BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

Transkripsi

1 BAB 4 HASIL PENELITIAN DAN EVALUASI 4.1 Temuan dan Rekomendasi Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang terdapat dalam OCTAVE-S yang meliputi : 1. Kesadaran keamanan dan pelatihan 2. Strategi keamanan 3. Manajemen Keamanan 4. Kebijakan keamanan dan regulasi 5. Manajemen kolaboratif keamanan 6. Rencana Kontingensi/Pemulihan Bencana 7. Kontrol Akses Fisik 8. Monitoring dan Auditing Keamanan IT 9. Sistem dan Manajemen jaringan 10. Monitoring dan Auditing Keamanan IT 11. Autentifikasi dan Otorisasi 12. Manajemen Vulnerabilitas 13. Enkripsi 14. Arsitektur keamanan dan Desain 15. Manajemen Insiden 79

2 Kesadaran Keamanan dan Pelatihan Mengacu pada kuesioner 1 ( lampiran hlm L 18 ) ( Lampiran hal L121 ), dalam hal kesadaran keamanan dan pelatihan karyawan ( user ) ( Lampiran hal L122 ) sangat baik dalam memahami peran mereka dalam keamanan dan tanggung jawab. Seperti mengamankan informasi yang ada dalam tanggung jawab mereka, Mempunyai kemampuan yang memadai untuk menggunakan IT hardware dan software, memakai praktek penggunaan password yang baik, serta mengenali dan melaporkan insiden yang terjadi. Namun, masih ada sedikit kekurangan yaitu belum adanya pelatihan periodik bagi staff ini belum dilakukan guna menunjang kinerja kerja tersebut. Hal ini dapat menyebabkan human error seperti lupa password yang mengakibatkan kurangnya keproduktifan kerja, yang menyebabkan kinerja kerja tidak sesuai. Rekomendasi : Membuat Prosedur untuk pelatihan kepada seluruh staff, yang dilakukan secara periodik guna mengurangi resiko yang terjadi Strategi Keamanan Mengacu pada kuesioner 2 ( lampiran hlm L20 ), strategi keamanan yang ada di dalam perusahaan sudah baik dimana dengan perusahaan secara rutin memasukan pertimbangan keamanan ke dalam strategi bisnis perusahaan. Dan juga dalam pengambilan kebijakan turut mempertimbangkan tujuan dari strategi bisnis perusahaan. Strategi keamananm, tujuan, dan objektif didokumentasikan dan dikaji secara rutin, diperbaharui dan di dokumentasikan kepada organisasi agar semua karyawan ( user ) memiliki pemahaman yang baik mengenai hal tersebut.

3 Manajemen keamanan Mengacu pada kuesioner 3 ( lampiran hlm L22 ), manajemen keamanan yang ada di dalam perusahaan sudah cukup baik. Perusahaan mendukung kegiatan keamanan informasi dengan mengalokasikan dana dan sumber daya yang cukup untuk kegiatan keamanan infirormasi, Memberikan peran keamanan dan tanggung jawab ditetapkan untuk semua staff di dalam perusahaan. Mendokumentasi prosedur otorisasi dan mengawasi semua staff yang bekerja dengan informasi atau yang bekerja di lokasi dimana informasi berada. Manajemen juga menerima dan bertindak atas laporan rutin yang berhubung dengan keamanan. Namun. Masih ada sedikit kekurangan yaitu peran dan tanggung jawab untuk keamanan informasi masih berbeda untuk semua golongan staff yang mana membuat peran masing-masing berbeda Kebijakan Keamanan dan Regulasi Mengacu pada kuesioner 4 ( lampiran hlm L24 ), Kebijakan keamanan dan Regulasi yang diterapkan perusahaan baik. Perusahaan memiliki dokumentasi ( lampiran 80 ) dari kebijakan saat ini yang terus diperbaharui dan ditinjau secara berkala, antara lain seperti creation ( penciptaan ), administrasi, dan komunikasi. Perusahaan juga memiliki dokumentasi proses untuk mengevaluasi dan menjamin keamanan informasi sesuai kebijakan, undang-undang dan peraturan yang berlaku serta persyaratan asuransi sudah terpenuhi.

4 Manajemen Kolaboratif Keamanan Mengacu pada kuesioner 5 ( lampiran hal L26 ), rencana kontingensi atau pemulihan bencana yang dimiliki perusahaan sudah baik, seperti dalam hal keamanan dan prosedur untuk melindungi informasi ketika bekerja dengan organisasi eksternal, layanan keamanan outsource, mekanisme dan teknologi telah memenuhi kebutuhan dan persyaratan. Sebagai peran dari pihak ketiga ( eksternal ) ( Lampiran hal L120 ) harus memberikan kesadaran keamanan dan servis pelatihan, mengembangkan kebijakan keamanan untuk organisasi, dan mengembangkan rencana darurat untuk organisasi. Sebaliknya, perusahaan melindungi informasi milik organisasi lain, Memahami kebijakan dan prosedur keamanan, dan Mengakhiri akses ke informasi dengan cara memberhentikan personil eksternal Rencana Kontingensi atau Pemulihan Bencana Mengacu pada kuesioner 6 ( lampiran hal L28 ), rencana kontingensi atau pemulihan bencana yang dimiliki perusahaan sudah baik, seperti dalam hal analisis operasi, aplikasi, dan kritikal data, perusahaan telah mendokumentasikan ( Lampiran hal L80 ) dan menguji rencana kontinuitas atau operasi darurat, rencana pemulihan bencana dalam ( Lampiran hal L85 ), dan kemungkinan rencana untuk menanggapi keadaan darurat. Serta rencana pemulihan bencana dengan mempertimbangkan kebutuhan akses elektronik fisik dan control. Sehingga apabila terjadi bencana data tidak hilang dan proses bisnis bias tetap berjalan dengan baik (Lampiran hal L88 ).

5 Kontrol Akses Fisik Mengacu pada kuesioner 7 ( lampiran hal L30 ), Perusahaan telah memiliki control akses fisik yang sangat baik dengan mendokumentasikan dan menguji rencana keamanan fasilitas dan prosedur untuk menjaga lokasi, bangunan, dan area yang dibatasi telah diuji. Untuk staff dari pihak ketiga yang bertanggung jawab, perusahaan secara formal memverifiaksi bahwa kontraktor telah memenuhi persyarataan untuk kontrol akses fisik Monitoring dan Auditing Keamanan Fisikal Mengacu pada kuesioner 8 ( lampiran hal L32 ), manajemen yang diterapkan perusahaan dalam monitoring dan auditing keamanan fisikal sangat baik, dengan mendokumentasikan rekaman pemeliharaan, reparasi dan modifikasi dari fasilitas komponen fisik. Rekaman audit dan monitoring dilakukan secara rutin dan di uji untuk keganjilan, dan aksi korektif diambil jika dibutuhkan. Staff yang berkaitan dengan media yang dikontrol secara fisik mampu bertanggung jawabkan tindakanya. Untuk staff dari pihak eksternal yang bertanggung jawab, persyaratan perusahaan untuk pemantauan fisik secara resmi dikomunikasikan ke pihak eksternal yang melakukan monitor.

6 Sistem dan Manajemen Jaringan Mengacu pada kuesioner 9 ( lampiran hal L34 ), manajemen sistem dan jaringan yang diterapkan perusahaan sangat baik. Ada dokumentasi dan rencana pengujian keamanan untuk melindungi sistem seperti back-up data ( Lampiran hal L123 ) dan software, perubahan pada hardware dan software IT sudah terencana, perlindungan terhadap informasi yang sensitif ( misalnya backup disimpan off side ), terkontrol dan terdokumentasi, seluruh sistem diupdate dengan revisi, integritas pada perangkat lunak terinstal secara teratur diverifikasi, patch dan rekomendasi dalam advisor keamanan, dan hanya servis penting yang berjalan pada sistem seluruh servis yang tidak penting diapus. Peralatan dan mekanisme untuk sistem dan administrasi jaringan yang digunakan, secara rutin direview dan di update. Semua karyawan ( user ) memahami tanggung jawab didalam rencana cadangan, dan mengikuti prosedur saat mengeluarkan, mengganti dan mengakhiri password, account dan hak istimewa user. Untuk pihak ketiga yang bertanggung jawab, pihak yang terkait dengan sistem dan persyaratan manajemen jaringan secara format dikomunikasikan kepada seluruh kontraktor dan penyedia jasa. Perusahaan secara formal memverifikasi bahwa kontraktor dan penyedia jasa telah memenuhi persyaratan untuk keamanan yang terkait dengan sistem dan manajemen jaringan Monitoring dan Auditing Keamanan IT Mengacu pada kuesioner 10 ( lampiran hlm L 36 ), monitoring dan auditing keamanan yang diterapkan perusahaan sangat baik. Sistem ( Lampiran hal L117 ), monitoring jaringan dan alat auditing secara rutin digunakan oleh organisasi, aktivitas yang tidak biasanya akan ditangani sesuai dengan kebijakan atau prosedur yang tepat,

7 85 Firewall dan komponen keamanan lainnya secara berkala diaudit untuk mematuhi kebijakan. Untuk pihak ketiga yang bertanggung-jawab dalam hal memonitoring keamanan teknologi informasi, dikomunikasikan secara resmi kepada semua kontraktor dan penyedia layanan yang memonitor system jaringan, perusahaan secara formal memverifikasi bahwa kontraktor dan penyedia jasa telah memenuhi persyaratan untuk monitoring keamanan teknologi informasi ( Lampiran hal L117 ) Autentifikasi dan Otorisasi Mengacu pada kuesioner 11 ( lampiran L38 ), manajemen autentifikasi dan otorisasi yang diterapkan perusahaan sangat baik. Perusahaan telah menyesuaikan akses kontrol dan ototenfikasi pengguna ( misalnya file perjanjian, konfigurasi jaringan ) konsisten dengan kebijakan yang digunakan untuk membatasi akses pengguna ke informasi (Lampiran hal L125 ), sistem yang sensitif, serta jaringan koneksi. Ada dokumentasi kebijakan dan prosedur untuk membuat dan mengakhiri hak akses untuk informasi baik untuk individu dan kelompok ( Lampiran hal L114 ), Metode atau mekanisme disediakan untuk memastikan bahwa informasi sensitif belum diakses, diubah atau dihancurkan dalam cara yang tidak sah. Metode secara berkala ditinjau dan diverifikasi. Untuk pihak ketiga yang bertanggung-jawab, perusahaan secara formal memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk pengesahaan dan otorisasi.

8 Manajemen Vulnerabilitas Mengacu pada kuesioner 12 ( lampiran hal L40 ), manajemen vulnerabilitas yang diterapkan perusahaan cukup baik. Ada dokumentasi dari prosedur untuk mengelola kerentanan, termasuk : memilih alat evaluasi vulnerabilitas, daftar nama, dan skrip, mereview sumber informasi tentang pengumuman vulnerabilitas, peringatan keamanan, dan pemberitahuan, menginterpretasikan dan merespon hasil, menjaga keamanan storage dan disposisi dari vulnerabilitas data. Prosedur manajemen vulnerabilitas yang diikuti secara periodik direview dan diperbaharui. Untuk pihak ketiga yang bertanggung-jawab, perusahaan secara formal menginformasikan kebutuhan manajemen vulnerabilitas organisasi kepada pihak ketiga telah memenuhi persyaratan untuk memanajemen vulnerabilitas. Masih ada beberapa kekurangan dalam manajemen vulnerabilitas, yaitu : belum adanya teknik cepat atau mengenali vulnerabilitas dari periode awal serangan, perusahaan tidak mengidentifikasikan komponen infrastruktur untuk dievaluasi, belum terjadwalnya proses evaluasi vulnerabilitas, dan perusahaan tidak mengupdate secara periodik tipe vulnerabilitas dan metode serangan yang pernah terjadi. Hal ini dapat mengakibatkan terulangnya serangan yang sama pada sistem. Jika terjadi kerusakan, perusahaan akan mengalami kesulitan dalam hal memperbaiki komponen-komponen infrastruktur karena tidak adanya pendataan secara identik dan rinci. Rekomendasi : Pihak manajemen IT mengumpulkan data mengenai komponenkomponen infrastruktur yang penting bagi perusahaan, membuat penjadwalan untuk proses evaluasi vulnerabilitas secara berkala, dan menyusun program agar seranganserangan yang ada pada sistem dapat dengan mudah dikenali sejak awal terjadinya suatu serangan dengan menggunakan suatu metode yang terstruktur.

9 Enkripsi Mengacu pada kuesioner 13 ( lampiran hal L42 ), manajemen enkripsi yang diterapkan perusahaan sangat baik. Kontrol keamanan yang sesuai digunakan untuk melindungi informasi sensitif saat dalam storage dan selama transmisi ( misalnya enkripsi data, publick key infrastructure, virtual private network technology ), dan protokol enkripsi dipergunakan ketika pengelolaan sistem, router, dan firewalls secara remote. Untuk pihak ketiga yang bertanggung-jawab, perusahaan secara formal memverifikasi bahwa kontrkator dan penyedia jasa telah memenuhi persyaratan untuk mengimplementasikan teknologi enkripsi Arsitektur Keamanan dan Desain Mengacu pada kuesinoner 14 ( lampiran hal L44 ), manajemen aristektur keamanan dan desain yang diterapkan perusahaan sangat baik. Arsitektur sistem dan desain untuk sistem yang baru dan telah direvisi ikut serta mempertimbangkan : strategi keamanan, kebijakan, dan prosedur, sejarah dari keamanan yang dikompromikan, hasil dari penilaian risiko keamanan. Untuk pihak ketiga yang bertanggung-jawab, perusahaan memiliki diagram uptodate yang menunjukan arsitektur keamanan perusahaan dan topologi jaringan. Perusahaan secara formal memverifikasi bahwa kontraktor dan penyedia jasa telah memenuhi persyaratan untuk arsitektur keamanan dan desain.

10 Manajemen Insiden Mengacu pada kuesioner 15 ( lampiran hal L46 ), Manajemen insiden yang diterapkan perusahaan sangat baik. Adanya dokumentasi ( Lampiran hal L88 ) dari prosedur untuk mengidentifikasi, melaporkan, dan menanggapi dugaan pelangaraan keamanan dan insiden, dan bekerja sama dengan lembaga penegak hokum dalam dokumentasi kebijakan dan prosedur. Untuk pihak ketiga yang bertanggung-jawab, perusahaan secara formal memverifikasi bahwa kontraktor dan penyedia jasa telah memenuhi persyaratan untuk mengelola insiden. 4.2 Evaluasi Tabel 4.1 Aspek Temuan dan Keterangan No. Aspek Temuan Keterangan 1. Kesadaran Keamanan dan Pelatihan Ada Pelatihan akan Kesadaran keamanan untuk semua personil belum dilakukan secara periodik. 2. Strategi Keamanan 3. Manajemen Keamanan Ada Seluruh staff pada setiap tingkatan tidak memiliki peran dan tanggung jawab untuk keamanan informasi. yang masih minim. 4. Kebijakan Keamanan dan Regulasi

11 89 5. Manajemen Kolaboratif Keamanan 6. Rencana Kontingensi/ Pemulihan Bencana 7. Kontrol Akses fisik 8. Monitoring dan Auditing Keamanan Fisikal 9. Sistem dan Manajemen Jaringan 10. Monitoring dan Auditing Keamanan IT 11. Autentifikasi dan Otorisasi 12. Manajemen Vulnerabilitas Ada 1. Perusahaan tidak mengupdate type vulnerabilitas dan metode serangan yang pernah terjadi. 2. Perusahaan tidak mengidentifikasikan

12 90 komponen infrastruktur untuk dievaluasi. 3. Belum terjadwalnya proses evaluasi vulnerabilitas. 4. Belum adanya teknik yang dapat cepat mengenali vulnerabilitas dari periode awal serangan. 13. Enkripsi 14. Arsitektur Keamanan dan Desain 15. Manajemen Insiden Setelah mengevaluasi hasil penelitian di atas, penulis berpendapat bahwa masih ada beberapa kelemahan seperti belum adanya Pelatihan untuk kesadaran keamanan untuk semua personil, kurangnya pemahaman peran dan tanggung jawab untuk keamanan informasi bagi seluruh staff pada setiap tingkatan, dan kurangnya pemahaman prosedur dan pelatihan mengenai manajemen vulnerabilitas dan prosedur insiden yang mengakibatkan antara lain situasi kerja yang kurang kondusif, dan kerugian waktu.

13 Rekomendasi Tabel Rekomendasi No. Aspek Temuan Rekomendasi 1. Kesadaran Keamanan dan Pelatihan 3. Manajemen Keamanan 12. Manajemen Vulnerabilitas. Ada Ada Ada Menjadwalkan untuk pelatihan keamanan untuk semua personil secara periodik bagi staff front office khususnya Setiap staff pada setiap tingkatan memiliki peran dan tanggung jawab dalam keamanan informasi. 1. Dilakukan setidaknya update type vulnerabilitas dan metode serangan yang pernah terjadi. 2. Identifikasi komponen dari infrastruktur untuk dievaluasi. 3. Lakukan penjadwalan untuk proses evaluasi vulnerabilitas.