L1 Pertanyaan wawancara :
1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group? 3. Apa saja jenis software dan hardware yang digunakan di perusahaan? 4. Bagaimana kebijakan keamanan TI di PT.Arya Group? 5. Apakah ada user id dan password untuk login? Apa semua orang tahu ID dan password orang lain ? Bagaimana format password? 6. Apakah ada perubah secara rutin terhadap password ? 7. Apakah tiap orang boleh mencolok flashdisk di computer, install program, dan bermain game ? 8. Apakah ada pembatasan mengenai situs-situs apa saja yang boleh dan tidak boleh dibuka ? 9. Bagaimana akses ke ruangan computer dan server PT.Arya Group? Apakah tiap orang bebas keluar masuk ? Adakah perlakuan khsusus terhadap server dan ruangannya? 10. Apakah ada backup data dan system secara rutin ? 11. Apakah semua pengguna terotorisasi dapat melihat dan melakukan perubahan terhadap data dan informasi divisi lain ? 12. Apakah ada training yang dilaksanakan dalam perusahaan? 13. Bagaimana DRP di PT.Arya Group ? 14. Bagaimana maintenance terhadap TI ? 15. Masalah yang biasa dihadapi terkait TI ?
L2 16. Bagaimana kebijakan mengenai sharing data? 17. Bagaimana sanksi yang diterapkan bila terjadi pelanggaran? 18. Apakah ada audit yang dilakukan di PT. Arya Group? 19. Apakah ada Kebijakan dan prosedur tertulis? 20. Bagaimana prosedur bila ada TI yang rusak ? Bila akan dilakukan pengadaan TI bagaimana prosesnya ? 21. Apakah ada sanksi terhadap penyalahgunaan wewenang terkait TI ? 22. Aset terkait TI apa saja yang ada di PT.Arya Group ? Bagaimana spesifikasinya? 23. Apakah ada firewall? Apakah digunakan enkripsi ? 24. Apakah OS dan anti virus terupdate dengan baik ? 25. Adakah otorisasi yang dilakukan pejabat berwenang sebelum data keluar ? 26. Apakah perusahaan menjalankan E-bussines? 27. Apakah dalam melakukan dan mendukung proses bisnis semua karyawan membawa laptop secara personal atau menggunakan perangkat pc di kantor?
L3
Daftar 120 Risiko FRAP
Risk Risk
Type
# 1
Informasi diakses oleh personil yang tidak memiliki akses
INT
2
Ketidaktersediaan atau ketidakjelasan versi informasi
INT
3
Database dapat rusak dikarenakan kegagalan hardware dan software
INT
yang buruk 4
Data tidak lengkap karena proses yang tidak selesai
INT
5
Data yang sedang dikirim dapat dirubah dan perubahan tersebut
INT
tidak dapat diketahui 6
Kegagalan melaporkan masalah integritas
INT
7
Proses yang tidak selesai atau gagal dalam melakukan sebuah
INT
pemrosesan yang dapat menyebabkan data tidak lengkap 8
Kurangnya control dan pengelolaan data antar departemen
INT
9
Tidak ada pemberitahuan mengenai masalah integritas
INT
10
Informasi digunakan dalam konteks yang salah
INT
11
Informasi yang berasal dari pihak ketiga mempunyai masalah
INT
integritas 12
Pihak ketiga mengakses informasi
INT
13
Data diupdate secara internal tetapi tidak secara eksternal
INT
14
Verifikasi dalam otentikasi kepada peminta data
INT
15
Akses informasi oleh pihak yang memiliki wewenang ditolak oleh
INT
system 16
Dampak bagi perusahaan karena menggunakan informasi unit yang
INT
tidak benar 17
Prosedur keamanan dan otorisasi terlalu rumit
INT
18
Proses pengendalian diabaikan karena terlalu rumit
INT
19
Personil yang melakukan perubahan sistem tidak ditraining secara
INT
cukup. 20
Informasi dapat dipublikasikan tanpa otorisasi yang cukup
INT
21
Perusahaan malu karena perubahan informasi tanpa otorisasi
INT
22
Informasi perusahaan rusak karena penyingkapan informasi
INT
23
Tidak ada respon dari sistem pada waktu yang tepat (Tidak
INT
menanggapi permintaan secara tepat waktu) 24
Personil internal sengaja merubah data untuk alasan keuntungan
INT
individu atau kelompok 25
Kebijakan mengenai integritas E-commerce bertentangan dengan
INT
kebijakan perusahaan 26
Partner bisnis yang tidak bisa dipercaya
INT
27
Perubahan terhadap system/ software aplikasi atau data tidak
INT
didokumentasi 28
Kebijakan E-business perusahaan tidak bisa diterapkan di negara
INT
lain 29
Data atau dokumen yang salah telah dipublikasikan
INT
30
Informasi dari partner atau supplier mempunyai masalah integritas
INT
31
Perundang-undangan mengenai integritas data dan atau audit
INT
menyebabkan hilangnya integritas 32
Dampak hukum kepada perusahaan karena penyalahgunaan merek
INT
dagang dan registrasi 33
Menggunakan salinan data yang tidak terpakai lagi (out-of-date)
INT
34
Masalah sinkronisasi saat menggunakan media recovery
INT
35
Penggunaan yang salah pada proses modifikasi dalam proses
INT
pengembangan aplikasi (perubahan kode tanpa testing) 36
Data atau dokumen yang sudah tidak terpakai lagi tidak dipindahkan
INT
37
Modifikasi data akibat serangan virus
INT
38
Produk E-bussiness tidak memenuhi harapan pelanggan
INT
39
Pelaporan yang tepat waktu mengenai status pengguna, pelanggan,
INT
pemasok, pengembang, dll 40
Strategi perusahaan yang tidak jelas dalam mendukung penggunaan
INT
transaksi E-business 41
Dokumentasi mengenai pendefinisian atau pengkualifikasian
INT
1
informasi yang tidak lengkap atau tidak jelas
CON
2
Informasi atau data tidak diberi identitas
CON
3
Mengintip informasi dari karyawan lain
CON
4
Pengklasifikasian yang tidak tepat pada informasi/data
CON
5
Informasi dibagikan tanpa melewati otorisasi yang tepat
CON
6
Akses ke daftar pelanggan, karyawan atau partner dibuat tanpa
CON
sepengetahuan 7
Mantan pengembang masih mempunyai akses ke data sensitif
CON
8
Menggunakan system yang tidak aman dalam pertukaran
CON
data/informasi 9
Penyingkapan informasi dan pelanggaran hukum privasi
CON
10
Informasi pada laptop tidak terproteksi
CON
11
Proses yang rumit dalam memungkinkan kemampuan e-mail yang
CON
aman 12
Undang – undang pemerintah membuat ancaman terhadap informasi
CON
sensitif 13
Definisi yang jelas mengenai aturan kerahasiaan (confidentiality)
CON
14
Ketidakmampuan perusahaan dalam mengakses informasi yang
CON
sensitif antara dua pihak di waktu yang akan datang 15
Perlindungan yang tidak sesuai terhadap daftar password
CON
16
Akses yang tidak terkontrol terhadap informasi rahasia yang dicetak
CON
17
Pengenalan terhadap "back doors" terhadap software, data, dan
CON
aplikasi 18
Informasi sensitif dan tidak sensitif tercampur
CON
19
Ketidakpuasan staff teknologi informasi yang memiliki hak
CON
terhadap keamanan yang tinggi 20
Effect downstream tidak dianalisis sebelum perubahan dilakukan
CON
Pemberian hak privilege tentang keamanan tidak diketahui 21
perusahaan
CON
22
Penghapusan akses untuk developer setelah proyek selesai
CON
23
Jual beli rahasia perusahaan yang tidak terdeteksi
CON
24
Di dalam daftar personil terdapat personil yang tidak terotorisasi
CON
Penyalahgunaan prosedur keamanan pada aplikasi terhadap informasi sensitif
25
Otentikasi untuk akses ke informasi sensitif tidak mencukupi
CON
26
Pengumpulan informasi dalam satu tempat dapat mengakibatkan
CON
ancaman kerahasiaan data 27
Kemampuan untuk mengetahui identitas karyawan
CON
28
Organisasi aktivis mendapatkan data perusahaan
CON
29
Penyalahgunaan akses oleh pengembang terhadap data sensitive
CON
perusahaan 30
Akses ke informasi sensitive saat dilakukan testing
CON
31
Personil tidak mempunyai kewaspadaan dalam mempublikasikan
CON
atau menyimpan informasi di web 32
Kebingungan akan tempat penyimpanan informasi sensitive
CON
33
Proses yang tidak jelas/tidak diketahui dalam pengklasifikasian data
CON
34
Memberikan akses kepada individu yang tidak memiliki kebutuhan
CON
bisnis untuk akses 35
Informasi tentang sistem internal dirilis secara tidak sengaja untuk
CON
serangan kepada perusahaan kemudian 36
Saling berbagi ID
CON
37
Akses terhadap backup tidak dikontrol dengan layak
CON
38
Akses keamanan yang luas diberikan demi penyederhanaan
CON
39
Kontrak kerahasiaan yang tidak memiliki kekuatan hukum
CON
40
Informasi personnel mengenai staff dipublikasi di internet tanpa
CON
otorisasi 41
Rasa aman palsu karena adanya firewall
CON
42
Pihak ketiga melanggar kesepakatan mengenai kerahasiaan
CON
43
Definisi yang tidak jelas terhadap informasi senisitif dalam aktivitas
CON
usaha bersama/kongsi 44
Teknologi baru dapat mengancam kerahsasiaan data
CON
Usaha dan rencana dilibatkan dalam merubah model akses 45
keamanan
CON
46
Bagaimana menjelaskan tentang keamanan kepada orang yang
CON
bukan karyawan perusahaan. 47
Kehilangan penjualan dan meningkatnya biaya karena dirilisnya
CON
informasi mengenai keunggulan kompetitif tanpa sepengetahuan perusahaan 48
Packet sniffing di luar internet oleh personil yang tidak terotorisasi
CON
49
Denda untuk pelanggaran perjanjian kerahasiaan tidak cukup untuk
CON
mencegah aktifitas yang tidak pantas 50
Electronic eavesdropping terhadap informasi perusahaan
CON
1
Hackers dapat membuat situs menjadi tidak berjalan / down
AVA
2
Penyusup mendapatkan akses fisik ke fasilitas komputer
AVA
3
Kegagalan Hardware dari server internet
AVA
4
Layanan provider komunikasi terhenti
AVA
5
Situs hosting tidak memiliki perlindungan fisik informasi
AVA
6
Proses manual gagal ketika website E-commerce tidak tersedia
AVA
7
Hubungan ke sistem back office gagal
AVA
8
Desain sistem terlalu komplek
AVA
9
Perubahan pada hardware dan software tidak tepat
AVA
10
Proyeksi penggunaan yang tidak dapat diantisipasi
AVA
11
Prosedur rencana kontigensi tidak diuji coba
AVA
12
Tidak ada jaminan ketersediaan server dari service provider
AVA
13
Aksi mogok dari service provider
AVA
14
Perencanaan perawatan normal dapat menyebabkan sistem tidak
AVA
tersedia 15
Desain topologi menghalangi ketersediaan pelayanan global
AVA
16
Pendanaan yang tidak cukup untuk kemampuan backup
AVA
17
Serangan yang direncanakan oleh pemrotes
AVA
18
Ketidaktersediaan partner bisnis
AVA
19
Konfigurasi hardware tidak cukup untuk menagani kebutuhan bisnis
AVA
yang tinggi 20
Sumber daya teknis kurang pelatihan yang cukup
AVA
21
Layanan internet yang lambat membuat user menjadi tidak puas
AVA
22
Cacat pada desain aplikasi mengakibatkan pemborosan sumber daya
AVA
L10 atau pertikaian pada sumber daya internal 23
Aplikasi kritis menjadi tidak kritis
AVA
24
Aplikasi E-commerce didesain hanya untuk melayani klien yang
AVA
terbatas 25
Serangan virus dapat mengakibatkan ketidaktersediaan sistem atau
AVA
informasi 26
Pemantauan yang tidak cukup pada website mengakibatkan
AVA
ketidaktersediaan laporan 27
Kegagalan Router atau Firewall membuat layanan menjadi tidak
AVA
dapat diakses 28
Backup tidak mencukupi
AVA
29
Kehilangan pelanggan karena situs tidak tersedia
AVA
Tabel 4.1 FRAP Session Deliverable Risk Risk
Type
Priority
Control
# 1
Informasi diakses oleh personil yang tidak memiliki akses
INT
B3
3, 5, 6, 11, 12, 16
2
Ketidaktersediaan atau ketidakjelasan informasi
INT
B3
6, 13, 26
3
Database dapat rusak dikarenakan kegagalan hardware dan
INT
B3
1, 2, 22
13, 19, 23, 25
software yang buruk 4
Kurangnya control dan pengelolaan data antar departement
INT
B2
5
Pihak ketiga mengakses informasi
INT
C4
6
Verifikasi dalam otentikasi kepada peminta data
INT
B2
6
L11
7
Akses informasi oleh pihak yang memiliki wewenang ditolak
INT
C3
oleh system 8
Proses pengendalian diabaikan karena terlalu rumit
INT
B3
3, 6, 15
9
Personil yang melakukan perubahan sistem tidak ditraining
INT
B2
8, 11, 12, 13, 19
INT
C4
INT
B2
1, 2, 7, 8, 25, 26
INT
B3
12, 26
INT
B3
secara cukup 10
Personil internal sengaja merubah data untuk alasan keuntungan individu atau kelompok
11
Perubahan terhadap system/software aplikasi atau data tidak didokumentasi
12
Menggunakan salinan data yang tidak terpakai lagi (out-ofdate)
13
Modifikasi data akibat serangan virus
2, 10, 11, 12, 13
14
Dokumentasi mengenai pendefinisian atau pengkualifikasian
INT
B1
11, 12, 13, 23
3, 11, 12
informasi yang tidak lengkap atau tidak jelas
15
Informasi dibagikan tanpa melewati otorisasi yangtepat
CON
B3
16
Mantan pengembang masih mempunyai akses ke data sensitif
CON
C4
17
Informasi pada laptop tidak terproteksi
CON
B3
18
Perlindungan yang tidak sesuai terhadap daftar password
CON
C4
19
Informasi sensitif dan tidak sensitif tercampur
CON
C4
CON
B3
CON
C4
CON
C4
Pemberian hak privilege tentang keamanan tidak diketahui 20
3, 11, 12, 13
perusahaan 21 22
Penghapusan akses untuk developer setelah proyek selesai Jual beli rahasia perusahaan yang tidak terdeteksi
4, 6, 22, 24
23
Memberikan akses kepada individu yang tidak memiliki
CON
B3
3, 5, 6, 11, 12, 16
kebutuhan bisnis untuk akses 24
Saling berbagi ID
CON
B2
12, 13
25
Akses terhadap backup tidak dikontrol dengan layak
CON
B3
14, 20, 22
AVA
B3
1, 2, 3, 5, 22
26
Hackers dapat membuat situs menjadi tidak berjalan / down
27
Penyusup mendapatkan akses fisik ke fasilitas komputer
AVA
B2
4, 22
28
Kegagalan hardware dari server internet
AVA
B3
1, 18, 22
29
Pendanaan yang tidak cukup untuk kemampuan backup
AVA
B2
23
30
Sumber daya teknis kurang pelatihan yang cukup
AVA
B2
12, 15
31
Serangan virus dapat mengakibatkan ketidaktersediaan sistem
AVA
B3
1, 2, 10
atau informasi
32
Kegagalan router atau firewall membuat layanan menjadi tidak
AVA
B3
AVA
C4
13, 18, 20, 22
dapat diakses 33
Backup tidak mencukupi
L15
Tabel 4.2 Cross Reference Sheet Control
Risk Control Description
Number
#
1
3
Risk
Type
Priority
Database dapat rusak dikarenakan kegagalan hardware
INT
B3
INT
B2
AVA
B3
AVA
B3
AVA
B3
Kebutuhan backup akan dan software yang buruk ditentukan dan dikomunikasikan kepada penyedia layanan,
11
tidak didokumentasi
termasuk permintaan bahwa pemberitahuan elektronik yang
Perubahan terhadap system/software aplikasi atau data
26
dibackup telah selesai dikirim
Hackers dapat membuat situs menjadi tidak berjalan / down
kepada administrator system aplikasi. Penyedia layanan akan diminta untuk menguji prosedur
28 31
Kegagalan hardware dari server internet
Serangan virus dapat mengakibatkan ketidaktersediaan
backup. sistem atau informasi L16
Control
Risk Control Description
Type
Priority
INT
B3
INT
B2
#
Number 2
Risk
Mengembangkan, mendokumentasikan,
3
dan menguji prosedur recovery yang didesain untuk menjamin bahwa aplikasi
Database dapat rusak dikarenakan kegagalan hardware dan software yang buruk
11
dan informasi dapat direcover
Perubahan terhadap system/software aplikasi atau data tidak didokumentasi
(dipulihkan), menggunakan backup yang telah dibuat, ketika terjadi kerugian.
13
Modifikasi data akibat serangan virus
INT
B3
26
Hackers dapat membuat situs menjadi tidak
AVA
B3
AVA
B3
AVA
B3
berjalan / down 28
Kegagalan hardware dari server internet
31
Serangan virus dapat mengakibatkan
ketidaktersediaan sistem dan informasi
Control
Risk Control Description
Number 3
Risk
Type Priority
# Mengimplementasikan sebuah mekanisme
1
Informasi diakses oleh personil yang tidak memiliki akses
INT
B3
8
Proses pengendalian diabaikan karena terlalu rumit
INT
B3
15
Informasi dibagikan tanpa melewati otorisasi yang tepat
CON
B3
20
Pemberian hak privilege tentang keamanan tidak diketahui
CON
B3
CON
B3
pengendalian akses untuk mencegah akses yang tidak terotorisasi terhadap informasi. Mekanisme ini perusahaan termasuk kemampuan mendeteksi, logging, dan melaporkan upaya untuk
23
Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses
menerobos keamanan
26
Hackers dapat membuat situs menjadi tidak berjalan / down
AVA
B3
informasi
Control
Risk Control Description
Number 4
Risk
Type
Priority
# Akses sumber: Mengimplementasikan sebuah mekanisme untuk membatasi akses kepada informasi rahasia ke network path tertentu atau lokasi fisik.
17
Informasi pada laptop tidak terproteksi
CON
B3
27
Penyusup mendapatkan akses fisik ke fasilitas
AVA
B2
komputer
Control
Risk Control Description
Number 5
Risk
Type
Priority
INT
B3
CON
B3
AVA
B3
Type
Priority
# Mengimplementasikan mekanisme
1
otentikasi pengguna (seperti firewall, dial-in control, secure ID) untuk
Informasi diakses oleh personil yang tidak memiliki akses
23
membatasi akses ke personil yang
Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses
tidak terotorisasi. 26
Hackers dapat membuat situs menjadi tidak berjalan / down
Control
Risk Control Description
Number
Risk #
6
Mengembangkan kebijakan dan
1
prosedur (data, end-to-end) untuk mencegah akses yang tidak
Informasi diakses oleh personil yang tidak
INT
B3
memiliki akses 2
Ketidaktersediaan atau ketidakjelasan informasi
INT
B2
6
Verifikasi dalam otentikasi kepada peminta data
INT
B2
8
Proses pengendalian diabaikan karena terlalu
INT
B3
terotorisasi untuk melindungi integritas dan kerahasiaan informasi
rumit 17
Informasi pada laptop tidak terproteksi
CON
B3
23
Memberikan akses kepada individu yang tidak
CON
B3
memiliki kebutuhan bisnis untuk akses
Control
Control Description
Risk #
Risk
Type
Priority
INT
B2
Number 7
Mendesain dan mengimplementasikan pengendalian aplikasi (data entry edit checking, field requiring validation, alarm indicators, password expiration capabilities, checksums) untuk menjamin integritas, kerahasiaan, dan ketersediaan dari informasi aplikasi.
11
Perubahan terhadap system/software aplikasi atau data tidak didokumentasi
Control Control Description
Risk #
Risk
Type
Priority
INT
B2
INT
B2
Type
Priority
INT
B3
Number 8
Mengembangkan prosedur pengujian yang
9
diikuti selama pengembangan aplikasi dan selama perubahan terhadap aplikasi yang telah
Personil yang melakukan perubahan sistem tidak ditraining secara cukup
11
ada yang didalamnya melibatkan partisipasi dan
Perubahan terhadap system/software aplikasi atau data tidak didokumentasi
penerimaan pengguna.
Control Control Description
Risk #
Risk
Number 10
1. Menjamin Administrator LAN menginstal
13
Modifikasi data akibat serangan virus
software antivirus yang sesuai standar
31
Serangan virus dapat mengakibatkan
AVA
B3
Type
Priority
INT
B3
INT
B2
perusahaan pada semua computer. ketidaktersediaan sistem dan informasi 2. Pelatihan dan kesadaran teknik pencegahan virus akan dimasukkan ke dalam program IP organisasi.
Control
Control Description
Risk #
Mengembangkan kebijakan dan prosedur untuk
1
Risk
Number 11
membatasi akses dan hak istimewa operasional kepada mereka yang memiliki kebutuhan bisnis.
Informasi diakses oleh personil yang tidak memiliki akses
9
Personil yang melakukan perubahan sistem tidak ditraining secara cukup
13
Modifikasi data akibat serangan virus
INT
B3
14
Dokumentasi mengenai pendefinisian atau
INT
B1
CON
B3
CON
B3
CON
B3
pengkualifikasian informasi yang tidak lengkap atau tidak jelas 15
Informasi dibagikan tanpa melewati otorisasi yang tepat
20
Pemberian hak privilege tentang keamanan tidak diketahui perusahaan
23
Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses
Control Control Description
Risk #
Risk
Type
Priority
INT
B3
INT
B2
INT
B3
Number 12
Pelatihan pengguna akan mencakup instruksi
1
dan dokumentasi yang tepat ke aplikasi. Pentingnya menjaga kerahasiaan account
Informasi diakses oleh personil yang tidak memiliki akses
9
pengguna, sandi, dan sifat rahasia dan
Personil yang melakukan perubahan sistem tidak ditraining secara cukup
kompetitif informasi akan ditekankan. 12
Menggunakan salinan data yang tidak terpakai lagi (out-of-date)
13
Modifikasi data akibat serangan virus
INT
B3
14
Dokumentasi mengenai pendefinisian atau
INT
B1
pengkualifikasian informasi yang tidak
lengkap atau tidak jelas
15
Informasi dibagikan tanpa melewati
CON
B3
CON
B3
CON
B3
otorisasi yang tepat 20
Pemberian hak privilege tentang keamanan tidak diketahui perusahaan
23
Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses
24
Saling berbagi ID
CON
B2
30
Sumber daya teknis kurang pelatihan yang
AVA
B2
cukup
Control
Control Description
Risk #
Risk
Type
Priority
INT
B2
INT
B2
INT
B2
Number 13
Menerapkan mekanisme untuk memantau,
2
melaporkan dan kegiatan audit yang diidentifikasi sebagai bahan tinjauan
Ketidaktersediaan atau ketidakjelasan informasi
4
independen, termasuk tinjauan berkala dari
Kurangnya control dan pengelolaan data antar departement
userIDs untuk memastikan kebutuhan bisnis. 9
Personil yang melakukan perubahan sistem tidak ditraining secara cukup
13
Modifikasi data akibat serangan virus
INT
B3
14
Dokumentasi mengenai pendefinisian atau
INT
B1
pengkualifikasian informasi yang tidak
lengkap atau tidak jelas
20
Pemberian hak privilege tentang keamanan
CON
B3
tidak diketahui perusahaan 24
Saling berbagi ID
CON
B2
32
Kegagalan router atau firewall membuat
AVA
B3
Type
Priority
layanan menjadi tidak dapat diakses
Control
Risk Control Description
Number
Risk #
14
Kontrol Operasi: pelatihan untuk backup data
25
untuk sistem administrator akan diberikan dan
Akses terhadap backup tidak dikontrol dengan
CON
B3
Type
Priority
INT
B3
AVA
B2
layak
tugas dirotasi di antara mereka untuk memastikan kecukupan dari program pelatihan.
Control
Risk Control Description
Number 15
Risk #
Kontrol Operasi: pengembang aplikasi akan
8
memberikan dokumentasi, bimbingan, dan dukungan untuk staf operasi (admin) dalam menerapkan mekanisme untuk memastikan bahwa transfer informasi antar aplikasi aman.
Proses pengendalian diabaikan karena terlalu rumit
30
Sumber daya teknis kurang pelatihan yang cukup
Control
Risk Control Description
Risk
Kontrol Operasi: mekanisme untuk melindungi
1
database dari akses yang tidak sah, dan modifikasi dari luar aplikasi, akan ditentukan
Control
Informasi diakses oleh personil yang tidak
INT
B3
CON
B3
memiliki akses 23
dan diimplementasikan.
Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses
Risk Control Description
Risk
Type
Priority
#
Number 18
Priority
#
Number
16
Type
Kontrol Operasi: kebutuhan waktu untuk pemeliharaan teknis akan dilacak dan
28
Kegagalan hardware dari server internet
AVA
B3
32
Kegagalan router atau firewall membuat
AVA
B3
penyesuaian jadwal akan dikomunikasikan kepada manajemen.
layanan menjadi tidak dapat diakses
Risk Control
Control Description
#
Risk
Type
Priority
INT
B2
INT
B2
Type
Priority
CON
B3
Number 19
User Control: Mengimplementasikan user
4
program (user performance evaluation) yang didesain untuk mendorong kepatuhan terhadap
Kurangnya control dan pengelolaan data antar departement
9
kebijakan dan prosedur untuk menjamin
Personil yang melakukan perubahan sistem tidak ditraining secara cukup
penggunaan yang tepat terhadap aplikasi.
Risk Control
Control Description
#
Risk
Number 20
Mendapatkan persetujuan mengenai tingkat
25
Akses terhadap backup tidak dikontrol
pelayanan untuk menetapkan harapan pelanggan dan jaminan dari operasi pendukung.
dengan layak 32
Kegagalan router atau firewall membuat layanan menjadi tidak dapat diakses
AVA
B3
Control
Control Description
Risk #
Risk
Type
Priority
3
Database dapat rusak dikarenakan kegagalan
INT
B3
Number 22 Konsultasi dengan facilities management, dalam hardware dan software yang buruk hal memfasilitasi implementasi pengendalian 17
Informasi pada laptop tidak terproteksi
CON
B3
25
Akses terhadap backup tidak dikontrol
CON
B3
AVA
B3
AVA
B2
keamanan fisik yang dirancang untuk elindungi informasi, software, dan hardware yang dengan layak
dibutuhkan oleh system. 26
Hackers dapat membuat situs menjadi tidak berjalan / down
27
Penyusup mendapatkan akses fisik ke fasilitas komputer
28
Kegagalan hardware dari server internet
AVA
B3
32
Kegagalan router atau firewall membuat
AVA
B3
layanan menjadi tidak dapat diakses
Control
Control Description
Risk #
Risk
Type
Priority
INT
B2
INT
B1
AVA
B2
Number 23
Permintaan dukungan manajemen untuk
4
menjamin kooperasi dan koordinasi dari
Kurangnya control dan pengelolaan data antar departement
berbagai unit bisnis, untuk memfasilitasi kelancaran transisi ke aplikasi.
14
Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap atau tidak jelas
29
Pendanaan yang tidak cukup untuk kemampuan backup
Control
Control Description
Risk #
Risk
Type
Priority
CON
B3
Type
Priority
INT
B2
INT
B2
Number 24
Control
Pengendalian hak milik
Control Description
17
Informasi pada laptop tidak terproteksi
Risk #
Risk
Number 25
4 Tim pengembang akan mengembangkan strategi
Kurangnya control dan pengelolaan data antar departement
korektif, seperti mengecek kembali prosesproses yang ada dalam perusahaan, merevisi logika aplikasi, dll.
11
Perubahan terhadap system/software aplikasi atau data tidak didokumentasi
Control
Control Description
Risk #
Mengontrol migrasi produk, seperti untuk proses
2
Risk
Type
Priority
INT
B2
INT
B2
INT
B3
Number 26
pencarian dan menghapus, untuk memastikan tempat penyimpanan data aman.
Ketidaktersediaan atau ketidakjelasan informasi
11
Perubahan terhadap system/software aplikasi atau data tidak didokumentasi Menggunakan salinan data yang tidak
12
terpakai lagi (out-of-date)
L39
L40 Tabel 4.3 Perbandingan Open Risk Dengan Suggested Control
Risk
Risk
Type
Priority
Informasi diakses oleh personil yang
INT
B3
Control
Hasil
# 1
tidak memiliki akses Ketidaktersediaan atau ketidakjelasan
3, 5, 6, 11,
C3
12, 16 INT
B3
6, 13, 26
C3
INT
B3
1, 2, 22
C3
INT
B2
2 informasi 3
Database dapat rusak dikarenakan kegagalan hardware
4
Kurangnya control dan pengelolaan
Verifikasi dalam otentikasi kepada
D
25
data antar departement 5
13, 19, 23,
INT
B2
6
D
INT
B3
3, 6, 15
C3
INT
B2
peminta data 6
Proses pengendalian diabaikan karena terlalu rumit
7
Personil yang melakukan perubahan sistem tidak ditraining secara cukup
8, 11, 12, 13, 19
D
8
Perubahan terhadap system/software
INT
B2
1, 2, 7, 8,
D
25, 26
aplikasi atau data tidak didokumentasi 9
Menggunakan salinan data yang tidak
INT
B3
12, 26
C3
INT
B3
2, 10, 11,
C3
terpakai lagi (out-of-date) 10
Modifikasi data akibat serangan virus
12, 13
11
Dokumentasi mengenai pendefinisian
INT
B1
11, 12, 13,
C2
23
atau pengkualifikasian informasi yang tidak lengkap atau tidak jelas 12
Informasi dibagikan tanpa melewati
CON
B3
3, 11, 12
C3
CON
B3
4, 6, 22,
C3
otorisasi yang tepat 13
Informasi pada laptop tidak terproteksi
14
Pemberian hak privilege tentang
24 CON
B3
keamanan tidak diketahui perusahaan 15
Memberikan akses kepada individu
3, 11, 12,
C3
13 CON
B3
3, 5, 6, 11
C3
yang tidak memiliki kebutuhan bisnis
12, 16
untuk akses 16 17
Saling berbagi ID
Akses terhadap backup tidak
CON
B2
12, 13
B2
CON
B3
14, 20, 22
C3
AVA
B3
1, 2, 3, 5,
C3
dikontrol dengan layak 18
Hackers dapat membuat situs menjadi tidak berjalan / down
19
Penyusup mendapatkan akses fisik ke
22 AVA
B2
4, 22
D
AVA
B3
1, 18, 22
C3
AVA
B2
23
B2
AVA
B2
12, 15
B2
AVA
B3
1, 2, 10
B3
fasilitas komputer 20
Kegagalan hardware dari server internet
21
Pendanaan yang tidak cukup untuk kemampuan backup
22
Sumber daya teknis kurang pelatihan yang cukup
23
Serangan virus dapat mengakibatkan ketidaktersediaan sistem atau
L43 informasi 24
Kegagalan router atau firewall membuat layanan menjadi tidak dapat Diakses
AVA
B3
13, 18, 20, 22
C3
Tabel 4.4 Perbandingan Open Risk Dengan Existing Control Risk #
Risk
Type
Priority
Existing Control
Priority setelah dibandingkan dengan existing control
1
Informasi diakses oleh personil yang tidak memiliki akses
INT
B3
Menerapkan access control
C3
terhadap informasi, adanya firewall untuk mencegah unauthorized access, dan
L44
training terhadap user mengenai pentingnya menjaga keamanan user ID dan password. 2
Ketidaktersediaan atau
INT
B3
ketidakjelasan informasi
Kontrol terhadap informasi
B3
untuk memastikan bahwa tempat penyimpanan datanya aman.
3
Database dapat rusak
INT
B3
Konsultasi dengan facilities
dikarenakan kegagalan
management dan vendor
hardware
mengenai kerusakan hardware
B3
4
Kurangnya control dan
INT
B2
Dukungan manajemen untuk
pengelolaan data antar
menjamin kooperasi dan
departement
koordinasi antar departement
B2
dan mengecek kembali proses yang ada didalam perusahaan. 5
Verifikasi dalam otentikasi
INT
B2
kepada peminta data
Pemantauan secara langsung
B2
oleh pengawas / atasan mengenai verifikasi dalam otentikasi
6
Proses pengendalian diabaikan
INT
B3
Adanya mekanisme access
C4
karena terlalu rumit
control untuk mencegah akses yang tidak terotorisasi terhadap informasi.
7
8
Personil yang melakukan
INT
B2
Training terhadap user
perubahan sistem tidak
dan melakukan pemantauan
ditraining secara cukup
terhadap perubahan sistem.
Perubahan terhadap system/
INT
B2
Melakukan kontrol terhadap
software aplikasi atau data
aplikasi dan mengecek
tidak didokumentasi
kembali perubahan system/
D
B2
software yang dilakukan. 9
Menggunakan salinan data yang
INT
B3
Penghapusan data yang sudah
D
tidak terpakai lagi (out-of-date)
tidak terpakai, dan training terhadap user mengenai data mana yang merupakan data out-of-date
10
Modifikasi data akibat serangan virus
INT
B3
Adanya software antivirus
C3
yang terupdate, OS yang digunakan OS asli, dan user training mengenai teknik pencegahan virus 11
Dokumentasi mengenai pendefinisian atau
INT
B1
Adanya kebijakan dan prosedur untuk membatasi
B1
pengkualifikasian informasi
akses terhadap user
yang tidak lengkap atau tidak jelas 12
Informasi dibagikan tanpa
CON
B3
melewati otorisasi yang tepat
Prosedur terkait dengan
C4
membatasi akses terhadap user yang memiliki kebutuhan bisnis
13
Informasi pada laptop tidak terproteksi
CON
B3
Mengimplementasikan mekanisme untuk membatasi akses terhadap informasi rahasia, dan pengendalian
B3
hak milik 14
Pemberian hak privilege tentang
CON
B3
CON
B3
B3
keamanan tidak diketahui perusahaan 15
Memberikan akses kepada
Menerapkan access control
individu yang tidak memiliki
terhadap informasi, adanya
kebutuhan bisnis untuk akses
firewall untuk mencegah unauthorized access, dan mekanisme untuk melindungi database dari akses yang tidak sah dan mencegah modifikasi
C3
dari pihak luar 16
Saling berbagi ID
CON
B2
Adanya training terhadap user
B2
mengenai pentingnya menjaga kerahasiaan ID dan password 17
Akses terhadap backup tidak
CON
B3
AVA
B3
B3
dikontrol dengan layak 18
Hackers dapat membuat situs menjadi tidak berjalan / down
Mengembangkan prosedur
C3
recovery untuk menjamin bahwa aplikasi dan informasi dapat dipulihkan, backup data
19
Penyusup mendapatkan akses
AVA
B2
Adanya prosedur yang
B2
fisik ke fasilitas komputer
disampaikan secara lisan mengenai hak akses terhadap fasilitas perusahaan
20
Kegagalan hardware dari server
AVA
B3
internet
Adanya backup terhadap
B2
database dan melakukan pengujian prosedur backup
21
Pendanaan yang tidak cukup untuk kemampuan backup
AVA
B2
Adanya dukungan dari management untuk memfasilitasi pendanaan terhadap backup data di perusahaan.
C3
22
Sumber daya teknis kurang
AVA
B3
pelatihan yang cukup
Training terhadap user dan
C3
adanya bimbingan dan dukungan dari pengembang aplikasi terhadap user
23
Serangan virus dapat
AVA
B3
Melakukan backup terhadap
mengakibatkan
data, mengembangkan
ketidaktersediaan sistem atau
prosedur recovery, menginstall
informasi
software antivirus yang
C3
terupdate 24
Kegagalan router atau firewall membuat layanan menjadi tidak
AVA
B3
Adanya mekanisme untuk memantau dan melaporkan
B2
dapat diakses
apabila terjadi kegagalan router ataupun firewall.
L54
Tabel 4.5 Daftar Open Risk setelah dibandingkan dengan existing control
Risk #
Risk
Type
Priority setelah existing control
1
Ketidaktersediaan atau ketidakjelasan informasi
INT
B3
2
Database dapat rusak dikarenakan
INT
B3
INT
B2
kegagalan hardware 3 Kurangnya control dan pengelolaan data antar departement
4
Verifikasi dalam otentikasi kepada peminta data
INT
B2
5
Perubahan terhadap system/software aplikasi atau data tidak
INT
B2
didokumentasi L55
6
INT
B1
CON
B3
Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap atau tidak jelas
7
Informasi pada laptop tidak terproteksi Pemberian hak privilege tentang keamanan tidak diketahui
8
perusahaan
CON
B3
9
Saling berbagi ID
CON
B2
10
Akses terhadap backup tidak dikontrol dengan layak
CON
B3
11
Penyusup mendapatkan akses fisik ke fasilitas komputer
AVA
B2
L56
Tabel 4.6 Action Plan Risk #
Risk
1
Informasi diakses oleh personil yang tidak memiliki akses
2
3
Ketidaktersediaan atau ketidakjelasan Informasi
Database dapat rusak dikarenakan kegagalan hardware
Type
INT
INT
INT
Priority
B3
B3
B3
Controls
Owner Action
By Who
When
6, 11, 16
Pengembangan kebijakan dan prosedur dalam hal mekanisme hak akses akan dilakukan
Manajer TI dan Manajer Operasi
Pengembangan Kebijakan dan Prosedur : 24/02/2013
6, 13
Memantau dan melaporkan kegiatan yang dilakukan, pembuatan prosedur dan kebijakan terkait informasi akan dilakukan
1, 2
Backup database, pengembangan, pendokumentasian, dan pengujian prosedur recovery
Manajer TI
Manajer TI dan Manajer Operasi
Additional Comments
Pembuatan Prosedur dan Kebijakan : 25/02/2013 Memantau dan melaporkan secara berkala : 3/03/2013
L57
Backup : 1/03/2013 Pengembangan dan pendokumentasian : 12/03/2013 Pengujian : 12/04/2013
akan dilakukan
4
5
Kurangnya control dan pengelolaan data antar departemen
Verifikasi dalam otentikasi kepada peminta data
INT
INT
B2
B2
13, 19
Kontrol terhadap sumber daya manusia yang melakukan update dan entry, serta melakukan monitoring, dan pelaporan terhadap kegiatan akan dilakukan
Manajer TI
Kontrol dan pemantauan : 27/02/2013 Pelaporan : 12/03/2013
6
Kebijakan dan prosedur untuk mencegah akses yang tidak terotorisasi akan dilakukan
Manajer TI
Membuat kebijakan dan prosedur : 24/02/2013
Manajer TI
Membuat kebijakan dan prosedur : 27/02/2013 Monitoring : 5/03/2013
Manajer TI dan Manajer
Mengembangkan kebijakan dan Prosedur :
6
Proses pengendalian diabaikan karena terlalu rumit
INT
B3
6, 15
Monitoring, serta pembuatan kebijakan dan prosedur mengenai pentingnya proses pengendalian akan dilakukan
7
Personil yang melakukan
INT
B2
8, 11, 19
Memberikan training secara berkala,
perubahan sistem tidak ditraining secara cukup
8
Perubahan terhadap system / software aplikasi atau data tidak didokumentasi
9
Menggunakan salinan data yang tidak terpakai lagi
10
Modifikasi data akibat serangan virus
pengembangan kebijakan dan prosedur dalam penggunaan sistem akan dilakukan, serta prosedur pengujian atas sistem.
INT
INT
INT
B2
B3
B3
Operasi
24/02/2013 Pelatihan : 15/03/2013
1, 2, 8, 26
Backup, pengembangan pendokumentasian, dan pengujian prosedur akan dilakukan.
Manajer TI dan Manajer Operasi
Backup : 01/03/2013 Pengembangan dan pendokumentasian: 12/03/2013 Pengujian prosedur : 10/03/2013
26
Kontrol terhadap data yang tersimpan akan dilakukan
Manajer TI
Kontrol : 24/02/2013
2, 11, 13
Prosedur recovery, kebijakan dan prosedur mengenai pembatasan akses internet dan akses fisik ke hardware akan dilakukan
Manajer TI dan Manajer Operasional
Procedure recovery : 24/02/2013 Membuat kebijakan dan prosedur : 12/03/2013
11
12
13
Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap / tidak jelas
Informasi dibagikan tanpa melewati otorisasi yang tepat
Informasi pada laptop tidak terproteksi
INT
CON
CON
B1
B3
B3
12, 13, 23
Pelatihan dan mekanisme untuk pemantauan, serta melakukan pembuatan prosedur dan kebijakan mengenai pendokumentasian
3, 12
Implementasi mekanisme pengendalian akses, Training terhadap user mengenai pentingnya menjaga user ID dan password akan dilakukan
HRD
Pelatihan : 24/03/2013 Implemetasi mekanisme pengendalian akses : 27/03/2013
6, 22
Kebijakan dan prosedur mengenai penggunaan informasi pada laptop akan dilakukan
Manajer Operasional
Membuat kebijakan dan prosedur : 24/02/2013
HRD dan Manajer Operasi
Pelatihan : 24/03/2013 Membuat mekanisme dan persetujuan : 12/03/2013
14
Pemberian hak privilege tentang keamanan tidak diketahui perusahaan
15
Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses
16
Saling berbagi ID
CON
CON
3, 11, 12, 13
Kontrol terhadap hak akses, kebijakan dan prosedur untuk membatasi akses, dan training terhadap user mengenai pentingnya menjaga kerahasiaan user ID dan password akan dilakukan
Manajer TI, HRD dan Manajer Operasi
Kontrol Akses : 24/02/2013 Membuat kebijakan dan prosedur : 12/03/2013 Pelatihan : 24/03/2013
B3
6, 11, 12
Kebijakan dan prosedur untuk membatasi hak akses dan user training mengenai pentingnya menjaga user ID & password akan dilakukan
Manajer TI, HRD dan Manajer Operasi
Membuat kebijakan dan prosedur : 24/02/2013 Pelatihan : 24/03/2013
B2
12, 13
Monitoring, Pelatihan/pengenalan
HRD dan Manajer
Pelatihan : 24/03/2013 Monitoring : 20/03/2013
B3
pentingnya mengenai instruksi dalam menjaga kerahasiaan pengguna ID akan dilakukan
17
Akses terhadap backup tidak dikontrol dengan layak
18
Hackers dapat membuat site menjadi tidak berjalan / down
19
Penyusup mendapatkan akses fisik ke fasilitas komputer
CON
AVA
AVA
B3
B3
B2
Operasi
14, 20, 22
Training terhadap user mengenai backup data dan pentingnya menjaga kerahasiaan user ID dan password akan dilakukan
1, 3, 5, 22
Backup, implementasi mekanisme pengendalian akses, firewall, dan meminta fasilitas dan persetujuan dari manajemen akan dilakukan.
Manajer TI dan Manajer Operasi
Backup : 01/03/2013 Implementasi pengendalian akses, firewall : 03/03/2013 Meminta persetujuan : 12/03/2013
4, 22
Implementasi mekanisme pembatasan akses ke lokasi fisik,
Manajer TI dan Facilities management
Konsultasi : 24/02/2013 Implementasi pembatasan akses : 27/03/2013
Manajer TI, HRD dan Manajer Operasi
Pelatihan : 24/03/13
20
Kegagalan hardware dari server internet
21
Pendanaan yang tidak cukup untuk kemampuan backup
22
Sumber daya teknis kurang pelatihan yang cukup
AVA
AVA
AVA
B3
B2
B2
Konsultasi dengan facilities management untuk melindungi keamanan fisik ke fasilitas komputer akan dilakukan Pemeliharaan teknis terhadap server internet, Konsultasi dengan facilities management mengenai kegagalan hardware dari server internet akan dilakukan
Manajer TI dan Facilities management
Konsultasi : 24/02/13 Pemeliharaan teknis : 24/02/2013
23
Meminta dukungan dari manajemen untuk memfasilitasi terhadap backup data di perusahaan akan dilakukan
Manajer TI
Membuat proposal permintaan pendanaan : 24/02/2013
12, 15
Training terhadap user secara berkala dalam periode tertentu,
HRD
Pelatihan : 24/03/13
18, 22
Dokumentasi, bimbingan, dan dukungan dari pengembang aplikasi akan dilakukan
23
Serangan virus dapat mengakibatkan ketidaktersediaan sistem atau informasi
24
Kegagalan router atau firewall membuat layanan menjadi tidak dapat diakses
B3
AVA
B3
1, 2, 10
Peraturan tertulis mengenai mekanisme hak akses ke fasilitas fisik komputer untuk mencegah serangan virus akan dilakukan
Manajer TI dan Facilities Management
Membuat mekanisme : 24/02/2013
18, 20, 22
Pemeliharaan teknis terhadap router atau firewall, SLA, serta konsultasi dengan facilities management akan dilakukan
Manajer TI dan Facilities Management
Pemeliharaan teknis : 24/02/2013
L64