BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Dalam pengukuran risiko yang dilakukan pada PT Informasi Komersial Bisnis, kami mengolah data berdasarkan wawancara kepada Bapak Thomas selaku manajer TI, para staf TI, dan wawancara persetujuan hasil riset kepada pimpinan manajemen senior. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis metode OCTAVE-S yang terdiri dari 3 tahap, yaitu: (1) membangun aset berbasis profil ancaman, (2) mengidentifikasi kerentanan infrastruktur, dan (3) mengembangkan strategi keamanan dan perencanaan. Dari ketiga tahap ini, dijabarkan menjadi lima proses yang terdiri dari 16 aktifitas dan 30 langkah. Lima proses tersebut, meliputi: (1) identifikasi informasi perusahaan, yang terdiri dari tiga aktifitas dan empat langkah, (2) membuat profil ancaman, yang terdiri dari tiga aktifitas dan 12 langkah, (3) memeriksa perhitungan infrastruktur hubungan dalam aset kritis, yang terdiri dari dua aktifitas dan lima langkah (4) identifikasi dan analisis risiko, yang terdiri dari tiga aktifitas dan tiga langkah, (5) mengembangkan strategi perlindungan dan rencana mitigasi, yang terdiri dari lima aktifitas dan enam langkah. Dari kelima proses tersebut diharapkan tujuan penelitian terjawab, dan mendukung tercapainya visi dan misi perusahaan. 55
56 4.2 Informasi Perusahaan 4.2.1 Kriteria Evaluasi Dampak PT Informasi Komersial Bisnis saat ini memiliki reputasi yang baik, hal ini dapat dilihat dari kehilangan pelanggan sebesar 5% pertahun, ini membuktikan bahwa terdapat kesetiaan pelanggan dalam menggunakan jasa perusahaan. Dan angka tersebut berbanding jauh dengan penambahan pelanggan pada perusahaan selama tahun 2008 ini yang mencapai 10%. Dari segi finansial perusahaan, biaya operasional perusahaan dikategorikan sedang karena meningkat 10%. Dengan demikian kehilangan pendapatan akan berkurang seiring biaya operasional yang meningkat. Kehilangan pendapatan tersebut diperkirakan sekitar 15%. Biaya operasional ini, dihabiskan hampir 40% untuk kebutuhan TI organisasi, hal ini dikarenakan perombakan total perusahaan pada awal tahun 2008. Pelanggan yang bertambah mengakibatkan meningkatnya jam kerja untuk menunjang produktivitas perusahaaan. Untuk tahun 2008, produktivitas perusahaan bertambah sebesar 20%. Dan diprediksikan akan terus meningkat sepanjang periode 2009. Perlindungan kesehatan setiap karyawan menjadi tanggungan perusahaan, untuk masalah kesehatan karyawan perusahaan memberikan kompensasi sesuai dengan kebijakan yang diterapkan. Ancaman keselamatan pada karyawan dikategorikan rendah karena tidak pernah terjadi ancaman yang berakibat fatal. Untuk hukuman denda belum pernah terjadi di perusahaan ini, baik berupa denda lisensi ataupun denda perkara.
57 4.2.2 Aset-Aset TI Keseluruhan aset TI perusahaan mencakup aset dalam sistem, informasi, aplikasi, pelayanan, dan orang. Untuk aset sistem terdapat Absolut System, dan Data Center. Informasi perusahaan yang digunakan untuk mendukung pekerjaan karyawan meliputi, jadwal pembayaran, informasi kebutuhan pelanggan, dan Source Code. Sedangkan aplikasi untuk mendukung pekerjaan karyawan antara lain: SQL Service Database, My SQL, Microsoft Visual Studio 2008, Microsoft Visual Source Safe, Website, dan E-mail. Orang yang mempunyai keahlian vital dalam perusahaan dan sulit tergantikan adalah Manajer TI, Manajer Analis, dan Head Programmer. Karena keahlian mereka tersebut, perusahaan menyatakan mereka sebagai aset. 4.2.3 Praktek Keamanan Kelemahan dan kelebihan dalam 15 praktek keamanan yang disurvei pada PT Informasi Komersial Bisnis dan penilaian stoplight status nya sebagai penilaian perusahaan terhadap kinerja karyawannya untuk masing-masing praktek keamanan yang ada, antara lain: a. Kesadaran Keamanan dan Pelatihan Para karyawan mampu memahami peran keamanan dan tanggung jawab yang cukup dalam mendukung kesadaran informasi, akan tetapi, banyak karyawan yang susah mengikuti praktek keamanan dengan baik karena tidak semua karyawan memiliki keahlian yang cukup untuk mendukung semua pelayanan, mekanisme dan teknologi dalam operasi keamanan mereka. Contohnya mereka tidak menggunakan password dengan baik dan juga mereka tidak mengubah password secara berkala.
58 Pada bagian ini, perusahaan berada pada status RED,yang berarti bahwa mereka memiliki tingkat keamanan yang tidak baik. b. Strategi Keamanan Perusahaan selalu mempertimbangkan segi keamanan, namun di sisi lain strategi keamanan ini tidak diperbaharui dan juga tidak dikomunikasikan dalam manajemennya. Perusahaan berada pada status YELLOW yang berarti mereka memiliki tingkat keamanan yang kurang baik. c. Manajemen Keamanan Karyawan mampu menjalankan tanggung jawab mereka dengan baik, mereka mempunyai manajemen keamanan yang baik dan juga telah mengambil langkah-langkah untuk mengurangi risiko. Tetapi, mereka tidak mengalokasikan dana untuk aktifitas ini, dan juga tidak lengkapnya dokumentasi untuk otorisasi dan pengawasan dalam manajemen keamanan. Status YELLOW menunjukkan bagian ini, berarti bahwa perusahaan memiliki tingkat keamanan yang relatif baik. d. Kebijakan Keamanan dan Peraturan Kurang tersedianya proses terdokumentasi dari kebijakan keamanan yang ada, dan masih banyak pelanggaran kebijakan perusahaan yang dilakukan oleh karyawan. Perusahaan memberikan status RED di bagian ini yang berarti praktek keamanan tidak baik bahkan hampir tidak diterapkan dalam perusahaan. e. Manajemen Keamanan Kolaboratif Perusahaan telah membuat kebijakan dan prosedur untuk melindungi informasi milik perusahaan lain dalam prosedur kolaborasi, akan tetapi tidak
59 tersedia dokumentasi ataupun mekanisme formal terhadap setiap prosedur dan hasil yang ada. Penilaian dalam praktek keamanan ini berstatus YELLOW. f. Rencana Contingency Perusahaan telah memiliki rencana contingency yang baik untuk menghadapi bencana yang mungkin terjadi, tapi mereka tidak melakukan kerja sama dengan pihak eksternal perusahaan untuk menetapkan tanda kemungkinan terjadinya bencana alam. Perusahaan sudah relatif baik dalam praktek keamanan ini, dan memiliki status YELLOW. g. Pengendalian Akses Fisik Keamanan kontrol secara fisik telah dikelola dengan baik dalam hal pencegahan akses yang tidak sah, pemantauan hardware dan software. Ini dilakukan oleh divisi TI, akan tetapi untuk bekerja sama dengan kontraktor dan penyedia layanan dari eksternal perusahaan, belum dilakukan oleh perusahaan. Hal yang kurang baik dalam praktek keamanan ini adalah tidak dilakukan dokumentasi untuk setiap prosedur yang dilakukan, sehingga ini menjadi titik lemah bagian ini. Perusahaan menetapkan status YELLOW pada area ini. h. Pemantauan dan Audit Keamanan Fisik Pemantauan fisik keamanan diterapkan dalam perusahaan, tetapi hanya pemantauan informal yang dilakukan oleh divisi TI dan dipertanggungjawabkan oleh divisi TI, sedangkan untuk audit keamanan fisik, tidak pernah dilakukan sejak berdirinya perusahaan, baik oleh pihak
60 perusahaan sendiri ataupun dari eksternal, dalam praktek keamanan ini, ditetapkan status RED di perusahaan. i. Sistem dan Manajemen Jaringan Karyawan yang berada didalam perusahaan ini telah melindungi sensitifitas informasi di tempat yang aman, integritas perangkat lunak telah diinstal dengan baik, perubahan pada hardware dan software direncanakan, dikontrol dan didokumentasi, dan juga keamanan perusahaan dilakukan oleh pihak eksternal juga telah diverifikasi dengan baik, namun para karyawan kurang mengikuti prosedur proteksi jaringan secara teratur dan tidak mengubah password mereka secara berkala. Perusahaan masih memiliki tingkat keamanan yang relatif baik pada area praktek keamanan ini, maka ditetapkan status YELLOW. j. Pemantauan dan Audit Keamanan TI Keamanan TI selalu diperhatikan dan diutamakan agar proses bisnis berjalan lancar, tetapi untuk audit, hanya dilakukan secara informal oleh divisi TI. Perusahaan memberikan status YELLOW untuk praktek keamanan ini. k. Pengesahan dan Otorisasi Sistem telah menyimpan id dan password masing-masing karyawan tetapi perusahaan belum melakukan pembagian akses pengguna komputer ke sistem, aplikasi dan layanan tertentu, Pengesahan setiap prosedur dan kebijakan tidak terdapat dokumentasi resmi. Perusahaan juga tidak melakukan verifikasi untuk tiap divisi dalam mengakhiri hak akses dan otorisasi. Penilaian status RED pada praktek keamanan ini. l. Manajemen Kerentanan
61 Pengelolaan kerentanan dilakukan dengan menjaga kerentanan dari semua ancaman yang diketahui oleh perusahaan terjadi secara up to date, dan meninjau sumber informasi tentang kerentanan tersebut, namun setiap prosedur pengelolaan tidak didokumentasikan. Penetapan status YELLOW dalam praktek manajeman kerentanan. m. Enkripsi Perusahaan telah melakukan enkripsi yang digunakan untuk menyimpan data sensitif dan melindungi sistem router. Praktek ini hanya dilakukan oleh internal perusahaan sendiri tanpa melibatkan service provider eksternal. Penetapan status YELLOW pada area ini. n. Desain dan Arsitektur Keamanan Desain dan arsitektur keamanan diperusahaan masih dikelola secara informal oleh divisi TI dan belum pernah dilakukan perbaharuan. Desain dan arsitektur ini juga belum dilakukan secara keseluruhan karena belum diperlukan oleh manajemen. Penetapan status YELLOW untuk praktek keamanan ini. o. Manajemen Insiden Setiap manajemen insiden telah ditanggulangin secara resmi, dan telah di komunikasikan dengan baik di perusahaan, termaksud tersedianya layanan yang menangani terjadinya insiden. Namun tidak didokumentasikan, pelanggaran keamanan ini tidak terlalu mempengaruhi praktek keamanan TI maka ditetapkan penilaian status YELLOW untuk bagian ini.
62 4.3 Profil Ancaman 4.3.1 Aset Kritis Pertimbangan utama dalam penilaian aset-aset perusahaan adalah dampak yang diberikan aset dalam perusahaan. Aset dianggap kritis kalau aset menghasilkan dampak buruk dalam perusahaan ketika aset jatuh ke tangan orang yang tidak berwenang, aset dimodifikasi tanpa otorisasi, aset hilang atau rusak, dan terputusnya akses ke aset. Aset-aset yang dinilai penting di PT Informasi Komersial Bisnis yaitu Personal Computer, Data Center, Source Code, Absolut System, dan Internet. Dari keseluruhan aset-aset penting tersebut, terdapat aset yang paling kritis yaitu aset Data Center, yang berfungsi untuk menyimpan keseluruhaan data perusahaan atau storage devices dari data pelanggan, data keuangan, dan data source code programmer. Data Center diakses oleh direktur, seluruh staf TI, programmer, divisi analis, divisi akuntansi dan keuangan. Asetaset yang berhubungan dengan Data Center adalah Personal Computer, Internet, Absolut system, dan Source Code. 4.3.2 Kebutuhan Keamanan Aset Kebutuhan keamanan untuk keseluruhan aset penting adalah kerahasiaan, integritas dan ketersediaan. Kebutuhan keamanan yang paling diutamakan adalah ketersediaan karena aset-aset penting di perusahaan mendukung kelancaran proses bisnis perusahaan. 4.3.3 Ancaman Aset Kritis Kemungkinan ancaman yang tidak dapat diabaikan dalam perusahaan terhadap aset kritis adalah terjadinya penyingkapan, modifikasi, penghancuran, dan interupsi yang bisa merugikan perusahaan dan menganggu kinerja karyawan.
63 Ancaman bisa terjadi melalui akses fisik dan jaringan, setiap akses mempunyai dua aktor yaitu pelaku yang berasal dari dalam dan luar perusahaan, dan dua motif yaitu disengaja dan tidak disengaja. Aktor yang memberikan ancaman terbesar melalui akses jaringan dari dalam perusahaan adalah kesalahan memasukan data kedalam sistem dan kriminalitas karyawan. Untuk kesalahan pemasukan data biasanya dilakukan oleh karyawan baru secara tidak sengaja, kerugian dari ancaman ini tergolong rendah dan selalu bisa diperbaiki oleh staf TI perusahaan. Sedangkan untuk kriminalitas karyawan berpeluang besar karena sistem yang belum terotorisasi dengan baik di perusahaan. Ancaman virus sejauh ini belum merugikan perusahaan dan masih teratasi dengan baik oleh staf TI. Pada akses fisik, risiko berasal dari internal dan eksternal perusahaan yang dilakukan dengan unsur kesengajaan seperti pencurian. Untuk unsur ketidaksengajaan risiko yang pernah terjadi adalah bencana alam berupa banjir, yang merusak jaringan dan server perusahaan. Risiko fisik sering mengakibatkan kerugian finansial pada perusahaan. Frekuensi terjadinya ancaman di perusahaan paling sering terjadi pada akses jaringan, yaitu ancaman penyingkapan yang dilakukan internal perusahaan, baik yang disengaja ataupun yang tidak disengaja, masing-masing sebanyak lima dan dua kali dalam setahun. Untuk akses fisik ancaman pernah terjadi satu kali dalam setahun adalah modifikasi yang dilakukan oleh karyawan perusahaan dan banjir yang mengakibatkan modifikasi dan penghancuran.
64 4.4 Infrastruktur Yang Berhubungan Dengan Aset Kritis 4.4.1 Jalur Aset Keseluruhan sistem penting perusahaan berkaitan langsung dengan Data Center, komponen-komponen yang berkaitan dengan Data Center terdiri dari server dan internal network. Internal network merupakan sarana yang digunakan untuk mengirimkan informasi dan aplikasi dari Data Center ke karyawan. Sedangkan karyawan mengakses Data Center melalui laptop dan on-site workstations. Dalam penyimpanan informasi dari Data Center menggunakan satu storage devices. Komponen dan sistem penting selain Data Center meliputi PC, Internet, Absolut System, dan Data Source Code. 4.4.2 Keterkaitan Teknologi Setiap komponen dan sistem penting dalam perusahaan saling berkaitan dengan server, internal network, on-site workstation, laptop, dan storage device. Tanggung jawab dalam menjaga dan mengamankan server, internal network, onsite workstation, laptop, storage device adalah tanggung jawab divisi TI, aplikasi antivirus dan firewall, sejauh ini proteksi dalam perusahaan dikategorikan tinggi dalam menjaga dan mengkonfigurasi server, internal network dan storage device,tetapi untuk on-site workstation dan laptop masih rendah. 4.5 Hasil Identifikasi dan Analisis 4.5.1 Dampak Ancaman a. Dampak ancaman melalui akses jaringan yang dilakukan oleh internal perusahaan secara tidak sengaja.
65 Dampak terhadap reputasi bernilai sedang untuk penyingkapan dan interupsi, dan bernilai tinggi untuk modifikasi dan penghancuran. Dampak terhadap finansial pada hasil penyingkapan, modifikasi, dan interupsi bernilai sedang, untuk penghancuran bernilai tinggi. Dampak terhadap produktifitas bernilai sedang untuk penyingkapan dan modifikasi, dan tinggi untuk penghancuran dan interupsi. Dampak terhadap denda bernilai sedang untuk semua hasil ancaman, sedangkan untuk dampak terhadap perlindungan bernilai rendah. b. Dampak ancaman melalui akses jaringan yang dilakukan oleh internal perusahaan secara sengaja. Dampak terhadap reputasi bernilai sedang untuk semua hasil ancaman, sedangkan terhadap finansial bernilai tinggi pada keseluruhan hasil ancaman. Dampak terhadap produktifitas bernilai rendah untuk penyingkapan, sedang untuk modifikasi, dan tinggi untuk penghancuran dan interupsi. Dampak terhadap denda bernilai sedang untuk semua hasil ancaman dan dampak terhadap perlindungan bernilai rendah juga untuk semua hasil ancaman. c. Dampak ancaman melalui akses jaringan yang dilakukan oleh eksternal perusahaan secara tidak sengaja. Dampak terhadap reputasi bernilai sedang untuk penyingkapan dan modifikasi, dan bernilai rendah untuk penghancuran dan interupsi.
66 Dampak terhadap finansial bernilai sedang untuk hasil interupsi, dan bernilai tinggi untuk hasil penyingkapan, modifikasi dan penghancuran. Dampak terhadap produktifitas bernilai rendah untuk hasil penyingkapan, bernilai sedang untuk hasil modifikasi dan bernilai tinggi untuk hasil penghancuran dan interupsi. Dampak terhadap denda dan perlindungan masing-masing bernilai sedang dan rendah untuk semua hasil ancaman. d. Dampak ancaman melalui akses jaringan yang dilakukan oleh eksternal perusahaan secara sengaja. Dampak terhadap reputasi dan finansial, masing-masing bernilai rendah dan tinggi untuk semua hasil ancaman. Dampak terhadap produktifitas bernilai rendah untuk penyingkapan, bernilai sedang untuk modifikasi dan bernilai tinggi untuk penghancuran dan interupsi. Dampak terhadap denda dan perlindungan, sama dengan sebelumnya yaitu masing-masing bernilai sedang dan rendah untuk semua hasil ancaman. e. Dampak ancaman melalui akses fisik yang dilakukan oleh internal perusahaan secara tidak sengaja. Dampak terhadap reputasi, finansial dan denda, bernilai sama yaitu sedang untuk semua hasil ancaman, sedangkan dampak terhadap produktifitas dan perlindungan bernilai rendah untuk semua hasil ancaman.
67 f. Dampak ancaman melalui akses fisik yang dilakukan oleh internal perusahaan secara sengaja. Dampak terhadap reputasi, finansial dan denda bernilai sedang pada semua hasil ancaman, sedangkan untuk perlindungan bernilai rendah. Dampak pada produktifitas bernilai sedang untuk hasil modifikasi dan penyingkapan, dan bernilai tinggi untuk hasil modifikasi dan interupsi. g. Dampak ancaman melalui akses fisik yang dilakukan oleh eksternal perusahaan secara tidak sengaja Dampak terhadap reputasi, finansial dan denda bernilai sedang untuk semua hasil ancaman, sedangkan dampak terhadap produktifitas dan perlindungan bernilai rendah untuk semua hasil ancaman. h. Dampak ancaman melalui akses fisik yang dilakukan oleh eksternal perusahaan secara sengaja Dampak terhadap reputasi, finansial, dan produktifitas bernilai sedang untuk semua hasil ancaman sedangkan dampak terhadap denda dan perlindungan bernilai rendah untuk semua hasil ancaman. 4.5.2 Kriteria Kemungkinan Waktu peristiwa terjadinya ancaman di perusahaan tergolong sedang dengan frekuensi dibawah empat kali setahun sampai sekali setahun. Pengukuran ini berlaku untuk semua ancaman pada aset penting, baik yang disengaja ataupun tidak disengaja.
68 4.5.3 Peluang dari ancaman a. Peluang terjadinya ancaman melalui akses jaringan dalam internal perusahaan secara tidak sengaja. Untuk ancaman terjadinya penyingkapan berpeluang sedang dengan tingkat keyakinan besar terhadap perkiraan kemungkinan yang ada, terjadinya hasil modifikasi berpeluang sedang dengan tingkat keyakinan kecil, peluang terjadinya penghancuran dan interupsi sama-sama bernilai rendah dengan tingkat keyakinan kecil. b. Peluang terjadinya ancaman melalui akses jaringan dalam internal perusahaan secara sengaja. Ancaman terjadinya penyingkapan dan modifikasi berpeluang sedang dengan tingkat keyakinan kecil, sedangkan untuk ancaman penghancuran dan interupsi berpeluang tinggi dengan tingkat keyakinan kecil. c. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara tidak sengaja. Peluang terjadinya penyingkapan, modifikasi, penghancuran dan interupsi bernilai rendah dengan tingkat keyakinan rendah untuk semua ancaman. d. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara sengaja. Untuk nilai peluang terjadinya ancaman pada bagian ini, sama dengan yang sebelumnya, yaitu berpeluang rendah untuk semua ancaman, dan memiliki tingkat keyakinan yang kecil e. Peluang terjadinya ancaman melalui akses fisik dalam internal perusahaan secara tidak sengaja.
69 Untuk keseluruhan hasil ancaman pada bagian ini berpeluang rendah dengan tingkat keyakinan juga kecil. f. Peluang terjadinya ancaman melalui akses fisik dalam internal perusahaan secara sengaja. Ancaman terjadinya penyingkapan dan modifikasi berpeluang sedang dengan tingkat keyakinan besar, sedangkan untuk ancaman penghancuran dan interupsi berpeluang rendah dengan tingkat keyakinan kecil. g. Peluang terjadinya ancaman melalui akses fisik dalam eksternal perusahaan secara tidak sengaja. Ancaman terjadinya penyingkapan, modifikasi, penghancuran dan interupsi, semuanya berpeluang rendah dengan tingkat keyakinan juga kecil. h. Peluang terjadinya ancaman melalui akses fisik dalam eksternal perusahaan secara sengaja. Hasil ancaman yang berupa penyingkapan dan modifikasi berpeluang sedang dengan tingkap keyakinan besar sedangkan untuk hasil penghancuran dan interupsi berpeluang rendah dengan tingkat keyakinan kecil. 4.6 Strategi Perlindungan dan Rencana Mitigasi 4.6.1 Strategi Perlindungan Saat Ini Berdasarkan kertas kerja profil risiko yang terdapat pada lampiran, pendekatan pengukuran risiko melalui akses jaringan yang dilakukan oleh perusahaan saat ini berfokus pada (a) kesadaran keamanan dan pelatihan, (b) kebijakan keamanan dan peraturan, (c) pengesahan dan otorisasi sedangkan pada akses fisik perusahaan berfokus pada (d) pemantauan dan audit keamanan fisik..
70 Strategi perlindungan yang telah ada dalam perusahaan saat ini untuk setiap praktek keamanan yang menjadi fokus perusahaan berupa : a. Kesadaran Keamanan dan Pelatihan Strategi pelatihan lanjutan terbatas pada beberapa karyawan tertentu, dimana hak tersebut juga terjadi dengan pertimbangan secara informal dan tidak terdokumentasi. Untuk karyawan baru, pelatihan kesadaran hanya terbatas pada masa orientasi, dan hanya berlangsung selama tiga hari untuk keseluruhan sistem operasional perusahaan tanpa adanya pembaruan berkala. Sedangkan untuk masalah kesadaran keamanan, para karyawan terutama staf TI belajar mengenai masalah keamanan dengan sendirinya tanpa ada pelatihan. b. Kebijakan Keamanan dan Peraturan Kebijakan keamanan perusahaan saat ini, belum didokumentasi secara keseluruhan. Kebijakan masih dibagi secara informal dan formal, untuk kebijakan informal belum didokumentasi. Perusahaan hanya memiliki mekanisme informal dalam membuat dan memperbaharui kebijakan keamanan. c. Pengesahan dan Otorisasi Perusahaan hanya menggunkan password dan id sebelum mengakses sistem, aplikasi dan layanan tertentu, tetapi belum terdapat pembatasan penggunaan untuk setiap karyawan. Perusahaan umumnya tidak memberikan pelatihan kepada anggota staf TI untuk langkah-langkah teknologi untuk membatasi akses pengguna. d. Pemantauan dan Audit Keamanan Fisik
71 Perusahaan selalu menyimpan catatan pemeliharaan untuk dokumen perbaikan dan modifikasi hardware, perusahaan juga melakukan pemantauan fisik pada akses kontrol hardware dan software yang dibatasi pada wilayah kerja. Kebijakan dan prosedur formal pada praktek keamanan ini telah di dokumentasikan secara formal walaupun tidak secara keseluruhan. Tidak terdapat pelatihan untuk pemantauan akses fisik pada hardware dan software. 4.6.2 Memilih Pendekatan Mitigasi Sesuai dengan kertas kerja profil risiko yang terdapat pada lampiran, pendekatan mitigasi dilakukan pada ancaman bermotif disengaja pada internal perusahaan melalui akses jaringan dan ancaman bermotif disengaja pada internal dan eksternal perusahaan melalui akses fisik. Kegiatan mitigasi risiko melalui akses jaringan pada internal perusahaan fokus pada tiga aktifitas praktek keamanan, yaitu, (1) kesadaran keamanan dan pelatihan, (2) kebijakan keamanan dan peraturan, (3) pengesahan dan otorisasi, sedangkan untuk eksternal perusahaan, tidak dilakukan pendekatan mitigasi. Kegiatan mitigasi pada akses fisik di internal dan eksternal perusahaan difokuskan pada, (4) pemantauan dan audit keamanan fisik. 4.6.3 Rencana Mitigasi 1. Kesadaran Keamanan dan Pelatihan, untuk aktifitas mitigasi di praktek keamanan ini, meliputi: a. Menyediakan pelatihan kesadaran keamanan pada seluruh karyawan perusahaan.
72 Pelatihan kesadaran keamanan pada karyawan dapat membantu pemahaman karyawan akan keamanan perusahaan sehingga risiko dapat yang tidak disengaja dapat dikurangi. Para manajer perusahaan bertanggung jawab terhadap kegiatan mitigasi ini untuk masing-masing divisi mereka, karena manajer yang memimpin operasional karyawan perusahaan sehingga pelatihan bisa dilakukan perdivisi dan mendapat hasil yang lebih optimal. b. Menyediakan pelatihan pendukung TI secara periodik pada staf TI. Staf TI mempunyai peran penting dalam keamanan teknologi perusahaan sehingga menjadi bagian vital perusahaan dan sudah sewajarnya diberikan dukungan pelatihan khusus TI. Penanggung jawab dalam aktifitas mitigasi ini adalah manajer TI, dan staf TI karena divisi ini yang mengelola TI internal perusahaan 2. Kebijakan Keamanan dan Peraturan, untuk aktifitas mitigasi di praktek keamanan ini, meliputi: a. Membuat prosedur formal untuk setiap kebijakan dan peraturan tentang dalam perusahaan. Dengan adanya kegiatan ini maka risiko pelanggaran dapat diperkecil, karena sanksi dan tanggung jawab setiap prosedur perusahaan menjadi jelas dan baik. Dalam membuat kebijakan ini, seharusnya langsung ditinjau oleh direktur perusahaan. Dukungan dan komitmen dari para staf untuk kegiatan ini sangat dibutuhkan dan pemberian sanksi terhadap staf juga bisa diterapkan untuk tahap awal penetapan aktifitas ini.
73 b. Pemberian latihan kesadaran tentang kebijakan dan peraturan keamanan pada anggota staf. Pelatihan ini bisa dilakukan sekaligus untuk keseluruhan staf secara bersamaan, sehingga memperkecil biaya operasional untuk pelatihan. Dalam pelatihan ini, diharapkan bisa meningkatkan kualitas staf dan memperkecil risiko. Untuk penanggung jawab aktifitas ini adalah para manajemen senior. 3. Pengesahan dan Otorisasi, untuk aktifitas mitigasi di praktek keamanan ini, meliputi: a. Membuat pembatasan terhadap user yang akan akses ke dalam sistem informasi perusahaan. Karena dengan adanya pembatasan akan akses informasi ini maka perusahaan dapat memberikan perlindungan yang lebih terhadap datadata penting di perusahaan, pembatasan ini diharapakan memperkecil ancaman yang disengaja dalam internal perusahaan, pembatasan yang dimaksud disini bukan hanya sekedar password, akan tetapi lebih kepada pengesahan dan otorisasi terhadap data yang akan di ambil, seperti permintaan id lengkap dan double password untuk data kritis. Penanggung jawab dalam mitigasi ini adalah divisi TI khususnya manajer TI yang bertugas menjaga keamanan sistem informasi perusahaan. b. Mendokumentasi Setiap Prosedur Pengesahaan dan Otorisasi. Kegiatan ini bertujuan untuk mengurangi risiko penyalahgunaan wewenang dalam perusahaan, penanggung jawab dalam kegiatan ini adalah para manajemen senior.
74 4. Pemantauan dan Audit Keamanan Fisik, untuk aktifitas mitigasi di praktek keamanan ini, meliputi: a. Perencanaan prosedur pemantauan akses fisik secara periodik atas bangunan, area kerja, hardware, software media, dan jaringan yang didokumentasikan secara formal. Perusahaan memerlukan pemantauan TI secara periodik agar risiko bisa diperkecil. Karena akses fisik sangat dominan dalam timbulnya risiko, baik itu untuk motif disengaja ataupun yang tidak disengaja. Yang pantas diberikan tanggung jawab dalam aktifitas ini adalah divisi TI, karena menyangkut TI internal perusahaan dan dengan otorisasi dari direktur terhadap operasi pemantauan dan operasi perbaikan yang diharuskan. b. Kerja sama dengan penyedia layanan TI dari luar perusahaan untuk bagian yang diluar jangkauan divisi TI internal. Karena divisi TI perusahaan saat ini hanya mencakup tugas technical support dan administrator. Penanggung jawab pada aktifitas ini adalah direktur dan manajer TI, karena mereka yang menyeleksi dan menentukan outsource yang paling cocok untuk perusahaan. c. Pembagian tugas dan tanggung jawab yang jelas dalam divisi TI perusahaan. Tanggung jawab staf TI masih tidak jelas, karena tidak adanya pembagian tugas yang jelas dalam departemen, seperti untuk network dan fisik. Sehingga pemantauan periodik sulit ditentukan. Yang bertanggung jawab dalam aktifitas ini adalah Manajer TI, sehingga lebih mengetahui
75 tanggung jawab masing-masing tugas terhadap karyawannya. Dan dianjurkan dalam aktifitas ini perusahaan merekrut karyawan yang berpengalaman dan telah mendapatkan pelatihan yang baik. 4.6.4 Perubahan Strategi Perlindungan 1. Kesadaran Keamanan dan Pelatihan Perubahan strategi perlindungan yang ingin dilakukan perusahaan dalam area ini adalah membuat dokumentasi dan daftar dari hasil pelatihan seluruh karyawan. Perlunya dokumentasi ini karena banyak karyawan yang mengikuti pelatihan, dengan ada dokumentasi akan memudahkan divisi dalam melihat kemajuan staf setelah pelatihan dan penetapan jadwal pelatihan untuk periodik berikutnya, juga sebagai bukti terhadap manajemen senior. Yang bertanggung jawab adalah manajer setiap divisi. 2. Kebijakan Keamanan dan Peraturan Perubahan yang diperlukan dalam area ini adalah pendokumentasian setiap prosedur dan mekanisme kebijakan keamanan dan peraturan formal, kebijakan keamanan dan peraturan juga perlu di perbaharui secara periodik agar prilaku karyawan tidak menyimpang. 3. Pengesahan dan Otorisasi Strategi perlindungan perusahaan yang diperlukan adalah penyediaan staf TI yang memiliki kemampuan untuk membuat pembagian akses untuk semua karyawan perusahaan, dan merekrut karyawan baru yang menangani kegiatan pendokumentasian seluruh prosedur dan tanggung jawab pengesahan dan otorisasi.
76 4. Pemantauan dan Audit Keamanan Fisik Strategi yang perlu dibuat perusahaan adalah meninjau catatan pendokumentasiaan pada pemantauan dasar secara periodik, melakukan investigasi pada semua aktifitas yang tidak bisa diidentifikasikan. 4.6.5 Identifikasi Langkah Selanjutnya Dalam pengimplementasi hasil dari evaluasi dan sikap keamanan, ada beberapa hal yang menjadi pertimbangan perusahaan, antara lain: 1. Manajemen harus mengutamakan keamanan informasi dalam strategi bisnis perusahaan dalam mendukung pelaksanaan hasil dari OCTAVE-S. 2. Melakukan evaluasi dalam rapat bulanan, dan memeriksa laporan rutin untuk melacak kemajuan dan memastikan hasil evaluasi telah dilaksanakan. 3. Perusahaan tidak akan melakukan evaluasi penambahan aset-aset penting, jika kegiatan mitigasi yang ada sekarang belum diterapkan secara menyeluruh. 4. Perusahaan dianjurkan untuk melakukan evaluasi OCTAVE-S setiap tahun.