BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Dalam pengukuran risiko yang dilakukan pada PT National Label, kami telah mengumpulkan dan mengolah data berdasarkan kuisioner yang telah dibagikan kepada Bapak Johan selaku manajer TI dan juga para staf-staf TI lainnya. Kuisioner yang dibagikan digunakan untuk mengetahui kelemahan dari hasil pengukuran risiko serta mencari solusi atas risiko - risiko yang terjadi dalam PT National Label. Kuisioner yang dibuat dengan menggunakan metode OCTAVE-S terdiri dari 3 tahap, yaitu: (1) membangun aset berbasis profil ancaman, (2) mengidentifikasi kerentanan infrastruktur, dan (3) mengembangkan strategi keamanan dan perencanaan. Dari ketiga tahap ini, dijabarkan menjadi lima proses yang terdiri dari 16 aktifitas dan 30 langkah. Lima proses tersebut, meliputi: (1) identifikasi informasi perusahaan, yang terdiri dari tiga aktifitas dan empat langkah, (2) membuat profil ancaman, yang terdiri dari tiga aktifitas dan 12 langkah, (3) memeriksa perhitungan infrastruktur hubungan dalam aset kritis, yang terdiri dari dua aktifitas dan lima langkah (4) identifikasi dan analisis risiko, yang terdiri dari tiga aktifitas dan tiga langkah, (5) mengembangkan strategi perlindungan dan rencana mitigasi, yang terdiri dari lima aktifitas dan enam langkah. Dari kelima proses tersebut diharapkan tujuan penelitian terjawab, dan mendukung tercapainya visi dan misi perusahaan. 82
83 4.2 Informasi Perusahaan 4.2.1 Kriteria Evaluasi Dampak PT National Label saat ini memiliki reputasi yang baik, hal ini dapat dilihat dari kehilangan pelanggan sebesar 3% pertahun, ini membuktikan bahwa terdapat kesetiaan pelanggan dalam menggunakan jasa perusahaan. Dan angka tersebut berbanding jauh dengan penambahan pelanggan pada perusahaan selama tahun 2008 ini yang mencapai 10%. Dari segi finansial perusahaan, biaya operasional perusahaan dikategorikan sedang karena meningkat 10%. Dengan demikian kehilangan pendapatan akan berkurang seiring biaya operasional yang meningkat. Kehilangan pendapatan tersebut diperkirakan sekitar 15%. Biaya operasional ini, dihabiskan hampir 40% untuk kebutuhan TI organisasi, hal ini dikarenakan perombakan total perusahaan pada awal tahun 2008. Pelanggan yang bertambah mengakibatkan meningkatnya jam kerja untuk menunjang produktivitas perusahaaan. Untuk tahun 2008, produktivitas perusahaan bertambah sebesar 20%. Dan diprediksikan akan terus meningkat sepanjang periode 2009. Perlindungan kesehatan setiap karyawan menjadi tanggungan perusahaan, untuk masalah kesehatan karyawan perusahaan memberikan kompensasi sesuai dengan kebijakan yang diterapkan. Ancaman keselamatan pada karyawan dikategorikan rendah karena tidak pernah terjadi ancaman yang berakibat fatal. Untuk hukuman denda memang diberlakukan didalam perusahaan ini, tetapi hal tersebut semata hanya dilakukan dengan tujuan agar para karyawan dapat lebih mengedepankan kedisiplinan serta profesionalitas kerja.
84 4.2.2 Aset-Aset TI Keseluruhan aset TI perusahaan mencakup aset dalam sistem, informasi, aplikasi, pelayanan, dan orang. Untuk aset sistem terdapat Data Center. Informasi perusahaan yang digunakan untuk mendukung pekerjaan karyawan meliputi, jadwal pembayaran serta informasi kebutuhan pelanggan. Sedangkan aplikasi untuk mendukung pekerjaan karyawan antara lain: SQL Service Database, My SQL,Citrix, Website, dan E-mail. Orang yang mempunyai keahlian vital dalam perusahaan dan sulit tergantikan adalah Manajer TI, Head Programmer dan juga staf design. Karena keahlian mereka tersebut, perusahaan menyatakan mereka sebagai aset. 4.2.3 Praktek Keamanan Kelemahan dan kelebihan dalam 15 praktek keamanan yang disurvei pada PT National Label dan penilaian stoplight status nya sebagai penilaian perusahaan terhadap kinerja karyawannya untuk masing-masing praktek keamanan yang ada, antara lain: a. Kesadaran Keamanan dan Pelatihan Dalam perusahaan ini sudah terdapat kesadaran anggota staff yang memahami dan mematuhi kebijakan keamanan dengan menggunakan password yang baik dalam menggunakan sistem yang ada di perusahaan dan sudah terdapat dokumentasi dan verifikasi atas peraturan keamanan dan tanggung jawab yang harus dipatuhi staff. Tetapi dalam perusahaan ini, pelatihan hanya dilakukan untuk karyawan baru saja dan belum ada pelatihan
85 yang dilakukan secara periodik. Hal ini menunjukkan kesadaran keamanan dan pelatihan dalam perusahaan hanya perlu sedikit perbaikan (Stoplight status YELLOW). Rekomendasi: Perlu adanya pelatihan yang dilakuakn secara periodik bukan hanya untuk karyawan baru, tetapi untuk semua karyawan. Hal ini dilakukan supaya kesadaran keamanan karyawan menjadi meningkat. b. Strategi Keamanan Strategi perusahaan telah secara rutin memasukkan pertimbangan keamanan dan kebijakan serta strategi keamanan mempertimbangkan tujuan dan strategi bisnis perusahaan. Srategi pengamanan perusahaan telah berjalan dengan baik, tetapi dalam perusahaan ini, strategi pengamanan belum didokumentasikan dan dikaji secara rutin. Hal ini menunjukkan kesadaran keamanan dan pelatihan dalam perusahaan hanya perlu sedikit perbaikan (Stoplight status YELLOW). Rekomendasi: Untuk membuat perubahan strategi bisnis perusahaan harus ada dokumentasi dan dikaji secara rutin agar karyawan dalam menjalankan strategi keamanannya menjadi lebih terarah. c. Manajemen Keamanan Dalam perusahaan ini, peraturan keamanan telah ditetapkan secara baik oleh perusahaan kepada semua karyawan, prosedur-prosedur manajemen keamanan telah didokumentasikan untuk mengawasi semua staff yang bekerja. Tetapi perusahaan ini belum mengalokasikan dana untuk
86 pembiayaan aktifitas keamanan informasi, belum adanya proses yang formal dalam menilai dan mengelola risiko, belum terdapat mekanisme yang resmi dalam menyiapkan manajer dengan ringkasan informasi yang berhubungan dengan keamanan yang penting. Hal ini menunjukkan manajemen keamanan dalam perusahaan hanya perlu sedikit perbaikan (Stoplight status YELLOW). Rekomendasi: Adanya pengalokasian dana dalam menjaga keamanan informasi agar segala kerusakan yang muncul dapat segera ditangani. Menyediakan proses yang formal dalam menilai dan mengelola risiko, menyediakan mekanisme resmi dalam menyiapkan manajer dengan ringkasan informasi yang berhubungan dengan keamanan yang penting. d. Kebijakan Keamanan dan Peraturan Dalam perusahaan ini terdapat peraturan dan kebijakan keamanan informasi dan diterapkan oleh seluruh staf dam kebijakan tersebut secara berkala ditinjau dan diperbaharui. Tetapi, evaluasi yang dilakukan dalam perusahaan tidak didokumentasikan secara menyeluruh untuk memastikan pemenuhan kebijakan keamanan informasi. Kesimpulannya peraturan dan kebijakan keamanan perusahaan diperlukan sedikit perbaikan tetapi tidak terlalu berarti. (Stoplight status YELLOW). Rekomendasi: Perlu adanya proses yang didokumentasi dalam setiap evaluasi yang dilakukan untuk pemenuhan kebijakan keamanan informasi agar dapat diketahui setiap evaluasi yang dilakukan pada perusahaan.
87 e. Manajemen Keamanan Kolaboratif Perusahaan telah membuat kebijakan dan prosedur untuk melindungi informasi milik perusahaan lain dalam prosedur kolaborasi, akan tetapi tidak tersedia dokumentasi ataupun mekanisme formal terhadap setiap prosedur dan hasil yang ada (Stoplight status YELLOW). Rekomendasi: Perlu adanya dokumentasi ataupun mekanisme formal terhadap setiap prosedur dan hasil yang ada. f. Rencana Contingency Perusahaan ini telah mempunyai rencana cadangan yang disediakan untuk menangani kemungkinan buruk yang akan terjadi. Analisis, operasi, aplikasi, dan data yang penting telah dilakukan. Tetapi, belum semua staf menyadari perlunya rencana cadangan, rencana pemulihan bencana dan rencana untuk menghadapi keadaan darurat. Perusahaan juga belum terdapat dokumentasi seluruh rencana cadangan serta rencana cadangan tersebut belum diuji tingkat keberhasilannya. Hal ini menunjukkan rencana cadangan dan pemulihan dari bencana perlu adanya perbaikan (Stoplight status YELLOW). Rekomendasi: Mendokumentasikan seluruh rencana cadangan untuk menganggapi keadaan darurat menjadi jelas dna mudah untuk diikuti oleh karyawan. Menguji tingkat keberhasilan rencana cadangan agar keberhasilan dari rencana cadangan tersebut lebih akurat.
88 g. Pengendalian Akses Fisik Perusahaan telah mempunyai pengendalian akses fisik yang baik, dapat dlihat dari rencana keamanan fasilitas dan prosedur untuk menjaga lokasi, bangunan, dan area apapun yang dibatasi telah didokumetasi. Terdapat kebijakan untuk mengendalikan akses fisik ke tempat kerja serta hardware, software. Contohnya : Area bangunan dan tempat kerja serta tempat server hanya dapat dimasuki oleh orang yang berwewenang. Kesimpulannya pengendalian akses fisik dalam perusahaan sudah baik. (Stoplight status GREEN). h. Pemantauan dan Audit Keamanan Fisik Perusahaan telah melakukan hal yang baik dalam mengawasi dan mengaudit keamanan secara fisik. Dapat dilihat dari catatan pemeliharaan disimpan untuk mendokumentasi perbaikan dan modifikasi dari komponen fasilitas fisik. Tindakan individu atau grup berkaitan dengan media yang dikontrol secara fisik dapat dilaporkan. Adanya catatan audit dan pengawasan secara rutin diperiksa kejanggalannya. Kesimpulannya pengendalian aksek fisik dalam perusahaan sudah baik. (Stoplight status GREEN). i. Sistem dan Manajemen Jaringan Dalam perusahaan telah terdapat firewall yang diupdate secara rutin untuk menjaga sistem dan jaringan yang ada dalam perusahaan. Informasi sensitif yang ada dalam perusahaan telah diback up daily, weekly, monthly. Semua sistem dalam perusahaan selalu up to date dengan direvisi dan dipatch.
89 Perubahan terhadap hardware dan software direncanakan dan dikontrol. Jika dalam perusahaan terdapat sistem yang tidak diperlukan, maka akan segera dihapus. Maka, manajemen jaringan dan sistem terdapat beberapa kekurangan (Stoplight status YELLOW). Rekomendasi: Perlunya mendokumentasikan keseluruhan rencana keamanan utnuk menjaga sistem dan jaringan. j. Pemantauan dan Audit Keamanan TI Dalam perusahaan ini, pengawasan sistem dan jaringan telah dilakukan secara rutin oleh perusahaan. Firewall dan komponen keamanan lainnya telah diaudit secara periodik untuk memenuhi persyaratan keamanan. Kesimpulannya pengawasan dan pengauditan keamanan teknologi informasi dalam perusahaan sudah baik. (Stoplight status GREEN). k. Pengesahan dan Otorisasi Perusahaan ini telah mempunyai akses kontrol sesuai akses dan otentikasi penggunaan sesuai dengan kebijkan yang ada untuk membatasi akses pengguna. Dokumentasi kebijakan yang terdapat dalam perusahaan berguna untuk membuat dan mengakhiri hak untuk mengakses informasi. Contoh: Adanya id dan password untuk setiap masing-masing user. Metode atau mekanisme yang disediakan untuk memastikan bahwa informasi yang sensitif tidak diakses, diubah, atau dihancurkan secara tidak sah. Metode atau mekanisme secara periodik ditinjau ulang dan diverifikasi. Kesimpulannya
90 otentikasi dan otorisasi dalam perusahaan sudah baik. (Stoplight status GREEN). l. Manajemen Kerentanan Dalam perusahaan terdapat prosedur keamanan kerentanan yang telah diikuti dan secara periodik ditinjau serta terdapat penilaian kerentanan teknologi dan kerentanan dihadapi ketika risiko teridentifikasi. Maka, manajemen kerentanan terdapat beberapa kekurangan yang tidak terlalu signifikan (Stoplight status YELLOW). Rekomendasi: Mendokumentasikan seluruh dokumentasi untuk mengelola kerentanan. m. Enkripsi Perusahaan telah mengontrol keamanan yang sesuai untuk melindungi informasi yang sensitif selama dalam penyimpanan misalnya enkripsi data. Enkripsi data dalam perusahaan telah dilakukan dengan baik. Kesimpulannya enkripsi dalam perusahaan sudah baik. (Stoplight status GREEN). n. Desain dan Arsitektur Keamanan Sebelum membuat arsitektur dan design untuk sistem yang baru, perusahaan telah mempertimbangkan strategi keamanan, kebijakan dan prosedur, sejarah keamanan serta hasil dari penilaian risiko keamanan. Akan tetapi, perusahaan tidak mempunyai diagram up to date yang menunjukkan keamanan arsitektur dan topologi jaringan dari perusahaan. Dengan
91 menggunakan diagram up to date lebih mudah dilihat bagaimana perkembangan keamanan perusahaan. Hal ini menunjukkan arsitektur keamanan dan design dalam perusahaan hanya perlu sedikit perbaikan (Stoplight status YELLOW). Rekomendasi: Adanya diagram up to date untuk menunjukkan bagaimana gambaran perusahaan dalam segi perancangan dan arsitektur keamanan. o. Manajemen Insiden Perusahaan telah mengikuti prosedur dalam mengidentifikasikan, melaporkan dan menanggapi dugaan insiden keamanan dengan baik. Tetapi perusahaan belum terdapat dokumentasi atas prosedur dalam mengidentifikasi, melaporkan dan menanggapi dugaan insiden keamanan dan pelanggaran. Dalam hal ini manajemen insiden dalam perusahaan hanya perlu sedikit perbaikan (Stoplight status YELLOW). Rekomendasi: Perlu adanya dokumentasi atas prosedur dalam mengidentifikasi, melaporkan, dan menanggapi dugaan insiden keamanan dan pelanggaran. 4.3 Profil Ancaman 4.3.1 Aset Kritis Hal yang perlu diperhatikan dalam penilaian aset-aset perusahaan adalah dampak dampak apa saja yang dapat diberikan aset dalam perusahaan. Suatu aset dianggap kritis bila aset tersebut dapat menghasilkan dampak buruk dalam perusahaan, misalnya ketika aset jatuh ke tangan orang yang tidak berwenang,
92 aset dimodifikasi tanpa otorisasi, aset hilang atau rusak, dan terputusnya akses ke aset. Jenis aset-aset yang sangat diutamakan oleh PT National Label yaitu Personal Computer, Data Center, dan Internet. Keseluruhan dari aset-aset penting tersebut, terdapat jenis aset yang paling kritis yaitu aset Data Center, yang berfungsi sebagai tempat penyimpanan keseluruhaan data perusahaan atau storage devices dari data pelanggan dan data keuangan. Data Center hanya dapat diakses oleh direktur, seluruh staff TI, programmer, bagian PPC, divisi akuntansi dan keuangan. Aset-aset yang berhubungan dengan Data Center adalah Personal Computer, Internet. 4.3.2 Kebutuhan Keamanan Aset Kebutuhan keamanan untuk aset yang kritis ada 3 macam, yaitu : confidentiality (dimana informasi hanya dapat dilihat oleh orang yang berwewenang), integrity (dimana informasi hanya dapat diubah oleh orang yang berwewenang), availability (ketersediaan dari aset-aset yang dapat digunakan). Kebutuhan keamanan yang diutamakan adalah integrity. Hal ini disebabkan karena perusahaan membutuhkan data yang tepat dan up to date. 4.3.3 Ancaman Aset Kritis Ancaman aset yang paling kritis dalam perusahaan adalah bila terjadinya penyingkapan, modifikasi, penghancuran, dan interupsi yang bisa merugikan perusahaan dan menganggu kinerja karyawan. Ancaman bisa terjadi melalui akses fisik dan jaringan, setiap akses mempunyai dua pelaku yang berasal dari dalam dan luar perusahaan, baik yang disengaja maupun tidak disengaja.
93 Pelaku yang memberikan ancaman terbesar melalui akses jaringan dari dalam perusahaan adalah kesalahan memasukan data kedalam sistem. Untuk kesalahan pemasukan data biasanya dilakukan oleh karyawan baru secara tidak sengaja, kerugian dari ancaman ini tergolong rendah dan selalu bisa diperbaiki oleh staf TI perusahaan. Sedangkan untuk kriminalitas karyawan sangat kecil sekali peluangnya karena sistem yang sudah terotorisasi dengan baik di perusahaan. Pada akses fisik, risiko berasal dari internal dan eksternal perusahaan yang dilakukan dengan unsur kesengajaan seperti pencurian. Untuk unsur ketidaksengajaan risiko yang pernah terjadi adalah kebakaran yang diakibatkan karena hubungan arus pendek listrik yang merusak jaringan dan server perusahaan. Risiko fisik sering mengakibatkan kerugian finansial pada perusahaan. Frekuensi terjadinya ancaman di perusahaan paling sering terjadi pada akses jaringan, yaitu ancaman kesalahan dalam menginput data yang dilakukan internal perusahaan secara tidak sengaja, hal tersebut sudah terulang sebanyak 6 kali dalam setahun. Untuk akses fisik ancaman pernah terjadi satu kali dalam setahun adalah pencurian pc yang dilakukan oleh karyawan perusahaan. Untuk masalah sistem, di perusahaan sering terserang virus yang terjadi 3 kali dalam setahun. Gangguan sistem akibat virus tersebut dapat diatasi dengan baik. Cara mengatasinya yaitu dengan mengupdate anti virus.
94 4.4 Infrastruktur Yang Berhubungan Dengan Aset Kritis 4.4.1 Jalur Aset Sistem sistem penting yang berkaitan dengan perusahaan dihubungkan langsung dengan Data Center, komponen - komponen yang berkaitan dengan Data Center terdiri dari server dan internal network. Internal network merupakan sarana yang digunakan untuk mengirimkan informasi dan aplikasi dari Data Center ke karyawan. Sedangkan karyawan mengakses Data Center melalui Personal Computer masing masing. Dalam penyimpanan informasi dari Data Center menggunakan satu storage devices. Komponen dan sistem penting selain Data Center meliputi PC, Internet, Citrix dan aplikasi sistem lainnya. 4.4.2 Keterkaitan Teknologi Keseluruhan dari komponen dan sistem penting yang terdapat dalam perusahaan saling berkaitan dengan server, internal network, dan storage device. Tanggung jawab dalam menjaga dan mengamankan server, internal network, storage device adalah tanggung jawab divisi TI, aplikasi antivirus dan firewall, sejauh ini proteksi dalam perusahaan dikategorikan tinggi dalam menjaga dan mengkonfigurasi server, internal network dan storage device. 4.5 Hasil Identifikasi dan Analisis 4.5.1 Dampak Ancaman a. Dampak ancaman melalui akses jaringan yang dilakukan oleh internal perusahaan secara tidak sengaja.
95 -Dampak terhadap reputasi bernilai sedang untuk penyingkapan dan interupsi, dan bernilai tinggi untuk modifikasi dan penghancuran. -Dampak terhadap finansial pada hasil penyingkapan, modifikasi, dan interupsi bernilai sedang, untuk penghancuran bernilai tinggi. -Dampak terhadap produktifitas bernilai sedang untuk penyingkapan dan modifikasi, dan tinggi untuk penghancuran dan interupsi. -Dampak terhadap denda bernilai sedang untuk semua hasil ancaman, sedangkan untuk dampak terhadap perlindungan bernilai rendah. b. Dampak ancaman melalui akses jaringan yang dilakukan oleh internal perusahaan secara sengaja. -Dampak terhadap reputasi bernilai sedang untuk semua hasil ancaman, sedangkan terhadap finansial bernilai tinggi pada keseluruhan hasil ancaman. -Dampak terhadap produktifitas bernilai rendah untuk penyingkapan, sedang untuk modifikasi, dan tinggi untuk penghancuran dan interupsi. -Dampak terhadap denda bernilai sedang untuk semua hasil ancaman dan dampak terhadap perlindungan bernilai rendah juga untuk semua hasil ancaman. c. Dampak ancaman melalui akses jaringan yang dilakukan oleh eksternal perusahaan secara tidak sengaja. -Dampak terhadap reputasi bernilai sedang untuk penyingkapan dan modifikasi, dan bernilai rendah untuk penghancuran dan interupsi.
96 -Dampak terhadap finansial bernilai sedang untuk hasil interupsi, dan bernilai tinggi untuk hasil penyingkapan, modifikasi dan penghancuran. -Dampak terhadap produktifitas bernilai rendah untuk hasil penyingkapan, bernilai sedang untuk hasil modifikasi dan bernilai tinggi untuk hasil penghancuran dan interupsi. -Dampak terhadap denda dan perlindungan masing-masing bernilai sedang dan rendah untuk semua hasil ancaman. d. Dampak ancaman melalui akses jaringan yang dilakukan oleh eksternal perusahaan secara sengaja. -Dampak terhadap reputasi dan finansial, masing-masing bernilai rendah dan tinggi untuk semua hasil ancaman. -Dampak terhadap produktifitas bernilai rendah untuk penyingkapan, bernilai sedang untuk modifikasi dan bernilai tinggi untuk penghancuran dan interupsi. -Dampak terhadap denda dan perlindungan, sama dengan sebelumnya yaitu masing-masing bernilai sedang dan rendah untuk semua hasil ancaman. e. Dampak ancaman melalui akses fisik yang dilakukan oleh internal perusahaan secara tidak sengaja. -Dampak terhadap reputasi, finansial dan denda, bernilai sama yaitu sedang untuk semua hasil ancaman, sedangkan dampak terhadap produktifitas dan perlindungan bernilai rendah untuk semua hasil ancaman.
97 f. Dampak ancaman melalui akses fisik yang dilakukan oleh internal perusahaan secara sengaja. -Dampak terhadap reputasi, finansial dan denda bernilai sedang pada semua hasil ancaman, sedangkan untuk perlindungan bernilai rendah. -Dampak pada produktifitas bernilai sedang untuk hasil modifikasi dan penyingkapan, dan bernilai tinggi untuk hasil modifikasi dan interupsi. g. Dampak ancaman melalui akses fisik yang dilakukan oleh eksternal perusahaan secara tidak sengaja -Dampak terhadap reputasi, finansial dan denda bernilai sedang untuk semua hasil ancaman, sedangkan dampak terhadap produktifitas dan perlindungan bernilai rendah untuk semua hasil ancaman. h. Dampak ancaman melalui akses fisik yang dilakukan oleh eksternal perusahaan secara sengaja -Dampak terhadap reputasi, finansial, dan produktifitas bernilai sedang untuk semua hasil ancaman sedangkan dampak terhadap denda dan perlindungan bernilai rendah untuk semua hasil ancaman. 4.5.2 Kriteria Kemungkinan Waktu peristiwa terjadinya ancaman di perusahaan tergolong sedang dengan frekuensi dibawah empat kali setahun sampai sekali setahun. Pengukuran ini berlaku untuk semua ancaman pada aset penting, baik yang disengaja ataupun tidak disengaja.
98 4.5.3 Peluang dari ancaman a. Peluang terjadinya ancaman melalui akses jaringan dalam internal perusahaan secara tidak sengaja. Untuk ancaman terjadinya penyingkapan berpeluang sedang dengan tingkat keyakinan besar terhadap perkiraan kemungkinan yang ada, terjadinya hasil modifikasi berpeluang sedang dengan tingkat keyakinan kecil, peluang terjadinya penghancuran dan interupsi sama-sama bernilai rendah dengan tingkat keyakinan kecil. b. Peluang terjadinya ancaman melalui akses jaringan dalam internal perusahaan secara sengaja. Ancaman terjadinya penyingkapan dan modifikasi berpeluang sedang dengan tingkat keyakinan kecil, sedangkan untuk ancaman penghancuran dan interupsi berpeluang tinggi dengan tingkat keyakinan kecil. c. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara tidak sengaja. Peluang terjadinya penyingkapan, modifikasi, penghancuran dan interupsi bernilai rendah dengan tingkat keyakinan rendah untuk semua ancaman. d. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara sengaja. Untuk nilai peluang terjadinya ancaman pada bagian ini, sama dengan yang sebelumnya, yaitu berpeluang rendah untuk semua ancaman, dan memiliki tingkat keyakinan yang kecil e. Peluang terjadinya ancaman melalui akses fisik dalam internal perusahaan secara tidak sengaja.
99 Untuk keseluruhan hasil ancaman pada bagian ini berpeluang rendah dengan tingkat keyakinan juga kecil. f. Peluang terjadinya ancaman melalui akses fisik dalam internal perusahaan secara sengaja. Ancaman terjadinya penyingkapan dan modifikasi berpeluang sedang dengan tingkat keyakinan kecil sedangkan untuk ancaman penghancuran dan interupsi berpeluang rendah dengan tingkat keyakinan kecil. g. Peluang terjadinya ancaman melalui akses fisik dalam eksternal perusahaan secara tidak sengaja. Ancaman terjadinya penyingkapan, modifikasi, penghancuran dan interupsi, semuanya berpeluang rendah dengan tingkat keyakinan juga kecil. h. Peluang terjadinya ancaman melalui akses fisik dalam eksternal perusahaan secara sengaja. Hasil ancaman yang berupa penyingkapan dan modifikasi berpeluang sedang dengan tingkat keyakinan kecil sedangkan untuk hasil penghancuran dan interupsi berpeluang rendah dengan tingkat keyakinan kecil. 4.6 Strategi Perlindungan dan Rencana Mitigasi 4.6.1 Strategi Perlindungan Saat Ini Pada PT. National Label terdapat beberapa area yang memiliki stoplight status kuning. Kami penulis memfokuskan pada 4 area saja yang paling penting untuk dibahas lebih lanjut dan dimitigasi, yaitu area kesadaran keamanan dan pelatihan, area strategi keamanan, area contingency, dan area manajemen keamanan.
100 Pada area kesadaran keamanan dan pelatihan perusahaan telah mendokumentasikan strategi training yang meliputi training kesadaran keamanan dan training yang berhubungan dengan keamanan untuk mensupport teknologi, training kesadaran keamanan diadakan untuk semua staff sebagai bagian dari orientasi aktivitas mereka, staf TI dapat menghadiri training yang berhubungan dengan keamanan untuk setiap teknologi yang mereka support jika mereka memintanya, perusahaan mempunyai mekanisme resmi untuk menyediakan anggota staf tentang persoalan keamanan yang penting tetapi tidak diupdate secara periodik, perusahaan tidak mempunyai mekanisme resmi untuk melacak dan menguji bahwa setiap staf telah menerima training yang berhubungan dengan keamanan yang tepat. Pada area strategi keamanan perusahaan telah mempunyai mekanisme yang resmi dalam menggabungkan : pertimbangan keamanan ke dalam strategi bisnis, strategi bisnis dan tujuan ke dalam strategi keamanan dan kebijakan. Perusahaan mempunyai sebagian kumpulan dari strategi, sasaran, dan tujuan keamanan yang didokumentasi, sebagian aspek dari strategi, sasaran, dan tujuan keamanan informal dan tidak didokumentasikan, program training kesadaran keamanan perusahaan mencakup informasi tentang strategi keamanan organisasi. Training ini disediakan untuk staf baru yang merupakan bagian dari aktifitas orientasi mereka. Pada area contingency perusahaan mendokumentasikan sebagian rencana cadangan, rencana pemulihan bencana, dan rencana kemungkinan untuk menanggapi keadaan darurat. Sebagian aspek rencana bersifat tidak resmi dan tidak didokumentasikan, analisis operasi, aplikasi, dan data kritis telah dilakukan,
101 perusahaan mempunyai pengujian secara informal terhadap rencana cadangan, rencana pemulihan bencana dan rencana kemungkinan untuk menggapi keadaan darurat, akses fisik ke informasi kritis secara resmi diunsurkan ke dalam rencana cadangan dan rencana pemulihan bencana dalam perusahaan, program training kesadaran keamanan perusahaan mencakup informasi mengenai kemungkinan perusahaan, pemulihan bencana dan rencana kemungkinan bisnis. Training ini disediakan untuk staff baru yang merupakan bagian dari aktivitas orientasi mereka. Pada area manajemen keamanan perusahaan mempunyai peraturan dan tanggung jawab keamanan informasi yang formal dan didokumentasi untuk semua staff dalam perusahaan, tidak ada anggaran perusahaan maupun anggaran TI secara khusus mencakup pembiayaan aktifitas keamanan informasi, perusahaan secara resmi mendefenisikan prosedur yang mencakup pertimbangan keamanan dalam proses penerimaan dan pemberhentian karyawan, perusahaan mempunyai pendekatan yang tidak formal dan tidak didokumentasi untuk menilai dan mengelola resiko keamanan informasi, program training kesadaran keamanan perusahaan mencakup informasi mengenai proses manajemen keamanan organisasi. Training ini disediakan untuk staff baru yang merupakan bagian dari aktivitas orientasi mereka, perusahaan mempunyai mekanisme yang tidak resmi dan tidak didokumentasi untuk menyiapkan manajer dengan ringkasan informasi yang berhubungan dengan keamanan yang penting.
102 4.6.2 Rencana Mitigasi a. Area mitigasi : Kesadaran Keamanan dan pelatihan Aktifitas mitigasinya adalah menyediakan pelatihan kesadaran keamanan untuk seluruh karyawan secara periodik (2 kali dalam 1 tahun), menyediakan mekanisme resmi untuk menyiapkan panduan keamanan yang diupdate secara periodik. Alasannya adalah agar karyawan lebih menyadari dan tidak melupakan pentingnya keamanan, agar anggota karyawan dapat mengikuti perkembangan masalah keamanan yang baru. Yang bertanggung jawab dalam area mitigasi ini adalah Divisi TI. Dukungan tambahan yang diperlukan dalam area ini adalah Manajer TI harus mendukung aktifitas ini dengan cara menentukan jadwal yang pasti untuk pelatihan kesadaran keamanan, Perusahaan memberikan dukungan berupa dana untuk pelatihan tersebut, Perusahaan membuat peraturan untuk diadakannya meeting jika ada masalah keamanan yang baru atau yang akan diperiodik. b. Area mitigasi : Strategi Keamanan Aktifitas mitigasinya adalah perusahaan harus mendokumentasikan strategi, tujuan dan sasaran keamanan. Alasannya adalah agar karyawan dalam menjalankan strategi keamanannya menjadi lebih terarah. Yang bertanggung jawab dalam area ini adalah Divisi TI. Dukungan tambahan untuk area ini adalah manajer TI menunjuk satu tim untuk mendokumentasikan strategi, tujuan dan sasaran keamanan.
103 c. Area Mitigasi : Rencana Cadangan atau Pemulihan Bencana Aktifitas mitigasinya adalah mendokumentasikan seluruh rencana cadangan, rencana pemulihan bencana, dan rencana kemungkinan untuk menanggapi keadaan darurat, menguji rencana cadangan, rencana pemulihan bencana dan rencana kemungkinan untuk menanggapi keadaan darurat secara resmi. Alasannya adalah agar rencana cadangan, rencana pemulihan bencana, dan rencana kemungkinan untuk menanggapi keadaan darurat menjadi lebih jelas dan lebih mudah untuk diikuti oleh karyawan, untuk memastikan tingkat keberhasilan rencana cadangan, rencana pemulihan bencana dan rencana kemungkinan untuk menanggapi keadaan darurat dengan lebih akurat. Yang bertanggung jawab adlaah Divisi TI. Dukungan tamabahan yang diperlukan meliputi Manajer TI menunjuk satu tim untuk mendokumentasikan rencana cadangan, rencana pemulihan bencana, dan rencana kemungkinan serta Manajer TI melakukan pengujian dengan cara membuat skenario rencana. d. Area mitigasi : Manajemen keamanan Aktifitas mitigasinya adalah menyediakan anggaran perusahaan secara khusus dalam pembiayaan untuk aktivitas keamanan informasi, menyediakan proses yang formal dan dokumentasi dalam menilai dan mengelola risiko keamanan informasi, menyediakan mekanisme resmi dan dokumentasi untuk menyiapkan manajer dengan ringkasan informasi yang berhubungan dengan keamanan yang penting. Alasannya adalah agar segala kerusakan yang muncul dapat segera ditangani, proses yang formal dan dokumentasi dalam menilai dan mengelola resiko keamanan informasi diperlukan untuk berjaga-jaga apabila
104 risiko terjadi pada saat Divisi TI sedang tidak ditempat, maka staf lain dapat mengambil langkah-langkah dalam mengatasi risiko tersebut dengan melihat dokumentasi tersebut sebagai panduan, agar ringkasan yang dihasilkan untuk manajer lebih lengkap dan tepat. Yang bertanggung jawab adalah Divisi IT. Dukungan tambahan yang diperlukan Direktur memberikan dukungan dengan memberikan dana untuk menambah anggaran perusahaan, Manajer TI menyediakan proses dan mendokumentasikan proses tersebut secara jelas, Manajer TI menyediakan mekanisme yang resmi dan didokumentasi. 4.6.3 Perubahan untuk Strategi Perlindungan Berdasarkan strategi perlindungan yang ada, ada beberapa strategi yang perlu dirubah untuk meningkatkan kualitas keamanan perusahaan. Berikut ini adalah perubahan perubahannya. Pada area kesadaran keamanan dan pelatihan periode training kesadaran keamanan yang tadinya hanya diadakan untuk karyawan baru saja diubah menjadi diadakan untuk semua pekerja 1 kali setiap tahunnya. Perusahaan yang tidak mempunyai mekanisme resmi menjadi mempunyai mekanisme resmi untuk menyediakan staff member dengan update periodik tentang persoalan keamanan yang penting. Pada area strategi keamanan perusahaan yang tadinya tidak mendokumentasikan strategi, sasaran, dan tujuan keamanan menjadi didokumentasikan. Pada area rencana cadangan atau pemulihan bencana perusahaan yang tadinya tidak mendokumentasikan akan mendokumentasikan seluruh rencana
105 cadangan, rencana pemulihan bencana, dan rencana kemungkinan untuk menanggapi keadaan darurat. Perusahaan juga yang tadinya tidak mempunyai pengujian secara formal jadi mempunyai pengujian secara formal terhadap rencana cadangan, rencana pemulihan bencana dan rencana kemungkinan untuk menggapi keadaan darurat. Pada area manajemen keamanan manajemen yang pada awalnya tidak mengalokasikan dana secara jelas menjadi dialokasikan dana secara jelas dan cukup untuk kegiatan keamanan informasi. Level pembiayaan ditentukan berdasarkan penilaian resmi dari risiko keamanan informasi perusahaan. Perusahaan juga jadi mempunyai penetapan proses yang formal untuk menilai dan mengelola resiko keamanan informasinya. Perusahaan juga menjadi mempunyai mekanisme yang resmi untuk menyiapkan manajer dengan ringkasan informasi yang berhubungan dengan keamanan yang penting. 4.6.4 Identifikasi Langkah Selanjutnya Dalam pengimplementasi hasil dari evaluasi dan sikap keamanan, ada beberapa hal yang menjadi pertimbangan perusahaan, antara lain: 1. Manajemen harus mengutamakan keamanan informasi dalam strategi bisnis perusahaan dalam mendukung pelaksanaan hasil dari OCTAVE-S. 2. Perusahaan diharapkan dapat memberikan alokasi anggaran sehingga dapat melaksanakan rencana mitigasi serta membuat prioritas strategi keamanan informasi untuk mendukung keamanan informasi dalam perusahaan.
106 3. Perusahaan tidak akan melakukan evaluasi penambahan aset-aset penting, jika kegiatan mitigasi yang ada sekarang belum diterapkan secara menyeluruh. 4. Perusahaan dianjurkan untuk melakukan evaluasi OCTAVE-S setiap tahun.