BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

Transkripsi

1 BAB 4 ANALISIS DAN BAHASAN 4.1 Hasil Penelitian Penelitian yang penulis lakukan menggunakan metode analisa berupa pendekatan FRAP (Facilitated Risk Analysis Process) yang merupakan penciptaan Thomas Peltier. Hal ini didasarkan pada penerapan teknik manajemen risiko dengan cara yang sangat hemat biaya dan waktu. Setiap proses analisis risiko di dalam pendekatan FRAP dibagi menjadi empat sesi yang berbeda: 1. Pre FRAP Meeting Pre-FRAP meeting adalah kunci utama agar suatu projek dapat sukses. Rapat ini berlangsung sekitar satu sampai dua jam. Dan menghasilkan lima komponen utama seperti : 1) Scope statement. Dalam hal ini Ketua proyek dan manajer bisnis membuat pernyataan dalam bentuk dokumen yang digunakan untuk mengkonfirmasikan pemahaman bersama akan ruang lingkup atau batasan proyek yang perlu ditinjau. 2) Visual model. Berupa diagram yang menggambarkan proses yang harus ditinjau dan digunakan selama sesi FRAP dari dimulainya proses sampai dengan proses akhir. 67

2 68 3) Membentuk tim FRAP. Umumnya antara 7 15 anggota dan memiliki perwakilan dari sejumlah area baik bisnis maupun bagian lain yang menunjang. 4) Mekanika meeting. Menentukan ruangan meeting, mengatur jadwal, mendapatkan materi yang dibutuhkan (overhead, flip charts, kopi dan donut). 5) Agreement on definition. Menyetujui pengertian terkait elemen yang akan ditinjau (integrity, confidentiality, availability).

3 69 Bentuk visual model tentang proses FRAP dari awal hingga akhir yang telah dibuat oleh penulis adalah seperti dibawah ini, Gambar 4.1 Visual Model proses FRAP

4 70 Sesuai dengan proses Pre-FRAP, penulis telah menentukan siapa saja dan peran dari tim FRAP yang ada. Berikut ini adalah penjabaran anggota tim FRAP. Pemilik (owner), yang dalam hal ini ialah Unit Head Of Hardware & Network yang diwakili oleh Bapak Bernardinus Andi Prasmadita. Pimpinan projek (project lead) merangkap fasilitator, yang dalam hal ini ialah Anastasia. Fasilitator (facilitator), yang dalam hal ini ialah Eva Juwita. Juru tulis (Scribe) sekaligus fasilitator, yang dalam hal ini ialah Stefanie Chenicia. Anggota tim (Team members), Dimana secara keseluruhan terdiri dari seluruh anggota yang terlibat dalam proses FRAP ini diantaranya adalah : o Empat orang yang telah disebutkan sebelumnya. o Section head of software and application, Yuliana Widjaya. o Staff bagian hardware dan jaringan, Dicky M dan Jerry S. o Staff bagian applikasi 1, Stefan F. Sehingga secara keseluruhan, anggota tim FRAP yang telah dibentuk oleh fasilitator, yang dalam hal ini berperan untuk memfasilitasi serta memandu proses analisa risiko dengan menggunakan framework yang telah disediakan dalam FRAP, totalnya adalah delapan orang. Setelah menentukan tim FRAP, penulis kemudian mengatur jadwal untuk pertemuan dengan anngota tim. Selanjutnya, penulis sebagai fasilitator bersama manajer TI membuat persetujuan mengenai beberapa istilah berikut ini : 1. Risiko (Risk) 2. Pengendalian (Control)

5 71 3. Dampak (Impact) 4. Kerentanan (Vulnerability) 4.2 Proses Pengumpulan Data Proses pengumpulan data dimulai ketika penulis mewawancarai bagian Unit Head Of Hardware & Network, yaitu Bapak Bernardius Andi Prasmadita dan Section head of software and application, yaitu Ibu Yuliana Widjaja. Pertemuan pertama dilakukan pada tanggal 29 Oktober 2012 dan pertemuan kedua dilakukan pada tanggal 8 November Pada pertemuan pertama dan kedua, penulis mengumpulkan data-data mengenai sejarah perusahaan, struktur organisasi, visi dan misi perusahaan, proses bisnis yang berjalan, teknologi informasi yang digunakan dalam perusahaan, dan hal-hal lain yang berkaitan dengan perusahaan. Pada pertemuan ketiga yang dilakukan pada tanggal 28 November 2012, penulis kembali bertemu dengan Bapak Andi untuk melakukan brainstroming mengenai risiko-risiko yang ada di dalam perusahaan terkait dengan proses bisnis yang berjalan. Selanjutnya pada tanggal 21 Desember 2012 penulis dipertemukan dengan staff bagian applikasi 1, Stefan F dan staff bagian hardware dan jaringan Jerry S dalam mengumpulkan informasi tentang kontrol yang ada di perusahaan.

6 Hasil Analisis Setelah melakukan pre-frap meeting dan melakukan pengumpulan data yang dibutuhkan dalam mendukung metode FRAP ini, penulis kemudian melakukan sesi FRAP FRAP Session Deliverable Setelah penulis melakukan barinstorming untuk menentukan risiko yang ada dengan pihak Arya Group, penulis mendapatkan risiko dengan skala prioritas (berdasarkan pertimbangan vulnerability dengan dampak bisnis bagi perusahaan) sebagai berikut : 1. Risiko dengan prioritas B1 sebanyak 1 buah. 2. Risiko dengan prioritas B2 sebanyak 8 buah. 3. Risiko dengan prioritas B3 sebanyak 15 buah. 4. Risiko dengan prioritas C1 sebanyak 0 buah. 5. Risiko dengan prioritas C2 sebanyak 0 buah. 6. Risiko dengan prioritas C3 sebanyak 1 buah. 7. Risiko dengan prioritas C4 sebanyak 8 buah. 8. Risiko dengan prioritas D sebanyak 0 buah. Berdasarkan prioritas diatas, penulis telah membuat tabel FRAP session deliverable yang terdapat pada lampiran (Tabel 4.1), dimana di dalam tabel tersebut daftar masing-masing risiko dengan peklasifikasian tipe risikonya kemudian diproritaskan dan selanjutnya, penulis akan memberikan suggested control hanya pada risiko-risiko dengan prioritas B. Berikut ini adalah penjelasan mengenai beberapa risiko yang skala prioritas nya telah penulis tentukan, diantaranya :

7 73 1. Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap atau tidak jelas. ( Tipe risiko : Integrity) Untuk risiko ini, penulis memberikan skala prioritas B1 dengan mempertimbangkan tidak tersedianya pendokumentasian atas definisi dan klasifikasi informasi di dalam perusahaan. Dampak yang mungkin timbul bila risiko ini terjadi adalah ketidak konsistenan dalam melakukan pengelompokan informasi serta kemungkinan penggunaan informasi itu sendiri menjadi tidak tepat dan akurat. 2. Perubahan terhadap system/software aplikasi atau data tidak didokumentasi. (Tipe risiko : Integrity) Untuk risiko ini, penulis memberikan skala prioritas B2 dengan mempertimbangkan bahwa pada saat melakukan perubahan atas system/software pada PT Arya group, tidak dilakukan pencatatan dan pendokumentasian yang memadai. Dampak yang mungkin timbul bila risiko ini terjadi adalah penanganan tidak dapat dilaksanakan secara cepat, tepat dan akurat apabila seandainya terjadi kegagalan system/software, ataupun jika terdapat bug pada software setelah dilakukan perubahan atas system/software, mengingat tidak ada dokumentasi atas setiap perubahan yang pernah terjadi sebelumnya yang seharusnya dapat dijadikan best practices dalam menangani gangguan ataupun hambatan-hambatan terkait system/software di masa mendatang.

8 74 3. Saling berbagi ID. (Tipe risiko : Confidentiality) Untuk risiko ini, penulis memberikan skala prioritas B2 dengan mempertimbangkan tidak adanya kebijakan yang tertulis terkait kerahasiaan user-id, sehingga antar karyawan saling memberikan ID mereka kepada rekan-nya. Dampak yang mungkin timbul bila risiko ini terjadi adalah kemungkinan kebocoran informasi akibat terjadinya penyalahgunaan atas wewenang dalam mengakses informasi yang sifatnya sensitif. 4. Personil yang melakukan perubahan sistem tidak ditraining secara cukup. (Tipe risiko : Integrity) Untuk risiko ini, penulis memberikan skala prioritas B2 dengan mempertimbangkan atas keterkaitan personil dengan sistem yang digunakan di PT Arya group. Disini melihat kepada sumber daya manusia (personil/karyawan) merupakan salah satu asset yang penting dalam mendukung kelancaran sebuah bisnis, selain itu juga didukung dengan kinerja sistem yang dikelola oleh personil yang bertanggung jawab di dalam perusahaan. Dampak yang mungkin timbul bila risiko ini terjadi adalah perubahan sistem yang akan dilakukan (baik itu berupa pengembangan sistem ataupun bentuk pengelolaan sistem) menjadi tidak efektif dan tidak efisien, yang mana nantinya bisa menyebabkan masalah integritas seperti ketidak akuratan ataupun ketidak konsistenan pada saat melakukan perubahan data di dalam sistem, menyimpan history maupun metadata.

9 75 5. Informasi diakses oleh personil yang tidak memiliki akses. (Tipe risiko : Integrity) Untuk risiko ini, penulis memberikan skala prioritas B3 dengan mempertimbangkan bahwa di PT Arya group tidak memiliki kebijakan dan prosedur tertulis yang terkait dengan akses. Dampak yang mungkin timbul bila risiko ini terjadi adalah data atau informasi yang ada bisa mengalami perubahan sehingga menjadi tidak konsisten, tidak akurat, dimana kebenarannya diragukan. 6. Hackers dapat membuat situs menjadi tidak berjalan / down. (Tipe risiko : Availabity) Untuk risiko ini, penulis memberikan skala prioritas B3 dengan mempertimbangkan pernah terjadi hacking. Dampak yang mungkin timbul bila risiko ini terjadi adalah gangguan sistem yang menyebabkan ketidaktersediaan data atau sistem yang dibutuhkan karyawan PT Arya group. Setelah itu pemetaan atas persebaran prioritas dalam FRAP Session Deliverable dilakukan dengan memasukkan prioritas yang telah dibuat berdasarkan brainstorming penulis dengan tim FRAP. Berikut ialah gambaran persebaran dari prioritas risiko yang ada :

10 76 Sample Priority Matrix Dampak Bisnis (Business Impact) High Medium Low High A B1 C1 14 Vulnerability Medium B B C2 Low C C3 7 D Gambar 4.2 Matrix persebaran prioritas FRAP Session Deliverable 4.4 Hasil Post FRAP Pada bagian ini penulis akan menjabarkan apa saja yang ingin disampaikan dalam tahap post FRAP, dimana sebelumnya penulis telah selesai melakukan pre- FRAP meeting, FRAP session serta FRAP analysis. Berikut ialah hasil dari tahap post FRAP Cross Reference Sheet Penulis akan membuat cross reference sheet setelah sebelumnya penulis membuat FRAP session deliverable. Pada cross reference sheet, risiko-risiko yang ada akan dikelompokan ke dalam dua puluh enam jenis kontrol yang telah disediakan sebelumnya oleh pendekatan FRAP. Dimana setiap satu jenis risiko yang ada dapat memiliki beberapa jenis kontrol. Seperti digambarkan pada cross reference sheet

11 77 yang terdapat di lampiran (tabel 4.2) yang mencakup control number, control description, risk number, risk, type, dan priority Perbandingan Open Risk dengan Suggested Control Setelah membuat cross reference sheet, selanjutnya penulis akan membandingkan open risk dengan suggested control. Dimana, perbandingan antara keduanya akan dapat diketahui apakah prioritas dari suatu risiko tersebut turun atau tetap (lihat tabel 4.3). Seperti penjabaran dibawah ini mengenai matrix persebaran prioritas risiko yang telah dibandingkan : 1. Risiko dengan prioritas B2 sebanyak 3 buah. Risiko-risiko yang termasuk kedalam prioritas B2 diantaranya : a. Saling berbagi ID. (Tipe : Confidentiality) b. Pendanaan yang tidak cukup untuk kemampuan backup. (Tipe : Availability) c. Sumber daya teknis kurang pelatihan yang cukup. (Tipe : Availability) 2. Risiko dengan prioritas B3 sebanyak 1 buah. Risiko-risiko yang termasuk kedalam prioritas B3 diantaranya : a. Serangan virus dapat mengakibatkan ketidaktersediaan sistem atau informasi. (Tipe : Availability) 3. Risiko dengan prioritas C2 sebanyak 1 buah. Risiko-risiko yang termasuk kedalam prioritas C2 diantaranya :

12 78 a. Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap atau tidak jelas. (Tipe : Integrity) 4. Risiko dengan prioritas C3 sebanyak 14 buah Risiko-risiko yang termasuk kedalam prioritas C3 diantaranya : a. Informasi diakses oleh personil yang tidak memiliki akses. (Tipe : Integrity) b. Ketidaktersediaan atau ketidakjelasan informasi. (Tipe : Integirty) c. Database dapat rusak dikarenakan kegagalan hardware. (Tipe : Integrity) d. Proses pengendalian diabaikan karena terlalu rumit. (Tipe : Integrity) e. Menggunakan salinan data yang tidak terpakai lagi (out-of-date). (Tipe : Integrity) f. Modifikasi data akibat serangan virus. (Tipe : Integrity) g. Informasi dibagikan tanpa melewati otorisasi yang tepat. (Tipe : Confidentiality) h. Informasi pada laptop tidak terproteksi. (Tipe : Confidentiality) i. Pemberian hak privilege tentang keamanan tidak diketahui perusahaan. (Tipe : Confidentiality) j. Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses. (Tipe : Confidentiality) k. Akses terhadap backup tidak dikontrol dengan layak. (Tipe : Confidentiality) l. Hackers dapat membuat situs menjadi tidak berjalan / down. (Tipe : Availability)

13 79 m. Kegagalan hardware dari server internet. (Tipe : Availability) n. Kegagalan router atau firewall membuat layanan menjadi tidak dapat diakses. (Tipe : Availability) 5. Risiko dengan prioritas D sebanyak 5 buah. Risiko-risiko yang termasuk kedalam prioritas D diantaranya : a. Kurangnya control dan pengelolaan data antar department. (Tipe : Integrity) b. Verifikasi dalam otentikasi kepada peminta data. (Tipe : Integrity) c. Personil yang melakukan perubahan sistem tidak ditraining secara cukup. (Tipe : Integrity) d. Perubahan terhadap system/software aplikasi atau data tidak didokumentasi. (Tipe : Integrity) e. Penyusup mendapatkan akses fisik ke fasilitas komputer. (Tipe : Availability)

14 80 Matrix persebaran prioritas Open risk dibandingkan dengan suggested control Dampak Bisnis (Business Impact) High Medium Low High A B1 C1 Vulnerability Medium B3 B2 16 C Low C C D 8 19 Gambar 4.3 Matrix persebaran prioritas Open risk dibandingkan dengan suggested control Perbandingan Open Risk dengan Existing Control Selanjutnya setelah penulis membandingkan open risk dengan suggested control, kemudian penulis membandingkan open risk dengan existing control (lihat tabel 4.4). Dari perbandingan tersebut dapat diketahui apakah prioritas risiko tersebut menurun atau tetap. Perbandingan tersebut dijabarkan dan menghasilkan matrix persebaran prioritas risiko seperti dibawah ini: 1. Risiko dengan prioritas B1 sebanyak 1 buah. Risiko-risiko yang termasuk kedalam prioritas B1 diantaranya : a. Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap atau tidak jelas. (Tipe : Integrity)

15 81 2. Risiko dengan prioritas B2 sebanyak 7 buah. Risiko-risiko yang termasuk kedalam prioritas B2 diantaranya : a. Kurangnya control dan pengelolaan data antar department. (Tipe : Integrity) b. Verifikasi dalam otentikasi kepada peminta data. (Tipe : Integrity) c. Perubahan terhadap system/ software aplikasi atau data tidak didokumentasi. (Tipe : Integrity) d. Saling berbagi ID. (Tipe : Confidentiality) e. Penyusup mendapatkan akses fisik ke fasilitas komputer. (Tipe : Availability) f. Kegagalan hardware dari server internet. (Tipe : Availability) g. Kegagalan router atau firewall membuat layanan menjadi tidak dapat diakses. (Tipe : Availability) 3. Risiko dengan prioritas B3 sebanyak 5 buah. Risiko-risiko yang termasuk kedalam prioritas B3 diantaranya : a. Ketidaktersediaan atau ketidakjelasan informasi. (Tipe : Integrity) b. Database dapat rusak dikarenakan kegagalan hardware. (Tipe : Integrity) c. Informasi pada laptop tidak terproteksi. (Tipe : Confidentiality) d. Pemberian hak privilege tentang keamanan tidak diketahui perusahaan. (Tipe : Confidentiality) e. Akses terhadap backup tidak dikontrol dengan layak (Tipe : Confidentiality)

16 82 4. Risiko dengan prioritas C3 sebanyak 7 buah. Risiko-risiko yang termasuk kedalam prioritas C3 diantaranya : a. Informasi diakses oleh personil yang tidak memiliki akses. (Tipe : Integrity) b. Modifikasi data akibat serangan virus. (Tipe : Integrity) c. Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses. (Tipe : Confidentiality) d. Hackers dapat membuat situs menjadi tidak berjalan / down. (Tipe : Availability) e. Pendanaan yang tidak cukup untuk kemampuan backup. (Tipe : Availability) f. Sumber daya teknis kurang pelatihan yang cukup. (Tipe : Availability) g. Serangan virus dapat mengakibatkan ketidaktersediaan sistem atau informasi. (Tipe : Availability) 5. Risiko dengan prioritas C4 sebanyak 2 buah. Risiko-risiko yang termasuk kedalam prioritas C4 diantaranya : a. Proses pengendalian diabaikan karena terlalu rumit. (Tipe : Integrity) b. Informasi dibagikan tanpa melewati otorisasi yang tepat. (Tipe : Confidentiality) 6. Risiko dengan prioritas D sebanyak 2 buah. Risiko-risiko yang termasuk kedalam prioritas D diantaranya : a. Personil yang melakukan perubahan sistem tidak ditraining secara cukup. (Tipe : Integrity)

17 83 b. Menggunakan salinan data yang tidak terpakai lagi (out-of-date). (Tipe : Integrity) Matrix persebaran prioritas Open risk dibandingkan dengan existing control Dampak Bisnis (Business Impact) High Medium Low High A B1 C1 11 Vulnerability Medium B B C2 Low 6 12 C C D 7 9 Gambar 4.4 Matrix persebaran prioritas Open risk dibandingkan dengan existing control Open risk setelah dibandingkan dengan existing control Setelah membandingkan open risk dengan existing control yang ada di perusahaan, risiko-risiko tersebut ada yang prioritasnya turun dan ada juga yang tetap. Penulis akan mengelompokkan risiko-risiko yang memiliki prioritas A dan B yang setelah dibandingkan dengan existing control. Tabel open risk terdapat pada lampiran tabel 4.5. Berikut ini adalah open risk yang memiliki prioritas tetap setelah dibandingkan dengan existing control yang ada :

18 84 1. Ketidaktersediaan atau ketidakjelasan informasi. (Tipe : Integrity) Setelah dibandingkan dengan existing control, prioritas dari risiko ini berada pada posisi B3. 2. Database dapat rusak dikarenakan kegagalan hardware. (Tipe : Integrity) Setelah dibandingkan dengan existing control, prioritas dari risiko ini berada pada posisi B3. 3. Kurangnya control dan pengelolaan data antar department. (Tipe : Integrity) Setelah dibandingkan dengan existing control, prioritas dari risiko ini berada pada posisi B2. 4. Verifikasi dalam otentikasi kepada peminta data. (Tipe : Integrity) Setelah dibandingkan dengan existing control, prioritas dari risiko ini berada pada posisi B2. 5. Perubahan terhadap system/software aplikasi atau data tidak didokumentasi. (Tipe : Integrity) Setelah dibandingkan dengan existing control, prioritas dari risiko ini berada pada posisi B2. 6. Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap atau tidak jelas. (Tipe : Integrity) Setelah dibandingkan dengan existing control, prioritas dari risiko ini berada pada posisi B1. 7. Informasi pada laptop tidak terproteksi. (Tipe : Confidentiality) Setelah dibandingkan dengan existing control, prioritas dari risiko ini berada pada posisi B3.

19 85 8. Pemberian hak privilege tentang keamanan tidak diketahui perusahaan. (Tipe : Confidentiality) Setelah dibandingkan dengan existing control, prioritas dari risiko ini berada pada posisi B3. 9. Saling berbagi ID. (Tipe : Confidentiality) Setelah dibandingkan dengan existing control, prioritas dari risiko ini berada pada posisi B Akses terhadap backup tidak dikontrol dengan layak. (Tipe : Confidentiality) Setelah dibandingkan dengan existing control, prioritas dari risiko ini berada pada posisi B Penyusup mendapatkan akses fisik ke fasilitas komputer. (Tipe : Availability) Setelah dibandingkan dengan existing control, prioritas dari risiko ini berada pada posisi B Action Plan Pada action plan (lihat tabel 4.6 pada lampiran), risiko-risiko yang telah diidentifikasi kemudian dimasukan ke dalam kolom risk dan diberikan penomoran untuk memudahkan pembacaan, selain itu masing-masing risiko dikelompokan berdasarkan jenis risiko (integrity, confidentiality, availability). Selanjutnya prioritas yang telah dibuat sebelumnya pada saat FRAP session deliverable dapat dimasukkan ke dalam action plan. Selanjutnya, penulis akan memberikan beberapa kontrol terkait risiko yang ada. Serangkaian kontrol tersebut merupakan referensi dari metode FRAP, yang mana nantinya penulis harus memilah apakah sudah pernah dilakukan

20 86 atau belum di perusahaan. Setelah serangkaian kontrol tersebut selesai dipilah, kontrol yang belum pernah diterapkan di perusahaan-lah yang kemudian dimasukan ke dalam kolom kontrol di action plan. Selanjutnya penulis akan memperlihatkan kontrol yang disarankan kepada pihak perusahaan agar dapat dijadikan masukan, siapa yang sebaiknya ikut ambil bagian dalam mendukung kontrol-kontrol yang ada, serta kapan sebaiknya kontrol tersebut dilaksanakan, dan jika memang ada penulis dapat menyertakan beberapa komentar terkait risiko maupun kontrol. Berikut ini adalah beberapa contoh risiko yang dijabarkan di dalam action plan.

21 87 Tabel 4.1 Action Plan Risk # Risk Type Priority Controls Owner Action By Who When Additional Comments 1 Informasi diakses oleh personil yang tidak memiliki akses INT B3 6, 11, 16 Pengembangan kebijakan dan prosedur dalam hal mekanisme hak akses akan dilakukan Manajer TI dan Manajer Operasi Pengembangan Kebijakan dan Prosedur : 24/02/ Ketidaktersediaan atau ketidakjelasan Informasi INT B3 6, 13 Memantau dan melaporkan kegiatan yang dilakukan, pembuatan prosedur dan kebijakan terkait informasi akan dilakukan Manajer TI Pembuatan Prosedur dan Kebijakan : 25/02/2013 Memantau dan melaporkan secara berkala : 3/03/ Database dapat INT B3 1, 2 Backup database, Manajer Backup : 1/03/2013

22 88 rusak dikarenakan pengembangan, TI dan Pengembangan dan kegagalan hardware pendokumentasian, dan Manajer pendokumentasian : pengujian prosedur recovery Operasi 12/03/2013 Pengujian : akan dilakukan 12/04/2013 Kontrol terhadap sumber 4 Kurangnya control dan pengelolaan data antar departemen INT B2 13, 19 daya manusia yang melakukan update dan entry, serta melakukan monitoring, dan pelaporan terhadap Manajer TI Kontrol dan pemantauan : 27/02/2013 Pelaporan : 12/03/2013 kegiatan akan dilakukan 5 Verifikasi dalam otentikasi kepada peminta data INT B2 6 Kebijakan dan prosedur untuk mencegah akses yang tidak terotorisasi akan dilakukan Manajer TI Membuat kebijakan dan prosedur : 24/02/2013

23 Laporan Akhir Tanggal : 10 Januari 2013 Kepada : Bapak Bernardinus Andi Prasmadita Unit Head Of Hardware & Network PT. Arya Group Dari : Anastasia Project Leader Subjek : Facilitated Risk Analysis Kami sebagai tim fasilitator yang memfasilitasi sesi analisis risiko sesuai dengan yang tertera pada subjek diatas. Hasil identifikasi risiko dan kontrol yang telah dilakukan oleh tim FRAP disajikan seperti yang tertera pada action plan. Peserta yang hadir termasuk Anda dan pihak representative Anda untuk memastikan perhatian kepada perusahaan Anda telah ditangani dengan benar. Action plan memperlihatkan pengendalian yang telah diidentifikasi selama proses analisis risiko sudah dilakukan atau akan dilakukan. Anda sebaiknya sudah membuat keputusan untuk perusahaan jika dan kapan pengendalian akan dilaksanakan.

24 90 Tanggal FRAP : 29 Oktober 2012 Mengenai : Akses ke sistem AXAPTA; Infrastrukur jaringan PT. Arya Group; Database, backup, dan file server; Praktek keamanan PT. Arya Group Pemiliki Risiko : Bapak Bernardinus Andi Prasmadita Fasilitator : Anastasia Eva Juwita Stefanie Chenicia Mohon dibaca pernyataan di bawah ini, Pernyataan pemahaman : Saya pemilik, dengan ini mengerti bahwa risiko yang telah diidentifikasi seperti yang tercantum pada action plan dari hasil analisa risiko dapat menyebabkan masalah integritas, kerahasiaan, dan ketersediaan yang memiliki dampak negatif. Saya telah memutuskan melakukan pengendalian berdasarkan action plan. Saya mengerti bahwa semua risiko yang tidak dikendalikan dapat memberikan pengaruh yang berkebalikan pada informasi dan perusahaan. Mengetahui, Bernardinus Andi Prasmadita Anastasia (Unit Head Of Hardware & Network) (Project Leader)