BAB IV HASIL DAN PEMBAHASAN
Bab ini akan menguraikan dari pembahasan pada bab III dari tahap perencanaan, persiapan, pelaksanaan dan tahap pelaporan audit sistem informasi yang ada. Dapat dilihat pada Gambar 4.1. Planning Perencanaan Audit 1.Identifikasi informasi organisasi perusahaan 2.Pemahaman proses bisnis 3.Penentuan ruang lingkup, objek audit & tujuan audit 4.Penentuan klausul, objektif kontrol dan kontrol 5.Membuat dan menyampaikan Engagement Letter Fieldwork and Documentation
Studi Literatur A. Studi ISO 27002 -Dokumen ISO/IEC 27002 edisi pertama 15-6-2005 -Buku Manajemen Keamanan Sitem Informasi (R. Sarno Iffano) B. Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT.Telekomunikasi Indonesia, Tbk. Nomor : KD. 57/HK-290/ITS-30/2006.
Persiapan Audit 1.Melakukan penyusunan Audit Working Plan (AWP) 2.Penyampaian kebutuhan data 3.Membuat pernyataan 4.Melakukan pembobotan pernyataan 5.Membuat pertanyaan
Fieldwork and Documentation , Issues Discovery and Validation, Solution Development Pelaksanaan Audit 1.Melakukan wawancara pada pihak terkait 2.Melakukan pemeriksaan data 3.Penyusunan daftar temuan audit dan rekomendasi 4. Konfirmasi temuan dan rekomendasi audit
Report Drafting and Issuance , Issue Tracking Pelaporan Audit 1.Permintaan tanggapan atas daftar temuan audit 2.Penyusunan draft laporan audit 3.Persetujuan draft laporan audit 4.Pelaporan hasil audit
Hasil Perencanaan Audit 1.Profil perusahaan, visi misi PT.Telkom DIVRE V Jatim, profil Desktop Management, Struktur Organisasi Desktop Management, deskripsi pekerjaan di Desktop Management 2. Alur proses bisnis desktop management 3.Ruang lingkup, objek audit & tujuan audit 4.Hasil pemilihan klausul,objektif kontrol dan kontrol 5.Engagement Letter
Hasil Persiapan Audit 1.Audit Working Plan untuk merencanakan dan memantau pelaksanaan audit 2.Kebutuhan data yang diperlukan auditor 3.Pernyataan yang dibuat oleh auditor 4.Tingkat pembobotan masingmasing pernyataan 5.Daftar pertanyaan dari pernyataan yang dibuat oleh auditor
Hasil Pelaksanaan Audit 1.Dokumen wawancara 2.Dokumen pemeriksaan 3.Daftar temuan & rekomendasi
Hasil Pelaporan Audit 1.Hasil Permintaan Tanggapan Atas Temuan Audit 2.Penyusunan dan persetujuan Draft laporan Audit 3.Pertemuan penutup, notulen pertemuan penutup audit
Keterangan : Referensi dari Davis Tahap Pengembangan Langkah Audit
Gambar 4.1 Tahapan-Tahapan dalam Audit Keamanan Sistem Informasi
53
54
4.1 Hasil Perencanaan Audit Keamanan Sistem Informasi Hasil dari tahapan perencanaan ini berupa: 1.) Hasil identifikasi informasi organisasi perusahaan, 2.) Hasil pemahaman proses bisnis yang telah dilihat, 3.) Hasil penentuan ruang lingkup objek audit & tujuan audit, 4.) Hasil penentuan klausul, objektif kontrol, 5.) Hasil perjanjian audit berupa surat perjanjian audit atau Engagement Letter.
4.1.1
Hasil Identifikasi Informasi Organisasi Perusahaan Pada perencanaan audit, identifikasi informasi organisasi perusahaan
merupakan hal yang pertama yang harus dilakukan oleh seorang auditor untuk mengetahui seluk beluk perusahaan sebelum dilakukan audit
dengan cara
memahami dokumen perusahaan, yaitu profil perusahaan, visi dan
misi PT
Telkom DIVRE V Jatim, profil Desktop Management PT Telkom DIVRE V Jatim, struktur organisasi fungsional Desktop Management PT Telkom DIVRE V Jatim, Job description pegawai Desktop Management PT Telkom DIVRE V Jatim. 1. Profil PT Telkom DIVRE V Jatim Telkom merupakan BUMN yang bergerak di bidang jasa layanan telekomunikasi dan jaringan di wilayah Indonesia dan karenanya tunduk pada hukum dan peraturan yang berlaku di Indonesia. Dengan statusnya sebagai Perusahaan milik negara yang sahamnya diperdagangkan di bursa saham, pemegang saham mayoritas Perusahaan adalah Pemerintah Republik Indonesia sedangkan sisanya dikuasai oleh publik. Saham Perusahaan diperdagangkan di BEI, NYSE, LSE dan Public Offering Without Listing (“POWL”) di Jepang.
55
2. Visi, Misi dan Tujuan PT Telkom DIVRE V Jatim Visi
:
Menjadi
perusahaan
Telecommunication,
yang
unggul
Information,
Media,
dalam
penyelenggaraan
Edutainment
dan
Services
(“TIMES”) di kawasan regional. Misi
:
a. Menyediakan layanan TIMES yang berkualitas tinggi dengan harga yang kompetitif. b. Menjadi model pengelolaan korporasi terbaik di Indonesia. Visi
dan
Misi
ditetapkan
berdasarkan
keputusan
Komisaris
PT
Telekomunikasi Indonesia, Tbk No.09/KEP/DK/2012 pada tanggal 30 Mei 2012. 3. Profil Desktop Management Pada PT Telkom DIVRE V Jatim Desktop Management merupakan bagian dari ISSSM (Information System Service Support Management), sedangkan ISSSM merupakan unit dari Divisi ISC(Information System Center). Desktop management merupakan bagian yang mendukung fasilitas kerja pegawai Telkom dan kebutuhan di bidang desktop untuk wilayah seluruh Indonesia. Beberapa kebutuhan desktop tersebut diantaranya adalah PC, laptop, layar proyektor, printer, dan lain lain. Pada bagian desktop management ini belum pernah dilakukan audit sebelumnya dan berdasarkan rekomendasi pihak perusahaan untuk dilakukan audit pada bagian desktop management. Maka bagian desktop management perlu diaudit dan diperkuat oleh dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-
56
290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi untuk menjamin keberlangsungan keamanan sistem informasi. 4. Struktur Organisasi Fungsional di Desktop Management Manager Desktop Management Bpk Rizsa Sutadi NIK.590154
OFF1 Desktop Operation & Lisensi
OFF1 Adm. & Monitoring
OFF1 Multimedia Operation
Bpk Uyud Warsono NIK.630360
Bpk Setiyo Budi Eko N. NIK.611283
Bpk.Suchris Junaedy NIK.600630
OFF2 Adm. & Monitoring Bpk.Agus Widodo NIK.631174
Gambar 4.2 Struktur Organisasi Desktop Management di PT Telkom DIVRE V Jatim Gambar 4.2 adalah gambaran struktur organisasi fungsional Desktop Management di PT Telkom DIVRE V Jatim. Desktop Management memiliki struktur organisasi fungsional yang didalamnya terdapat individu-individu yang ahli pada bidangnya masing-masing. Pada Desktop Management terdapat 5 bagian yang masing-masing bagiannya memiliki Job Description. 5. Deskripsi Pekerjaan di Desktop Management Desktop Management mempunyai struktur organisasi fungsionalitas dimana pada stuktur didalamnya terdapat keahlian pekerjaan apa saja yang dimiliki
57
oleh setiap bagiannya. Pada Tabel 4.1 menjelaskan job description Desktop Management di PT Telkom DIVRE V Jatim.
No.
1
2
3
4
Tabel 4.1 Job Description Desktop Management PT Telkom DIVRE V Jatim Nama & Jabatan Deskripsi Tugas Memastikan pengelolaan DESKTOP MANAGEMENT diselenggarakan secara efektif, efisien, dan inovatif sekaligus mengarahkan, mengkoordinasikan dan menyelaraskan aktivitas-aktivitas unit MGR DESKTOP kerja (bagian) dengan strategi dan MANAGEMENT – RIZSA pedoman operasional yang SUTADI / 590154 dikembangkan Senior Manager untuk mendukung pencapaian indikatorindikator dipersyaratkan bagi fungsi SUB UNIT IS SERVICE SUPPORT MANAGEMENT Memastikan pelaksanaan pengurusan lisensi software dan problem solving desktop dalam rangka membangun OFF 1 DESKTOP OPERATION image desktop yang comply dan & LISENSI – UYUD WARSONO / mendukung pencapaian indikator630360 indikator yang dipersyaratkan bagi pengelolaan Desktop (Desktop Management) Memastikan pelaksanaan pengadministrasian dan monitoring Seat Management dalam rangka OFF 1 ADMINISTRASI & memenuhi dan mencatat kebutuhan MONITORING – SETIYOBUDI sarana kerja desktop secara akurat dan EKO NUGROHO / 611283 mendukung pencapaian indikatorindikator yang dipersyaratkan bagi pengelolaan Desktop (Desktop Management) Memastikan pelaksanaan pengadministrasian dan monitoring Seat Management dalam rangka memenuhi dan mencatat kebutuhan OFF 2 ADMINISTRASI & sarana kerja desktop secara akurat dan MONITORING – Agus Widodo / mendukung pencapaian indikator631174 indikator yang dipersyaratkan bagi pengelolaan Desktop (Desktop Management)
58
Tabel 4.1 Job Description Desktop Management PT Telkom DIVRE V Jatim (Lanjutan) No. Nama & Jabatan Deskripsi Tugas Memastikan pelaksanaan operasi, pemeliharaan, dan problem handling Aplikasi Non Shared Service ( Non SS), Desktop Dismantling, layanan Vicon dalam rangka mencapai service OFF 1 MULTIMEDIA 5 OPERATION – Suchris Junaedy / avaibility secara optimal untuk memberikan service /layanan kepada 600630 para user (pengguna) dan mendukung pencapaian indikator-indikator yang dipersyaratkan bagi pengelolaan Desktop
4.1.2
Hasil Pemahaman Proses Bisnis Setelah mengidentifikasi informasi organisasi perusahaan maka langkah
selanjutnya adalah memahami proses bisnis pada Desktop Management. Proses bisnis pada Desktop Management yaitu memenuhi permintaan kebutuhan desktop yang diajukan oleh karyawan Telkom melalui nota dinas dari atasan (surat permintaan secara dinas) tentang kebutuhan fasilitas kerja (fasker) & proses ini dilakukan perorangan. Berdasarkan info kebutuhan desktop, bahwa fasker atau kebutuhan desktop yang diminta tidak dapat disediakan sesuai keinginan pegawai yang meminta atau seenaknya, karena telah diatur dalam aturan kepemilikan fasker. KR (Keputusan Direktur) 10 merupakan dokumen kebijakan yang mengatur tentang kepemilikan fasilitas kerja pegawai yang di dalamnya tercantum aturan aturan khusus untuk fasilitas kerja yang diperoleh pegawai. Ketika permintaan sudah masuk di SLA (Service Level Agreement) Management,
proses
selanjutnya
yaitu
menganalisa
kebutuhan
desktop
berdasarkan KR 10. Proses ini menggunakan metode sewa aset dari vendor, karena sudah tidak ada lagi yang membeli aset. Setelah dianalisa berdasarkan KR
59
10 maka terdapat komitmen pemenuhan desktop dan update software dari pihak SSM (Service Support Management) ke SLA Management dan kepada pengguna. Apabila sudah terdapat komitmen pemenuhan desktop maka perangkat desktop akan dikirim ke lokasi pengiriman sesuai permintaan dan akan dilakukan proses instalasi serta service desktop oleh vendor. Proses terakhir setelah dilakukan pengiriman desktop yaitu update data inventory dan evaluasi pemenuhan desktop oleh SLA Management kepada pengguna. Dalam proses bisnis ini dibantu oleh aplikasi yang mengontrol pergerakan fasker pegawai yaitu aplikasi Computer & Network Equipment Management System (CNEMAS). Pada aplikasi CNEMAS ini tingkatan password hanya terdapat pada login awal saja, jadi apabila terdapat salah satu karyawan yang saling menitipkan password maka akan beresiko merusak data inventory di CNEMAS. Apabila data inventory di CNEMAS rusak, maka dapat menimbulkan hambatan dalam alur proses bisnis Desktop Management yaitu terutama pada proses perencanaan & pemenuhan kebutuhan Desktop. Karena dalam proses perencanaan dan pemenuhan kebutuhan desktop, terdapat data penting berupa daftar kebutuhan desktop yang setelah itu dianalisis dan dievaluasi berdasarkan inventory, KR, anggaran, kontrak SM dan waktu pemenuhan, dimana pemrosesan data tersebut harus dilakukan berdasarkan jobdesk masing-masing karyawan.
Berikut adalah alur proses bisnis pada
Desktop Management yang dapat dilihat dalam Gambar 4.3.
60
Operation Level Agreement
Service Level Agreement
Underpining Contract
OLA
SLA
USER
UC
SSM, Sso (IS Center)
SLA MNG
Vendor/Mitra
1 2 3 4
4
5 6
Permintaan Desktop - Sesuai KR 10/2010 - Skala prioritas - Sesuai juklak fasker - Sesuai SLA/JPS KPI SLA Desktop : - Service delivery time desktop
Respon Permintaan Desktop - Analisis Permintaan H/W dan S/W sesuai SSC(Standart Software Catalog) akhir - Mengajukan kebutuhan - Koordinasi Delivery dan Update Data Inventory - Evaluasi Data Inventory
OLA : - End user data readliness - Respon penyelesaian
Pemenuhan Desktop - Analisis pemenuhan H/W dan S/W - Mengajukan anggaran - Rencana instalasi & Delivery - Monitor, Update Data Inventory & koordinasi Mitra OLA : - Delivery completion - User acceptence completion
Vendor/Mitra - Pemenuhan rencana - Rencana deployment - Delivery & Instalation - Update data inventory
UC (Underpining Contract) : - Fulfillment completion - User acceptence completion
1
Permintaan Desktop
4
Komitmen pemenuhan desktop & update software
2
Info Kebutuhan Desktop
5
Delivery, instalasi dan service desktop
3
Analisis Kebutuhan Desktop
6
Update data inventory & evaluasi pemenuhan desktop
Gambar 4.3 Bisnis Proses Desktop Management (Sumber : Dokumen Prosedur Desktop Management Nomor : P/ISCIFD.08)
4.1.3 Ruang Lingkup, Objek Audit dan Tujuan Audit Menentukan ruang lingkup, objek audit dan tujuan audit ditentukan dengan cara melakukan observasi, wawancara dan review pada Desktop Management. Adapun hasil dari penentuan ruang lingkup objek audit dan tujuan audit yaitu ruang lingkup yang akan diaudit membahas keadaan fisik dan lingkungan yang terdapat di Desktop Management, kepatuhan karyawan terhadap kebijakan yang terdapat di bagian Desktop Management dan kontrol akses informasi di Desktop Management. Objek auditnya yaitu pada bagian Desktop Management di PT Telkom DIVRE V Jatim. Berdasarkan hasil wawancara mengenai alur proses bisnis desktop management dapat ditentukan ruang lingkup yang sesuai dengan identifikasi permasalahan. Identifikasi permasalahan dilakukan dari setiap tahapan proses
61
bisnis yang ada pada bagian desktop management. Pada alur proses bisnis dan identifikasi permasalahan yang ada kemudian direlasikan dan dapat digunakan untuk menentukan ruang lingkup audit. Pemetaan alur proses bisnis dan identifikasi masalah dapat dilihat pada Tabel 4.2.
No.
1.
2.
Tabel 4.2 Pemetaan Alur Proses Bisnis dan Identifikasi Masalah Pemetaan Alur Proses Bisnis dan Identifikasi Masalah Alur Proses Bisnis Identifikasi Masalah Proses permintaan desktop diajukan oleh karyawan melalui nota dinas dari atasan tentang kebutuhan fasilitas kerja. Dan data permintaan tersebut akan disimpan di dalam aplikasi CNEMAS yang dibutuhkan kepatuhan dari setiap karyawan dalam menggunakan aplikasi tersebut serta menjaga keamanan informasi desktop. Dalam penggunaan aplikasi tersebut dicurigai beberapa dari karyawan desktop mengabaikan kebijakan Proses permintaan desktop penggunaan aplikasi dan tidak menjaga akses informasi desktop sebagai mana mestinya sehingga informasi yang seharusnya tidak bisa dilihat oleh yang tidak memiliki akses atas informasi tersebut dikhawatirkan bisa melihat informasi tersebut dan dapat menimbulkan dampak pada proses permintaan desktop yaitu terhambatnya data proses permintaan desktop untuk diproses pada tahapan berikutnya dalam alur proses bisnis Pada penyampaian info kebutuhan desktop telah ditetapkan berdasarkan dokumen KR.10 dan disampaikan oleh SLA Info kebutuhan desktop Management kepada SSM (Service Support Management) agar dapat diproses lebih lanjut pada tahapan analisis kebutuhan desktop
62
Tabel 4.2 Pemetaan Alur Proses Bisnis dan Identifikasi Masalah (Lanjutan) Pemetaan Alur Proses Bisnis dan Identifikasi Masalah No. Alur Proses Bisnis Identifikasi Masalah Pada proses analisa kebutuhan desktop juga disesuaikan berdasarkan dokumen KR.10 yang 3. Proses analisis kebutuhan desktop dilakukan pihak SSM agar mendapatkan komitmen pemenuhan desktop oleh SSM dan SLA Management Dalam proses komitmen pemenuhan desktop ini dilakukan Komitmen pemenuhan desktop dan oleh pihak SSM kepada SLA dan 4. update software kepada pengguna agar dapat melakukan proses delivery atau pengiriman desktop. Pada proses delivery atau pengiriman desktop, harus dicek terlebih dahulu keamanan perangkat desktop yang akan dikirim ke pengguna. Dalam proses ini dibutuhkan lingkungan fisik yang aman agar mudah untuk proses keluar masuk barang/ 5. Delivery, instalasi dan service laptop perangkat desktop yang akan dikirim. Namun dicurigai bahwa lingkungan fisik kurang terlindungi dengan sebagai mana mestinya sehingga barang yang seharusnya dimasukkan atau dikeluarkan melewati pintu utama atau gudang, terkadang barang dimasukkan melalui pintu darurat. Pada proses update data inventory dan evaluasi pemenuhan desktop dilakukan oleh SLA Management Update data inventory dan evaluasi kepada pengguna apabila semua 6. pemenuhan desktop tahap proses bisnis sebelumnya sudah dilakukan dengan baik, maka desktop sudah siap digunakan oleh pengguna
Dari hasil pemetaan alur proses bisnis dan pengidentifikasian masalah didapatkan beberapa indikasi permasalahan pada alur proses bisnis di tahap proses permintaan desktop dan proses pengiriman desktop. Kemudian ruang lingkup
63
audit dapat ditentukan sesuai dengan indikasi permasalahan yang muncul pada dua tahap proses bisnis desktop management tersebut. Indikasi permasalahan pada proses permintaan desktop dicurigai bahwa karyawan mengabaikan kebijakan penggunaan aplikasi dan tidak menjaga informasi desktop dari orang lain yang tidak memiliki akses atas informasi tersebut maka ruang lingkup yang perlu diaudit adalah keamanan sumber daya manusia yang terdapat pada klausul 8 dan kontrol akses yang terdapat pada klausul 11. Indikasi permasalahan pada proses delivery desktop dicurigai bahwa lingkungan fisik kurang terlindungi sehingga barang yang seharusnya keluar masuk melalui pintu utama atau gudang terkadang melalui pintu darurat maka ruang lingkup yang perlu diaudit adalah keamanan fisik dan lingkungan yang terdapat pada klausul 9. Pemilihan ruang lingkup tersebut juga telah sesuai dengan kesepakatan bersama kedua belah pihak yaitu auditor dan auditee dengan tujuan dapat mengurangi terjadinya resiko keamanan informasi dan mengetahui keamanan sistem informasi yang sedang berlangsung. Pemetaan indikasi permasalahan pada proses bisnis dan ruang lingkup dapat dilihat pada Tabel 4.3.
No.
1.
Tabel 4.3 Pemetaan Permasalahan dan Ruang Lingkup Audit Keamanan Sistem Informasi Pemetaan Permasalahan dan Ruang Lingkup Audit Indikasi Permasalahan Ruang Lingkup Penjelasan Dicurigai bahwa Berdasarkan indikasi Kepatuhan karyawan karyawan permasalahan ketidak terhadap kebijakan mengabaikan patuhan karyawan perusahaan khususnya kebijakan penggunaan tersebut maka ruang untuk penggunaan aplikasi dan tidak lingkup yang harus aplikasi dan kontrol menjaga akses diaudit adalah keamanan akses terhadap informasi desktop sumber daya manusia informasi desktop sebagai mana yang terdapat di klausul
64
Tabel 4.3 Pemetaan Permasalahan dan Ruang Lingkup Audit Keamanan Sistem Informasi (Lanjutan) Pemetaan Permasalahan dan Ruang Lingkup Audit No. Indikasi Permasalahan Ruang Lingkup Penjelasan 8. Dan untuk permasalahan menjaga keamanan akses informasi desktop maka mestinya ruang lingkup yang harus diaudit adalah kontrol akses yang terdapat di klausul 11. Berdasarkan indikasi permasalahan kurangnya Dicurigai bahwa perlindungan pada Keadaan Fisik dan lingkungan fisik pada lingkungan fisik tersebut Lingkungan yang 2. desktop management maka ruang lingkup Terdapat di Desktop kurang terlindungi yang harus diaudit Management dengan optimal adalah keamanan fisik dan lingkungan yang terdapat di klausul 9. Dari beberapa indikasi permasalahan yang ada pada proses bisnis di bagian Desktop Management tersebut maka terdapat beberapa klausul yang digunakan sebagai acuan dalam melakukan audit keamanan sistem informasi, diantaranya yaitu klausul 8 (Keamanan Sumber Daya Manusia), klausul 9 (Keamanan Fisik dan Lingkungan) dan kalusul 11 (Kontrol Akses).
4.1.4
Hasil Klausul, Objektif Kontrol dan Kontrol Untuk melakukan audit keamanan sistem informasi, digunakan
standar ISO 27002:2005 dan beberapa klausul sebagai acuan dalam pelaksanaan audit. Berdasarkan beberapa indikasi permasalahan dan penetapan ruang lingkup, maka langkah selanjutnya adalah menentukan klausul, objektif kontrol dan kontrol. Adapun dalam menetapkan klausul, objektif kontrol dan kontrol berdasarkan beberapa permasalahan dan ruang lingkup yang telah ditetapkan dan disesuaikan berdasarkan kesepakatan bersama kedua belah pihak. Sehingga hasil
65
yang didapatkan adalah klausul 8 (Keamanan Sumber Daya Manusia), Klausul 9 (Keamanan Fisik dan Lingkungan) dan Klausul 11 (Kontrol Akses) beserta objektif kontrol dan kontrol masing masing klausul seperti pada Tabel 4.4.
Tabel 4.4 Pemetaan Klausul, Objektif Kontrol dan Kontrol yang Digunakan Pemetaan Kalusul, Objektif Kontrol dan Kontrol No.
Klausul
1.
Klausul 8 Keamanan Sumber Daya Manusia
2.
Klausul 9 Keamanan Fisik dan Lingkungan
Objektif Kontrol
a. 8.1 Sebelum Menjadi Pegawai b. 8.2 Selama Menjadi Pegawai c. 8.3 Pemberhentian atau pemindahan pegawai
a. 9.1 Wilayah Aman b. 9.2 Keamanan Peralatan
Kontrol
a. 8.1.1 Aturan dan tanggung jawab keamanan b. 8.1.3 Persyaratan dan kondisi yang harus dipenuhi oleh pegawai c. 8.2.1 Tanggung jawab manajemen d. 8.2.2 Pendidikan dan pelatihan keamanan informasi e. 8.2.3 Proses Kedisiplinan f. 8.3.1 Tanggung jawab pemberhentian g. 8.3.2 Pengembalian aset h. 8.3.3 Penghapusan hak akses a. 9.1.1 Pembatasan keamanan fisik b. 9.1.2 Kontrol masuk fisik c. 9.1.3 Keamanan kantor, ruang dan fasilitasnya d. 9.1.4 Perlindungan terhadap ancaman dari luar dan lingkungan sekitar e. 9.1.5 Bekerja di wilayah aman
66
Tabel 4.4 Pemetaan Klausul, Objektif Kontrol dan Kontrol yang Digunakan (Lanjutan) Pemetaan Kalusul, Objektif Kontrol dan Kontrol No.
Klausul
Objektif Kontrol
a. b. c.
3.
Klausul 11 Kontrol akses
d. e. f. g.
Kontrol
f. 9.1.6 Akses publik, tempat pengiriman dan penurunan barang g. 9.2.1 Letak peralatan dan pengamanannya h. 9.2.2 Utilitas pendukung i. 9.2.3 Keamanan pengkabelan j. 9.2.4 Pemeliharaan Peralatan k. 9.2.5 Keamanan peralatan di luar tempat yang tidak disyaratkan l. 9.2.6 Keamanan untuk pembuangan atau pemanfaatan kembali peralatan m. 9.2.7 Hak pemanfaatan a. 11.1.1 Kebijakan kontrol akses b. 11.2.1 Registrasi 11.1 Persyaratan Bisnis pengguna Untuk Akses Kontrol c. 11.2.2 Manajemen 11.2 Manajemen Akses hak istimewa User d. 11.2.3 Manajemen 11.3 Tanggung Jawab password user Pengguna e. 11.2.4 Tinjauan 11.4 Kontrol Akses terhadap hak akses Jaringan user 11.5 Kontrol Akses f. 11.3.1 Penggunaan Sistem Operasi password 11.6 Kontrol Akses g. 11.3.2 Peralatan Informasi dan Aplikasi penggunaan yang 11.7 Komputasi Bergerak tanpa penjagaan dan Bekerja Dari Lain h. 11.3.3 Kebijakan Tempat Clear desk dan clear screen i.
67
Tabel 4.4 Pemetaan Klausul, Objektif Kontrol dan Kontrol yang Digunakan (Lanjutan) Pemetaan Kalusul, Objektif Kontrol dan Kontrol No.
Klausul
Objektif Kontrol
Kontrol
j. 11.4.1 Kebijakan penggunaan layanan jaringan k. 11.4.2 Otentikasi pengguna untuk melakukan koneksi keluar l. 11.4.3 Identifikasi peralatan di dalam jaringan m. 11.4.4 Perlindungan remote diagnostic dan konfigurasi port n. 11.4.5 Pemisahan dengan jaringan o. 11.4.6 Kontrol terhadap koneksi jaringan p. 11.4.7 Kontrol terhadap koneksi jaringan q. 11.5.1 Prosedur LogOn yang aman r. 11.5.2 Identifikasi dan autentikasi pengguna s. 11.5.3 Sistem Manajemen Password t. 11.5.4 Penggunaan utilitas sistem u. 11.5.5 Sesi time-out v. 11.5.6 Batasan waktu koneksi w. 11.6.1 Pembatasan akses informasi x. 11.6.2 Pengisolasian sistem yang sensitif y. 11.7.1 Komunikasi dan terkomputerisasi yang bergerak z. 11.7.2 Teleworking
68
4.1.5
Engagement Letter Engagement Letter merupakan surat perjanjian kedua belah pihak antara
auditor dengan client sebagai bentuk kesepakatan. Pada gambar 4.4 merupakan hasil potongan Engagement Letter. Adapun surat perjanjian atau Engagement Letter ada pada lampiran 1 dan berisi poin sebagai berikut. a. Peran auditor b. Tujuan auditor c. Tugas dan tanggung jawab auditor d. Kewenangan dan kode etik auditor e. Ruang lingkup auditor f. Bentuk laporan g. Akses auditor h. Pengesahan dan waktu pelaksanaan
4.2 Hasil Persiapan Audit Keamanan Sistem Informasi Hasil persiapan Audit Keamanan Sistem Informasi dilakukan dengan cara menyusun Audit Working Plan (AWP), penyampaian kebutuhan data audit, membuat pernyataan, melakukan pembobotan, membuat pertanyaan. Pernyataan yang telah dibuat berdasarkan standar ISO 27002:2005 dan pertanyaan yang telah dibuat berdasarkan pernyataan.
4.2.1 Hasil Penyusunan Audit Working Plan Ouput dari penyusunan Audit Working Plan (AWP) berupa jadwal kerja. Jadwal kerja dimulai dari awal kegiatan sampai akhir kegiatan dimana dapat dilihat pada gambar 4.5.
69
4.2.2
Hasil Penyampaian Kebutuhan Data Pada tahap persiapan audit, setelah membuat AWP maka proses
selanjutnya adalah menyampaikan kebutuhan data yang diperlukan kepada auditee untuk penunjang pemeriksaan auditor. Fungsinya dalam menyampaikan kebutuhan data sebelumnya agar auditor lebih mudah dan lebih cepat dalam memeriksa pada tahap pelaksanaannya sehingga penyampaian kebutuhan data bisa dipersiapkan sebelumnya. Selain data penunjang yang terdapat pada gambar 4.6 mengenai lampiran kebutuhan audit, ada beberapa data yang telah dikumpulkan dan selengkapnya berada pada Lampiran 2, diantaranya yaitu : a. Data penunjang yang diperlukan dalam pelaksanaan audit b. Data yang bersangkutan dengan alur proses bisnis c. Data berdasarkan klausul 8 d. Data berdasarkan klausul 9 Data berdasarkan klausul 11
70
Gambar 4.4 Hasil potongan Engagement Letter
Gambar 4.5 Hasil Audit Working Plan
71
Gambar 4.6 Lampiran Kebutuhan Data Penunjang yang Diperlukan Dalam Pelaksanaan Audit
4.2.3 Hasil Pernyataan Pada proses selanjutnya pada tahapan persiapan audit dilakukan dengan membuat pernyataan berdasarkan kontrol keamanan yang terdapat pada setiap klausul yang telah ditetapkan berdasarkan standar ISO 27002. Pada setiap kontrol keamanan dapat ditentukan pernyataan yang mendiskripsikan implementasi dan pemeliharaan kontrol keamanan tersebut. Beberapa contoh pernyataan yaitu pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan (Disciplinary Process), klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatas keamanan fisik (Physical security perimeter) dan klausul 11
72
(sebelas) Kontrol Akses dengan kontrol 11.3.1 penggunaan password (Password Use) dapat dilihat pada Tabel 4.5, Tabel 4.6, Tabel 4.7 dan untuk selengkapnya dapat dilihat pada Lampiran 3. Dalam memenuhi kontrol audit pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan (Disciplinary Process)) yaitu berupa proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga keamanan informasi, maka dibutuhkan beberapa pernyataan yang sesuai. Untuk itu auditor harus mengetahui beberapa hal tentang proses kedisiplinan karyawan diantaranya yaitu : a. Harus mengetahui bagaimana prosedur kedisiplinan seluruh karyawan khususnya untuk bagian Desktop Management b. Harus mengetahui beberapa faktor dalam pertimbangan kedisiplinan formal c. Harus mengetahui konsekuensi untuk karyawan yang kurang memperhatikan prosedur keamanan informasi dalam perusahaan. Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan (Disciplinary Process)) di atas, maka didapatkan pernyataan seperti yang ada pada Tabel 4.5. Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA) Klausul 8.2 Selama Menjadi Pegawai (During Employment) 8.2.3 Proses Kedisiplinan (Disciplinary Process) Kontrol: Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi. No. PERNYATAAN 1. Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan
73
Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Lanjutan) PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA) Klausul 8.2 Selama Menjadi Pegawai (During Employment) 8.2.3 Proses Kedisiplinan (Disciplinary Process) Kontrol: Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi. No. PERNYATAAN 2. Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor Terdapat konsekuensi bagi karyawan yang cenderung mengabaikan prosedur 3. keamanan sistem informasi
Dalam memenuhi kontrol audit pada klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik (Physical security perimeter)) yaitu pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan informasi dan perangkat pemrosesan informasi. Untuk itu auditor harus mengetahui banyak hal tentang pembatas keamanan tersebut diantaranya : a. Harus mengetahui batas perimeter yang jelas dan aman khususnya pada tempat fasilitas pemrosesan informasi b. Harus mengetahui bahwa pada akses menuju tempat kerja harus dibatasi hanya untuk personil dengan otorisasi c. Harus mengetahui bahwa pada pintu darurat harus terpasang tanda bahaya dan benar benar tertutup rapat d. Harus mengetahui bahwa setiap pengunjung atau orang yang menuju wilayah aman harus diawasi Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1
74
(pembatas keamanan fisik (Physical security perimeter)) di atas, maka akan didapatkan pernyataan seperti yang ada pada Tabel 4.6.
Tabel 4.6 Pernyataan Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik (Physical security perimeter) PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman 9.1.1 Pembatasan keamanan fisik Kontrol : Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi. No. PERNYATAAN Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman 1. secara fisik 2. Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya 3. dan tertutup rapat. 4. Pengunjung ke wilayah aman harus diawasi
Dalam memenuhi kontrol audit pada klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password (Password Use)) yaitu pengguna harus mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password, maka dibutuhkan beberapa pernyataan yang sesuai. Untuk itu auditor harus mengetahui banyak hal tentang penggunaan password tersebut diantaranya : a. Harus mengetahui seberapa besar kesadaran para karyawan untuk menjaga password yang telah dimiliki b. Harus mengetahui sikap karyawan apabila setiap ada kemungkinan sistem dalam bahaya, diharuskan untuk mengganti password c. Harus mengetahui bahwa karyawan telah mematuhi larangan dalam pembuatan catatan password
75
d. Harus mengetahui kedisiplinan karyawan dalam menjaga password yang dimiliki agar tidak membagikan kepada yang tidak berhak e. Harus mengetahui bahwa karyawan telah melakukan pergantian password sementara pada saat pertama kali log-on f. Harus mengetahui bahwa karyawan telah memilih password yang berkualitas dan mudah untuk diingat g. Harus mengetahui bahwa karyawan telah melakukan perubahan password secara berkala dan larangan menggunakan password yang lama Dari beberapa hal yang harus diketahui untuk memenuhi kontrol audit pada klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password (Password Use)) di atas, maka akan didapatkan pernyataan seperti yang ada pada Tabel 4.7.
Tabel 4.7 Pernyataan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use) PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES) Klausul 11.3 Tanggung Jawab Pengguna (User Respon sibilities) 11.3.1 Penggunaan Password (Password Use) Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. No. PERNYATAAN 1. Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau 2. password dalam keadaan bahaya 3. Terdapat larangan dalam pembuatan catatan password 4. Terdapat larangan untuk tidak membagi satu password kepada pengguna lain 5. Terdapat pergantian password sementara pada saat pertama kali log-on 6. Terdapat pemilihan password secara berkualitas yang mudah diingat Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan 7. larangan menggunakan password yang lama
Pernyataan berdasarkan standar ISO 27002:2005 digunakan untuk memudahkan auditor sebagai acuan membuat pertanyaan untuk wawancara audit
76
keamanan sistem informasi dari beberapa contoh klausul yaitu klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan (Disciplinary Process)) membahas proses kedisiplinan sehingga bila semua aspek kedisiplinan terdapat pada bagian Desktop Management maka dapat menjadi standar kedisiplinan sumber daya manusia pada Desktop Management, klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik (Physical security perimeter)) membahas tentang pembatas keamanan fisik sehingga bila semua aspek pembatas keamanan fisik terdapat pada bagian Desktop Management maka dapat menjadi standar pembatas keamanan fisik pada Desktop Management, klausul 11 (Sebelas) Kontrol Akses dengan kontrol 11.3.1 (Penggunaan Password (Password Use)) membahas tentang penggunaan password sehingga bila semua aspek penggunaan password terdapat pada bagian Desktop Management maka dapat menjadi standar kontrol akses pada Desktop Management.
4.2.4
Hasil Pembobotan Pernyataan Setelah membuat pernyataan, maka langkah selanjutnya adalah
melakukan pengukuran pembobotan pada setiap pernyataan. Pembobotan dilakukan berdasarkan perhitungan, dengan membagi tingkat pembobotan dalam manajemen menjadi 3 (tiga), yaitu: rendah, cukup dan tinggi yang telah disesuaikan dengan kondisi Desktop Management dan kesepakatan dengan pihak Desktop Management. Hasil nilai pembobotan didapatkan dengan cara memberikan angket kepada pihak auditee dengan posisi jabatan officer 1 administrasi dan monitoring. Beberapa contoh pembobotan yang ada dalam klausul 8 (delapan) Keamanan
77
Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan (Disciplinary Process)), klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatasan keamanan fisik (Physical security perimeter)) dan klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password (Password Use)), dapat dilihat pada Tabel 4.8, Tabel 4.9, Tabel 4.10 dan untuk selengkapnya dapat dilihat pada Lampiran 4. Pembobotan pada klausul 8 dengan kontrol 8.2.3 proses kedisiplinan, didapatkan beberapa nilai dari pihak auditee yang disesuaikan dengan kondisi Desktop Management diantaranya yaitu : a. Pernyataan nomor 1 (satu) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee, bahwa karyawan harus mengutamakan disiplin dasar dari pegawai karena setiap karyawan desktop management wajib menerapkan prosedur yang mengatur kedisiplinan seluruh karyawan, beberapa kedisiplinan diantaranya yaitu kedisiplinan waktu, kedisiplinan pekerjaan serta kedisiplinan menaati prosedur kerja yang sudah ditetapkan,
oleh karena itu diberikan nilai 1 dalam
pernyataan nomor 1 tersebut. b. Pernyataan nomor 2 (dua) mendapatkan nilai pembobotan 0,7 yang juga masuk kategori tinggi yaitu memiliki peranan sangat penting dalam proses sistem informasi, namun nilainya lebih kecil dibanding dengan pernyataan nomor satu karena menurut pihak auditee meskipun sama sama penting dan perlu diterapkan di desktop management, tetaplah tingkat keutamaan prosedur kedisiplinan lebih utama dibandingkan pertimbangan kedisiplinan formal. Jadi
78
harus menerapkan pertimbangan kedisiplinan formal dengan melihat beberapa faktor namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 2 tersebut. c. Pernyataan nomor 3 (tiga) mendapatkan nilai pembobotan 0,9 yang juga masuk kategori tinggi yaitu memiliki peranan sangat penting dalam proses sistem informasi, namun nilainya lebih besar dari pernyataan nomor 2 karena menurut auditee suatu konsekuensi harus dilakukan pada setiap karyawan yang tidak taat pada prosedur perusahaan namun terkadang konsekuensi ini belum berjalan secara optimal. Jadi harus menerapkan konsekuensi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,9 dalam pernyataan nomor 3 tersebut.
Tabel 4.8 Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi PEMBOBOTAN PERNYATAAN AUDIT (Bagian Off 1 KEAMANAN SISTEM INFORMASI KLAUSUL Administrasi & 8 (KEAMANAN SUMBER DAYA MANUSIA) Monitoring) Tanggal: 10-16 Februari 2015 Klausul 8.2 Selama Menjadi Pegawai (During Employment) 8.2.3 Proses Kedisiplinan (Disciplinary Process) Kontrol : Aturan-aturan dan tanggung jawab keamanan dari pegawai, kontraktor dan pengguna pihak ketiga harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi.
79
Tabel 4.8 Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Lanjutan) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi PEMBOBOTAN PERNYATAAN AUDIT (Bagian Off 1 KEAMANAN SISTEM INFORMASI KLAUSUL Administrasi & 8 (KEAMANAN SUMBER DAYA MANUSIA) Monitoring) Tanggal: 10-16 Februari 2015 Klausul 8.2 Selama Menjadi Pegawai (During Employment) 8.2.3 Proses Kedisiplinan (Disciplinary Process) Kontrol : Aturan-aturan dan tanggung jawab keamanan dari pegawai, kontraktor dan pengguna pihak ketiga harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi. Bobot No. PERNYATAAN Rendah Cukup Tinggi (0,1-0,39)
1. 2. 3.
(0,4-0,69)
(0,7-1,0)
Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi
1 0,7 0,9
Pembobotan pada klausul 9 dengan kontrol 9.1.1 pembatasan keamanan fisik, didapatkan beberapa nilai dari pihak auditee yang disesuaikan dengan kondisi Desktop Management diantaranya yaitu : a. Pernyataan nomor 1 (satu) mendapatkan nilai pembobotan 0,7 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee, telah terdapat batas fisik yang jelas dan sesuai prosedur KD 57 yang menjelaskan bahwa area aman harus diberi batas sekuriti fisik untuk melindungi area yang berisi informasi dan fasilitas pengolah informasi namun masih dirasa kurang optimal karena tidak dilengkapi cctv di ruang pemrosesan informasi. Jadi harus menerapkan batas perimeter yang jelas pada tempat fasilitas informasi
80
yang aman secara fisik namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 1 tersebut. b. Pernyataan nomor 2 (dua) mendapatkan nilai pembobotan 0,8 yang juga masuk kategori tinggi yaitu memiliki peranan sangat penting dalam proses sistem informasi, namun nilainya lebih tinggi dibanding pernyataan nomor 1. Berdasarkan keterangan pihak auditee untuk
masuk menuju ke tempat
tertentu harus dengan otorisasi khusus dan cctv hanya ada di beberapa tempat tertentu, sedangkan pada ruang desktop management dan sepanjang jalan menuju ruang desktop masih belum terdapat cctv. Jadi harus menerapkan akses menuju tempat kerja dibatasi hanya untuk pesonil dengan otorisasi namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,8 dalam pernyataan nomor 2 tersebut. c. Pernyataan nomor 3 (tiga) mendapatkan nilai pembobotan 0,6 yang masuk kategori cukup dimana nilai tersebut
mempunyai peranan cukup penting
dalam proses sistem informasi. Berdasarkan keterangan pihak auditee pada semua pintu darurat terpasang tanda bahaya namun salah satu pintu darurat yang terletak di lantai dasar dan dekat dengan ruang desktop tersebut pernah digunakan untuk akses keluar masuknya barang. Jadi tetap perlu menerapkan semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat, namun masih belum bisa memberikan nilai kategori tinggi melainkan masih di 0,6 pada pernyataan nomor 3 tersebut. d. Pernyataan nomor 4 (empat) mendapatkan nilai pembobotan 0,7 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Tingkat keutamaannya sama dengan pernyataan
81
nomor 1, berdasarkan keterangan pihak auditee harus ada pengawasan dari petugas sekuriti untuk orang lain yang akan masuk ke wilayah aman, namun dirasa kurang optimal karena terkadang tidak memeriksa setiap orang lain selain karyawan yang masuk ke wilayah aman.
Jadi harus menerapkan
pengawasan terhadap orang yang akan ke wilayah aman namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 4 tersebut.
Tabel 4.9 Pembobotan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik (Physical security perimeter) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi (Bagian Off 1 PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 Administrasi & (KEAMANAN FISIK & LINGKUNGAN) Monitoring) Tanggal: 10-14 Januari 2015 Klausul 9.1 Wilayah Aman 9.1.1 Pembatasan keamanan fisik Kontrol : Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi.
Bobot No. 1. 2. 3. 4.
PERNYATAAN Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. Orang yang akan ke wilayah aman harus diawasi
Rendah (0,1-0,39)
Cukup (0,4-0,69)
Tinggi (0,7-1,0)
0,7 0,8 0,6 0,7
Pembobotan pada klausul 11 dengan kontrol 11.3.1 penggunaan password, didapatkan beberapa nilai dari pihak auditee yang disesuaikan dengan kondisi Desktop Management diantaranya yaitu :
82
a. Pernyataan nomor 1 (satu) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee, bahwa kesadaran dari diri sendiri untuk menjaga kerahasiaan password wajib dilakukan karena ditakutkan akan
disalahgunakan oleh
yang tidak
bertanggung jawab oleh karena itu diberikan nilai 1 dalam pernyataan nomor 1 tersebut. b. Pernyataan nomor 2 (dua) mendapatkan nilai 0,6 yang masuk kategori cukup dimana nilai tersebut mempunyai peranan cukup penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee masih belum ada sistem yg berbahaya, jadi tetap perlu menerapkan penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya namun masih belum bisa memberikan nilai kategori tinggi melainkan masih di 0,6 pada pernyataan nomor 2 tersebut. c. Pernyataan nomor 3 (tiga) mendapatkan nilai 0,8 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee dilarang membuat catatan password tanpa perlindungan, hal ini sangat penting namun tidak sempurna nilainya, dikarenakan terkadang masih ada beberapa yang mungkin tanpa sadar mencatat passwordnya di kertas. Jadi harus menerapkan larangan dalam pembuatan catatan password namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,8 dalam pernyataan nomor 3 tersebut. d. Pernyataan nomor 4 (empat) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam
83
proses sistem informasi. Berdasarkan keterangan dari pihak auditee, bahwa larangan untuk tidak membagi satu password kepada pengguna lain wajib dilakukan karena ditakutkan akan disalahgunakan oleh
yang tidak
bertanggung jawab oleh karena itu diberikan nilai 1 dalam pernyataan nomor 4 tersebut. e. Pernyataan nomor 5 (lima) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee terdapat pergantian password sementara setelah pertama kali log-on karena takut akan disalahgunakan oleh yang tidak bertanggung jawab sehingga pergantian password sementara pada saat pertama kali log-on lain wajib dilakukan, oleh karena itu diberikan nilai 1 dalam pernyataan nomor 5 tersebut. f. Pernyataan nomor 6 (enam) mendapatkan nilai 0,6 yang masuk kategori cukup dimana nilai tersebut mempunyai peranan cukup penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee untuk memilih password tentunya dengan pemilihan yang mudah diingat bagi setiap karyawan, jadi tetap perlu menerapkan pemilihan password secara berkualitas yang mudah diingat namun masih belum bisa memberikan nilai kategori tinggi melainkan masih di 0,6 pada pernyataan nomor 6 tersebut. g. Pernyataan nomor 7 (tujuh) mendapatkan nilai 0,7 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee terdapat perubahan sandi yang dilakukan secara berkala yaitu setiap 3 bulan sekali bukan dilakukan berdasarkan
jumlah
akses.
Jadi
harus
menerapkan
perubahan
kata
84
sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 7 tersebut.
Tabel 4.10 Pembobotan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi PEMBOBOTAN PERNYATAAN AUDIT (Bagian Off 1 KEAMANAN SISTEM INFORMASI KLAUSUL Administrasi & 11 (KONTROL AKSES) Monitoring) Tanggal: 6-7 Mei 2015 Klausul 11.3 Tanggung Jawab Pengguna (user) 11.3.1 Penggunaan password Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. Bobot No. PERNYATAAN Rendah Cukup Tinggi (0,1-0,39)
1. 2. 3. 4. 5. 6.
7.
Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya Terdapat larangan dalam pembuatan catatan password Terdapat larangan untuk tidak membagi satu password kepada pengguna lain Terdapat pergantian password sementara pada saat pertama kali log-on Terdapat pemilihan password secara berkualitas yang mudah diingat Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama
(0,4-0,69)
(0,7-1,0)
1 0,6 0,8 1 1 0,6
0,7
Dari hasil pembobotan untuk klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan (Disciplinary Process)) didapatkan pentingnya kedisiplinan pegawai untuk bagian Desktop Management, sehingga pihak Desktop Management harus lebih memperhatikan proses
85
kedisiplinan. Untuk klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik (Physical security perimeter)) didapatkan pentingnya pembatas keamanan fisik untuk bagian Desktop Management, sehingga pihak Desktop Management
harus lebih memperhatikan pembatas
keamanan fisik. Untuk klausul 11 (Sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password (Password Use)) didapatkan pentingnya penggunaan password untuk Desktop Management, sehingga pihak Desktop Management harus lebih memperhatikan penggunaan password. Pernyataan yang digunakan tersebut sesuai dengan permintaan auditee yang sebelumnya juga telah mengetahui nilai beserta makna dari tingkat kepentingan dalam pembobotan pernyataan dan juga menyesuaikan dengan kondisi sebenarnya pada bagian Desktop Management maka yang digunakan adalah tingkat resiko cukup/medium (0,4-0,69) dan tinggi/high (0,7-1,0). Apabila terdapat nilai yang tingkat resikonya rendah/low maka pihak auditee sepakat tidak menggunakannya karena berdasarkan tingkat kepentingan dalam pembobotan pernyataan, pernyataan tersebut mempunyai peranan kurang penting dalam proses sistem informasi. Hasil pembobotan dapat dilihat pada Tabel 4.11, Tabel 4.12, Tabel 4.13
dan
selengkapnya di Lampiran 5.
Tabel 4.11 Hasil Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process) Dengan Nilai Bobot Medium (0,4-0,69) dan High(0,7-1,0) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi HASIL PEMBOBOTAN PERNYATAAN (Bagian Off 1 AUDIT KEAMANAN SISTEM INFORMASI Administrasi & KLAUSUL 8 (KEAMANAN SUMBER DAYA Monitoring) MANUSIA) Tanggal: 10-16 Februari 2015 Klausul 8.2 Selama Menjadi Pegawai (During Employment)
86
8.2.3 Proses Kedisiplinan (Disciplinary Process) Kontrol : Aturan-aturan dan tanggung jawab keamanan dari pegawai, kontraktor dan pengguna pihak ketiga harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi. Bobot No. PERNYATAAN Rendah Cukup Tinggi (0,1-0,39)
1. 2. 3.
(0,4-0,69)
Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi
(0,7-1,0)
1 0,7 0,9
Tabel 4.12 Hasil Pembobotan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik (Physical security perimeter) Dengan Nilai Bobot Medium (0,4-0,69) dan High(0,7-1,0) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi (Bagian Off 1 HASIL PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 Administrasi & (KEAMANAN FISIK & LINGKUNGAN) Monitoring) Tanggal: 10-14 Januari 2015 Klausul 9.1 Wilayah Aman 9.1.1 Pembatasan keamanan fisik Kontrol : Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi.
Bobot No. 1. 2. 3. 4.
PERNYATAAN Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. Orang yang akan ke wilayah aman harus diawasi
Rendah (0,1-0,39)
Cukup (0,4-0,69)
Tinggi (0,7-1,0)
0,7 0,8 0,6 0,7
87
Tabel 4.13 Hasil Pembobotan Klausul 11 Dengan Objektif k Kontrol 11.3.1 (penggunaan password (Password Use)) Dengan Nilai Bobot Medium (0,4-0,69) dan High(0,7-1,0) Auditor: Dian Ayu P Auditee: Bpk Setiyobudi HASIL PEMBOBOTAN PERNYATAAN AUDIT (Bagian Off 1 KEAMANAN SISTEM INFORMASI KLAUSUL Administrasi & 11 (KONTROL AKSES) Monitoring) Tanggal: 6-7 Mei 2015 Klausul 11.3 Tanggung Jawab Pengguna (user) 11.3.1 Penggunaan password Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. Bobot No. PERNYATAAN Rendah Cukup Tinggi (0,1-0,39)
1. 2. 3. 4. 5. 6.
7.
4.2.5
Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya Terdapat larangan dalam pembuatan catatan password Terdapat larangan untuk tidak membagi satu password kepada pengguna lain Terdapat pergantian password sementara pada saat pertama kali log-on Terdapat pemilihan password secara berkualitas yang mudah diingat Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama
(0,4-0,69)
(0,7-1,0)
1 0,6 0,8 1 1 0,6
0,7
Hasil Pertanyaan Setelah melakukan pembobotan pernyataan langkah selanjutnya adalah
membuat pertanyaan. Pertanyaan yang dibuat mengacu pada pernyataan yang ada dimana satu pernyataan bisa memiliki lebih dari satu pertanyaan, hal tersebut dikarenakan setiap pertanyaan harus mewakili pernyataan pada saat dilakukan wawancara. Pertanyaan pada tabel didasarkan pada pernyataan yang telah
88
disesuaikan dengan standar ISO 27002. Beberapa pertanyaan pada klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (Proses Kedisiplinan (Disciplinary Process)), klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatasan keamanan fisik (Physical security perimeter)) dan klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password (Password Use)), dapat dilihat pada Tabel 4.14, Tabel 4.15, Tabel 4.16 dan untuk selengkapnya dapat dilihat pada Lampiran 6. Berdasarkan beberapa hasil pernyataan dari klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (Proses Kedisiplinan (Disciplinary Process)) maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu : a. Pada pernyataaan nomor 1 (satu), dibutuhkan data atau prosedur yang mengatur tentang kedisiplinan karyawan
maka didapatkan beberapa
pertanyaan seperti yang ada pada Tabel 4.14 nomor 1 (satu) b. Pada pernyataan nomor 2 (dua), dibutuhkan data pertimbangan kedisiplinan dengan melihat beberapa faktor maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 2 (dua) c. Pada pernyataan nomor 3 (tiga), dibutuhkan data yang mengatur tentang keamanan
informasi
khususnya
mengenai
pentingnya
untuk
tidak
menyebarluaskan password, serta data mengenai konsekuensi apabila terdapat karyawan yang tidak patuh pada prosedur perusahaan maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 3 (tiga)
89
Tabel 4.14 Hasil Pertanyaan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process) AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA) Klausul 8.2 Selama Menjadi Pegawai (During Employment) 8.2.3 Proses Kedisiplinan 1 Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan P: Apakah terdapat prosedur yang mengatur kedisiplinan para karyawan ? J: P: Apa saja isi dari prosedur tentang kedisiplinan karyawan tersebut? J: P: Apakah terdapat dokumentasi yang mengatur kedisiplinan karyawan? J: 2
Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa factor P: Apakah terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi sebagai bentuk suatu kesadaran pegawai dalam mengamankan informasi? J: P: Apa saja isi dari pertimbangan pendisiplinan formal tersebut dengan melihat beberapa faktor? J: P: Apakah terdapat dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai? J:
3
Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi P: Apakah seluruh karyawan harus mematuhi serta melaksanakan seluruh aturan dan prosedur keamanan sistem informasi yang terdapat pada perusahaan? J: P: Apakah karyawan tidak diperbolehkan menyebar atau memberikan informasi yang bersifat internal ? misalkan menyebarkan username dan password kepada rekan lain meskipun setiap jobdesk masing masing karyawan berbeda? J: P: Selama ini apakah pernah terjadi beberapa karyawan yang mengabaikan prosedur keamanan informasi tersebut? J: P: Lalu apa konsekuensi yang tepat bagi karyawan yang mengabaikan , bahkan
90
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA) Klausul 8.2 Selama Menjadi Pegawai (During Employment) 8.2.3 Proses Kedisiplinan melanggar prosedur keamanan sistem informasi yang telah ditetapkan oleh perusahaan? J: P: Apakah ada dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password tersebut pak? J:
Berdasarkan beberapa hasil pernyataan dari klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (Pembatasan Keamanan Fisik (Physical security perimeter)) maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu : a. Pada pernyataaan nomor 1 (satu), dibutuhkan kepastian bahwa batas perimeter yang terdapat pada tempat fasilitas informasi benar benar terjamin keamanannya sesuai standar keamanan serta dibutuhkan data atau prosedur keamanan yang mengatur tentang batas fisik tersebut, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 1 (satu) b. Pada pernyataan nomor 2 (dua), dibutuhkan kepastian bahwa akses menuju tempat kerja dan pada saat di tempat kerja harus terjamin keamanannya dengan membatasi personil yang memiliki otorisasi saja yang diperbolehkan masuk selain itu dibutuhkan data yang mengatur akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 2 (dua)
91
c. Pada pernyataan nomor 3 (tiga), dibutuhkan kepastian bahwa seluruh pintu darurat dalam batas perimeter keamanan harus tertutup rapat dan dalam pengawasan pihak keamanan yang bersangkutan, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 3 (tiga) d. Pada pernyataan nomor 4 (empat), dibutuhkan kepastian bahwa orang yang akan ke wilayah aman benar benar harus diawasi dan terjamin keamanannya, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 4 (empat)
Tabel 4.15 Hasil Pertanyaan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik (Physical security perimeter) AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman (Secure Areas) 9.1.1 Pembatas keamanan fisik 1 Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik P: Batas fisik seperti apakah yang terdapat di dalam ruangan Desktop Management untuk melindungi pemrosesan informasi yang sedang berlangsung dan bagaimana gambaran keamanan sebelum masuk menuju ruang Desktop?) J: P: Apakah batas fisik tersebut terjamin keamanannya secara optimal untuk melindungi kegiatan pemrosesan informasi yang sedang berlangsung? J: P: Apakah batas fisik tersebut telah dibuat sesuai standar keamanan yang layak? Terbuat dari bahan apakah pembatas fisik tersebut? J: P: Apakah ada prosedur keamanan yang mengatur tentang batas fisik tersebut? J: P: Pada ruangan Desktop Management ini terdapat kaca yang memiliki pandangan keluar gedung, apakah kaca tersebut terbuat dengan bahan yang kuat dan tidak mudah pecah untuk pencegahan huru hara, apakah kaca tersebut tahan peluru atau tidak? (apabila di lantai dasar maka ideal apabila diproteksi dengan kaca anti peluru) dan
92
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman (Secure Areas) 9.1.1 Pembatas keamanan fisik dilindungi dari cahaya matahari yang menyengat J: P: Selama ini apakah pernah terjadi insiden penembakan di daerah ruang Desktop Management? Apakah ada standar khusus untuk kaca harus terbuat dari apa untuk ruang Desktop Management ini? J: 2
Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. P: Siapakah yang menempati ruangan pemrosesan informasi di sini? J: P: Perlindungan seperti apakah yang digunakan untuk melindungi tempat kerja yang khusus hanya personil dengan otorisasi saja yang boleh masuk?(pintu,kartu akses,penjaga pintu,dll) J: P: Apakah terdapat cctv (close circuit tele vision) yang ditempatkan di lokasi yang ideal untuk merekam keluar masuknya karyawan? Apakah di dalam ruang kerja atau pemrosesan informasi juga ada cctv? J: P: Apakah ada dokumen yang mengatur bahwa untuk akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi? J:
3
Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. P: Apakah pintu darurat telah dipasang sesuai standar keamanan dan tertutup rapat? J: P: Standar yang dimaksud di sini seperti apa pak? Mungkin bisa dijelaskan? (missal kalau pintu darurat, khusus pintu darurat harus memiliki criteria khusus bahwa pegangan pintunya harus terbuat dari bahan apa dan bentuknya harus seperti apa, dll) J: P: Bagaimana kontrol pengawasan apabila terjadi bencana mendadak seperti kebakaran, banjir atau gempa? J: P: Apakah setiap karyawan mengetahui di mana saja pintu darurat berada?
93
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Klausul 9.1 Wilayah Aman (Secure Areas) 9.1.1 Pembatas keamanan fisik J: P: Apakah pintu darurat tersebut hanya dapat dibuka dari dalam atau juga dapat dibuka dari luar? (Kalaupun dapat dibuka dari luar , hanya dengan menggunakan kunci yang dimiliki oleh orang-orang yang telah ditunjuk misalnya personal keamanan gedung) J: 4
Orang yang akan ke wilayah aman harus diawasi P: Apakah ada persyaratan khusus untuk orang lain selain karyawan yang akan mengunjungi wilayah aman? Seperti apakah persyaratan tersebut? J: P: Apakah ada pencatatan khusus apabila ada yang keluar masuk ruangan Desktop Management? J: P: Adakah cctv yang mengawasi siapa saja yang masuk dan keluar ke wilayah aman? J:
Berdasarkan beberapa hasil pernyataan dari klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (Penggunaan Password (Password Use)) maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu : a. Pada pernyataaan nomor 1 (satu), dibutuhkan kepastian bahwa karyawan telah memiliki kesadaran dalam menjaga passwordnya masing masing maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 1 (satu) b. Pada pernyataan nomor 2 (dua), dibutuhkan kepastian bahwa karyawan telah melakukan pergantian password pada saat sistem atau password dalam
94
keadaan bahaya maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 2 (dua) c. Pada pernyataan nomor 3 (tiga), dibutuhkan kepastian bahwa karyawan tidak membuat catatan password tanpa perlindungan enkripsi maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 3 (tiga) d. Pada pernyataan nomor 4 (empat), dibutuhkan kepastian bahwa karyawan tidak membagi satu password yang dimillikinya kepada orang lain maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 4 (empat) e. Pada pernyataan nomor 5 (lima), dibutuhkan kepastian bahwa karyawan telah melakukan penggantian password pada saat pertama kali log-on maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 5 (lima) f. Pada pernyataan nomor 6 (enam), dibutuhkan kepastian bahwa karyawan telah memilih password yang berkualitas dan mudah diingat maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 5 (lima) g. Pada pernyataan nomor 7 (tujuh), dibutuhkan kepastian bahwa karyawan telah melakukan perubahan password secara berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 6 (enam)
Tabel 4.16 Hasil Pertanyaan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan password (Password Use) AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES) Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan password
95
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES) Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan password 1 Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password P: Apakah karyawan Desktop Management telah menyadari mengenai pentingnya kerahasiaan password masing-masing? J: P: Apakah ada perintah tertulis yang menangani pentingnya menjaga kerahasiaan password? J: 2
Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya P: Apakah karyawan yang bersangkutan sering melakukan pergantian password jika dirasa sistem dalam keadaan bahaya? J: P: Apakah ada pencatatan perintah dalam pergantian password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya? J:
3
Terdapat larangan dalam pembuatan catatan password P: Apakah ada larangan dalam pembuatan catatan password? J: P: Siapa yang membuat larangan pembuatan catatan password? J: P: Apakah karyawan memiliki metode penyimpanan yang aman dalam peletakan passwordnya? J:
4
Terdapat larangan untuk tidak membagi satu password kepada pengguna lain P: Apakah ada larangan agar tidak membagi satu password kepada pengguna lain? J: P: Apakah karyawan pernah melakukan penyebaran password individu kepada karyawan lain atau orang lain? J: P: Berdasarkan kuesioner terdahulu, apabila sudah ada yang mengatur bahwa tidak diperbolehkan membagi password, lantas mengapa masih ada saja yang melanggar prosedur tersebut pak? J:
96
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES) Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan password P: Apakah terdapat konsekuensi khusus apabila karyawan tersebut melakukan penyebaran password kepada karyawan lain? J: 5
Terdapat pergantian password sementara pada saat pertama kali log-on P: Apakah terdapat pergantian password sementara? J: P: Apakah pergantian password sementara tersebut digunakan saat pertama kali logon? J:
6
Terdapat pemilihan password secara berkualitas yang mudah diingat P: Apakah karyawan memilih password yang mudah diingat? Apakah password dipilih berdasarkan tgl lahir, nama karyawan atau secara acak? J: P: Apakah password yang digunakan sudah tidak menggunakan informasi yang mudah ditebak oleh orang lain? J: P: Apakah password yang digunakan sudah teracak dengan baik antara nomor dan alphabet? J: P: Apakah terdapat dokumentasi khusus mengenai cara pemilihan kata sandi yang berkualitas? J:
7
Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama P: Berapa kali karyawan melakukan perubahan kata sandi/password? J: P: Apakah perubahan kata sandi dilakukan secara berkala? J: P: Apakah perubahan kata sandi sudah dilakukan berdasarkan jumlah akses dilakukan? J: P: Apakah sandi yang lama sudah dipastikan tidak dipergunakan kembali? J:
97
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES) Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan password
4.3
Hasil Pelaksanaan Audit Keamanan Sistem Informasi Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. Melakukan
wawancara, 2. Melakukan proses pemeriksaan data, 3. Penyusunan daftar temuan audit keamanan sistem informasi dan rekomendasi. Tahap ini akan menghasilkan temuan dan bukti, dokumen wawancara, hasil daftar temuan dan rekomendasi audit. 4.3.1
Hasil Wawancara Pada proses wawancara, auditor melakukan wawancara berdasarkan
pertanyaan yang telah dibuat. Wawancara dilakukan berdasarkan pertanyaan yang telah dibuat oleh auditor. Wawancara ditujukan kepada beberapa pihak yang terkait didalamnya yaitu pihak auditee dengan jabatan officer 1 administrasi dan monitoring, serta dua rekan dari pihak auditee lainnya yang ikut membantu dalam proses wawancara yaitu bagian officer 2 administrasi dan monitoring dan bagian officer 1 Desktop Operation dan Lisensi, pemetaan wawancara dan kewenangan dari setiap orang yang diwawancarai terdapat pada Tabel 4.17. Beberapa contoh hasil wawancara terdapat pada klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (Proses Kedisiplinan
(Disciplinary Process)),
klausul 9 (Sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (Pembatasan Keamanan Fisik (Physical security perimeter)) dan klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password (Password
98
Use)) dapat dilihat pada Tabel 4.18, Tabel 4.19, Tabel 4.20 dan selengkapnya pada Lampiran 7.
No.
1.
2.
3.
Tabel 4.17 Pemetaan Wawancara dengan Beberapa Narasumber Pemetaan Wawancara dengan Beberapa Narasumber Bagian/ Kewenangan Tanggal Wawancara Narasumber Bagian Officer 2 administrasi dan monitoring yang memiliki kewenangan kewenangan Wawancara dalam pelaksanaan mengenai proses pengadministrasian dan perencanaan audit monitoring Seat yang meliputi profil Management dalam perusahaan, visi 24 Oktober rangka memenuhi dan misi PT Telkom, Agus Widodo 2012 – 24 mencatat kebutuhan profil Desktop NIK : 631174 Oktober 2013 sarana kerja desktop Management, secara akurat. Serta struktur organisasi memiliki kewenangan Desktop dalam melaksanakan Management dan instalasi desktop deskripsi pekerjaan management di pengguna dan menjamin validasi data pengguna setiap bulan Bagian Officer 1 Desktop Operation dan Lisensi memiliki kewenangan dalam pelaksanaan lisensi software dan problem Wawancara alur solving desktop. Serta 10 Desember Uyud Warsono proses bisnis memiliki kewenangan 2012 NIK : 630360 perusahaan dalam memastikan masalah desktop management di pengguna tersolusikan dan memastikan operasional desktop berjalan lancar Wawancara mulai Bagian Officer 1 dari persiapan administrasi dan audit, pelaksanaan monitoring memiliki 7 Agustus audit dan pelaporan kewenangan dalam Setiyobudi Eko N 2014 -31 Juli audit pelaksanaan NIK : 611283 2015 pengadministrasian dan Persiapan Audit monitoring Seat meliputi Management dalam - Penyampaian rangka memenuhi dan
99
No.
Pemetaan Wawancara dengan Beberapa Narasumber Bagian/ Kewenangan Tanggal Wawancara Narasumber kebutuhan data mencatat kebutuhan audit sarana kerja desktop - Melakukan secara akurat. Serta pembobotan memiliki kewenangan pernyataan audit dalam menjamin Pelaksanaan Audit ketersediaan perangkat meliputi desktop di seluruh - Wawancara audit wilayah Indonesia dan - Konfirmasi memonitor penyelesaian temuan dan delivery di seluruh rekomendasi audit wilayah Indonesia. Pelaporan Audit - Permintaan tanggapan dan rekomendasi atas daftar temuan audit
Tabel 4.18 Hasil Wawancara Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process) Auditor : Dian Ayu P Auditee : Bpk Setiyobudi AUDIT KEAMANAN SISTEM INFORMASI (Bagian Off 1 KLAUSUL 8 (KEAMANAN SUMBER DAYA Administrasi & MANUSIA) Monitoring) Tanggal : 5 – 29 Januari 2015 Klausul 8.2 Selama Menjadi Pegawai (During Employment) 8.2.3 Proses Kedisiplinan 1 Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan P: Apakah terdapat prosedur yang mengatur kedisiplinan para karyawan ? J: Ada P: Apa saja isi dari prosedur tentang kedisiplinan karyawan tersebut? J: antara lain Disiplin Dasar mengenai Karyawan P: Apakah terdapat dokumentasi yang mengatur kedisiplinan karyawan? J: Ada di HRC 2
Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor P: Apakah terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi? J: Ada P: Apa saja isi dari pertimbangan pendisiplinan formal tersebut dengan melihat
100
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)
Auditor Auditee
Tanggal Klausul 8.2 Selama Menjadi Pegawai (During Employment) 8.2.3 Proses Kedisiplinan beberapa faktor? J: Terdapat pada dokumen Disiplin Dasar Pegawai
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 5 – 29 Januari 2015
P: Apakah terdapat pendokumentasian khusus mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai? J: Dokumentasi bersifat Rahasia ada di HRC, tapi yang saya tahu ada beberapa macam jenis konsekuensi mengenai kedisiplinan yaitu apabila pelanggaran yang dilakukan karyawan dalam tingkatan rendah maka hanya akan ditegur, kalau tingkat pelanggarannya sedang maka akan diberikan nota dinas mengenai kedisiplinan dan apabila pelanggaran dalam tingkat yang tinggi maka karyawan tersebut bisa dikeluarkan dari perusahaan. 3
Terdapat konsekuensi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi P: Apakah seluruh karyawan harus mematuhi serta melaksanakan seluruh aturan dan prosedur keamanan sistem informasi yang terdapat pada perusahaan? J: Mematuhi P: Apakah karyawan tidak diperbolehkan menyebar atau memberikan informasi yang bersifat internal ? misalkan menyebarkan username dan password kepada rekan lain meskipun setiap jobdesk masing masing karyawan berbeda? J: Tidak Diijinkan P: Selama ini apakah pernah terjadi beberapa karyawan yang mengabaikan prosedur keamanan informasi tersebut? J: Pernah, yaitu menitipkan password P: Lalu apa sanksi yang tepat bagi karyawan yang mengabaikan , bahkan melanggar prosedur keamanan sistem informasi yang telah ditetapkan oleh perusahaan? J: Sejauh ini masih dalam teguran lisan P: Apakah ada dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password tersebut pak? J: Ada. Di KD 57 Bab VIII pasal 34 ayat 4(d), tentang alokasi password harus dikelola untuk memaksimumkan perlindungan terhadap sistem
101
Tabel 4.19 Hasil Wawancara Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik (Physical security perimeter) Auditor : Dian Ayu P Auditee : Bpk Setiyobudi AUDIT KEAMANAN SISTEM (Bagian Off 1 INFORMASI KLAUSUL 9 (KEAMANAN Administrasi & FISIK & LINGKUNGAN) Monitoring) Tanggal : 5 September – 16 Desember 2014 Klausul 9.1 Wilayah Aman (Secure Areas) 9.1.1 Pembatas keamanan fisik 1 Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik P: Batas fisik seperti apakah yang terdapat di dalam ruangan Desktop Management untuk melindungi pemrosesan informasi yang sedang berlangsung dan bagaimana gambaran keamanan sebelum masuk menuju ruang Desktop? (disertai foto,ukuran batas fisik tersebuut) J: Batas fisik berupa sekat dengan bahan playwood seperti yang terdapat di foto di bawah ini
Untuk gambaran umum keamanan sebelum masuk menuju ruang Desktop yaitu sebelum menuju ke ruang Desktop harus melalui resepsionist (Front Desk) terlebih dahulu untuk mengisi buku kunjungan sesuai keperluan. Setelah itu melewati pintu akses untuk masuk ke ruang ISSSM (Information System Service Support Management), pegawai resepsionist memiliki kartu akses yang khusus hanya untuk memasukkan tamu ke ruang ISSSM. Karena tidak ada pintu khusus untuk memasuki ruang Desktop Management jadi langsung menuju ke ruangan tersebut. Berikut foto dari ruang resepsionist sampai ke ruang Desktop Management.
102
Auditor Auditee AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Tanggal
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 5 September – 16 Desember 2014
Klausul 9.1 Wilayah Aman (Secure Areas) 9.1.1 Pembatas keamanan fisik
P: Apakah batas fisik tersebut terjamin keamanannya secara optimal untuk melindungi kegiatan pemrosesan informasi yang sedang berlangsung? J: Aman. P: Apakah batas fisik tersebut telah dibuat sesuai standar keamanan yang layak? Terbuat dari bahan apakah pembatas fisik tersebut? J: Sudah sesuai. P: Apakah ada dokumen atau prosedur keamanan yang mengatur tentang batas fisik tersebut? J: Iya ada prosedurnya, yaitu di dokumen keputusan Direksi Perusahaan Perseroan (PERSERO) PT Telekomunikasi Indonesia, Tbk. Nomor : KD.57/HK-290/ITS30/2006 di Bab VI ((Sekuriti Fisik dan Lingkungan Aset Informasi), pasal 16(Area Aman) ayat 1)). P: Pada ruangan Desktop Management ini terdapat kaca yang memiliki pandangan keluar gedung, apakah kaca tersebut terbuat dengan bahan yang kuat dan tidak mudah pecah untuk pencegahan huru hara, apakah kaca tersebut tahan peluru atau tidak?
103
Auditor Auditee AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Tanggal
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 5 September – 16 Desember 2014
Klausul 9.1 Wilayah Aman (Secure Areas) 9.1.1 Pembatas keamanan fisik (apabila di lantai dasar maka ideal apabila diproteksi dengan kaca anti peluru) dan dilindungi dari cahaya matahari yang menyengat J: Kaca tidak tahan peluru , namun kalau hanya lemparan batu batu kecil masih kuat kacanya. P: Selama ini apakah pernah terjadi insiden penembakan di daerah ruang Desktop Management? Apakah ada standar khusus untuk kaca harus terbuat dari apa untuk ruang Desktop Management ini? J: Tidak ada 2
Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. P: Siapakah yang menempati ruangan pemrosesan informasi di sini? J: GM (General Manager) dan staff. P: Perlindungan seperti apakah yang digunakan untuk melindungi tempat kerja yang khusus hanya personil dengan otorisasi saja yang boleh masuk?(pintu,kartu akses,penjaga pintu,dll) J: Setiap karyawan memilki kartu akses. Kartu akses tersebut dapat digunakan karyawan untuk masuk ke beberapa ruangan yang bisa dimasuki oleh orang orang tertentu saja. Dan di dekat pintu masuk juga ada ruang security yang dijaga oleh bagian keamanan. P: Apakah terdapat cctv (close circuit tele vision) yang ditempatkan di lokasi yang ideal untuk merekam keluar masuknya karyawan? Apakah di dalam ruang kerja atau pemrosesan informasi juga ada cctv? J: Hanya di ruang tertentu saja terdapat cctv, pada ruangan kerja tidak ada cctv. P: Apakah ada dokumen yang mengatur bahwa untuk akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi? J: Sesuai dengan dokumen KD 57 Bab VI (Sekuriti Fisik dan Lingkungan Aset Informasi), pasal 16(Area Aman), ayat 2
3
Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. P: Apakah pintu darurat telah dipasang sesuai standar keamanan dan tertutup rapat? J: Iya, sudah sesuai standar. P: Standar yang dimaksud di sini seperti apa pak? Mungkin bisa dijelaskan? (misal
104
Auditor Auditee AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Tanggal
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 5 September – 16 Desember 2014
Klausul 9.1 Wilayah Aman (Secure Areas) 9.1.1 Pembatas keamanan fisik kalau pintu darurat, khusus pintu darurat harus memiliki criteria khusus bahwa pegangan pintunya harus terbuat dari bahan apa dan bentuknya harus seperti apa, dll) J: Terbuat dari besi, lebarnya kurang lebih 90cm, tingginya 200cm dan langsung menuju tangga darurat dan juga bisa menuju pintu darurat yang terhubung langsung dengan halaman luar kantor.
P: Bagaimana kontrol pengawasan apabila terjadi bencana mendadak seperti kebakaran, banjir atau gempa? J: Masih manual, apabila terjadi suatu bencana yang tidak diinginkan maka barang atau fasilitas yang sekiranya bisa diamankan , langsung diamankan dengan cara diangkut atau dibawa oleh para karyawan ke area yang lebih aman. P: Apakah setiap karyawan mengetahui di mana saja pintu darurat berada? J: Iya , semua karyawan pasti tahu. Letaknya skitar 18m dari sini dan menyambung ke
105
Auditor Auditee AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN) Tanggal
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 5 September – 16 Desember 2014
Klausul 9.1 Wilayah Aman (Secure Areas) 9.1.1 Pembatas keamanan fisik tangga darurat. P: Apakah pintu darurat tersebut hanya dapat dibuka dari dalam atau juga dapat dibuka dari luar? (Kalaupun dapat dibuka dari luar , hanya dengan menggunakan kunci yang dimiliki oleh orang-orang yang telah ditunjuk misalnya personal keamanan gedung) J: Pintu darurat dapat dibuka dari dalam dan dari luar. Namun yang dari luar kuncinya hanya dipegang oleh security. Pintu daruratnya terkadang rusak, karena digunakan untuk keluar masuknya barang, harusnya digunakan saat darurat saja. 4
Orang yang akan masuk ke wilayah aman harus diawasi P: Apakah ada persyaratan khusus untuk orang lain selain karyawan yang akan mengunjungi wilayah aman? Seperti apakah persyaratan tersebut? J: Ada. Orang tersebut harus menemui resepsionist – ditanyai dulu apa keperluannya lalu diarahkan oleh resepsionis ke masing-masing unit yang bersangkutan – menitipkan KTP – lalu diberi kartu visitor yang akan dikenakan sampai selesai urusannya , lalu kartu visitor dikembalikan kepada resepsionis dan KTP akan dikembalikan kepada yang bersangkutan. P: Apakah ada pencatatan khusus apabila ada yang keluar masuk ruangan Desktop Management? J: Ada. Di buku kunjungan yang terdapat pada resepsionis.
P: Adakah cctv yang mengawasi siapa saja yang masuk dan keluar ke wilayah aman? J: Cctv ada di pintu utama, di pintu yang menuju ruang kerja Desktop Management tidak ada.
106
Tabel 4.20 Hasil Wawancara Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use) Auditor : Dian Ayu P Auditee : Bpk Setiyobudi (Bagian Off 1 AUDIT KEAMANAN SISTEM INFORMASI Administrasi & KLAUSUL 11 (KONTROL AKSES) Monitoring) Tanggal : 2 Maret – 31 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan password 1 Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password P: Apakah karyawan Desktop Management telah menyadari mengenai pentingnya kerahasiaan password masing-masing? J: Sudah P: Apakah ada perintah tertulis yang memberitahukan pada karyawan tentang pentingnya menjaga kerahasiaan password? J: Ada, yaitu berupa larangan menyebarkan password. Di dokumen KD 57 Bab VIII Pasal 34 ayat (4)d 2
Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya P: Apakah karyawan yang bersangkutan sering melakukan pergantian password jika dirasa sistem dalam keadaan bahaya? J: Selama ini masih belum melakukan pergantian password, karena masih belum ada sistem yang berbahaya P: Apakah terdapat aturan secara tertulis atau secara lisan mengenai perintah pergantian sandi setiap kali ada kemungkinan keadaan bahaya? J: Kalau memang ada perintah ya biasanya secara lisan
3
Terdapat larangan dalam pembuatan catatan password P: Apakah ada larangan dalam pembuatan catatan password di laptop kerja tanpa perlindungan khusus? J: Ada P: Siapa yang membuat larangan pembuatan catatan password tersebut? J: Pihak direksi, larangan tersebut terdapat di dokumen KD 57 Pasal 34 ayat (4)k P: Apakah karyawan memiliki metode penyimpanan yang aman dalam peletakan passwordnya? J: Iya , melalui perangkat pribadi masing masing, seperti perangkat mobile
4
Terdapat larangan untuk tidak membagi satu password kepada pengguna lain P: Apakah ada larangan agar tidak membagi satu password kepada pengguna lain? J: Iya ada
107
Auditor Auditee AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 2 Maret – 31 Juli 2015
Tanggal Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan password P: Apakah karyawan pernah melakukan penyebaran password individu kepada karyawan lain atau orang lain? J: Pernah, yaitu saling menitipkan password P: Berdasarkan kuesioner terdahulu, apabila sudah ada yang mengatur bahwa tidak diperbolehkan membagi password, lantas mengapa masih ada saja yang melanggar prosedur tersebut pak? J: Kalau sadar akan pentingnya password sudah menyadari namun tingkat kedisiplinan para karyawan yang masih kurang akan hal tersebut P: Apakah terdapat konsekuensi khusus apabila karyawan tersebut melakukan penyebaran password kepada karyawan lain? J: Sampai saat ini masih dalam teguran secara lisan saja, masih belum ada konsekuensi yang khusus 5
Terdapat pergantian password sementara pada saat pertama kali log-on P: Apakah terdapat pergantian password sementara? J: Iya ada P: Apakah pergantian password sementara tersebut digunakan saat pertama kali logon? J: iya betul, wajib dilakukan agar terjaga keamanan informasinya. Seperti aplikasi cnemas, absensi, poin serta portal menggunakan pergantian password sementara dan wajib diterapkan karena untuk keamanan informasi
6
Terdapat pemilihan password secara berkualitas yang mudah diingat P: Apakah karyawan memilih password yang mudah diingat? Apakah password dipilih berdasarkan tgl lahir, nama karyawan atau secara acak? J: Iya sudah memilih yang mudah diingat dan tidak berdasarkan tanggal lahir maupun nama P: Apakah password yang digunakan sudah tidak menggunakan informasi yang mudah ditebak oleh orang lain? J: Tidak P: Apakah password yang digunakan sudah teracak dengan baik antara nomor dan alphabet? J: Sudah
108
Auditor Auditee AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 2 Maret – 31 Juli 2015
Tanggal Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan password P: Apakah terdapat dokumentasi khusus mengenai cara pemilihan kata sandi yang berkualitas? J: Ada di dokumen KD 57 pasal 34 ayat (4)f 7
Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama P: Apakah perubahan kata sandi dilakukan secara berkala? J: Iya P: Berapa kali karyawan melakukan perubahan kata sandi/password? J: Setiap 3 bulan sekali P: Apakah perubahan kata sandi sudah dilakukan berdasarkan jumlah akses dilakukan? J: Tidak P: Apakah sandi yang lama sudah dipastikan tidak dipergunakan kembali? J: Sandi yang lama sudah tidak bisa dipakai lagi
4.3.2
Hasil Pemeriksaan Data Setiap langkah pemeriksaan yang ada dalam program audit dilaksanakan
oleh auditor TI dengan menggunakan satu atau lebih teknik audit yang sesuai dan disertai data /bukti pendukung yang memadai / mencukupi. Wawancara dan observasi dilakukan untuk mendapatkan bukti atau temuan mengenai fakta terkait dengan masalah yang ada. Bukti-bukti tersebut berupa foto, dokumen, rekaman dan data. Beberapa contoh dokumen pemeriksaan pada klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (Proses Kedisiplinan (Disciplinary Process)), klausul 9 (Sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (Pembatasan Keamanan Fisik (Physical security perimeter))
109
dan klausul 11 (Sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password) dapat dilihat pada Tabel 4.21, Tabel 4.22 dan Tabel 4.23 untuk Tabel bukti foto, dokumen dan rekaman selengkapnya dapat dilihat pada Lampiran 12, untuk dokumen pemeriksaan data audit di Lampiran 8.
Tabel 4.21 Hasil Pemeriksaan Data Pada Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process) Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh PROGRAM PEMERIKSAAN Sutanto AUDIT KEAMANAN SISTEM Auditor : Dian Ayu P INFORMASI ASPEK : Auditee : Bpk Setiyobudi (Bagian Off 1 KLAUSUL 8 (KEAMANAN Administrasi & Monitoring) SUMBER DAYA MANUSIA) Tanggal : 9 Maret- 12 April 2015 Klausul 8.2 Selama Menjadi Pegawai 8.2.3 Proses kedisiplinan No. Pemeriksaan Catatan Auditor Catatan Review 1. Identifikasi mengenai Telah diperiksa bahwa Ada dokumen yang prosedur yang mengatur terdapat prosedur yang mengatur kedisiplinan kedisiplinan seluruh mengatur kedisiplinan para karyawan namun karyawan para karyawan yaitu keberadaan dokumennya Dengan cara antara lain, Disiplin di HRC Bandung. 1. Wawancara Dasar mengenai 2. Dapatkan dokumentasi Karyawan. Namun yang mengatur dokumentasinya ada di kedisiplinan karyawan HRC kota Bandung. 2. Identifikasi mengenai Telah diperiksa bahwa Dokumentasi yang pertimbangan kedisiplinan terdapat pertimbangan bersangkutan terdapat di formal dengan melihat faktor pendisiplinan HRC kota Bandung dan beberapa faktor mengenai pelanggaran bersifat privat Dengan cara keamanan sistem 1. Wawancara informasi. Isi dari 2. Dapatkan dokumentasi pertimbangan tersebut mengenai pertimbangan adalah tentang yang dilakukan jika ada “Disiplin Dasar pelanggaran pada Pegawai”. pegawai Untuk dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai terdapat di HRC kota Bandung dan bersifat privat.
110
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA) Klausul 8.2 Selama Menjadi Pegawai 8.2.3 Proses kedisiplinan No. Pemeriksaan 3. Identifikasi mengenai sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi Dengan cara 1. Wawancara 2. Dokumentasi tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password
Pemeriksa Auditor Auditee Tanggal
: Bpk Erwin Sutomo/Bpk Teguh Sutanto : Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 9 Maret- 12 April 2015
Catatan Auditor Telah diperiksa bahwa karyawan kurang mematuhi aturan dan prosedur keamanan sistem informasi. Meskipun tidak diijinkan menyebar atau memberikan informasi yang bersifat internal seperti password contohnya, tetapi terdapat beberapa karyawan yang mengabaikan prosedur tersebut yaitu dengan menitipkan password kepada rekan lain. Terdapat dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password yaitu di dokumen KD 57 Bab VIII pasal 34 ayat 4(d), namun hanya teguran lisan saja dan tidak ada dokumen yang mengatur apabila karyawan mengabaikan prosedur tersebut.
Catatan Review Terdapat temuan bahwa masih terdapat karyawan yang tidak mematuhi prosedur yang sudah ada di perusahaan, yaitu saling menitipkan password kepada rekan lain meskipun mereka tau hal tersebut dilarang dan sudah disebutkan jelas dalam dokumen KD 57 Bab VIII pasal 34 ayat 4(d) .
111
Tabel 4.22 Hasil Pemeriksaan Data Pada Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik (Physical security perimeter) Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh PROGRAM PEMERIKSAAN Sutanto AUDIT KEAMANAN SISTEM Auditor : Dian Ayu P INFORMASI ASPEK : Auditee : Bpk Setiyobudi (Bagian Off 1 KLAUSUL 9 (KEAMANAN Administrasi & Monitoring) FISIK & LINGKUNGAN) Tanggal : 13 April – 18 Mei 2015 Klausul 9.1 Wilayah Aman (Secure Area) 9.1.1 Pembatasan keamanan fisik No. Pemeriksaan Catatan Auditor Catatan Review 1. Identifikasi batas perimeter Telah diperiksa bahwa Terdapat batas fisik di yang jelas pada tempat ada batas fisik yang dalam ruangan kerja fasilitas informasi yang aman terdapat di dalam desktop management secara fisik ruangan Desktop yang terbuat dari bahan Dengan cara Management yaitu playwood dan ada 1. Wawancara berupa sekat yang dokumen yang mengatur 2. Dapatkan dokumen atau terbuat dari playwood. tentang standar batas prosedur keamanan yang Namun dalam tiap fisik tersebut yaitu di mengatur tentang batas bagian belum terdapat dokumen KD 57. fisik tersebut pintu khusus untuk 3. Survey menuju masing masing ruangan. Terdapat kaca yang memiliki pandangan keluar gedung, dan terdapat pintu akses sebelum menuju ruang ISSSM yang di mana di dalamnya terdapat ruang Desktop Management. Adapun dokumen yang mengatur batas keamanan fisik yaitu di dokumen KD 57 Bab VI pasal 16 ayat 1. 2.
Identifikasi akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi Dengan cara 1. Wawancara 2. Dapatkan dokumen yang mengatur bahwa untuk akses menuju tempat
Telah diperiksa bahwa setiap karyawan memiliki kartu akses untuk dapat masuk ke beberapa ruangan yang hanya bisa dimasuki oleh orang orang tertentu saja jadi tidak sembarang orang dapat
Untuk menuju ke tempat tempat tertentu yang hanya dimasuki orang yang memiliki otorisasi, karyawan telah diberi kartu akses.
112
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN)
Pemeriksa Auditor Auditee
: Bpk Erwin Sutomo/Bpk Teguh Sutanto : Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 13 April – 18 Mei 2015
Tanggal Klausul 9.1 Wilayah Aman (Secure Area) 9.1.1 Pembatasan keamanan fisik No. Pemeriksaan Catatan Auditor Catatan Review kerja dibatasi hanya memasuki ruang untuk personil dengan Desktop Management. otorisasi Yang menempati ruang Desktop Management ini adalah GM (Genderal Manager) dan staff. Terdapat dokumen yang mengatur untuk akses menuju tempat kerja yaitu di dokumen KD 57 Bab VI pasal 16 ayat 2. Tidak terdapat cctv (close circuit tele vision) khusus di ruang kerja Desktop Management ini. 3.
Identifikasi pintu darurat dalam batas parimeter keamanan harus dipasang sesuai standar Dengan cara 1. Wawancara 2. Survey
Telah diperiksa bahwa terdapat pintu darurat yang dipasang sesuai standar keamanan yang terbuat dari besi dan tertutup rapat. Semua karyawan telah mengetahui lokasi pintu darurat tersebut. Pintu darurat terkadang rusak karena pernah digunakan untuk keluar masuknya barang ke ruang Desktop atau ke ruang lainnya di ISSSM. Untuk kontrol pengawasan fisik apabila terjadi bencana
Terdapat temuan bahwa ada pintu darurat namun terkadang rusak dikarenakan pernah digunakan untuk akses keluar masuknya barang.
113
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN)
Pemeriksa Auditor Auditee
: Bpk Erwin Sutomo/Bpk Teguh Sutanto : Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 13 April – 18 Mei 2015
Tanggal Klausul 9.1 Wilayah Aman (Secure Area) 9.1.1 Pembatasan keamanan fisik No. Pemeriksaan Catatan Auditor mendadak dilakukan secara manual, yaitu langsung menyelamatkan fasilitas kantor yang bisa diselamatkan dengan cara diangkat langsung dan membawa ke tempat yang lebih aman. 4. Identifikasi orang yang akan Telah diperiksa bahwa masuk ke wilayah aman harus terdapat persyaratan diawasi khusus dan pencatatan Dengan cara bagi orang lain yang 1. Wawancara akan masuk ke wilayah 2. Survey aman seperti ruang pemrosesan informasi, yaitu harus melalui resepsionist terlebih dahulu untuk ditanyai keperluannya. Namun di ruang resepsionist dan ruang menuju wilayah aman tidak ada cctv.
Catatan Review
Bagi orang lain yang akan masuk ke wilayah aman, biasanya harus melalui resepsionist terlebih dahulu. Terdapat temuan bahwa di sepanjang arah menuju wilayah aman pemrosesan informasi tidak terdapat cctv.
Tabel 4.23 Hasil Pemeriksaan Data Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan password (Password Use) Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh PROGRAM PEMERIKSAAN Sutanto AUDIT KEAMANAN SISTEM Auditor : Dian Ayu P INFORMASI ASPEK : Auditee : Bpk Setiyobudi (Bagian Off 1 KLAUSUL 11 (KONTROL Administrasi & Monitoring) AKSES) Tanggal : 1 Juni – 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password No. Pemeriksaan Catatan Auditor Catatan Review
114
: Bpk Erwin Sutomo/Bpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 1 Juni – 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password No. Pemeriksaan Catatan Auditor Catatan Review 1. Identifikasi kesadaran dari Telah diperiksa bahwa Terdapat kesadaran dari diri sendiri untuk menjaga terdapat kesadaran dari para karyawan untuk kerahasiaan password para karyawan akan menjaga passwordnya Dengan cara pentingnya untuk masing masing sesuai 1. Wawancara menjaga password dan dengan prosedur yang 2. Dapatkan dokumen telah sesuai dengan sudah ada. yang memberitahukan dokumen yang ada di larangan untuk perusahaan yaitu di menyebarluaskan dokumen KD 57 bab password dan menjaga VIII pasal 34 ayat (4)d. kerahasiaannya 2. Identifikasi penggantian kata Telah diperiksa bahwa Sampai saat ini masih password setiap kali ada sampai saat ini masih belum ada sistem yang kemungkinan sistem atau belum ada sistem yang berbahaya, jadi belum password dalam keadaan berbahaya, sehingga perlu dilakukan bahaya masih belum dilakukan pergantian password Dengan cara pergantian password kecuali pada jangka 1. Wawancara atau sandi oleh waktu 3 bulan sekali 2. Survey karyawan, apabila ada selalu melakukan perintah pergantian penggantian password. sandi biasanya dilakukan secara lisan. 3. Identifikasi mengenai Telah dilakukan Ada larangan untuk larangan dalam pembuatan pemeriksaan bahwa ada membuat catatan catatan password larangan untuk password tanpa Dengan cara membuat catatan perlindungan khusus, 1. Wawancara password tanpa biasanya apabila 2. Dapatkan dokumen perlindungan khusus karyawan hendak yang memberitahukan sesuai dengan dokumen mencatat password di larangan untuk membuat KD 57 bab VIII pasal perangkat mobile catatan password tanpa 34 ayat (4) k. pribadi. perlindungan khusus Karyawan menyimpan melalui perangkat pribadi masing masing. 4. Identifikasi mengenai Telah diperiksa bahwa Terdapat temuan bahwa larangan untuk tidak terdapat larangan untuk tingkat kedisiplinan membagi satu password tidak membagi satu karyawan untuk menjaga kepada pengguna lain Dengan password kepada password yang dimiliki PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 11 (KONTROL AKSES)
Pemeriksa
115
: Bpk Erwin Sutomo/Bpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 1 Juni – 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password No. Pemeriksaan Catatan Auditor Catatan Review cara pengguna lain namun masih kurang karena 1. Wawancara karena tingkat saling menitipkan 2. Survey kedisiplinan yang password. Konsekuensi kurang, ada saja pada karyawan hanya karyawan yang berupa teguran lisan. melanggar aturan tersebut, yaitu dengan cara saling menitipkan password ke sesama rekan kerja. Sampai saat ini konsekuensinya hanyalah berupa teguran lisan belum ada konsekuensi yang lebih khusus. 5. Identifikasi mengenai Telah diperiksa bahwa Terdapat pergantian pergantian password terdapat pergantian password sementara pada sementara pada saat pertama password sementara saat pertama kali log-on kali log-on setelah pertama kali Dengan cara log-on agar terjaga 1. Wawancara keamanan 2. Survey informasinya. Seperti aplikasi cnemas, absensi, poin serta portal menggunakan pergantian password sementara dan wajib diterapkan 6. Identifikasi mengenai Telah dilakukan Karyawan memilih pemilihan password secara pemeriksaan bahwa password yang mudah berkualitas yang mudah terdapat pemilihan diingat dirinya sendiri diingat password yang mudah namun sulit ditebak oleh Dengan cara diingat namun tidak orang lain karena tidak 3. Wawancara berdasarkan tanggal menggunakan tanggal 4. Dapatkan dokumen lahir ataupun nama lahir, nama atau hal hal yang mengatur cara karena telah teracak yang mudah diketahui pemilihan kata sandi dengan baik antara orang lain. yang berkualitas nomor dan huruf. PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 11 (KONTROL AKSES)
Pemeriksa
116
: Bpk Erwin Sutomo/Bpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 1 Juni – 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password No. Pemeriksaan Catatan Auditor Catatan Review Dokumen yang mengatur tentang pemilihan password yaitu di dokumen KD 57 bab VIII pasal 34 ayat (4) f. 7. Identifikasi perubahan kata Telah diperiksa bahwa Dilakukan perubahan sandi/password berkala atau terdapat perubahan password setiap 3 bulan berdasarkan jumlah akses dan sandi secara berkala sekali, tidak berdasarkan larangan menggunakan yaitu setiap 3 bulan jumlah akses yang password yang lama sekali dan perubahan dilakukan. Dengan cara sandi tidak berdasarkan 1. Wawancara jumlah akses yang 2. Survey dilakukan. Sandi yang lama tidak dapat digunakan kembali. PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 11 (KONTROL AKSES)
4.3.3
Pemeriksa
Hasil Temuan dan Rekomendasi Penyusunan temuan dan rekomendasi sebagai hasil evaluasi dari
pelaksanaan audit keamanan sistem informasi ini muncul setelah dilakukan pembandingan antara apa yang seharusnya dilakukan dengan proses yang sedang berlangsung pada perusahaan. Dari hasil temuan tersebut kemudian dilaksanakan rekomendasi yang merupakan rincian temuan serta rekomendasi yang diberikan untuk perbaikan proses keamanan sistem informasi ke depannya. Beberapa contoh temuan dan rekomendasi pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan), klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik) serta klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan
117
password) dapat dilihat pada Tabel 4.24, Tabel 4.25, Tabel 4.26 dan untuk selengkapnya dapat dilihat pada Lampiran 9.
118
Tabel 4.24 Daftar Temuan dan Rekomendasi Pada Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan TEMUAN AUDIT KEAMANAN SISTEM INFORMASI
Auditor Auditee
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring)
ASPEK : KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)
Tanggal
: 4 – 6 Mei 2015
No
1
Pernyataan
Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi
Hasil Analisa Wawancara
Telah diperiksa bahwa seharusnya karyawan mematuhi prosedur keamanan sistem informasi pada perusahaan dan tidak diijinkan menyebar atau memberikan informasi yang bersifat internal seperti password contohnya, tetapi tetap saja terdapat beberapa diantaranya yang mengabaikan prosedur tersebut yaitu dengan menitipkan password kepada rekan lain. saja dan tidak ada dokumen yang mengatur apabila karyawan mengabaikan prosedur tersebut. Sejauh ini sanksi hanya berupa teguran lisan.
Temuan
Terdapat temuan bahwa masih terdapat karyawan yang tidak mematuhi prosedur yang sudah ada di perusahaan, yaitu saling menitipkan password kepada rekan lain meskipun mereka tau hal tersebut dilarang dan sudah disebutkan jelas dalam dokumen KD 57 Bab VIII pasal 34 ayat 4(d)
Referensi, Penyebab Risiko dan Rekomendasi
Tanggapan dan Komitmen Penyelesaian
Ref Temuan: - Wawancara klausul 8 dengan objektif kontrol 8.2.3 pada pertanyaan dan jawaban nomor 3 yang terdapat detailnya di lampiran 7 (Wawancara Audit)
Tanggapan : Memang tidak ada prosedur atau dokumen khusus untuk karyawan yang melanggar peraturan yang telah ditetapkan oleh perusahaan. Kalau dokumen yang mengatur bahwa password tidak boleh diberikan kepada orang lain ada di dokumen Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia dengan nomor : KD.57/HK-290/ITS30/2006, tapi di dalam dokumen tersebut tidak terdapat sanksi khususnya.
Ref Rekomendasi: - ISO 270002 8.2.3 Proses Kedisiplinan - Dokumen KD 57 Bab VIII (Kontrol Akses) - (IBISA, 2011:45). IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta : Andi. Resiko : Jika password dibagikan ke sesama rekan kerja, maka akan beresiko bahwa informasi penting yang seharusnya hanya boleh
Komitmen Penyelesaian : Kami pihak desktop management akan mempertimbangkan terlebih dahulu untuk
119
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI
Auditor Auditee
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring)
ASPEK : KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)
Tanggal
: 4 – 6 Mei 2015
No
Pernyataan
Hasil Analisa Wawancara
Temuan
Referensi, Penyebab Risiko dan Rekomendasi
Tanggapan dan Komitmen Penyelesaian
dilihat secara pribadi bisa dilihat oleh rekan yang tidak berhak. Dan apabila hanya teguran lisan saja sanksinya, maka akan beresiko karyawan tersebut mengulangi lagi kesalahannya.
menambahkan sanksi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut, karena urusannya langsung kepada yang membuat dokumen kebijakan yaitu pihak Direksi perusahaan. Begitu pula dengan penambahan level keamanan passwordnya nanti kami akan mencoba mengusulkannya ke pihak Unit Pengelola Teknologi Informasi.
Rekomendasi : - Seharusnya terdapat sanksi bagi karyawan apabila memberitahukan password kepada orang lain di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d, jadi tidak hanya dituliskan larangan memberitahukan password. Segera merencanakan untuk menambahkan sanksi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut. - Dibuat jenjang level
120
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI
Auditor Auditee
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring)
ASPEK : KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)
Tanggal
: 4 – 6 Mei 2015
No
Pernyataan
Hasil Analisa Wawancara
Referensi, Penyebab Risiko dan Rekomendasi
Temuan
-
keamanan passwordnya pada aplikasi yang digunakan, dimana setelah login di awal pada aplikasi terdapat password khusus yang diperuntukkan hanya untuk melihat lihat saja atau bisa mengedit atau bahkan bisa menghapus data Reff rekomendasi : Wawancara mengenai keamanan password dengan bapak dwijo Dan
Tanggapan dan Komitmen Penyelesaian
121
Tabel 4.25 Daftar Temuan dan Rekomendasi Pada Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik
No
1.
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI
Auditor Auditee
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring)
ASPEK : KLAUSUL 9 (KEAMANAN FISIK DAN LINGKUNGAN)
Tanggal
: 4 – 6 Mei 2015
Pernyataan
Semua pintu darurat dalam batas perimeter keamanan harus dipasang tanda bahaya dan tertutup rapat.
Hasil Analisa Wawancara
Telah diperiksa bahwa pintu darurat dipasang sesuai standar keamanan yang terbuat dari besi lebarnya kurang lebih 90cm, tingginya 200cm serta tertutup rapat dan semua karyawan telah mengetahui lokasi pintu darurat tersebut. Namun pintu darurat terkadang rusak karena pernah digunakan untuk keluar masuknya barang ke ruang Desktop atau ke ruang lainnya di ISSSM.
Temuan
Referensi, Penyebab Risiko dan Rekomendasi Ref Temuan : - Wawancara klausul 9 dengan objektif kontrol 9.1.1 pada pertanyaan dan jawaban no.3 yang terdapat detailnya di lampiran 7 (Wawancara Audit)
Terdapat temuan bahwa ada pintu yang terkadang rusak dikarenakan pernah digunakan untuk akses keluar masuknya barang.
Ref Rekomendasi : - ISO 27002 9.1.1 Pembatas keamanan fisik - (IBISA, 2011:62). IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta : Andi. Resiko : Jika pintu darurat terkadang rusak, maka dikhawatirkan akan beresiko tidak bisa digunakan saat terjadi bencana mendadak seperti kebakaran atau gempa serta bisa membahayakan keselamatan para karyawan.
Tanggapan dan Komitmen Penyelesaian
Tanggapan : Untuk prosedur sekuriti fisik dan lingkungan di sini sudah ada dokumennya yaitu di dokumen KD 57, namun di situ belum ada standar keamanan untuk pintu darurat dan memang pintu darurat pernah digunakan untuk akses keluar masuk barang. Komitmen Penyelesaian : Kami akan mencoba mengusulkan untuk membuat prosedur tentang standar keamanan pintu darurat tersebut kepada pihak Unit Pengelola Security and Safety (SAS).
122
No
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI
Auditor Auditee
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring)
ASPEK : KLAUSUL 9 (KEAMANAN FISIK DAN LINGKUNGAN)
Tanggal
: 4 – 6 Mei 2015
Pernyataan
Hasil Analisa Wawancara
Temuan
Referensi, Penyebab Risiko dan Rekomendasi Rekomendasi : - Segera merencanakan untuk membuat prosedur tentang keamanan pintu darurat sesuai standar beserta pemeliharaannya agar tidak digunakan selain dalam keadaan bahaya dan agar terpelihara. - Lebih memperhatikan keamanan di sekitar pintu darurat khususnya kerja sama dengan pihak security agar tidak dijadikan akses keluar masuknya barang melalui pintu darurat.
Tanggapan dan Komitmen Penyelesaian
123
Tabel 4.26 Daftar Temuan dan Rekomendasi Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password TEMUAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 11 (KONTROL AKSES) No
1.
Pernyataan
Terdapat larangan untuk tidak membagi satu password kepada pengguna lain
Hasil Analisa Wawancara
Telah diperiksa bahwa karyawan di larang untuk tidak membagi password kepada pengguna lain namun karena tingkat kedisiplinan yang kurang, ada saja karyawan yang melanggar aturan tersebut, yaitu saling menitipkan password ke sesama rekan kerja. Sampai saat ini konsekuensinya hanyalah berupa teguran lisan belum ada konsekuensi yang lebih khusus.
Auditor Auditee Tanggal
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 30 Juni -30 Juli 2015 Temuan
Terdapat temuan bahwa tingkat kedisiplinan karyawan untuk menjaga password yang dimiliki masih kurang karena saling menitipkan password. Konsekuensi pada karyawan hanya berupa teguran lisan.
Referensi, Penyebab Risiko dan Rekomendasi
Tanggapan dan Komitmen Penyelesaian
Ref Temuan : - Wawancara klausul 11 dengan objektif kontrol 11.3.1 pertanyaan dan jawaban no.4 yang terdapat detailnya di lampiran 7 (Wawancara Audit)
Tanggapan : Meskipun sudah ada peraturan atau kebijakan mengenai larangan untuk tidak menyebarkan password namun tingkat kedisiplinan dari beberapa karyawan masih ada yang kurang akan hal tersebut
Ref Rekomendasi : - ISO 27002 11.3.1 Penggunaan Password - Dokumen Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia dengan nomor : KD.57/HK-290/ITS30/2006 Bab VIII (Kontrol Akses) - (IBISA, 2011:45). IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta : Andi.
Komitmen Penyelesaian : Kami pihak desktop management akan mempertimbangkan terlebih dahulu untuk menambahkan konsekuensi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d yang mengatur tentang larangan menyebarluaskan password, karena urusannya langsung kepada yang membuat dokumen kebijakan yaitu pihak Direksi perusahaan.
124
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 11 (KONTROL AKSES) No
Pernyataan
Hasil Analisa Wawancara
Auditor Auditee Tanggal
: Dian Ayu P : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) : 30 Juni -30 Juli 2015 Temuan
Referensi, Penyebab Risiko dan Rekomendasi Resiko : Informasi yang seharusnya tidak diketahui oleh yang bukan haknya bisa diketahui dengan mudah dengan adanya saling menitipkan password. Pihak manajemen bisa memberikan sanksi kepada pemilik user-ID dan resiko yang paling fatal ialah pemutusan hubungan kerja dan dituntut secara hukum. Rekomendasi : - Segera merencanakan konsekuensi khusus bagi karyawan yang belum sadar akan pentingnya untuk tidak menyebarkan password dan perusahaan harus konsisten dengan peraturan yang dibuat karena tidak ada gunanya peraturan dibuat namun implementasinya masih kurang
Tanggapan dan Komitmen Penyelesaian Begitu pula dengan penambahan level keamanan passwordnya nanti kami akan mencoba mengusulkannya ke pihak Unit Pengelola Teknologi Informasi.
125
Dari hasil wawancara dengan pihak Desktop Management dan bukti foto dan rekaman serta wawancara maka didapatkan temuan pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan) yaitu adanya karyawan yang tidak mematuhi prosedur yang telah ditetapkan tersebut, yaitu menitipkan password ke rekan kerja, untuk klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik) yaitu pintu darurat terkadang rusak karena pernah digunakan untuk akses keluar masuk barang dan untuk klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password) terdapat temuan yaitu masih ada karyawan kurang disiplin dalam menjaga passwordnya agar tidak dititipkan ke sesama rekan kerja . Dari hasil temuan yang didapatkan pada klausul 8 dengan kontrol 8.2.3 maka rekomendasi yang dapat diberikan adalah dengan memberikan konsekuensi kepada karyawan apabila menitipkan password kepada orang lain, dan di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d juga dituliskan konsekuensi untuk karyawan tersebut, jadi tidak hanya dituliskan larangan memberitahukan password. Lalu segera merencanakan untuk menambahkan sanksi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut kepada Direksi. Untuk rekomendasi pada temuan klausul 9 dengan kontrol 9.1.1 yaitu segera membuat prosedur tentang keamanan pintu darurat sesuai standar beserta pemeliharaannya agar tidak digunakan selain dalam keadaan bahaya. Untuk rekomendasi klausul 11 dengan kontrol 11.3.1 yaitu pihak perusahaan segera memberi konsekuensi khusus untuk karyawan yang salling menitipkan password tersebut, dan dibuatkan jenjang level keamanan password pada aplikasi yang digunakan.
126
4.4 Hasil Pelaporan Audit Keamanan Sistem Informasi Tahap pelaporan adalah tahap untuk melaporkan secara resmi sebagai suatu bentuk penyelesaian proses audit yang dilakukan. Hasil pelaporan audit diserahkan kepada pihak yang berwenang saja dikarenakan bersifat tertutup untuk kalangan umum atau rahasia.
4.4.1 Hasil Permintaan Tanggapan Atas Daftar Temuan Audit Keamanan Sistem Informasi Permintaan tanggapan atas daftar temuan audit dilakukan oleh auditor kepada auditee dengan memberikan tanggapan atas apa yang telah ditemukan auditor dan memberikan komitmen penyelesaiannya. Hasil permintaan tanggapan atas daftar temuan audit telah dilaksanakan dan dapat dilihat pada Lampiran 9.
4.4.2 Hasil Penyusunan dan Persetujuan Draft Laporan Audit Keamanan Sistem Informasi Setelah dilakukan
penyusunan draft laporan audit keamanan sistem
informasi berupa kertas kerja audit, temuan dan tanggapan auditee sebagai bentuk tanggung jawab atas penugasan audit keamanan sistem informasi yang telah selesai dilaksanakan maka dilakukan persetujuan audit. Hasil persetujuan draft laporan audit dapat dilihat pada Lampiran 10.
4.4.3 Hasil Pertemuan Penutup atau Pelaporan Audit Keamanan Sistem Informasi Pertemuan penutup memberikan penjelasan mengenai kondisi yang telah diaudit. Pertemuan penutup dihasilkan berupa exit meeing yang dapat dilihat pada Lampiran 11.