No title

Progress

Harpananda Eka Sarwadhamana/5209108717

8

Pengumpulan Data Identifikasi Permasalahan  Hasil yang an didapatkan pada tahap ini telah dicantumkan pada bab I


9

Pengumpulan Data Studi Literatur  Hasil yang an didapatkan pada tahap ini telah dicantumkan pada bab II


10

PENGUMPULAN DATA PENGUMPULAN DATA Observasi Observasi dilakukan dengan pengamatan secara langsung pada KPPN Surabaya I sehingga diketahui kondisi nyata dari KPPN Surabaya I, khususnya observasi terhadap aset pendukung operasional terutama SDM di KPPN S b KPPN Surabaya I I Melalui tahapan observasi yang telah dilakukan diperoleh informasi mengenai aset‐aset pendukung operasional yang digunakan yang digunakan sebagai pengolah informasi di KPPN Surabaya I


Wawancara Wawancara dilakukan terhadap Kepala Sub Bagian Umum dan beberapa pegawai pelaksana KPPN Surabaya I yang dalam pelaksanaan tugasnya sehari sehari‐hari hari berhubungan langsung dengan perasalahan pengolahan dan keamanan informasi di KPPN Surabaya I Melalui tahapan wawancara diperoleh informasi mengenai tugas pokok dan fungsi masing‐masing bagian di KPPN Surabaya I, penggunaan dan permasalahan aset pendukung operasional terutama perangkat pengolah informasi hasil observasi, serta permasalahan dan ancaman/risiko yang berkaitan dengan keamanan i f informasi i


Wawancara  Data : • • • • •

Kesadaran pegawai mengenai keamanan TI Latar belakang pegawai mengenai TI Pendidikan dan pelatihan pegawai di bidang TI Peran dan tanggung jawab pegawai mengenai keamanan TI Kebijakan penunjukan dan penempatan pegawai

 Objek : • • • •

Kepala p Kantor Kepala Seksi Supervisor Pelaksana


ANALISIS DATA ANALISIS DATA IDENTIFIKASI RISIKO ANALISIS RISIKO PENENTUAN TUJUAN KONTROL PENENTUAN TUJUAN KONTROL


IDENTIFIKASI RISIKO IDENTIFIKASI RISIKO

Langkah 1 : Identifikasi aset

Aset yang diidentifikasi yang diidentifikasi dalam tugas akhir ini adalah aset pendukung yang yang berhubungan dengan kontrol SDM di KPPN Surabaya I

No 1

Jenis Aset Manusia


Nama Aset    

Kepala Kantor Kepala Seksi Supervisor Pelaksana

Identifikasi Risiko (cont’d) Identifikasi Risiko (cont d)

Langkah 2 : Menghitung nilai aset

Menghitung nilai aset adalah menghitung nilai informasi yang dimiliki oleh KPPN Surabaya I berkaitan dengan aset yang telah teridentifikasi dengan pendekatan tiga aspek keamanan informasi yaitu kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) Penentuan nilai confidentiality : Kriteria aset

NC

Public

1

Internal Use Onlyy

2

Secret

3

Nilai Aset (NA) = NC + NI + NV Tabel penentuan nilai availibility :

Penentuan nilai integrity : g y Kriteria aset No impact Mi Minor disturbance di t b

NI 1 2

Mayor disturbance

3

Kriteria aset Low availability

NV 1

Medium availability

2

High availability

3

NILAI ASET

No

1 2 3 4

Aset

Nilai Kriteria Aset Nilai Nilai (NC+NI Nilai Integrity Availability Availability +NV) Confidentiality Integrity

Kepala Kantor Kepala Seksi P t Petugas Supervisor Pelaksana


(NC) 2 2 3

(NI) 1 1 3

(NA) 1 1 3

4 4 9

1

2

2

5

Identifikasi Risiko (cont’d) Langkah 3 : Mengindentifikasi ancaman dan kelemahan yang dimiliki oleh aset Dilakukan untuk melakukan identifikasi ancaman dan kelemahan yyang dimiliki g oleh informasi sehingga dapat menimbulkan ancaman terhadap aset yang telah teridentifikasi.

Klasifikasi probabilitas : Low Medium High g

: Nilai probabilitas 0,1 – 0,3 : Nilai probabilitas 0,4 – 0,6 : Nilai p probabilitas 0,7 – , 1,0 ,

Nilai Ancaman (NT) = ∑ PO / ∑ Ancaman Nilai Ancaman (NT) ∑ PO / ∑ Ancaman Harpananda Eka Sarwadhamana/5209108717

Kepala Kantor J i Jenis Ancaman Mutasi

(ancaman/kelemahan)

Kejadian

P b bilit Probabilitas

Nil i P Nilai Probabilitas b bilit

(low/med/high)

(PO)

Ancaman

1

Low

0,1 ,

kurangnya pelatihan keamanan

Kelemahan

20

High

1

Penyalahgunaan software dan hardware

Kelemahan

0

Low

0

g y kesadaran Kurangnya keamanan

Kelemahan

20

High

1

Kurangnya kebijakan mengenai keamanan informasi

Kelemahan

20

High

1

Kesalahan dalam penggunaan

Ancaman

0

Low

0

Penggunaan peralatan secara ilegal

Ancaman

0

Low

0

Penyalahgunaan hak

Ancaman

0

Low

0 19

Kepala Seksi Jenis Ancaman Mutasi

(ancaman/kelemahan)

Kejadian

Probabilitas

Nilai Probabilitas

(low/med/high)

(PO)

Ancaman

0

Low

0

Kelemahan

0

High

1

Kelemahan

20

Low

0

Kelemahan

0

High

1

Kelemahan

20

High

1

Kesalahan dalam penggunaan

Ancaman

20

Low

0

Penggunaan peralatan secara ilegal

Ancaman

0

Low

0

Penyalahgunaan hak

Ancaman

0

Low

0

kurangnya pelatihan keamanan Penyalahgunaan software dan hardware Kurangnya kesadaran keamanan Kurangnya kebijakan mengenai keamanan i f informasi i

20

Supervisor Ancaman

Jenis (ancaman/kelemahan)

Kejadian

Probabilitas

Nilai Probabilitas

(low/med/high)

(PO)

Mutasi

Kelemahan

0

Low

0

Rotasi

Kelemahan

0

Low

0

Kerusakan Data

Ancaman

2

Low

0,1

Kehilangan Data

Ancaman

0

Low

0

Anti virus tidak terupdate

Kelemahan

2

Low

0,1

Data lupa di-backup

Kelemahan

0

Low

0

Kerusakan K k P Perangkat k t Server

Ancaman

0

Low

0

Kerusakan Jaringan

Ancaman

6

Low

0,3 21

Supervisor Ancaman

Jenis (ancaman/kelemahan)

Kejadian

Probabilitas

Nilai Probabilitas

(low/med/high)

(PO)


Kelemahan

20

High

1

Penyalahgunaan software so a e da dan hardware ad ae

Kelemahan

1

Low

0,3*

Kurangnya kesadaran keamanan

Kelemahan

0

Low

0

Kelemahan

20

High

1

Kelemahan

20

High

1

Ancaman

0

Low

0

Ancaman

0

Low

0

Kurangnya mekanisme K k i pemantauan kemanan informasi Kurangnya kebijakan mengenai keamanan informasi Penggunaan peralatan secara ilegal Penyalahgunaan hak

22

Pelaksana Jenis Ancaman

(ancaman/kelemahan)

Kejadian

Probabilitas

Nilai Probabilitas

(low/med/high)

(PO)

Mutasi

Kelemahan

0

Low

0

Rotasi

Kelemahan

0

Low

0

Ancaman

18

High

09 0,9

Penyalahgunaan perangkat informasi

Kelemahan

10

Low

0,3**

Tersebarnya hak akses

Kelemahan

25

High

0,7**

Hak akses karyawan yang berhenti tidak dihapus

Kelemahan

20

Low

1


Kelemahan

20

High

1

Kurangnya kesadaran keamanan

Kelemahan

30

High

0,8**

Masuknya virus

23

Pelaksana Ancaman

Jenis

Kejadian

(ancaman/kelemahan) Penggunaan peralatan secara ilegal Penyalahgunaan hak

(low/med/high)

Nilai Probabilitas (PO)

Probabilitas

Ancaman

0

Low

0,0

Ancaman

0

Low

0,0

24

Dari data ancaman dan kelemahan aset tersebut kemudian ditentukan nilai rerata probabilitas dan nilai ancaman terhadap aset Nilai Ancaman

Aset

∑ PO

∑ Ancaman

K l Kantor Kepala K

8

31 3,1

0 38 0,38

K l Seksi Kepala S ki

8

30 3,0

0 38 0,38

Supervisor

3,8

15

0,25

Pelaksana

4,6

10

0,46

(NT)

Analisis Analisis Risiko Risiko Langkah 1 : Melakukan analisa dampak bisnis (Business Impact Analysis/BIA) BIA menggambarkan seberapa tahan proses bisnis didalam organisasi berjalan jika aset yang dimiliki terganggu Tabel skala nilai BIA :

Batas toleransi Batas toleransi gangguan < 1 minggu 1 – 2 hari < 1 hari < 12 jam < 1 jam

Keterangan Not critical Minor critical Mayor critical High critical Very high critical


Nilai Skala 0 1 2 3 4

NILAI BIA NILAI BIA Aset Kepala Kantor Kepala Seksi Supervisor

Pelaksana

Dampak pelayanan menjadi lebih lambat karena posisi approval luaran sistem digantikan oleh pejabat sementara (pjs) atau pelaksana tugas (plt) pelayanan menjadi lebih lambat karena posisi approval luaran sistem digantikan oleh pejabat sementara (pjs) atau pelaksana tugas (plt) Tidak adanya pengawas sistem sistem, database & jaringan sehingga apabila terjadi error atau miss tidak dapat diperbaiki dengan segera sehingga operasional kantor terhambat  waktu pelayanan menjadi lebih lama karena beban kerja bertambah  Kurangnya kesadaran keamanan informasi dapat menyebabkan sistem terganggu sehingga penyelesaian pekerjaan menjadi terhambat


Nilai BIA 1 1 3

2

Analisis Risiko (cont’d) ( ) Langkah 2 : Mengidentifikasi level risiko (risk level) Merupakan tingkat risiko yang timbul jika dihubungkan dengan dampak dan probabilitas yang mungkin timbul Masing‐masing sudut pandang pengukuran memiliki kriteria dan bobot yang berbeda. yang berbeda. Untuk probabilitas terjadinya ancaman dibagi kedalam tiga level pembobotan yaitu : 0 < Low probability < 0.1 0.1 < Medium probability < 0.5 0.5 < High probability < 1.0 Sedangkan untuk dampak terjadinya risiko dibagi kedalam lima level pembobotan yaitu : • Not critical impact Not critical impact =0 = 0 • Low critical impact = 1 • Medium critical impact = 2 High critical impact =3 = 3 • High critical impact • Very high critical impact = 4

Matriks Level Risiko Matriks Level Risiko Probabilitas Ancaman

Dampak p bisnis Not critical (0)

Minor critical (1)

Mayor Critical (2)

High Critical (3)

Very high critical (4)

Low (0,1)

0x0 0 (low)

0x1 0,1 (low)

0x2 0,2 (low)

0x3 0,3 (low)

0x4 0,4 (low)

Medium (0,5)

0,5 x 0 0 (low)

0,5 x 1 0,5 (med)

0,5 x 2 1 (med)

0,5 x 3 1,5 (med)

0,5 x 4 2 (med)

High (1,0)

1x0 0 (med)

1x1 1 (med)

1x2 2 (high)

1x3 3 (high)

1x4 4 (high)


Berdasarkan matriks tersebut nilai BIA dapat disesuaikan dan dapat dib t level risiko dibuat l l i ik untuk t k masing‐masing i i asett

No 1 2 3 4

Aset Kepala Kantor Kepala Seksi Petugas Supervisor P l k Pelaksana


Nilai 1 1 3 2

Probabilitas 05 0,5 0,5 0,5 05 0,5

Nilai BIA 05 0,5 0,5 1,5 1

Analisis Risiko (cont’d) Analisis Risiko (cont d)

Langkah 3 : Menentukan risiko diterima atau perlu pengelolaan risiko Nilai risiko (risk value) dihitung dengan rumus :

Risk Value = NA x BIA x NT k l No 1 2 3 4

Aset Kepala Kantor p Seksi Kepala Petugas Supervisor Pelaksana


Nilai Aset (NA)

Nilai Ancaman (NT)

Nilai BIA

Nilai Risiko

4 4 9 5

0,38 0,38 0,25 0,46

0,5 0,5 , 1,5 1

0,76 0,75 3,38 2,31

Setelah nilai risiko diperoleh maka selanjutnya level risiko dapat ditentukan. Level risiko dapat diketahui dengan menyesuaikan nilai risiko ke dalam matriks level risiko.

No

Aset

Nilai Risiko

Level Risiko

1

Kepala Kantor

0,76

Medium

2

Kepala Seksi

0,75

Medium

3

Petugas Supervisor

3,38

High

4

Pelaksana

2,31

High


Berdasarkan p pengukuran g level risiko dengan g indikator p perkiraan p probabilitas dan dampaknya, dapat diketahui bahwa risiko‐risiko yang perlu dibuat prosedur pengendaliannya adalah risiko yang menempati level nilai tinggi (high), berdampak besar dan kontrol yang ada belum dapat menanggulangi risiko tersebut

Aset KPPN Surabaya I yang akan dibuat prosedur kontrolnya : 1. Supervisor 2. Pelaksana


Penentuan Tujuan Kontrol Tujuan kontrol k l yang digunakan d k adalah d l h hasil h l pemilihan l h tujuan kontrol pada Annex A ISO/IEC 27001:2005 yang disesuaikan dengan ancaman risiko pada klausul SDM (klausul 8) Tujuan kontrol kemudian dijadikan dasar untuk membuat prosedur kontrol gguna mencegah p g dan mengelola g ancaman risiko.


Tujuan Kontrol : :

SDM

Klausul : 8 Keamanan Sumber Daya Manusia Kategori Keamanan Utama : 8.1 8 1 Sebelum menjadi pegawai Objektif Kontrol : Untuk memastikan bahwa pegawai memahami tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimalkan risiko pencurian atau kesalahan dalam penggunaan fasilitas informasi. 8.1.1 Aturan dan tanggung jawab Kontrol : keamanan Aturan-aturan dan tanggung jawab keamanan dari pegawai harus didefinisikan, didokumentasikan sesuai dengan kebijakan Keamanan Informasi organisasi 8.1.2 Seleksi Kontrol : Pemeriksaan (screening) terhadap pegawai harus dilakukan pada saat pegawai melapor untuk melaksanakan tugas di kantor, pemeriksaan harus sesuai dengan hukum, golongan, kebutuhan persyaratan bisnis, klasifikasi informasi yang akan diakses pegawai dan resiko yang mungkin dihadapi oleh organisasi. organisasi 8.1.3 Persyaratan dan kondisi yang Kontrol : harus dipenuhi oleh pegawai. Bahwa calon pegawai harus setuju dengan persyaratan dan kondisi yang ditetapkan organisasi dan harus menjadi bagian dengan kontrak kerja/pakta pegawai Harpananda Eka Sarwadhamana/5209108717

Tujuan Kontrol : :

SDM

Kategori Keamanan Utama : 8.2 Selama menjadi pegawai Obj k if Kontrol Objektif K l: Untuk memastikan bahwa pegawai memahami Keamanan Informasi yang telah ditetapkan demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang telah dicapai organisasi. gg g jjawab manajemen j Kontrol : 8.2.1 Tanggung Manajemen harus mensyaratkan seluruh pegawai untuk mengaplikasikan Keamanan Informasi sesuai dengan kebijakan dan prosedur Keamanan Informasi yang telah dibangun dib 8.2.2 Pendidikan dan pelatihan Kontrol : Keamanan Informasi Seluruh pegawai dalam organisasi harus mendapat pelatihan yangg cukup y p dan relevan sesuai deskripsi p kerja j masing-masing g g tentang kepedulian Keamanan Informasi. Hal ini dilakukan secara reguler sesuai dengan perubahan kebijakan dan prosedur di organisasi. 823 8.2.3 Proses kedisplinan. k di li Kontrol : Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi Harpananda Eka Sarwadhamana/5209108717

SDM

Tujuan Kontrol : :

Kategori Keamanan Utama : 8.3 Pemberhentian atau pemindahan pegawai Obj ktif Kontrol Objektif K t l: Untuk memastikan bahwa pegawai yang berhenti atau pindah dilakukan sesuai prosedur yang benar. jawab Kontrol : Tanggung jawab pemberhenti pemberhenti-an an atau pemindahan pegawai harus didefinisikan dan ditunjuk dengan jelas

8.3.1

Tanggung pemberhentian

8.3.2

Pengembalian aset

Kontrol : Seluruh pegawai harus mengembalikan semua aset organisasi yang dipakai saat mereka dinyatakan berhenti atau dipindahkan menurut perjanjian/pakta yang ditandatangani pegawai sebelumnya.

8.2.3

Penghapusan .

Kontrol : Hak akses pegawai terhadap Informasi dan fasilitas peemrosesan Informasi harus dihapus sejak mereka dinyatakan berhenti atau dipindahkan.


No title

Recommend Documents