Satu yang terkenal diantaranya adalah metode OCTAVE.

dokumen-dokumen yang mirip
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

terpengaruh; sedikit dibutuhkan usaha untuk untuk Biaya operasional per 15% kehilangan pendapatan Jam kerja Dibawah 10% Jam kerja staff

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

BAB 4 PENGUKURAN MANAJEMEN RISIKO TEKNOLOGI INFORMASI. Untuk memperoleh data yang berhubungan dengan pengukuran risiko, maka

BAB 1 PENDAHULUAN. dikarenakan teknologi informasi yang dapat memfasilitaskan dan mendukung proses

INFRASTRUCTURE SECURITY

MANAJEMEN RISIKO TEKNOLOGI INFORMASI: STUDI KASUS PADA PERUSAHAAN JASA

Langkah langkah FRAP. Daftar Risiko. Risk

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

STANDARD OPERATING PROCEDURE

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

KUESIONER. Nama Responden. Bagian/Jabatan

Standar Internasional ISO 27001

Aktivitas Langkah Deskripsi. perusahaan. dan orang). dokumen rincinya : organisasi).

Konsep Dasar Audit Sistem Informasi

BAB III METODOLOGI PENELITIAN

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

MANAJEMEN RISIKO SISTEM INFORMASI

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

BAB 2 TINJAUAN PUSTAKA

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

Pengendalian Sistem Informasi Berdasarkan Komputer

PENGUKURAN RISIKO TEKNOLOGI INFORMASI PADA RUMAH SAKIT BHAKTI YUDHA DENGAN MENGGUNAKAN METODE OCTAVE-S

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI. yang akan penulis evaluasi antara lain : cadang pada PT. Mercindo Autorama

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS

BAB 3 GAMBARAN UMUM PERUSAHAAN

BAB 4 AUDIT SISTEM INFORMASI. Pada bab ini akan membahas mengenai proses pelaksanaan Audit Sistem

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER

Lampiran-Lampiran. Aktivitas Langkah Deskripsi

Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

MITIGASI RISIKO KEAMANAN SISTEM INFORMASI

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI

BAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI. untuk meningkatkan efektifitas dan efisiensi kegiatan operasional perusahaan.

HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

TEKNIK AUDIT DATA CENTER DAN DISASTER RECOVERY. Titien S. Sukamto

Auditing. Obyektif. 3.1 Phase Audit Sistem Informasi

BAB I PENDAHULUAN 1.1. Latar Belakang

BAB 1 PENDAHULUAN. request dar i client setiap saat sangatlah penting. Komputer-komputer server

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PT. NARAWATA MAKMUR. Dalam menjalankan kegiatan audit, pengendalian terhadap sistem informasi yang penting

BAB 3 DESKRIPSI DAN PENGENDALIAN SISTEM YANG BERJALAN PADA PT CATRA NUSANTARA BERSAMA

BAB 4 EVALUASI SISTEM INFORMASI PADA PT CATRA NUSANTARA BERSAMA. 4.1 Hasil Evaluasi Terhadap Pengendalian Manajemen

II. PERAN DAN TANGGUNG JAWAB DIREKSI

BAB IV HASIL DAN PEMBAHASAN

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

BUPATI PENAJAM PASER UTARA

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

PASAL DEMI PASAL. Pasal 1 Cukup jelas.

SKRIPSI HUBUNGAN ANTARA KEAMANAN DATA DENGAN KINERJA SISTEM INFORMASI MANAJEMEN PUSKESMAS (SIMPUS) DI PUSKESMAS WILAYAH KABUPATEN KARANGANYAR

MATERI 03 : KEAMANAN INFORMASI

BAB III ANALISIS METODOLOGI

BUPATI CILACAP PERATURAN BUPATI CILACAP NOMOR 88 TAHUN 2013 TENTANG

PENGAMANAN SISTEM basis DAta

BERITA DAERAH KOTA SUKABUMI TAHUN 2011 NOMOR 16 PERATURAN WALIKOTA SUKABUMI

LAMPIRAN. Evaluasi Kriteria yang Diukur. 1. PO1 Mengidentifikasi Sebuah Rencana Strategi TI. Apakah perusahaan memiliki. setiap data yang salah input

BAB 4 AUDIT SISTEM INFORMASI. audit dari wawancara dengan manajer yang terkait dan bagian bagian yang

BERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG

Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank melalui Internet (Internet Banking)

BUPATI BADUNG PERATURAN BUPATI BADUNG NOMOR 28 TAHUN 2010 TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH DI LINGKUNGAN PEMERINTAH KABUPATEN BADUNG

BUPATI GARUT DENGAN RAHMAT TUHAN YANG MAHA ESA

Lampiran 8 : Daftar Pertanyaan Wawancara. No Pertanyaan Jawaban

BAB I PENDAHULUAN 1.1. Latar Belakang

BUPATI BANYUMAS, TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH. menetapkann. Sistem

Menimbang. Mengingat. Menetapkan

PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA

PANDUAN UJI KOMPETENSI

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN

BAB IV HASIL DAN PEMBAHASAN. 4.1 Hasil Perencanaan dan Persiapan Audit Sistem Informasi

Pedoman Tindakan Perbaikan. dan Pencegahan serta Pengelolaan. Gangguan Keamanan Informasi

LAMPIRAN ATAS BLACKBERRY SOLUTION PERJANJIAN LISENSI UNTUK BLACKBERRY UNIFIED ENDPOINT MANAGER ("LAMPIRAN the")

STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH

BAB 4. SIMPULAN DAN SARAN

Lampiran Check List Pengendalian Manajemen Operasional. No. Pertanyaan Y T Keterangan Standart

PERTEMUAN 10 AUDIT SISTEM INFORMASI AKUNTANSI

KEAMANAN DAN KONTROL. A. PENTINGNYA KONTROL Salah satu tujuan CBIS adalah untuk memberi dukungan kepada manajer dalam mengontrol area operasinya

KENDALI MANAJEMEN MUTU

BAB IV HASIL DAN PEMBAHASAN Evaluasi Hasil Pelaksanaan Audit Sistem Informasi

BAB 5 SIMPULAN DAN SARAN

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA CABANG CV. PESONA DIGITAL DI MALL TAMAN ANGGREK

DATA INTEGRITY/KEINTEGRITASAN DATA

Manajemen Sistem Basis Data Integrity dan Security. Lintang Yuniar Banowosari

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA PT. ABC

BAB 3 DESKRIPSI SISTEM YANG BERJALAN PADA PT PRIMA CIPTA INSTRUMENT. merupakan perusahaan yang bergerak di bidang distribusi perangkat hardware

LAMPIRAN. Hasil kuesioner yang dilakukan dengan Manager PT. Timur Jaya, Bapak Jimmy Bostan

Prosedure Keamanan Jaringan dan Data

Transkripsi:

97 BAB 4 HASIL DAN PEMBAHASAN PENG UKURAN RES IKO TI 4.1 Latar Belakang Pembahasan Saat ini, Teknologi informasi menjadi hal yang berharga bagi kebanyakan perusahaan. Karena bagaimanapun, banyak perusahaan yang menjalankan strategi keamanan dengan memfokuskan diri pada kelemahan infrastrukt ur, dan perusahaan gagal menetapkan akibat terhadap aset informasi yang paling penting milik mereka. Hal ini menimbulkan kesenjangan antara operasional perusahaan dengan persyaratan teknologi informasi sehingga menempatkan aset dalam resiko. Banyak pendekatan manajemen resiko keamanan informasi yang tidak lengkap, sehingga perusahaan gagal mencakup seluruh komponen resiko. Banyak perusahaan kemudian menyewa konsultan untuk mengevaluasi resiko keamanan informasi dalam perusahaan. Hasilnya mungkin tidak sesuai dengan perspektif perusahaan tersebut. Perkiraan risiko yang dilakukan sendiri oleh perusahaan yang bersangkutan memberikan pengetahuan untuk memahami resiko dan membuat keputusan yang tepat. Sebagaimana telah dibahas pada bab sebelumnya, perkiraan risiko memegang peranan penting dalam penerapan sistem manajemen keamanan informasi. Ada banyak metode yang dapat digunakan untuk melaksanakan perkiraan risiko karena banyaknya pendekatan metode untuk melakukan pengukuran risiko keamanan teknologi informasi. Satu yang terkenal diantaranya adalah metode OCTAVE.

98 Untuk mengumpulkan data-data yang dibut uhkan pada penelitian ini, maka penulis melakukan wawancara dengan pihak HRD dan pihak TI dengan upaya unt uk mengetahui risiko-risiko apa saja yang terjadi atau kem ungkinan terjadi pada perusahaan. Metode OCTAVE tersebut terdiri dari 3 tahap, yaitu: (1) Mem bangun aset berbasis profil ancaman; (2) Mengidentifikasi kerentanan infrastrukt ur; (3) Mengem bangkan strategi keamanan dan perencanaan. Dari ketiga tahap tersebut didalamnya terdapat 5 proses yang terdiri dari 16 aktifitas dan 30 langkah. Lima proses tersebut yaitu: (1) Mengidentifikasi informasi organisasi, yang terdiri dari 3 aktifitas dan 4 langkah; (2) Membuat profil ancaman, yang terdiri dari 3 aktifitas dan 12 langkah; (3) Memeriksa perhit ungan infrastruktur yang berhubungan dengan aset kritis, yang terdiri dari 2 aktifitas dan 5 langkah; (4) Identifikasi dan analisis risiko, yang terdiri dari 3 aktifitas dan 3 langkah; (5) Mengem bangkan strategi perlindungan dan rencana mitigasi, yang terdiri dari 5 aktifitas dan 6 langkah. 4.2 Praktek Keamanan Perusahaan Hasil analisis praktek keamanan pada PT Esham Dima Mandiri, yait u: 1. Kesadaran Keamanan dan Pelatihan Saat ini, kesadaran keamanan dan pelatihan di PT Esham Dima Mandiri masih kurang baik, dikarenakan kurangnya pelatihan mengenai keamanan karyawan secara rutin, karena pelatihan hanya adakan unt uk karyawan baru saja. Dan walaupun karyawan

99 telah memahami peran keamanan dan tanggung jawab masing-masing namun hal tersebut tidak didokumentasikan dan diverifikasi secara jelas. 2. Strategi Keamanan Strategi bisnis yang dimiliki oleh PT Esham Dima Mandiri selalu mempertimbangkan segi keamanan, segi tujuan dan sasaran perusahaan. Strategi keamanan, tujuan dan sasaran perusahaan tersebut telah didokumentasikan dan dikaji serta diperbaharui sekaligus dikomunikasikan. Namun, hal tersebut tidak dilakukan secara rutin karena pembahasan mengenai strategi keamanan akan dibahas secara detail pada saat periodik tertentu saja. 3. Manajemen Keamanan Perusahaan sudah memiliki pengalokasikan dana dan sumberdaya yang cukup untuk aktivitas keamanan informasi perusahaan. Dan peran keamanan dan tanggung jawab sudah dijelaskan kepada sem ua karyawan. Sebagian karyawan telah melaksanakan dengan baik tugas dan tanggung jawab yang berkaitan dengan keamanan informasi. Pengawasan dilakukan untuk semua karyawan dalam menyajikan informasi, dimana pengawasan tersebut memiliki prosedur otorisasi yang telah didokumentasikan dan ditetapkan oleh perusahaan. Perusahaan telah memiliki kebijakan dan prosedur penghentian kerja terhadap pihak karyawan yang terlibat dalam permasalahan keamanan informasi. Nam un, sejauh ini perusahaan belum melakukan penilaian risiko terhadap

100 keamanan informasi. dan apabila terjadi risiko maka divisi IT yang akan langsung mengambil langkah-langkah dalam meminimalkan risiko keamanan informasi tersebut. 4. Peraturan dan Kebijakan Keamanan Perusahaan telah mendokumentasikan peraturan dan kebijakan keamanan, dimana peraturan dan kebijakan ini selalu ditinjau dan diperbaharui secara berkala, tetapi tidak dikaji secara menyeluruh. Sebagian perat uran dan kebijakan keamanan hanya dikomunikasikan tetapi tidak didokumentasikan. Kebijakan dan peraturan keamanan informasi yang ada diperusahaan telah dievaluasi sesuai dengan penerapan hukum dan perat uran serta kebutuhan asuransi, nam un hasil evaluasi tersebut tidak didokumentasikan. Dan sejauh ini, perusahaan juga telah menyeragamkan penyelenggaraan kebijakan keamanan dan pemberlakuan peraturan diperusahaan dengan baik. 5. Kolaborasi Manajemen Keamanan Perusahaan telah memiliki kebijakan dan prosedur dalam bekerja sama dengan perusahaan lain, misalnya: melindungi informasi milik perusahaan lain, memahami kebijakan keamanan dan prosedur perusahaan lain serta membatasi akses bagi pihak yang tidak berkepentingan. Perusahaan juga mempunyai mekanisme formal unt uk diverifikasi ke semua pihak dalam perusahaan mengenai persyaratan kerja sama dengan pihak perusahaan lain. Dokumen informasi didalam perusahaan digunakan unt uk melindungi kebut uhan-kebut uhan dan untuk diberitahukan kepada aspek-aspek tertentu yang

101 berkaitan dengan dokumen tersebut. Perusahaan juga mempunyai kebijakan dan prosedur sebagai persyaratan untuk bekerja sama dengan perusahaan yang lain yang hanya sebatas memberikan kesadaran keamanan dan pelatihan service dan mengembangkan rencana-rencana yang mungkin akan dilakukan untuk perusahaan. 6. Rencana Kem ungkinan Saat ini perusahaan telah melakukan analisa terhadap hal-hal yang berkaitan dengan kegiatan operasional, aplikasi-aplikasi dan data penting yang ada diperusahaan. Perusahaan memiliki dokumentasi atas peninjauan dan pengujian terhadap kontinuitas bisnis atau rencana operasi darurat untuk menanggulangi keadaan darurat. Dari segi rencana pem ulihan bencana, perusahaan belum memiliki perencanaan yang maksimal, dikarenakan perusahaan akan mengambil tindakan langsung ketika risiko dan bencana terjadi. Oleh karena itu, kesadaran serta pemahaman karyawan akan rencana kemungkinan pemulihan bencana belum cukup baik, hal ini menyebabkan karyawan belum dapat menjalankan tanggung jawab mereka dalam menghadapi kemungkinan pemulihan bencana secara maksimal. 7. Pengendalian Akses Fisik Perusahaan telah memiliki pengendalian akses fisik yang cukup baik, yang disertai adanya prosedur dan kebijakan serta fasilitas keamanan yang disediakan oleh perusahaan dalam menjaga lokasi, bangunan dan mengendalikan akses fisik di tempat kerja, tetapi perusahaan belum memiliki dokumentasi dan prosedur untuk mengelola pengunjung. Tindakan perusahaan sudah sangat baik dalam menjaga informasi yang

102 sensitif agar tidak di akses oleh pihak yang tidak berwenang, contohnya pada penggunaan password dalam mengakses informasi serta pembatasan terhadap penggunaan informasi sensitive yang hanya dapat diakses oleh pihak-pihak tertentu. 8. Pemantauan dan Audit Keamanan Fisik Saat ini perusahaan belum melakukan tindakan pemantauan dan pemeriksaan yang berkaitan dengan keamanan fisik secara rutin serta belum dilakukannya pemeriksaaan terhadap kejanggalan-kejanggalan yang ada. Beberapa karyawan di dalam perusahaan masih belum dapat mempertanggung jawabkan tindakannya yang berkaitan dengan media yang dikontrol secara fisik, sebagai contoh adanya kecurangan dalam penggunaan pass card sebagai fasilitas absensi. 9. Manajemen jaringan dan sistem Perusahaan telah mengelola sistem dan jaringan dengan baik, hal tersebut dapat dilihat dari adanya rencana uji keamanan dalam menjaga sistem dan jaringan perusahaan. Perusahaan telah melindungi informasi sensitif di tempat yang aman. Dan seluruh sistem yang telah diperbarui akan selalu direvisi dan disertai tambahantambahan yang signifikan. Namun, dalam memberikan rekomendasi yang berkaitan dengan laporan keamanan tidak dilakukan setiap saat. Peralatan dan mekanisme unt uk keamanan sistem dan jaringan yang ada dalam perusahaan telah ditinjau secara rutin dan akan diperbaharui jika diperlukan. Perencanaan, pengontrolan dan pendokumentasian terhadap perubahan hardware dan software juga sudah dilakukan dengan baik. Intergritas dari software yang diinstall

103 juga telah diverifikasi secara teratur serta dilakukannya dokumentasi dan rencana yang teruji untuk memback-up software dan data. Dari segi software, hanya software yang penting saja yang ada di sistem komputer sedangkan software yang tidak penting akan dihapus dari sistem komputer perusahaan, nam un terkadang divisi TI masih lalai terhadap software yang tidak penting. 10. Pemantauan dan Audit Keamanan TI Perusahaan telah melakukan pemantauan dan mengaudit sistem dan jaringan perusahaan secara rutin, salah sat unya dengan penggunaan firewall dan komponen keamanan lainnya yang digunakan untuk mematuhi kebijakan serta di update secara rutin. Jika ada aktivitas yang tidak biasa, maka akan ditangani sesuai dengan kebijakan atau prosedur yang tepat. 11. Pengesahan dan Otorisasi Perusahaan telah melakukan pengontrolan yang baik sesuai dengan akses yang tepat dan pengesahan yang konsisten (misalnya perizinan file dan konfigurasi jaringan) dengan kebijakan yang ada. Pengesahan dan otorisasi digunakan untuk membatasi akses pengguna informasi, sistem sensitif, aplikasi, layanan tertentu dan koneksi jaringan. Perusahaan memiliki dokumentasi terhadap kebijakan dan prosedur dalam hak akses terhadap informasi baik itu secara individu maupun kelompok. Perusahaan juga memiliki metode dan mekanisme yang disediakan untuk memastikan bahwa informasi yang sensitif tidak diakses, diubah, ataupun sesuatu dalam bentuk yang dilarang, hanya

104 saja metode dan mekanisme ini tidak selalu ditinjau dan diverifikasi secara berkala dan dilakukan pada saat-saat tertentu saja. 12. Manajemen Kerentanan Perusahaan telah mengelola kerentanan dengan cukup baik, karena telah adanya dokumentasi dari prosedur pengelolaan kerentanan, seperti meminimumkan serangan dengan memiliki pengetahuan tentang kerentanan secara up to date dan dilakukan identifikasi terhadap komponen yang berkaitan dengan infrastruktur unt uk dievaluasi dan juga melakukan pengelolaan tempat penyimpanan yang aman untuk menjaga kerentanan data serta memberikan penafsiran dan menanggapi hasil dari identifikasi tersebut. Dan saat ini perusahaan tidak melakukan peninjauan terhadap sumber informasi mengenai kerentanan informasi dan peringatan keamanan informasi. 13. Enkripsi Perusahaan telah melakukan pengendalian keamanan yang sesuai dengan kebut uhan perusahaan untuk melindungi informasi yang sensitif, selama dalam penyimpanan dan transmisi data. Protokol enkripsi juga digunakan ketika mengelola sistem, router dan firewall. 14. Desain dan Arsitektur Keamanan Perusahaan sudah mempunyai sistem desain dan arsitektur keamanan yang baik terhadap sistem yang akan digunakan diperusahaan dan sistem tersebut akan direvisi dengan mempertimbangan hal-hal seperti: strategi keamanan, kebijakan dan prosedur, sejarah keamanan, serta hasil penilaian risiko keamanan. Perusahaan juga telah

105 mempunyai aplikasi update, hanya saja dalam melakukan update yang berkaitan dengan arsitektur keamanan dan topologi jaringan masih jarang dilakukan. 15. Manajemen Insiden Adanya suatu prosedur yang didokumentasikan oleh perusahaan dengan tujuan untuk mengidentifikasi, melaporkan, dan menanggapi dugaan terhadap pelanggaran keamanan dan insiden, dimana hal tersebut menjadi prosedur manajemen insiden unt uk dinilai, diverifikasi dan di perbaharui secara periodik. Akan tetapi, kebijakan dan prosedur untuk bekerja dengan lembaga penegak hukum tidak semuanya didokumentasi oleh perusahaan. 4.3 Profil Ancaman 4.3.1 Aset kritis Adapun aset-aset kritis yang terdapat di PT Esham Dima Mandiri, yaitu: 1. Bo snet Bosnet menjadi salah satu asset kritis bagi perusahaan karena bosnet merupakan sistem inti perusahaan yang digunakan dalam proses bisnis untuk mempermudah dalam melakukan semua transaksi baik dalam penjualan, pencatatan piutang, persediaan, pembelian, utang dagang serta melihat data-data yang ada diperusahaan. 2. Database Server Database juga menjadi salah satu aset kritis perusahaan karena database server merupakan tempat penyimpanan keseluruhan data dan transaksi yang terjadi pada

106 perusahaan. Database yang digunakan oleh perusahaan yaitu dengan menggunakan SQL 2005. 3. Jaringan Salah sat u aset kritis bagi perusahaan yait u jaringan, dimana jaringan merupakaan interkoneksi antar dua komputer atau lebih yang terhubung dengan media transmisi kabel atau tanpa kabel. Jaringan yang digunakan oleh perusahaan, yaitu: LAN (Local Area Net work), VPN (Virtual Privae Net work) dan Mikrotik Internal. LAN digunakan unt uk menghubungkan pemrosesan transaksi antar PC di dalam perusahaan dan VPN digunakan unt uk menghubungkan sistem antara pusat dan cabang. 4. Hardware (Personal Komputer, PDA) Perangkat keras juga termasuk salah satu aset kritis bagi perusahaan yang digunakan oleh seluruh karyawan dalam menjalankan kegiatan operasional perusahaan. 4.3.2 Kebutuhan Keamanan pada Aset Kritis Kebutuhan keamanan terhadap seluruh aset-aset penting yang ada di PT Esham Dima Mandiri terdiri dari 3 hal, yaitu: kerahasiaan informasi, integritas data, dan adanya ketersediaaan data dan informasi saat dibutuhkan. Kebutuhan keamanan yang paling penting dalam perusahaan terletak pada ketersediaan data atau informasi, karena jika data atau informasi yang dibutuhkan tidak tersedia maka aktivitas proses bisnis perusahaan tidak dapat berjalan dengan lancar.

107 4.3.3 Ancaman pada Aset Kritis Ancaman pada aset kritis perusahaan dapat terjadi melalui 2 akses, yaitu: akses fisik maupun akses jaringan, dan setiap akses mempunyai 2 aktor, yaitu: aktor yang berasal dari dalam perusahaan dan aktor yang berasal dari luar perusahaan. Motif pelaku dalam melakukan ancaman dibagi menjadi 2, yaitu: ancaman yang dilakukan dengan sengaja dan ancaman yang dilakukan dengan tidak sengaja. Dari motif pelaku tersebut, mengakibatkan kemungkinan terjadinya penyingkapan, modifikasi, penghancuran dan gangguan. Tindakan aktor yang menyebabkan ancaman melalui akses jaringan dilihat dari 2 sisi, yait u: tindakan ancaman yang dilakukan secara sengaja maupun tidak sengaja. Dan tindakan ancaman aktor yang ada didalam perusahaan yang dilakukan secara tidak sengaja ialah kelalaian karyawan dalam mengentri data dan tindakan karyawan yang tidak melakukan log out pada sistem sehingga dapat diakses oleh karyawan lain. Tindakan yang tidak sengaja dilakukan oleh aktor didalam perusahaan dikategorikan sebagai ancaman yang rendah karena ancaman masih dapat diatasi oleh staf TI. Sedangkan, tindakan aktor dalam perusahaan yang dilakukan dengan sengaja ialah mengakses informasi yang bukan merupakan hak akses miliknya. Dan tindakan ini dikategorikan sebagai ancaman yang sedang karena akan menyebabkan error pada menu lain, nam un masih dapat diatasi dengan baik oleh staf TI perusahaan. Tindakan ancaman pihak luar perusahaan yang dilakukan secara tidak sengaja ialah adanya virus yang disebarkan sehingga menyerang server perusahaan. Tindakan

108 yang tidak sengaja dilakukan oleh pihak diluar perusahaan dikategorikan sebagai ancaman yang cukup tinggi karena dapat mengganggu kemanan data pada server. Sedangkan, tindakan ancaman pihak luar perusahaan yang dilakukan secara sengaja ialah pencurian data yang dilakukan oleh competitor untuk dapat memperoleh data yang bersifat rahasia dan merusak sistem jaringan perusahaan melalui hacking. Tindakan yang secara sengaja dilakukan oleh pihak diluar perusahaan dikategorikan sebagai ancaman yang juga cukup tinggi karena dapat mengganggu jalannya proses bisnis perusahaan. Tindakan aktor yang menyebabkan ancaman melalui akses fisik juga dilihat dari 2 sisi, yait u: tindakan ancaman yang dilakukan secara sengaja maupun tidak sengaja. Tindakan ancaman pihak dalam perusahaan yang dilakukan secara tidak sengaja ialah kelalaian karyawan yang tidak melakukan update antivirus secara rutin. Tindakan yang tidak sengaja dilakukan oleh pihak dalam perusahaan dikategorikan sebagai ancaman yang cukup tinggi karena dapat menyebabkan komputer mudah terserang virus dan mengalami kerusakan. Sedangkan, tindakan ancaman pihak dalam perusahaan yang dilakukan secara sengaja ialah karyawan yang melakukan pencurian terhadap hardware dan soft ware milik perusahaan. Tindakan yang secara sengaja dilakukan oleh pihak diluar perusahaan dikategorikan sebagai ancaman yang cukup tinggi karena perusahaan akan mengalami kerugian, baik secara materil maupun imateril. Tindakan ancaman pihak luar perusahaan yang dilakukan secara tidak sengaja ialah terjadinya banjir dilokasi perusahaan. Hal ini dikategorikan sebagai ancaman yang cukup tinggi karena menyebabkan gangguan jaringan dan kerusakan pada hardware

109 perusahaan. Sedangkan, tindakan ancaman pihak luar perusahaan yang dilakukan secara sengaja ialah pihak luar yang secara sengaja membocorkan informasi penting kepada perusahaan competitor lainnya. Tindakan yang secara sengaja dilakukan oleh pihak diluar perusahaan dikategorikan sebagai ancaman yang cukup tinggi karena informasi perusahaan menjadi tidak rahasia lagi. 4.4 Infrastruktur yang berhubungan dengan Aset Kritis Sistem dan komponen yang berkaitan dengan aset kritikal perusahaan (bosnet) yaitu PC, laptop, PDA, jaringan dan database server. PC, laptop dan PDA sangat berkaitan dengan bosnet karena untuk menjalankan sistem bosnet yang ada dalam perusahaan dibutuhkan perangkat keras tersebut. Jaringan juga sangat berkaitan dengan bosnet karena tanpa jaringan, sistem bosnet tidak dapat di akses. Selain itu, database juga sangat berkaitan dengan bosnet karena database merupakan tempat penyimpanan informasi-informasi atau data-data perusahaan yang di input ke dalam bosnet. Komponen-komponen yang merupakan bagian dari system of interest PT Esham Dima Mandiri yaitu server, jaringan internal, jaringan eksternal, on-site workstation. Komponen-komponen yang digunakan untuk mengirim data-data atau informasi perusahaan kepada karyawan, yait u: jaringan internal dan jaringan eksternal.

110 4.5 Hasil Identifikasi dan Analisa Risiko 4.5.1 Hasil Evaluasi Dampak Ancaman a. Dampak ancaman pada asset kritikal (bosnet) melalui akses jaringan yang dilakukan oleh pihak dalam perusahaan secara tidak sengaja. - Dampak terhadap reputasi bernilai sedang untuk penyingkapan, modifikasi, gangguan dan penghancuran. - Dampak terhadap keuangan bernilai sedang untuk penyingkapan, modifikasi, gangguan dan bernilai tinggi untuk penghancuran. - Dampak terhadap produktivitas bernilai rendah untuk penghancuran, bernilai sedang unt uk penyingkapan, modifikasi dan bernilai tinggi unt uk gangguan. - Dampak terhadap denda bernilai sedang unt uk penyingkapan, modifikasi, penghancuran, dan gangguan. - Dampak terhadap keamanan bernilai rendah untuk penyingkapan, modifikasi, penghancuran dan gangguan. b. Dampak ancaman pada asset kritikal (bosnet) melalui akses jaringan yang dilakukan oleh pihak dalam perusahaan secara sengaja. - Dampak terhadap reputasi bernilai sedang untuk penyingkapan, modifikasi, penghancuran dan gangguan. - Dampak terhadap keuangan bernilai sedang untuk penyingkapan, gangguan dan bernilai tinggi untuk modifikasi, penghancuran.

111 - Dampak terhadap produktivitas bernilai sedang untuk penyingkapan dan modifikasi dan bernilai tinggi unt uk gangguan dan penghancuran. - Dampak terhadap denda bernilai sedang unt uk penyingkapan, modifikasi, penghancuran dan gangguan. - Dampak terhadap keamanan bernilai rendah untuk penyingkapan, modifikasi, penghancuran dan bernilai sedang untuk gangguan. c. Dampak ancaman pada asset kritikal (bosnet) melalui akses jaringan yang dilakukan oleh pihak luar perusahaan secara tidak sengaja - Dampak terhadap reputasi bernilai rendah unt uk penghancuran, gangguan dan bernilai sedang untuk penyingkapan, modifikasi. - Dampak terhadap keuangan bernilai tinggi unt uk penyingkapan, penghancuran, gangguan dan bernilai sedang untuk modifikasi. - Dampak terhadap produktivitas bernilai sedang untuk penyingkapan, modifikasi dan bernilai tinggi untuk penghancuran, gangguan. - Dampak terhadap denda bernilai sedang unt uk penyingkapan, modifikasi, penghancuran dan gangguan. - Dampak terhadap keamanan bernilai rendah untuk penyingkapan, modifikasi, dan penghancuran dan bernilai sedang untuk gangguan.

112 d. Dampak ancaman pada asset kritikal (bosnet melalui akses jaringan yang dilakukan oleh pihak luar perusahaan secara sengaja - Dampak terhadap reputasi bernilai rendah untuk penyingkapan dan bernilai sedang unt uk modifikasi, penghancuran, gangguan. - Dampak terhadap keuangan bernilai tinggi untuk penyingkapan, modifikasi, penghancuran dan bernilai sedang untuk gangguan. - Dampak terhadap produktivitas bernilai sedang untuk penyingkapan dan bernilai tinggi untuk modifikasi, penghancuran, gangguan. - Dampak terhadap denda bernilai sedang unt uk penyingkapan, modifikasi, gangguan dan bernilai tinggi untuk penghancuran. - Dampak terhadap keamanan bernilai sedang untuk penyingkapan, modifikasi, gangguan dan bernilai rendah unt uk penghancuran. e. Dampak ancaman pada asset kritikal (bosnet) melalui akses fisik yang dilakukan oleh pihak dalam perusahaan secara tidak sengaja - Dampak terhadap reputasi bernilai rendah untuk penyingkapan, modifikasi, penghancuran dan gangguan. - Dampak terhadap keuangan bernilai sedang untuk penyingkapan, modifikasi, gangguan bernilai tinggi unt uk penghancuran. - Dampak terhadap produktivitas bernilai sedang untuk penyingkapan, modifikasi dan bernilai tinggi untuk penghancuran, gangguan.

113 - Dampak terhadap denda bernilai sedang unt uk penyingkapan, modifikasi, penghancuran dan gangguan. - Dampak terhadap keamanan bernilai sedang untuk penyingkapan, modifikasi dan bernilai rendah unt uk penghancuran dan gangguan. f. Dampak ancaman pada asset kritikal (bosnet) melalui akses fisik yang dilakukan oleh pihak dalam perusahaan secara sengaja - Dampak terhadap reputasi bernilai sedang untuk penyingkapan, modifikasi, penghancuran dan gangguan. - Dampak terhadap keuangan bernilai sedang untuk penyingkapan, penghancuran dan bernilai tinggi untuk modifikasi, gangguan. - Dampak terhadap produktivitas bernilai sedang unt uk modifikasi, penghancuran dan bernilai tinggi untuk penyingkapan, gangguan. - Dampak terhadap denda bernilai sedang unt uk penyingkapan, modifikasi, penghancuran dan gangguan. - Dampak terhadap keamanan bernilai rendah unt uk modifikasi, penghancuran dan bernilai sedang untuk penyingkapan, gangguan. g. Dampak ancaman pada asset kritikal (bosnet) melalui akses fisik yang dilakukan oleh pihak luar perusahaan secara tidak sengaja - Dampak terhadap reputasi bernilai sedang untuk penyingkapan, gangguan dan bernilai rendah unt uk modifikasi, penghancuran.

114 - Dampak terhadap keuangan bernilai sedang untuk penyingkapan, modifikasi dan bernilai tinggi untuk penghancuran, gangguan. - Dampak terhadap produktivitas bernilai sedang untuk penyingkapan, modifikasi dan bernilai tinggi untuk penghancuran, gangguan. - Dampak terhadap denda bernilai sedang unt uk penyingkapan, modifikasi, penghancuran dan gangguan. - Dampak terhadap keamanan bernilai rendah untuk penyingkapan, modifikasi, penghancuran dan gangguan. h. Dampak ancaman pada asset kritikal (bosnet) melalui akses fisik yang dilakukan oleh pihak luar perusahaan secara sengaja - Dampak terhadap reputasi bernilai rendah unt uk penyingkapan, modifikasi dan bernilai sedang untuk penghancuran, gangguan. - Dampak terhadap keuangan bernilai sedang untuk penyingkapan, modifikasi, penghancuran dan gangguan. - Dampak terhadap produktivitas bernilai sedang unt uk penyingkapan, modifikasi dan bernilai tinggi untuk penghancuran, gangguan. - Dampak terhadap denda bernilai sedang unt uk penyingkapan, modifikasi, penghancuran dan gangguan. - Dampak terhadap keamanan bernilai rendah untuk penyingkapan, modifikasi, penghancuran dan gangguan.

115 4.5.2 Kriteria Kemungkinan Frekuensi terjadinya ancaman pada perusahaan masih tergolong sedang karena ancaman yang terjadi masih dibawah empat kali dalam setahun. Saat ini, ancamanancaman yang terjadi pada perusahaan masih dapat diatasi oleh pihak dalam perusahaan. Pengukuran ini berlaku untuk semua ancaman pada aset penting, baik yang disengaja maupun yang tidak sengaja. 4.5.3 Peluang dari Ancaman a. Peluang terjadinya ancaman yang secara tidak sengaja disebabkan oleh pihak dalam perusahaan melalui akses jaringan. Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan penyingkapan tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan modifikasi tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan penghancuran tergolong rendah dengan tingkat keyakinan sedang. Dan besarnya motif pihak dalam perusahaan yang secara tidak sengaja menyebabkan gangguan tergolong rendah dengan tingkat keyakinan sedang. b. Peluang terjadinya ancaman yang secara sengaja disebabkan oleh pihak dalam perusahaan melalui akses jaringan. Besarnya motif pihak dalam perusahaan yang secara sengaja melakukan penyingkapan tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak

116 dalam perusahaan yang secara sengaja melakukan modifikasi tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara sengaja melakukan penghancuran tergolong rendah dengan tingkat keyakinan sedang. Dan besarnya motif pihak dalam perusahaan yang secara sengaja menyebabkan gangguan tergolong tinggi dengan tingkat keyakinan tinggi. c. Peluang terjadinya ancaman yang secara tidak sengaja disebabkan oleh pihak luar perusahaan melalui akses jaringan. Besarnya motif pihak luar perusahaan yang secara tidak sengaja melakukan penyingkapan tergolong rendah dengan tingkat keyakinan sedang. Besarnya motif pihak luar perusahaan yang secara tidak sengaja melakukan modifikasi tergolong rendah dengan tingkat keyakinan sedang. Besarnya motif pihak luar perusahaan yang secara tidak sengaja melakukan penghancuran tergolong sedang dengan tingkat keyakinan sedang. Dan besarnya motif pihak dalam perusahaan yang secara tidak sengaja menyebabkan gangguan tergolong sedang dengan tingkat keyakinan sedang. d. Peluang terjadinya ancaman yang secara sengaja disebabkan oleh pihak luar perusahaan melalui akses jaringan. Besarnya motif pihak luar perusahaan yang secara sengaja melakukan penyingkapan tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak luar perusahaan yang secara sengaja melakukan modifikasi tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak luar perusahaan yang secara sengaja melakukan penghancuran tergolong tinggi dengan tingkat keyakinan tinggi. Dan

117 besarnya motif pihak luar perusahaan yang secara sengaja menyebabkan gangguan tergolong tinggi dengan tingkat keyakinan tinggi. e. Peluang terjadinya ancaman yang secara tidak sengaja disebabkan oleh pihak dalam perusahaan melalui akses fisik. Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan penyingkapan melalui akses fisik tergolong rendah dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan modifikasi tergolong rendah dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan penghancuran tergolong rendah dengan tingkat keyakinan sedang. Dan besarnya motif pihak dalam perusahaan yang secara tidak sengaja menyebabkan gangguan tergolong rendah dengan tingkat keyakinan sedang. f. Peluang terjadinya ancaman yang secara sengaja disebabkan oleh pihak dalam perusahaan melalui akses fisik. Besarnya motif pihak dalam perusahaan yang secara sengaja melakukan penyingkapan melalui akses fisik tergolong tinggi dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara sengaja melakukan modifikasi tergolong tinggi dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara sengaja melakukan penghancuran tergolong sedang dengan tingkat keyakinan sedang. Dan besarnya motif pihak dalam perusahaan yang secara sengaja menyebabkan gangguan tergolong tinggi dengan tingkat keyakinan tinggi.

118 g. Peluang terjadinya ancaman yang secara sengaja disebabkan oleh pihak luar perusahaan melalui akses fisik. Besarnya motif pihak luar perusahaan yang secara sengaja melakukan penyingkapan melalui akses fisk tergolong tinggi dengan tingkat keyakinan tinggi. Besarnya motif pihak luar perusahaan yang secara sengaja melakukan modifikasi tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak luar perusahaan yang secara sengaja melakukan penghancuran tergolong tinggi dengan tingkat keyakinan sedang. Dan besarnya motif pihak luar perusahaan yang secara sengaja menyebabkan gangguan tergolong tinggi dengan tingkat keyakinan tinggi. 4.6 Strategi Perlindungan dan Rencana Mitigasi 4.6.1 Strategi Perlindungan Dari penelitian yang dilakukan pada PT Esham Dima Mandiri dengan menggunakan pendekatan OCTAVE, ditemukan beberapa risiko dari penerapan teknologi informasi yang berkaitan dengan praktek keamanan yang ada pada perusahaan. Risiko-risiko yang ditemukan berfokus pada kesadaran keamanan dan pelatihan, manajemen keamanan, serta pemantauan dan audit akses fisik. Strategi perlindungan yang akan direncanakan dalam perusahaan, yait u: 1. Kesadaran Keamanan dan Pelatihan Saat ini perusahaan masih memiliki strategi pelatihan yang bersifat informal dan tidak didokumentasikan. Pelatihan atas kesadaran keamanan hanya diberikan unt uk

119 karyawan baru selama masa pelatihan, sehingga pelatihan mengenai kesadaran keamanan hanya diadakan pada periodik tertentu. Perusahaan tidak mengadakan pelatihan khusus untuk divisi TI dalam mengatasi masalah-masalah yang berkaitan dengan kesadaran keamanan teknologi informasi yang terjadi di perusahaan. 2. Manajemen Keamanan Saat ini perusahaan belum melakukan penilaian risiko terhadap keamanan informasi, dikarenakan perusahaan belum memiliki suatu divisi yang mengelola manajemen resiko secara khusus, apabila terjadi risiko maka divisi IT akan mengambil langkah-langkah yang tepat dalam mengurangi risiko keamanan informasi tersebut. Perusahaan tidak mempunyai mekanisme formal yang didokumentasikan berupa laporan mengenai pentingnya informasi yang berhubungan dengan keamanan yang disediakan untuk manager. 3. Pemantauan dan Audit Keamanan Fisik Saat ini perusahaan telah memiliki catatan pemeliharaan sebagai dokumen perbaikan dan modifikasi dari komponen fasilitas fisik, hanya saja saat ini perusahaan belum melakukan tindakan pemantauan dan pemeriksaan secara rutin pada akses fisik TI dan catatan pemeliharaan tersebut. Pemantauan akses fisik TI tersebut tidak memiliki prosedur dan pengesahaan yang didokumentasi secara formal. Selain itu, tidak adanya pemberitahuan yang diberikan kepada karyawan untuk memantau akses fisik ke lokasi dan bangunan, tempat kerja, hardware, soft ware dan media, sehingga menyebabkan

120 karyawan tidak dapat mempertanggung jawabkan tindakannya yang berkaitan dengan media yang dikontrol secara fisik. Dari hasil penelitian, dapat dijelaskan bahwa PT Esham Dima Mandiri memiliki tingkat keamanan yang masih kurang memadai yaitu sebesar 20%, dan yang cukup memadai sebesar 80%. Gambar 4.1 Diagram Presentase Status Spotlight Keterangan: Merah (20%) : Kurang Memadai Kuning (50%) : Cukup Memadai Hijau (0%) : Memadai

121 4.6.2 Pendekatan Mitigasi Berdasarkan kertas kerja profil risiko yang terdapat pada langkah OCTAVE. Ada pendekatan mitigasi yang dilakukan oleh perusahaan atas ancaman yang terjadi diperusahaan, baik ancaman yang bermotif sengaja maupun yang tidak disengaja pada pihak internal perusahaan dan pihak eksternal perusahaan melalui akses jaringan dan akses fisik. Perusahaan akan mengambil tindakan mitigasi risiko pada praktek keamanan melalui akses jaringan yang dilakukan oleh pihak dalam perusahaan. Kegiatan mitigasi berfokus pada dua aktifitas praktek keamanan, yaitu : (1) Kesadaran Keamanan dan pelatihan, (2) Manajemen Keamanan. Sedangkan untuk pihak luar, perusahaan belum melakukan mitigasi. Dan tindakan mitigasi risiko pada akses fisik yang diakibatkan oleh pihak dalam dan pihak luar perusahaan berfokus pada (3) Pemantauan dan audit keamanan fisik. 4.6.3 Rencana Mitigasi Risiko 1. Rencana mitigasi risiko yang berkaitan dengan kesadaran keamanan dan pelatihan untuk praktek keamanan, meliputi: a. Disediakan pelatihan-pelatihan yang berkaitan dengan kesadaran kemanan kepada seluruh karyawan, sehingga pelatihan tidak hanya diadakan untuk karyawan baru saja, tetapi juga diadakan secara rutin.

122 b. Diadakannya pelatihan pendukung TI secara rutin pada staf TI, hal tersebut dikarenakan teknologi informasi yang selalu berkem bang sehingga perlu adanya pelatihan pendukung dalam karyawan TI agar penerapan TI perusahaan menjadi lebih baik lagi. c. Adanya pembaharuan dan pengembangan terhadap sistem keamanan secara periodik, hal tersebut dilakukan unt uk memastikan bahwa keamanan data perusahaan terjamin setiap saat. 2. Rencana mitigasi risiko yang berkaitan dengan manajemen keamanan unt uk praktek keamanan, meliputi: a. Dibent uknya suatu divisi manajemen risiko serta melakukan penilaian risiko terhadap keamanan teknologi informasi perusahaan. b. Adanya laporan yang didokumentasi dari hasil evaluasi penilaian risiko yang berkaitan dengan aktivitas keamanan. 3. Rencana mitigasi risiko yang berkaitan dengan pemantauan dan audit keamanan fisik unt uk praktek keamanan, meliputi: a. Adanya prosedur dan pengesahan yang didokumentasi secara formal dan rutin untuk memantau akses fisik ke lokasi dan bangunan, tempat kerja, hardware, software dan media. Hal tersebut dilakukan agar aset-aset penting perusahaan akan lebih terjaga. b. Adanya pemberitahuan khusus unt uk karyawan dalam melakukan pemantauan akses fisik ke lokasi dan bangunan, tempat kerja, hardware, software dan media.

123 Hal tersebut dilakukan agar karyawan akan dapat lebih mempertanggung jawabkan tindakannya yang berkaitan dengan akses fisik perusahaan. 4.6.4 Perubahan Strategi Perlindungan 1. Perubahan strategi perlindungan yang berkaitan dengan kesadaran keamanan dan pelatihan untuk praktek keamanan, meliputi : a. Mendatangkan tenaga ahli training dengan t ujuan meningkatkan mut u dari pelatihan kesadaran dan keamanan. b. Adanya dukungan yang diberikan kepada staf TI dengan mengijinkan staf TI mengikuti setiap pelatihan yang berm utu untuk keberlangsungan perusahaan. c. Mendokumentasikan setiap pembaharuan secara rutin dan memberikan laporan untuk setiap pengembangan sistem yang akan dilakukan diperusahaan. 2. Perubahan strategi perlindungan yang berkaitan dengan manajemen keamanan untuk praktek keamanan, meliputi : a. Melakukan penilaian risiko dilakukan secara rutin. b. Dilakukan peninjauan kembali terhadap hasil laporan dari penilaian risiko. 3. Perubahan strategi perlindungan yang berkaitan dengan pemantauan dan audit keamanan fisik untuk praktek keamanan, meliputi :

124 a. Setiap karyawan memiliki kesadaran dalam memantau akses fisik ke lokasi dan bangunan, tempat kerja, hardware, soft ware dan media sehingga prosedur yang ditetapkan akan lebih optimal. b. Mendatangkan tenaga ahli training dengan tujuan meningkatkan mutu. 4.6.5 Perbandingan dengan Penelitian Sebelumnya Agar penelitian lebih kompeten, maka penulis melakukan studi banding terhadap perusahaan yang bergerak dalam bidang distribusi elektronik yang juga menggunakan pendekatan OCTAVE, Adapun risiko-risiko yang ditemukan pada perusahaan PT KDK Indonesia, yait u: 1. Kesadaran Keamanan dan Pelatihan Pada PT KDK Indonesia menunjukkan bahwa kesadaran perusahaan terhadap keamanan dan pelatihan masih kurang baik. Hal tersebut dilihat pada kurangnya kesadaran akan pelatihan karyawan secara berkala. Meskipun para karyawan telah memahami peran keamanan dan tanggung jawab namun mereka tidak terlalu memperhatikan dan mengimplementasikan keamanan tersebut sehingga risiko mungkin akan terjadi sekalipun sistem yang ada diperusahaan dipelihara dengan baik oleh pihak TI. 2. Strategi Keamanan Dalam menjalankan strategi bisnis, perusahaan PT KDK Indonesia selalu mempertimbangkan segi keamanan, segi bisnis dan t ujuan perusahaan. Strategi

125 keamanan didokumentasikan dan dikaji secara rutin, diperbaharui dan dikom unikasikan oleh manajemen kepada seluruh staff. Hanya saja, strategi keamanan yang telah diterapkan, perusahaan belum mempertimbangkan dampak risiko yang akan terjadi dari segi keamanan. 3. Rencana Contingency PT KDK Indonesia dalam melakukan analisa dari operasional, aplikasi-aplikasi dan data penting masih kurang baik. Dan dalam melakukan dokumentasi, peninjauan kembali dan pengujian terhadap kontinuitas bisnis atau rencana operasi darurat, pemulihan bencana, dan kemungkinan rencana unt uk menanggapi keadaan darurat sudah dilakukan oleh perusahaan di dalam mempertimbangkan kebutuhan akses serta kontrol elektronik. Hanya saja kesadaran dan pemahaman karyawan akan rencana kemungkinan pemulihan bencana masih kurang, yang mengakibatkan karyawan belum dapat menjalankan tanggung jawab mereka dalam menghadapi kem ungkinan pem ulihan bencana. Dan saat ini, PT KDK Indonesia juga memiliki rencana cadangan nam un belum pernah dilakukan pengujiannya, sehingga perusahaan tidak tahu apakah rencana cadangan tersebut efektif untuk memulihkan bencana. 4. Manajemen Kerentanan PT KDK Indonesia belum memiliki dokumentasi prosedur kerentanan, seperti: memilih alat evaluasi kerentanan, meninjau sumber informasi tentang kerentanan peringatan keamanan, dan mengidentifikasi komponen infrastruktur unt uk dievaluasi, serta mengelola tempat penyimpanan dan menjaga kerentanan data. Serta belum adanya

126 penilaian terhadap kerentanan keamanan teknologi yang dilakukan secara periodik dan menerapkan adanya perbaikan terhadap alat-alat yang diperlukan untuk pencegahan risiko teknologi informasi. 5. Enkripsi Perusahaan tidak memiliki kontrol terhadap keamanan informasi yang sensitif selama dalam penyimpanan dan transmisi. Serta tidak memakai protokol enkripsi secara baik atau optimal unt uk mengelola sistem, router dan firewall. 4.6.6 Hasil Perbandingan Dari hasil pengukuran risiko terhadap dua perusahaan yang sama-sama bergerak dalam bidang distributor, maka dapat dikatakan bahwa masing-masing perusahaan memiliki tingkat dan jenis risiko yang berbeda-beda. Hal tersebut dikarenakan kondisi dari masing-masing perusahaan berbeda dan kebutuhan akan penerapan teknologi informasi yang juga berbeda.

127 4.6.7 Identifikasi Langkah Selanjutnya Dalam mendukung pelaksanaan hasil pengukuran risiko teknologi informasi OCTAVE, maka ada beberapa hal yang menjadi pertimbangan perusahaan, dimana Manajemen perusahaan har us membuat suat u strategi bisnis sebagai prioritas bagi keamanan perusahaan dan melakukan evaluasi secara berkala agar dapat disusun rencana stategi untuk penangulangan risiko. Serta perusahaan dapat mempertimbangan apakah metode OCTAVE merupakan metode terbaik dalam melakukan pengukuran risiko guna menjaga asset-aset perusahaan.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan