BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

dokumen-dokumen yang mirip
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI

Satu yang terkenal diantaranya adalah metode OCTAVE.

terpengaruh; sedikit dibutuhkan usaha untuk untuk Biaya operasional per 15% kehilangan pendapatan Jam kerja Dibawah 10% Jam kerja staff

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

BAB 4 PENGUKURAN MANAJEMEN RISIKO TEKNOLOGI INFORMASI. Untuk memperoleh data yang berhubungan dengan pengukuran risiko, maka

MANAJEMEN RISIKO SISTEM INFORMASI

Aktivitas Langkah Deskripsi. perusahaan. dan orang). dokumen rincinya : organisasi).

MATERI 03 : KEAMANAN INFORMASI

BAB III METODOLOGI PENELITIAN

Langkah langkah FRAP. Daftar Risiko. Risk

PENGUKURAN RISIKO TEKNOLOGI INFORMASI PADA RUMAH SAKIT BHAKTI YUDHA DENGAN MENGGUNAKAN METODE OCTAVE-S

Lampiran-Lampiran. Aktivitas Langkah Deskripsi

KUESIONER. Nama Responden. Bagian/Jabatan

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

MITIGASI RISIKO KEAMANAN SISTEM INFORMASI

1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

INFRASTRUCTURE SECURITY

Standar Internasional ISO 27001

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

TENTANG KEBIJAKAN TEKNOLOGI INFORMASI DI UNIVERSITAS INDONESIA REKTOR UNIVERSITAS INDONESIA

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

BAB 3 GAMBARAN UMUM SISTEM INFORMASI YANG SEDANG BERJALAN. Keberadaan Departemen Komunikasi dan Informatika (DepKementrian

BAB I PENDAHULUAN 1.1. Latar Belakang

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Auditing. Obyektif. 3.1 Phase Audit Sistem Informasi

Lembar Kuisioner. pelayanan, mekanisme dan teknologi dalam operasi keamanan.

Konsep Dasar Audit Sistem Informasi

TEKNIK AUDIT. Titien S. Sukamto

STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

BAB IV HASIL DAN PEMBAHASAN

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

BUPATI CILACAP PROVINSI JAWA TENGAH PERATURAN BUPATI CILACAP NOMOR 57 TAHUN 2016 TENTANG SISTEM PENDUKUNG PENANAMAN MODAL

BAB IV PEMBAHASAN. fungsi penjualan pada PT.APTT. Dalam melaksanakan audit kecurangan, dilakukan

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI. yang akan penulis evaluasi antara lain : cadang pada PT. Mercindo Autorama

PERATURAN MENTERI PENDIDIKAN NASIONAL REPUBLIK INDONESIA

INTERNAL AUDIT CHARTER 2016 PT ELNUSA TBK

BAB 2 TINJAUAN PUSTAKA

SKRIPSI HUBUNGAN ANTARA KEAMANAN DATA DENGAN KINERJA SISTEM INFORMASI MANAJEMEN PUSKESMAS (SIMPUS) DI PUSKESMAS WILAYAH KABUPATEN KARANGANYAR

BAB 4 EVALUASI SISTEM INFORMASI PADA PT CATRA NUSANTARA BERSAMA. 4.1 Hasil Evaluasi Terhadap Pengendalian Manajemen

SISTEM INFORMASI MANAJEMEN

BAB 3 DESKRIPSI DAN PENGENDALIAN SISTEM YANG BERJALAN PADA PT CATRA NUSANTARA BERSAMA

MANAJEMEN RISIKO TEKNOLOGI INFORMASI: STUDI KASUS PADA PERUSAHAAN JASA

PERATURAN MENTERI PENDIDIKAN NASIONAL REPUBLIK INDONESIA NOMOR 38 TAHUN 2008 TENTANG

RESUME PAPER PENGUKURAN RESIKO TEKNOLOGI INFORMASI (TI) DENGAN METODE OCTAVE-S

Pedoman Tindakan Perbaikan. dan Pencegahan serta Pengelolaan. Gangguan Keamanan Informasi

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

Lampiran 1 : Kuesioner Pengendalian Intern Penjualan Kredit Berbasis Komputer. Kuesioner Pengendalian Intern Akuntansi dalam Sistem Komputer

Bab III Kondisi Teknologi Informasi PT. Surveyor Indonesia

Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

BUPATI CILACAP PERATURAN BUPATI CILACAP NOMOR 88 TAHUN 2013 TENTANG

TEKNIK AUDIT DATA CENTER DAN DISASTER RECOVERY. Titien S. Sukamto

BUPATI GARUT DENGAN RAHMAT TUHAN YANG MAHA ESA

STANDARD OPERATING PROCEDURE

BAB V PENUTUP. Jawa Tengah dan D.I.Y. dengan Framework CobiT menggunakan Domain ke

BERITA NEGARA REPUBLIK INDONESIA

BAB 1 PENDAHULUAN. Penggunaan teknologi informasi di dalam perusahaan merupakan suatu elemen

HASIL DAN PEMBAHASAN. Langkah awal dalam tahap perencanaan audit sistem informasi menghasilkan

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER

BAB 4. SIMPULAN DAN SARAN

BAB V KESIMPULAN DAN SARAN. 5.1 Kesimpulan. Berdasarkan hasil penelitian dan pembahasan yang penulis lakukan terhadap

LAMPIRAN. A. Hasil kuisioner Proses TI PO2 Menentukan Arsitektur Informasi

BUPATI PENAJAM PASER UTARA

J udul Dokumen : R IWAYAT REVISI MANUAL SISTEM MANAJEMEN K3 MANUAL K3 M - SPS - P2K3. Perubahan Dokumen : Revisi ke Tanggal Halaman Perubahan

Menimbang. Mengingat. Menetapkan

Lampiran 1 Kuisioner Internal Control atas Integritas dan Nilai Etika

DENGAN RAHMAT TUHAN YANG MAHA ESA MENTERI PERDAGANGAN REPUBLIK INDONESIA,

KEAMANAN DAN KONTROL. A. PENTINGNYA KONTROL Salah satu tujuan CBIS adalah untuk memberi dukungan kepada manajer dalam mengontrol area operasinya

BAB I PENDAHULUAN. Bab I Pendahuluan. Teknologi Informasi (TI) maka ancaman terhadap informasi tidak saja

Pengendalian Sistem Informasi Berdasarkan Komputer

BERITA DAERAH KOTA SUKABUMI TAHUN 2011 NOMOR 16 PERATURAN WALIKOTA SUKABUMI

KEBIJAKAN UMUM SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) Pada Instansi Layanan Publik

BAB 1 PENDAHULUAN Latar Belakang

Dimensi Kelembagaan. Kebijakan Kelembagaan 1. Perencanaan 0.5

BUPATI SITUBONDO PERATURAN BUPATI SITUBONDO NOMOR 25 TAHUN 2010 TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH (SPIP) KABUPATEN SITUBONDO

BAB IV SIMPULAN DAN SARAN

BERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG

BAB III METODOLOGI PENELITIAN

PEDOMAN PEDOMAN. PT JASA MARGA (Persero) Tbk. Nomor Pedoman : P2/DIT/2014/AI Tanggal : 1 Desember 2014

BAB 4 HASIL DAN PEMBAHASAN MANAJEMEN RISIKO TI. IT. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis

TUGAS KEAMANAN JARINNGAN KOMPUTER

BUPATI BANYUMAS, TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH. menetapkann. Sistem

BAB IV SIMPULAN DAN SARAN

SYARAT DAN KETENTUANNYA ADALAH SEBAGAI BERIKUT:

BAB 4 PERENCANAAN STRATEGI SISTEM DAN TEKNOLOGI INFORMASI. permintaan terhadap produk juga meningkat.

BERITA DAERAH KOTA BEKASI NOMOR : SERI : E PERATURAN WALIKOTA BEKASI NOMOR 30 TAHUN 2010 TENTANG

Transkripsi:

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Dalam pengukuran risiko yang dilakukan pada PT Informasi Komersial Bisnis, kami mengolah data berdasarkan wawancara kepada Bapak Thomas selaku manajer TI, para staf TI, dan wawancara persetujuan hasil riset kepada pimpinan manajemen senior. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis metode OCTAVE-S yang terdiri dari 3 tahap, yaitu: (1) membangun aset berbasis profil ancaman, (2) mengidentifikasi kerentanan infrastruktur, dan (3) mengembangkan strategi keamanan dan perencanaan. Dari ketiga tahap ini, dijabarkan menjadi lima proses yang terdiri dari 16 aktifitas dan 30 langkah. Lima proses tersebut, meliputi: (1) identifikasi informasi perusahaan, yang terdiri dari tiga aktifitas dan empat langkah, (2) membuat profil ancaman, yang terdiri dari tiga aktifitas dan 12 langkah, (3) memeriksa perhitungan infrastruktur hubungan dalam aset kritis, yang terdiri dari dua aktifitas dan lima langkah (4) identifikasi dan analisis risiko, yang terdiri dari tiga aktifitas dan tiga langkah, (5) mengembangkan strategi perlindungan dan rencana mitigasi, yang terdiri dari lima aktifitas dan enam langkah. Dari kelima proses tersebut diharapkan tujuan penelitian terjawab, dan mendukung tercapainya visi dan misi perusahaan. 55

56 4.2 Informasi Perusahaan 4.2.1 Kriteria Evaluasi Dampak PT Informasi Komersial Bisnis saat ini memiliki reputasi yang baik, hal ini dapat dilihat dari kehilangan pelanggan sebesar 5% pertahun, ini membuktikan bahwa terdapat kesetiaan pelanggan dalam menggunakan jasa perusahaan. Dan angka tersebut berbanding jauh dengan penambahan pelanggan pada perusahaan selama tahun 2008 ini yang mencapai 10%. Dari segi finansial perusahaan, biaya operasional perusahaan dikategorikan sedang karena meningkat 10%. Dengan demikian kehilangan pendapatan akan berkurang seiring biaya operasional yang meningkat. Kehilangan pendapatan tersebut diperkirakan sekitar 15%. Biaya operasional ini, dihabiskan hampir 40% untuk kebutuhan TI organisasi, hal ini dikarenakan perombakan total perusahaan pada awal tahun 2008. Pelanggan yang bertambah mengakibatkan meningkatnya jam kerja untuk menunjang produktivitas perusahaaan. Untuk tahun 2008, produktivitas perusahaan bertambah sebesar 20%. Dan diprediksikan akan terus meningkat sepanjang periode 2009. Perlindungan kesehatan setiap karyawan menjadi tanggungan perusahaan, untuk masalah kesehatan karyawan perusahaan memberikan kompensasi sesuai dengan kebijakan yang diterapkan. Ancaman keselamatan pada karyawan dikategorikan rendah karena tidak pernah terjadi ancaman yang berakibat fatal. Untuk hukuman denda belum pernah terjadi di perusahaan ini, baik berupa denda lisensi ataupun denda perkara.

57 4.2.2 Aset-Aset TI Keseluruhan aset TI perusahaan mencakup aset dalam sistem, informasi, aplikasi, pelayanan, dan orang. Untuk aset sistem terdapat Absolut System, dan Data Center. Informasi perusahaan yang digunakan untuk mendukung pekerjaan karyawan meliputi, jadwal pembayaran, informasi kebutuhan pelanggan, dan Source Code. Sedangkan aplikasi untuk mendukung pekerjaan karyawan antara lain: SQL Service Database, My SQL, Microsoft Visual Studio 2008, Microsoft Visual Source Safe, Website, dan E-mail. Orang yang mempunyai keahlian vital dalam perusahaan dan sulit tergantikan adalah Manajer TI, Manajer Analis, dan Head Programmer. Karena keahlian mereka tersebut, perusahaan menyatakan mereka sebagai aset. 4.2.3 Praktek Keamanan Kelemahan dan kelebihan dalam 15 praktek keamanan yang disurvei pada PT Informasi Komersial Bisnis dan penilaian stoplight status nya sebagai penilaian perusahaan terhadap kinerja karyawannya untuk masing-masing praktek keamanan yang ada, antara lain: a. Kesadaran Keamanan dan Pelatihan Para karyawan mampu memahami peran keamanan dan tanggung jawab yang cukup dalam mendukung kesadaran informasi, akan tetapi, banyak karyawan yang susah mengikuti praktek keamanan dengan baik karena tidak semua karyawan memiliki keahlian yang cukup untuk mendukung semua pelayanan, mekanisme dan teknologi dalam operasi keamanan mereka. Contohnya mereka tidak menggunakan password dengan baik dan juga mereka tidak mengubah password secara berkala.

58 Pada bagian ini, perusahaan berada pada status RED,yang berarti bahwa mereka memiliki tingkat keamanan yang tidak baik. b. Strategi Keamanan Perusahaan selalu mempertimbangkan segi keamanan, namun di sisi lain strategi keamanan ini tidak diperbaharui dan juga tidak dikomunikasikan dalam manajemennya. Perusahaan berada pada status YELLOW yang berarti mereka memiliki tingkat keamanan yang kurang baik. c. Manajemen Keamanan Karyawan mampu menjalankan tanggung jawab mereka dengan baik, mereka mempunyai manajemen keamanan yang baik dan juga telah mengambil langkah-langkah untuk mengurangi risiko. Tetapi, mereka tidak mengalokasikan dana untuk aktifitas ini, dan juga tidak lengkapnya dokumentasi untuk otorisasi dan pengawasan dalam manajemen keamanan. Status YELLOW menunjukkan bagian ini, berarti bahwa perusahaan memiliki tingkat keamanan yang relatif baik. d. Kebijakan Keamanan dan Peraturan Kurang tersedianya proses terdokumentasi dari kebijakan keamanan yang ada, dan masih banyak pelanggaran kebijakan perusahaan yang dilakukan oleh karyawan. Perusahaan memberikan status RED di bagian ini yang berarti praktek keamanan tidak baik bahkan hampir tidak diterapkan dalam perusahaan. e. Manajemen Keamanan Kolaboratif Perusahaan telah membuat kebijakan dan prosedur untuk melindungi informasi milik perusahaan lain dalam prosedur kolaborasi, akan tetapi tidak

59 tersedia dokumentasi ataupun mekanisme formal terhadap setiap prosedur dan hasil yang ada. Penilaian dalam praktek keamanan ini berstatus YELLOW. f. Rencana Contingency Perusahaan telah memiliki rencana contingency yang baik untuk menghadapi bencana yang mungkin terjadi, tapi mereka tidak melakukan kerja sama dengan pihak eksternal perusahaan untuk menetapkan tanda kemungkinan terjadinya bencana alam. Perusahaan sudah relatif baik dalam praktek keamanan ini, dan memiliki status YELLOW. g. Pengendalian Akses Fisik Keamanan kontrol secara fisik telah dikelola dengan baik dalam hal pencegahan akses yang tidak sah, pemantauan hardware dan software. Ini dilakukan oleh divisi TI, akan tetapi untuk bekerja sama dengan kontraktor dan penyedia layanan dari eksternal perusahaan, belum dilakukan oleh perusahaan. Hal yang kurang baik dalam praktek keamanan ini adalah tidak dilakukan dokumentasi untuk setiap prosedur yang dilakukan, sehingga ini menjadi titik lemah bagian ini. Perusahaan menetapkan status YELLOW pada area ini. h. Pemantauan dan Audit Keamanan Fisik Pemantauan fisik keamanan diterapkan dalam perusahaan, tetapi hanya pemantauan informal yang dilakukan oleh divisi TI dan dipertanggungjawabkan oleh divisi TI, sedangkan untuk audit keamanan fisik, tidak pernah dilakukan sejak berdirinya perusahaan, baik oleh pihak

60 perusahaan sendiri ataupun dari eksternal, dalam praktek keamanan ini, ditetapkan status RED di perusahaan. i. Sistem dan Manajemen Jaringan Karyawan yang berada didalam perusahaan ini telah melindungi sensitifitas informasi di tempat yang aman, integritas perangkat lunak telah diinstal dengan baik, perubahan pada hardware dan software direncanakan, dikontrol dan didokumentasi, dan juga keamanan perusahaan dilakukan oleh pihak eksternal juga telah diverifikasi dengan baik, namun para karyawan kurang mengikuti prosedur proteksi jaringan secara teratur dan tidak mengubah password mereka secara berkala. Perusahaan masih memiliki tingkat keamanan yang relatif baik pada area praktek keamanan ini, maka ditetapkan status YELLOW. j. Pemantauan dan Audit Keamanan TI Keamanan TI selalu diperhatikan dan diutamakan agar proses bisnis berjalan lancar, tetapi untuk audit, hanya dilakukan secara informal oleh divisi TI. Perusahaan memberikan status YELLOW untuk praktek keamanan ini. k. Pengesahan dan Otorisasi Sistem telah menyimpan id dan password masing-masing karyawan tetapi perusahaan belum melakukan pembagian akses pengguna komputer ke sistem, aplikasi dan layanan tertentu, Pengesahan setiap prosedur dan kebijakan tidak terdapat dokumentasi resmi. Perusahaan juga tidak melakukan verifikasi untuk tiap divisi dalam mengakhiri hak akses dan otorisasi. Penilaian status RED pada praktek keamanan ini. l. Manajemen Kerentanan

61 Pengelolaan kerentanan dilakukan dengan menjaga kerentanan dari semua ancaman yang diketahui oleh perusahaan terjadi secara up to date, dan meninjau sumber informasi tentang kerentanan tersebut, namun setiap prosedur pengelolaan tidak didokumentasikan. Penetapan status YELLOW dalam praktek manajeman kerentanan. m. Enkripsi Perusahaan telah melakukan enkripsi yang digunakan untuk menyimpan data sensitif dan melindungi sistem router. Praktek ini hanya dilakukan oleh internal perusahaan sendiri tanpa melibatkan service provider eksternal. Penetapan status YELLOW pada area ini. n. Desain dan Arsitektur Keamanan Desain dan arsitektur keamanan diperusahaan masih dikelola secara informal oleh divisi TI dan belum pernah dilakukan perbaharuan. Desain dan arsitektur ini juga belum dilakukan secara keseluruhan karena belum diperlukan oleh manajemen. Penetapan status YELLOW untuk praktek keamanan ini. o. Manajemen Insiden Setiap manajemen insiden telah ditanggulangin secara resmi, dan telah di komunikasikan dengan baik di perusahaan, termaksud tersedianya layanan yang menangani terjadinya insiden. Namun tidak didokumentasikan, pelanggaran keamanan ini tidak terlalu mempengaruhi praktek keamanan TI maka ditetapkan penilaian status YELLOW untuk bagian ini.

62 4.3 Profil Ancaman 4.3.1 Aset Kritis Pertimbangan utama dalam penilaian aset-aset perusahaan adalah dampak yang diberikan aset dalam perusahaan. Aset dianggap kritis kalau aset menghasilkan dampak buruk dalam perusahaan ketika aset jatuh ke tangan orang yang tidak berwenang, aset dimodifikasi tanpa otorisasi, aset hilang atau rusak, dan terputusnya akses ke aset. Aset-aset yang dinilai penting di PT Informasi Komersial Bisnis yaitu Personal Computer, Data Center, Source Code, Absolut System, dan Internet. Dari keseluruhan aset-aset penting tersebut, terdapat aset yang paling kritis yaitu aset Data Center, yang berfungsi untuk menyimpan keseluruhaan data perusahaan atau storage devices dari data pelanggan, data keuangan, dan data source code programmer. Data Center diakses oleh direktur, seluruh staf TI, programmer, divisi analis, divisi akuntansi dan keuangan. Asetaset yang berhubungan dengan Data Center adalah Personal Computer, Internet, Absolut system, dan Source Code. 4.3.2 Kebutuhan Keamanan Aset Kebutuhan keamanan untuk keseluruhan aset penting adalah kerahasiaan, integritas dan ketersediaan. Kebutuhan keamanan yang paling diutamakan adalah ketersediaan karena aset-aset penting di perusahaan mendukung kelancaran proses bisnis perusahaan. 4.3.3 Ancaman Aset Kritis Kemungkinan ancaman yang tidak dapat diabaikan dalam perusahaan terhadap aset kritis adalah terjadinya penyingkapan, modifikasi, penghancuran, dan interupsi yang bisa merugikan perusahaan dan menganggu kinerja karyawan.

63 Ancaman bisa terjadi melalui akses fisik dan jaringan, setiap akses mempunyai dua aktor yaitu pelaku yang berasal dari dalam dan luar perusahaan, dan dua motif yaitu disengaja dan tidak disengaja. Aktor yang memberikan ancaman terbesar melalui akses jaringan dari dalam perusahaan adalah kesalahan memasukan data kedalam sistem dan kriminalitas karyawan. Untuk kesalahan pemasukan data biasanya dilakukan oleh karyawan baru secara tidak sengaja, kerugian dari ancaman ini tergolong rendah dan selalu bisa diperbaiki oleh staf TI perusahaan. Sedangkan untuk kriminalitas karyawan berpeluang besar karena sistem yang belum terotorisasi dengan baik di perusahaan. Ancaman virus sejauh ini belum merugikan perusahaan dan masih teratasi dengan baik oleh staf TI. Pada akses fisik, risiko berasal dari internal dan eksternal perusahaan yang dilakukan dengan unsur kesengajaan seperti pencurian. Untuk unsur ketidaksengajaan risiko yang pernah terjadi adalah bencana alam berupa banjir, yang merusak jaringan dan server perusahaan. Risiko fisik sering mengakibatkan kerugian finansial pada perusahaan. Frekuensi terjadinya ancaman di perusahaan paling sering terjadi pada akses jaringan, yaitu ancaman penyingkapan yang dilakukan internal perusahaan, baik yang disengaja ataupun yang tidak disengaja, masing-masing sebanyak lima dan dua kali dalam setahun. Untuk akses fisik ancaman pernah terjadi satu kali dalam setahun adalah modifikasi yang dilakukan oleh karyawan perusahaan dan banjir yang mengakibatkan modifikasi dan penghancuran.

64 4.4 Infrastruktur Yang Berhubungan Dengan Aset Kritis 4.4.1 Jalur Aset Keseluruhan sistem penting perusahaan berkaitan langsung dengan Data Center, komponen-komponen yang berkaitan dengan Data Center terdiri dari server dan internal network. Internal network merupakan sarana yang digunakan untuk mengirimkan informasi dan aplikasi dari Data Center ke karyawan. Sedangkan karyawan mengakses Data Center melalui laptop dan on-site workstations. Dalam penyimpanan informasi dari Data Center menggunakan satu storage devices. Komponen dan sistem penting selain Data Center meliputi PC, Internet, Absolut System, dan Data Source Code. 4.4.2 Keterkaitan Teknologi Setiap komponen dan sistem penting dalam perusahaan saling berkaitan dengan server, internal network, on-site workstation, laptop, dan storage device. Tanggung jawab dalam menjaga dan mengamankan server, internal network, onsite workstation, laptop, storage device adalah tanggung jawab divisi TI, aplikasi antivirus dan firewall, sejauh ini proteksi dalam perusahaan dikategorikan tinggi dalam menjaga dan mengkonfigurasi server, internal network dan storage device,tetapi untuk on-site workstation dan laptop masih rendah. 4.5 Hasil Identifikasi dan Analisis 4.5.1 Dampak Ancaman a. Dampak ancaman melalui akses jaringan yang dilakukan oleh internal perusahaan secara tidak sengaja.

65 Dampak terhadap reputasi bernilai sedang untuk penyingkapan dan interupsi, dan bernilai tinggi untuk modifikasi dan penghancuran. Dampak terhadap finansial pada hasil penyingkapan, modifikasi, dan interupsi bernilai sedang, untuk penghancuran bernilai tinggi. Dampak terhadap produktifitas bernilai sedang untuk penyingkapan dan modifikasi, dan tinggi untuk penghancuran dan interupsi. Dampak terhadap denda bernilai sedang untuk semua hasil ancaman, sedangkan untuk dampak terhadap perlindungan bernilai rendah. b. Dampak ancaman melalui akses jaringan yang dilakukan oleh internal perusahaan secara sengaja. Dampak terhadap reputasi bernilai sedang untuk semua hasil ancaman, sedangkan terhadap finansial bernilai tinggi pada keseluruhan hasil ancaman. Dampak terhadap produktifitas bernilai rendah untuk penyingkapan, sedang untuk modifikasi, dan tinggi untuk penghancuran dan interupsi. Dampak terhadap denda bernilai sedang untuk semua hasil ancaman dan dampak terhadap perlindungan bernilai rendah juga untuk semua hasil ancaman. c. Dampak ancaman melalui akses jaringan yang dilakukan oleh eksternal perusahaan secara tidak sengaja. Dampak terhadap reputasi bernilai sedang untuk penyingkapan dan modifikasi, dan bernilai rendah untuk penghancuran dan interupsi.

66 Dampak terhadap finansial bernilai sedang untuk hasil interupsi, dan bernilai tinggi untuk hasil penyingkapan, modifikasi dan penghancuran. Dampak terhadap produktifitas bernilai rendah untuk hasil penyingkapan, bernilai sedang untuk hasil modifikasi dan bernilai tinggi untuk hasil penghancuran dan interupsi. Dampak terhadap denda dan perlindungan masing-masing bernilai sedang dan rendah untuk semua hasil ancaman. d. Dampak ancaman melalui akses jaringan yang dilakukan oleh eksternal perusahaan secara sengaja. Dampak terhadap reputasi dan finansial, masing-masing bernilai rendah dan tinggi untuk semua hasil ancaman. Dampak terhadap produktifitas bernilai rendah untuk penyingkapan, bernilai sedang untuk modifikasi dan bernilai tinggi untuk penghancuran dan interupsi. Dampak terhadap denda dan perlindungan, sama dengan sebelumnya yaitu masing-masing bernilai sedang dan rendah untuk semua hasil ancaman. e. Dampak ancaman melalui akses fisik yang dilakukan oleh internal perusahaan secara tidak sengaja. Dampak terhadap reputasi, finansial dan denda, bernilai sama yaitu sedang untuk semua hasil ancaman, sedangkan dampak terhadap produktifitas dan perlindungan bernilai rendah untuk semua hasil ancaman.

67 f. Dampak ancaman melalui akses fisik yang dilakukan oleh internal perusahaan secara sengaja. Dampak terhadap reputasi, finansial dan denda bernilai sedang pada semua hasil ancaman, sedangkan untuk perlindungan bernilai rendah. Dampak pada produktifitas bernilai sedang untuk hasil modifikasi dan penyingkapan, dan bernilai tinggi untuk hasil modifikasi dan interupsi. g. Dampak ancaman melalui akses fisik yang dilakukan oleh eksternal perusahaan secara tidak sengaja Dampak terhadap reputasi, finansial dan denda bernilai sedang untuk semua hasil ancaman, sedangkan dampak terhadap produktifitas dan perlindungan bernilai rendah untuk semua hasil ancaman. h. Dampak ancaman melalui akses fisik yang dilakukan oleh eksternal perusahaan secara sengaja Dampak terhadap reputasi, finansial, dan produktifitas bernilai sedang untuk semua hasil ancaman sedangkan dampak terhadap denda dan perlindungan bernilai rendah untuk semua hasil ancaman. 4.5.2 Kriteria Kemungkinan Waktu peristiwa terjadinya ancaman di perusahaan tergolong sedang dengan frekuensi dibawah empat kali setahun sampai sekali setahun. Pengukuran ini berlaku untuk semua ancaman pada aset penting, baik yang disengaja ataupun tidak disengaja.

68 4.5.3 Peluang dari ancaman a. Peluang terjadinya ancaman melalui akses jaringan dalam internal perusahaan secara tidak sengaja. Untuk ancaman terjadinya penyingkapan berpeluang sedang dengan tingkat keyakinan besar terhadap perkiraan kemungkinan yang ada, terjadinya hasil modifikasi berpeluang sedang dengan tingkat keyakinan kecil, peluang terjadinya penghancuran dan interupsi sama-sama bernilai rendah dengan tingkat keyakinan kecil. b. Peluang terjadinya ancaman melalui akses jaringan dalam internal perusahaan secara sengaja. Ancaman terjadinya penyingkapan dan modifikasi berpeluang sedang dengan tingkat keyakinan kecil, sedangkan untuk ancaman penghancuran dan interupsi berpeluang tinggi dengan tingkat keyakinan kecil. c. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara tidak sengaja. Peluang terjadinya penyingkapan, modifikasi, penghancuran dan interupsi bernilai rendah dengan tingkat keyakinan rendah untuk semua ancaman. d. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara sengaja. Untuk nilai peluang terjadinya ancaman pada bagian ini, sama dengan yang sebelumnya, yaitu berpeluang rendah untuk semua ancaman, dan memiliki tingkat keyakinan yang kecil e. Peluang terjadinya ancaman melalui akses fisik dalam internal perusahaan secara tidak sengaja.

69 Untuk keseluruhan hasil ancaman pada bagian ini berpeluang rendah dengan tingkat keyakinan juga kecil. f. Peluang terjadinya ancaman melalui akses fisik dalam internal perusahaan secara sengaja. Ancaman terjadinya penyingkapan dan modifikasi berpeluang sedang dengan tingkat keyakinan besar, sedangkan untuk ancaman penghancuran dan interupsi berpeluang rendah dengan tingkat keyakinan kecil. g. Peluang terjadinya ancaman melalui akses fisik dalam eksternal perusahaan secara tidak sengaja. Ancaman terjadinya penyingkapan, modifikasi, penghancuran dan interupsi, semuanya berpeluang rendah dengan tingkat keyakinan juga kecil. h. Peluang terjadinya ancaman melalui akses fisik dalam eksternal perusahaan secara sengaja. Hasil ancaman yang berupa penyingkapan dan modifikasi berpeluang sedang dengan tingkap keyakinan besar sedangkan untuk hasil penghancuran dan interupsi berpeluang rendah dengan tingkat keyakinan kecil. 4.6 Strategi Perlindungan dan Rencana Mitigasi 4.6.1 Strategi Perlindungan Saat Ini Berdasarkan kertas kerja profil risiko yang terdapat pada lampiran, pendekatan pengukuran risiko melalui akses jaringan yang dilakukan oleh perusahaan saat ini berfokus pada (a) kesadaran keamanan dan pelatihan, (b) kebijakan keamanan dan peraturan, (c) pengesahan dan otorisasi sedangkan pada akses fisik perusahaan berfokus pada (d) pemantauan dan audit keamanan fisik..

70 Strategi perlindungan yang telah ada dalam perusahaan saat ini untuk setiap praktek keamanan yang menjadi fokus perusahaan berupa : a. Kesadaran Keamanan dan Pelatihan Strategi pelatihan lanjutan terbatas pada beberapa karyawan tertentu, dimana hak tersebut juga terjadi dengan pertimbangan secara informal dan tidak terdokumentasi. Untuk karyawan baru, pelatihan kesadaran hanya terbatas pada masa orientasi, dan hanya berlangsung selama tiga hari untuk keseluruhan sistem operasional perusahaan tanpa adanya pembaruan berkala. Sedangkan untuk masalah kesadaran keamanan, para karyawan terutama staf TI belajar mengenai masalah keamanan dengan sendirinya tanpa ada pelatihan. b. Kebijakan Keamanan dan Peraturan Kebijakan keamanan perusahaan saat ini, belum didokumentasi secara keseluruhan. Kebijakan masih dibagi secara informal dan formal, untuk kebijakan informal belum didokumentasi. Perusahaan hanya memiliki mekanisme informal dalam membuat dan memperbaharui kebijakan keamanan. c. Pengesahan dan Otorisasi Perusahaan hanya menggunkan password dan id sebelum mengakses sistem, aplikasi dan layanan tertentu, tetapi belum terdapat pembatasan penggunaan untuk setiap karyawan. Perusahaan umumnya tidak memberikan pelatihan kepada anggota staf TI untuk langkah-langkah teknologi untuk membatasi akses pengguna. d. Pemantauan dan Audit Keamanan Fisik

71 Perusahaan selalu menyimpan catatan pemeliharaan untuk dokumen perbaikan dan modifikasi hardware, perusahaan juga melakukan pemantauan fisik pada akses kontrol hardware dan software yang dibatasi pada wilayah kerja. Kebijakan dan prosedur formal pada praktek keamanan ini telah di dokumentasikan secara formal walaupun tidak secara keseluruhan. Tidak terdapat pelatihan untuk pemantauan akses fisik pada hardware dan software. 4.6.2 Memilih Pendekatan Mitigasi Sesuai dengan kertas kerja profil risiko yang terdapat pada lampiran, pendekatan mitigasi dilakukan pada ancaman bermotif disengaja pada internal perusahaan melalui akses jaringan dan ancaman bermotif disengaja pada internal dan eksternal perusahaan melalui akses fisik. Kegiatan mitigasi risiko melalui akses jaringan pada internal perusahaan fokus pada tiga aktifitas praktek keamanan, yaitu, (1) kesadaran keamanan dan pelatihan, (2) kebijakan keamanan dan peraturan, (3) pengesahan dan otorisasi, sedangkan untuk eksternal perusahaan, tidak dilakukan pendekatan mitigasi. Kegiatan mitigasi pada akses fisik di internal dan eksternal perusahaan difokuskan pada, (4) pemantauan dan audit keamanan fisik. 4.6.3 Rencana Mitigasi 1. Kesadaran Keamanan dan Pelatihan, untuk aktifitas mitigasi di praktek keamanan ini, meliputi: a. Menyediakan pelatihan kesadaran keamanan pada seluruh karyawan perusahaan.

72 Pelatihan kesadaran keamanan pada karyawan dapat membantu pemahaman karyawan akan keamanan perusahaan sehingga risiko dapat yang tidak disengaja dapat dikurangi. Para manajer perusahaan bertanggung jawab terhadap kegiatan mitigasi ini untuk masing-masing divisi mereka, karena manajer yang memimpin operasional karyawan perusahaan sehingga pelatihan bisa dilakukan perdivisi dan mendapat hasil yang lebih optimal. b. Menyediakan pelatihan pendukung TI secara periodik pada staf TI. Staf TI mempunyai peran penting dalam keamanan teknologi perusahaan sehingga menjadi bagian vital perusahaan dan sudah sewajarnya diberikan dukungan pelatihan khusus TI. Penanggung jawab dalam aktifitas mitigasi ini adalah manajer TI, dan staf TI karena divisi ini yang mengelola TI internal perusahaan 2. Kebijakan Keamanan dan Peraturan, untuk aktifitas mitigasi di praktek keamanan ini, meliputi: a. Membuat prosedur formal untuk setiap kebijakan dan peraturan tentang dalam perusahaan. Dengan adanya kegiatan ini maka risiko pelanggaran dapat diperkecil, karena sanksi dan tanggung jawab setiap prosedur perusahaan menjadi jelas dan baik. Dalam membuat kebijakan ini, seharusnya langsung ditinjau oleh direktur perusahaan. Dukungan dan komitmen dari para staf untuk kegiatan ini sangat dibutuhkan dan pemberian sanksi terhadap staf juga bisa diterapkan untuk tahap awal penetapan aktifitas ini.

73 b. Pemberian latihan kesadaran tentang kebijakan dan peraturan keamanan pada anggota staf. Pelatihan ini bisa dilakukan sekaligus untuk keseluruhan staf secara bersamaan, sehingga memperkecil biaya operasional untuk pelatihan. Dalam pelatihan ini, diharapkan bisa meningkatkan kualitas staf dan memperkecil risiko. Untuk penanggung jawab aktifitas ini adalah para manajemen senior. 3. Pengesahan dan Otorisasi, untuk aktifitas mitigasi di praktek keamanan ini, meliputi: a. Membuat pembatasan terhadap user yang akan akses ke dalam sistem informasi perusahaan. Karena dengan adanya pembatasan akan akses informasi ini maka perusahaan dapat memberikan perlindungan yang lebih terhadap datadata penting di perusahaan, pembatasan ini diharapakan memperkecil ancaman yang disengaja dalam internal perusahaan, pembatasan yang dimaksud disini bukan hanya sekedar password, akan tetapi lebih kepada pengesahan dan otorisasi terhadap data yang akan di ambil, seperti permintaan id lengkap dan double password untuk data kritis. Penanggung jawab dalam mitigasi ini adalah divisi TI khususnya manajer TI yang bertugas menjaga keamanan sistem informasi perusahaan. b. Mendokumentasi Setiap Prosedur Pengesahaan dan Otorisasi. Kegiatan ini bertujuan untuk mengurangi risiko penyalahgunaan wewenang dalam perusahaan, penanggung jawab dalam kegiatan ini adalah para manajemen senior.

74 4. Pemantauan dan Audit Keamanan Fisik, untuk aktifitas mitigasi di praktek keamanan ini, meliputi: a. Perencanaan prosedur pemantauan akses fisik secara periodik atas bangunan, area kerja, hardware, software media, dan jaringan yang didokumentasikan secara formal. Perusahaan memerlukan pemantauan TI secara periodik agar risiko bisa diperkecil. Karena akses fisik sangat dominan dalam timbulnya risiko, baik itu untuk motif disengaja ataupun yang tidak disengaja. Yang pantas diberikan tanggung jawab dalam aktifitas ini adalah divisi TI, karena menyangkut TI internal perusahaan dan dengan otorisasi dari direktur terhadap operasi pemantauan dan operasi perbaikan yang diharuskan. b. Kerja sama dengan penyedia layanan TI dari luar perusahaan untuk bagian yang diluar jangkauan divisi TI internal. Karena divisi TI perusahaan saat ini hanya mencakup tugas technical support dan administrator. Penanggung jawab pada aktifitas ini adalah direktur dan manajer TI, karena mereka yang menyeleksi dan menentukan outsource yang paling cocok untuk perusahaan. c. Pembagian tugas dan tanggung jawab yang jelas dalam divisi TI perusahaan. Tanggung jawab staf TI masih tidak jelas, karena tidak adanya pembagian tugas yang jelas dalam departemen, seperti untuk network dan fisik. Sehingga pemantauan periodik sulit ditentukan. Yang bertanggung jawab dalam aktifitas ini adalah Manajer TI, sehingga lebih mengetahui

75 tanggung jawab masing-masing tugas terhadap karyawannya. Dan dianjurkan dalam aktifitas ini perusahaan merekrut karyawan yang berpengalaman dan telah mendapatkan pelatihan yang baik. 4.6.4 Perubahan Strategi Perlindungan 1. Kesadaran Keamanan dan Pelatihan Perubahan strategi perlindungan yang ingin dilakukan perusahaan dalam area ini adalah membuat dokumentasi dan daftar dari hasil pelatihan seluruh karyawan. Perlunya dokumentasi ini karena banyak karyawan yang mengikuti pelatihan, dengan ada dokumentasi akan memudahkan divisi dalam melihat kemajuan staf setelah pelatihan dan penetapan jadwal pelatihan untuk periodik berikutnya, juga sebagai bukti terhadap manajemen senior. Yang bertanggung jawab adalah manajer setiap divisi. 2. Kebijakan Keamanan dan Peraturan Perubahan yang diperlukan dalam area ini adalah pendokumentasian setiap prosedur dan mekanisme kebijakan keamanan dan peraturan formal, kebijakan keamanan dan peraturan juga perlu di perbaharui secara periodik agar prilaku karyawan tidak menyimpang. 3. Pengesahan dan Otorisasi Strategi perlindungan perusahaan yang diperlukan adalah penyediaan staf TI yang memiliki kemampuan untuk membuat pembagian akses untuk semua karyawan perusahaan, dan merekrut karyawan baru yang menangani kegiatan pendokumentasian seluruh prosedur dan tanggung jawab pengesahan dan otorisasi.

76 4. Pemantauan dan Audit Keamanan Fisik Strategi yang perlu dibuat perusahaan adalah meninjau catatan pendokumentasiaan pada pemantauan dasar secara periodik, melakukan investigasi pada semua aktifitas yang tidak bisa diidentifikasikan. 4.6.5 Identifikasi Langkah Selanjutnya Dalam pengimplementasi hasil dari evaluasi dan sikap keamanan, ada beberapa hal yang menjadi pertimbangan perusahaan, antara lain: 1. Manajemen harus mengutamakan keamanan informasi dalam strategi bisnis perusahaan dalam mendukung pelaksanaan hasil dari OCTAVE-S. 2. Melakukan evaluasi dalam rapat bulanan, dan memeriksa laporan rutin untuk melacak kemajuan dan memastikan hasil evaluasi telah dilaksanakan. 3. Perusahaan tidak akan melakukan evaluasi penambahan aset-aset penting, jika kegiatan mitigasi yang ada sekarang belum diterapkan secara menyeluruh. 4. Perusahaan dianjurkan untuk melakukan evaluasi OCTAVE-S setiap tahun.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan