BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

dokumen-dokumen yang mirip
Langkah langkah FRAP. Daftar Risiko. Risk

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

BAB 4 HASIL DAN PEMBAHASAN MANAJEMEN RISIKO TI. IT. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis

BAB 4 PEMBAHASAN. mempunyai dampak secara global terhadap pemakaian teknologi itu sendiri. Dalam suatu

PENGUKURAN RISIKO TEKNOLOGI INFORMASI PADA PT. SAGA MACHIE DENGAN MENGGUNAKAN METODE FRAP

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

PENGUKURAN RESIKO TEKNOLOGI INFORMASI DENGAN PENDEKATAN FRAP: STUDI KASUS PADA PT COWELL DEVELOPMENT, TBK

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

PENILAIAN RISIKO SISTEM INFORMASI PENJUALAN KREDIT PADA PT MUSTIKA RATU,TBK MENGGUNAKAN METODE FRAAP

Lampiran Check List Pengendalian Manajemen Operasional. No. Pertanyaan Y T Keterangan Standart

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

BAB 4 AUDIT SISTEM INFORMASI. Pada bab ini akan membahas mengenai proses pelaksanaan Audit Sistem

BAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI. untuk meningkatkan efektifitas dan efisiensi kegiatan operasional perusahaan.

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

Daftar Pertanyaan Wawancara Berdasarkan Pengendalian Manajemen Keamanan. tinggi? PC? PC? pada ruang PC? antivirus? berkala?

Standar Internasional ISO 27001

BAB 5 SIMPULAN DAN SARAN

BAB 4 AUDIT SISTEM INFORMASI. audit dari wawancara dengan manajer yang terkait dan bagian bagian yang

PASAL DEMI PASAL. Pasal 1 Cukup jelas.

BAB 3 GAMBARAN UMUM SISTEM INFORMASI YANG SEDANG BERJALAN. Keberadaan Departemen Komunikasi dan Informatika (DepKementrian

BAB 1 PENDAHULUAN 1.1 Latar Belakang

BAB 4 EVALUASI SISTEM INFORMASI FRONT OFFICE PADA HOTEL ISTANA NELAYAN

Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

Tulis yang Anda lewati, Lewati yang Anda tulis..

PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA

BAB IV SIMPULAN DAN SARAN

BAB 2 TINJAUAN PUSTAKA

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

Kesepakatan Tingkat Layanan Service Level Agreement (SLA)

KUESIONER. Nama Responden. Bagian/Jabatan

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI

BAB 4 EVALUASI SISTEM INFORMASI SUMBER DAYA MANUSIA PT. TUNAS RIDEAN TBK. Dalam pengevaluasian hasil informasi tersebut, diperlukan adanya

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA CABANG CV. PESONA DIGITAL DI MALL TAMAN ANGGREK

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG DAGANG PADA PT. DISTRIVERSA BUANAMAS

Pengendalian Sistem Informasi Berdasarkan Komputer

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG PADA PT. TIRATANA ELECTRIC

KENDALI MANAJEMEN MUTU

Menu ini digunakan untuk user untuk login ke sistem QAD. User harus memasukkan username dan password.

OTORITAS JASA KEUANGAN REPUBLIK INDONESIA

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

BAB 4 EVALUASI SISTEM INFORMASI. No Kegiatan Metode Waktu. Mencari Informasi dari Buku dan. Internet yang berkaitan dengan

BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS

BAB 4 PEMBAHASAN. PT Triasta Integrasi Teknologi memiliki bisnis utama (core business) yaitu

BAB IV SIMPULAN DAN SARAN

PEDOMAN PEDOMAN. PT JASA MARGA (Persero) Tbk. Nomor Pedoman : P2/DIT/2014/AI Tanggal : 1 Desember 2014

Database Security BY NUR HIDAYA BUKHARI PRODI TEKNIK INFORMATIKA DAN KOMPUTER UNIVERSITAS NEGERI MAKASSAR 2012

Implementasi E-Bisnis e-security Concept And Aplication Part-11

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

Bab 4 Analisis dan Pembahasan

BAB 4 PELAKSANAAN AUDIT SISTEM INFORMASI. Pada bab ini akan dijelaskan mengenai pelaksanaan Audit Sistem Informasi Penjualan

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

MATERI 03 : KEAMANAN INFORMASI

Auditing. Obyektif. 3.1 Phase Audit Sistem Informasi

INFRASTRUCTURE SECURITY

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT BRAHMANA. yang terdapat pada PT Brahmana.

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

BAB 4 AUDIT SISTEM INFORMASI GENERAL LEDGER ATAS SUBSISTEM KAS KECIL PADA PT. SADIKUN NIAGAMAS RAYA CABANG SRENGSENG

Prosedure Keamanan Jaringan dan Data

Lampiran 1 : Kuesioner Pengendalian Intern Penjualan Kredit Berbasis Komputer. Kuesioner Pengendalian Intern Akuntansi dalam Sistem Komputer

PERATURAN TERKAIT PENGENDALIAN INTERNAL

EVALUASI KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

SISTEM INFORMASI MANAJEMEN

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN PADA PT. DELL PAN TUNGGAL

- 1 - UMUM. Mengingat

Dimensi Kelembagaan. Kebijakan Kelembagaan 1. Perencanaan 0.5

Gambar Menu Login User. Gambar Menu Login jika user belum mengisi User Name. Gambar Menu Login jika User Name salah menginput password

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

Nama : Putri Syaharatul Aini Nim : Uas : Sistem Informasi Akuntansi Soal : ganjil

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

8/29/2014. IS Audit Process. CDG4I3 / Audit Sistem Informasi. Angelina Prima K Gede Ary W. KK SIDE Agenda

PENGAMANAN SISTEM basis DAta

BAB II LANDASAN TEORI

II. PERAN DAN TANGGUNG JAWAB DIREKSI

Bab 3 Metode Penelitian

BAB 3 DESKRIPSI DAN PENGENDALIAN SISTEM YANG BERJALAN PADA PT CATRA NUSANTARA BERSAMA

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

BAB 5 FAKTOR PENGUJIAN

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

KERANGKA KENDALI MANAJEMEN (KENDALI UMUM)

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA PT. ABC

BAB 4 EVALUASI SISTEM INFORMASI AKTIVA TETAP PADA PT. TRITEGUH MANUNGGAL SEJATI

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI. yang akan penulis evaluasi antara lain : cadang pada PT. Mercindo Autorama

BAB 4 Pembahasan 4.1 Context

Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH

APPENDIX A. Sumber dan Tujuan. Data. Arus Data. Proses Transformasi. Penyimpanan Data

LAMPIRAN 1. Kuesioner Portfolio Domain Bisnis

Transkripsi:

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Dalam melakukan manajemen risiko pada PT Saga Machie, penulis mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan Bagian TI. Selain dengan hasil wawancara, penulis juga melakukan observasi langsung dan memberikan kuisioner kepada beberapa pihak karyawan yang terkait dengan ruang lingkup penelitian. Dari hasil penelitian yang dilakukan, penulis menganalisis keadaan perusahaan yang ada dengan metode FRAP yang terdiri dari 3 tahapan, yaitu : a. Pre-FRAP Meeting Dalam tahapan ini terdapat komponen penting, yaitu : 1) Ruang Lingkup 2) Model Visual 3) Pembentukan Tim FRAP 4) Pertemuan Teknis (Meeting Mechanics) 5) Persetujuan Definisi (Agreement of Definition) b. FRAP Session Dalam tahapan ini terdapat 3 komponen penting, yaitu : 1) Identifikasi Risiko 2) Kontrol terhadap Risiko 3) Memberikan saran kontrol (Suggested Control) 99

100 c. Post-FRAP Meeting Proses dari Post-FRAP Meeting, yaitu : 1) Cross reference sheet 2) Action Plan Dari ketiga tahapan diatas memiliki kegiatan atau aktivitas yang saling membantu dalam menilai dan mengukur manajemen risiko teknologi informasi. 4.2 Informasi dari Organisasi Berdasarkan pengumpulan data yang penulis dapatkan dari PT SAGA MACHIE dengan cara membagikan kuesioner dan data-data tersebut diolah sesuai dengan langkah-langkah yang terdapat pada metode FRAP maka adapun hasil pengolahan data dari kuesioner tersebut yang dilakukan oleh penulis adalah sebagai berikut: a. Kebijakan Keamanan Berdasarkan hasil pengamatan kuisioner, maka dapat disimpulkan bahwa hampir seluruh karyawan PT Saga Machie telah mengetahui dengan cukup jelas mengenai kebijakan keamanan yang telah ditentukan pada PT Saga Machie. Prosedur yang telah diterapkan dalam perusahaan sudah berjalan dengan baik, namun penanganan dokumen dan panduan keamanan sistem informasi kurang jelas diketahui para karyawan. b. Kesesuaian dengan Perusahaan Berdasarkan hasil pengamatan kuisioner, maka dapat disimpulkan bahwa hampir seluruh karyawan PT Saga Machie telah memenuhi kewajibannya dalam menjaga

101 keamanan informasi. Dalam PT Saga Machie tentunya dapat ditemukan berbagai macam ancaman seperti pengaksesan informasi yang tidak sah, maka setiap karyawan perlu diberikan pelatihan mengenai kesadaran akan keamanan informasi diperusahaan serta kemampuan dalam penggunaan aplikasi yang ada. Pengawasan dan Auditing dalam hal kebijakan keamanan dan prosedur pada PT Saga Machie belum terealisasi dengan baik. c. Keamanan Fisik Berdasarkan hasil pengamatan kuisioner, maka informasi yang didapat mengenai keamananan fisik dalam PT Saga Machie telah diimplementasikan dan para karyawan sudah mengetahuinya dengan cukup jelas. Perlindungan terhadap hardware dan software telah diterapkan, guna mencegah terjadinya risiko yang tidak diinginkan. d. Business Impact Analysis, Disaster Recovery Plan Berdasarkan hasil pengamatan kuisioner, maka dapat diketahui bahwa BIA dan DRP pada PT Saga Machie telah diimplementasikan dengan cukup baik dalam menangani dan mencegah bencana yang mungkin terjadi. Dalam hal ini karyawan telah memahami mengenai adanya DRP dan berperan ikut serta terhadap pelaksanaan DRP tersebut. Untuk mengantisipasi bencana yang mungkin terjadi, dimana dapat merusak data-data perusahaan, maka perlu dilakukan backup dan prosedur pemulihan secara berkala sehingga data tersebut dapat berfungsi dengan baik tanpa adanya hambatan. e. Perlindungan Teknis Berdasarkan hasil kuisioner yang ada, dapat kita ketahui bahwa perlindungan teknis dalam PT Saga Machie cukup jelas, dimana hal tersebut dapat berguna untuk

102 melindungi infrastruktur jaringan yang ada diperusahaan dengan adanya perlindungan informasi. Firewall yang diterapkan dalam PT Saga Machie telah berfungsi cukup maksimal, sehingga diperlukan pemantauan secara rutin dari pihak yang berkaitan. Selain itu juga, perlindungan teknis terhadap informasi perlu dilakukan dan diperhatikan dengan baik, agar menghindari hambatan yang mungkin terjadi terhadap infrastruktur jaringan. f. Keamanan Telekomunikasi Berdasarkan hasil kuisioner yang ada, dapat kita ketahui bahwa kebijakan keamanan telekomunikasi dalam PT Saga Machie jelas, dimana masing-masing karyawan mengetahui wewenangnya dalam mengakses informasi yang ada. Namun, hal tersebut harus sesuai kebijakan yang telah ditetapkan perusahaan, antara lain adanya penerapan penggunaan password pribadi yang dimiliki oleh setiap karyawan guna untuk melindungi dari hak akses yang tidak sah. Selain hak yang dimiliki para karyawan, adapun tanggung jawab yang diberikan kepada karyawan dalam melindungi asset perusahaan dan perusahaan perlu mengawasi penggunaan asset secara rutin (berkala) untuk mengantisipasi penyalahgunaan hak akses. 4.3 Pre-FRAP Meeting 4.3.1 Ruang Lingkup Dalam hal ini, kami sebagai fasilitator FRAP menentukan ruang lingkup pada PT Saga Machie, yaitu pada bagian TI. Tidak hanya pada bagian TI saja, namun juga pada bagian Penjualan dan Persediaan barang.

103 4.3.2 Model Visual Pre FRAP Meeting FRAP Session Post FRAP Meeting Ruang Lingkup Identifikasi Risiko Cross Reference Sheet Model Visual Pembentukkan TIM FRAP Kontrol Terhadap Risiko Action Plan Pertemuan Teknis (Meeting Mechanics) Memberikan saran kontrol (Suggested Controls) Persetujuan Definisi (Agreement of Definition)

104 4.3.3 Pembentukan Tim FRAP Dalam pembentukan tim FRAP Meeting, fasilitator berhak menentukan anggota tim yang dapat mengikuti proses FRAP Meeting. Hal ini dilakukan agar memudahkan para anggota tim FRAP Meeting dalam bertukar pikiran terhadap risiko yang mungkin muncul dan kontrol terhadap risiko yang telah ada di dalam PT Saga Machie. Adapun anggota yang ikut berpartisipasi dalam bertukar pikiran, antara lain : General Manager TI, Staff TI, Manajer Bisnis, Fasilitator, Pimpinan Proyek, dan Juru Tulis. 4.3.4 Pertemuan Teknis Dalam proses pertemuan teknis ini, Manajer Bisnis memilih seseorang dari staffnya untuk bertanggung jawab terhadap ketersediaan ruang meeting, menentukan penjadwalan meeting serta menyiapkan kebutuhan yang diperlukan dalam meeting. 4.3.5 Persetujuan Definisi Dalam tahap pre-frap ini dibutuhkan persetujuan terhadap definisi FRAP. Dimana terdapat lima definisi utama yang perlu dipahami oleh para staf sebelum melakukan FRAP, yaitu : a. Threat Kejadian yang berpotensial memiliki dampak negatif terhadap tujuan bisnis atau pernyataan misi dari perusahaan

105 b. Control Suatu ukuran yang diambil untuk mencegah, mendeteksi, mengurangi, atau pulih dari resiko untuk melindungi proses bisnis atau misi perusahaan. c. Integrity Informasi seperti yang dimaksudkan atau diinginkan, tanpa pengungkapan informasi yang tidak sah atau yang tidak diinginkan. d. Confidentiality Informasi yang belum mengalami pengungkapan informasi yang tidak sah atau yang tidak diinginkan. e. Availability Aplikasi, sistem, atau sumber daya informasi bisa diakses saat diperlukan. 4.4 FRAP Session FRAP Session dilakukan selama 4 (empat) jam oleh tim FRAP, yang berlangsung di PT Saga Machie. Adapun hasil yang diperoleh dari proses ini adalah sebagai berikut : 4.4.1 Identifikasi Risiko Berdasarkan hasil wawancara dan kuisioner, penulis dapat menyimpulkan risiko-risiko apa saja yang mungkin terjadi pada PT Saga Machie, sebagai berikut :

106 No Risiko Risiko Tipe 1 Informasi diakses oleh pihak yang tidak berwenang INT 2 Informasi pihak ketiga dapat menyebabkan masalah INT kepada perusahaan 3 Salah pengelompokan informasi dan data INT 4 Data dan informasi tidak sesuai dengan fakta INT 5 Data lama atau dokumen tidak dihapus INT 6 Informasi digunakan dalam konteks yang tidak sesuai INT 7 Kesalahan terhadap data dan dokumen yang INT dipublikasikan 8 Kehilangan data atau informasi akibat kebakaran INT 9 Tidak ada peringatan atas kesalahan input data INT 10 Akses untuk backup data tidak terkontrol dengan baik INT 11 Terdapatnya virus dapat menyebabkan kegagalan INT sistem atau hilangnya data 12 Penggunaan informasi yang tidak benar yang dapat INT berdampak pada bisnis 13 Autentikasi untuk akses data sensitif perusahaan tidak INT memadai 14 Informasi diubah tanpa adanya persetujuan dari pihak INT yang bertanggungjawab 15 Manipulasi data untuk kepentingan pribadi atau INT kelompok 16 Human error pada saat meng-entry data manual INT kedalam sistem 17 Kerusakan hardware akibat bencana kebakaran INT 18 Penolakan akses ke informasi padahal diakses oleh orang yang berwenang INT

107 19 Penyalahgunaan user ID CON 20 Mantan user atau karyawan masih memiliki akses CON untuk mengamankan data 21 Informasi sensitif dan tidak sensitif tercampur CON 22 Kebocoran informasi internal perusahaan CON 23 Otorisasi keaslian permintaan data CON 24 Prosedur otorisasi pada perusahaan CON 25 Di dalam pendaftaran personil terdapat personil yang CON tidak terotorisasi 26 Gangguan jaringan yang diakibatkan virus CON 27 Berbagi User ID CON 28 Akses yang tidak terkendali terhadap informasi yang CON sensitif 29 Hacker dapat membuat sistem down AVA 30 Hubungan jaringan antar sistem gagal didalam AVA perusahaan 31 Ketidaktersediaan dokumen DRP dalam perusahaan AVA 32 Pihak ketiga membatalkan perjanjian yang telah dibuat AVA 33 Data dan informasi hilang akibat kerusakan hardware AVA 34 Kebutuhan back-up tidak memadai AVA 35 Tidak adanya rekaman terhadap perubahan sistem atau AVA aplikasi software 36 Kegagalan router atau firewall membuat layanan jadi AVA tidak dapat diakses 37 Kerusakan database AVA 38 Error pada program AVA 39 Putusnya koneksi internet AVA 40 Sumber daya teknis kurang pelatihan yang tepat AVA 41 Kesalahan dalam membuat perubahan pada hardware AVA dan software Tabel 4.1 Identifikasi Risiko

108 4.4.2 Kontrol terhadap Risiko Berdasarkan proses FRAP Session yang dilakukan dan simpulan dari risiko yang mungkin terjadi di PT Saga Machie oleh tim FRAP, maka penulis mendapatkan hasil daftar kontrol ( Control List) sebagai berikut : Control Number Descriptor Control Description 1 Backup Persyaratan backup akan ditentukan dan dikomunikasikan ke operasional, termasuk request electronic notification bahwa backup siap dikirim ke application system administrator. Operasional akan diminta untuk menguji prosedur backup. Backup diperusahaan dilakukan setiap hari. 2 Recovery Plan Mengembangkan, mendokumentasikan, dan menguji prosedur pemulihan yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat diperoleh kembali, dengan menggunakan backup yang telah dibuat, jika terjadinya kemungkinan kehilangan data. 3 Risk Analysis Melakukan analisis risiko untuk mengidentifikasi risiko, dan mengidentifikasi kemungkinan perlindungan atau kontrol yang digunakan. 4 Antivirus Memastikan administrator LAN menginstal anti-virus perangkat lunak standar perusahaan di semua komputer. Serta adanya pelatihan dan kesadaran teknik pencegahan virus yang digabungkan dalam program organisasi. 5 Interface Dependencies Operasi Kontrol : Sistem yang menyediakan informasi akan diidentifikasi dan dikomunikasikan ke operasional untuk menekankan dampak bagi fungsionalitas jika bagian aplikasi penyedia tidak berada ditempat. 6 Maintenance Persyaratan waktu bagi technical maintenance akan ditelusuri dan permintaan untuk penyesuaian akan dikomunikasikan dengan manajemen, jika ahli memerlukan. Dalam perusahaan ini dilakukan maintenance

109 selama satu bulan sekali dan disesuaikan dengan kebutuhan. 7 Service Level Agreement Mendapatkan service level agreement untuk menetapkan tingkat pengharapan dan keyakinan customer dari kegiatan operasional pendukung. 8 Maintenance Memperoleh persetujuan pemeliharaan dan supplier untuk memfasilitasi status operasional yang berkesinambungan dari suatu aplikasi. 9 Change Management Kontrol migrasi pembuatan seperti pencarian dan menghapus atau menghilangkan proses untuk memastikan penyimpanan data yang bersih. 10 Business Impact Analysis Sebuah analisis dampak bisnis formal akan dilakukan untuk menentukan kekritisan suatu aset dengan aset perusahaan lainnya. 11 Disaster Recovery Planning Rencana pemulihan dari kemungkinan kerusakan-kerusakan yang berdampak pada kemampuan proses computer dan operasi bisnis perusahaan. 12 Application Control Merancang dan menerapkan pengendalian aplikasi (pengecekan pemasukan data lapangan yang memerlukan validasi, indikator alam, kemampuan kadaluarsa sandi, checksums) untuk menjamin integritas, kerahasiaan, dan ketersediaan informasi aplikasi. 13 Acceptance testing Membuat testing procsedur untuk diikuti selama pengembangan aplikasi dan modifikasi bagi aplikasi yang sedang berjalan yang meliputi partisipasi dan penerimaan user. 14 Training Pengguna pelatihan akan mencakup instruksi dan dokumentasi tentang penggunaan aplikasi secara benar. Pentingnya menjaga kerahasiaan dari account pengguna atau rekening pemakai, sandi, sifat rahasia dan kompetitif informasi akan ditekankan. 15 Policy Membuat kebijakan dan prosedur untuk membatasi akses dan hak operasi bagi pihakpihak yang memiliki keperluan bisnis. 16 Review Menerapkan mekanisme untuk memantau, melaporkan, dan mengaudit aktivitas yang teridentifikasi sebagai aktivitas yang membutuhkan review yang independen,

110 termasuk periodic reviews untuk user ID untuk memastikan dan memverifikasi kebutuhan bisnis. 17 Confidential Access Adanya sistem keamanan dalam sistem informasi sehingga tidak sembarang orang dapat mengakses langsung dalam sistem (khususnya orang dari pihak luar). 18 Asset Classification Aset yang direview akan diklasifikasikan dengan menggunakan kebijakan perusahaan, standar, dan prosedur pada klasifikasi aset. 19 Access control Operasi Kontrol: Mekanisme untuk melindungi terhadap risiko database yang tidak sah, dan modifikasi yang dilakukan dari luar aplikasi, akan ditentukan dan diimplementasikan. 20 Access Authorization Setiap akses yang diberikan kepada karyawan perusahaan melalui ijin dari atasan, dan selalu dikonfirmasi dengan baik kepada pengguna. 21 Modify Authorization Dalam mengupdate / memodifikasi data diperlukan surat perintah dari atasan, tidak boleh sembarang merubah, menambah, ataupun menghilangkan data. 22 Management Support Meminta dukungan dari pihak manajemen untuk memastikan kerja sama dan koordinasi dari unit-unit bisnis yang berbeda-beda. 23 Access Control Kontrol Keamanan : Mekanisme untuk melindungi database dari akses yang tidak terotorisasi dan modifikasi yang dibuat dari luar aplikasi, akan ditentukan dan diimplementasikan. 24 Physical Security Melakukan analisis risiko untuk menentukan tingkat pengungkapan bagi ancaman yang teridentifikasi dan mengidentifikasi keamanan atau kontrol yang memungkinkan. Tabel 4.2 Kontrol terhadap risiko 4.4.3 Prioritasi Risiko Berdasarkan risiko dan kontrol yang ada, maka dalam menentukan tingkat prioritas suatu risiko (Lampiran L1), perlu ditentukan matriks dari risiko tersebut, dilihat dari tingkat kerentanannya (vulnerability) dan pengaruhnya

111 terhadap bisnis (business impact). Dalam matriks ini, terdapat beberapa definisidefinisi yang harus dipahami diantaranya adalah : a. High Vulnerability : tingkat kelemahan yang sangat besar yang ada di dalam sistem atau operasional perusahaan dan berpotensi berdampak pada proses bisnis secara signifikan sehingga kontrol harus ditingkatkan. b. Medium Vulnerability : ada beberapa kelemahan dan berpotensi berdampak pada proses bisnis secara signifikan, kontrol dapat dilakukan dan harus ditingkatkan. c. Low Vulnerability : sistem sudah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada kontrol tambahan yang dibutuhkan untuk mengurangi kerentanan. d. Severe Impact (High) : cenderung menempatkan perusahaan di luar dari bisnis atau sangat merusak prospek usaha dan pembangunan. e. Significant Impact (Medium) : akan menyebabkan kerusakan yang signifikan dan biaya, namun perusahaan akan bertahan. f. Minor Impact (Low) : operasional yang diharapkan mampu dikelola sebagai bagian dari business life cycle. Berikut ini Matriks Prioritas dalam menganalisa aksi dan kontrol yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kerentanan yang dapat terjadi pada sistem perusahaan PT Saga Machie.

112 Keterangan: A tindakan korektif harus diterapkan B tindakan perbaikan yang diusulkan C membutuhkan pemantauan D tidak ada tindakan yang diperlukan 4.4.3.1 Existing Control Dalam menjalankan proses bisnisnya, PT Saga Machie telah menerapkan beberapa kontrol dalam mengatasi risiko yang terjadi dan matriks penyebaran prioritas risiko. Walaupun PT Saga Machie telah menerapkan beberapa kontrol dalam mengatasi risiko yang terjadi, hal tersebut tidaklah cukup untuk mengurangi dampak yang akan terjadi dalam proses bisnisnya, dikarenakan masih sering terlihat terjadinya risiko.

113 Maka PT Saga Machie perlu memutuskan untuk meningkatkan atau mengembangkan kontrol apa saja yang akan diterapkan untuk setiap risiko yang muncul. Tim fasilitator FRAP akan membimbing perusahaan dalam menganalisa lebih detail risiko yang muncul dan kontrol yang diperlukan. Berikut ini merupakan matriks penyebaran prioritas risiko yang terdapat dalam PT Saga Machie berdasarkan Existing Control. Gambar 4.1 Existing Control 4.4.3.2 Suggested Control Pada bagian ini fasilitator melakukan suggested control terhadap existing control, dimana dalam hal ini bertujuan untuk memberikan saran kontrol apa saja yang perlu ditambahkan dari yang sudah ada diperusahaan (Existing Control), sehingga tingkat kerentanan dan efek terhadap bisnis PT Saga Machie dapat diminimalisir guna mengurangi risiko yang sering terjadi

114 dan pengaruhnya terhadap proses bisnis serta terhadap proses dalam komputer. Dalam bagian ini proses FRAP sangatlah penting untuk memberikan saran atau masukan yang baik bagi PT Saga Machie. Berikut ini merupakan suggested control berupa matriks penyebaran prioritas risiko, dimana dalam hal ini fasilitator memberikan saran kontrol apa saja yang perlu ditambahakn selain existing control yang terdapat dalam PT Saga Machie. Gambar 4.2 Suggested Control

115 4.5 Post-FRAP Meeting Pada tahap post-frap Meeting ini pertemuan biasanya berlangsung sekitar 10 hari dan memiliki dua elemen, yaitu : a. Control/Risks Cross-reference List Dalam Control/Risks Cross-reference List ini (Lampiran 8), pimpinan proyek dan fasilitator akan melihat control mana saja yang sudah tepat sesuai risikonya. Tujuan adanya Control/Risks Cross-reference List ini adalah untuk menentukan dan mengetahui control mana saja yang dapat memitigasi risikorisiko (Lampiran 8). Tim FRAP membuat rencana aksi (action plan) yang berisikan control mana yang akan dilaksanakan, termasuk tanggal pelaksanaan dan atau pengimplementasian kontrol serta pihak mana saja yang akan ikut dalam pengimplementasian control tersebut (Lampiran 8). Dalam bagian ini juga kita dapat melihat satu control yang bisa memitigasi lebih dari satu risiko, sehingga dengan hal tersebut dapat membantu dalam menentukan sumber daya mana yang paling baik untuk menangani risiko-risiko tersebut. b. Action Plan Untuk mendapatkan laporan lengkap, project leader dan fasilitator harus membuat action plan (rencana aksi) (Lampiran 18), yaitu dengan menggabungkan risiko dari risk list dengan kontrol yang disarankan dari control list, dengan tujuan mengetahui tindakan apa yang dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana aksi tersebut agar dapat membantu perusahaan dalam melaksanakan penetapan kontrol yang diusulkan.

116 Aplikasi : Sistem Informasi Penjualan Tanggal : 02 November 2012 1) Risiko terhadap informasi yang diakses oleh pihak yang tidak berwenang mendapat tingkat penilaian C, karena pengaksesan dalam PT Saga Machie sudah memiliki user ID dan password sesuai kebijakan perusahaan yang dapat mencegah informasi diakses oleh pihak yang tidak berwenang. 2) Risiko terhadap informasi pihak ketiga yang dapat menyebabkan masalah kepada perusahaan mendapat tingkat penilaian B, dikarenakan pengendalian akses dan otorisasi akses pada PT Saga Machie kurang terkendali, sehingga perlu ditingkatkan dan diatur dalam kebijakan perusahaan mengenai pengaksesan informasi. 3) Risiko terhadap salah pengelompokan informasi dan data mendapatkan tingkat penilaian C, dalam risiko ini diperlukan control nomor 1, 2, dan 16. Dimana dalam pengelompokan informasi dan data sebelumnya, telah dilakukan backup dan review secara berkala. Namun demikian, perlu dilakukan pemantauan (monitoring) terhadap pengelompokan informasi dan data agar kesalahan dapat diketahui dengan jelas dan dihindari. 4) Risiko terhadap data dan informasi yang tidak sesuai dengan fakta mendapat tingkat penilaian C, dikarenakan peninjauan terhadap data dan informasi telah dilakukan dengan baik agar sesuai dengan fakta, akan tetapi perlu dilakukan peninjauan yang lebih spesifik, sehingga ketidaksesuaian data dan informasi dapat dihindari. 5) Risiko pada data lama atau dokumen tidak dihapus, ini mendapatkan tingkat penilaian D, karena pada PT Saga Machie telah dilakukan change

117 management dengan baik. Maka tidak perlu dilakukan tindakan yang lebih lanjut. 6) Risiko informasi digunakan dalam konteks yang tidak sesuai, hal ini mendapat tingkat penilaian D dikarenakan PT Saga Machie sudah melakukan analisis risiko sehingga penyalahgunaan informasi dapat terdeteksi. 7) Risiko kesalahan terhadap data dan dokumen yang dipublikasikan mendapat tingkat penilaian D dikarenakan PT Saga Machie sudah melakukan backup data, serta telah menerapkan analisis risiko agar terhindar dari kesalahan data dan dokumentasi yang dipublikasikan. 8) Risiko terhadap kehilangan data atau informasi akibat kebakaran, hal ini mendapat tingkat penilaian C dikarenakan tersedianya dokumen DRP yang dapat mendukung dalam mencegah bencana yang tidak terduga seperti bencana kebakaran dan adanya recovery plan yang telah dirancang dan perlu dilakukan pemantauan lebih lanjut. 9) Risiko terhadap tidak ada peringatan atas kesalahan input data mendapat tingkat penilaian D, hal ini dikarenakan PT Saga Machie telah memiliki kebijakan dan telah menerapkan pengendalian aplikasi (application control) yang telah diketahui dan dipahami para karyawan. Maka tidak perlu adanya tindakan yang lebih lanjut dalam menghadapi risiko tersebut. 10) Risiko akses untuk backup data tidak terkontrol dengan baik, hal ini mendapat penilaian C karena PT Saga Machie telah membuat kebijakan keamanan sistem dan hanya perlu dilakukan pemantauan lebih lanjut terhadap pengaksesan untuk backup data.

118 11) Risiko terdapatnya virus yang dapat menyebabkan kegagalan sistem atau hilangnya data ini mendapat tingkat penilaian C, karena pada setiap komputer yang digunakan oleh para karyawan PT Saga Machie telah memiliki anti virus yang sudah terupdate secara otomatis dalam mendeteksi virus, baik virus yang melalui memory penyimpanan data (flashdisk) atau dari penggunaan internet. 12) Risiko terhadap penggunaan informasi yang tidak benar yang dapat berdampak pada bisnis mendapat penilaian C, karena pada PT Saga Machie telah melakukan analisis terhadap dampak bisnis perusahaannya secara berkala dengan BIA. 13) Risiko terhadap autentikasi untuk akses data sensitif perusahaan tidak memadai ini mendapatkan penilaian D, karena dalam pengaksesan data PT Saga Machie telah menerapkan kebijakan dalam keamanan sistem, pengendalian dalam mengakses, dan persetujuan dari pihak yang berwenang atas keautentikasian data perusahaan. 14) Risiko pada informasi yang diubah tanpa adanya persetujuan dari pihak yang bertanggungjawab mendapatkan tingkat penilaian C, dikarenakan dalam kegiatan di PT Saga Machie sudah adanya surat perintah dan persetujuan dari pimpinan atau pihak yang berwenang dalam pengubahan informasi yang ada. Akan tetapi, hal ini perlu dilakukan pemantauan lebih lanjut dan berkala. 15) Risiko terhadap manipulasi data untuk kepentingan pribadi atau kelompok mendapat penilaian B, dikarenakan minimnya pengendalian terhadap data pada beberapa divisi. Maka dalam hal ini perlu adanya kebijakan dan

119 analisis dari perusahaan yang ditetapkan bagi para karyawan yang melakukan manipulasi data. 16) Risiko pada human error pada saat meng-entry data manual kedalam sistem mendapat penilaian C dikarenakan pada PT Saga Machie dalam satu tahun dapat dilakukan training atau pelatihan satu sampai dengan tiga kali dan juga dilakukan pengecekan data secara berkala, sehingga human error dapat diminimalisir. 17) Risiko kerusakan hardware akibat bencana kebakaran, hal ini mendapat tingkat penilaian C dikarenakan keberadaan tata letak hardware ditempatkan dan tersusun dengan baik, dan adanya analasis terhadap dampak bisnis serta tersedianya dokumen DRP yang dapat mendukung dalam mencegah bencana yang tidak terduga seperti bencana kebakaran. 18) Risiko penolakan akses ke informasi padahal diakses oleh orang yang berwenang mendapatkan tingkat penilaian D, dalam hal ini PT Saga Machie sudah menerapkan kebijakan keamanan terhadap pengaksesan dan juga sudah adanya user ID sehingga pihak yang berwenang dapat melakukan pengkasesan informasi dan tidak perlu dikhawatirkan untuk penolakan hak akses. 19) Risiko terhadap penyalahgunaan user ID mendapat tingkat penilaian D, dikarenakan PT Saga Machie telah menerapkan kebijakan keamanan terhadap pengaksesan user ID, sehingga hanya pihak yang berwenang saja dapat mengakses suatu aplikasi tertentu. 20) Risiko terhadap mantan user atau karyawan masih memiliki akses untuk mengamankan data, mendapatkan tingkat penilaian C, dikarenakan PT

120 Saga Machie telah memiliki kebijakan dalam melakukan pengendalian terhadap pengaksesan dan mengupdate kembali user id maupun password yang lama, serta adanya persetujuan atau otorisasi hak akses terhadap user id tersebut. 21) Risiko informasi sensitif dan tidak sensitif tercampur, hal ini mendapatkan tingkat penilaian C, dikarenakan dalam hal ini PT Saga Machie masih perlu meningkatkan pengendalian terhadap informasi baik yang sensitif dan tidak sensitif agar tidak terjadi kesalahan dalam mengelompokkan atau mengkategorikan informasi yang ada. 22) Risiko terhadap kebocoran informasi internal perusahaan memiliki tingkat penilaian C dikarenakan pada PT Saga Machie dalam melakukan pengaksesan data atau informasi perusahaan yang penting hanya dapat dilakukan oleh top management, yaitu dimana orang-orang yang memiliki hak akses khusus. Namun, hal tersebut tetap membutuhkan pemantauan agar hak akses yang diberikan tidak disalahgunakan, sehingga kebocoran informasi internal dapat dihindari.. 23) Risiko terhadap otorisasi keaslian permintaan data, memiliki tingkat penilaian C, dalam hal ini PT Saga Machie telah menerapkan kebijakan keamanan, namun masih perlu menerapkan backup terhadap keaslian data yang ada, serta memberikan pengendalian terhadap pengaksesan data. 24) Risiko prosedur otorisasi pada perusahaan mendapat tingkat penilaian B, dalam hal ini PT Saga Machie perlu melakukan pengendalian dan pemahaman terhadap prosedur dalam mengotorisasi agar informasi dan

121 data tidak disalahgunakan oleh para karyawan atau pihak yang tidak bertanggung jawab. 25) Risiko didalam pendaftaran personil terdapat personil yang tidak terotorisasi mendapat tingkat penilaian D, hal ini dikarenakan dalam pelaksanaan pengrekrutan telah sesuai dengan kebijakan perusahaan dan telah dilakukan review, sehingga kecil kemungkinan risiko ini terjadi. 26) Risiko gangguan jaringan yang diakibatkan virus memiliki tingkat penilaian C karena perusahaan telah menggunakan anti virus yang telah terupdate secara otomatis sehingga dapat mendeteksi virus dan perusahaan pun perlu melakukan maintenance dan sebaiknya dilakukan review backup secara berkala agar gangguan jaringan yang diakibatkan virus dapat diminimalisir. 27) Risiko berbagi User ID mendapat tingkat penilaian C dikarenakan adanya kebijakan yang ditetapkan pada PT Saga Machie dalam melakukan update terhadap masing-masing user ID yang dimiliki oleh karyawan, sehingga dapat menghindari terjadinya berbagi user ID diantara karyawan. 28) Risiko terhadap akses yang tidak terkendali terhadap informasi yang sensitif memiliki tingkat penilaian C karena dalam pengaksesan informasi PT Saga Machie telah menerapkan kebijakan dalam keamanan sistem, pengendalian dalam mengakses, dan persetujuan dari pihak yang berwenang atas informasi yang di akses. 29) Risiko terhadap hacker yang dapat membuat sistem down, hal ini mendapatkan tingkat penilaian C, dimana perusahaan telah melakukan review backup terhadap sistem yang berjalan dan adanya kontrol keamanan

122 dan operasional. Walau demikian, perusahaan harus tetap memantau dan mengantisipasi ancaman terhadap sistem sehingga dapat meminimalisir risiko. 30) Risiko terhadap hubungan jaringan antar sistem gagal didalam perusahaan memiliki tingkat penilaian C karena perusahaan telah melakukan pengendalian akses (access control) dalam hal keamanan hubungan jaringan antar sistem dan pengembangan prosedur pemulihan terhadap kegagalan jaringan antar sistem. 31) Risiko terhadap ketidaktersediaan dokumen DRP dalam perusahaan mendapat tingkat penilaian D karena dalam PT Saga Machie telah tersedia dokumen DRP yang mendukung dalam menganalisis dampak bisnis. 32) Risiko adanya pihak ketiga membatalkan perjanjian yang telah dibuat, hal ini mendapat tingkat penilaian D karena PT Saga Machie telah menerapkan kebijakan service level agreement untuk meningkatkan pelayanan kepada pelanggan dan adanya jaminan yang mendukung kegiatan bisnis operasional sesuai yang diharapkan. 33) Risiko data dan informasi hilang akibat kerusakan hardware mendapat tingkat penilaian C, dalam hal ini perusahaan perlu melakukan maintenance secara berkala terhadap aplikasi yang memuat data dan informasi serta menerapkan pengendalian physical security agar tidak terjadi penyalahgunaan hardware yang mengakibatkan kerusakan. 34) Risiko terhadap kebutuhan back-up tidak memadai, memiliki tingkat penilaian C karena perusahaan telah melakukan review backup secara

123 berkala dan telah menerapkan Prosedur ChangeManagement. Namun perlu dilakukan pemantauan lebih lanjut. 35) Risiko terhadap tidak adanya rekaman terhadap perubahan sistem atau aplikasi software mendapat tingkat penilaian C dikarenakan perusahaan telah melakukan backup dan mendokumentasikan perubahan sistem atau aplikasi software untuk memastikan bahwa sistem atau aplikasi software dapat diperoleh kembali, dengan menggunakan cadangan yang dibuat, jika terjadinya kemungkinan kehilangan data. 36) Risiko terhadap kegagalan router atau firewall membuat layanan jadi tidak dapat diakses, memiliki tingkat penilaian C karena perusahaan perlu melakukan maintenance, physical security dan menganalisis dampak bisnis terhadap perangkat keras dan perangkat lunak guna meningkatkan pelayanan dalam pengaksesan sistem. 37) Risiko adanya kerusakan database mendapat tingkat penilaian C dikarenakan keberadaan infrastruktur ruangan server pada PT Saga Machie terlihat tersusun dengan cukup baik, walaupun demikian tetap harus dilakukan pemantauan lebih lanjut terhadap infrastruktur yang telah ada agar tidak mempengaruhi keberadaaan database sehingga dapat meminimalisasi terjadinya kerusakan database. 38) Risiko terjadinya error pada program memiliki tingkat penilaian C, dikarenakan sudah dilakukan maintenance secara baik dan berkala, sehingga kemungkinan kecil terjadinya risiko error pada program.

124 39) Risiko terhadap putusnya koneksi internet mendapatkan tingkat penilaian C karena PT Saga Machie telah melakukan identifikasi risiko dan perlindungan atau pengendalian serta perbaikan terhadap jaringan internet, maka perusahaan hanya perlu menindaklanjuti agar risiko terhadap putusnya koneksi internet dapat diminimalisasi. 40) Risiko sumber daya teknis kurang pelatihan yang tepat memiliki tingkat penilaian C, karena PT Saga Machie telah memberikan training atau pelatihan kepada sumber daya teknis mengenai penggunaan dan pengendalian aplikasi. 41) Risiko terjadinya kesalahan dalam membuat perubahan pada hardware dan software memiliki tingkat penilaian C karena perusahaan telah memberikan pelatihan, namun pelatihan yang diberikan kurang maksimal dilaksanakan, sehingga dapat berdampak terhadap bisnis.

127

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan