BAB 4
MANAJEMEN RISIKO SISTEM INFORMASI 4.1
Latar Belakang Pembahasan Untuk mengumpulkan data-data yang berhubungan dengan manajemen risiko sistem informasi.Wawancara dilakukan langsung kepada Manajer IT dan karyawan pada bagian sistem development PT Mandala Multifinance Tbk. Pendekatan yang dibahas pada Bab 2 sebelumnyamenggunakan pendekatan OCTAVE-S yang terdiri dari 3 tahap, yaitu: 1. Membangun aset berbasis profile ancaman (Built asset-based Threat Profiles) yang terdiri dari 2 proses, 6 aktifitas dan 16 langkah dimana proses pertamanya
yaitu
mengidentifikasi
informasi
organisasi
(identify
organizational information) yang memiliki 3 aktifitas yaitu membangun dari kriteria evaluasi (Establish Impact Evaluation Criteria), mengidentifikasi asset organisasi (Identify Organizational Assets), dan mengevaluasi praktek keamanan organisasi (Evaluate Organizational Security Practices) serta 4 langkah dan proses ke-duanya, membuat profil ancaman (Create threat profiles) yang memiliki 3 aktifitas yaitu memilih aset kritis (Select Critical Assets), identifikasi kebutuhan keamanan untuk aset kritis (Identify Security Requirements for Critical Assets) dan identifikasi ancaman pada aset kritis (Identify Threats to Critical Assets) serta 12 langkah.
2. Mengidentifikasi
kerentanan
infrastruktur
(Identify
Infrastructure
Vulnerabilities) yang terdiri dari 1 proses, 2 aktifitas dan 5 langkah,
prosesnya yaitu memeriksa perhitungan infrastruktur yang berhubungan dengan aset kritis (Examine Computing Infrastructure in Relation to Critical Assets) dan memiliki 2 aktifitas yaitu memeriksa jalur akses (Examine Access Paths) dan menganalisa proses yang terkait dengan teknologi (Analyze Technology-Related Processes) serta 5 langkah.
3. Mengembangkan strategi keamanan dan perencanaan (Develop Security Strategy and Plans) yang terdiri dari 2 proses, 8 aktifitas dan 9 langkah dimana proses pertamanya yaitu identifikasi dan analisis risiko (Identify and Analyze Risks) yang terdiri dari 3 aktifitas yaitu mengevaluasi dampak ancaman (Evaluate Impacts of Threats), membangun kemungkinan kriteria evaluasi (Establish Probability Evaluation Criteria) dan mengevaluasi kemungkinan ancaman (Evaluate Probabilities of Threats) serta 3 langkah dan proses ke-duanya yaitu mengembangkan strategi perlindungan dan rencana mitigasi (Develop Protection Strategy and Mitigation Plans dan memiliki 5 aktifitas yaitu menggambar kan strategi perlindungan saat ini (Describe Current Protection Strategy), Memilih pendekatan mitigasi (Select Mitigation Approaches), mengembang-kan rencana mitigasi risiko (Develop Risk Mitigation Plans), identifikasi perubahan untuk strategi perlindungan (Identify Changes to Protection Strategy) dan Identifikasi langkah selanjutnya (Identify Next Steps) serta 6 langkah. Dengan metode OCTAVE-S yang terdiri dari 3 fase, 5 proses, 16 aktifitas dan 30 langkah tersebut diharapkantujuan penelitian terjawab, dan membantu dalam penilaian
dan pengukuran risiko penggunaan teknologi informasi, serta mendukung tercapai nya visi danmisi perusahaan.
4.2
Fase 1 Membangun aset berbasis profil ancam Proses 1 Identifikasi Informasi Perusahaan 1.2.1
Kriteria Evaluasi Dampak(Langkah 1) PT Mandala Multifinance Tbk saat ini mempunyai kategori reputasi yang
baik, terbukti pada tahun 2011 pendapatan usaha meningkat 37% dibandingkan dengan pendapatan usaha pada tahun 2010, Pertumbuhan ekonomi Indonesia di tahun 2011semakin membaik dengan didukung oleh beberapaindikator ekonomi yang
menunjukkan
peningkatansignifikan.
Secara
keseluruhan
kondisi
makroekonomi berada dalam keadaan yang positifdan stabil di sepanjang tahun.Hal ini membawadampak baik terhadap pertumbuhan Perusahaanyang secara keseluruhan menunjukkan peningkatancukup baik dengan pencapaian laba bersihmeningkat 36%.Meski begitu Perusahaan tetapmemperhatikan faktor risiko global dan domestic dalam menjalankan strategi usahanya.
1.2.2
Aset Sistem Development(Langkah 2) PT Mandala Multifinance Tbk mempunyai aset aset yang penting dalam
sistem development berupa spesifikasi program, source code program, dan Standard Operating Procedure(SOP) development. Spesifikasi program berisi
tentang rancanganprogram yang akan dibuat dalam proses pengembangan sistem dalam perusahaan dengan cara memahami dan menyeleksi keadaan dan proses yang dilakukan pengguna untuk dapat mendukung kebutuhan pengguna. Sumber data awal dari pengguna yang dijadikan acuan dalam perencanaan, analisa, perancangan dan implementasi.Penggunaan acuan ini dimaksudkan agar sistem yang dibangun bisa menjembatani kebutuhan pengguna dari permasalahan yang dihadapinya.Source code berisi tentangkumpulan kode bahasa pemrograman tertentu yang membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh komputer dan untuk menjalankan source code tersebut membutuhkan sebuah penterjemah dalam hal ini adalah software tertentu.SOP atau Standard Operating Procedure berisikan tentang sistem atau prosedur yang disusun untuk memudahkan,merapihkan dan menertibkan pekerjaan. Sistem ini berisi urutan prosesmelakukan pekerjaan dari awal sampai akhir. Perusahaan membuat SOP agar para karyawan dapat memahami dan melakukan tugasnya sesuai standar yang digariskan perusahaan.
4.2.3
Evaluasi Praktek Keamanan Organisasi(Langkah 3-4) 1. Kesadaran Keamanan dan Pelatihan Kesadaran keamanan dan pelatihan di PT.Mandala Multifinance Tbk tergolong kurang baik.
Karyawan tidak mempunyai kesadaran keamanan
yang baik untuk dilakukan saat praktek langsung, serta pelatihan hanya diberikan pada saat penerimaan karyawan baru.
2. Strategi Keamanan Perusahaan
memiliki
strategi
keamanan
dan
kebijakan
dengan
mempertimbangkan tujuan perusahaan dan keamanan informasi dalam menjalani proses bisnis. Strategi dan tujuan keamanan perusahaan telah mengalami pengkajian secara rutin dan didokumentasikan dengan baik oleh perusahaan.
3. Manajemen Keamanan PT.Mandala Multifinance Tbk telah menjelaskan peran keamanan bagi karyawan-karyawannya, agar setiap karyawan mengerti dan memahami apa arti peran dan tanggung jawab yang akan diberikan kepada tiap-tiap individu. Dalam pengelolaannya, PT.Mandala MultiFinance Tbk telah melakukan alokasi dana yang cukup besar untuk praktik keamanan di perusahaan, sehingga tingkat keamanan pada perusahaan bisa terbilang cukup aman.
4. Peraturan dan Kebijakan Keamanan PT Mandala Multifinance Tbk sudah memperhatikan keamanan informasi terhadap peraturan dan
kebijakan keamanan. Peraturan dan kebijakan
keamanan yang sudah ada sudah terdokumentasi dengan baik.
5. Manajemen Keamanan dan Kolaborasi PT.Mandala Multifinance Tbk sangat menjaga hubungan baik dengan perusahaan lain karena perusahaan lain atau relasi merupakan aset perusahaan yang sangat berharga untuk menjaganya, perusahaan membuat berbagai kebijakan-kebijakan dan prosedur-prosedur untuk bekerja sama dengan perusahaan lain. 6. Rencana contigency Pada tahap contigency PT Mandala Multifinance Tbk sudah melakukan perencanaan bila terjadi bencana alam dan pemulihan dari bencana alam. Serta rencana kontinuitas bisnis perusahaan sudah terkontrol dengan baik dengan banyaknya cabang yang ada diseluruh indonesia perusahaan sudah mempertimbangkan dengan baik kebutuhan akses serta elektronik. Kesadaran dan pemahaman karyawan akan kemungkinan rencana pemulihan bencana cukup baik dikarenakan karyawan sudah diberikan pelatihan pada saat dini atau pada saat mereka sebelum menjadi karyawan PT Mandala Multifinance Tbk, yang membuat mereka sadar akan tanggung jawab mereka dalam menghadapi kemungkinan pemulihan bencana. 7. Kontrol Akses Fisik PT Mandala Multifinance Tbksudah mempunyai prosedur dan kebijakan dalam menjaga akses fisik.Mengendalikan akses fisik serta menjaga informasi yang
sensitif
agar
tidak
dapat
diakses
oleh
pihak
yang
tidak
berwenang.Adanya pembatasan terhadap pengguna yang dapat mengakses ruang server (terbatas hanya oleh orang-orang yang berkepentingan langsung). 8. Pemantauan dan audit keamanan fisik Pemantauan dan audit untuk keamanan fisik pada PT Mandala Multifinance Tbk sudah cukup baik dilakukan. Pemantauan dan audit yang dilakukan untuk keamanan fisik sudah baik dilakukan. Dalam pengotrolan akses
fisik,
karyawan
ikut
berpartisipasi
dalam
mengontrol
akses
fisik.Perusahaan memiliki catatan pemeliharaan guna dokumentasi perbaikan dan modifikasi dari komponen fisik fasilitas.Tindakan individu yang terkait dikendalikan secara fisik dan dapat dipertanggungjawabkan.Setiap orang yang hendak mendekati ruang server dipantau dan diawasi apakah ada akses yang tidak sah didalamnya.Pemantau keamanan fisik sudah dapat diverifikasi oleh perusahaan.
9. Manajemen dan Sistem Jaringan Perusahaan sudah memiliki rencana keamanan untuk menjaga sistem dan jaringan yang ada dalam perusahaan.Backup atas informasi yang sensitif disimpan dengan baik. Pihak TI melakukan revisi software dan patch terhadap sistem informasi sesuai rekomendasi dari bagian keamanan. Karyawan cukup baik dalam mengikuti prosedur dan kebijakan-kebijakan yang diterapkan dalam perusahaan. 10. Pemantauan dan Audit Keamanan TI Pada PT Mandala Multifinance Tbk sudah terdapat kebijakan keamanan dari perusahaan,
Pemantauan keamanan TI dilakukan secara rutin oleh
manager TI. 11.
Pengesahan dan Otorisasi Karyawan perusahaan memahami tanggung jawabnya dalam hal control akses. Ada kebijakan dari perusahaan yang membatasi akses pengguna ke informasi, sistem sensitif, aplikasi dan layanan tertentu.Terdapat juga kebijakan dan prosedur terdokumentasi untuk mendirikan dan mengakhiri hak akses atas informasi.
12. Manajemen Kerentanan Pengelolaan kerentanan cukup baik dilakukan ini ditunjukkan dengan adanya evaluasi untuk menjaga kerentanan dari semua ancaman yang terjadi secara up to date.
13. Enkripsi PT Mandala Multifinance sendiri melakukan enskripsi yang digunakan untuk melindungi informasi sensitif selama dalam penyimpanan .Praktek ini hanya dilakukan oleh bagian internal perusahaan tanpa melibatkan bagian eksternal.
14. Perancangan dan arsitektur keamanan Desain dan arsitektur keamanan perusahaan masih terus direvisi dengan mempertimbangkan keamanan strategi, kebijakan, prosedur, dan hasil penilaian risiko agar perkembangan perusahaan dapat berjalan dengan lebih baik.Perusahaan tidak memiliki diagram up-to-date
yang menunjukkan
keamanan arsitektur dari perusahaan. 15. Manajemen Insiden Perusahaan memiliki prosedur resmi untuk mengidentifikasi, melaporkan, dan menanggapi dugaan pelanggaran dan insiden .seluruh prosedur sudah didokumentasikan dengan baik dan dilakukan pengevaluasian secara berkala oleh divisi-divisi terkait.
Fase 1, Proses 2: Membuat Profil Ancaman 4.3
Profil Ancaman 4.3.1 Aset Kritis(Langkah 5-9) Penilaian utama dalam aset-aset perusahaan adalah dampak yang diberikan aset dalam perusahaan.Berdasarkan wawancara yang dilakukan kepada manager IT yang dilakukan di kantor pusat PT Mandala Multifinance Tbk. Dalam PT Mandala Multifinance Tbk yang menjadi aset kritis yaitu : 1. Source Code Program Berisi tentang kumpulan kode bahasa pemrograman tertentu yang membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh komputer dan untuk menjalankan source code tersebut membutuhkan sebuah penterjemah dalam hal ini adalah software tertentu. 2. SOP Development Berisikan tentang sistem atau prosedur yang disusun untuk memudahkan, merapihkan dan menertibkan pekerjaan. Sistem ini berisi urutan proses melakukan pekerjaan dari awal sampai akhir. Perusahaan membuat SOP agar para karyawan dapat memahami dan melakukan tugasnya sesuai standar yang digariskan perusahaan.
4.3.2
Kebutuhan Keamanan untuk Aset Kritikal
(Langkah 10-11) Berdasarkan hasil wawancara dengan manager IT ,Kebutuhan keamanan untuk keseluruhan aset perusahaanyaitu kerahasian informasi, integritas data, ketersediaan informasi, dan pengevaluasian secara menyeluruh. Bagi PT.Mandala Multifinance kebutuhan keamanan yang paling penting adalah ketersediaan informasi, karena tanpa ketersediaan informasi yang baik, maka proses bisnis perusahaan tidak dapat berjalan dengan baik. 4.3.3
Ancaman Terhadap Aset Kritis(Langkah 12-16) Terjadinya ancaman terhadap aset kritis dalam perusahaan tidak dapat diabaikan begitu saja. Kemungkinan ancaman yang dapat terjadi terhadap aset kritis bisa terjadi melalui 2 faktor yaitu faktor internal dan eksternal.Bagian internal biasanya berasal dari karyawan sendiri yang menyalahgunakan kewenangan yang diberikan oleh perusahaan.Bila bagian eksternal ada orang yang sengaja mau menghancurkan atau memodifikasi aset kritis yang ada pada perusahaan.Tujuan mereka melakukan tindakan tersebut biasanya dilakukan untuk mengganggu kinerja dari perusahaan sendiri.
Ancaman yang dapat terjadi pada akses jaringan perusahaan biasanya terjadi kesalahan penginputan data ke dalam sistem atau human error dan virus.Ancaman untuk virus tidak terlalu bermasalah dalam perusahaan karena perusahaan mengupdate secara rutin anti virus yang dipunya serta perusahaan menggunakan operating sistem linux agar tidak mudahnya virus masuk ke dalam jaringan. Untuk ancaman berupa bencana alam sendiri perusahaan tidak dapat menghindari dari ancaman tersebut, ancaman tersebut menimbulkan kerugian finansial bagi perusahaan karena perusahaan harus menggantinya apabila terjadi kehilangan atau kerusakan Fase 2,Proses 3:Memeriksa perhitungan infrastruktur yang berhubungan dengan aset kritis 4.4 Infrastruktur yang berhubungan dengan Aset Kritis 4.4.1
Jalur Aset(Langkah 17-18) Jalur aset berkaitan langsung dengan sistem dengan database. Database sendiri perusahaan menggunakan Oracle.dan menggunkan operating sistem linux.
1.4.2
Keterkaitan Tekhnologi(Langkah 19-21) Komponen penting yang terkait dengan sistem penting perusahaan terdiri dari server, laptop, internal server, on-site workstation, dan storage device.Yang bertanggung jawab untuk menjaga dan mengkonfigurasi
server, laptop, internal server, on-site workstation, dan storage device adalah divisi IT PT. Mandala Multifinance Tbk.
Fase 3,Proses 4: Identifikasi dan Analisis Resiko 4.5
Hasil Indentifikasi dan Analisa Risiko 4.5.1
Hasil Evaluasi dan dampak ancaman(Langkah 22) 1.Dampak ancaman pada aset kritikal(SOP) melalui akses jaringan Oleh pihak dalam perusahaan yang tidak di sengaja . A. Dampak ancaman Reputasi bernilai Medium untuk
semua
hasil ancaman karena reputasi perusahaan cukup baik , serta sedikit
nya
pengurangan
pelanggan
arena
kehilangan
percayaan. Perusahaan memiliki reputasi yang baik. B. Dampak terhadap Finance bernilai Medium untuk semua hasil ancaman. Secara keuangan dinilai medium dikarenakan biaya Operasional yang digunakan perusahaan tidak meningkat melebihi 15% dari setiap tahun nya ,serta perusahaan kehilangan pendapatan pertahun tidak lebih dari 20 % C. Dampak
terhadap
Produktifitas
bernilai
Low
untuk
penyingkapan dan bernilai medium modifikasi, penghancuran dan interupsi.
Jam kerja karyawan meningkat hanya lebih
kecil dari 10%-20% waktu produktivitas dikarenakan harus bekerja sesuai dengan yang ditetapkan.
D. Dampak terhadap Denda bernilai Low untuk penyingkapan dan interupsi,dan
bernilai
Medium
untuk
modifikasi
dan
penghancuran. Dampak terhadap denda dinilai kurang dari Rp 100.000.000,- dan penuntutan perkara serius kurang dari Rp 200.000.000,- digolongkan kategori low. E. Dampak terhadap Kesehatan bernilai Low untuk semua hasil ancaman. Tidak adanya ancaman kehilangan yang signifikan pada kehidupan, kesehatan pelanggan atau karyawan organisasi dapat ditanggulangi dengan baik
4.5.2 Kriteria Kemungkinan Frekuensi terjadinya ancaman pada perusahaan ini masih tergolong sedang karena ancaman yang terjadi masih dibawah empat kali dalam setahun.Sejauh ini ancaman yang terjadi pada perusahaan masih dapat diatasi karena perusahaan melalukan evaluasi secara berkala. 4.5.3
Peluang dari Ancaman (Langkah 24) A. Peluang terjadinya ancaman yang secara tidak di sengaja disebabkan oleh pihak dalam perusahaan melalui akses jaringan. Untuk ancaman terjadinya penyingkapan berpeluang sedang dengan tingkat keyakinan sedang terhadap perkiraan kemungkinan yang ada. Peluang terjadinya modifikasi bernilai rendah dengan tingkat keyakinan kecil, peluang terjadinya penghancuran dan interupsi samasama bernilai rendah dengan tingkat keyakinan kecil.
B. Peluang terjadinya ancaman melalui akses jaringan dalam internal perusahaan secara sengaja. Ancaman terjadinya penyingkapan dan modifikasi berpeluang sedang dengan
tingkat
keyakinan
kecil,
sedangkan
untuk
ancaman
penghancuran dan interupsi berpeluang sedang dengan tingkat keyakinan kecil. C. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara tidak sengaja. Peluang terjadinya penyingkapan, modifikasi, penghancuran dan interupsi bernilai rendah dengan tingkat keyakinan rendah untuk semua ancaman. D. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal perusahaan secara sengaja. Terjadinya ancaman penyingkapan, modifikasi, penghancuran, dan interupsi berpeluang kecil dengan keyakinan kecil untuk semua ancaman.
Proses 5 Mengembangkan Strategi Perlindungan dan Rencana Mitigasi 4.6 Strategi Perlindungan dan Rencana Mitigasi 4.6.1
Strategi Perlindungan(Langkah 25)
Berdasarkan kertas kerja profil risiko yang terdapat pada lampiran terdapat beberapa area memiliki stoplightstatus merah. Pada PT Mandala Multifinance Tbk memiliki praktik keamanan yang berstatus merah, yaitu: 1.
Kesadaran keamanan dan pelatihan Saat ini perusahaan sudah mempunyai strategi pelatihan yang
diberikan secara tidak formal dan tidak didokumentasikan. Pelatihan kesadaran keamanan hanya diberikan untuk anggota karyawan baru sebagai bagian dari orientasi mereka dan selanjutnya karyawan belajar tentang masalah keamanan dengan sendirinya. Disamping itu, perusahaan tidak memiliki mekanisme untuk menyediakan anggota karyawan dengan pembaruan berkala tentang masalah keamanan. 4.6.2
Pendekatan Mitigasi(Langkah26-27) Berdasarkan kertas kerja profil risiko yang terdapat pada hasil wawancara.Diketahui bahwa stoplight pada area kesadaran dan keamanan pelatihan berwarna merah. Perusahaan memutuskan area ini berwarna merah.
4.6.3
Rencana Mitigasi Risiko(Langkah 28)
Berdasarkan pengisian lampiran diketahui area yang perlu dimitigasi oleh perusahaan. Rencana mitigasi risiko yang harus dibuat untuk setiap praktek keamanan : 1. Menyediakan pelatihan kesadaran keamanan pada seluruh karyawan perusahaan. Dimaksudkan agar dapat membantu perusahaan dalam meminimalkan risiko yang akan terjadi. Agar lebih efektif diperlukan pelatihan kesadaran keamanan secara berkala agar penerapaan keamanan akan lebih berfungsi secara baik. 2. Menyediakan pelatihan pendukung TI secara periodik pada karyawan TI karena perangkat TI selalu berkembang dan perlu adanya pelatihan dalam karyawan TI agar penerapan dalam organisasi lebih baik.
4.6.4
Perubahan Strategi Perlindungan(Langkah 29) Bagian ini menjelaskan mengenai aktivitas mitigasi yang direkomendasikan tim analisis untuk setiap bidang praktik keamanan yang telah dibahas yaitu: Kesadaran Keamanan dan Pelatihan Perubahan strategi perlindungan yang ingin dilakukan perusahaan dalam area ini adalah: A. Melakukan sistem pembaruan keamanan secara periodik agar keamanan data perusahaan dapat terus diawasi dengan baik.
ncaman
etir
B. Memberikan kesempatan bagi karyawan teknologi informasi untuk mengikuti pelatihan yang terkait keamanan yang didukung teknologi secara periodik sehingga karyawan lebih handal dalam menjalankan keamanan yang disesuaikan dengan kemajuan teknologi.
4.6.5
Identifikasi Langkah Selanjutnya(Langkah 30) Dalam pengimplementasi hasil dari evaluasi dan sikap keamanan, ada beberapa hal yang menjadi pertimbangan perusahaan, antara lain: 1. Manajemen harus mengutamakan keamanan informasi dalam strategi bisnis perusahaan dalam mendukung pelaksanaan hasil dari OCTAVE-S. 2. Menerapkan kegiatan keamanan informasi dengan baik pada karyawan perusahaan. 3. Merencanakan proses mitigiasi yang matang 4.
Jika
kegiatan mitigasi yang ada sekarang belum
diterapkan secara menyeluruh, maka perusahaan tidak akan melakukan evaluasi penambahan aset-aset penting. Pengendalian
Manajemen Resiko
Resiko
Perencana
Implement Evaluasi
Besaran
Tidak
an
asi
Resiko
Lanjut
Pengendalian jangka
Direncakan
Akan
Menggang
Mematikan
pendek : mematikan
setiap
dilaksanaka setiap 3
u 25% dari
sebagian alat
Dievaluasi
yang
beberapa komputer atau
terjadinya
n disetiap
bulan sekali
kegiatan
alat eletronik yang tidak
petir yang
bagian
secara
perusahaan mungkin
berguna.
sering kali
divisi
berkala
.
akibat dari
menyambar perusahaan , setiap
petir.
.
karyawan dapat mematikan alat eletronik yang tidak Pengendalian jangka
dipakai.
panjang : Memasang alat anti petir di atas bangunaan Alat anti
perusahaan.
petir ini akan dievaluasi Alat anti
setiap 6
Alat anti
petir akan
bulan sekali
petir
dipantau
secara
direncakan
secara terus berkala oleh
akan di
menerus
petugas
pasang
oleh
pengelola
sejumlah 4
petugas
gedung
buah,
pengelola
perusahaan.
diletakan
gedung.
disetiap sisi bangunaan perusahaan .
tergangu
anjir
ebakaran
- pelatihan penyelamatan Dilakukan
Dilaksanak
Akan
Akan
Bekerja sama
diperusaha
an setiap 1
dievaluasi
menggang
dengan pihak
an dan di
tahun
secara 1
u aktivitas
ketiga seperti
ikuti oleh
sekali
tahun sekali
perusahaan pemadam
semua staff
secara
secara
sebanyak
kebakaran
perusahaan
berkala.
berkala.
40%.
ataupun
diri dari bencana Banjir.
-Membangun tangga
pihak yang
darurat.
berwajib atau Akan
Tangga
dibangun
darurat
disetiap
Setiap
bangunaan
lantai
lantai
akan di
bangunan
perusahaan
evaluasi
perusahaan
dibangun
setiap 6
.
tangga
bulan sekali
darurat
secara
- Menempelkan denah
untuk
berkala.
bangunan perusahaan dan
penyelamat
tata cara penyelamatan
an diri saat
Akan di
diri.
gempa
evaluasi
terjadi.
setiap 3
kepolisian.
bulan sekali secara
Direncanak
- Menyediakan alat
an akan
ditempel
ditempel
disetiap
disetiap
lantai dan
lantai dan
ruangan
ruangan
perusahaan
perusahaa
.
Akan
Setiap
bekala
Akan
Akan
Bekerja sama
pemadan kebakaran
diberikan
lantai
dievaluasi
menggang
dengan pihak
alat
perusahaan
setiap 6
u aktivitas
ketiga seperti
pemadam
diberikan
bulan sekali
perusahaan pemadam
kebakaran
alat
secara
sebanyak
kebakaran
di setiap
pemadam
berkala.
70%.
ataupun
lantai
kebakaran
perusahaan
pihak yang berwajib atau kepolisian.
Tabel Ancaman Resiko Tabel 4.1
Seberapa Efektif Perusahaan mengimplementasikanpelatihan di area ini ?
1. Kesadaran Keamanan dan Pelatihan
Red
Yellow
Green
X X
2. Strategi Keamanan 3. Manajemen keamanan
X
4. Kebijakan Keamanan dan Peraturan
X
5. Manajemen Keamanan Kolaboratif
X
6. Perencanaan Contingency
X
7. Pengendalian Akses Fisik
X
8. Pemantauan dan Audit Keamanan Fisik
X
9. Sistemdan Manajemen Jaringan
X
10.Pemantauan dan Audit Keamanan TI
X
11.Pengesahan dan Otorisasi
X
12.Manajemen Kerentanan
X
13.Enkripsi
X
14.Desain dan Arsitektur Keamanan
X
15.Manajemen Insiden
X Tabel Manajemen Resiko Tabel 4.2
