BAB I PENDAHULUAN Bab I Pendahuluan
1.1
Latar Belakang Informasi atau data adalah aset bagi perusahaan. Seiring meningkatnya peng-
gunaan Teknologi Informasi (TI) maka ancaman terhadap informasi tidak saja menjadi lebih banyak dan beragam, tetapi juga lebih merusak dan mengganggu, baik secara langsung ataupun tidak langsung ke komputer atau jaringan. Beberapa contoh ancaman tersebut antara lain virus/worm, denial of service, eavesdropping, spamming, dan spoofing. Pentingnya keamanan informasi sudah disadari oleh beberapa perusahaan dengan tingkat yang bervariasi dipengaruhi oleh beberapa faktor misalnya besar kecilnya perusahaan, seberapa jauh sistem informasi berpengaruh terhadap jalannya bisnis, dan banyaknya aset data/informasi yang dimiliki perusahaan. Melalui perlindungan yang tepat dapat membantu misi perusahaan dengan melindungi aset fisik, reputasi, karyawan, maupun aset tangible dan intangible lainnya. Bagi PT. XYZ yang bergerak dibidang jasa dan pelayanan, informasi merupakan sesuatu yang sangat vital. Dukungan informasi secara tepat dan akurat merupakan hal yang penting dalam jalannya bisnis. Untuk melindunginya, dibutuhkan pengelolaan maupun perlindungan terhadap informasi yang dimiliki.
1
2
Keamanan informasi yang baik dapat dicapai melalui penerapan sejumlah upaya-upaya teknis (operasional) yang didukung oleh berbagai kebijakan dan prosedur manajemen yang sesuai. Selain itu, penanggulangan insiden keamanan menjadi komponen yang penting karena yang merupakan langkah mitigasi dari risiko yang ada. Penanggulangan insiden harus dilakukan dengan cepat, meminimalkan kerugian dan kerusakan, dan mengurangi kelemahan yang diekspoitasi. Segala isu keamanan informasi pada PT. XYZ dipusatkan pada Divisi IT Security yang berada di bawah Group IT Operation. Tanggung jawab dari divisi tersebut adalah melakukan pemantauan, pendeteksian, peringatan terhadap ancaman serta penanggulangan terhadap insiden. Maka dari itu, melakukan manajemen risiko merupakan hal yang harus menjadi prioritas bagi Divisi IT Security.
1.2
Rumusan Permasalahan PT. XYZ memiliki Security Operation Center (SOC) untuk melakukan
monitoring terhadap ancaman dan kerentanan meliputi aset yang dimiliki oleh divisi IT Security. Setiap harinya, SOC memberikan laporan terhadap ancaman dan kerentanan yang ada. Respon terhadap hasil monitoring baik berupa alert notifikasi maupun laporan kepada tim IT Security harus disikapi secara serius untuk menghindari dan mencegah terjadinya insiden dimana berdasarkan beberapa kasus insiden diantaranya terjadinya deface terhadap salah satu website yang dimiliki oleh PT. XYZ, penyebaran virus secara luas hampir ke seluruh jaringan lokal perusahaan, dan
3
pencurian data akibat unauthorized user. Hal ini disebabkan oleh beberapa faktor seperti : •
Kurang lengkapnya kebijakan keamanan informasi yang mengatur penanganan ancaman agar dapat mengurangi terjadinya insiden selama ini.
•
Belum adanya SOP (Prosedur operasional standar) sebagai prosedur dalam kegiatan operasional untuk melakukan pencegahan dan penanganan insiden yang cepat dan tepat.
•
Penanganan insiden yang masih kurang.
Hal tersebut merupakan risiko-risiko yang ada dan harus dilakukan pengelolaan agar dapat mengurangi ancaman keamanan informasi Perusahaan. Proses penilaian risiko sebagai tahap awal manajemen risiko yang nantinya dilanjutkan dengan proses mitigasi risiko. Sehingga permasalahan dapat dirumuskan sebagai berikut : 1. Bagaimana melakukan penilaian risiko untuk mengurangi risiko keamanan informasi yang terjadi ? 2. Bagaimana mengatur kebijakan keamanan informasi PT. XYZ agar dapat mengurangi kemungkinan terjadinya insiden selama ini? 3. Bagaimana pengaturan SOP agar pencegahan dan penanganan insiden dapat dilakukan dengan cepat dan tepat? 4. Bagaimana melakukan penanganan insiden yang tepat?
1.3
Tujuan dan Manfaat Tujuan dari penelitian ini adalah :
4
1. Melakukan penilaian risiko pada Divisi IT Security PT. XYZ sebagai tahap awal dalam manajemen risiko. Berdasarkan hasil penilaian risiko nantinya akan menjadi masukan untuk mitigasi risiko yang tepat. 2. Dari hasil penilaian risiko akan dilakukan proses mitigasi risiko. Proses tersebut dilakukan dengan peningkatan (improvement) terhadap kebijakan keamanan yang ada saat ini, membuat masukan berupa SOP dan penanganan insiden yang lebih komprehensif dan tepat. 3. Melakukan pengukuran terhadap kontrol penanganan insiden yang ada pada Divisi IT Security. Sedangkan manfaat dari penelitian ini adalah : 1. Melalui penerapan manajemen risiko diharapkan dapat meningkatkan keamanan informasi Perusahaan. 2. Melalui pembenahan kebijakan keamanan, SOP, serta penanggulangan insiden yang tepat diharapkan dapat mengurangi terjadinya ancaman keamanan informasi pada Perusahaan.
1.4
Ruang Lingkup Pada studi kasus ini, penulis membatasi ruang lingkup permasalahan yang
akan dibahas yaitu :
5
1. Penelitian dipusatkan di Divisi IT Security pada PT. XYZ yang bergerak dibidang telekomunikasi. 2. Analisa dibatasi tiga insiden teratas pada PT. XYZ yang didapat dari log monitoring dalam kurun waktu 2 tahun, yaitu dari awal tahun 2010 – Februari 2012. 3. Sumber ancaman yang dibahas pada tesis ini merupakan sumber ancaman keamanan informasi akibat dari human threat. 4. Pengukuran terhadap kontrol keamanan akan dilakukan dua kali yaitu sebelum dan sesudah penerapan mitigasi risiko.
