L1 Pertanyaan wawancara : 1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group? 3. Apa saja jenis software dan hardware yang digunakan di perusahaan? 4. Bagaimana kebijakan keamanan TI di PT.Arya Group? 5. Apakah ada user id dan password untuk login? Apa semua orang tahu ID dan password orang lain? Bagaimana format password? 6. Apakah ada perubah secara rutin terhadap password? 7. Apakah tiap orang boleh mencolok flashdisk di computer, install program, dan bermain game? 8. Apakah ada pembatasan mengenai situs-situs apa saja yang boleh dan tidak boleh dibuka? 9. Bagaimana akses ke ruangan computer dan server PT.Arya Group? Apakah tiap orang bebas keluar masuk? Adakah perlakuan khsusus terhadap server dan ruangannya? 10. Apakah ada backup data dan system secara rutin? 11. Apakah semua pengguna terotorisasi dapat melihat dan melakukan perubahan terhadap data dan informasi divisi lain? 12. Apakah ada training yang dilaksanakan dalam perusahaan? 13. Bagaimana DRP di PT.Arya Group? 14. Bagaimana maintenance terhadap TI? 15. Masalah yang biasa dihadapi terkait TI?
L2 16. Bagaimana kebijakan mengenai sharing data? 17. Bagaimana sanksi yang diterapkan bila terjadi pelanggaran? 18. Apakah ada audit yang dilakukan di PT. Arya Group? 19. Apakah ada Kebijakan dan prosedur tertulis? 20. Bagaimana prosedur bila ada TI yang rusak? Bila akan dilakukan pengadaan TI bagaimana prosesnya? 21. Apakah ada sanksi terhadap penyalahgunaan wewenang terkait TI? 22. Aset terkait TI apa saja yang ada di PT.Arya Group? Bagaimana spesifikasinya? 23. Apakah ada firewall? Apakah digunakan enkripsi? 24. Apakah OS dan anti virus terupdate dengan baik? 25. Adakah otorisasi yang dilakukan pejabat berwenang sebelum data keluar? 26. Apakah perusahaan menjalankan E-bussines? 27. Apakah dalam melakukan dan mendukung proses bisnis semua karyawan membawa laptop secara personal atau menggunakan perangkat pc di kantor?
L3 Daftar 120 Risiko FRAP Risk # Risk Type 1 Informasi diakses oleh personil yang tidak memiliki akses 2 Ketidaktersediaan atau ketidakjelasan versi informasi 3 Database dapat rusak dikarenakan kegagalan hardware dan software yang buruk 4 Data tidak lengkap karena proses yang tidak selesai 5 Data yang sedang dikirim dapat dirubah dan perubahan tersebut tidak dapat diketahui 6 Kegagalan melaporkan masalah integritas 7 Proses yang tidak selesai atau gagal dalam melakukan sebuah pemrosesan yang dapat menyebabkan data tidak lengkap 8 Kurangnya control dan pengelolaan data antar departemen 9 Tidak ada pemberitahuan mengenai masalah integritas 10 Informasi digunakan dalam konteks yang salah 11 Informasi yang berasal dari pihak ketiga mempunyai masalah integritas 12 Pihak ketiga mengakses informasi 13 Data diupdate secara internal tetapi tidak secara eksternal 14 Verifikasi dalam otentikasi kepada peminta data
15 Akses informasi oleh pihak yang memiliki wewenang ditolak oleh system 16 Dampak bagi perusahaan karena menggunakan informasi unit yang tidak benar 17 Prosedur keamanan dan otorisasi terlalu rumit 18 Proses pengendalian diabaikan karena terlalu rumit 19 Personil yang melakukan perubahan sistem tidak ditraining secara cukup. 20 Informasi dapat dipublikasikan tanpa otorisasi yang cukup 21 Perusahaan malu karena perubahan informasi tanpa otorisasi 22 Informasi perusahaan rusak karena penyingkapan informasi 23 Tidak ada respon dari sistem pada waktu yang tepat (Tidak menanggapi permintaan secara tepat waktu) 24 Personil internal sengaja merubah data untuk alasan keuntungan individu atau kelompok 25 Kebijakan mengenai integritas E-commerce bertentangan dengan kebijakan perusahaan 26 Partner bisnis yang tidak bisa dipercaya 27 Perubahan terhadap system/ software aplikasi atau data tidak didokumentasi 28 Kebijakan E-business perusahaan tidak bisa diterapkan di negara lain 29 Data atau dokumen yang salah telah dipublikasikan
30 Informasi dari partner atau supplier mempunyai masalah integritas 31 Perundang-undangan mengenai integritas data dan atau audit menyebabkan hilangnya integritas 32 Dampak hukum kepada perusahaan karena penyalahgunaan merek dagang dan registrasi 33 Menggunakan salinan data yang tidak terpakai lagi (out-of-date) 34 Masalah sinkronisasi saat menggunakan media recovery 35 Penggunaan yang salah pada proses modifikasi dalam proses pengembangan aplikasi (perubahan kode tanpa testing) 36 Data atau dokumen yang sudah tidak terpakai lagi tidak dipindahkan 37 Modifikasi data akibat serangan virus 38 Produk E-bussiness tidak memenuhi harapan pelanggan 39 Pelaporan yang tepat waktu mengenai status pengguna, pelanggan, pemasok, pengembang, dll 40 Strategi perusahaan yang tidak jelas dalam mendukung penggunaan transaksi E-business 41 Dokumentasi mengenai pendefinisian atau pengkualifikasian 1 informasi yang tidak lengkap atau tidak jelas CON 2 Informasi atau data tidak diberi identitas CON 3 Mengintip informasi dari karyawan lain CON 4 Pengklasifikasian yang tidak tepat pada informasi/data CON 5 Informasi dibagikan tanpa melewati otorisasi yang tepat CON 6 Akses ke daftar pelanggan, karyawan atau partner dibuat tanpa CON
sepengetahuan 7 Mantan pengembang masih mempunyai akses ke data sensitif CON 8 Menggunakan system yang tidak aman dalam pertukaran CON data/informasi 9 Penyingkapan informasi dan pelanggaran hukum privasi CON 10 Informasi pada laptop tidak terproteksi CON 11 Proses yang rumit dalam memungkinkan kemampuan e-mail yang CON aman 12 Undang undang pemerintah membuat ancaman terhadap informasi CON sensitif 13 Definisi yang jelas mengenai aturan kerahasiaan (confidentiality) CON 14 Ketidakmampuan perusahaan dalam mengakses informasi yang CON sensitif antara dua pihak di waktu yang akan datang 15 Perlindungan yang tidak sesuai terhadap daftar password CON 16 Akses yang tidak terkontrol terhadap informasi rahasia yang dicetak CON 17 Pengenalan terhadap "back doors" terhadap software, data, dan CON aplikasi 18 Informasi sensitif dan tidak sensitif tercampur CON 19 Ketidakpuasan staff teknologi informasi yang memiliki hak CON terhadap keamanan yang tinggi 20 Effect downstream tidak dianalisis sebelum perubahan dilakukan CON Pemberian hak privilege tentang keamanan tidak diketahui 21 perusahaan CON
22 Penghapusan akses untuk developer setelah proyek selesai CON 23 Jual beli rahasia perusahaan yang tidak terdeteksi CON 24 Di dalam daftar personil terdapat personil yang tidak terotorisasi CON Penyalahgunaan prosedur keamanan pada aplikasi terhadap informasi sensitif 25 Otentikasi untuk akses ke informasi sensitif tidak mencukupi CON 26 Pengumpulan informasi dalam satu tempat dapat mengakibatkan CON ancaman kerahasiaan data 27 Kemampuan untuk mengetahui identitas karyawan CON 28 Organisasi aktivis mendapatkan data perusahaan CON 29 Penyalahgunaan akses oleh pengembang terhadap data sensitive CON perusahaan 30 Akses ke informasi sensitive saat dilakukan testing CON 31 Personil tidak mempunyai kewaspadaan dalam mempublikasikan CON atau menyimpan informasi di web 32 Kebingungan akan tempat penyimpanan informasi sensitive CON 33 Proses yang tidak jelas/tidak diketahui dalam pengklasifikasian data CON 34 Memberikan akses kepada individu yang tidak memiliki kebutuhan CON bisnis untuk akses 35 Informasi tentang sistem internal dirilis secara tidak sengaja untuk CON serangan kepada perusahaan kemudian 36 Saling berbagi ID CON
37 Akses terhadap backup tidak dikontrol dengan layak CON 38 Akses keamanan yang luas diberikan demi penyederhanaan CON 39 Kontrak kerahasiaan yang tidak memiliki kekuatan hukum CON 40 Informasi personnel mengenai staff dipublikasi di internet tanpa CON otorisasi 41 Rasa aman palsu karena adanya firewall CON 42 Pihak ketiga melanggar kesepakatan mengenai kerahasiaan CON 43 Definisi yang tidak jelas terhadap informasi senisitif dalam aktivitas CON usaha bersama/kongsi 44 Teknologi baru dapat mengancam kerahsasiaan data CON Usaha dan rencana dilibatkan dalam merubah model akses 45 keamanan CON 46 Bagaimana menjelaskan tentang keamanan kepada orang yang CON bukan karyawan perusahaan. 47 Kehilangan penjualan dan meningkatnya biaya karena dirilisnya CON informasi mengenai keunggulan kompetitif tanpa sepengetahuan perusahaan 48 Packet sniffing di luar internet oleh personil yang tidak terotorisasi CON 49 Denda untuk pelanggaran perjanjian kerahasiaan tidak cukup untuk CON mencegah aktifitas yang tidak pantas 50 Electronic eavesdropping terhadap informasi perusahaan CON 1 Hackers dapat membuat situs menjadi tidak berjalan / down AVA
2 Penyusup mendapatkan akses fisik ke fasilitas komputer AVA 3 Kegagalan Hardware dari server internet AVA 4 Layanan provider komunikasi terhenti AVA 5 Situs hosting tidak memiliki perlindungan fisik informasi AVA 6 Proses manual gagal ketika website E-commerce tidak tersedia AVA 7 Hubungan ke sistem back office gagal AVA 8 Desain sistem terlalu komplek AVA 9 Perubahan pada hardware dan software tidak tepat AVA 10 Proyeksi penggunaan yang tidak dapat diantisipasi AVA 11 Prosedur rencana kontigensi tidak diuji coba AVA 12 Tidak ada jaminan ketersediaan server dari service provider AVA 13 Aksi mogok dari service provider AVA 14 Perencanaan perawatan normal dapat menyebabkan sistem tidak AVA tersedia 15 Desain topologi menghalangi ketersediaan pelayanan global AVA 16 Pendanaan yang tidak cukup untuk kemampuan backup AVA 17 Serangan yang direncanakan oleh pemrotes AVA 18 Ketidaktersediaan partner bisnis AVA 19 Konfigurasi hardware tidak cukup untuk menagani kebutuhan bisnis AVA yang tinggi 20 Sumber daya teknis kurang pelatihan yang cukup AVA 21 Layanan internet yang lambat membuat user menjadi tidak puas AVA 22 Cacat pada desain aplikasi mengakibatkan pemborosan sumber daya AVA
L10 atau pertikaian pada sumber daya internal 23 Aplikasi kritis menjadi tidak kritis AVA 24 Aplikasi E-commerce didesain hanya untuk melayani klien yang AVA terbatas 25 Serangan virus dapat mengakibatkan ketidaktersediaan sistem atau AVA informasi 26 Pemantauan yang tidak cukup pada website mengakibatkan AVA ketidaktersediaan laporan 27 Kegagalan Router atau Firewall membuat layanan menjadi tidak AVA dapat diakses 28 Backup tidak mencukupi AVA 29 Kehilangan pelanggan karena situs tidak tersedia AVA
Tabel 4.1 FRAP Session Deliverable Risk # Risk Type Priority Control 1 Informasi diakses oleh personil yang tidak memiliki akses B3 3, 5, 6, 11, 12, 16 2 Ketidaktersediaan atau ketidakjelasan informasi B3 6, 13, 26 3 Database dapat rusak dikarenakan kegagalan hardware dan B3 1, 2, 22 software yang buruk 4 Kurangnya control dan pengelolaan data antar departement B2 13, 19, 23, 25 5 Pihak ketiga mengakses informasi C4 6 Verifikasi dalam otentikasi kepada peminta data B2 6 L11
7 Akses informasi oleh pihak yang memiliki wewenang ditolak C3 oleh system 8 Proses pengendalian diabaikan karena terlalu rumit B3 3, 6, 15 9 Personil yang melakukan perubahan sistem tidak ditraining B2 8, 11, 12, 13, 19 secara cukup 10 Personil internal sengaja merubah data untuk alasan keuntungan C4 individu atau kelompok 11 Perubahan terhadap system/software aplikasi atau data tidak B2 1, 2, 7, 8, 25, 26 didokumentasi B3 12, 26 12 Menggunakan salinan data yang tidak terpakai lagi (out-ofdate) 13 Modifikasi data akibat serangan virus B3 2, 10, 11, 12, 13
14 Dokumentasi mengenai pendefinisian atau pengkualifikasian B1 11, 12, 13, 23 informasi yang tidak lengkap atau tidak jelas 15 Informasi dibagikan tanpa melewati otorisasi yangtepat CON B3 3, 11, 12 16 Mantan pengembang masih mempunyai akses ke data sensitif CON C4 17 Informasi pada laptop tidak terproteksi CON B3 4, 6, 22, 24 18 Perlindungan yang tidak sesuai terhadap daftar password CON C4 19 Informasi sensitif dan tidak sensitif tercampur CON C4 20 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 3, 11, 12, 13 21 Penghapusan akses untuk developer setelah proyek selesai CON C4 22 Jual beli rahasia perusahaan yang tidak terdeteksi CON C4
23 Memberikan akses kepada individu yang tidak memiliki CON B3 3, 5, 6, 11, 12, 16 kebutuhan bisnis untuk akses 24 Saling berbagi ID CON B2 12, 13 25 Akses terhadap backup tidak dikontrol dengan layak CON B3 14, 20, 22 26 Hackers dapat membuat situs menjadi tidak berjalan / down AVA B3 1, 2, 3, 5, 22 27 Penyusup mendapatkan akses fisik ke fasilitas komputer AVA B2 4, 22 28 Kegagalan hardware dari server internet AVA B3 1, 18, 22 29 Pendanaan yang tidak cukup untuk kemampuan backup AVA B2 23 30 Sumber daya teknis kurang pelatihan yang cukup AVA B2 12, 15 31 Serangan virus dapat mengakibatkan ketidaktersediaan sistem AVA B3 1, 2, 10 atau informasi
32 Kegagalan router atau firewall membuat layanan menjadi tidak AVA B3 13, 18, 20, 22 dapat diakses 33 Backup tidak mencukupi AVA C4 L15
Tabel 4.2 Cross Reference Sheet Control Number Control Description Risk # Risk Type Priority 1 Kebutuhan backup akan ditentukan dan dikomunikasikan 3 Database dapat rusak dikarenakan kegagalan hardware dan software yang buruk B3 kepada penyedia layanan, 11 Perubahan terhadap system/software aplikasi atau data B2 termasuk permintaan bahwa tidak didokumentasi pemberitahuan elektronik yang dibackup telah selesai dikirim kepada administrator system aplikasi. Penyedia layanan akan 26 Hackers dapat membuat situs menjadi tidak berjalan / AVA B3 down 28 Kegagalan hardware dari server internet AVA B3 diminta untuk menguji prosedur backup. 31 Serangan virus dapat mengakibatkan ketidaktersediaan sistem atau informasi AVA B3 L16
Control Number Control Description Risk # Risk Type Priority 2 Mengembangkan, mendokumentasikan, 3 Database dapat rusak dikarenakan kegagalan B3 dan menguji prosedur recovery yang hardware dan software yang buruk didesain untuk menjamin bahwa aplikasi dan informasi dapat direcover (dipulihkan), menggunakan backup yang telah dibuat, ketika terjadi kerugian. 11 Perubahan terhadap system/software aplikasi B2 atau data tidak didokumentasi 13 Modifikasi data akibat serangan virus B3 26 Hackers dapat membuat situs menjadi tidak berjalan / down AVA B3 28 Kegagalan hardware dari server internet AVA B3 31 Serangan virus dapat mengakibatkan AVA B3
ketidaktersediaan sistem dan informasi Control Number Control Description Risk # Risk Type Priority 3 Mengimplementasikan sebuah mekanisme pengendalian akses untuk mencegah akses yang tidak 1 Informasi diakses oleh personil yang tidak memiliki akses B3 8 Proses pengendalian diabaikan karena terlalu rumit B3 15 Informasi dibagikan tanpa melewati otorisasi yang tepat CON B3 terotorisasi terhadap informasi. Mekanisme ini termasuk kemampuan 20 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 mendeteksi, logging, dan melaporkan upaya untuk 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3
menerobos keamanan 26 Hackers dapat membuat situs menjadi tidak berjalan / down AVA B3 informasi Control Number Control Description Risk # Risk Type Priority 4 Akses sumber: 17 Informasi pada laptop tidak terproteksi CON B3 Mengimplementasikan sebuah mekanisme untuk membatasi akses kepada informasi rahasia ke network 27 Penyusup mendapatkan akses fisik ke fasilitas komputer AVA B2 path tertentu atau lokasi fisik.
Control Number Control Description Risk # Risk Type Priority 5 Mengimplementasikan mekanisme 1 Informasi diakses oleh personil yang tidak B3 otentikasi pengguna (seperti firewall, memiliki akses dial-in control, secure ID) untuk membatasi akses ke personil yang tidak terotorisasi. 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3 26 Hackers dapat membuat situs menjadi tidak AVA B3 berjalan / down Control Number Control Description Risk # Risk Type Priority
6 Mengembangkan kebijakan dan 1 Informasi diakses oleh personil yang tidak B3 prosedur (data, end-to-end) untuk memiliki akses mencegah akses yang tidak terotorisasi untuk melindungi integritas dan kerahasiaan informasi 2 Ketidaktersediaan atau ketidakjelasan informasi B2 6 Verifikasi dalam otentikasi kepada peminta data B2 8 Proses pengendalian diabaikan karena terlalu rumit B3 17 Informasi pada laptop tidak terproteksi CON B3 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3
Control Control Description Risk # Risk Type Priority Number 7 Mendesain dan mengimplementasikan 11 Perubahan terhadap system/software B2 pengendalian aplikasi (data entry edit checking, aplikasi atau data tidak didokumentasi field requiring validation, alarm indicators, password expiration capabilities, checksums) untuk menjamin integritas, kerahasiaan, dan ketersediaan dari informasi aplikasi.
Control Number Control Description Risk # Risk Type Priority 8 Mengembangkan prosedur pengujian yang 9 Personil yang melakukan perubahan sistem B2 diikuti selama pengembangan aplikasi dan tidak ditraining secara cukup selama perubahan terhadap aplikasi yang telah ada yang didalamnya melibatkan partisipasi dan penerimaan pengguna. 11 Perubahan terhadap system/software aplikasi atau data tidak didokumentasi B2 Control Number Control Description Risk # Risk Type Priority 10 1. Menjamin Administrator LAN menginstal 13 Modifikasi data akibat serangan virus B3
software antivirus yang sesuai standar 31 Serangan virus dapat mengakibatkan AVA B3 perusahaan pada semua computer. 2. Pelatihan dan kesadaran teknik pencegahan ketidaktersediaan sistem dan informasi virus akan dimasukkan ke dalam program IP organisasi. Control Control Description Risk # Risk Type Priority Number 11 Mengembangkan kebijakan dan prosedur untuk 1 Informasi diakses oleh personil yang tidak B3 membatasi akses dan hak istimewa operasional memiliki akses kepada mereka yang memiliki kebutuhan bisnis. 9 Personil yang melakukan perubahan sistem B2 tidak ditraining secara cukup
13 Modifikasi data akibat serangan virus B3 14 Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap atau tidak jelas B1 15 Informasi dibagikan tanpa melewati otorisasi yang tepat CON B3 20 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3
Control Number Control Description Risk # Risk Type Priority 12 Pelatihan pengguna akan mencakup instruksi 1 Informasi diakses oleh personil yang tidak B3 dan dokumentasi yang tepat ke aplikasi. memiliki akses Pentingnya menjaga kerahasiaan account pengguna, sandi, dan sifat rahasia dan kompetitif informasi akan ditekankan. 9 Personil yang melakukan perubahan sistem tidak ditraining secara cukup B2 12 Menggunakan salinan data yang tidak B3 terpakai lagi (out-of-date) 13 Modifikasi data akibat serangan virus B3 14 Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak B1
lengkap atau tidak jelas 15 Informasi dibagikan tanpa melewati otorisasi yang tepat CON B3 20 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3 24 Saling berbagi ID CON B2 30 Sumber daya teknis kurang pelatihan yang cukup AVA B2
Control Control Description Risk # Risk Type Priority Number 13 Menerapkan mekanisme untuk memantau, 2 Ketidaktersediaan atau ketidakjelasan B2 melaporkan dan kegiatan audit yang informasi diidentifikasi sebagai bahan tinjauan independen, termasuk tinjauan berkala dari userids untuk memastikan kebutuhan bisnis. 4 Kurangnya control dan pengelolaan data antar departement B2 9 Personil yang melakukan perubahan sistem B2 tidak ditraining secara cukup 13 Modifikasi data akibat serangan virus B3 14 Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak B1
lengkap atau tidak jelas 20 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 24 Saling berbagi ID CON B2 32 Kegagalan router atau firewall membuat layanan menjadi tidak dapat diakses AVA B3 Control Number Control Description Risk # Risk Type Priority
14 Kontrol Operasi: pelatihan untuk backup data 25 Akses terhadap backup tidak dikontrol dengan CON B3 untuk sistem administrator akan diberikan dan layak tugas dirotasi di antara mereka untuk memastikan kecukupan dari program pelatihan. Control Number Control Description Risk # Risk Type Priority 15 Kontrol Operasi: pengembang aplikasi akan 8 Proses pengendalian diabaikan karena terlalu B3 memberikan dokumentasi, bimbingan, dan rumit dukungan untuk staf operasi (admin) dalam menerapkan mekanisme untuk memastikan bahwa transfer informasi antar aplikasi aman. 30 Sumber daya teknis kurang pelatihan yang cukup AVA B2
Control Number Control Description Risk # Risk Type Priority 16 Kontrol Operasi: mekanisme untuk melindungi 1 Informasi diakses oleh personil yang tidak B3 database dari akses yang tidak sah, dan memiliki akses modifikasi dari luar aplikasi, akan ditentukan dan diimplementasikan. 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3 Control Number Control Description Risk # Risk Type Priority 18 Kontrol Operasi: kebutuhan waktu untuk pemeliharaan teknis akan dilacak dan 28 Kegagalan hardware dari server internet AVA B3 32 Kegagalan router atau firewall membuat AVA B3
penyesuaian jadwal akan dikomunikasikan layanan menjadi tidak dapat diakses kepada manajemen.
Control Control Description Risk # Risk Type Priority Number 19 User Control: Mengimplementasikan user 4 Kurangnya control dan pengelolaan data B2 program (user performance evaluation) yang antar departement didesain untuk mendorong kepatuhan terhadap kebijakan dan prosedur untuk menjamin penggunaan yang tepat terhadap aplikasi. 9 Personil yang melakukan perubahan sistem tidak ditraining secara cukup B2 Risk Control Control Description # Risk Type Priority Number 20 Mendapatkan persetujuan mengenai tingkat 25 Akses terhadap backup tidak dikontrol CON B3
pelayanan untuk menetapkan harapan dengan layak pelanggan dan jaminan dari operasi pendukung. 32 Kegagalan router atau firewall membuat layanan menjadi tidak dapat diakses AVA B3
Control Control Description Risk # Risk Type Priority Number 22 3 Database dapat rusak dikarenakan kegagalan B3 Konsultasi dengan facilities management, dalam hal memfasilitasi implementasi pengendalian keamanan fisik yang dirancang untuk elindungi informasi, software, dan hardware yang dibutuhkan oleh system. hardware dan software yang buruk 17 Informasi pada laptop tidak terproteksi CON B3 25 Akses terhadap backup tidak dikontrol CON B3 dengan layak 26 Hackers dapat membuat situs menjadi tidak AVA B3 berjalan / down 27 Penyusup mendapatkan akses fisik ke AVA B2 fasilitas komputer
28 Kegagalan hardware dari server internet AVA B3 32 Kegagalan router atau firewall membuat AVA B3 layanan menjadi tidak dapat diakses
Control Control Description Risk # Risk Type Priority Number 23 Permintaan dukungan manajemen untuk 4 Kurangnya control dan pengelolaan data B2 menjamin kooperasi dan koordinasi dari antar departement berbagai unit bisnis, untuk memfasilitasi kelancaran transisi ke aplikasi. 14 Dokumentasi mengenai pendefinisian atau B1 pengkualifikasian informasi yang tidak lengkap atau tidak jelas 29 Pendanaan yang tidak cukup untuk AVA B2 kemampuan backup
Control Control Description Risk # Risk Type Priority Number 24 Pengendalian hak milik 17 Informasi pada laptop tidak terproteksi CON B3 Control Control Description Risk # Risk Type Priority Number 25 4 Kurangnya control dan pengelolaan data B2 Tim pengembang akan mengembangkan strategi antar departement korektif, seperti mengecek kembali prosesproses yang ada dalam perusahaan, merevisi logika aplikasi, dll. 11 Perubahan terhadap system/software aplikasi B2 atau data tidak didokumentasi
Control Control Description Risk # Risk Type Priority Number 26 Mengontrol migrasi produk, seperti untuk proses 2 Ketidaktersediaan atau ketidakjelasan B2 pencarian dan menghapus, untuk memastikan informasi tempat penyimpanan data aman. 11 Perubahan terhadap system/software aplikasi B2 atau data tidak didokumentasi Menggunakan salinan data yang tidak 12 terpakai B3 lagi (out-of-date) L39
L40 Tabel 4.3 Perbandingan Open Risk Dengan Suggested Control Risk Risk Type Priority Control Hasil # 1 Informasi diakses oleh personil yang B3 3, 5, 6, 11, C3 tidak memiliki akses 12, 16 2 Ketidaktersediaan atau ketidakjelasan informasi B3 6, 13, 26 C3 3 Database dapat rusak dikarenakan B3 1, 2, 22 C3 kegagalan hardware 4 Kurangnya control dan pengelolaan B2 data antar departement 13, 19, 23, 25 D 5 Verifikasi dalam otentikasi kepada B2 6 D peminta data 6 Proses pengendalian diabaikan B3 3, 6, 15 C3 karena terlalu rumit 7 Personil yang melakukan perubahan B2 8, 11, 12, D sistem tidak ditraining secara cukup 13, 19
8 Perubahan terhadap system/software aplikasi atau data tidak didokumentasi B2 1, 2, 7, 8, 25, 26 D 9 Menggunakan salinan data yang tidak B3 12, 26 C3 terpakai lagi (out-of-date) 10 Modifikasi data akibat serangan virus B3 2, 10, 11, C3 12, 13 11 Dokumentasi mengenai pendefinisian B1 11, 12, 13, C2 atau pengkualifikasian informasi 23 yang tidak lengkap atau tidak jelas 12 Informasi dibagikan tanpa melewati CON B3 3, 11, 12 C3 otorisasi yang tepat 13 Informasi pada laptop tidak CON B3 4, 6, 22, C3 terproteksi 24 14 Pemberian hak privilege tentang CON B3 3, 11, 12, C3 keamanan tidak diketahui perusahaan 13 15 Memberikan akses kepada individu CON B3 3, 5, 6, 11 C3
yang tidak memiliki kebutuhan bisnis 12, 16 untuk akses 16 Saling berbagi ID CON B2 12, 13 B2 17 Akses terhadap backup tidak dikontrol dengan layak CON B3 14, 20, 22 C3 18 Hackers dapat membuat situs menjadi AVA B3 1, 2, 3, 5, C3 tidak berjalan / down 22 19 Penyusup mendapatkan akses fisik ke AVA B2 4, 22 D fasilitas komputer 20 Kegagalan hardware dari server AVA B3 1, 18, 22 C3 internet 21 Pendanaan yang tidak cukup untuk AVA B2 23 B2 kemampuan backup 22 Sumber daya teknis kurang pelatihan AVA B2 12, 15 B2 yang cukup 23 Serangan virus dapat mengakibatkan AVA B3 1, 2, 10 B3 ketidaktersediaan sistem atau
L43 informasi 24 Kegagalan router atau firewall AVA B3 13, 18, 20, C3 membuat layanan menjadi tidak dapat 22 Diakses
Tabel 4.4 Perbandingan Open Risk Dengan Existing Control Risk # Risk Type Priority Existing Control Priority setelah dibandingkan dengan existing control 1 Informasi diakses oleh personil B3 Menerapkan access control C3 yang tidak memiliki akses terhadap informasi, adanya firewall untuk mencegah unauthorized access, dan L44
training terhadap user mengenai pentingnya menjaga keamanan user ID dan password. 2 Ketidaktersediaan atau B3 Kontrol terhadap informasi B3 ketidakjelasan informasi untuk memastikan bahwa tempat penyimpanan datanya aman. 3 Database dapat rusak B3 Konsultasi dengan facilities B3 dikarenakan kegagalan management dan vendor hardware mengenai kerusakan hardware
4 Kurangnya control dan B2 Dukungan manajemen untuk B2 pengelolaan data antar menjamin kooperasi dan departement koordinasi antar departement dan mengecek kembali proses yang ada didalam perusahaan. 5 Verifikasi dalam otentikasi B2 Pemantauan secara langsung B2 kepada peminta data oleh pengawas / atasan mengenai verifikasi dalam otentikasi 6 Proses pengendalian diabaikan B3 Adanya mekanisme access C4
karena terlalu rumit control untuk mencegah akses yang tidak terotorisasi terhadap informasi. 7 Personil yang melakukan B2 Training terhadap user D perubahan sistem tidak dan melakukan pemantauan ditraining secara cukup terhadap perubahan sistem. 8 Perubahan terhadap system/ B2 Melakukan kontrol terhadap B2 software aplikasi atau data aplikasi dan mengecek tidak didokumentasi kembali perubahan system/ software yang dilakukan. 9 Menggunakan salinan data yang B3 Penghapusan data yang sudah D
tidak terpakai lagi (out-of-date) tidak terpakai, dan training terhadap user mengenai data mana yang merupakan data out-of-date 10 Modifikasi data akibat serangan virus B3 Adanya software antivirus C3 yang terupdate, OS yang digunakan OS asli, dan user training mengenai teknik pencegahan virus 11 Dokumentasi mengenai B1 Adanya kebijakan dan B1 pendefinisian atau prosedur untuk membatasi
pengkualifikasian informasi akses terhadap user yang tidak lengkap atau tidak jelas 12 Informasi dibagikan tanpa CON B3 Prosedur terkait dengan C4 melewati otorisasi yang tepat membatasi akses terhadap user yang memiliki kebutuhan bisnis 13 Informasi pada laptop tidak CON B3 Mengimplementasikan B3 terproteksi mekanisme untuk membatasi akses terhadap informasi rahasia, dan pengendalian
hak milik 14 Pemberian hak privilege tentang CON B3 B3 keamanan tidak diketahui perusahaan 15 Memberikan akses kepada CON B3 Menerapkan access control C3 individu yang tidak memiliki terhadap informasi, adanya kebutuhan bisnis untuk akses firewall untuk mencegah unauthorized access, dan mekanisme untuk melindungi database dari akses yang tidak sah dan mencegah modifikasi
dari pihak luar 16 Saling berbagi ID CON B2 Adanya training terhadap user B2 mengenai pentingnya menjaga kerahasiaan ID dan password 17 Akses terhadap backup tidak CON B3 B3 dikontrol dengan layak 18 Hackers dapat membuat situs AVA B3 Mengembangkan prosedur C3 menjadi tidak berjalan / down recovery untuk menjamin bahwa aplikasi dan informasi dapat dipulihkan, backup data 19 Penyusup mendapatkan akses AVA B2 Adanya prosedur yang B2
fisik ke fasilitas komputer disampaikan secara lisan mengenai hak akses terhadap fasilitas perusahaan 20 Kegagalan hardware dari server AVA B3 Adanya backup terhadap B2 internet database dan melakukan pengujian prosedur backup 21 Pendanaan yang tidak cukup AVA B2 Adanya dukungan dari C3 untuk kemampuan backup management untuk memfasilitasi pendanaan terhadap backup data di perusahaan.
22 Sumber daya teknis kurang AVA B3 Training terhadap user dan C3 pelatihan yang cukup adanya bimbingan dan dukungan dari pengembang aplikasi terhadap user 23 Serangan virus dapat AVA B3 Melakukan backup terhadap C3 mengakibatkan data, mengembangkan ketidaktersediaan sistem atau prosedur recovery, menginstall informasi software antivirus yang terupdate 24 Kegagalan router atau firewall AVA B3 Adanya mekanisme untuk B2 membuat layanan menjadi tidak memantau dan melaporkan
dapat diakses apabila terjadi kegagalan router ataupun firewall. L54
Tabel 4.5 Daftar Open Risk setelah dibandingkan dengan existing control Risk # Risk Type Priority setelah existing control 1 Ketidaktersediaan atau ketidakjelasan informasi B3 2 Database dapat rusak dikarenakan B3 kegagalan hardware 3 B2 Kurangnya control dan pengelolaan data antar departement 4 Verifikasi dalam otentikasi kepada peminta data B2 5 Perubahan terhadap system/software aplikasi atau data tidak B2 didokumentasi L55
6 B1 Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap atau tidak jelas 7 Informasi pada laptop tidak terproteksi CON B3 Pemberian hak privilege tentang keamanan tidak diketahui 8 perusahaan CON B3 9 Saling berbagi ID CON B2 10 Akses terhadap backup tidak dikontrol dengan layak CON B3 11 Penyusup mendapatkan akses fisik ke fasilitas komputer AVA B2 L56
Tabel 4.6 Action Plan Risk # Risk Type Priority Controls Owner Action By Who When Additional Comments 1 Informasi diakses oleh personil yang tidak memiliki akses B3 6, 11, 16 Pengembangan kebijakan dan prosedur dalam hal mekanisme hak akses akan dilakukan Manajer TI dan Manajer Operasi Pengembangan Kebijakan dan Prosedur : 24/02/2013 2 Ketidaktersediaan atau ketidakjelasan Informasi B3 6, 13 Memantau dan melaporkan kegiatan yang dilakukan, pembuatan prosedur dan kebijakan terkait informasi akan dilakukan Manajer TI Pembuatan Prosedur dan Kebijakan : 25/02/2013 Memantau dan melaporkan secara berkala : 3/03/2013 3 Database dapat rusak dikarenakan kegagalan hardware B3 1, 2 Backup database, pengembangan, pendokumentasian, dan pengujian prosedur recovery Manajer TI dan Manajer Operasi Backup : 1/03/2013 Pengembangan dan pendokumentasian : 12/03/2013 Pengujian : 12/04/2013 L57
akan dilakukan 4 Kurangnya control dan pengelolaan data antar departemen B2 13, 19 Kontrol terhadap sumber daya manusia yang melakukan update dan entry, serta melakukan monitoring, dan pelaporan terhadap kegiatan akan dilakukan Manajer TI Kontrol dan pemantauan : 27/02/2013 Pelaporan : 12/03/2013 5 Verifikasi dalam otentikasi kepada peminta data B2 6 Kebijakan dan prosedur untuk mencegah akses yang tidak terotorisasi akan dilakukan Manajer TI Membuat kebijakan dan prosedur : 24/02/2013 6 Proses pengendalian diabaikan karena terlalu rumit B3 6, 15 Monitoring, serta pembuatan kebijakan dan prosedur mengenai pentingnya proses pengendalian akan dilakukan Manajer TI Membuat kebijakan dan prosedur : 27/02/2013 Monitoring : 5/03/2013 7 Personil yang melakukan B2 8, 11, 19 Memberikan training secara berkala, Manajer TI dan Manajer Mengembangkan kebijakan dan Prosedur :
perubahan sistem tidak ditraining secara cukup pengembangan kebijakan dan prosedur dalam penggunaan sistem akan dilakukan, serta prosedur pengujian atas sistem. Operasi 24/02/2013 Pelatihan : 15/03/2013 8 Perubahan terhadap system / software aplikasi atau data tidak didokumentasi B2 1, 2, 8, 26 Backup, pengembangan pendokumentasian, dan pengujian prosedur akan dilakukan. Manajer TI dan Manajer Operasi Backup : 01/03/2013 Pengembangan dan pendokumentasian: 12/03/2013 Pengujian prosedur : 10/03/2013 9 Menggunakan salinan data yang tidak terpakai lagi B3 26 Kontrol terhadap data yang tersimpan akan dilakukan Manajer TI Kontrol : 24/02/2013 10 Modifikasi data akibat serangan virus B3 2, 11, 13 Prosedur recovery, kebijakan dan prosedur mengenai pembatasan akses internet dan akses fisik ke hardware akan dilakukan Manajer TI dan Manajer Operasional Procedure recovery : 24/02/2013 Membuat kebijakan dan prosedur : 12/03/2013
11 Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap / tidak jelas B1 12, 13, 23 Pelatihan dan mekanisme untuk pemantauan, serta melakukan pembuatan prosedur dan kebijakan mengenai pendokumentasian HRD dan Manajer Operasi Pelatihan : 24/03/2013 Membuat mekanisme dan persetujuan : 12/03/2013 12 Informasi dibagikan tanpa melewati otorisasi yang tepat CON B3 3, 12 Implementasi mekanisme pengendalian akses, Training terhadap user mengenai pentingnya menjaga user ID dan password akan dilakukan HRD Pelatihan : 24/03/2013 Implemetasi mekanisme pengendalian akses : 27/03/2013 13 Informasi pada laptop tidak terproteksi CON B3 6, 22 Kebijakan dan prosedur mengenai penggunaan informasi pada laptop akan dilakukan Manajer Operasional Membuat kebijakan dan prosedur : 24/02/2013
14 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 3, 11, 12, 13 Kontrol terhadap hak akses, kebijakan dan prosedur untuk membatasi akses, dan training terhadap user mengenai pentingnya menjaga kerahasiaan user ID dan password akan dilakukan Manajer TI, HRD dan Manajer Operasi Kontrol Akses : 24/02/2013 Membuat kebijakan dan prosedur : 12/03/2013 Pelatihan : 24/03/2013 15 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses B3 6, 11, 12 Kebijakan dan prosedur untuk membatasi hak akses dan user training mengenai pentingnya menjaga user ID & password akan dilakukan Manajer TI, HRD dan Manajer Operasi Membuat kebijakan dan prosedur : 24/02/2013 Pelatihan : 24/03/2013 16 Saling berbagi ID CON B2 12, 13 Monitoring, Pelatihan/pengenalan HRD dan Manajer Pelatihan : 24/03/2013 Monitoring : 20/03/2013
pentingnya mengenai instruksi dalam menjaga kerahasiaan pengguna ID akan dilakukan Operasi 17 Akses terhadap backup tidak dikontrol dengan layak CON B3 14, 20, 22 Training terhadap user mengenai backup data dan pentingnya menjaga kerahasiaan user ID dan password akan dilakukan Manajer TI, HRD dan Manajer Operasi Pelatihan : 24/03/13 18 Hackers dapat membuat site menjadi tidak berjalan / down AVA B3 1, 3, 5, 22 Backup, implementasi mekanisme pengendalian akses, firewall, dan meminta fasilitas dan persetujuan dari manajemen akan dilakukan. Manajer TI dan Manajer Operasi Backup : 01/03/2013 Implementasi pengendalian akses, firewall : 03/03/2013 Meminta persetujuan : 12/03/2013 19 Penyusup mendapatkan akses fisik ke fasilitas komputer AVA B2 4, 22 Implementasi mekanisme pembatasan akses ke lokasi fisik, Manajer TI dan Facilities management Konsultasi : 24/02/2013 Implementasi pembatasan akses : 27/03/2013
20 Kegagalan hardware dari server internet AVA B3 18, 22 Konsultasi dengan facilities management untuk melindungi keamanan fisik ke fasilitas komputer akan dilakukan Pemeliharaan teknis terhadap server internet, Konsultasi dengan facilities management mengenai kegagalan hardware dari server internet akan dilakukan Manajer TI dan Facilities management Konsultasi : 24/02/13 Pemeliharaan teknis : 24/02/2013 21 Pendanaan yang tidak cukup untuk kemampuan backup AVA B2 23 Meminta dukungan dari manajemen untuk memfasilitasi terhadap backup data di perusahaan akan dilakukan Manajer TI Membuat proposal permintaan pendanaan : 24/02/2013 22 Sumber daya teknis kurang pelatihan yang cukup AVA B2 12, 15 Training terhadap user secara berkala dalam periode tertentu, HRD Pelatihan : 24/03/13
Dokumentasi, bimbingan, dan dukungan dari pengembang aplikasi akan dilakukan 23 Serangan virus dapat mengakibatkan ketidaktersediaan sistem atau informasi B3 1, 2, 10 Peraturan tertulis mengenai mekanisme hak akses ke fasilitas fisik komputer untuk mencegah serangan virus akan dilakukan Manajer TI dan Facilities Management Membuat mekanisme : 24/02/2013 24 Kegagalan router atau firewall membuat layanan menjadi tidak dapat diakses AVA B3 18, 20, 22 Pemeliharaan teknis terhadap router atau firewall, SLA, serta konsultasi dengan facilities management akan dilakukan Manajer TI dan Facilities Management Pemeliharaan teknis : 24/02/2013 L64