BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

dokumen-dokumen yang mirip
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

Satu yang terkenal diantaranya adalah metode OCTAVE.

BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

terpengaruh; sedikit dibutuhkan usaha untuk untuk Biaya operasional per 15% kehilangan pendapatan Jam kerja Dibawah 10% Jam kerja staff

BAB 4 PENGUKURAN MANAJEMEN RISIKO TEKNOLOGI INFORMASI. Untuk memperoleh data yang berhubungan dengan pengukuran risiko, maka

Langkah langkah FRAP. Daftar Risiko. Risk

BAB III METODOLOGI PENELITIAN

MANAJEMEN RISIKO SISTEM INFORMASI

KUESIONER. Nama Responden. Bagian/Jabatan

ABSTRACT. Metode Penelitian. Anderes Gui 1, Sanyoto Gondodiyoto 2, Irvan Timotius 3

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

Aktivitas Langkah Deskripsi. perusahaan. dan orang). dokumen rincinya : organisasi).

INFRASTRUCTURE SECURITY

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

PENGUKURAN RISIKO TEKNOLOGI INFORMASI PADA RUMAH SAKIT BHAKTI YUDHA DENGAN MENGGUNAKAN METODE OCTAVE-S

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

BAB I PENDAHULUAN 1.1. Latar Belakang

Konsep Dasar Audit Sistem Informasi

Lembar Kuisioner. pelayanan, mekanisme dan teknologi dalam operasi keamanan.

BAB I PENDAHULUAN 1.1. Latar Belakang

RESUME PAPER PENGUKURAN RESIKO TEKNOLOGI INFORMASI (TI) DENGAN METODE OCTAVE-S

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

TEKNIK AUDIT DATA CENTER DAN DISASTER RECOVERY. Titien S. Sukamto

PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER

MATERI 03 : KEAMANAN INFORMASI

Lampiran-Lampiran. Aktivitas Langkah Deskripsi

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI. yang akan penulis evaluasi antara lain : cadang pada PT. Mercindo Autorama

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

Dimensi Kelembagaan. Kebijakan Kelembagaan 1. Perencanaan 0.5

MITIGASI RISIKO KEAMANAN SISTEM INFORMASI

Kesepakatan Tingkat Layanan Service Level Agreement (SLA)

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

LAMPIRAN A : KUESIONER PENELITIAN

1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

BAB 4. SIMPULAN DAN SARAN

Pengendalian Sistem Informasi Berdasarkan Komputer

HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

BAB 1 PENDAHULUAN Latar Belakang

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG PADA PT. TIRATANA ELECTRIC

BAB 2 TINJAUAN PUSTAKA

BAB 4 AUDIT SISTEM INFORMASI. Pada bab ini akan membahas mengenai proses pelaksanaan Audit Sistem

Auditing. Obyektif. 3.1 Phase Audit Sistem Informasi

II. PERAN DAN TANGGUNG JAWAB DIREKSI

Prosedure Keamanan Jaringan dan Data

SIMPULAN DAN SARAN. 4.1 Simpulan

Standar Internasional ISO 27001

STANDARD OPERATING PROCEDURE

BAB IV SIMPULAN DAN SARAN

SISTEM INFORMASI MANAJEMEN

Daftar Pertanyaan Wawancara Berdasarkan Pengendalian Manajemen Keamanan. tinggi? PC? PC? pada ruang PC? antivirus? berkala?

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

APPENDIX A. Sumber dan Tujuan. Data. Arus Data. Proses Transformasi. Penyimpanan Data

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

PENERAPAN SISTEM KEAMANAN TEKNOLOGI INFORMASI. Zaenal Arifin

KEAMANAN DAN KONTROL. A. PENTINGNYA KONTROL Salah satu tujuan CBIS adalah untuk memberi dukungan kepada manajer dalam mengontrol area operasinya

BAB 1 PENDAHULUAN. Perusahaan membutuhkan sistem informasi yang handal dan reliable untuk

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

BAB V HASIL PERANCANGAN AUDIT DAN REKOMENDASI

BAB I PENDAHULUAN. Bab I Pendahuluan. Teknologi Informasi (TI) maka ancaman terhadap informasi tidak saja

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

BAB III ANALISIS METODOLOGI

LAMPIRAN. A. Hasil kuisioner Proses TI PO2 Menentukan Arsitektur Informasi

BAB 4 EVALUASI SISTEM INFORMASI PADA PT CATRA NUSANTARA BERSAMA. 4.1 Hasil Evaluasi Terhadap Pengendalian Manajemen

Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

HASIL DAN PEMBAHASAN. Langkah awal dalam tahap perencanaan audit sistem informasi menghasilkan

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN TUNAI PADA PT. TELESINDO SHOP

PENGAMANAN SISTEM basis DAta

Lampiran 1 : Kuesioner Pengendalian Intern Penjualan Kredit Berbasis Komputer. Kuesioner Pengendalian Intern Akuntansi dalam Sistem Komputer

PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )

BAB I PENDAHULUAN. jaringan internal tersambung dengan jaringan internet yang disebut dengan

PANDUAN MANAJEMEN RESIKO KLINIS

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG DAGANG PADA PT. DISTRIVERSA BUANAMAS

KEAMANAN SISTEM INFORMASI

BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA PT. ABC

BAB III METODOLOGI PENELITIAN

BAB 4 PELAKSANAAN AUDIT SISTEM INFORMASI. Pada bab ini akan dijelaskan mengenai pelaksanaan Audit Sistem Informasi Penjualan

DESAIN JARINGAN KOMPUTER UNIVERSITAS AMIKOM YOGYAKARTA CHAPTER 8 JARINGAN KOMPUTER. Program Sarjana - Sistem Informasi

: MANAGER & STAFF. 5 Apakah terdapat rotasi pekerjaan yang dilakukaan perusahaan?

MANAJEMEN RISIKO TEKNOLOGI INFORMASI: STUDI KASUS PADA PERUSAHAAN JASA

Bab III Kondisi Teknologi Informasi PT. Surveyor Indonesia

BAB 3 DESKRIPSI DAN PENGENDALIAN SISTEM YANG BERJALAN PADA PT CATRA NUSANTARA BERSAMA

PASAL DEMI PASAL. Pasal 1 Cukup jelas.

BAB IV HASIL DAN PEMBAHASAN

Transkripsi:

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Dalam pengukuran risiko yang dilakukan pada PT National Label, kami telah mengumpulkan dan mengolah data berdasarkan kuisioner yang telah dibagikan kepada Bapak Johan selaku manajer TI dan juga para staf-staf TI lainnya. Kuisioner yang dibagikan digunakan untuk mengetahui kelemahan dari hasil pengukuran risiko serta mencari solusi atas risiko - risiko yang terjadi dalam PT National Label. Kuisioner yang dibuat dengan menggunakan metode OCTAVE-S terdiri dari 3 tahap, yaitu: (1) membangun aset berbasis profil ancaman, (2) mengidentifikasi kerentanan infrastruktur, dan (3) mengembangkan strategi keamanan dan perencanaan. Dari ketiga tahap ini, dijabarkan menjadi lima proses yang terdiri dari 16 aktifitas dan 30 langkah. Lima proses tersebut, meliputi: (1) identifikasi informasi perusahaan, yang terdiri dari tiga aktifitas dan empat langkah, (2) membuat profil ancaman, yang terdiri dari tiga aktifitas dan 12 langkah, (3) memeriksa perhitungan infrastruktur hubungan dalam aset kritis, yang terdiri dari dua aktifitas dan lima langkah (4) identifikasi dan analisis risiko, yang terdiri dari tiga aktifitas dan tiga langkah, (5) mengembangkan strategi perlindungan dan rencana mitigasi, yang terdiri dari lima aktifitas dan enam langkah. Dari kelima proses tersebut diharapkan tujuan penelitian terjawab, dan mendukung tercapainya visi dan misi perusahaan. 82

83 4.2 Informasi Perusahaan 4.2.1 Kriteria Evaluasi Dampak PT National Label saat ini memiliki reputasi yang baik, hal ini dapat dilihat dari kehilangan pelanggan sebesar 3% pertahun, ini membuktikan bahwa terdapat kesetiaan pelanggan dalam menggunakan jasa perusahaan. Dan angka tersebut berbanding jauh dengan penambahan pelanggan pada perusahaan selama tahun 2008 ini yang mencapai 10%. Dari segi finansial perusahaan, biaya operasional perusahaan dikategorikan sedang karena meningkat 10%. Dengan demikian kehilangan pendapatan akan berkurang seiring biaya operasional yang meningkat. Kehilangan pendapatan tersebut diperkirakan sekitar 15%. Biaya operasional ini, dihabiskan hampir 40% untuk kebutuhan TI organisasi, hal ini dikarenakan perombakan total perusahaan pada awal tahun 2008. Pelanggan yang bertambah mengakibatkan meningkatnya jam kerja untuk menunjang produktivitas perusahaaan. Untuk tahun 2008, produktivitas perusahaan bertambah sebesar 20%. Dan diprediksikan akan terus meningkat sepanjang periode 2009. Perlindungan kesehatan setiap karyawan menjadi tanggungan perusahaan, untuk masalah kesehatan karyawan perusahaan memberikan kompensasi sesuai dengan kebijakan yang diterapkan. Ancaman keselamatan pada karyawan dikategorikan rendah karena tidak pernah terjadi ancaman yang berakibat fatal. Untuk hukuman denda memang diberlakukan didalam perusahaan ini, tetapi hal tersebut semata hanya dilakukan dengan tujuan agar para karyawan dapat lebih mengedepankan kedisiplinan serta profesionalitas kerja.

84 4.2.2 Aset-Aset TI Keseluruhan aset TI perusahaan mencakup aset dalam sistem, informasi, aplikasi, pelayanan, dan orang. Untuk aset sistem terdapat Data Center. Informasi perusahaan yang digunakan untuk mendukung pekerjaan karyawan meliputi, jadwal pembayaran serta informasi kebutuhan pelanggan. Sedangkan aplikasi untuk mendukung pekerjaan karyawan antara lain: SQL Service Database, My SQL,Citrix, Website, dan E-mail. Orang yang mempunyai keahlian vital dalam perusahaan dan sulit tergantikan adalah Manajer TI, Head Programmer dan juga staf design. Karena keahlian mereka tersebut, perusahaan menyatakan mereka sebagai aset. 4.2.3 Praktek Keamanan Kelemahan dan kelebihan dalam 15 praktek keamanan yang disurvei pada PT National Label dan penilaian stoplight status nya sebagai penilaian perusahaan terhadap kinerja karyawannya untuk masing-masing praktek keamanan yang ada, antara lain: a. Kesadaran Keamanan dan Pelatihan Dalam perusahaan ini sudah terdapat kesadaran anggota staff yang memahami dan mematuhi kebijakan keamanan dengan menggunakan password yang baik dalam menggunakan sistem yang ada di perusahaan dan sudah terdapat dokumentasi dan verifikasi atas peraturan keamanan dan tanggung jawab yang harus dipatuhi staff. Tetapi dalam perusahaan ini, pelatihan hanya dilakukan untuk karyawan baru saja dan belum ada pelatihan

85 yang dilakukan secara periodik. Hal ini menunjukkan kesadaran keamanan dan pelatihan dalam perusahaan hanya perlu sedikit perbaikan (Stoplight status YELLOW). Rekomendasi: Perlu adanya pelatihan yang dilakuakn secara periodik bukan hanya untuk karyawan baru, tetapi untuk semua karyawan. Hal ini dilakukan supaya kesadaran keamanan karyawan menjadi meningkat. b. Strategi Keamanan Strategi perusahaan telah secara rutin memasukkan pertimbangan keamanan dan kebijakan serta strategi keamanan mempertimbangkan tujuan dan strategi bisnis perusahaan. Srategi pengamanan perusahaan telah berjalan dengan baik, tetapi dalam perusahaan ini, strategi pengamanan belum didokumentasikan dan dikaji secara rutin. Hal ini menunjukkan kesadaran keamanan dan pelatihan dalam perusahaan hanya perlu sedikit perbaikan (Stoplight status YELLOW). Rekomendasi: Untuk membuat perubahan strategi bisnis perusahaan harus ada dokumentasi dan dikaji secara rutin agar karyawan dalam menjalankan strategi keamanannya menjadi lebih terarah. c. Manajemen Keamanan Dalam perusahaan ini, peraturan keamanan telah ditetapkan secara baik oleh perusahaan kepada semua karyawan, prosedur-prosedur manajemen keamanan telah didokumentasikan untuk mengawasi semua staff yang bekerja. Tetapi perusahaan ini belum mengalokasikan dana untuk

86 pembiayaan aktifitas keamanan informasi, belum adanya proses yang formal dalam menilai dan mengelola risiko, belum terdapat mekanisme yang resmi dalam menyiapkan manajer dengan ringkasan informasi yang berhubungan dengan keamanan yang penting. Hal ini menunjukkan manajemen keamanan dalam perusahaan hanya perlu sedikit perbaikan (Stoplight status YELLOW). Rekomendasi: Adanya pengalokasian dana dalam menjaga keamanan informasi agar segala kerusakan yang muncul dapat segera ditangani. Menyediakan proses yang formal dalam menilai dan mengelola risiko, menyediakan mekanisme resmi dalam menyiapkan manajer dengan ringkasan informasi yang berhubungan dengan keamanan yang penting. d. Kebijakan Keamanan dan Peraturan Dalam perusahaan ini terdapat peraturan dan kebijakan keamanan informasi dan diterapkan oleh seluruh staf dam kebijakan tersebut secara berkala ditinjau dan diperbaharui. Tetapi, evaluasi yang dilakukan dalam perusahaan tidak didokumentasikan secara menyeluruh untuk memastikan pemenuhan kebijakan keamanan informasi. Kesimpulannya peraturan dan kebijakan keamanan perusahaan diperlukan sedikit perbaikan tetapi tidak terlalu berarti. (Stoplight status YELLOW). Rekomendasi: Perlu adanya proses yang didokumentasi dalam setiap evaluasi yang dilakukan untuk pemenuhan kebijakan keamanan informasi agar dapat diketahui setiap evaluasi yang dilakukan pada perusahaan.

87 e. Manajemen Keamanan Kolaboratif Perusahaan telah membuat kebijakan dan prosedur untuk melindungi informasi milik perusahaan lain dalam prosedur kolaborasi, akan tetapi tidak tersedia dokumentasi ataupun mekanisme formal terhadap setiap prosedur dan hasil yang ada (Stoplight status YELLOW). Rekomendasi: Perlu adanya dokumentasi ataupun mekanisme formal terhadap setiap prosedur dan hasil yang ada. f. Rencana Contingency Perusahaan ini telah mempunyai rencana cadangan yang disediakan untuk menangani kemungkinan buruk yang akan terjadi. Analisis, operasi, aplikasi, dan data yang penting telah dilakukan. Tetapi, belum semua staf menyadari perlunya rencana cadangan, rencana pemulihan bencana dan rencana untuk menghadapi keadaan darurat. Perusahaan juga belum terdapat dokumentasi seluruh rencana cadangan serta rencana cadangan tersebut belum diuji tingkat keberhasilannya. Hal ini menunjukkan rencana cadangan dan pemulihan dari bencana perlu adanya perbaikan (Stoplight status YELLOW). Rekomendasi: Mendokumentasikan seluruh rencana cadangan untuk menganggapi keadaan darurat menjadi jelas dna mudah untuk diikuti oleh karyawan. Menguji tingkat keberhasilan rencana cadangan agar keberhasilan dari rencana cadangan tersebut lebih akurat.

88 g. Pengendalian Akses Fisik Perusahaan telah mempunyai pengendalian akses fisik yang baik, dapat dlihat dari rencana keamanan fasilitas dan prosedur untuk menjaga lokasi, bangunan, dan area apapun yang dibatasi telah didokumetasi. Terdapat kebijakan untuk mengendalikan akses fisik ke tempat kerja serta hardware, software. Contohnya : Area bangunan dan tempat kerja serta tempat server hanya dapat dimasuki oleh orang yang berwewenang. Kesimpulannya pengendalian akses fisik dalam perusahaan sudah baik. (Stoplight status GREEN). h. Pemantauan dan Audit Keamanan Fisik Perusahaan telah melakukan hal yang baik dalam mengawasi dan mengaudit keamanan secara fisik. Dapat dilihat dari catatan pemeliharaan disimpan untuk mendokumentasi perbaikan dan modifikasi dari komponen fasilitas fisik. Tindakan individu atau grup berkaitan dengan media yang dikontrol secara fisik dapat dilaporkan. Adanya catatan audit dan pengawasan secara rutin diperiksa kejanggalannya. Kesimpulannya pengendalian aksek fisik dalam perusahaan sudah baik. (Stoplight status GREEN). i. Sistem dan Manajemen Jaringan Dalam perusahaan telah terdapat firewall yang diupdate secara rutin untuk menjaga sistem dan jaringan yang ada dalam perusahaan. Informasi sensitif yang ada dalam perusahaan telah diback up daily, weekly, monthly. Semua sistem dalam perusahaan selalu up to date dengan direvisi dan dipatch.

89 Perubahan terhadap hardware dan software direncanakan dan dikontrol. Jika dalam perusahaan terdapat sistem yang tidak diperlukan, maka akan segera dihapus. Maka, manajemen jaringan dan sistem terdapat beberapa kekurangan (Stoplight status YELLOW). Rekomendasi: Perlunya mendokumentasikan keseluruhan rencana keamanan utnuk menjaga sistem dan jaringan. j. Pemantauan dan Audit Keamanan TI Dalam perusahaan ini, pengawasan sistem dan jaringan telah dilakukan secara rutin oleh perusahaan. Firewall dan komponen keamanan lainnya telah diaudit secara periodik untuk memenuhi persyaratan keamanan. Kesimpulannya pengawasan dan pengauditan keamanan teknologi informasi dalam perusahaan sudah baik. (Stoplight status GREEN). k. Pengesahan dan Otorisasi Perusahaan ini telah mempunyai akses kontrol sesuai akses dan otentikasi penggunaan sesuai dengan kebijkan yang ada untuk membatasi akses pengguna. Dokumentasi kebijakan yang terdapat dalam perusahaan berguna untuk membuat dan mengakhiri hak untuk mengakses informasi. Contoh: Adanya id dan password untuk setiap masing-masing user. Metode atau mekanisme yang disediakan untuk memastikan bahwa informasi yang sensitif tidak diakses, diubah, atau dihancurkan secara tidak sah. Metode atau mekanisme secara periodik ditinjau ulang dan diverifikasi. Kesimpulannya

90 otentikasi dan otorisasi dalam perusahaan sudah baik. (Stoplight status GREEN). l. Manajemen Kerentanan Dalam perusahaan terdapat prosedur keamanan kerentanan yang telah diikuti dan secara periodik ditinjau serta terdapat penilaian kerentanan teknologi dan kerentanan dihadapi ketika risiko teridentifikasi. Maka, manajemen kerentanan terdapat beberapa kekurangan yang tidak terlalu signifikan (Stoplight status YELLOW). Rekomendasi: Mendokumentasikan seluruh dokumentasi untuk mengelola kerentanan. m. Enkripsi Perusahaan telah mengontrol keamanan yang sesuai untuk melindungi informasi yang sensitif selama dalam penyimpanan misalnya enkripsi data. Enkripsi data dalam perusahaan telah dilakukan dengan baik. Kesimpulannya enkripsi dalam perusahaan sudah baik. (Stoplight status GREEN). n. Desain dan Arsitektur Keamanan Sebelum membuat arsitektur dan design untuk sistem yang baru, perusahaan telah mempertimbangkan strategi keamanan, kebijakan dan prosedur, sejarah keamanan serta hasil dari penilaian risiko keamanan. Akan tetapi, perusahaan tidak mempunyai diagram up to date yang menunjukkan keamanan arsitektur dan topologi jaringan dari perusahaan. Dengan

91 menggunakan diagram up to date lebih mudah dilihat bagaimana perkembangan keamanan perusahaan. Hal ini menunjukkan arsitektur keamanan dan design dalam perusahaan hanya perlu sedikit perbaikan (Stoplight status YELLOW). Rekomendasi: Adanya diagram up to date untuk menunjukkan bagaimana gambaran perusahaan dalam segi perancangan dan arsitektur keamanan. o. Manajemen Insiden Perusahaan telah mengikuti prosedur dalam mengidentifikasikan, melaporkan dan menanggapi dugaan insiden keamanan dengan baik. Tetapi perusahaan belum terdapat dokumentasi atas prosedur dalam mengidentifikasi, melaporkan dan menanggapi dugaan insiden keamanan dan pelanggaran. Dalam hal ini manajemen insiden dalam perusahaan hanya perlu sedikit perbaikan (Stoplight status YELLOW). Rekomendasi: Perlu adanya dokumentasi atas prosedur dalam mengidentifikasi, melaporkan, dan menanggapi dugaan insiden keamanan dan pelanggaran. 4.3 Profil Ancaman 4.3.1 Aset Kritis Hal yang perlu diperhatikan dalam penilaian aset-aset perusahaan adalah dampak dampak apa saja yang dapat diberikan aset dalam perusahaan. Suatu aset dianggap kritis bila aset tersebut dapat menghasilkan dampak buruk dalam perusahaan, misalnya ketika aset jatuh ke tangan orang yang tidak berwenang,

92 aset dimodifikasi tanpa otorisasi, aset hilang atau rusak, dan terputusnya akses ke aset. Jenis aset-aset yang sangat diutamakan oleh PT National Label yaitu Personal Computer, Data Center, dan Internet. Keseluruhan dari aset-aset penting tersebut, terdapat jenis aset yang paling kritis yaitu aset Data Center, yang berfungsi sebagai tempat penyimpanan keseluruhaan data perusahaan atau storage devices dari data pelanggan dan data keuangan. Data Center hanya dapat diakses oleh direktur, seluruh staff TI, programmer, bagian PPC, divisi akuntansi dan keuangan. Aset-aset yang berhubungan dengan Data Center adalah Personal Computer, Internet. 4.3.2 Kebutuhan Keamanan Aset Kebutuhan keamanan untuk aset yang kritis ada 3 macam, yaitu : confidentiality (dimana informasi hanya dapat dilihat oleh orang yang berwewenang), integrity (dimana informasi hanya dapat diubah oleh orang yang berwewenang), availability (ketersediaan dari aset-aset yang dapat digunakan). Kebutuhan keamanan yang diutamakan adalah integrity. Hal ini disebabkan karena perusahaan membutuhkan data yang tepat dan up to date. 4.3.3 Ancaman Aset Kritis Ancaman aset yang paling kritis dalam perusahaan adalah bila terjadinya penyingkapan, modifikasi, penghancuran, dan interupsi yang bisa merugikan perusahaan dan menganggu kinerja karyawan. Ancaman bisa terjadi melalui akses fisik dan jaringan, setiap akses mempunyai dua pelaku yang berasal dari dalam dan luar perusahaan, baik yang disengaja maupun tidak disengaja.

93 Pelaku yang memberikan ancaman terbesar melalui akses jaringan dari dalam perusahaan adalah kesalahan memasukan data kedalam sistem. Untuk kesalahan pemasukan data biasanya dilakukan oleh karyawan baru secara tidak sengaja, kerugian dari ancaman ini tergolong rendah dan selalu bisa diperbaiki oleh staf TI perusahaan. Sedangkan untuk kriminalitas karyawan sangat kecil sekali peluangnya karena sistem yang sudah terotorisasi dengan baik di perusahaan. Pada akses fisik, risiko berasal dari internal dan eksternal perusahaan yang dilakukan dengan unsur kesengajaan seperti pencurian. Untuk unsur ketidaksengajaan risiko yang pernah terjadi adalah kebakaran yang diakibatkan karena hubungan arus pendek listrik yang merusak jaringan dan server perusahaan. Risiko fisik sering mengakibatkan kerugian finansial pada perusahaan. Frekuensi terjadinya ancaman di perusahaan paling sering terjadi pada akses jaringan, yaitu ancaman kesalahan dalam menginput data yang dilakukan internal perusahaan secara tidak sengaja, hal tersebut sudah terulang sebanyak 6 kali dalam setahun. Untuk akses fisik ancaman pernah terjadi satu kali dalam setahun adalah pencurian pc yang dilakukan oleh karyawan perusahaan. Untuk masalah sistem, di perusahaan sering terserang virus yang terjadi 3 kali dalam setahun. Gangguan sistem akibat virus tersebut dapat diatasi dengan baik. Cara mengatasinya yaitu dengan mengupdate anti virus.

94 4.4 Infrastruktur Yang Berhubungan Dengan Aset Kritis 4.4.1 Jalur Aset Sistem sistem penting yang berkaitan dengan perusahaan dihubungkan langsung dengan Data Center, komponen - komponen yang berkaitan dengan Data Center terdiri dari server dan internal network. Internal network merupakan sarana yang digunakan untuk mengirimkan informasi dan aplikasi dari Data Center ke karyawan. Sedangkan karyawan mengakses Data Center melalui Personal Computer masing masing. Dalam penyimpanan informasi dari Data Center menggunakan satu storage devices. Komponen dan sistem penting selain Data Center meliputi PC, Internet, Citrix dan aplikasi sistem lainnya. 4.4.2 Keterkaitan Teknologi Keseluruhan dari komponen dan sistem penting yang terdapat dalam perusahaan saling berkaitan dengan server, internal network, dan storage device. Tanggung jawab dalam menjaga dan mengamankan server, internal network, storage device adalah tanggung jawab divisi TI, aplikasi antivirus dan firewall, sejauh ini proteksi dalam perusahaan dikategorikan tinggi dalam menjaga dan mengkonfigurasi server, internal network dan storage device. 4.5 Hasil Identifikasi dan Analisis 4.5.1 Dampak Ancaman a. Dampak ancaman melalui akses jaringan yang dilakukan oleh internal perusahaan secara tidak sengaja.

95 -Dampak terhadap reputasi bernilai sedang untuk penyingkapan dan interupsi, dan bernilai tinggi untuk modifikasi dan penghancuran. -Dampak terhadap finansial pada hasil penyingkapan, modifikasi, dan interupsi bernilai sedang, untuk penghancuran bernilai tinggi. -Dampak terhadap produktifitas bernilai sedang untuk penyingkapan dan modifikasi, dan tinggi untuk penghancuran dan interupsi. -Dampak terhadap denda bernilai sedang untuk semua hasil ancaman, sedangkan untuk dampak terhadap perlindungan bernilai rendah. b. Dampak ancaman melalui akses jaringan yang dilakukan oleh internal perusahaan secara sengaja. -Dampak terhadap reputasi bernilai sedang untuk semua hasil ancaman, sedangkan terhadap finansial bernilai tinggi pada keseluruhan hasil ancaman. -Dampak terhadap produktifitas bernilai rendah untuk penyingkapan, sedang untuk modifikasi, dan tinggi untuk penghancuran dan interupsi. -Dampak terhadap denda bernilai sedang untuk semua hasil ancaman dan dampak terhadap perlindungan bernilai rendah juga untuk semua hasil ancaman. c. Dampak ancaman melalui akses jaringan yang dilakukan oleh eksternal perusahaan secara tidak sengaja. -Dampak terhadap reputasi bernilai sedang untuk penyingkapan dan modifikasi, dan bernilai rendah untuk penghancuran dan interupsi.

96 -Dampak terhadap finansial bernilai sedang untuk hasil interupsi, dan bernilai tinggi untuk hasil penyingkapan, modifikasi dan penghancuran. -Dampak terhadap produktifitas bernilai rendah untuk hasil penyingkapan, bernilai sedang untuk hasil modifikasi dan bernilai tinggi untuk hasil penghancuran dan interupsi. -Dampak terhadap denda dan perlindungan masing-masing bernilai sedang dan rendah untuk semua hasil ancaman. d. Dampak ancaman melalui akses jaringan yang dilakukan oleh eksternal perusahaan secara sengaja. -Dampak terhadap reputasi dan finansial, masing-masing bernilai rendah dan tinggi untuk semua hasil ancaman. -Dampak terhadap produktifitas bernilai rendah untuk penyingkapan, bernilai sedang untuk modifikasi dan bernilai tinggi untuk penghancuran dan interupsi. -Dampak terhadap denda dan perlindungan, sama dengan sebelumnya yaitu masing-masing bernilai sedang dan rendah untuk semua hasil ancaman. e. Dampak ancaman melalui akses fisik yang dilakukan oleh internal perusahaan secara tidak sengaja. -Dampak terhadap reputasi, finansial dan denda, bernilai sama yaitu sedang untuk semua hasil ancaman, sedangkan dampak terhadap produktifitas dan perlindungan bernilai rendah untuk semua hasil ancaman.

97 f. Dampak ancaman melalui akses fisik yang dilakukan oleh internal perusahaan secara sengaja. -Dampak terhadap reputasi, finansial dan denda bernilai sedang pada semua hasil ancaman, sedangkan untuk perlindungan bernilai rendah. -Dampak pada produktifitas bernilai sedang untuk hasil modifikasi dan penyingkapan, dan bernilai tinggi untuk hasil modifikasi dan interupsi. g. Dampak ancaman melalui akses fisik yang dilakukan oleh eksternal perusahaan secara tidak sengaja -Dampak terhadap reputasi, finansial dan denda bernilai sedang untuk semua hasil ancaman, sedangkan dampak terhadap produktifitas dan perlindungan bernilai rendah untuk semua hasil ancaman. h. Dampak ancaman melalui akses fisik yang dilakukan oleh eksternal perusahaan secara sengaja -Dampak terhadap reputasi, finansial, dan produktifitas bernilai sedang untuk semua hasil ancaman sedangkan dampak terhadap denda dan perlindungan bernilai rendah untuk semua hasil ancaman. 4.5.2 Kriteria Kemungkinan Waktu peristiwa terjadinya ancaman di perusahaan tergolong sedang dengan frekuensi dibawah empat kali setahun sampai sekali setahun. Pengukuran ini berlaku untuk semua ancaman pada aset penting, baik yang disengaja ataupun tidak disengaja.

98 4.5.3 Peluang dari ancaman a. Peluang terjadinya ancaman melalui akses jaringan dalam internal perusahaan secara tidak sengaja. Untuk ancaman terjadinya penyingkapan berpeluang sedang dengan tingkat keyakinan besar terhadap perkiraan kemungkinan yang ada, terjadinya hasil modifikasi berpeluang sedang dengan tingkat keyakinan kecil, peluang terjadinya penghancuran dan interupsi sama-sama bernilai rendah dengan tingkat keyakinan kecil. b. Peluang terjadinya ancaman melalui akses jaringan dalam internal perusahaan secara sengaja. Ancaman terjadinya penyingkapan dan modifikasi berpeluang sedang dengan tingkat keyakinan kecil, sedangkan untuk ancaman penghancuran dan interupsi berpeluang tinggi dengan tingkat keyakinan kecil. c. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara tidak sengaja. Peluang terjadinya penyingkapan, modifikasi, penghancuran dan interupsi bernilai rendah dengan tingkat keyakinan rendah untuk semua ancaman. d. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara sengaja. Untuk nilai peluang terjadinya ancaman pada bagian ini, sama dengan yang sebelumnya, yaitu berpeluang rendah untuk semua ancaman, dan memiliki tingkat keyakinan yang kecil e. Peluang terjadinya ancaman melalui akses fisik dalam internal perusahaan secara tidak sengaja.

99 Untuk keseluruhan hasil ancaman pada bagian ini berpeluang rendah dengan tingkat keyakinan juga kecil. f. Peluang terjadinya ancaman melalui akses fisik dalam internal perusahaan secara sengaja. Ancaman terjadinya penyingkapan dan modifikasi berpeluang sedang dengan tingkat keyakinan kecil sedangkan untuk ancaman penghancuran dan interupsi berpeluang rendah dengan tingkat keyakinan kecil. g. Peluang terjadinya ancaman melalui akses fisik dalam eksternal perusahaan secara tidak sengaja. Ancaman terjadinya penyingkapan, modifikasi, penghancuran dan interupsi, semuanya berpeluang rendah dengan tingkat keyakinan juga kecil. h. Peluang terjadinya ancaman melalui akses fisik dalam eksternal perusahaan secara sengaja. Hasil ancaman yang berupa penyingkapan dan modifikasi berpeluang sedang dengan tingkat keyakinan kecil sedangkan untuk hasil penghancuran dan interupsi berpeluang rendah dengan tingkat keyakinan kecil. 4.6 Strategi Perlindungan dan Rencana Mitigasi 4.6.1 Strategi Perlindungan Saat Ini Pada PT. National Label terdapat beberapa area yang memiliki stoplight status kuning. Kami penulis memfokuskan pada 4 area saja yang paling penting untuk dibahas lebih lanjut dan dimitigasi, yaitu area kesadaran keamanan dan pelatihan, area strategi keamanan, area contingency, dan area manajemen keamanan.

100 Pada area kesadaran keamanan dan pelatihan perusahaan telah mendokumentasikan strategi training yang meliputi training kesadaran keamanan dan training yang berhubungan dengan keamanan untuk mensupport teknologi, training kesadaran keamanan diadakan untuk semua staff sebagai bagian dari orientasi aktivitas mereka, staf TI dapat menghadiri training yang berhubungan dengan keamanan untuk setiap teknologi yang mereka support jika mereka memintanya, perusahaan mempunyai mekanisme resmi untuk menyediakan anggota staf tentang persoalan keamanan yang penting tetapi tidak diupdate secara periodik, perusahaan tidak mempunyai mekanisme resmi untuk melacak dan menguji bahwa setiap staf telah menerima training yang berhubungan dengan keamanan yang tepat. Pada area strategi keamanan perusahaan telah mempunyai mekanisme yang resmi dalam menggabungkan : pertimbangan keamanan ke dalam strategi bisnis, strategi bisnis dan tujuan ke dalam strategi keamanan dan kebijakan. Perusahaan mempunyai sebagian kumpulan dari strategi, sasaran, dan tujuan keamanan yang didokumentasi, sebagian aspek dari strategi, sasaran, dan tujuan keamanan informal dan tidak didokumentasikan, program training kesadaran keamanan perusahaan mencakup informasi tentang strategi keamanan organisasi. Training ini disediakan untuk staf baru yang merupakan bagian dari aktifitas orientasi mereka. Pada area contingency perusahaan mendokumentasikan sebagian rencana cadangan, rencana pemulihan bencana, dan rencana kemungkinan untuk menanggapi keadaan darurat. Sebagian aspek rencana bersifat tidak resmi dan tidak didokumentasikan, analisis operasi, aplikasi, dan data kritis telah dilakukan,

101 perusahaan mempunyai pengujian secara informal terhadap rencana cadangan, rencana pemulihan bencana dan rencana kemungkinan untuk menggapi keadaan darurat, akses fisik ke informasi kritis secara resmi diunsurkan ke dalam rencana cadangan dan rencana pemulihan bencana dalam perusahaan, program training kesadaran keamanan perusahaan mencakup informasi mengenai kemungkinan perusahaan, pemulihan bencana dan rencana kemungkinan bisnis. Training ini disediakan untuk staff baru yang merupakan bagian dari aktivitas orientasi mereka. Pada area manajemen keamanan perusahaan mempunyai peraturan dan tanggung jawab keamanan informasi yang formal dan didokumentasi untuk semua staff dalam perusahaan, tidak ada anggaran perusahaan maupun anggaran TI secara khusus mencakup pembiayaan aktifitas keamanan informasi, perusahaan secara resmi mendefenisikan prosedur yang mencakup pertimbangan keamanan dalam proses penerimaan dan pemberhentian karyawan, perusahaan mempunyai pendekatan yang tidak formal dan tidak didokumentasi untuk menilai dan mengelola resiko keamanan informasi, program training kesadaran keamanan perusahaan mencakup informasi mengenai proses manajemen keamanan organisasi. Training ini disediakan untuk staff baru yang merupakan bagian dari aktivitas orientasi mereka, perusahaan mempunyai mekanisme yang tidak resmi dan tidak didokumentasi untuk menyiapkan manajer dengan ringkasan informasi yang berhubungan dengan keamanan yang penting.

102 4.6.2 Rencana Mitigasi a. Area mitigasi : Kesadaran Keamanan dan pelatihan Aktifitas mitigasinya adalah menyediakan pelatihan kesadaran keamanan untuk seluruh karyawan secara periodik (2 kali dalam 1 tahun), menyediakan mekanisme resmi untuk menyiapkan panduan keamanan yang diupdate secara periodik. Alasannya adalah agar karyawan lebih menyadari dan tidak melupakan pentingnya keamanan, agar anggota karyawan dapat mengikuti perkembangan masalah keamanan yang baru. Yang bertanggung jawab dalam area mitigasi ini adalah Divisi TI. Dukungan tambahan yang diperlukan dalam area ini adalah Manajer TI harus mendukung aktifitas ini dengan cara menentukan jadwal yang pasti untuk pelatihan kesadaran keamanan, Perusahaan memberikan dukungan berupa dana untuk pelatihan tersebut, Perusahaan membuat peraturan untuk diadakannya meeting jika ada masalah keamanan yang baru atau yang akan diperiodik. b. Area mitigasi : Strategi Keamanan Aktifitas mitigasinya adalah perusahaan harus mendokumentasikan strategi, tujuan dan sasaran keamanan. Alasannya adalah agar karyawan dalam menjalankan strategi keamanannya menjadi lebih terarah. Yang bertanggung jawab dalam area ini adalah Divisi TI. Dukungan tambahan untuk area ini adalah manajer TI menunjuk satu tim untuk mendokumentasikan strategi, tujuan dan sasaran keamanan.

103 c. Area Mitigasi : Rencana Cadangan atau Pemulihan Bencana Aktifitas mitigasinya adalah mendokumentasikan seluruh rencana cadangan, rencana pemulihan bencana, dan rencana kemungkinan untuk menanggapi keadaan darurat, menguji rencana cadangan, rencana pemulihan bencana dan rencana kemungkinan untuk menanggapi keadaan darurat secara resmi. Alasannya adalah agar rencana cadangan, rencana pemulihan bencana, dan rencana kemungkinan untuk menanggapi keadaan darurat menjadi lebih jelas dan lebih mudah untuk diikuti oleh karyawan, untuk memastikan tingkat keberhasilan rencana cadangan, rencana pemulihan bencana dan rencana kemungkinan untuk menanggapi keadaan darurat dengan lebih akurat. Yang bertanggung jawab adlaah Divisi TI. Dukungan tamabahan yang diperlukan meliputi Manajer TI menunjuk satu tim untuk mendokumentasikan rencana cadangan, rencana pemulihan bencana, dan rencana kemungkinan serta Manajer TI melakukan pengujian dengan cara membuat skenario rencana. d. Area mitigasi : Manajemen keamanan Aktifitas mitigasinya adalah menyediakan anggaran perusahaan secara khusus dalam pembiayaan untuk aktivitas keamanan informasi, menyediakan proses yang formal dan dokumentasi dalam menilai dan mengelola risiko keamanan informasi, menyediakan mekanisme resmi dan dokumentasi untuk menyiapkan manajer dengan ringkasan informasi yang berhubungan dengan keamanan yang penting. Alasannya adalah agar segala kerusakan yang muncul dapat segera ditangani, proses yang formal dan dokumentasi dalam menilai dan mengelola resiko keamanan informasi diperlukan untuk berjaga-jaga apabila

104 risiko terjadi pada saat Divisi TI sedang tidak ditempat, maka staf lain dapat mengambil langkah-langkah dalam mengatasi risiko tersebut dengan melihat dokumentasi tersebut sebagai panduan, agar ringkasan yang dihasilkan untuk manajer lebih lengkap dan tepat. Yang bertanggung jawab adalah Divisi IT. Dukungan tambahan yang diperlukan Direktur memberikan dukungan dengan memberikan dana untuk menambah anggaran perusahaan, Manajer TI menyediakan proses dan mendokumentasikan proses tersebut secara jelas, Manajer TI menyediakan mekanisme yang resmi dan didokumentasi. 4.6.3 Perubahan untuk Strategi Perlindungan Berdasarkan strategi perlindungan yang ada, ada beberapa strategi yang perlu dirubah untuk meningkatkan kualitas keamanan perusahaan. Berikut ini adalah perubahan perubahannya. Pada area kesadaran keamanan dan pelatihan periode training kesadaran keamanan yang tadinya hanya diadakan untuk karyawan baru saja diubah menjadi diadakan untuk semua pekerja 1 kali setiap tahunnya. Perusahaan yang tidak mempunyai mekanisme resmi menjadi mempunyai mekanisme resmi untuk menyediakan staff member dengan update periodik tentang persoalan keamanan yang penting. Pada area strategi keamanan perusahaan yang tadinya tidak mendokumentasikan strategi, sasaran, dan tujuan keamanan menjadi didokumentasikan. Pada area rencana cadangan atau pemulihan bencana perusahaan yang tadinya tidak mendokumentasikan akan mendokumentasikan seluruh rencana

105 cadangan, rencana pemulihan bencana, dan rencana kemungkinan untuk menanggapi keadaan darurat. Perusahaan juga yang tadinya tidak mempunyai pengujian secara formal jadi mempunyai pengujian secara formal terhadap rencana cadangan, rencana pemulihan bencana dan rencana kemungkinan untuk menggapi keadaan darurat. Pada area manajemen keamanan manajemen yang pada awalnya tidak mengalokasikan dana secara jelas menjadi dialokasikan dana secara jelas dan cukup untuk kegiatan keamanan informasi. Level pembiayaan ditentukan berdasarkan penilaian resmi dari risiko keamanan informasi perusahaan. Perusahaan juga jadi mempunyai penetapan proses yang formal untuk menilai dan mengelola resiko keamanan informasinya. Perusahaan juga menjadi mempunyai mekanisme yang resmi untuk menyiapkan manajer dengan ringkasan informasi yang berhubungan dengan keamanan yang penting. 4.6.4 Identifikasi Langkah Selanjutnya Dalam pengimplementasi hasil dari evaluasi dan sikap keamanan, ada beberapa hal yang menjadi pertimbangan perusahaan, antara lain: 1. Manajemen harus mengutamakan keamanan informasi dalam strategi bisnis perusahaan dalam mendukung pelaksanaan hasil dari OCTAVE-S. 2. Perusahaan diharapkan dapat memberikan alokasi anggaran sehingga dapat melaksanakan rencana mitigasi serta membuat prioritas strategi keamanan informasi untuk mendukung keamanan informasi dalam perusahaan.

106 3. Perusahaan tidak akan melakukan evaluasi penambahan aset-aset penting, jika kegiatan mitigasi yang ada sekarang belum diterapkan secara menyeluruh. 4. Perusahaan dianjurkan untuk melakukan evaluasi OCTAVE-S setiap tahun.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan