BAB III METODOLOGI PENELITIAN

   

BAB III METODOLOGI PENELITIAN Bab III Metodologi Penelitian

3.1

Profil Perusahaan PT. XYZ adalah sebuah perusahaan yang didirikan pada tahun 1967, merupa-

kan perusahaan investasi asing yang menyediakan layanan telekomunikasi internasional di Indonesia, serta melakukan operasinya pada tahun 1969 dengan inagurasi Stasiun Bumi Jatiluhur. Pada tahun 1980, pemerintah Indonesia mengakuisisikan semua saham PT. XYZ, untuk kemudian menjadi BUMN. Saat ini PT. XYZ merupakan perusahaan penyelenggara layanan telekomunikasi terbesar kedua di Indonesia. PT. XYZ saat ini memiliki lebih kurang 8155 karyawan, dimana karyawan PT.XYZ ini terdiri dari 3873 karyawan tetap dan 4282 karyawan kontrak. PT.XYZ saat ini telah memperdagangkan sahamnya di Bursa Efek di Indonesia dan Amerika Serikat New York Stock Exchange. Dengan kepemilikan saham PT. XYZ dimiliki oleh perusahaan asing (65%), Publik (20,1%), serta Pemerintah Republik Indonesia (14,9%). PT. XYZ memberikan layanan jasa selular, jasa telekomunikasi tetap atau jasa suara tetap, jasa fixed wireless. Selain itu PT. XYZ juga merupakan penyelenggara jasa data tetap (MIDI) dan menjadi pelopor penyedia layanan seluler 3.5 G dengan teknologi HSDPA untuk pascabayar maupun prabayar. Bagi PT. XYZ, tata kelola perusahaan merupakan landasan penting dari keseluruhan pendekatan bisnis perusahaan. Lima pilar utama yang menjadi tumpuan tata

20   

21   

kelola PT. XYZ adalah transparansi, akuntabilitas, tanggung jawab, independensi, dan kesetaraan.PT. XYZ selalu berusaha melakukan segala upaya untuk melakukan bisnis secara bertanggung jawab untuk memberikan manfaat yang berkelanjutan bagi para pemegang saham dan pemangku kepentingan. Susunan organisasi PT. XYZ dapat dilihat pada Gambar 2. Divisi IT Security merupakan salah satu divisi yang berada dibawah Group IT Operation. Divisi ini mempunya tugas untuk memastikan terjaminnya kemanan aset serta bertanggung jawab terhadap segala sesuatu yang berhubungan dengan keamanan jaringan beserta komponen pendukung lainnya termasuk pengaturan dan pemeliharaan didalamnya.  

3.1.1 Visi, Misi, dan Tujuan Perusahaan Visi Menjadi pilihan utama pelanggan untuk seluruh kebutuhan informasi dan komunikasi.

Misi •

Menyediakan dan mengembangkan produk layanan dan solusi inovatif dan berkualitas untuk memberikan manfaat yang sebesar - besarnya bagi para pelanggan.

•

Meningkatkan keuntungan pemegang saham secara terus menerus.

•

Mewujudkan kualitas kehidupan pemangku kepentingan yang lebih baik.

 

22   

3.1.2 Susunan Organisasi

 

Gambar 3. Susunan Organisasi PT. XYZ

 

23   

Gambar 4. Susunan Organisasi PT. XYZ (lanjutan)

 

 

24   

3.2

Kerangka Pikir  

 

Gambar 5. Kerangka Pikir

 

25   

Gambar 6. Kerangka Pikir Penilaian Risiko Menggunakan Metode NIST SP800-30

 

26   

Dokumen Kebijakan Keamanan PT. XYZ Dokumen ISO/IEC 27001

Pemetaan Kebijakan

Rekomendasi NIST SP800-61rev1

Pembuatan SOP

Tambahan Kebijakan Keamanan PT. XYZ

Dokumen SOP Input Proses

Rekomendasi NIST SP800-61rev1

Penanggulangan Insiden (Incident Handling)

Tambahan kontrol Untuk Penanggulangan Insiden

Output

Gambar 7. Kerangka Pikir Mitigasi Risiko Secara garis besar, kerangka pikir pada Gambar 5 terdiri dari 5 tahap. Untuk penilaian risiko dan mitigasi risiko di breakdown menjadi Gambar 6 dan 7. Kerangka pikir tersebut dapat dijabarkan sebagai berikut : 1. Mendefinisikan masalah Berdasarkan data hasil monitoring log IDS/IPS selama waktu tiga tahun, dapat ditarik tiga gangguan (intrusion) teratas yang terjadi pada PT. XYZ. Hal ini sekaligus menjadi ruang lingkup dari penulisan tesis ini. 2. Melakukan penilaian risiko (risk assessment) Penilaian risiko dilakukan dengan menggunakan metode NIST SP800-30. Pada tahap ini ada 9 tahapan yang dilakukan yaitu : •

Karakterisasi sistem : Tahap ini dilakukan pengumpulan aset-aset yang dimilik oleh divisi IT security.

 

27   

•

Identifikasi ancaman : Ancaman adalah suatu eksploitasi potensial terhadap kerentanan. Pada tahap ini dilakukan identifikasi ancaman yang ada terkait dengan ruang lingkup.

•

Identifikasi kerentanan : Kerentanan adalah suatu kelemahan yang ada dari suatu sistem. Pada tahap ini dilakukan identifikasi kerentanan yang ada terkait dengan ruang lingkup.

•

Analisis pengendalian (pengukuran tahap 1) : Pada tahap ini dilakukan pengukuran penanganan insiden saat ini dengan menggunakan incident handling checklist (NIST SP800-61 rev1). Kuesioner akan dibagikan kepada tim Divisi IT Security.

•

Penentuan kemungkinan : Pada tahap ini dilakukan penyusunan dan pendefinisian tingkat banyaknya kejadian.

•

Analisis dampak : Pada tahap ini dilakukan penyusunan dan pendefinisian tingkat dampak. Tahap ini dilakukan dengan wawancara dengan staf Divisi IT Security.

•

Penentuan risiko : Pada tahap ini dilakukan penyusunan dan pendefinisian tingkat risiko. Selanjutnya akan ditentukan tingkat risiko dari ancaman yang ada pada tahap identifikasi ancaman sebelumnya.

•

Rekomendasi kontrol : Pada tahap ini diberikan beberapa rekomendasi kontrol yang sesuai dengan hasil dari proses penilaian risiko. Tahap ini selanjutnya akan dibahas dibagian mitigasi risiko.

•

Dokumentasi hasil : Pada tahap ini dibuat dokuemtasi hasil penilaian risiko.

 

28   

3. Melakukan mitigasi risiko Pada tahap ini akan dilakukan beberapa hal terkait dengan mitigasi dari risiko yang didapat dari hasil tahap analisa sebelumnya, yaitu : •

Kebijakan keamanan (security policy) : Pemetaan ISO/IEC 27002 terhadap kebijakan keamanan yang berlaku. Apabila terdapat kekurangan pada kebijakan keamanan PT. XYZ maka kontrol dari ISO/IEC 27002 akan ditambahkan sebagai kebijakan baru.

•

Prosedur keamanan (Prosedur Operasi Standar) : Peningkatan terhadap prosedur keamanan yang ada saat ini mengacu pada NIST SP800-61 rev1.

•

Penanggulangan insiden (incident handling) : Pada tahap ini akan diberikan beberapa rekomendasi dan kontrol tambahan untuk menanggulangi insiden.

4. Melakukan pengukuran hasil mitigasi risiko (pengukuran tahap 2) Pengukuran dilakukan kembali dengan menggunakan incident handling checklist (NIST SP800-61 rev1). Kuesioner akan dibagikan kepada tim Divisi IT Security. 5. Kesimpulan dan saran Merupakan tahap akhir dimana hasil keseluruhan tesis ini akan diberikan suatu kesimpulan.

 

29   

3.3

Metode Pengumpulan Data Pengumpulan data dan informasi yang berkaitan dengan pembahasan tesis ini

menggunakan beberapa cara, yaitu : 1. Dokumen perusahaan Data diperoleh dari dokumen internal yang ada pada Divisi IT Security. Terdapat dua jenis dokumen perusahaan yang akan digunakan, yaitu: •

Dokumen

Data diperoleh dari dokumen-dokumen yang dimiliki oleh Divisi IT Security baik berupa kebijakan, laporan dan berkas tertulis. •

Portal Internal

Data diperoleh dengan mengakses portal yang dimiliki oleh Divisi IT Security yang menyimpan data-data mencakup keamanan informasi. Data yang diambil melalui portal merupakan data selama 2 tahun yaitu 20102011. Dimana portal berisikan hasil pengolahan dari log IDS/IPS serta insiden yang terjadi. Selain itu portal juga berisi tiket-tiket yang dibuat bila terjadi insiden. 2. Melakukan pengamatan langsung ke lapangan Studi ini dilakukan untuk mendapatkan gambaran dan data yang objektif mengenai penggunaan Internet pada Divisi IT Security. 3. Studi pustaka Data tambahan diperoleh dari studi jurnal dan buku-buku yang berkaitan dengan pembahasan tesis ini.

 

30   

4. Kuesioner Kuesioner akan dibagikan kepada anggota Divisi IT Security.