BAB 4 PEMBAHASAN. mempunyai dampak secara global terhadap pemakaian teknologi itu sendiri. Dalam suatu

Transkripsi

1 BAB 4 PEMBAHASAN 4.1 Latar Belakang Pembahasan Perkembangan ilmu pengetahuan dan teknologi yang berlangsung sangat cepat, mempunyai dampak secara global terhadap pemakaian teknologi itu sendiri. Dalam suatu perusahaan teknologi mempermudah dalam menjalankan usahanya, akan tetapi disisi lain, teknologi informasi juga dapat menimbulkan dampak buruk bagi perusahaan. Dampak buruk inilah yang disebut dengan risiko. Diperlukan kesadaran akan konsekuensi dari penggunaan teknologi informasi tersebut. Oleh karena itu, perusahaan memerlukan suatu pengukuran terhadap risiko dalam penggunaan suatu teknologi informasi. Salah satu pendekatan metode yang dilakukan untuk mengukur risiko teknologi informasi yaitu pendekatan FRAP (Facilitated Risk Analysis Process). Untuk mengumpulkan data-data yang dibutuhkan pada penelitian ini, maka penulis melakukan wawancara dengan bagian IT dengan upaya untuk mengetahui risikorisiko apa saja yang terjadi dan kemungkinan yang terjadi dalam perusahaan. Wawancara dilakukan pada PT Deraya Air yang berlokasi di Terminal Building lantai 1 No. 150/HT Halim Perdana Kusuma Airport Jakarta. Pendekatan FRAP (Facilitated Risk Analysis Process) terdapat 3 tahapan yakni :

2 1. Pre FRAP Meeting Meliputi4 proses penting : a. Menentukan Ruang Lingkup b. Membuat Visual Model c. Pembentukan Tim Frap d. Mengatur jadwal pertemuan e. Persamaan Definisi 2. FRAP session Meliputi : a. Melakukan Brainstorming b. Identifikasi dan Prioritasi Risiko c. Menentukan kontrol d. Suggest Control 3. Post FRAP Meteting Dalam Post FRAP Meeting meliputi 2 proses yaitu : a. Cross-referance Sheet. b. Action Plan c. Membuat Final Report Ketiga proses ini memiliki aktivitas untuk membantu dalam melakukan penilaian dan pengukuran risiko teknologi informasi.

3 4.2 Pre Frap Meeting Proses ini dilakukan pada tanggal 21 November 2012 bertempat di ruang meeting kantor PT Deraya Air berlangsung selama kurang lebih 1 jam untuk menetapkan pembahasan ruang lingkup, visual model, dan pembentukan tim FRAP Ruang Lingkup Aplikasi/Sistem : Sistem Informasi Kargo PT Deraya Air. Dalam hal ini batasan ruang lingkup penelitian yang dilakukan yakni mengacu pada operasional hardware, software, network, dan user yang mendukung kegiatan bisnis kargo perusahaan. Batasan ruang lingkup berguna untuk memberikan fokus pada penelitian terhadap pengukuran dari manajemen penggunaan teknologi informasi pada PT Deraya Air

4 4.2.2 Visual Model Gambar 4.1 Gambaran (Visual Model) Proses FRAP Pembentukan Tim FRAP Selama proses meeting FRAP memerlukan siapa saja yang terlibat dalam FRAP Team untuk melakukan brainstorming dalam mengidentifikasi risiko yang mungkin terjadi, risiko yang telah muncul maupun control yang telah ada.

5 Adapun pembentukan Tim FRAP sebagai berikut : 1. Kepala Bagian IT ( Bapak Wahyu ) 2. Staff IT ( Bapak Budi) 3. Kepala divisi HRD (Ibu Yuli) 4. Fasilitator (Adriany Utami, Milawati, Raesa Zulida) Mengatur Jadwal Pertemuan Dalam proses ini manajer TI memilih seseorang dari staff nya untuk bertanggung jawab terhadap ketersediaan ruang meeting, menetukan jadwal meeting serta menyiapkan yang diperlukan dalam meeting Persamaan Definisi Dalam proses ini, tim FRAP yang telah dibentuk perlu menentukan persetujuan untuk persamaan definisi terhadap elemen-elemen yang akan dibahas dalam pengukuran risiko, seperti : Kata Definisi Risk Kemungkinan sesuatu yang tidak diharapkan atau suatu ancaman yang akan menimbulkan suatu kerentanan (vulnerability). Control Suatu tindakan antisipasi untuk menghindari, meminimalisir, mendeteksi atau menghilangkan suatu risiko yang mengancam

6 proses bisnis yang bertujuan untuk melindungi asset perusahaan. Impact Akibat negatif yang ditimbulkan dari suatu risiko. Vulnerability Kelemahan sistem apakah sistem tersebut sensitif atau tidak. Integrity Data atau informasi yang tidak dimodifikasi (asli). Confidentiality Informasi yang ada di perusahaan bersifat rahasia dan hanya pihak yang berwenang yang dapat mengakses informasi tersebut. Availibility Aplikasi, sistem, atau informasi yang tersedia saat hendak digunakan. Cargo Semua barang yang dikirim melalui udara (pesawaat terbang), laut (kapal), atau darat (kereta api) untuk diperdagangkan, baik antar wilayah atau kota di dalam negeri maupun antar negara (internasional). Tabel 4.1 Persamaan Definisi 4.3 FRAP Session Frap Session berlangsung selama kurang lebih 3 jam oleh tim FRAP bertempat di ruang meeting PT Deraya Air pada tanggal 22 November Adapun hasil dari proses ini adalah sebagai berikut :

7 4.3.1 Identifikasi dan Prioritas Risiko Berdasarkan proses tanya jawab (interview) dan proses brainstorming yang telah dilakukan, maka penulis menyimpulkan beberapa risiko yang mungkin terjadi di PT Deraya Air Adapun Klasifikasi Risk sebagai berikut : No. Klasifikasi Deskripsi Risiko Tipe 1. PC tidak diproteksi CON 2. Teknologi baru dapat mengancam CON kerahasiaan data 3. Hardware Kerusakan hardware AVA 4. Layanan internet lambat AVA 5. Pencurian Hardware AVA 6. Kerusakan Database dikarenakan kegagalan hardware INT 7. Kerusakan Aplikasi INT 8. Modifikasi data akibat serangan INT virus 9. Software Dokumentasi mengenai klasifikasi INT informasi tidak lengkap 10. Error pada program AVA 11. Ketidaktersediaan dokumen DRP AVA

8 12. dalam perusahaan Staff internal sengaja memodifikasi data untuk keuntungan individu atau kelompok INT 13. Kesalahan penggunaan data yang INT sudah tidak terpakai (out-of-date) 14. User Kesalahan entry data INT 15. Kurangnya staff dibidang IT INT 16. Mencuri informasi dari perusahaan CON 17. Penyalahgunaan wewenang staff TI CON yang memiliki hak keamanan tinggi. 18. Format password mudah diketahui CON 19. Penyalahgunaan user ID CON SDM yang tidak terlatih dalam AVA menggunakan teknologi yang terkomputerisasi Tabel 4.2Risk List Daftar risiko yang telah dibuat tersebut kemudian diprioritaskan dengan melihat dari business impact dan vulnerability. Risiko Deskripsi Risiko Tipe Vulnerability Impact Prioritas #

9 1. 1 Kerusakan Database INT Medium Medium B dikarenakan kegagalan hardware 2. Staff internal sengaja INT Low medium C memodifikasi data untuk keuntungan individu atau kelompok 3. Kerusakan Aplikasi INT High Medium B 4. Kesalahan penggunaan INT Medium Medium B data yang sudah tidak terpakai (out-of-date) 5. Kesalahan entry data INT Medium High B 6. Modifikasi data akibat INT Low Medium C serangan virus 7. Dokumentasi mengenai INT Medium Medium B klasifikasi informasi tidak lengkap 8. Kurangnya staff INT Medium Low C dibidang IT 9. Mencuri informasi dari CON Medium Medium B perusahaan PC tidak diproteksi CON Low Medium C Format password CON Medium Low C

10 1 mudah diketahui 12. Penyalahgunaan CON Medium Medium B wewenang staff TI yang memiliki hak keamanan tinggi Penyalahgunaan user CON Medium Low C ID Teknologi baru dapat CON Medium Low C mengancam kerahasiaan data 15. Kerusakan hardware AVA Medium Medium B 16. Layanan internet AVA Medium Low C lambat Pencurian Hardware AVA Medium Medium B Error pada program AVA Medium Low C 19. Ketidaktersediaan AVA Medium Medium B dokumen DRP dalam perusahaan 20.. SDM yang tidak AVA Medium Medium B terlatih dalam menggunakan teknologi yang terkomputerisasi

11 Tabel 4.3 Prioritasi Risiko Dari tabel 4.3 dapat kita ketahui risiko risiko dan prioritas risiko yang terdapat dalam PT Deraya Air. Dapat kita lihat bahwa risiko risiko yang ada cukup besar dilihat dari prioritas yang rata rata bernilai B. Berikut perinciannya: Risiko dengan prioritas B sebanyak 11 risiko. Risiko dengan prioritas C sebanyak 9 risiko. Prioritas ini diukur dari tabel matriks yang terdapat didalam bab 2. Berikut adalah definisi definisi dari prioritas risiko diantaranya adalah : Prioritas A : Maka harus diterapkan tindakan perbaikan atas risiko yang terjadi, Prioritas B : Maka disarankan untuk menerapkan tindakan perbaikan, Prioritas C : Prioritas D : Hanya diperlukan pengawasan saja, Dianggap aman oleh perusahaan, karena risiko tersebut tidak memiliki pengaruh terhadap proses bisnis perusahaan. Pada tahap ini penulis berusaha mengukur seberapa besar tingkat risiko yang ada pada PT Deraya Air. Penulis hanya akan memberikan kontrol pada risiko risiko yang memiliki prioritas B dan C. Penulis akan memberikan penjelasan menenai beberapa risiko. Risiko risiko tersebut diantaranya : 1. Kerusakan Database karena kegagalan hardware Risiko diatas memiliki nilai prioritas risiko B karena tata letak hardware di ruang server padapt Deraya Air yang tidak tersusun rapi dan tidak terstruktur hal itu dapat

12 mempengaruhi keadaan hardware yang berakibat database dapat rusak serta sering terjadinya pemadaman listrik secara tiba-tiba sehingga dapat menyebabkan kegagalan hardware yang berakibat kerusakan pada database. Dampak yang timbul jika risiko ini terjadi yaitu database tidak berfungsi secara optimal sehingga menimbulkan masalah integritas pada data perusahaan. 2. Staff internal sengaja memodifikasi data untuk keuntungan kelompok. Risiko diatas memiliki nilai prioritas risiko C artinya kemungkinan terjadinya risiko tersebut low atau kecil dikarenakan sistem yang berjalan pada PT Deraya Air untuk melakukan penginputan data barang memerlukan log-in dengan memasukkan user-id dan password sehingga dapat meminimalisir peluang untuk memodifikasi nilai jumlah barang demi keuntungan kelompok karena perusahaan sudah menerapkan pembatasan akses. 3. Kerusakan Aplikasi Risiko diatas memiliki tingkat penilaian B, memiliki kemungkinan yang cukup tinggi untuk terjadi karenaperusahaan Deraya Air tidak melakukan maintenance secara berkala terhadap aplikasi, sehingga risiko kerusakan pada aplikasi masih mungkin terjadi. Dampak yang mungkin diterima perusahaan bila risiko ini terjadi adalah sistem operasi atau aplikasi tidak berjalan dengan baik sehingga dapat menyebabkan masalah integritas pada perusahaan. 4. Menggunakan data yang sudah tidak terpakai (out-of-date).

13 Risiko diatas memiliki penilaian B, kemungkinan risiko ini terjadi cukup besar, karena pada PT Deraya Air belum menerapkan pemisahan antara data yang terpakai dengan data yang sudah tidak terpakai serta belum adanya pemindahan data secara berkala yang mengakibatkan data tidak valid apabila digunakan kembali.jika risiko ini terjadi berdampak cukup signifikan pada kelangsungan bisnis perusahaan. 5. Kesalahan entry data Risiko kesalahan entry data memiliki penilaian B dikarenakan tingkat human error yang dianalisis cukup besar, hal ini terjadi dikarenakan aplikasi yang dipakai kurang dipahami dengan baik oleh user serta sulitnya dilakukan pengontrolan sehingga peluang risiko terjadi cukup tinggi, dampak yang dapat terjadi dari risiko ini adalah masalah integritas data yang tidak terjamin keasliannya. 6. Modifikasi data akibat serangan virus Risiko diatas memiliki tingkat penilaian C, dikarenakan sistem Anti-Virus yang ada pada perusahaan sudah ter update secara otomatis, serta kebijakan yang diterapkan perusahaan yakni karyawan tidak diperbolehkan untuk mencolok flashdisk ke komputer sehingga risiko ini kemungkinan terjadi sangat kecil. Dampak yang mungkin diterima oleh perusahaan jika risiko ini terjadi yaitu adanya data yang corrupt, hidden atau sistem operasi tidak berjalan dengan semestinya sehingga menimbulkan masalah integritas pada sistem atau data. 7. Dokumentasi mengenai kualifikasi informasi tidak lengkap

14 Risiko diatas memiliki tingkat penilaian B karena pada perusahaan kerap terjadi kekeliruan antara spesifikasi barang berbahaya atau aman.dokumentasi mengenai spesifikasi barang kurang terdefinisi secara rinci, maka kemungkinan risiko ini terjadi cukup besar. Jika terjadi akan berpengaruh cukup signifikan pada perusahaan. 7. Kurangnya staff dibidang IT Risiko diatas memiliki penilaian C, kemungkinan risiko ini terjadi cukup kecil. Staff teknologi informasi yang ada di dalam perusahaan memang kurang memadai untuk melakukan pengontrolan terhadap aplikasi dikarenakan kurangnya human resource, namun sejauh ini staff ti yang ada dapat meng handle tugas yang diterima, sehingga kelangsungan bisnis masih berjalan dengan semestinya. 9. Mencuri informasi dari perusahaan Risiko diatas memiliki penilaian B, kemungkinan risiko terjadi dikarenakan kurangnya pengawasan terhadap data yang bersifat rahasia, serta perusahaan belum menerapkan kebijakan mengenai kewenangan karyawan dalam hal meminta data terhadap data-data sistem aplikasi kepada bagian manager IT. Sehingga tidak menutup kemungkinan risiko ini terjadi, dan apabila terjadi dapat berdampak signifikan pada kelangsungan bisnis perusahaan bahwa karyawan kurang memahami tentang otorisasi permintaan data sehingga memicu kebocoran informasi. 10. PC tidak diproteksi

15 Risiko diatas memiliki penilaian C, kemungkinan terjadinya risiko sangat kecil, dikarenakan perusahaan telah menetapkan kebijakan keamanan untuk akses informasi yaitu pemberian otorisasi sehingga user harus login terlebih dahulu untuk masuk ke dalam aplikasi dan telah terdapat enkripsi pada harddisk sehingga hanya orang yang memiliki hak akses yang dapat mengaksesnya. 11. Format password mudah diketahui Risiko diatas memiliki tingkat penilaian C, dikarenakan pada perusahaan format password yang mudah dikenali namun perusahaan telah menerapkan kontrol yaitu password setiap divisi berbeda, dan telah ada sanksi yang diterapkan apabila user menyebarkan password mereka, apabila risiko ini terjadi dampak yang mungkin timbul adalah informasi atau data bisa dicuri oleh pihak yang tidak bertanggung jawab. 2. Penyalahgunaan wewenang staff TI yang memiliki hak keamanan tinggi. Risiko diatas memiliki tingkat penilaian B, kemungkinan berisiko cukup besar dikarenakan staff tersebut diberi hak akses istimewa namun perusahaan belum melakukan pengawasan secara rutin dan belum menerapkan kebijakan sanksi-sanksi apa yang diperoleh apabila terjadi pelanggaran, jika risiko ini terjadi maka berdampak signifikan pada perusahaan. 13. Penyalahgunaan user ID Risiko diatas memiliki tingkat penilaian C, kemungkinan terjadinya risiko sangat kecil tetapi tidak menutup kemungkinan risiko terjadi, berpeluang kecil terjadi dikarenakan

16 kebijakan keamanan perusahaan sudah cukup baik dan juga telah menerapkan kebijakan untuk melarang para karyawan saling berbagi User ID. Dampak yang mungkin ditimbulkan dari risiko tersebut adalah data data perusahaan yang sensitif dapat bocor. 14. Ketertinggalan teknologi mempengaruhi kualitas pelayanan Risiko diatas memiliki tingkat penilaian C, dikarenakan dikarenakan pada perusahaan tidak menggunakan teknologi baru atau tidak melakukan update terhadap Operating Sytem yang menyebabkan kualitas pelayanan yang kurang menunjang dalam proses bisnis perusahaan, tetapi bisnis tetap berjalan dengan baik walaupun tidak menggunakan teknologi baru. Kemungkinan terjadinya risiko ini kecil pada perusahaan. 15. Kerusakan hardware Risiko diatas memiliki tingkat penilaian B, dikarenakan tata letak hardware di perusahaan kurang tertata dengan rapi dan terstruktur, ketidakstabilan listrik di cabang papua yang dapat mempengaruhi kinerja dan ketahanan pada hardware dan juga mempengaruhi jaringan serta karyawan baru belum dilakukan training sehingga dapat menimbulkan dampak kerusakan atau ketidaktersediaan data sehingga minimnya kemampuan karyawan dalam menggunakan hardware yang disediakan perusahaan. Sehingga risiko ini cukup besar terjadi. 16. Layanan internet lambat Risiko diatas memiliki tingkat penilaian C, dikarenakan perusahaan menggunakan bandwidth yang terbatas pada layanan internet dan wilayah di Papua yang kurang

17 potensial lokasinya, sehingga proses pengiriman dan penerimaan data yang dibutuhkan untuk produktifitas kurang maksimal, namun apabila kemungkinan risiko ini terjadi tidak berpengaruh signifikan pada operasional bisnis perusahaan. 17. Pencurian Hardware Risiko diatas memiliki tingkat penilaian B, kemungkinan cukup besar terjadi dikarenakan di kantor hanya terdapat satu orang tenaga kerja keamanan (security), orang yang tidak berkepentingan dapat keluar masuk kedalam ruangan artinya kurang adanya pengawasan terhadap pengendalian keamanan pada perusahaan yang menyebabkan kemungkinan pencurian hardware cukup besar terjadi. 18. Error pada program Risiko diatas memiliki penilaian risiko C, dikarenakan telah adanya pemeliharaan terhadap sistem dan anti virus dalam perusahaan sedah ter-update secara otomatis sehingga kemungkinan risiko muncul kecil. 19. Ketidaktersediaan dokumen DRP pada perusahaan Risiko diatas memiliki tingkat penilaian B, dikarenakan setiap karyawan dan perusahaan belum memiliki kesadaran serta pemahaman akan rencana kemungkinan pemulihan bencana dan perusahaan sendiri belum melakukan dokumentasi DRP. Sehingga apabila kemungkinan risiko ini terjadi akan berdampak pada kesiapan perusahaan dalam mempersiapkan rencana pemulihan bencana.

18 20. SDM yang tidak terlatih dalam menggunakan teknologi yang terkomputerisasi Risiko diatas memiliki tingkat penilaian B, dimana kemungkinan dan dampak yang terjadi sama yaitu medium yang dikarenakan pada saat pengrekrutan pegawai baru perusahaan tidak menerapkan pengujian terhadap penggunaan teknologi yang terkomputerisasi sehinggan kemungkinan dampak dari risiko tersebut terjadi Identifikasi Kontrol Setelah risiko-risiko yang mungkin muncul dalam perusahaan teridentifikasi dan definisi dari tingkat risiko tersebut dipahami, maka pada bagian ini control terhadap risiko perlu dilakukan (Lampiran 2). Adapun kontrol yang akan diterapkan adalah sebagai berikut : 1. Backup Melaksanakan backup atas setiap data-data yang dimiliki perusahaan atau menyimpan data tidak hanya di satu tempat dan media saja. 2. Restore Melaksanakan restore sehingga informasi dapat diperoleh kembali dengan menggunakan cara backup data. 3. Access Control Mencegah akses yang tidak sah terhadap informasi mencakup kemampuan untuk mendeteksi, dan melaporkan percobaan terhadap keamanan informasi untuk membatasi akses ke petugas yang berwenang. 4. Application Control

19 Merancang dan menerapkan pengendalian aplikasi untuk memastikan integritas, kerahasiaan, dan ketersediaan informasi. 5. Anti Virus Memasang Anti-virus pada setiap unit computer dan memastikan bahwa anti-virus tersebut selalu ter-update secara otomatis. 6. Policy Mengembangkan kebijakan dan prosedur untuk membatasi hak akses atau memberi hak akses khusus pada pihak tertentu. 7. Training Memberikan pelatihan mengenai penggunaan aplikasi dan penetuan akan aplikasi mana yang tepat untuk digunakan. 8. Penggantian Hardware Mengganti hardware yang sudah tidak terpakai atau yang mengalami kerusakan. 9. Maintenance Melaksanakan pemeliharaan hardware, software secara berkala. 10. Physical Security Melakukan perlindugan secara fisik terhadap hardware yang ada dalam upaya menunjang kinerja system. 11. Management Support

20 Memberikan panduan bagi staff bagian operasional dalam mengimplementasikan system dan teknologi yang dipakai dalam perusahaan dan memastikan pertukaran data menggunakan aplikasi yang dipakai berjalan dengan baik dan aman. 3. Asset Classification Asset yang dikaji akan diklasifikasikan dengan menggunakan kebijakan perusahaan, standar, dan prosedur dari klasifikasi asset / Melakukan pemisahan antara data yang terpakai dan tidak. 4. Proprietary Kepemilikan Kontrol. 5. Pemeliharaan Database Melakukan pengecekan rutin terhadap keberadaan database agar database yang ada dapat terus dipakai untuk menghasilkan informasi yang diperlukan. 6. Update Melakukan update aplikasi, program, data atau informasi secara berkala. 7. Change Management Karyawan akan mematuhi proses perubahan manajemen yang dirancang untuk membantu proses bisnis dan memberikan tindakan pengendalian atas kemungkinan risiko yang akan terjadi di kemudian. 8. Acceptance Testing Mengembangkan prosedur pengujian yang harus diikuti selama pengembangan aplikasi dan modifikasi aplikasi. 9. Verifikasi Melakukan pengecekan ulang tentang kebenaran suatu informasi.

21 10. Recovery Plan Melakukan pemulihan atas kerusakan yang terjadi baik terhadap hardware, software, ataupun data. 11. Disaster Recovery Plan Rencana dari kemungkinan kerusakan yang berdampak pada kemampuan proses komputer dan operasi bisnis perusahaan. 21.Modify Authorization Dalam mengupdate / memodifikasi data data sensitif diperlukan surat perintah dari atasan Existing Control Berdasarkan control list yang telah didokumentasikan menunjukan hubungan antara risiko yang kemungkinan dapat terjadi dengan kontrol yang ada. Pada PT Deraya Air terdapat beberapa kontrol yang sudah diterpakan terhadap kemungkinan risiko yang akan muncul (lampiran 4), disertai dengan peta persebaran prioritas risiko. Kontrol yang terdapat di perusahaan seperti backup, restore, pembatasan akses, pengendalian aplikasi, anti-virus, kebijakan atas hak akses, pelatihan, pergantian hardware, perawatan, kemanan fiisik yang sudah diterpakan dalam perusahaan hal ini untuk menekan dampak yang akan muncul dari terjadinya risiko, tetapi kontrol yang sudah ada tersebut tidak cukup untuk mengirangi kemungkinan dampak yang terjadi pada bisnis. Maka PT Deraya Air perlu memperhatikan kontrol apa saja yang akan di berlakukan untuk setiap kemungkinan atas terjadinya risiko dari kontrol yang sudah ada. Fasilitator

22 FRAP akan membantu perusahaan dalam mengeanalisa lebih detail mengenai risiko yang akan muncul dan kontrol yang diperlukan. Berikut peta persebaran prioritas risiko yang sudah terdapat didalam perusahaan berdasarkan existing control. Matriks Existing Gambar 4.2 Matrix Existing Control

23 4.3.3 Suggest Control Dalam suggest control ini fasilitator menyarankan kontrol tambahan dari existing control yang ada diperusahaan (lampiran 5). Agar tingkat kerentanan dan dampak yang muncul dari bisnis dapat diperkecil dan risiko yang kemungkinan terjadi pada perusahaan dapat di minimalkan.. Sehingga diharapkan dengana adanya rekomendasi kontrol dari fasilitator, maka perusahaan dapat menekan timbulnya serta dampak jika suatu risiko itu terjadi. Berikut peta persebaran prioritas kontrol pada suggest control. Gambar 4.3Matrix Suggest Control 4.4 Post FRAP Meeting Cross Reference Sheet Dari hasil analisis risiko yang telah diidentifikasi dan diukur, fasilitator melakukan risk cross (lampiran 7)dengan hasil kontrol, yaitu :

24 1. Menerapkan system backup adalah salah satu pengendalian yang digunakan perusahaan untuk menjaga ketersediaan data-data perusahaan, pengendalian ini dipilih pada risiko nomor 1, 15, 17,19 dan 20. Danberdasarkanpengendalian tersebut, risiko 1, 15, 17, 19 dan 20 masih berada pada tingkat prioritas B. 2. Melaksanakan restore sehingga informasi dapat diperoleh kembali dengan menggunakan cara backup data.dipilih untuk risiko nomor 1, 15, dan 19. Danberdasarkanpengendalian tersebut,risiko tersebut masih mendapatkan tingkat prioritas B. 3. Melakukan Pembatasan akses yang tidak sah terhadap informasi,juga untuk mendeteksi serta melaporan pelanggaran atas keamanan informasi dan memastikan keamanan fisik.pengendalian ini dipilih untuk risiko nomor 9 dan 12.Danberdasarkanpengendalian tersebut, risiko 9 dan 12 masih berada pada tingkat prioritas B. 4. Merancang dan menerapkan pengendalian aplikasi untuk memastikan integritas, kerahasiaan, dan ketersediaan informasi, dipilih untuk risiko nomor 3,4,5,7,9, dan 12. Danberdasarkanpengendalian tersebut,risiko 3,4,5,7,9, dan 12. masih berada pada tingkat prioritas B. 5. Memasang Anti-virus pada setiap unit computer dan memastikan bahwa anti-virus tersebut selalu ter-update secara otomatis, dipilih untuk risiko nomor 3 mengenai kerusakan Aplikasi. Danberdasarkanpengendalian tersebut, risiko 3 masih berada pada tingkat prioritas B.

25 6. Mengembangkan kebijakan danprosedur untuk membatasi hak akses atau memberi hak akses khusus pada pihak tertentu. diberikan pada risiko nomor 9 dan 12. Danberdasarkanpengendalian tersebut,masih berada pada tingkat prioritas B. 7. Memberikan pelatihan mengenai penggunaan aplikasi dan penetuan akan aplikasi mana yang tepat untuk digunakan merupakan pengendalian yang dipilih perusahaan untuk risiko nomor 5, 7,15 dan 20. Danberdasarkanpengendalian tersebut, risiko 5, 7, 15 dan 20 masih berada pada tingkat prioritas B. 8. Mengganti hardware yang sudah tidak terpakai atau yang mengalami kerusakan. Pengendalian yang dipilih pada risiko nomor 15dan 17 mengenai kerusakandan pencurian hardware. Danberdasarkanpengendalian yanga ada, risiko tersebut masih terukur pada tingkat prioritas B. 9. Melaksanakan pemeliharaan hardware, software secara berkala, pengendalian ini dipilih untuk risiko nomor 1,3 dan 15 mengenai kerusakan database dan kerusakan hardware dan aplikasi. Danberdasarkanpengendalian tersebut,risiko nomor 1,3 dan 15 masih mendapatkan tingkat prioritas B. 10. Melakukan perlindugan secara fisik terhadap hardware yang ada dalam upaya menunjang kinerja system. pengendalian yang dipilih pada risiko nomor 15 dan 17 mengenai kerusakan dan pencurian hardware. Danberdasarkanpengendalian tersebut,risiko nomor 15 dan 17 masih mendapatkan tingkat prioritas B. 11. Memberikan panduan bagi staff bagian operasional dalam mengimplementasikan sistem dan teknologi yang dipakai dalam perusahaan dan memastikan pertukaran data menggunakan aplikasi yang dipakai berjalan dengan baik dan aman dipilih pada

26 risiko nomor 7 dan 17. Danberdasarkanpengendalian tersebut,risiko nomor 7 dan 17 masih mendapatkan tingkat prioritas B. 12. Asset yang dikaji akan diklasifikasikan dengan menggunakan kebijakan perusahaan, standar, dan prosedur dari klasifikasi asset / melakukan pemisahan antara data yang terpakai dan tidak, pengendalian ini dipilih pada risiko nomor 4 dan 7 mengenai kesalahan penggunaan data yang sudah tidak terpakai (out-of-date) dan dokumentasi mengenai kualifikasi informasi tidak lengkap. Danberdasarkanpengendalian tersebut,risiko nomor 4 dan 7 masih mendapatkan tingkat prioritas B. 13. Melakukan pengecekan rutin terhadap keberadaan database agar databasedipilih pada risiko nomor 1 mengenai kerusakan database. Danberdasarkanpengendalian tersebut, risiko nomor 1 masih mendapat tingkat prioritas B. 14. Melakukan update aplikasi, program, data atau informasi secara berkala. Pegendalian ini dipilih pada risiko nomor 1,3 dan 4. Danberdasarkanpengendalian tersebut, risiko nomor 1, 3 dan 4, masih memiliki tingkat prioritas B. 15. Memastikam karyawan akan mematuhi proses perubahan manajemen yang dirancang untuk membantu proses bisnis dan memberikan tindakan pengendalian atas kemungkinan risiko yang akan terjadi di kemudian. Pengendalian tersebut dipilih pada risiko nomor 4 dan 12. Danberdasarkanpengendalian tersebut, risiko nomor 4 dan 12 masih memiliki tingkat prioritas B. 16. Mengembangkan prosedur pengujian yang harus diikuti selama pengembangan aplikasi dan modifikasi aplikasi. Pengendalian tersebut dipilih pada risiko nomor 20 mengenai SDM yang tidak terlatih menggunakan teknologi. Danberdasarkanpengendalian tersebut, risiko nomor 20 masih memiliki prioritas B.

27 17. Melakukan pengecekan ulang tentang kebenaran suatu informasi. Pengendalian tersebut dipilih pada risiko nomor 5. Danberdasarkanpengendalian tersebut, risiko nomor 5 masih memiliki tingkat prioritas risiko B. 18. Melakukan pemulihan atas kerusakan yang terjadi baik terhadap hardware, software, ataupun data. Pengendalian ini dipilih pada risiko nomor 1. Danberdasarkanpengendalian tersebut,risiko nomor 1 masih memiliki tingkat risiko B. 19. Rencana dari kemungkinan kerusakan yang berdampak pada kemampuan proses komputer dan operasi bisnis perusahaan. Pengendalian tersebut dipilih pada risiko nomor 19. Danberdasarkanpengendalian tersebut,risiko nomor 19 masih memiliki tingkat prioritas risiko B Action Plan Dalam action plan(lampiran 20)ini akan dibahas mengenai tindakan yang diambil oleh pihak manajemen perusahaan atas risiko yang telah diidentifikasi dan yang telah diprioritaskan dari control yang disarankan penulis sebagai fasilitator. Action plan ini akan dijelaskan tindakan yang diambil oleh pemilik mengenai risiko yang ada dalam perusahaan, oleh siapa tindakan itu diambil dan kapan tindakan tersebut diimplementasikan di dalam perusahaan. 1. Risiko mengenai kerusakan database karena kegagalan hardware mendapat tingkat penilaian B dikarenakan karena tata letak hardware di ruang server padapt Deraya Air yang tidak tersusun rapi dan tidak terstruktur hal itu dapat mempengaruhi keadaan

28 hardware yang berakibat database dapat rusak serta sering terjadinya pemadaman listrik secara tiba-tiba sehingga dapat menyebabkan kerusakan pada database. Berdasarkan control list yang ada risiko tersebut mendapat pengendalian nomor 14, 15, dan 19 dari risiko yang mungkin timbul, owner action yang mendukung pengendalian ini yaitu melakukan pemeliharaan database dengan cara membackup database setiap hari agar dapat dipulihkan (di restore) apabila terjadi kerusakan data. Pengendalian tersebut dilakukan oleh bagian IT dan akan dilaksanakan pada Maret Risiko mengenai staff internal yang sengaja memodifikasi data untuk keuntungan kelompok mendapat tingkat penilaian C dikarenakan sistem yang berjalan pada PT Deraya Air untuk melakukan penginputan data barang memerlukan log-in dengan memasukkan user-id dan password sehingga dapat meminimalisir peluang untuk memodifikasi nilai jumlah barang demi keuntungan kelompok. Sehingga sulit untuk suatu kelompok memodifikasi data tersebut. 3. Risiko mengenai kerusakan aplikasi mendapat tingkat penilaianb dikarenakan tidak dilakukan maintenance secara berkala terhadap aplikasi yang digunakan perusahaan, sehingga risiko kerusakan pada aplikasi masih memungkinkan terjadi. Berdasarkan control list yang ada risiko ini mendapat pengendalian nomor 4, 9, 15. Dan pengendalian owner action yang mendukung pengendalian ini yaitu dengan Melakukan pemeliharaan terhadap aplikasi secara berkala serta menginstal ulang atau update aplikasi bila terjadi kerusakan aplikasi. Pengendalian tersebut dilakukan oleh bagian IT, serta akan segera dilaksanakan pada April Risiko mengenai penggunaaan data yang tidak terpakai lagi (out-of-date) mendapat tingkat penilaian B, dikarenakan dalam PT Deraya Airbelum menerapkan pemisahan

29 terhadap data yang masih terpakai dengan data yang sudah tidak terpakai serta belum adanya pemindahan data secara berkala yang mengakibatkan data tidak valid apabila digunakan kembali. Berdasarkan control list yang ada risiko ini mendapat pengendalian nomor 15, 16. Maka dari itu,owner action akan menerapkan pengendalian pada bulan Maret 2013 terhadap risiko tersebut dengan melakukan update data atau informasi serta melakukan perubahan manajemen untuk memisahkan data yang sudah tidak terpakai secara berkala yang dilakukan oleh bagian IT. 5. Risiko mengenai kesalahan entry data mendapat tingkat penilaian B dikarenakan faktor human error yang mengakibatkan kesalahan pada entry data. Berdasarkan control list yang ada risiko ini mendapat pengendalian nomor 4 &18. Dan owner action akan menerapkan control aplikasi berupa terdapat message error apabila terjadi kesalahan input data dengan melakukan pengecekan ulang secara teliti oleh pihak yang diberi akses khusus untuk merubah data yang tidak benar misalnya oleh supervisor serta pengendalian pada bulan Mei Risiko mengenai modifikasi data akibat serangan virus, tingkat penilaian C karena antivirus dalam perusahaan ter-update secara otomatis dan perusahaan telah menerapkan kebijakan atas larangan penggunaan flashdisk sehingga kemungkinan terjadi risiko tersebut sangat kecil. 7. Risiko mengenai ketidaklengkapan dokumentasi yang jelas mengenai klasifikasi informasi mendapat tingkat penilaian B yang dikarenakan diperusahaan terdapat kejadian dimana ada keliruan antara spesifikasi barang berbahaya atau tidak berbahaya yang dianggap human error. Dan juga pada saat dokumentasi mengenai spesifikasi barang kurang rinci. Berdasarkan control list yang ada risiko ini mendapat pengendalian nomor

30 4, 12. Dan owner action yang akan diterapkan pada bulan April 2013 adalah dengan membuat klasifikasi secara rinci misalnya dibuatkan kode untuk memudahan proses entry datayang dilakukan oleh bagian IT dan HRD. 8. Risiko mengenai kurangnya staff di bidang TI memiliki tingkat prioritas C, dikarenakan staff teknologi informasi yang ada di dalam perusahaan memang kurang memadai untuk melakukan pengontrolan terhadap aplikasi, namun sejauh ini staff TI yang ada dapat meng handle tugas yang diterima, selain itu perusahaan juga melakukan pelatihan penggunaan teknologi kepada staff non IT. 9. Risiko mengenai pencurian informasi dari perusahaan memiliki tingkat penilaian B, dikarenakan kurangnya kontrol terhadap data serta perusahaan belum menerapkan kebijakan mengenai kewenangan karyawan dalam hal meminta data terhadap data-data sistem aplikasi kepada bagian manager IT sehingga risiko tersebut masih dapat terjadi. Berdasarkan control list yang ada risiko ini mendapat pengendalian nomor 4. Dan owner action yang akan diterapkan pada bulan Maret 2013 adalah menyimpan informasi sensitive di server dengan menerapkan log in password. 10. Risiko mengenai pc tidak terproteksi memiliki penilaian C, dikarenakan pada perusahaan telah menetapkan kebijakan keamanan seperti sistem login untuk setiap penggunaan dan penggunaan enskripsi pada harddisk sehingga user yang memiliki akses saja yang mendapat mengaksesnya yang menjadikan kemungkinan terjadi nya risiko ini kecil. 11. Risiko format password mudah diketahui memiliki tingkat pengukuran C, dikarenakan perusahaan memiliki tindakan pencegahannya yakni password setiap divisi berbeda, selain itu telah diterapkannya sanksi-sanksi apabila user membocorkan password kepada pihak yang tidak berkepentingan.

31 12. Risiko mengenai penyalahgunaan wewenang staff TI yang memiliki hak keamanan tinggi memiliki penilaian B, dikarenakan staff tersebut diberi hak akses istimewa namun perusahaan belum melakukan pengawasan secara rutin dan belum menerapkan kebijakan sanksi-sanksi apa yang diperoleh apabila terjadi pelanggaran. Berdasrkan control list yang ada, risiko ini mendapat pengendalian nomor 4, 16. Dan owner action yang akan diterapkan pada bulan Maret 2013 adalah mengembangkan kebijakan keamanan dengan memberikan sanksi yang tegas terhadap pelanggaran yang dilakukan atas penyalagunaan tanggung jawabyang bertanggung jawab dalam hal ini adalah bagian IT dan HRD. 13. Risiko mengenai penyalahgunaan user ID memiliki penilaian C, dikarenakan pada perusahaan sudah menerapkan keamanan dan kebijakan yang cukup baik dalam hal penyalahgunaan user ID sehingga kemungkinan terjadinya risiko kecil pada perusahaan. 14. Risiko mengenai ketertinggalan teknologi mempengaruhi kualitas pelayanan memiliki tingkat penilaian C, dikarenakan pada perusahaan tidak menggunakan teknologi baru atau tidak melakkukan update terhadap Operating Sytem yang menyebabkan kualitas pelayanan yang kurang menunjang dalam proses bisnis perusahaan, tetapi bisnis tetap berjalan dengan baik walaupun tidak menggunakan teknologi baru. Kemungkinan terjadinya risiko ini kecil pada perusahaan. 15. Risiko kerusakan hardware memiliki penilaian risko B, dikarenakan tata letak hardware di perusahaan yang kurang tertata dengan rapi dan ketidakstabilan listrik di cabang papua yang dapat mempengaruhi kinerja dan ketahanan pada hardware dan juga mempengaruhi jaringan. Berdasarkan control list yang ada risiko ini mendapat pengendalian nomor 7, 8, 10. Owner action yang akan diterapkan atas risiko ini adalah dengan melakukan penggantian hardware yang sudah tidak berfungsi dan melakukan pemeliharaan

32 hardware secara berkala. Dalam hal ini yang bertanggung jawab adalah bagian IT dan akan dilaksanakan pada bulan Juni Risiko mengenai layanan internet yang lambat memiliki penilaian C, perusahaan menggunakan bandwidth yang terbatas internet dan wilayah di Papua yang kurang potensial lokasinya,namun sejauh ini tidak mempengaruhi proses pengiriman dan penerimaan data yang dibutuhkan. 17. Risiko mengenai pencurian hardware memiliki tingkat penilaian B, dikarenakan pada perusahaan hanya terdapat satu orang tenaga kerja keamanan dan kebebasan memasuki ruangan oleh orang-orang yang tidak berkepentingan serta kurang adanya pengawasan terhadap pengendalian keamanan kantor. Berdasarkan control list yang ada risiko ini memiliki pengendalian nomor 1, 11. Owner action yang akan diterapkan pada bulan Maret 2013 adalah meningkatkan pengawasan terhadap keberadaan hardware dengan pemasangan cctv dan gembok. Dalam hal ini yang bertanggung jawab adalah bagian Manajeman. 18. Risiko error pada program memiliki tingkat risiko C, perusahaan telah melakukan maintenance terhadap programdan anti virusdalam perusahaan sedah ter-update secara otomatis sehingga risiko ini kemungkinan terjadinya kecil. 19. Risiko ketidaktersediaan dokumen DRP dalam perusahaan memiliki tingkat risiko B, dikarenakan setiap karyawan dan perusahaan belum memiliki kesadaran serta pemahaman akan rencana kemungkinan pemulihan bencana dan perusahaan sendiri belum melakukan dokumentasi DRP. Berdasarkan control list yang ada risiko ini memiliki pengendalian nomor 20. Owner action yang akan diterapkan pada bulan Mei 2013 adalah menerapkan perencanaan dalam menghadapi keadaan darurat yang berisi

33 dokumentasi langkah-langkah untuk kembali beroperasi secepatnya saat keadaan darurat/rencana pemulihan secepatnya atas terjadinya kerusakan asset perusahaan. Dalam hal ini yang bertanggung jawab adalah bagian IT. 20. Risiko SDM yang tidak terlatih dalam menggunakan teknologi informasi memiliki tingkat prioritas B, dikarenakan pada saat pengrekrutan pegawai baru perusahaan tidak menerapkan pengujian terhadap penggunaan teknologi yang terkomputerisasi. Berdasarkan cintrol list yang ada risiko ini memiliki pengendalian nomor 1 dan 17. Owner action yang akan diterapkan pada bulan April 2013 adalah dengan melakukan pelatihan tambahan kepada karyawan dalam penggunaan teknologi secara tepat untuk mendukung proses bisnis. Dalam hal ini yang bertanggung jawan adalah bagian IT Laporan Akhir Final (Final Report) Tanggal : 19 Januari 2013 Kepada : Bapak Wahyu Mulyono IT Development / IT Support Dari : Milawati Project Leader Subject : Facilitated Risk Analysis Kami sebagai fasilitator memfasilitasi sesi analisis risiko sesuai dengan fungsi yang tertera pada subjek diatas. Peserta analisis risiko mengidentifikasi risiko dan control

34 seperti yang tertera pada lampiran Action Plan. Para peserta termasuk anda, atau perwakilan anda, dapat memastikan bahwa masalah dalam perusahaan anda benar-benar diperhatikan. Action Plan menunjukkan pengendalian yang telah diidentifikasi selama proses analisis risiko telah dilakukan atau akan dilakukan. Amda sebaiknya sudah membuat keputusan untuk perusahaan jika dan kapan pengendalian akan dilaksanakan. Tanggal FRAP : 21 November 2012 Sistem/Aplikasi : Sistem Informasi Kargo PT Deraya Air Pemilik Risiko : Wahyu Mulyono Fasilitator : Adriany Utami Milawati Raesa Zulida Vernainy Pernyataan Kesepahaman : Saya, Pemilik, dengan ini telah,mengerti bahwa risiko yang telah diidentifikasi pada Action Plan dari analisa risiko dapat menyebabkan masalah integritas, kerahasiaan, dan ketersediaan yang memiliki dampak negative. Karena itu, saya telah memutuskan untuk mempertimbangkan pengendalian seperti yang tercamtum pada Action Plan. Saya memahami bahwa setiap risiko yang tidak terkontrol dapat berdampak negatif terhadap informasi perusahaan dan bisnis perusahaan Mengetahui,

35 Wahyu Mulyono Milawati (IT Support) (ProjectLeader) 4.5 Informasi tambahan PT.Deraya Air Berdasarkan wawancara yang dilakukan oleh penulis beserta 2 Bagian IT dan 1 Bagian HRD maka diperoleh hasil wawancara, adapun hasil wawancara : 1. Kebijakan Keamanan Dalam hal kebijakan keamanan pada PT Deraya Air menghasilkan kesimpulan bahwa perusahaan telah mengimplementasikan kebijakan keamanan dengan cukup baik, karyawan telah mengetahui kebijakan keamanan yang diterapkan perusahaan, terdapat buku pedoman mengenai keamanan informasi karyawan, namun dokumentasi mengenai pengklasifikasian informasi perusahaan dan tanggung jawab karyawan serta sanksi-sanksi apalagi terjadi pelanggaran belum lengkap dan detail. 2. Kesesuaian Organisasi Dalam kesesuaian organisai pada PT DerayaAir dapat disimpulkan bahwa dengan hasil cukup baik adalah tindakan dari perusahaan berupa keamanan dan tanggungjawab sudah dilakukan dan mencapai tujuan perusahaan, karyawan turut serta dalam mengamankan informasi perusahaan, namun kurangnya pelatihan pada karyawan membuat belum maksimal serta prosedur kebijakan keamanan belum diuji secara rutin. 3. Keamanan Fisik

36 Berdasarkan hasil wawancara, maka diperoleh informasi perusahaan telah menerapkan dengan cukup baik fasilitas fisik untuk mengamankan asset penting perusahaan,dan banyak karyawan yang sudah mengetahui tujuan dari keamanan fisik yang diterapkan oleh perusahaan. Kegiatan antisipasi apabila terjadi bencana belum ada namun telah dalam tahap perencanaan, maka dalam hal keamanan fisik klasifikasi perusahaan yaitu pada tingkat cukup baik.