L1 Langkah langkah FRAP Daftar Risiko Risk Risiko Tipe Prioritas Awal # 1 Kerusakan Database dikarenakan kegagalan INT B hardware 2 Staff internal sengaja memodifikasi data untuk INT C keuntungan kelompok 3 Kerusakan Aplikasi INT B 4 Menggunakan data yang sudah tidak terpakai (out-ofdate) INT B 5 Kesalahan entry data INT B 6 Modifikasi data akibat serangan virus INT C 7 Dokumentasi mengenai klasifikasi informasi tidak INT B lengkap 8 Kurangnya staff dibidang IT INT C 9 Mencuri informasi dari perusahaan CON B 10 PC tidak diproteksi CON C 11 Format password mudah diketahui CON C 12 Penyalahgunaan wewenang staff TI yang memiliki CON B hak keamanan tinggi. 13 Penyalahgunaan user ID dan password CON C 14 Ketertinggalan teknologi mempengaruhi kualitas CON C pelayanan 15 Kerusakan hardware AVA B 16 Layanan internet lambat AVA C 17 Pencurian Hardware AVA B 18 Error pada program AVA C 19 Ketidaktersediaan dokumen DRP dalam perusahaan AVA B 20 SDM yang tidak terlatih dalam menggunakan AVA B
L2 teknologi informasi Daftar Kontrol No. Pengendalian Pengendalian 1. Backup Melaksanakan backup atas setiap data-data yang dimiliki perusahaan atau menyimpan data tidak hanya di satu tempat dan media saja. 2. Restore Melaksanakan restore sehingga informasi dapat diperoleh kembali dengan menggunakan cara backup data. 3. Access Control Mencegah akses yang tidak sah terhadap informasi mencakup kemampuan untuk mendeteksi, dan melaporkan percobaan terhadap keamanan informasi untuk membatasi akses ke petugas yang berwenang. 4. Application Merancang dan menerapkan pengendalian aplikasiuntuk Control memastikan integritas, kerahasiaan, dan ketersediaan informasi. 5. Anti-virus Memasang Anti-virus pada setiap unit computer dan memastikan bahwa anti-virus tersebut selalu ter-update secara otomatis. 6. Policy Mengembangkan kebijakan dan prosedur untuk membatasi hak akses atau memberi hak akses khusus pada pihak tertentu. 7. Training Memberikan pelatihan mengenai penggunaan aplikasi dan penetuan akan aplikasi mana yang tepat untuk digunakan. 8. Penggantian Hardware Mengganti hardware yang sudah tidak terpakai atau yang mengalami kerusakan. 9. Maintenance Melaksanakan pemeliharaan hardware, software secara berkala. 10. Physical Security Melakukan perlindugan secara fisik terhadap hardware yang ada dalam upaya menunjang kinerja system.
L3 11. Management Support 12. Asset Classification Memberikan panduan bagi staff bagian operasional dalam mengimplementasikan system dan teknologi yang dipakai dalam perusahaan dan memastikan pertukaran data menggunakan aplikasi yang dipakai berjalan dengan baik dan aman. Asset yang dikaji akan diklasifikasikan dengan menggunakan kebijakan perusahaan, standar, dan prosedur dari klasifikasi asset / Melakukan pemisahan antara data yang terpakai dan tidak. 13. Proprietary Kepemilikan Kontrol. 14. Pemeliharaan Database Melakukan pengecekan rutin terhadap keberadaan database agar database yang ada dapat terus dipakai untuk menghasilkan informasi yang diperlukan. 15. Update Melakukan update aplikasi, program, data atau informasi secara berkala. 16. Change Management 17. Acceptance testing Karyawan akan mematuhi proses perubahan manajemen yang dirancang untuk membantu proses bisnis dan memberikan tindakan pengendalian atas kemungkinan risiko yang akan terjadi di kemudian. Mengembangkan prosedur pengujian yang harus diikuti selama pengembangan aplikasi dan modifikasi aplikasi. 18. Verifikasi Melakukan pengecekan ulang tentang kebenaran suatu informasi. 19. Recovery Plan Melakukan pemulihan atas kerusakan yang terjadi baik terhadap hardware, software, ataupun data. 20. Disaster Recovery Plan 21. Modify Authorization Rencana dari kemungkinan kerusakan yang berdampak pada kemampuan proses komputer dan operasi bisnis perusahaan. Dalam mengupdate / memodifikasi data data sensitif diperlukan surat perintah dari atasan.
L4 Prioritasi Risiko : Existing Control Risk Risiko Tipe Prioritas Control # Awal 1 Kerusakan Database dikarenakan INT B 1, 2, 9 kegagalan hardware 2 Staff internal sengaja memodifikasi data INT C 3, 4 untuk keuntungan kelompok 3 Kerusakan Aplikasi INT B 5 4 Menggunakan data yang sudah tidak INT B 4, 12 terpakai (out-of-date) 5 Kesalahan entry data INT B 7 6 Modifikasi data akibat serangan virus INT C 5, 6 7 Dokumentasi mengenai kualifikasi INT B 7, 11 informasi tidak lengkap 8 Kurangnya staff dibidang IT INT C 7 9 Mencuri informasi dari perusahaan CON B 3, 6 10 PC tidak diproteksi CON C 1, 2, 3, 6 11 Format password mudah diketahui CON C 6, 13 12 Penyalahgunaan wewenang staff TI CON B 3, 6 yang memiliki hak keamanan tinggi. 13 Penyalahgunaan user ID dan password CON C 3, 6 14 Ketertinggalan teknologi mempengaruhi CON C 11 kualitas pelayanan 15 Kerusakan hardware AVA B 1, 2, 9 16 Layanan internet lambat AVA C 6 17 Pencurian Hardware AVA B 8,10 18 Error pada program AVA C 5, 9, 11 19 Ketidaktersediaan dokumen DRP dalam AVA B 1,2 perusahaan 20 SDM yang tidak terlatih dalam AVA B 7
L5 menggunakan teknologi informasi Prioritasi Risiko : Suggest Control Risk Risiko Tipe Prioritas Control # 1 Kerusakan Database dikarenakan INT C 14, 15, 19 kegagalan hardware 2 Staff internal sengaja memodifikasi data INT D 6, 21 untuk keuntungan kelompok 3 Kerusakan Aplikasi INT C 4, 9, 15 4 Menggunakan data yang sudah tidak INT C 15, 16 terpakai (out-of-date) 5 Kesalahan entry data INT C 4, 18 6 Modifikasi data akibat serangan virus INT D 1, 2, 19 7 Dokumentasi mengenai kualifikasi INT C 4, 12 informasi tidak lengkap 8 Kurangnya staff dibidang IT INT D 11 9 Mencuri informasi dari perusahaan CON C 4 10 PC tidak diproteksi CON D 10, 13 11 Format password mudah diketahui CON D 4, 15,16 12 Penyalahgunaan wewenang staff TI CON C 4, 16 yang memiliki hak keamanan tinggi. 13 Penyalahgunaan user ID dan password CON D 4, 13 14 Ketertinggalan teknologi mempengaruhi CON D 15 kualitas pelayanan 15 Kerusakan hardware AVA C 7, 8, 10 16 Layanan internet lambat AVA D 11 17 Pencurian Hardware AVA C 1, 11 18 Error pada program AVA D 15, 17 19 Ketidaktersediaan dokumen DRP dalam AVA C 20
L6 perusahaan 20 SDM yang tidak terlatih dalam menggunakan teknologi informasi AVA C 1, 17
L7 Control/Risk Cross-Reference Sheet Kontrol Kontrol Risiko Risiko Tipe Prioritas Melaksanakan backup atas setiap data-data 1 Kerusakan Database dikarenakan kegagalan hardware INT B yang dimiliki perusahaan atau menyimpan data tidak hanya di satu tempat dan media saja. 15 Kerusakan hardware AVA B Pencurian Backup 17 Hardware AVA B Ketidaktersediaan dokumen DRP 19 dalam perusahaan AVA B 20 SDM yang tidak AVA B terlatih dalam menggunakan teknologi informasi Kontrol Kontrol Risiko Risiko Tipe Prioritas Restore Melaksanakan restore sehingga informasi dapat diperoleh kembali dengan menggunakan cara backup data. 1 Kerusakan Database dikarenakan kegagalan hardware INT B 15 Kerusakan AVA B
L8 19 hardware Ketidaktersediaan dokumen DRP dalam perusahaan AVA B Kontrol Kontrol Risiko Risiko Tipe Prioritas -Mencegah akses yang tidak sah terhadap 9 Mencuri CON B Akses Kontrol informasi mencangkup kemampuan untuk mendeteksi,dan melaporkan percobaan terhadap keamanan informasi untuk membatasi akses ke petugas yang berwenang. informasi dari perusahaan - Keamanan fisik dapat terjamin 12 Penyalahgunaan wewenang staff TI yang memiliki hak keamanan tinggi. CON B Kontrol Kontrol Risiko Risiko Tipe Prioritas Application Merancang dan menerapkan pengendalian 3 Kerusakan INT B Control aplikasiuntuk memastikan integritas, kerahasiaan, dan ketersediaan informasi. Aplikasi 4 Menggunakan INT B
L9 data yang sudah tidak terpakai (out-of-date) 5 Kesalahan entry data 7 Dokumentasi mengenai kualifikasi informasi tidak lengkap 9 Mencuri informasi dari perusahaan 12 Penyalahgunaan wewenang staff TI yang memiliki hak keamanan tinggi. INT INT CON CON B B B B
L10 Kontrol Kontrol Risiko Memasang Anti-virus pada setiap unit computer dan memastikan bahwa anti-virus tersebut selalu Anti Virus ter-update secara otomatis. 3 Risiko Tipe Prioritas Kerusakan Aplikasi INT B Kontrol Kontrol Risiko Risiko Tipe Prioritas Policy Mengembangkan kebijakan dan prosedur untuk membatasi hak akses atau memberi hak akses khusus pada pihak tertentu. 9 Mencuri informasi dari perusahaan CON B 12 Penyalahgunaan CON B wewenang staff TI yang memiliki hak keamanan tinggi. Kontrol Kontrol Risiko Training Memberikan pelatihan mengenai penggunaan aplikasi dan penetuan akan aplikasi mana yang tepat untuk digunakan. 5 7 Risiko Tipe Prioritas Kesalahan entry data INT B Dokumentasi mengenai kualifikasi informasi INT B
L11 15 20 tidak lengkap Kerusakan hardware AVA B SDM yang tidak terlatih dalam menggunakan teknologi informasi AVA B Kontrol Kontrol Risiko Risiko Tipe Prioritas 15 Kerusakan AVA B Pergantian Mengganti hardware yang sudah tidak terpakai Hardware atau yang mengalami kerusakan. hardware 17 Pencurian AVA B Hardware
L12 Kontrol Kontrol Risiko Risiko Tipe Prioritas 1 Kerusakan INT B Maintenance Melaksanakan pemeliharaan hardware, software secara berkala. Database dikarenakan kegagalan hardware 3 Kerusakan 15 Aplikasi INT B Kerusakan hardware AVA B Kontrol Kontrol Risiko Risiko Tipe Prioritas Physical Kerusakan Melakukan perlindugan secara fisik terhadap 15 hardware AVA B Security hardware yang ada dalam upaya menunjang 17 Pencurian AVA B kinerja system. Hardware
L13 Kontrol Kontrol Risiko Risiko Tipe Prioritas 7 Dokumentasi INT B Memberikan panduan bagi staff bagian mengenai operasional dalam mengimplementasikan system dan teknologi yang dipakai dalam perusahaan kualifikasi informasi dan memastikan pertukaran data menggunakan tidak lengkap Management aplikasi yang dipakai berjalan dengan baik dan 17 Pencurian Support aman. Hardware AVA B Kontrol Kontrol Risiko Risiko Tipe Prioritas Klasifikasi aset Asset yang dikaji akan diklasifikasikan dengan menggunakan kebijakan perusahaan, standar, dan prosedur dari klasifikasi asset / Melakukan pemisahan antara data yang terpakai dan tidak. 4 Kesalahan penggunaan data yang sudah tidak terpakai (outof-date) INT B 7 Dokumentasi INT B mengenai kualifikasi
L14 informasi tidak lengkap Kontrol Kontrol Risiko Risiko Tipe Prioritas 1 Kerusakan INT B Pemeliharaan Database Melakukan pengecekan rutin terhadap keberadaan database agar database Database dikarenakan kegagalan hardware Kontrol Kontrol Risiko Risiko Tipe Prioritas 1 Kerusakan INT B Update Melakukan update aplikasi, program, data atau informasi secara berkala. Database dikarenakan kegagalan hardware 3 Kerusakan Aplikasi INT B
L15 4 Menggunakan data yang sudah tidak terpakai INT B Kontrol Kontrol Risiko Risiko Tipe Prioritas Karyawan akan mematuhi proses perubahan manajemen yang dirancang untuk membantu 4 Menggunakan data yang sudah INT B proses bisnis dan memberikan tindakan tidak terpakai pengendalian atas kemungkinan risiko yang akan (out-of-date) Change terjadi di kemudian. Management 12 Penyalahgunaan wewenang staff TI yang memiliki hak keamanan tinggi. CON B
L16 Kontrol Kontrol Risiko Risiko Tipe Prioritas Acceptance Testing Mengembangkan prosedur pengujian yang harus diikuti selama pengembangan aplikasi dan modifikasi aplikasi. 20 SDM yang tidak terlatih dalam menggunakan teknologi informasi AVA B Kontrol Kontrol Risiko Risiko Tipe Prioritas Melakukan pengecekan ulang tentang kebenaran suatu informasi. 5 Kesalahan entry data INT B Verifikasi
L17 Kontrol Kontrol Risiko Risiko Tipe Prioritas 1 Kerusakan INT B Recovery Plan Melakukan pemulihan atas kerusakan yang terjadi baik terhadap hardware, software, ataupun data. Database dikarenakan kegagalan hardware Kontrol Kontrol Risiko Risiko Tipe Prioritas Disaster Recovery Plan Rencana dari kemungkinan kerusakan yang berdampak pada kemampuan proses komputer dan operasi bisnis perusahaan. 19 Ketidaktersediaan dokumen DRP dalam perusahaan AVA B
L18 Daftar Existing Control yang ada di Perusahaan No. Pengendalian Pengendalian 1. Backup Melaksanakan backup atas setiap data-data yang dimiliki perusahaan atau menyimpan data tidak hanya di satu tempat dan media saja. 2. Restore Melaksanakan restore sehingga informasi dapat diperoleh kembali dengan menggunakan cara backup data. 3. Access Control Mencegah akses yang tidak sah terhadap informasi mencakup kemampuan untuk mendeteksi, dan melaporkan percobaan terhadap keamanan informasi untuk membatasi akses ke petugas yang berwenang. 4. Application Control Merancang dan menerapkan pengendalian aplikasiuntuk memastikan integritas, kerahasiaan, dan ketersediaan informasi. 5. Anti-virus Memasang Anti-virus pada setiap unit computer dan memastikan bahwa anti-virus tersebut selalu ter-update secara otomatis. 6. Policy Mengembangkan kebijakan dan prosedur untuk membatasi hak akses atau memberi hak akses khusus pada pihak tertentu. 7. Training Memberikan pelatihan mengenai penggunaan aplikasi dan penetuan akan aplikasi mana yang tepat untuk digunakan.
L19 8. Penggantian Hardware Mengganti hardware yang sudah tidak terpakai atau yang mengalami kerusakan. 9. Maintenance Melaksanakan pemeliharaan hardware, software secara berkala. 10. Physical Security Melakukan perlindugan secara fisik terhadap hardware yang ada dalam upaya menunjang kinerja system. 11. Management Support 12. Asset Classification Memberikan panduan bagi staff bagian operasional dalam mengimplementasikan system dan teknologi yang dipakai dalam perusahaan dan memastikan pertukaran data menggunakan aplikasi yang dipakai berjalan dengan baik dan aman. Asset yang dikaji akan diklasifikasikan dengan menggunakan kebijakan perusahaan, standar, dan prosedur dari klasifikasi asset / Melakukan pemisahan antara data yang terpakai dan tidak. 13. Proprietary Kepemilikan Kontrol.
L20 Action Plan Risk # Risiko Tipe Prioritas Kontrol Aksi pemilik Oleh Kapan 1. Kerusakan Database dikarenakan INT B 14, 15, 19 -Melakukan pemeliharaan database dengan cara membackup database Bagian IT Maret 2013 kegagalan hardware setiap hari agar dapat dipulihkan (di restore) apabila terjadi kerusakan data. 2. Staff internal sengaja memodifikasi data untuk keuntungan kelompok INT C 3. Kerusakan Aplikasi INT B 4, 9, 15 Melakukan pemeliharaan terhadap aplikasi secara berkala serta menginstal ulang atau update aplikasi bila terjadi kerusakan aplikasi. Bag. IT April 2013
L21 4. Menggunakan data INT B 15, 16 Melakukan update data atau Bag. IT Maret yang sudah tidak informasi dan memisahkan data yang 2013 terpakai (out-of-date) sudah tidak terpakai secara berkala. 5. Kesalahan entry data INT B 4, 18 Melakukan verifikasi (pengecekan ulang oleh pihak yang memiliki hak akses untuk melakukan perubahan data) Supervisor Mei 2013 6. Modifikasi data akibat INT C serangan virus 7. Dokumentasi INT B 4, 12 Membuat klasifikasi informasi Bag. IT April mengenai klasifikasi informasi tidak dengan rinci misalnya dibuat kode untuk memudahkan proses entry data HRD 2013 lengkap 8. Kurangnya staff INT C dibidang IT 9. Mencuri informasi CON B 4 Menyimpan informasi sensitive Bag. IT Maret
L22 dari perusahaan diserver dengan menerapkan log in password. 10. PC tidak diproteksi CON C 11. Format password CON C mudah diketahui 12. Penyalahgunaan CON B 4, 16 Mengembangkan kebijakan wewenang staff TI keamanan dengan memberikan sanksi yang memiliki hak yang tegas terhadap pelanggaran yang keamanan tinggi. dilakukan atas penyalagunaan tanggung jawab. Bag. IT 2013 Maret 2013 13. Penyalahgunaan user ID dan password CON C HRD 14. 1 8. Ketertinggalan teknologi mempengaruhi kualitas pelayanan CON C
L23 15. 1 Kerusakan hardware AVA B 7, 8, 10 Melakukan pemeliharaan hardware Bagian IT Juni 9 secara berkala dan melakukan 2013. penggatian hardware yang sudah tidak berfungsi. 16. 2 0. 17. 2 1. Layanan internet lambat AVA C Pencurian Hardware AVA B 1,11 Meningkatkan pengawasan terhadap Manajemen keberadaan hardware dengan pemasangan cctv dan gembok. 18. Error pada program AVA C 19. Ketidaktersediaan dokumen DRP dalam perusahaan AVA B 20 Menerapkan perencanaan dalam menghadapi keadaan darurat yang berisi dokumentasi langkah-langkah untuk kembali beroperasi secepatnya saat keadaan darurat/rencana pemulihan secepatnya atas terjadinya kerusakan asset perusahaan. Bagian IT Maret 2013 Mei 2012 20. SDM yang tidak AVA B 1,17 Melakukan pelatihan tambahan Bagian IT April
L24 terlatih dalam menggunakan teknologi informasi kepada karyawan dalam penggunaan teknologi secara tepat untuk mendukung proses bisnis. 2013
L25 Daftar Pertanyaan Wawancara I. Kebijakan Keamanan 1. Apakah ada kebijakan keamanan di perusahaan? Jawab: Ada 2. Apakah kebijakan perusahaan membantu tujuan bisnis perusahaan? Jawab: Cukup 3. Apakah kebijakan perusahaan mengidentifikasi tanggung jawab perusahaan? Jawab: Baik 4. Apakah ada buku pedoman untuk keamanan informasi karyawan? Jawab: Cukup 5. Apakah buku pedoman perusahaan mencakup keseluruhan kebijakan? Jawab: Cukup II. Kesesuaian Organisasi 1. Apakah senior manajemen membantu program keamanan informasi? Jawab: Baik 2. Apakah program keamanan informasi memiliki pembiayaan sendiri?
L26 Jawab: Cukup 3. Apakah perusahaan memiliki cukup karyawan untuk mencapai tujuan bisnis? Jawab: Cukup 4. Apakah karyawan sadar terhadap tanggung jawab mereka dalam melindungi sumber daya informasi? Jawab: Baik 5. Apakah karyawan cukup terlatih dalam melakukan tugas mereka? Jawab: Cukup 6. Apakah kebijakan keamanan dan prosedur diuji secara rutin? Jawab: Kurang 7. Apakah metodologi pengembangan aplikasi telah diimplementasi? Jawab: Cukup III. Keamanan Fisik 1. Apakah adanya kebijakan keamanan di perusahaan? Jawab: Baik 2. Apakah akses terhadap fasilitas computer terkontrol? Jawab: Cukup
L27 3. Apakah keamanan system dan perangkat keras cukup memadai terhadap pencurian? Jawab: Kurang 4. Apakah analisis dampak bisnis telah dilakukan terhadap semua system? Jawab: Cukup 5. Apakah karyawan mengetahui tujuan dari kebijakan keamanan yang diterapkan perusahaan? Jawab: Baik 6. Apakah adanya dokumen DRP di perusahaan? Jawab: Tidak