BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Dalam melakukan manajemen risiko pada PT Saga Machie, penulis mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan Bagian TI. Selain dengan hasil wawancara, penulis juga melakukan observasi langsung dan memberikan kuisioner kepada beberapa pihak karyawan yang terkait dengan ruang lingkup penelitian. Dari hasil penelitian yang dilakukan, penulis menganalisis keadaan perusahaan yang ada dengan metode FRAP yang terdiri dari 3 tahapan, yaitu : a. Pre-FRAP Meeting Dalam tahapan ini terdapat komponen penting, yaitu : 1) Ruang Lingkup 2) Model Visual 3) Pembentukan Tim FRAP 4) Pertemuan Teknis (Meeting Mechanics) 5) Persetujuan Definisi (Agreement of Definition) b. FRAP Session Dalam tahapan ini terdapat 3 komponen penting, yaitu : 1) Identifikasi Risiko 2) Kontrol terhadap Risiko 3) Memberikan saran kontrol (Suggested Control) 99
100 c. Post-FRAP Meeting Proses dari Post-FRAP Meeting, yaitu : 1) Cross reference sheet 2) Action Plan Dari ketiga tahapan diatas memiliki kegiatan atau aktivitas yang saling membantu dalam menilai dan mengukur manajemen risiko teknologi informasi. 4.2 Informasi dari Organisasi Berdasarkan pengumpulan data yang penulis dapatkan dari PT SAGA MACHIE dengan cara membagikan kuesioner dan data-data tersebut diolah sesuai dengan langkah-langkah yang terdapat pada metode FRAP maka adapun hasil pengolahan data dari kuesioner tersebut yang dilakukan oleh penulis adalah sebagai berikut: a. Kebijakan Keamanan Berdasarkan hasil pengamatan kuisioner, maka dapat disimpulkan bahwa hampir seluruh karyawan PT Saga Machie telah mengetahui dengan cukup jelas mengenai kebijakan keamanan yang telah ditentukan pada PT Saga Machie. Prosedur yang telah diterapkan dalam perusahaan sudah berjalan dengan baik, namun penanganan dokumen dan panduan keamanan sistem informasi kurang jelas diketahui para karyawan. b. Kesesuaian dengan Perusahaan Berdasarkan hasil pengamatan kuisioner, maka dapat disimpulkan bahwa hampir seluruh karyawan PT Saga Machie telah memenuhi kewajibannya dalam menjaga
101 keamanan informasi. Dalam PT Saga Machie tentunya dapat ditemukan berbagai macam ancaman seperti pengaksesan informasi yang tidak sah, maka setiap karyawan perlu diberikan pelatihan mengenai kesadaran akan keamanan informasi diperusahaan serta kemampuan dalam penggunaan aplikasi yang ada. Pengawasan dan Auditing dalam hal kebijakan keamanan dan prosedur pada PT Saga Machie belum terealisasi dengan baik. c. Keamanan Fisik Berdasarkan hasil pengamatan kuisioner, maka informasi yang didapat mengenai keamananan fisik dalam PT Saga Machie telah diimplementasikan dan para karyawan sudah mengetahuinya dengan cukup jelas. Perlindungan terhadap hardware dan software telah diterapkan, guna mencegah terjadinya risiko yang tidak diinginkan. d. Business Impact Analysis, Disaster Recovery Plan Berdasarkan hasil pengamatan kuisioner, maka dapat diketahui bahwa BIA dan DRP pada PT Saga Machie telah diimplementasikan dengan cukup baik dalam menangani dan mencegah bencana yang mungkin terjadi. Dalam hal ini karyawan telah memahami mengenai adanya DRP dan berperan ikut serta terhadap pelaksanaan DRP tersebut. Untuk mengantisipasi bencana yang mungkin terjadi, dimana dapat merusak data-data perusahaan, maka perlu dilakukan backup dan prosedur pemulihan secara berkala sehingga data tersebut dapat berfungsi dengan baik tanpa adanya hambatan. e. Perlindungan Teknis Berdasarkan hasil kuisioner yang ada, dapat kita ketahui bahwa perlindungan teknis dalam PT Saga Machie cukup jelas, dimana hal tersebut dapat berguna untuk
102 melindungi infrastruktur jaringan yang ada diperusahaan dengan adanya perlindungan informasi. Firewall yang diterapkan dalam PT Saga Machie telah berfungsi cukup maksimal, sehingga diperlukan pemantauan secara rutin dari pihak yang berkaitan. Selain itu juga, perlindungan teknis terhadap informasi perlu dilakukan dan diperhatikan dengan baik, agar menghindari hambatan yang mungkin terjadi terhadap infrastruktur jaringan. f. Keamanan Telekomunikasi Berdasarkan hasil kuisioner yang ada, dapat kita ketahui bahwa kebijakan keamanan telekomunikasi dalam PT Saga Machie jelas, dimana masing-masing karyawan mengetahui wewenangnya dalam mengakses informasi yang ada. Namun, hal tersebut harus sesuai kebijakan yang telah ditetapkan perusahaan, antara lain adanya penerapan penggunaan password pribadi yang dimiliki oleh setiap karyawan guna untuk melindungi dari hak akses yang tidak sah. Selain hak yang dimiliki para karyawan, adapun tanggung jawab yang diberikan kepada karyawan dalam melindungi asset perusahaan dan perusahaan perlu mengawasi penggunaan asset secara rutin (berkala) untuk mengantisipasi penyalahgunaan hak akses. 4.3 Pre-FRAP Meeting 4.3.1 Ruang Lingkup Dalam hal ini, kami sebagai fasilitator FRAP menentukan ruang lingkup pada PT Saga Machie, yaitu pada bagian TI. Tidak hanya pada bagian TI saja, namun juga pada bagian Penjualan dan Persediaan barang.
103 4.3.2 Model Visual Pre FRAP Meeting FRAP Session Post FRAP Meeting Ruang Lingkup Identifikasi Risiko Cross Reference Sheet Model Visual Pembentukkan TIM FRAP Kontrol Terhadap Risiko Action Plan Pertemuan Teknis (Meeting Mechanics) Memberikan saran kontrol (Suggested Controls) Persetujuan Definisi (Agreement of Definition)
104 4.3.3 Pembentukan Tim FRAP Dalam pembentukan tim FRAP Meeting, fasilitator berhak menentukan anggota tim yang dapat mengikuti proses FRAP Meeting. Hal ini dilakukan agar memudahkan para anggota tim FRAP Meeting dalam bertukar pikiran terhadap risiko yang mungkin muncul dan kontrol terhadap risiko yang telah ada di dalam PT Saga Machie. Adapun anggota yang ikut berpartisipasi dalam bertukar pikiran, antara lain : General Manager TI, Staff TI, Manajer Bisnis, Fasilitator, Pimpinan Proyek, dan Juru Tulis. 4.3.4 Pertemuan Teknis Dalam proses pertemuan teknis ini, Manajer Bisnis memilih seseorang dari staffnya untuk bertanggung jawab terhadap ketersediaan ruang meeting, menentukan penjadwalan meeting serta menyiapkan kebutuhan yang diperlukan dalam meeting. 4.3.5 Persetujuan Definisi Dalam tahap pre-frap ini dibutuhkan persetujuan terhadap definisi FRAP. Dimana terdapat lima definisi utama yang perlu dipahami oleh para staf sebelum melakukan FRAP, yaitu : a. Threat Kejadian yang berpotensial memiliki dampak negatif terhadap tujuan bisnis atau pernyataan misi dari perusahaan
105 b. Control Suatu ukuran yang diambil untuk mencegah, mendeteksi, mengurangi, atau pulih dari resiko untuk melindungi proses bisnis atau misi perusahaan. c. Integrity Informasi seperti yang dimaksudkan atau diinginkan, tanpa pengungkapan informasi yang tidak sah atau yang tidak diinginkan. d. Confidentiality Informasi yang belum mengalami pengungkapan informasi yang tidak sah atau yang tidak diinginkan. e. Availability Aplikasi, sistem, atau sumber daya informasi bisa diakses saat diperlukan. 4.4 FRAP Session FRAP Session dilakukan selama 4 (empat) jam oleh tim FRAP, yang berlangsung di PT Saga Machie. Adapun hasil yang diperoleh dari proses ini adalah sebagai berikut : 4.4.1 Identifikasi Risiko Berdasarkan hasil wawancara dan kuisioner, penulis dapat menyimpulkan risiko-risiko apa saja yang mungkin terjadi pada PT Saga Machie, sebagai berikut :
106 No Risiko Risiko Tipe 1 Informasi diakses oleh pihak yang tidak berwenang INT 2 Informasi pihak ketiga dapat menyebabkan masalah INT kepada perusahaan 3 Salah pengelompokan informasi dan data INT 4 Data dan informasi tidak sesuai dengan fakta INT 5 Data lama atau dokumen tidak dihapus INT 6 Informasi digunakan dalam konteks yang tidak sesuai INT 7 Kesalahan terhadap data dan dokumen yang INT dipublikasikan 8 Kehilangan data atau informasi akibat kebakaran INT 9 Tidak ada peringatan atas kesalahan input data INT 10 Akses untuk backup data tidak terkontrol dengan baik INT 11 Terdapatnya virus dapat menyebabkan kegagalan INT sistem atau hilangnya data 12 Penggunaan informasi yang tidak benar yang dapat INT berdampak pada bisnis 13 Autentikasi untuk akses data sensitif perusahaan tidak INT memadai 14 Informasi diubah tanpa adanya persetujuan dari pihak INT yang bertanggungjawab 15 Manipulasi data untuk kepentingan pribadi atau INT kelompok 16 Human error pada saat meng-entry data manual INT kedalam sistem 17 Kerusakan hardware akibat bencana kebakaran INT 18 Penolakan akses ke informasi padahal diakses oleh orang yang berwenang INT
107 19 Penyalahgunaan user ID CON 20 Mantan user atau karyawan masih memiliki akses CON untuk mengamankan data 21 Informasi sensitif dan tidak sensitif tercampur CON 22 Kebocoran informasi internal perusahaan CON 23 Otorisasi keaslian permintaan data CON 24 Prosedur otorisasi pada perusahaan CON 25 Di dalam pendaftaran personil terdapat personil yang CON tidak terotorisasi 26 Gangguan jaringan yang diakibatkan virus CON 27 Berbagi User ID CON 28 Akses yang tidak terkendali terhadap informasi yang CON sensitif 29 Hacker dapat membuat sistem down AVA 30 Hubungan jaringan antar sistem gagal didalam AVA perusahaan 31 Ketidaktersediaan dokumen DRP dalam perusahaan AVA 32 Pihak ketiga membatalkan perjanjian yang telah dibuat AVA 33 Data dan informasi hilang akibat kerusakan hardware AVA 34 Kebutuhan back-up tidak memadai AVA 35 Tidak adanya rekaman terhadap perubahan sistem atau AVA aplikasi software 36 Kegagalan router atau firewall membuat layanan jadi AVA tidak dapat diakses 37 Kerusakan database AVA 38 Error pada program AVA 39 Putusnya koneksi internet AVA 40 Sumber daya teknis kurang pelatihan yang tepat AVA 41 Kesalahan dalam membuat perubahan pada hardware AVA dan software Tabel 4.1 Identifikasi Risiko
108 4.4.2 Kontrol terhadap Risiko Berdasarkan proses FRAP Session yang dilakukan dan simpulan dari risiko yang mungkin terjadi di PT Saga Machie oleh tim FRAP, maka penulis mendapatkan hasil daftar kontrol ( Control List) sebagai berikut : Control Number Descriptor Control Description 1 Backup Persyaratan backup akan ditentukan dan dikomunikasikan ke operasional, termasuk request electronic notification bahwa backup siap dikirim ke application system administrator. Operasional akan diminta untuk menguji prosedur backup. Backup diperusahaan dilakukan setiap hari. 2 Recovery Plan Mengembangkan, mendokumentasikan, dan menguji prosedur pemulihan yang dirancang untuk memastikan bahwa aplikasi dan informasi dapat diperoleh kembali, dengan menggunakan backup yang telah dibuat, jika terjadinya kemungkinan kehilangan data. 3 Risk Analysis Melakukan analisis risiko untuk mengidentifikasi risiko, dan mengidentifikasi kemungkinan perlindungan atau kontrol yang digunakan. 4 Antivirus Memastikan administrator LAN menginstal anti-virus perangkat lunak standar perusahaan di semua komputer. Serta adanya pelatihan dan kesadaran teknik pencegahan virus yang digabungkan dalam program organisasi. 5 Interface Dependencies Operasi Kontrol : Sistem yang menyediakan informasi akan diidentifikasi dan dikomunikasikan ke operasional untuk menekankan dampak bagi fungsionalitas jika bagian aplikasi penyedia tidak berada ditempat. 6 Maintenance Persyaratan waktu bagi technical maintenance akan ditelusuri dan permintaan untuk penyesuaian akan dikomunikasikan dengan manajemen, jika ahli memerlukan. Dalam perusahaan ini dilakukan maintenance
109 selama satu bulan sekali dan disesuaikan dengan kebutuhan. 7 Service Level Agreement Mendapatkan service level agreement untuk menetapkan tingkat pengharapan dan keyakinan customer dari kegiatan operasional pendukung. 8 Maintenance Memperoleh persetujuan pemeliharaan dan supplier untuk memfasilitasi status operasional yang berkesinambungan dari suatu aplikasi. 9 Change Management Kontrol migrasi pembuatan seperti pencarian dan menghapus atau menghilangkan proses untuk memastikan penyimpanan data yang bersih. 10 Business Impact Analysis Sebuah analisis dampak bisnis formal akan dilakukan untuk menentukan kekritisan suatu aset dengan aset perusahaan lainnya. 11 Disaster Recovery Planning Rencana pemulihan dari kemungkinan kerusakan-kerusakan yang berdampak pada kemampuan proses computer dan operasi bisnis perusahaan. 12 Application Control Merancang dan menerapkan pengendalian aplikasi (pengecekan pemasukan data lapangan yang memerlukan validasi, indikator alam, kemampuan kadaluarsa sandi, checksums) untuk menjamin integritas, kerahasiaan, dan ketersediaan informasi aplikasi. 13 Acceptance testing Membuat testing procsedur untuk diikuti selama pengembangan aplikasi dan modifikasi bagi aplikasi yang sedang berjalan yang meliputi partisipasi dan penerimaan user. 14 Training Pengguna pelatihan akan mencakup instruksi dan dokumentasi tentang penggunaan aplikasi secara benar. Pentingnya menjaga kerahasiaan dari account pengguna atau rekening pemakai, sandi, sifat rahasia dan kompetitif informasi akan ditekankan. 15 Policy Membuat kebijakan dan prosedur untuk membatasi akses dan hak operasi bagi pihakpihak yang memiliki keperluan bisnis. 16 Review Menerapkan mekanisme untuk memantau, melaporkan, dan mengaudit aktivitas yang teridentifikasi sebagai aktivitas yang membutuhkan review yang independen,
110 termasuk periodic reviews untuk user ID untuk memastikan dan memverifikasi kebutuhan bisnis. 17 Confidential Access Adanya sistem keamanan dalam sistem informasi sehingga tidak sembarang orang dapat mengakses langsung dalam sistem (khususnya orang dari pihak luar). 18 Asset Classification Aset yang direview akan diklasifikasikan dengan menggunakan kebijakan perusahaan, standar, dan prosedur pada klasifikasi aset. 19 Access control Operasi Kontrol: Mekanisme untuk melindungi terhadap risiko database yang tidak sah, dan modifikasi yang dilakukan dari luar aplikasi, akan ditentukan dan diimplementasikan. 20 Access Authorization Setiap akses yang diberikan kepada karyawan perusahaan melalui ijin dari atasan, dan selalu dikonfirmasi dengan baik kepada pengguna. 21 Modify Authorization Dalam mengupdate / memodifikasi data diperlukan surat perintah dari atasan, tidak boleh sembarang merubah, menambah, ataupun menghilangkan data. 22 Management Support Meminta dukungan dari pihak manajemen untuk memastikan kerja sama dan koordinasi dari unit-unit bisnis yang berbeda-beda. 23 Access Control Kontrol Keamanan : Mekanisme untuk melindungi database dari akses yang tidak terotorisasi dan modifikasi yang dibuat dari luar aplikasi, akan ditentukan dan diimplementasikan. 24 Physical Security Melakukan analisis risiko untuk menentukan tingkat pengungkapan bagi ancaman yang teridentifikasi dan mengidentifikasi keamanan atau kontrol yang memungkinkan. Tabel 4.2 Kontrol terhadap risiko 4.4.3 Prioritasi Risiko Berdasarkan risiko dan kontrol yang ada, maka dalam menentukan tingkat prioritas suatu risiko (Lampiran L1), perlu ditentukan matriks dari risiko tersebut, dilihat dari tingkat kerentanannya (vulnerability) dan pengaruhnya
111 terhadap bisnis (business impact). Dalam matriks ini, terdapat beberapa definisidefinisi yang harus dipahami diantaranya adalah : a. High Vulnerability : tingkat kelemahan yang sangat besar yang ada di dalam sistem atau operasional perusahaan dan berpotensi berdampak pada proses bisnis secara signifikan sehingga kontrol harus ditingkatkan. b. Medium Vulnerability : ada beberapa kelemahan dan berpotensi berdampak pada proses bisnis secara signifikan, kontrol dapat dilakukan dan harus ditingkatkan. c. Low Vulnerability : sistem sudah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada kontrol tambahan yang dibutuhkan untuk mengurangi kerentanan. d. Severe Impact (High) : cenderung menempatkan perusahaan di luar dari bisnis atau sangat merusak prospek usaha dan pembangunan. e. Significant Impact (Medium) : akan menyebabkan kerusakan yang signifikan dan biaya, namun perusahaan akan bertahan. f. Minor Impact (Low) : operasional yang diharapkan mampu dikelola sebagai bagian dari business life cycle. Berikut ini Matriks Prioritas dalam menganalisa aksi dan kontrol yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kerentanan yang dapat terjadi pada sistem perusahaan PT Saga Machie.
112 Keterangan: A tindakan korektif harus diterapkan B tindakan perbaikan yang diusulkan C membutuhkan pemantauan D tidak ada tindakan yang diperlukan 4.4.3.1 Existing Control Dalam menjalankan proses bisnisnya, PT Saga Machie telah menerapkan beberapa kontrol dalam mengatasi risiko yang terjadi dan matriks penyebaran prioritas risiko. Walaupun PT Saga Machie telah menerapkan beberapa kontrol dalam mengatasi risiko yang terjadi, hal tersebut tidaklah cukup untuk mengurangi dampak yang akan terjadi dalam proses bisnisnya, dikarenakan masih sering terlihat terjadinya risiko.
113 Maka PT Saga Machie perlu memutuskan untuk meningkatkan atau mengembangkan kontrol apa saja yang akan diterapkan untuk setiap risiko yang muncul. Tim fasilitator FRAP akan membimbing perusahaan dalam menganalisa lebih detail risiko yang muncul dan kontrol yang diperlukan. Berikut ini merupakan matriks penyebaran prioritas risiko yang terdapat dalam PT Saga Machie berdasarkan Existing Control. Gambar 4.1 Existing Control 4.4.3.2 Suggested Control Pada bagian ini fasilitator melakukan suggested control terhadap existing control, dimana dalam hal ini bertujuan untuk memberikan saran kontrol apa saja yang perlu ditambahkan dari yang sudah ada diperusahaan (Existing Control), sehingga tingkat kerentanan dan efek terhadap bisnis PT Saga Machie dapat diminimalisir guna mengurangi risiko yang sering terjadi
114 dan pengaruhnya terhadap proses bisnis serta terhadap proses dalam komputer. Dalam bagian ini proses FRAP sangatlah penting untuk memberikan saran atau masukan yang baik bagi PT Saga Machie. Berikut ini merupakan suggested control berupa matriks penyebaran prioritas risiko, dimana dalam hal ini fasilitator memberikan saran kontrol apa saja yang perlu ditambahakn selain existing control yang terdapat dalam PT Saga Machie. Gambar 4.2 Suggested Control
115 4.5 Post-FRAP Meeting Pada tahap post-frap Meeting ini pertemuan biasanya berlangsung sekitar 10 hari dan memiliki dua elemen, yaitu : a. Control/Risks Cross-reference List Dalam Control/Risks Cross-reference List ini (Lampiran 8), pimpinan proyek dan fasilitator akan melihat control mana saja yang sudah tepat sesuai risikonya. Tujuan adanya Control/Risks Cross-reference List ini adalah untuk menentukan dan mengetahui control mana saja yang dapat memitigasi risikorisiko (Lampiran 8). Tim FRAP membuat rencana aksi (action plan) yang berisikan control mana yang akan dilaksanakan, termasuk tanggal pelaksanaan dan atau pengimplementasian kontrol serta pihak mana saja yang akan ikut dalam pengimplementasian control tersebut (Lampiran 8). Dalam bagian ini juga kita dapat melihat satu control yang bisa memitigasi lebih dari satu risiko, sehingga dengan hal tersebut dapat membantu dalam menentukan sumber daya mana yang paling baik untuk menangani risiko-risiko tersebut. b. Action Plan Untuk mendapatkan laporan lengkap, project leader dan fasilitator harus membuat action plan (rencana aksi) (Lampiran 18), yaitu dengan menggabungkan risiko dari risk list dengan kontrol yang disarankan dari control list, dengan tujuan mengetahui tindakan apa yang dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana aksi tersebut agar dapat membantu perusahaan dalam melaksanakan penetapan kontrol yang diusulkan.
116 Aplikasi : Sistem Informasi Penjualan Tanggal : 02 November 2012 1) Risiko terhadap informasi yang diakses oleh pihak yang tidak berwenang mendapat tingkat penilaian C, karena pengaksesan dalam PT Saga Machie sudah memiliki user ID dan password sesuai kebijakan perusahaan yang dapat mencegah informasi diakses oleh pihak yang tidak berwenang. 2) Risiko terhadap informasi pihak ketiga yang dapat menyebabkan masalah kepada perusahaan mendapat tingkat penilaian B, dikarenakan pengendalian akses dan otorisasi akses pada PT Saga Machie kurang terkendali, sehingga perlu ditingkatkan dan diatur dalam kebijakan perusahaan mengenai pengaksesan informasi. 3) Risiko terhadap salah pengelompokan informasi dan data mendapatkan tingkat penilaian C, dalam risiko ini diperlukan control nomor 1, 2, dan 16. Dimana dalam pengelompokan informasi dan data sebelumnya, telah dilakukan backup dan review secara berkala. Namun demikian, perlu dilakukan pemantauan (monitoring) terhadap pengelompokan informasi dan data agar kesalahan dapat diketahui dengan jelas dan dihindari. 4) Risiko terhadap data dan informasi yang tidak sesuai dengan fakta mendapat tingkat penilaian C, dikarenakan peninjauan terhadap data dan informasi telah dilakukan dengan baik agar sesuai dengan fakta, akan tetapi perlu dilakukan peninjauan yang lebih spesifik, sehingga ketidaksesuaian data dan informasi dapat dihindari. 5) Risiko pada data lama atau dokumen tidak dihapus, ini mendapatkan tingkat penilaian D, karena pada PT Saga Machie telah dilakukan change
117 management dengan baik. Maka tidak perlu dilakukan tindakan yang lebih lanjut. 6) Risiko informasi digunakan dalam konteks yang tidak sesuai, hal ini mendapat tingkat penilaian D dikarenakan PT Saga Machie sudah melakukan analisis risiko sehingga penyalahgunaan informasi dapat terdeteksi. 7) Risiko kesalahan terhadap data dan dokumen yang dipublikasikan mendapat tingkat penilaian D dikarenakan PT Saga Machie sudah melakukan backup data, serta telah menerapkan analisis risiko agar terhindar dari kesalahan data dan dokumentasi yang dipublikasikan. 8) Risiko terhadap kehilangan data atau informasi akibat kebakaran, hal ini mendapat tingkat penilaian C dikarenakan tersedianya dokumen DRP yang dapat mendukung dalam mencegah bencana yang tidak terduga seperti bencana kebakaran dan adanya recovery plan yang telah dirancang dan perlu dilakukan pemantauan lebih lanjut. 9) Risiko terhadap tidak ada peringatan atas kesalahan input data mendapat tingkat penilaian D, hal ini dikarenakan PT Saga Machie telah memiliki kebijakan dan telah menerapkan pengendalian aplikasi (application control) yang telah diketahui dan dipahami para karyawan. Maka tidak perlu adanya tindakan yang lebih lanjut dalam menghadapi risiko tersebut. 10) Risiko akses untuk backup data tidak terkontrol dengan baik, hal ini mendapat penilaian C karena PT Saga Machie telah membuat kebijakan keamanan sistem dan hanya perlu dilakukan pemantauan lebih lanjut terhadap pengaksesan untuk backup data.
118 11) Risiko terdapatnya virus yang dapat menyebabkan kegagalan sistem atau hilangnya data ini mendapat tingkat penilaian C, karena pada setiap komputer yang digunakan oleh para karyawan PT Saga Machie telah memiliki anti virus yang sudah terupdate secara otomatis dalam mendeteksi virus, baik virus yang melalui memory penyimpanan data (flashdisk) atau dari penggunaan internet. 12) Risiko terhadap penggunaan informasi yang tidak benar yang dapat berdampak pada bisnis mendapat penilaian C, karena pada PT Saga Machie telah melakukan analisis terhadap dampak bisnis perusahaannya secara berkala dengan BIA. 13) Risiko terhadap autentikasi untuk akses data sensitif perusahaan tidak memadai ini mendapatkan penilaian D, karena dalam pengaksesan data PT Saga Machie telah menerapkan kebijakan dalam keamanan sistem, pengendalian dalam mengakses, dan persetujuan dari pihak yang berwenang atas keautentikasian data perusahaan. 14) Risiko pada informasi yang diubah tanpa adanya persetujuan dari pihak yang bertanggungjawab mendapatkan tingkat penilaian C, dikarenakan dalam kegiatan di PT Saga Machie sudah adanya surat perintah dan persetujuan dari pimpinan atau pihak yang berwenang dalam pengubahan informasi yang ada. Akan tetapi, hal ini perlu dilakukan pemantauan lebih lanjut dan berkala. 15) Risiko terhadap manipulasi data untuk kepentingan pribadi atau kelompok mendapat penilaian B, dikarenakan minimnya pengendalian terhadap data pada beberapa divisi. Maka dalam hal ini perlu adanya kebijakan dan
119 analisis dari perusahaan yang ditetapkan bagi para karyawan yang melakukan manipulasi data. 16) Risiko pada human error pada saat meng-entry data manual kedalam sistem mendapat penilaian C dikarenakan pada PT Saga Machie dalam satu tahun dapat dilakukan training atau pelatihan satu sampai dengan tiga kali dan juga dilakukan pengecekan data secara berkala, sehingga human error dapat diminimalisir. 17) Risiko kerusakan hardware akibat bencana kebakaran, hal ini mendapat tingkat penilaian C dikarenakan keberadaan tata letak hardware ditempatkan dan tersusun dengan baik, dan adanya analasis terhadap dampak bisnis serta tersedianya dokumen DRP yang dapat mendukung dalam mencegah bencana yang tidak terduga seperti bencana kebakaran. 18) Risiko penolakan akses ke informasi padahal diakses oleh orang yang berwenang mendapatkan tingkat penilaian D, dalam hal ini PT Saga Machie sudah menerapkan kebijakan keamanan terhadap pengaksesan dan juga sudah adanya user ID sehingga pihak yang berwenang dapat melakukan pengkasesan informasi dan tidak perlu dikhawatirkan untuk penolakan hak akses. 19) Risiko terhadap penyalahgunaan user ID mendapat tingkat penilaian D, dikarenakan PT Saga Machie telah menerapkan kebijakan keamanan terhadap pengaksesan user ID, sehingga hanya pihak yang berwenang saja dapat mengakses suatu aplikasi tertentu. 20) Risiko terhadap mantan user atau karyawan masih memiliki akses untuk mengamankan data, mendapatkan tingkat penilaian C, dikarenakan PT
120 Saga Machie telah memiliki kebijakan dalam melakukan pengendalian terhadap pengaksesan dan mengupdate kembali user id maupun password yang lama, serta adanya persetujuan atau otorisasi hak akses terhadap user id tersebut. 21) Risiko informasi sensitif dan tidak sensitif tercampur, hal ini mendapatkan tingkat penilaian C, dikarenakan dalam hal ini PT Saga Machie masih perlu meningkatkan pengendalian terhadap informasi baik yang sensitif dan tidak sensitif agar tidak terjadi kesalahan dalam mengelompokkan atau mengkategorikan informasi yang ada. 22) Risiko terhadap kebocoran informasi internal perusahaan memiliki tingkat penilaian C dikarenakan pada PT Saga Machie dalam melakukan pengaksesan data atau informasi perusahaan yang penting hanya dapat dilakukan oleh top management, yaitu dimana orang-orang yang memiliki hak akses khusus. Namun, hal tersebut tetap membutuhkan pemantauan agar hak akses yang diberikan tidak disalahgunakan, sehingga kebocoran informasi internal dapat dihindari.. 23) Risiko terhadap otorisasi keaslian permintaan data, memiliki tingkat penilaian C, dalam hal ini PT Saga Machie telah menerapkan kebijakan keamanan, namun masih perlu menerapkan backup terhadap keaslian data yang ada, serta memberikan pengendalian terhadap pengaksesan data. 24) Risiko prosedur otorisasi pada perusahaan mendapat tingkat penilaian B, dalam hal ini PT Saga Machie perlu melakukan pengendalian dan pemahaman terhadap prosedur dalam mengotorisasi agar informasi dan
121 data tidak disalahgunakan oleh para karyawan atau pihak yang tidak bertanggung jawab. 25) Risiko didalam pendaftaran personil terdapat personil yang tidak terotorisasi mendapat tingkat penilaian D, hal ini dikarenakan dalam pelaksanaan pengrekrutan telah sesuai dengan kebijakan perusahaan dan telah dilakukan review, sehingga kecil kemungkinan risiko ini terjadi. 26) Risiko gangguan jaringan yang diakibatkan virus memiliki tingkat penilaian C karena perusahaan telah menggunakan anti virus yang telah terupdate secara otomatis sehingga dapat mendeteksi virus dan perusahaan pun perlu melakukan maintenance dan sebaiknya dilakukan review backup secara berkala agar gangguan jaringan yang diakibatkan virus dapat diminimalisir. 27) Risiko berbagi User ID mendapat tingkat penilaian C dikarenakan adanya kebijakan yang ditetapkan pada PT Saga Machie dalam melakukan update terhadap masing-masing user ID yang dimiliki oleh karyawan, sehingga dapat menghindari terjadinya berbagi user ID diantara karyawan. 28) Risiko terhadap akses yang tidak terkendali terhadap informasi yang sensitif memiliki tingkat penilaian C karena dalam pengaksesan informasi PT Saga Machie telah menerapkan kebijakan dalam keamanan sistem, pengendalian dalam mengakses, dan persetujuan dari pihak yang berwenang atas informasi yang di akses. 29) Risiko terhadap hacker yang dapat membuat sistem down, hal ini mendapatkan tingkat penilaian C, dimana perusahaan telah melakukan review backup terhadap sistem yang berjalan dan adanya kontrol keamanan
122 dan operasional. Walau demikian, perusahaan harus tetap memantau dan mengantisipasi ancaman terhadap sistem sehingga dapat meminimalisir risiko. 30) Risiko terhadap hubungan jaringan antar sistem gagal didalam perusahaan memiliki tingkat penilaian C karena perusahaan telah melakukan pengendalian akses (access control) dalam hal keamanan hubungan jaringan antar sistem dan pengembangan prosedur pemulihan terhadap kegagalan jaringan antar sistem. 31) Risiko terhadap ketidaktersediaan dokumen DRP dalam perusahaan mendapat tingkat penilaian D karena dalam PT Saga Machie telah tersedia dokumen DRP yang mendukung dalam menganalisis dampak bisnis. 32) Risiko adanya pihak ketiga membatalkan perjanjian yang telah dibuat, hal ini mendapat tingkat penilaian D karena PT Saga Machie telah menerapkan kebijakan service level agreement untuk meningkatkan pelayanan kepada pelanggan dan adanya jaminan yang mendukung kegiatan bisnis operasional sesuai yang diharapkan. 33) Risiko data dan informasi hilang akibat kerusakan hardware mendapat tingkat penilaian C, dalam hal ini perusahaan perlu melakukan maintenance secara berkala terhadap aplikasi yang memuat data dan informasi serta menerapkan pengendalian physical security agar tidak terjadi penyalahgunaan hardware yang mengakibatkan kerusakan. 34) Risiko terhadap kebutuhan back-up tidak memadai, memiliki tingkat penilaian C karena perusahaan telah melakukan review backup secara
123 berkala dan telah menerapkan Prosedur ChangeManagement. Namun perlu dilakukan pemantauan lebih lanjut. 35) Risiko terhadap tidak adanya rekaman terhadap perubahan sistem atau aplikasi software mendapat tingkat penilaian C dikarenakan perusahaan telah melakukan backup dan mendokumentasikan perubahan sistem atau aplikasi software untuk memastikan bahwa sistem atau aplikasi software dapat diperoleh kembali, dengan menggunakan cadangan yang dibuat, jika terjadinya kemungkinan kehilangan data. 36) Risiko terhadap kegagalan router atau firewall membuat layanan jadi tidak dapat diakses, memiliki tingkat penilaian C karena perusahaan perlu melakukan maintenance, physical security dan menganalisis dampak bisnis terhadap perangkat keras dan perangkat lunak guna meningkatkan pelayanan dalam pengaksesan sistem. 37) Risiko adanya kerusakan database mendapat tingkat penilaian C dikarenakan keberadaan infrastruktur ruangan server pada PT Saga Machie terlihat tersusun dengan cukup baik, walaupun demikian tetap harus dilakukan pemantauan lebih lanjut terhadap infrastruktur yang telah ada agar tidak mempengaruhi keberadaaan database sehingga dapat meminimalisasi terjadinya kerusakan database. 38) Risiko terjadinya error pada program memiliki tingkat penilaian C, dikarenakan sudah dilakukan maintenance secara baik dan berkala, sehingga kemungkinan kecil terjadinya risiko error pada program.
124 39) Risiko terhadap putusnya koneksi internet mendapatkan tingkat penilaian C karena PT Saga Machie telah melakukan identifikasi risiko dan perlindungan atau pengendalian serta perbaikan terhadap jaringan internet, maka perusahaan hanya perlu menindaklanjuti agar risiko terhadap putusnya koneksi internet dapat diminimalisasi. 40) Risiko sumber daya teknis kurang pelatihan yang tepat memiliki tingkat penilaian C, karena PT Saga Machie telah memberikan training atau pelatihan kepada sumber daya teknis mengenai penggunaan dan pengendalian aplikasi. 41) Risiko terjadinya kesalahan dalam membuat perubahan pada hardware dan software memiliki tingkat penilaian C karena perusahaan telah memberikan pelatihan, namun pelatihan yang diberikan kurang maksimal dilaksanakan, sehingga dapat berdampak terhadap bisnis.
127