikan bagian desktop management pada PT Telkom DIVRE V JATIM. 1.2 Perumusan Masalah Berdasarkan penjelasan pada latar belakang, maka perumusan masalah yang didapat adalah sebagai berikut : 1. Bagaimana melaksanakan audit keamanan sistem informasi pada bagian desktop management PT Telkom DIVRE V JATIM, berdasarkan standar ISO 27002: 2005?

6 6 2. Bagaimana memberikan hasil berupa temuan audit keamanan informasi yang dilakukan di bagian desktop management PT Telkom DIVRE V JATIM berdasarkan standar ISO 27002:2005? 1.3 Batasan Masalah Berdasarkan perumusan masalah di atas, maka tujuan dalam audit keamanan sistem informasi ini, agar tidak menyimpang dari tujuan yang akan dicapai maka pembahasan masalah dibatasi pada hal-hal sebagai berikut: 1. Standar pelaksanaan audit keamanan sistem informasi yang digunakan mengacu pada ISO : 2005 dan dokumen Keputusan Direksi Perusahaan Perseroan(Persero) PT Telekomunikasi Indonesia, Tbk Nomor: KD.57/HK-290/ITS-30/ Periode data yang digunakan untuk audit keamanan sistem informasi, Januari 2011 sampai Tidak dilakukan penilaian resiko secara terperinci, melainkan hanya dengan melakukan wawancara untuk mengetahui resiko yang menonjol pada bagian Desktop Management 4. Tidak menggunakan data mengenai proses penyeleksian karyawan karena seluruh data penyeleksian karyawan terdapat di Telkom Pusat kota Bandung 5. Klausul yang digunakan telah disesuaikan dengan kesepakatan auditor dan Manager desktop management dan terlampir pula pada dokumen engagement letter yaitu: a. Klausul 8 : Keamanan Sumber Daya Manusia b. Klausul 9 : Keamanan Fisik dan Lingkungan

7 7 c. Klausul 11 : Kontrol Akses 1.4 Tujuan Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah : 1. Menyusun dan mendokumentasikan hasil audit keamanan sistem informasi pada bagian desktop management di PT Telkom DIVRE V JATIM berdasarkan standar ISO 27002:2005 dan dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor: KD.57/HK-290/ITS-30/ Mengevaluasi temuan audit kemanan sistem informasi yang ada, dan selanjutnya dapat dijadikan perbaikan untuk bagian desktop management pada PT Telkom DIVRE V JATIM. 1.5 Sistematika Penulisan Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun dalam 5 (lima) bab, yaitu: BAB I : PENDAHULUAN Pada bab ini membahas tentang latar belakang masalah, rumusan masalah serta batasan terhadap masalah yang akan dibahas, tujuan dari pembahasan masalah yang diangkat, dan sistematika penulisan laporan tugas akhir ini. BAB II : LANDASAN TEORI Pada bab ini dibahas mengenai teori-teori yang berkaitan dengan audit keamanan sistem informasi, diantaranya yaitu penjelasan tentang audit,

8 8 sistem informasi, audit keamanan sistem informasi, desktop management, standar sistem manajemen keamanan informasi, ISO/IEC 27002:2005. BAB III : METODE PENELITIAN Pada bab ini berisi penjelasan mengenai langkah-langkah yang dilakukan dalam audit keamanan sistem informasi pada bagian desktop management di PT Telkom DIVRE V Jatim yang meliputi perencanaan audit, persiapan audit, pelaksanaan audit serta pelaporan audit. BAB IV : HASIL DAN PEMBAHASAN Pada bab ini dibahas tentang analisa dan evaluasi hasil temuan serta rekomendasi dari kegiatan audit keamanan sistem informasi pada bagian desktop management di PT Telkom DIVRE V Jatim. BAB V : PENUTUP Pada bab ini berisikan kesimpulan penelitian yang telah dilakukan terkait dengan tujuan dan permasalahan yang ada, serta saran sehubungan dengan adanya kemungkinan pengembangan sistem pada masa yang akan datang.