BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

dokumen-dokumen yang mirip
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

terpengaruh; sedikit dibutuhkan usaha untuk untuk Biaya operasional per 15% kehilangan pendapatan Jam kerja Dibawah 10% Jam kerja staff

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Satu yang terkenal diantaranya adalah metode OCTAVE.

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

INFRASTRUCTURE SECURITY

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

STANDARD OPERATING PROCEDURE

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

Auditing. Obyektif. 3.1 Phase Audit Sistem Informasi

KUESIONER. Nama Responden. Bagian/Jabatan

Langkah langkah FRAP. Daftar Risiko. Risk

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

APPENDIX A. Sumber dan Tujuan. Data. Arus Data. Proses Transformasi. Penyimpanan Data

Standar Internasional ISO 27001

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

Pengendalian Sistem Informasi Berdasarkan Komputer

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

Konsep Dasar Audit Sistem Informasi

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

BAB 4 AUDIT SISTEM INFORMASI. audit dari wawancara dengan manajer yang terkait dan bagian bagian yang

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

Prosedure Keamanan Jaringan dan Data

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI. yang akan penulis evaluasi antara lain : cadang pada PT. Mercindo Autorama

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI

BAB IV HASIL DAN PEMBAHASAN. 4.1 Evaluasi Hasil Pengujian & Laporan Audit. Pihak-pihak yang berkepentingan tersebut telah ditentukan pada RACI Chart.

II. PERAN DAN TANGGUNG JAWAB DIREKSI

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

TEKNIK AUDIT. Titien S. Sukamto

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

BAB 4 EVALUASI SISTEM INFORMASI PENGELOLAAN PIUTANG DAN PENERIMAAN KAS PADA PT LI

COSO ERM (Enterprise Risk Management)

BAB IV HASIL DAN PEMBAHASAN Evaluasi Hasil Pelaksanaan Audit Sistem Informasi

LAPORAN KONDISI TERKINI PENYELENGGARAAN TEKNOLOGI INFORMASI

1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

Lampiran 1 : Kuesioner Pengendalian Intern Penjualan Kredit Berbasis Komputer. Kuesioner Pengendalian Intern Akuntansi dalam Sistem Komputer

Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

BAB 1 PENDAHULUAN. Seiring dengan perkembangan jaman, teknologi saat ini mengalami

BAB 4 PENGUKURAN MANAJEMEN RISIKO TEKNOLOGI INFORMASI. Untuk memperoleh data yang berhubungan dengan pengukuran risiko, maka

BERITA DAERAH KOTA SUKABUMI TAHUN 2011 NOMOR 16 PERATURAN WALIKOTA SUKABUMI

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

BUPATI PENAJAM PASER UTARA

TEKNIK AUDIT DATA CENTER DAN DISASTER RECOVERY. Titien S. Sukamto

Kesepakatan Tingkat Layanan Service Level Agreement (SLA)

BAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI. untuk meningkatkan efektifitas dan efisiensi kegiatan operasional perusahaan.

BERITA DAERAH KOTA BEKASI NOMOR : SERI : E PERATURAN WALIKOTA BEKASI NOMOR 30 TAHUN 2010 TENTANG

BAB IV HASIL DAN PEMBAHASAN

PENERAPAN SISTEM KEAMANAN TEKNOLOGI INFORMASI. Zaenal Arifin

PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA

PERATURAN TERKAIT PENGENDALIAN INTERNAL

BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS

PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER

LAMPIRAN. Evaluasi Kriteria yang Diukur. 1. PO1 Mengidentifikasi Sebuah Rencana Strategi TI. Apakah perusahaan memiliki. setiap data yang salah input

MANAJEMEN RISIKO TEKNOLOGI INFORMASI: STUDI KASUS PADA PERUSAHAAN JASA

Petunjuk Penggunaan Aplikasi. (User Manual) Tahap 2 Assessment COBIT 5

Bab IV Usulan Model Pengelolaan Teknologi Informasi PT. Surveyor Indonesia

BUPATI GARUT DENGAN RAHMAT TUHAN YANG MAHA ESA

BERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG

KENDALI MANAJEMEN MUTU

DAFTAR ISI CHAPTER 5

STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH

LAMPIRAN I. Kuisioner I : Management Awareness

Aktivitas Langkah Deskripsi. perusahaan. dan orang). dokumen rincinya : organisasi).

PENGUKURAN RISIKO TEKNOLOGI INFORMASI PADA RUMAH SAKIT BHAKTI YUDHA DENGAN MENGGUNAKAN METODE OCTAVE-S

BAB 3 DESKRIPSI DAN PENGENDALIAN SISTEM YANG BERJALAN PADA PT CATRA NUSANTARA BERSAMA

BAB III METODOLOGI PENELITIAN

BUPATI BANYUMAS, TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH. menetapkann. Sistem

BAB 1 PENDAHULUAN. 1.1 Latar Belakang. 1.2 Rumusan Masalah

BUPATI CILACAP PERATURAN BUPATI CILACAP NOMOR 88 TAHUN 2013 TENTANG

PERATURAN BUPATI BIMA NOMOR : 05 TAHUN 2010 TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH KABUPATEN BIMA BUPATI BIMA,

Tulis yang Anda lewati, Lewati yang Anda tulis..

Bab III Analisis Lingkungan TI

Lampiran-Lampiran. Aktivitas Langkah Deskripsi

PENGAMANAN SISTEM basis DAta

BAB IV PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI

BUPATI SITUBONDO PERATURAN BUPATI SITUBONDO NOMOR 25 TAHUN 2010 TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH (SPIP) KABUPATEN SITUBONDO

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

GUBERNUR BALI PERATURAN GUBERNUR BALI NOMOR 27 TAHUN 2010 TENTANG

PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA NOMOR TAHUN 2015 TENTANG

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG PADA PT. TIRATANA ELECTRIC

Lembar Kuisioner. pelayanan, mekanisme dan teknologi dalam operasi keamanan.

Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank melalui Internet (Internet Banking)

BAB 4 EVALUASI SISTEM INFORMASI PADA PT CATRA NUSANTARA BERSAMA. 4.1 Hasil Evaluasi Terhadap Pengendalian Manajemen

AC1.8 Protection of sensitive information during transmission and transport

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN

BAB IV SIMPULAN DAN SARAN

PANDUAN UJI KOMPETENSI

BAB I PENDAHULUAN. Berikut adalah pokok pokok rumusan masalah change management pada aplikasi inventory di TPK Koja :

Menimbang. Mengingat. Menetapkan

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

Transkripsi:

BAB 4 HASIL PENELITIAN DAN EVALUASI 4.1 Temuan dan Rekomendasi Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang terdapat dalam OCTAVE-S yang meliputi : 1. Kesadaran keamanan dan pelatihan 2. Strategi keamanan 3. Manajemen Keamanan 4. Kebijakan keamanan dan regulasi 5. Manajemen kolaboratif keamanan 6. Rencana Kontingensi/Pemulihan Bencana 7. Kontrol Akses Fisik 8. Monitoring dan Auditing Keamanan IT 9. Sistem dan Manajemen jaringan 10. Monitoring dan Auditing Keamanan IT 11. Autentifikasi dan Otorisasi 12. Manajemen Vulnerabilitas 13. Enkripsi 14. Arsitektur keamanan dan Desain 15. Manajemen Insiden 79

80 4.1.1 Kesadaran Keamanan dan Pelatihan Mengacu pada kuesioner 1 ( lampiran hlm L 18 ) ( Lampiran hal L121 ), dalam hal kesadaran keamanan dan pelatihan karyawan ( user ) ( Lampiran hal L122 ) sangat baik dalam memahami peran mereka dalam keamanan dan tanggung jawab. Seperti mengamankan informasi yang ada dalam tanggung jawab mereka, Mempunyai kemampuan yang memadai untuk menggunakan IT hardware dan software, memakai praktek penggunaan password yang baik, serta mengenali dan melaporkan insiden yang terjadi. Namun, masih ada sedikit kekurangan yaitu belum adanya pelatihan periodik bagi staff ini belum dilakukan guna menunjang kinerja kerja tersebut. Hal ini dapat menyebabkan human error seperti lupa password yang mengakibatkan kurangnya keproduktifan kerja, yang menyebabkan kinerja kerja tidak sesuai. Rekomendasi : Membuat Prosedur untuk pelatihan kepada seluruh staff, yang dilakukan secara periodik guna mengurangi resiko yang terjadi. 4.1.2 Strategi Keamanan Mengacu pada kuesioner 2 ( lampiran hlm L20 ), strategi keamanan yang ada di dalam perusahaan sudah baik dimana dengan perusahaan secara rutin memasukan pertimbangan keamanan ke dalam strategi bisnis perusahaan. Dan juga dalam pengambilan kebijakan turut mempertimbangkan tujuan dari strategi bisnis perusahaan. Strategi keamananm, tujuan, dan objektif didokumentasikan dan dikaji secara rutin, diperbaharui dan di dokumentasikan kepada organisasi agar semua karyawan ( user ) memiliki pemahaman yang baik mengenai hal tersebut.

81 4.1.3 Manajemen keamanan Mengacu pada kuesioner 3 ( lampiran hlm L22 ), manajemen keamanan yang ada di dalam perusahaan sudah cukup baik. Perusahaan mendukung kegiatan keamanan informasi dengan mengalokasikan dana dan sumber daya yang cukup untuk kegiatan keamanan infirormasi, Memberikan peran keamanan dan tanggung jawab ditetapkan untuk semua staff di dalam perusahaan. Mendokumentasi prosedur otorisasi dan mengawasi semua staff yang bekerja dengan informasi atau yang bekerja di lokasi dimana informasi berada. Manajemen juga menerima dan bertindak atas laporan rutin yang berhubung dengan keamanan. Namun. Masih ada sedikit kekurangan yaitu peran dan tanggung jawab untuk keamanan informasi masih berbeda untuk semua golongan staff yang mana membuat peran masing-masing berbeda. 4.1.4 Kebijakan Keamanan dan Regulasi Mengacu pada kuesioner 4 ( lampiran hlm L24 ), Kebijakan keamanan dan Regulasi yang diterapkan perusahaan baik. Perusahaan memiliki dokumentasi ( lampiran 80 ) dari kebijakan saat ini yang terus diperbaharui dan ditinjau secara berkala, antara lain seperti creation ( penciptaan ), administrasi, dan komunikasi. Perusahaan juga memiliki dokumentasi proses untuk mengevaluasi dan menjamin keamanan informasi sesuai kebijakan, undang-undang dan peraturan yang berlaku serta persyaratan asuransi sudah terpenuhi.

82 4.1.5 Manajemen Kolaboratif Keamanan Mengacu pada kuesioner 5 ( lampiran hal L26 ), rencana kontingensi atau pemulihan bencana yang dimiliki perusahaan sudah baik, seperti dalam hal keamanan dan prosedur untuk melindungi informasi ketika bekerja dengan organisasi eksternal, layanan keamanan outsource, mekanisme dan teknologi telah memenuhi kebutuhan dan persyaratan. Sebagai peran dari pihak ketiga ( eksternal ) ( Lampiran hal L120 ) harus memberikan kesadaran keamanan dan servis pelatihan, mengembangkan kebijakan keamanan untuk organisasi, dan mengembangkan rencana darurat untuk organisasi. Sebaliknya, perusahaan melindungi informasi milik organisasi lain, Memahami kebijakan dan prosedur keamanan, dan Mengakhiri akses ke informasi dengan cara memberhentikan personil eksternal. 4.1.6 Rencana Kontingensi atau Pemulihan Bencana Mengacu pada kuesioner 6 ( lampiran hal L28 ), rencana kontingensi atau pemulihan bencana yang dimiliki perusahaan sudah baik, seperti dalam hal analisis operasi, aplikasi, dan kritikal data, perusahaan telah mendokumentasikan ( Lampiran hal L80 ) dan menguji rencana kontinuitas atau operasi darurat, rencana pemulihan bencana dalam ( Lampiran hal L85 ), dan kemungkinan rencana untuk menanggapi keadaan darurat. Serta rencana pemulihan bencana dengan mempertimbangkan kebutuhan akses elektronik fisik dan control. Sehingga apabila terjadi bencana data tidak hilang dan proses bisnis bias tetap berjalan dengan baik (Lampiran hal L88 ).

83 4.1.7 Kontrol Akses Fisik Mengacu pada kuesioner 7 ( lampiran hal L30 ), Perusahaan telah memiliki control akses fisik yang sangat baik dengan mendokumentasikan dan menguji rencana keamanan fasilitas dan prosedur untuk menjaga lokasi, bangunan, dan area yang dibatasi telah diuji. Untuk staff dari pihak ketiga yang bertanggung jawab, perusahaan secara formal memverifiaksi bahwa kontraktor telah memenuhi persyarataan untuk kontrol akses fisik. 4.1.8 Monitoring dan Auditing Keamanan Fisikal Mengacu pada kuesioner 8 ( lampiran hal L32 ), manajemen yang diterapkan perusahaan dalam monitoring dan auditing keamanan fisikal sangat baik, dengan mendokumentasikan rekaman pemeliharaan, reparasi dan modifikasi dari fasilitas komponen fisik. Rekaman audit dan monitoring dilakukan secara rutin dan di uji untuk keganjilan, dan aksi korektif diambil jika dibutuhkan. Staff yang berkaitan dengan media yang dikontrol secara fisik mampu bertanggung jawabkan tindakanya. Untuk staff dari pihak eksternal yang bertanggung jawab, persyaratan perusahaan untuk pemantauan fisik secara resmi dikomunikasikan ke pihak eksternal yang melakukan monitor.

84 4.1.9 Sistem dan Manajemen Jaringan Mengacu pada kuesioner 9 ( lampiran hal L34 ), manajemen sistem dan jaringan yang diterapkan perusahaan sangat baik. Ada dokumentasi dan rencana pengujian keamanan untuk melindungi sistem seperti back-up data ( Lampiran hal L123 ) dan software, perubahan pada hardware dan software IT sudah terencana, perlindungan terhadap informasi yang sensitif ( misalnya backup disimpan off side ), terkontrol dan terdokumentasi, seluruh sistem diupdate dengan revisi, integritas pada perangkat lunak terinstal secara teratur diverifikasi, patch dan rekomendasi dalam advisor keamanan, dan hanya servis penting yang berjalan pada sistem seluruh servis yang tidak penting diapus. Peralatan dan mekanisme untuk sistem dan administrasi jaringan yang digunakan, secara rutin direview dan di update. Semua karyawan ( user ) memahami tanggung jawab didalam rencana cadangan, dan mengikuti prosedur saat mengeluarkan, mengganti dan mengakhiri password, account dan hak istimewa user. Untuk pihak ketiga yang bertanggung jawab, pihak yang terkait dengan sistem dan persyaratan manajemen jaringan secara format dikomunikasikan kepada seluruh kontraktor dan penyedia jasa. Perusahaan secara formal memverifikasi bahwa kontraktor dan penyedia jasa telah memenuhi persyaratan untuk keamanan yang terkait dengan sistem dan manajemen jaringan. 4.1.10 Monitoring dan Auditing Keamanan IT Mengacu pada kuesioner 10 ( lampiran hlm L 36 ), monitoring dan auditing keamanan yang diterapkan perusahaan sangat baik. Sistem ( Lampiran hal L117 ), monitoring jaringan dan alat auditing secara rutin digunakan oleh organisasi, aktivitas yang tidak biasanya akan ditangani sesuai dengan kebijakan atau prosedur yang tepat,

85 Firewall dan komponen keamanan lainnya secara berkala diaudit untuk mematuhi kebijakan. Untuk pihak ketiga yang bertanggung-jawab dalam hal memonitoring keamanan teknologi informasi, dikomunikasikan secara resmi kepada semua kontraktor dan penyedia layanan yang memonitor system jaringan, perusahaan secara formal memverifikasi bahwa kontraktor dan penyedia jasa telah memenuhi persyaratan untuk monitoring keamanan teknologi informasi ( Lampiran hal L117 ). 4.1.11 Autentifikasi dan Otorisasi Mengacu pada kuesioner 11 ( lampiran L38 ), manajemen autentifikasi dan otorisasi yang diterapkan perusahaan sangat baik. Perusahaan telah menyesuaikan akses kontrol dan ototenfikasi pengguna ( misalnya file perjanjian, konfigurasi jaringan ) konsisten dengan kebijakan yang digunakan untuk membatasi akses pengguna ke informasi (Lampiran hal L125 ), sistem yang sensitif, serta jaringan koneksi. Ada dokumentasi kebijakan dan prosedur untuk membuat dan mengakhiri hak akses untuk informasi baik untuk individu dan kelompok ( Lampiran hal L114 ), Metode atau mekanisme disediakan untuk memastikan bahwa informasi sensitif belum diakses, diubah atau dihancurkan dalam cara yang tidak sah. Metode secara berkala ditinjau dan diverifikasi. Untuk pihak ketiga yang bertanggung-jawab, perusahaan secara formal memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk pengesahaan dan otorisasi.

86 4.1.12 Manajemen Vulnerabilitas Mengacu pada kuesioner 12 ( lampiran hal L40 ), manajemen vulnerabilitas yang diterapkan perusahaan cukup baik. Ada dokumentasi dari prosedur untuk mengelola kerentanan, termasuk : memilih alat evaluasi vulnerabilitas, daftar nama, dan skrip, mereview sumber informasi tentang pengumuman vulnerabilitas, peringatan keamanan, dan pemberitahuan, menginterpretasikan dan merespon hasil, menjaga keamanan storage dan disposisi dari vulnerabilitas data. Prosedur manajemen vulnerabilitas yang diikuti secara periodik direview dan diperbaharui. Untuk pihak ketiga yang bertanggung-jawab, perusahaan secara formal menginformasikan kebutuhan manajemen vulnerabilitas organisasi kepada pihak ketiga telah memenuhi persyaratan untuk memanajemen vulnerabilitas. Masih ada beberapa kekurangan dalam manajemen vulnerabilitas, yaitu : belum adanya teknik cepat atau mengenali vulnerabilitas dari periode awal serangan, perusahaan tidak mengidentifikasikan komponen infrastruktur untuk dievaluasi, belum terjadwalnya proses evaluasi vulnerabilitas, dan perusahaan tidak mengupdate secara periodik tipe vulnerabilitas dan metode serangan yang pernah terjadi. Hal ini dapat mengakibatkan terulangnya serangan yang sama pada sistem. Jika terjadi kerusakan, perusahaan akan mengalami kesulitan dalam hal memperbaiki komponen-komponen infrastruktur karena tidak adanya pendataan secara identik dan rinci. Rekomendasi : Pihak manajemen IT mengumpulkan data mengenai komponenkomponen infrastruktur yang penting bagi perusahaan, membuat penjadwalan untuk proses evaluasi vulnerabilitas secara berkala, dan menyusun program agar seranganserangan yang ada pada sistem dapat dengan mudah dikenali sejak awal terjadinya suatu serangan dengan menggunakan suatu metode yang terstruktur.

87 4.1.13 Enkripsi Mengacu pada kuesioner 13 ( lampiran hal L42 ), manajemen enkripsi yang diterapkan perusahaan sangat baik. Kontrol keamanan yang sesuai digunakan untuk melindungi informasi sensitif saat dalam storage dan selama transmisi ( misalnya enkripsi data, publick key infrastructure, virtual private network technology ), dan protokol enkripsi dipergunakan ketika pengelolaan sistem, router, dan firewalls secara remote. Untuk pihak ketiga yang bertanggung-jawab, perusahaan secara formal memverifikasi bahwa kontrkator dan penyedia jasa telah memenuhi persyaratan untuk mengimplementasikan teknologi enkripsi. 4.1.14 Arsitektur Keamanan dan Desain Mengacu pada kuesinoner 14 ( lampiran hal L44 ), manajemen aristektur keamanan dan desain yang diterapkan perusahaan sangat baik. Arsitektur sistem dan desain untuk sistem yang baru dan telah direvisi ikut serta mempertimbangkan : strategi keamanan, kebijakan, dan prosedur, sejarah dari keamanan yang dikompromikan, hasil dari penilaian risiko keamanan. Untuk pihak ketiga yang bertanggung-jawab, perusahaan memiliki diagram uptodate yang menunjukan arsitektur keamanan perusahaan dan topologi jaringan. Perusahaan secara formal memverifikasi bahwa kontraktor dan penyedia jasa telah memenuhi persyaratan untuk arsitektur keamanan dan desain.

88 4.1.15 Manajemen Insiden Mengacu pada kuesioner 15 ( lampiran hal L46 ), Manajemen insiden yang diterapkan perusahaan sangat baik. Adanya dokumentasi ( Lampiran hal L88 ) dari prosedur untuk mengidentifikasi, melaporkan, dan menanggapi dugaan pelangaraan keamanan dan insiden, dan bekerja sama dengan lembaga penegak hokum dalam dokumentasi kebijakan dan prosedur. Untuk pihak ketiga yang bertanggung-jawab, perusahaan secara formal memverifikasi bahwa kontraktor dan penyedia jasa telah memenuhi persyaratan untuk mengelola insiden. 4.2 Evaluasi Tabel 4.1 Aspek Temuan dan Keterangan No. Aspek Temuan Keterangan 1. Kesadaran Keamanan dan Pelatihan Ada Pelatihan akan Kesadaran keamanan untuk semua personil belum dilakukan secara periodik. 2. Strategi Keamanan 3. Manajemen Keamanan Ada Seluruh staff pada setiap tingkatan tidak memiliki peran dan tanggung jawab untuk keamanan informasi. yang masih minim. 4. Kebijakan Keamanan dan Regulasi

89 5. Manajemen Kolaboratif Keamanan 6. Rencana Kontingensi/ Pemulihan Bencana 7. Kontrol Akses fisik 8. Monitoring dan Auditing Keamanan Fisikal 9. Sistem dan Manajemen Jaringan 10. Monitoring dan Auditing Keamanan IT 11. Autentifikasi dan Otorisasi 12. Manajemen Vulnerabilitas Ada 1. Perusahaan tidak mengupdate type vulnerabilitas dan metode serangan yang pernah terjadi. 2. Perusahaan tidak mengidentifikasikan

90 komponen infrastruktur untuk dievaluasi. 3. Belum terjadwalnya proses evaluasi vulnerabilitas. 4. Belum adanya teknik yang dapat cepat mengenali vulnerabilitas dari periode awal serangan. 13. Enkripsi 14. Arsitektur Keamanan dan Desain 15. Manajemen Insiden Setelah mengevaluasi hasil penelitian di atas, penulis berpendapat bahwa masih ada beberapa kelemahan seperti belum adanya Pelatihan untuk kesadaran keamanan untuk semua personil, kurangnya pemahaman peran dan tanggung jawab untuk keamanan informasi bagi seluruh staff pada setiap tingkatan, dan kurangnya pemahaman prosedur dan pelatihan mengenai manajemen vulnerabilitas dan prosedur insiden yang mengakibatkan antara lain situasi kerja yang kurang kondusif, dan kerugian waktu.

91 4.3 Rekomendasi 4.3.1 Tabel Rekomendasi No. Aspek Temuan Rekomendasi 1. Kesadaran Keamanan dan Pelatihan 3. Manajemen Keamanan 12. Manajemen Vulnerabilitas. Ada Ada Ada Menjadwalkan untuk pelatihan keamanan untuk semua personil secara periodik bagi staff front office khususnya Setiap staff pada setiap tingkatan memiliki peran dan tanggung jawab dalam keamanan informasi. 1. Dilakukan setidaknya update type vulnerabilitas dan metode serangan yang pernah terjadi. 2. Identifikasi komponen dari infrastruktur untuk dievaluasi. 3. Lakukan penjadwalan untuk proses evaluasi vulnerabilitas.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan