Progress 8
Pengumpulan Data Identifikasi Permasalahan Hasil yang didapatkan pada tahap ini telah dicantumkan pada bab I 9
Pengumpulan Data Studi Literatur Hasil yang didapatkan pada tahap ini telah dicantumkan pada bab II 10
Observasi PENGUMPULAN DATA Observasi dilakukan dengan pengamatan secara langsung pada KPPN Surabaya I sehingga diketahui kondisi nyata dari KPPN Surabaya I, khususnya observasi terhadap aset pendukung operasional terutama SDM di KPPN Surabaya I Melalui tahapan observasi yang telah dilakukan diperoleh informasi mengenai aset aset pendukung operasional yang digunakan sebagai pengolah informasi di KPPN Surabaya I
Wawancara Wawancara dilakukan terhadap Kepala Sub Bagian Umum dan beberapa pegawai pelaksana KPPN Surabaya I yang dalam pelaksanaan tugasnya sehari hari berhubungan langsung dengan perasalahan pengolahan dan keamanan informasi di KPPN Surabaya I Melalui tahapan wawancara diperoleh informasi mengenai tugas pokok dan fungsi masing masing bagian di KPPN Surabaya I, penggunaan dan permasalahan aset pendukung operasional terutama perangkat pengolah informasi hasil observasi, serta permasalahan dan ancaman/risiko yang berkaitan dengan keamanan informasi i
Wawancara Data : Kesadaran pegawai mengenai keamanan TI Latar belakang pegawai mengenai TI Pendidikan dan pelatihan pegawai di bidang TI Peran dan tanggung jawab pegawai mengenai keamanan TI Kebijakan penunjukan dan penempatan pegawai Objek : Kepala Kantor Kepala Seksi Supervisor Pelaksana
ANALISIS DATA IDENTIFIKASI RISIKO ANALISIS RISIKO PENENTUAN TUJUANKONTROL
IDENTIFIKASI RISIKO Langkah 1 : Identifikasi aset Asetyang diidentifikasi dalamtugas akhirini ini adalahaset aset pendukung yang berhubungan dengan kontrol SDM di KPPN Surabaya I No Jenis Aset Nama Aset 1 Manusia Kepala Kantor Kepala Seksi Supervisor Pelaksana
Identifikasi Risiko (cont d) Langkah 2 : Menghitung nilai aset Menghitung nilai aset adalah menghitung nilai informasi yang dimiliki oleh KPPN Surabaya I berkaitan dengan aset yang telah teridentifikasi dengan pendekatan tiga aspek keamanan informasi yaitu kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) Penentuan nilai confidentiality : Kriteria aset NC Public 1 Internal Use Only 2 Secret 3 Penentuan nilai integrity : Kriteria aset NI No impact 1 Minor disturbance 2 Mayor disturbance 3 Nilai Aset (NA) = NC + NI + NV Tabel penentuan nilai availibility : Kriteria aset NV Low availability 1 Medium availability 2 High availability 3
NILAI ASET No Aset Nilai Kriteria Aset Nilai Nilai Nilai (NC+NI Confidentiality Integrity Availability +NV) (NC) (NI) (NA) 1 Kepala Kantor 2 1 1 4 2 Kepala Seksi 2 1 1 4 3 Pt Petugas 3 3 3 9 Supervisor 4 Pelaksana 1 2 2 5
Identifikasi Risiko (cont d) Langkah 3 : Mengindentifikasi ancaman dan kelemahan yang dimiliki oleh aset Dilakukan untuk melakukan identifikasi ancaman dan kelemahan yang dimiliki oleh informasi sehingga dapat menimbulkan ancaman terhadap aset yang telah teridentifikasi. Klasifikasi probabilitas : Low : Nilai probabilitas 0,1 0,3 Medium : Nilai probabilitas 0,4 0,6 High : Nilai probabilitas 0,7 1,0 Nilai Ancaman (NT) = PO / Ancaman
Kepala Kantor Ancaman Jenis Probabilitas bilit Nilai i Probabilitas bilit (ancaman/kelemahan) Kejadian (low/med/high) (PO) Mutasi Ancaman 1 Low 0,1 kurangnya pelatihan keamanan Penyalahgunaan software dan hardware Kurangnya gy kesadaran keamanan Kelemahan 20 High 1 Kelemahan 0 Low 0 Kelemahan 20 High 1 Kurangnya kebijakan mengenai keamanan Kelemahan 20 High 1 informasi Kesalahan dalam penggunaan Ancaman 0 Low 0 Penggunaan peralatan secara ilegal Ancaman 0 Low 0 Penyalahgunaan hak Ancaman 0 Low 0 19
Kepala Seksi Ancaman Jenis Probabilitas Nilai Probabilitas (ancaman/kelemahan) Kejadian (low/med/high) (PO) Mutasi Ancaman 0 Low 0 kurangnya pelatihan keamanan Penyalahgunaan software dan hardware Kurangnya kesadaran keamanan Kurangnya kebijakan mengenai keamanan informasi i Kesalahan dalam penggunaan Kelemahan 0 High 1 Kelemahan 20 Low 0 Kelemahan 0 High 1 Kelemahan 20 High 1 Ancaman 20 Low 0 Penggunaan peralatan secara ilegal Ancaman 0 Low 0 Penyalahgunaan hak Ancaman 0 Low 0 20
Supervisor Ancaman Jenis Probabilitas Nilai Probabilitas Kejadian (ancaman/kelemahan) (low/med/high) (PO) Mutasi Kelemahan 0 Low 0 Rotasi Kelemahan 0 Low 0 Kerusakan Data Ancaman 2 Low 0,1 Kehilangan Data Ancaman 0 Low 0 Anti virus tidak terupdate Kelemahan 2 Low 0,1 Data lupa di-backup Kelemahan 0 Low 0 Kerusakan Perangkat Server Ancaman 0 Low 0 Kerusakan Jaringan Ancaman 6 Low 0,3 21
Supervisor Ancaman kurangnya pelatihan keamanan Penyalahgunaan software aedan hardware ad ae Kurangnya kesadaran keamanan Kurangnya mekanisme pemantauan kemanan informasi Kurangnya kebijakan mengenai keamanan informasi Penggunaan peralatan secara ilegal Jenis Probabilitas Nilai Probabilitas Kejadian (ancaman/kelemahan) (low/med/high) (PO) Kelemahan 20 High 1 Kelemahan 1 Low 0,3* Kelemahan 0 Low 0 Kelemahan 20 High 1 Kelemahan 20 High 1 Ancaman 0 Low 0 Penyalahgunaan hak Ancaman 0 Low 0 22
Pelaksana Ancaman Jenis Probabilitas Nilai Probabilitas (ancaman/kelemahan) Kejadian (low/med/high) (PO) Mutasi Kelemahan 0 Low 0 Rotasi Kelemahan 0 Low 0 Masuknya virus Ancaman 18 High 09 0,9 Penyalahgunaan perangkat informasi Kelemahan 10 Low 0,3** Tersebarnya hak akses Kelemahan 25 High 0,7** Hak akses karyawan yang berhenti tidak Kelemahan 20 Low 1 dihapus kurangnya pelatihan keamanan Kurangnya kesadaran keamanan Kelemahan 20 High 1 Kelemahan 30 High 0,8** 23
Pelaksana Ancaman Penggunaan peralatan secara ilegal Penyalahgunaan hak Nilai Jenis Probabilitas Kejadian Probabilitas (ancaman/kelemahan) (low/med/high) (PO) Ancaman 0 Low 0,0 Ancaman 0 Low 0,0 24
Dari data ancaman dan kelemahan aset tersebut kemudian ditentukan nilai rerata probabilitas dan nilai ancaman terhadap aset Aset PO Ancaman Nilai Ancaman (NT) Kepala Kantor 8 31 3,1 038 0,38 Kepala Seksi 8 30 3,0 038 0,38 Supervisor 3,8 15 0,25 Pelaksana 4,6 10 0,46
Analisis Risiko Langkah 1 : Melakukan analisa dampak bisnis (Business Impact Analysis/BIA) BIA menggambarkan seberapa tahan proses bisnis didalam organisasi berjalan jika aset yang dimiliki terganggu Tabel skala nilai BIA : Batas toleransi Keterangan Nilai Skala gangguan <1minggu Not critical 0 1 2hari Minor critical 1 <1hari Mayor critical 2 < 12 jam High critical 3 <1jam Very high critical 4
Kepala Kantor Kepala Seksi NILAI BIA Aset Dampak Nilai BIA pelayanan menjadi lebih lambat karena posisi approval luaran sistem digantikan oleh pejabat sementara (pjs) atau pelaksana tugas (plt) pelayanan menjadi lebih lambat karena posisi approval luaran sistem digantikan oleh pejabat sementara (pjs) atau pelaksana tugas (plt) Supervisor Tidak adanya pengawas sistem, database & 3 jaringan sehingga apabila terjadi error atau miss tidak dapat diperbaiki dengan segera sehingga operasional kantor terhambat Pelaksana waktu pelayanan menjadi lebih lama karena beban kerja bertambah Kurangnya kesadaran keamanan informasi dapat menyebabkan sistem terganggu sehingga penyelesaian pekerjaan menjadi terhambat 1 1 2
Analisis Risiko (cont d) Langkah 2 : Mengidentifikasi level risiko (risk level) Merupakan tingkat risiko yang timbul jika dihubungkan dengan dampak dan probabilitas yang mungkin timbul Masing masing sudut pandang pengukuran memiliki kriteria dan bobot yang berbeda. Untuk probabilitas terjadinya ancaman dibagi kedalam tiga level pembobotan yaitu : 0 < Low probability < 0.1 0.1 < Medium probability < 0.5 0.5 < High probability < 1.0 Sedangkan untuk dampak terjadinya risiko dibagi kedalam lima level pembobotan yaitu : Not critical impact = 0 Low critical impact = 1 Medium critical impact = 2 High critical impact = 3 Very high critical impact = 4
Matriks Level Risiko Probabilitas Ancaman Not critical (0) Dampak bisnis Minor Mayor High Very high critical Critical Critical critical (1) (2) (3) (4) Low (0,1) 0 x 0 0(low) 0 x 1 0,1 (low) 0 x 2 0,2 (low) 0 x 3 0,3 (low) 0 x 4 0,4 (low) Medium (0,5) 0,5 x 0 0 (low) 0,5 x 1 0,5 (med) 0,5 x 2 1 (med) 0,5 x 3 1,5 (med) 0,5 x 4 2 (med) High (1,0) 1 x 0 0 (med) 1 x 1 1 (med) 1 x 2 2 (high) 1 x 3 3 (high) 1 x 4 4 (high)
Berdasarkan matriks tersebut nilai BIA dapat disesuaikan dan dapat dibuat level lrisikountuk iik k masing masingaset i No Aset Nilai Probabilitas Nilai BIA 1 Kepala Kantor 1 05 0,5 05 0,5 2 Kepala Seksi 1 0,5 0,5 3 Petugas Supervisor 3 0,5 1,5 4 Plk Pelaksana 2 05 0,5 1
Analisis Risiko (cont d) Langkah 3 : Menentukan risiko diterima atau perlu pengelolaan risiko Nilai risiko (risk value) dihitung dengan rumus : Risk Value = NA x BIA x NT No Aset Nilai Aset (NA) Nilai Ancaman (NT) Nilai BIA Nilai Risiko 1 Kepala Kantor 4 0,38 0,5 0,76 2 Kepala Seksi 4 0,38 0,5 0,75 3 Petugas Supervisor 9 0,25 1,5 3,38 4 Pelaksana 5 0,46 1 2,31
Setelah nilai risiko diperoleh maka selanjutnya level risiko dapat ditentukan. Level risiko dapat diketahui dengan menyesuaikan nilai risiko ke dalam matriks level risiko. No Aset Nilai Risiko Level Risiko 1 Kepala Kantor 0,76 Medium 2 Kepala Seksi 0,75 Medium 3 Petugas Supervisor 3,38 High 4 Pelaksana 2,31 High
Berdasarkan pengukuran level risiko dengan indikator perkiraan probabilitas dan dampaknya, dapat diketahui bahwa risiko risiko yang perlu dibuat prosedur pengendaliannya adalah risiko yang menempati level nilai tinggi (high), berdampak besar dan kontrol yang ada belum dapat menanggulangi risiko tersebut Aset KPPN Surabaya I yang akan dibuat prosedur kontrolnya : 1. Supervisor 2. Pelaksana
Penentuan Tujuan Kontrol Tujuan kontrol yang digunakan adalah dlhhasil pemilihan lh tujuan kontrol pada Annex A ISO/IEC 27001:2005 yang disesuaikan dengan ancamanrisiko pada klausul SDM (klausul 8) Tujuan kontrol kemudian dijadikan dasar untuk membuat prosedur kontrol guna mencegah dan mengelolaancaman risiko.
Tujuan Kontrol : SDM Klausul : 8 Keamanan Sumber Daya Manusia Kategori Keamanan Utama : 8.1 Sebelum menjadi pegawai Objektif Kontrol : Untuk memastikan bahwa pegawai memahami tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimalkan risiko pencurian atau kesalahan dalam penggunaan fasilitas informasi. 8.1.1 Aturan dan tanggung jawab Kontrol : keamanan Aturan-aturan dan tanggung jawab keamanan dari pegawai harus didefinisikan, didokumentasikan sesuai dengan kebijakan Keamanan Informasi organisasi 8.1.2 Seleksi Kontrol : Pemeriksaan (screening) terhadap pegawai harus dilakukan pada saat pegawai melapor untuk melaksanakan tugas di kantor, pemeriksaan harus sesuai dengan hukum, golongan, kebutuhan persyaratan bisnis, klasifikasi informasi yang akan diakses pegawai dan resiko yang mungkin dihadapi oleh organisasi. 8.1.3 Persyaratan dan kondisi yang harus dipenuhi oleh pegawai. Kontrol : Bahwa calon pegawai harus setuju dengan persyaratan dan kondisi yang ditetapkan organisasi dan harus menjadi bagian dengan kontrak kerja/pakta pegawai
Tujuan Kontrol : SDM Kategori Keamanan Utama : 8.2 Selama menjadi pegawai Objektif Kontrol : Untuk memastikan bahwa pegawai memahami Keamanan Informasi yang telah ditetapkan demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang telah dicapai organisasi. 8.2.1 Tanggung g jawab manajemen Kontrol : Manajemen harus mensyaratkan seluruh pegawai untuk mengaplikasikan Keamanan Informasi sesuai dengan kebijakan dan prosedur Keamanan Informasi yang telah dibangun 8.2.2 Pendidikan dan pelatihan Kontrol : Keamanan Informasi Seluruh pegawai dalam organisasi harus mendapat pelatihan yang cukup dan relevan sesuai deskripsi kerja masing-masing g tentang kepedulian Keamanan Informasi. Hal ini dilakukan secara reguler sesuai dengan perubahan kebijakan dan prosedur di organisasi. 8.2.3 Proses kdi kedisplinan. Kontrol : Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi
Tujuan Kontrol : SDM Kategori Keamanan Utama : 8.3 Pemberhentian atau pemindahan pegawai Objektif Kontrol : Untuk memastikan bahwa pegawai yang berhenti atau pindah dilakukan sesuai prosedur yang benar. 8.3.1 Tanggung jawab Kontrol : pemberhentian Tanggung jawab pemberhenti-an atau pemindahan pegawai harus didefinisikan dan ditunjuk dengan jelas 8.3.2 Pengembalian aset Kontrol : Seluruh pegawai harus mengembalikan semua aset organisasi yang dipakai saat mereka dinyatakan berhenti atau dipindahkan menurut perjanjian/pakta yang ditandatangani pegawai sebelumnya. 8.2.3 Penghapusan. Kontrol : Hak akses pegawai terhadap Informasi dan fasilitas peemrosesan Informasi harus dihapus sejak mereka dinyatakan berhenti atau dipindahkan.