Seminar Tugas Akhir. Dipresentasikan oleh : Mochammad Arief Ramadhana

Seminar Tugas Akhir Dipresentasikan oleh : Mochammad Arief Ramadhana 5207100002

Pembuatan Perangkat Audit Internal TI Berbasis Resiko menggunakan ISO/IEC 27002:2007 pada Proses Pengelolaan Data Studi Kasus Digital Library Institut Teknologi Sepuluh Nopember Surabaya

Dosen Pembimbing : Ir. Aris Tjahyanto, M.Kom & Bekti Cahyo Hidayanto, S.Si, M.Kom

Abstrak Banyaknya akses ke Digital library Institut Teknologi Sepuluh Nopember Surabaya (ITS) menunjukkan bahwa Digital library ITS sebagai institutional repository yang relatif sangat sibuk dan faktor keamanan merupakan faktor yang krusial. Memperhatikan pentingnya peranan Fungsi Audit Internal TI, khususnya dalam pelaksanaan manajemen resiko maka sudah seharusnya audit dilakukan sedangkan pihak perpustakaan ITS belum pernah melakukan audit pada Digital library. •Pada Tahap awal, proses penilaian resiko (risk-assessment) akan dilakukan berdasarkan dari domain yang dipilih dari ISO/IEC 27002:2007 lalu prioritas dari hasil assessment akan dibuat sebuah perangkat audit. •Hasil tugas akhir berupa sebuah perangkat audit yang dapat digunakan untuk melakukan audit TI yang bertujuan memperbaiki setiap permasalahan yang berhubungan dengan proses pengelolaan data pada Digital library ITS Kata kunci: Resiko, Perangkat audit, Pengelolaan data, ISO/IEC 27002:2007.

Pendekatan dalam audit berbasis risiko No

Audit konvensional

Audit berbasis risiko

1

Perhatian auditor dititikberatkan pada risiko manajemen dalam kaitannya dengan pencapaian tujuan audit. Auditor akan melakukan analisis atas risiko manajemen yang mempengaruhi tujuan auditnya. Semakin memadai pengendalian intern maka pengujian dan pembuktian audit (besarnya sample pengujian) yang harus dilakukan akan berkurang.

Perhatian auditor lebih jauh lagi dititikberatkan pada penaksiran atas risiko (risk assessment). Auditor melakukan penaksiran risiko bukan hanya semata-mata untuk audit namun lebih difokuskan pada risiko atas kelangsungan dan perkembangan aktivitas dalam rangka pencapaian tujuan manajemen.

2

Auditor berfokus pada kejadian dan kondisi masa lalu yang berdampak pada tujuan audit yang telah ditetapkan dengan tujuan untuk menilai tingkat kewajarannya.

Auditor mencoba membuat skenario risiko di masa kini dan di masa depan yang akan berdampak pada pencapaian tujuan organisasi. Sehingga dalam memberikan rekomendasi audit, lebih dititikberatkan pada pengelolaan risiko (risk management) selain pengelolaan pengendalian (management control).

3

Laporan audit merupakan informasi yang disampaikan kepada pihak-pihak yang berkepentingan dan pengguna laporan sesuai tujuan audit yang sudah ditetapkan, terutama mengenai berfungsi atau tidaknya pengendalian.

Dalam laporan audit, auditor lebih menitikberatkan pada pengungkapan proses yang memiliki risiko dibandingkan pengungkapan berfungsi atau tidaknya suatu pengendalian.

4

Pendekatan proses auditnya berbasis sistem (system based audit). Audit berbasis sistem dilaksanakan atas dasar keberadaan suatu sistem yang sesungguhnya ada dan pengendalian yang dijalankan terkait dengan sistem tersebut. Oleh karena itu dengan sistem yang ada, dianggap akan mampu mengatasi semua risiko. Biasanya pengujian dilakukan dengan ”kuesioner internal kontrol”, yaitu dokumen standar yang digunakan dalam setiap penugasan audit.

Pendekatan proses auditnya berbasis risiko (risk based audit). Audit berbasis risiko dilaksanakan atas dasar risiko-risiko dan melaporkan kepada pihak manajemen apakah risiko-risiko tersebut telah dapat dikelola dengan baik atau sebaliknya. Dalam hal ini proses ABR dilaksanakan untuk mengelompokkan sejumlah risiko-risiko, dan proses menggambarkan ”sesuatu yang logis” dan bukan kondisi aktual. Jika terdapat suatu risiko tetapi tidak termasuk di dalam proses yang dipetakan maka harus dipecahkan melalui proses yang baru.

Proses implementasi ISO/IEC 27002 Memperoleh Dukungan Manajemen Tingkat Atas

Definisikan Batasan Keamanan

Membuat Kebijakan Keamanan Informasi

Membuat Sistem Manajemen Keamanan Keamanan Informasi

Melakukan Penilaian Risiko

Pilih dan Implementasi Kontrol

Laporan Dokumen Akuntabilitas

Audit

Survey pada Studi Kasus

Kelemahan sistem yang dapat menimbulkan ancaman di Digilib ITS Data penelitian: Tugas Akhir, Tesis, Disertasi dan referensi buku yang ada di perpustakaan ITS.

Persiapan

Studi literatur dan survey pada studi kasus

---------------------------------------------------------------------------------Observasi

Pengumpulan Data

Wawancara Pihak terlibat: Sub-koordinator bidang TI dan tim Digital Library ITS

Proses bisnis yang dikelola

---------------------------------------------------------------------------------Penilaian terhadap risiko Analisa informasi teridentifikasi

Membuat dokumen statement of applicability

Risiko teridentifikasi

Output: Hasil penilaian risiko

------------------------------------------------------------------------------Pembuatan Perangkat Audit

klausul kontrol teridentifik asi

Identifikasi komponen penyusun perangkat audit

Menyusun perangkat audit

Uji coba

Revisi

Perangkat/Pedoman Audit

------------------------------------------------------------------------------Penyusunan buku tugas akhir

Output: Pedoman Audit

Struktur Organisasi Kepala UPT Perpustakaan

Sub koordinator, kepegawaian, kerumahtanggaan dan umum

Kasubag tata usaha

Koordinator IT, Kerjasama dan Pelatihan

Sub Koordinator IT dan Digital Library

Sub koordinator kerjasama dan pelatihan

Koordinator Jasa teknis

Sub koordinator penambahan koleksi

Sub koordinator klasifikasi dan katagolisasi

Koordinator jasa pengguna

Sub koordinator pasca klasifikasi, katagolisasi dan pemelihaan pustaka

Sub koordinator jasa pengguna I (Lantai 3)

Sub koordinator jasa pengguna II (Lantai 4)

Sub koordinator jasa pengguna III (Lantai 5)

Proses bisnis Sub koordinator bidang TI dan Digital Library Sub koordinator IT dan Digital Library mempunyai rincian tugas sebagai berikut: • Mengkoordinasi, melaksanakan, membangun, mengembangkan dan melakukan pengawasan semua pekerjaan yang berhubungan dengan automasi Perpustakaan, termasuk jaringan, digital library dan lainnya. • Membatu melaksanakan pekerjaan-pekerjaan yang menjadi tanggung jawab koordinator bagian IT, pemasaran dan pelatihan, termasuk perbaikan dan perawatannya. • Melakukan bimbingan dan pelatihan peserta magang di perpustakaan. • Melaksankan tugas Perpustakaan lainnya bila diperlukan. • Bersenergi, mengamalkan, dan membagi ilmunya kepada siapa saja yang membutuhkan dan yang dikehendaki. • Mengatur dan melaksanakan tata ruang, tata letak ruang bagiannya sehingga nampak nyaman. • Memberi layanan sesuai dengan motto ITS-CAK kepada semua pemustaka dan pustakawan lainnya. • Melaksanakan tugas lain yang diberikan oleh atasan.

Proses bisnis Sub koordinator bidang TI dan Digital Library Staf IT dan Digital Library mempunyai rincian tugas sebagai berikut: • Melaksanakan pemeliharaan hardware dan jaringan komputer. • Melakukan alihmedia koleksi cetak karya ilmiah ITS menjadi bentuk digital. • Mengolah koleksi ilmiah digital, yang meliputi proses pemecahan, pemberian password dan watermark. • Mengupload dan mempublikasi karya ilmiah civitas ITS ke system digital library. • Melakukan aplikasi calon pemustaka yang mendaftar melalui Online. • Melayani pemustaka online yang berkunjung ke situs Perpustakaan dan Digital Library. • Melakukan pekerjaan yang berhubungan dengan aktifitas Jasa Pemasaran dan Pelatihan. • Melakukan jaga kontrol sesuai jadwal yang ditentukan. • Membantu urusan bidang pelayanan yang berhubungan dengan kegiatan ruang komputer seperti Layanan Mandiri dan Upload Mandiri. • Membantu pembuatan sarana promosi dan kerjasama perpustakaan.

Proses bisnis Sub koordinator bidang TI dan Digital Library Untuk memperlancar dalam menjalankan tugasnya sehari-hari maka bidang TI dan Digital Library membagi dirinya menjadi beberapa bagian atau tim, bagian-bagian tersebut yaitu:  Bagian TI, yang terdiri dari: • Hardware dan jaringan. • Software. • Implementasi dan support IT.  Digital Library, yang terdiri dari: • Support pengguna. • Pengolahan Data.

Proses bisnis Sub koordinator bidang TI dan Digital Library Sedangkan Aset informasi yang dikelola oleh bidang ini yaitu: • SPITS (Sistem informasi perpustakaan), adalah program sistem perpustakaan ITS yang berbasis komputer. Program ini terdiri dari modulmodul yang mempresentasikan proses bisnis perpustakaan ITS seperti meminjam buku dan mengembalikan buku. • OPAC, adalah katalog online perpustakaan. Dapat digunakan untuk mencari koleksi buku secara cepat di perpustakaan ITS. • Digital Library ITS, adalah Digital Library atau perpustakaan digital merupakan etalase karya ilmiah sivitas akademika ITS dan dapat diakses pemustaka melalui dunia maya/internet dari seluruh penjuru dunia.

Value chain Proses bisnis bidang TI yang berhubungan dengan Digital library

Mapping Proses bisnis dan Klausul dalam ISO 27002

Proses bisnis

Klausul dalam ISO 27002

Penyediaan Implementasi informasi, digital library layanan dan bimbingan yang efektif

Pengembangan perangkat lunak upload mandiri

Pengembangan software watermark di digilib dan cantuman digilib yang corrupt

Clause 1 security policy

Clause 3 asset management

Clause 3 asset management

Clause 7 access control

Clause 2 Clause 3 asset organization of management information system Clause 10 business continuity management

Clause 9 information security incident management

Clause 5 physical and environmental security Clause 8 information system acquisition, development and maintenance

Pelatihan karyawan penyedia layanan TI

Pengawasan kinerja di tiap tiap entitas di bidang TI

Meningkatkan implentasi digital library

Clause 4 human Clause 6 resource communication security and operation management Clause 5 physical Clause 6 Clause 9 and environmental communication information security and operation security incident management management

Clause 7 access control

Clause 8 information system acquisition, development and maintenance

Clause 10 business continuity management

Clause 11 compliance

Clause 3 asset management

Mapping Proses bisnis dan Klausul dalam ISO 27002 - Klausul yang dipilih Proses bisnis

Penyediaan Implementasi informasi, digital library layanan dan bimbingan yang efektif

Clause 3 asset management Klausul dalam ISO 27002

Pengembangan perangkat lunak upload mandiri

Pengembangan software watermark di digilib dan cantuman digilib yang corrupt

Clause 3 asset management

Clause 3 asset management

Pelatihan karyawan penyedia layanan TI

Pengawasan kinerja di tiap tiap entitas di bidang TI

Meningkatkan implentasi digital library

Clause 3 asset management

Perkembangan Digital Library - Karya yang diupload ke Digital Library -

No

Jenis koleksi

1 2 3 4 5 6 7 8 9 10 11 12

Tugas Akhir (S1) Tesis (S2) Disertasi (S3) Non Degree Clipping Discussion materials Book Image Proceedings Research Report Scientific Oration Scientific journal articles

13 14 15 16 17 18 19 20 21

Course material Distance learning Journal Multimedia Publication Software Inaguration Speech ITS heritage Student paper and presentation Brochure and Documentation

22

Jumlah per tahun

2007

2008

2009

2010

1500

904 121

2562 493 5

5005 861 30 765

Jumlah judul saat ini 8471 2975 35 765

2 245

11 4 62

1 149 1 102

14 394 5 164

12

11

23

16

14 1

30 1

3165

6940

12877

1500

1272

Perkembangan Digital Library - indikator kinerja -

Bulan per tahun

2007

2008

2009

2010

Januari

27.078

217.124

612.519

2.789.198

Februari

19.457

240.051

594.997

6.063.566

Maret

20.513

199.523

401.372

3.367.713

April

25.956

300.569

465.761

1.583.274

Mei

44.710

279.677

1.386.996

1.470.106

Juni

48.279

270.382

1.273.530

1.571.512

Juli

38.514

203.026

1.914.463

2.241.224

Agustus

37.769

266.187

1.313.195

1.319.922

September

33.774

436.981

2.609.129

2.641.809

Oktober

44.285

387.653

1.328.202

2.837.263

Nopember

118.078

471.832

2.404.897

2.753.115

Desember

122.869

505.185

2.751.527

3.742.287

592.282

3.778.190

17.056.588

32.380.989

Total

Observasi

Kontrol Administrasi Prosedur Koordinasi komputerisasi (administrasi Digital Library)

Definisi

Ruang lingkup

bidang Prosedur yang Front-end Digital digunakan sebagai Library website acuan perpustakaan untuk mengelola administrasi website digital library

Koordinasi layanan Prosedur yang Koleksi karya ITS koleksi tugas akhir dan digunakan sebagai karya ITS acuan perpustakaan untuk melayani pengadaan dan peminjaman koleksi

Penanggung jawab

status

Administrator

dijalankan

Petugas layanan

Ada dan dijalankan

Kontrol Teknis dan Operasi Prosedur

Definisi

Ruang lingkup

Koordinasi bidang Prosedur yang digunakan Bidang klasifikasi klasifikasi & katalogisasi sebagai acuan katalogisasi Jasa Teknis perpustakaan untuk melakukan klasifikasi dan katagolisasi buku Koordinasi bidang Prosedur yang digunakan Digital Library komputerisasi (klasifikasi sebagai acuan & katalogisasi) perpustakaan untuk melakukan klasifikasi dan katagolisasi buku. khusus buku yang akan diupload ke Digilib Koordinasi bidang pascaklasifikasi & katalogisasi (termasuk perawatan dan penjilidan)

Prosedur yang digunakan Bidang klasifikasi sebagai acuan katalogisasi perpustakaan untuk merawat koleksi

Penanggung jawab dan Petugas layanan

Koordinator dan Sub koordinator TI

dan Petugas layanan

status Ada dan dijalankan

dijalankan

Ada dan dijalankan

Koordinasi bidang Prosedur yang digunakan Bidang pengolahan dan Koordinator dan pengembangan sebagai acuan pengembangan koleksi kasubag perpustakaan koleksi/pengadaan perpustakaan untuk ITS melakukan pengadaan koleksi

Ada dan dijalankan

Koordinasi komputerisasi data)

dijalankan

bidang Prosedur yang digunakan Digital library (entri sebagai acuan perpustakaan untuk melakukan entri data dan upload ke digital library

Koordinator dan sub koordinator IT

Kontrol Fisik Prosedur

Definisi

Ruang lingkup

Penanggung jawab

status

Koordinasi bidang Prosedur yang Digital Library komputerisasi (jaringan digunakan sebagai dan perawatan) acuan perpustakaan untuk mengelola jaringan

Koordinator dan sub koordinator IT

dijalankan

Koordinasi bidang Prosedur yang Digital Library komputerisasi (server) digunakan sebagai acuan perpustakaan untuk mengelola server Digital Library

Koordinator dan sub koordinator IT

dijalankan

Identifikasi risiko

Identifikasi risiko Berkaitan dengan hasil wawancara yang dilakukan oleh penulis, maka selanjutnya dapat dilakukan analisis identifikasi risiko sesuai dengan tahapan awal proses penilaian risiko yang terjadi dan ditemukan di Digital library Perpustakaan ITS dengan langkah sebagai berikut: • Melakukan identifikasi ancaman (threat) terhadap Digital Library sebagai aset instansi dan dampak bisnis terkait dengan ancaman tersebut. • Melakukan identifikasi terhadap kelemahan (vulnerability) yang dapat memicu terjadinya ancaman (threat).

Identifikasi aset yang berkaitan kategori

Sumberdaya

Jaringan

Jaringan intranet, jaringan internet, teknologi wireless

Perangkat lunak

Digital Library

Perangkat keras

Komputer server dan client, printer, scanner, keyboard, mouse, switch, router, kabel LAN

Manusia

Koordinator dan sub koordinator bidang TI termasuk didalamnya kepala, staff, administrator sistem, petugas teknis yang setiap hari mengecek dan merawat digital library

Data

Data koleksi tugas akhir, tesis, disertasi, proceding, jurnal, makalah, paper, buku

Risiko kesalahan Tipe Risiko No. 01

Risiko Kesalahan Risiko

Kesalahan klasifikasi data

Aset

Manusia, Data

Penyebab Kesalahan klasifkasi dalam melakukan proses pengolahan data terjadi dikarenakan adanya kesalahan atas individu yang melakukan pekerjaan itu sendiri (human error) Dampak jika data tidak berada pada cluster yang benar maka tidak menjamin data tersebut akan mendapatkan proteksi yang sesuai Kelemahan Ketidaktelitian pegawai dalam melakukan proses pengolahan data No. 02

Risiko

Kesalahan entri dan metadata

Aset

Manusia, Data

Penyebab Kesalahan entri dalam melakukan proses pengolahan data terjadi dikarenakan adanya kesalahan atas individu yang melakukan pekerjaan itu sendiri (human error) Dampak -Data menjadi available untuk di download - Integritas data terganggu Kelemahan Ketidaktelitian pegawai dalam melakukan proses pengolahan data

Risiko Pengembangan Tipe Risiko No. 03

Risiko Pengembangan Risiko

SQL injection

Aset

Software, Data

Penyebab Tidak ada mekanisme validasi data masukanpengguna. Tidak ada batasan hak akses (priveleges) setiap pengguna. Tidak ada mekanisme peringatan ketika terjadi kegagalan pada sistem. Dampak Kehilangan data, Perubahan data, Penghapusan data, Kegagalan sistem sementara, Proses bisnis terganggu. Kelemahan Mekanisme validasi data masukan oleh sistem. Mekanisme pembatasan privelege pengguna. Mekanisme pembatasan input karakter untuk login form. No. 04

Risiko

Virus atau malware

Aset

Software, jaringan, data

Penyebab Tidak ada software keamanan yang dipasang dan tidak diupdate untuk melindungi database. Dampak Kerusakan data, kehilangan data, data tidak dapat diakses Kelemahan Software keamanan meliputi: firewall, IDS, antivirus, anti malware

Risiko Pengungkapan Informasi Tipe Risiko No. 05

Pengungkapan Informasi Risiko

Hacking

Aset

Software, data

jaringan,

Penyebab Hacking terjadi diakrenakan adanya celah keamanan yang bisa dimanfaatkan para hacker untuk mencuri data, merusak data dan memindah data ke tempat lain. Dampak kehilangan data, data berubah, proses bisnis terganggu

No. 06

Kelemahan Sistem perlindungan server, source code, port yang terbuka Risiko Social engineering Aset

Software, data

Penyebab Mekanisme otentikasi login tidak dienkripsi atau diberi perlindungan. Tidak ada pembatasan waktu kepada pengguna yang telah masuk ke sistem. Dampak Pencurian data oleh orang lain, Hilangnya hak akses karyawan ke dalam sistem, Hilangnya informasi penting ke orang lain. Kelemahan Mekanisme enkripsi pada login sistem, user session

Penilaian risiko

Alur penilaian risiko

Informasi dari organisasi

Penetapan tipe risiko Untuk setiap tipe risiko, ancaman, kelemahan sistem, dampak diberi skor/skala tinggi, cukup, rendah, atau tidak ada

Akumulasi basis pengetahuan auditor

Hitung skor risiko: (Menggunakan metode dari ISO 27002) risiko terurut

Urutkan risiko berdasarkan skor

hubungan dengan manajemen

Kaji ulang dan penyesuaian jika diperlukan

Rencana audit prioritas

Buat rencana audit dengan prioritas risiko

hubungan dengan manajemen

Kaji ulang rencana dan penyesuaiannya Laksanakan Audit

Penyegaran Periodik

Informasi dari luar

Metode penilaian ISO/IEC 27002 Probabilitas kejadian

probabilitas Frekuensi

risiko Nilai

Tidak pernah terjadi

Tidak pernah

0

Sangat rendah

2-3 kali setiap 5 tahun

1

Rendah

<= 1 kali per tahun

2

Sedang

<= 1 kali setiap 6 bulan

3

Tinggi

<= 1 kali setiap bulan

4

Sangat tinggi

>=1 kali setiap bulan

5

Ekstrim

>= 1 kali setiap hari

6

Metode penilaian dampak risiko ISO/IEC 27002 Dampak kejadian

Derajat dampak

Nilai

Tidak berpengaruh

Tidak mempunyai dampak. Tidak perlu usaha lebih untuk memperbaiki.

0

Signifikan

Dampak dapat diukur, perlu usaha lebih untuk memperbaiki.

2

Merusak

Merusak reputasi dan keyakinan perusahaan. Memerlukan sumber daya lebih untuk memperbaiki

3

Serius

Kehilangan konektivitas. Kehilangan banyak data atau layanan.

4

Parah

Kegagalan sistem permanen.

5

Minor

1

Estimasi risiko ISO/IEC 27002

dengan

cara scoring,

Perhitungan risiko (Probabilitas x Dampak)

Nilai

0

Tidak berpengaruh

1-3

Rendah

4-7

Sedang

8-14

Tinggi

15-19

Kritis

20-30

Ekstrim

Menilai risiko Risiko

Kesalahan klasifikasi data

Probabilitas kejadian

3

Dampak kejadian

1

Nilai risiko

3

Kategori risiko: Rendah

Risiko

Kesalahan entri Probabilitas kejadian dan metadata Dampak kejadian Nilai risiko Kategori risiko: Sedang

4 1 4

Menilai risiko

Risiko

SQL Injection

Probabilitas kejadian

2

Dampak kejadian

3

Nilai risiko

6

Kategori risiko: Sedang

Risiko

Virus malware

atau Probabilitas kejadian

1

Dampak kejadian

2

Nilai risiko

2

Kategori risiko: Rendah

Menilai risiko

Risiko

Hacking

Probabilitas kejadian

2

Dampak kejadian

4

Nilai risiko

8

Kategori risiko: Tinggi

Risiko

Social engineering

Probabilitas kejadian

1

Dampak kejadian

4

Nilai risiko

4

Kategori risiko: Sedang

Penilaian risiko - Kesimpulan -

Setelah dilakukan penilian terhadap risiko-risiko yang ada di Digital Library Perpustakaan ITS maka kesimpulan yang didapat dari hasil penilaian risiko diatas adalah sebagai berikut: •

• •

•

Risiko tersebut ada karena terdapat kelemahan di dalam prosedur keamanan sistem, rancangan sistem, implementasi, pengendalian internal, dan sebagainya, yang bisa dieksploitasi untuk melanggar kebijakan keamanan system. Sebagai bukti, tidak adanya kontrol keamanan tertulis atau SOP yang dibuat untuk menangani hal ini. Upaya untuk mengatasi masalah spontan dilakukan jika tiba-tiba terjadi sesuatu berkaitan dengan risiko tersebut. Banyak terdapat risiko dengan kategori sedang bahkan tinggi yang dapat memberikan dampak negatif bagi institusi. Risiko dengan kategori tinggi mengindikasikan bahwa Sistem sangat lemah karena tidak menerapkan semua teknik pengendalian. Risiko dengan kategori sedang juga dapat menimbulkan ancaman serius jika tidak ditangani segera atau dibiarkan. Dibutuhkan penanganan lebih untuk mengatasi risiko tersebut. Maka dari itu risiko dengan kategori sedang hingga ekstrim dalam hal ini akan menjadi prioritas pemeriksaan untuk dilaksanakan pada tahap selanjutnya. Semakin tinggi risiko akan semakin menjadi fokus audit dan dengan kedalaman pengujian yang lebih.

Dokumen Statement of Applicability

Dokumen SOA Dokumen SOA dibuat bertujuan untuk mengendalikan dan mengontrol keamanan yang akan diimplementasikan dalam sebuah organisasi. SOA bisa menjadi bagian dari dokumen penilaian risiko (risk assesment), tetapi biasanya ini merupakan dokumen yang berdiri sendiri. Elemen yang terdapat dalam SOA dapat dilihat pada tabel 4.16 berikut ini: • Nama dan nomor kontrol keamanan ISO/IEC 27002. • Deskripsi kontrol keamanan ISO/IEC 27002. • Adopsi dari klausul kontrol ISO/IEC 27002 ke organisasi • Justifikasi dalam implementasi kontrol keamanan yang ada. • Referensi yang digunakan dalam dokumen SOA.

Kontrol

Deskripsi

persetujuan

justifikasi

Prosedur Pedoman

3.1

Responsibility for Assets

3.1.1

atau

Inventory of assets

tidak

Tidak ada

3.1.2

Ownership of assets

tidak

3.1.3

Acceptable use of assets

ya

3.2

Information classification

Proses inventarisasi dilakukan dengan cara melakukan upload ke Digital Library namun tidak ada prosedur terdokumentasi pada Bidang TI dalam melakukan inventarisasi terhadap aset dengan cara tersebut. Bidang TI memang melakukan tugasnya namun tidak ada prosedur tertulis/terdokumentasi yang menjelaskan mengenai tata cara melakukan hal tersebut, aktifitas tersebut dilakukan sebatas rutinitas sehari-hari. Misalnya seperti backup dan maintenance. Terdapat panduan mengenai cara melakukan upload secara mandiri untuk mahasiswa yang akan mengupload tugas akhir/tesisnya ke Digital library. Panduan tersebut terdapat pada Website Digital Library Digilib.its.ac.id.

3.2.1

Classification guidelines

ya

Bidang TI dan bidang pengolahan data SOP jasa teknis, koordinasi berkoordinasi untuk melakukan bidang klasifikasi dan katagolisasi atau pengklasifikasian katagolisasi terhadap semua aset yang berhubungan proses bisnis Digital Library. Keduanya melakukan klasifikasi terhadap aset yang dikelolanya.

3.2.2

Information labeling and handling

tidak

Pelabelan terhadap aset dilakukan sebagai Tidak ada bagian dari proses klasifikasi. Pelabelan dilakukan untuk tujuan kelengkapan pustaka. Pelabelan yang dilakukan pada bidang TI dilakukan dengan memberikan metadata dan watermark namun tidak prosedur tertulis mengenai hal tersebut. Aktifitas tersebut dilakukan sebatas rutinitas mereka sehari hari

Tidak ada

Panduan upload mandiri tugas akhir/tesis/disertasi

Menyusun perangkat / pedoman audit

Komponen perangkat audit Elemen 1.

Klausul kontrol ISO 27002

Kriteria unjuk kerja 1.

3.

Klausul kontrol yang ditetapkan adalah parameter dalam melakukan proses audit Klausul kontrol dipetakan dengan proses bisnis utama untuk mengetahui proses yang paling kritis (butuh perhatian lebih) Klausul terpilih relevan terhadap masalah

2.

2.

Mengidentifikasi dan menilai risiko terkait

1. 2.

Risiko diidentifikasi untuk merefleksikan ruang lingkup risiko Risiko potensial dinilai dan menjadi prioritas

3.

Dokumen SOA

1.

Dokumen kerja dibutuhkan untuk membuat perangkat audit dikembangkan sesuai dengan kebutuhan dan keinginan organisasi Dokumentasi yang ada diperiksa untuk memastikan keamanan berada dalam pengendalian yang seharusnya

2.

4.

Standart Operational Procedure perpustakaan ITS

1. 2.

Legislasi yang relevan dari level pemerintah yang memperngaruhi aktivitas operasional bisnis, khusunya yang berhubungan dengan masalah perpustakaan Kode praktik yang relevan

Syarat membuat perangkat audit Dalam menyusun sebuah perangkat audit terdapat beberapa persyaratan didalamnya yang harus dipenuhi. Perangkat audit yang dibuat harus memiliki informasi yang meliputi: • Alur Proses kerja yang akan ditelusuri. • Persyaratan yang akan diteliti pemenuhannya. • Hal – hal yang akan diverifikasi. • Penanggung jawab kerja yang akan diwawancara. • Catatan yang akan dicari sebagai bukti pendukung pelaksanaan operasional kerja.

Pembuatan perangkat audit (1) Namun Jika kasusnya adalah di mana sebuah organisasi memilih untuk tidak mengoperasikan atau tidak mempunyai prosedur terdokumentasi, langkah pertama yang harus dilakukan adalah menetapkan metode apa yang ada pada organisasi yang digunakan untuk mengontrol proses. Dari sana, auditor dapat mengevaluasi efektivitas proses dengan melakukan pengujian untuk memastikan itu dilakukan secara konsisten dan dengan membandingkannya dengan pasal-pasal yang sesuai pada ISO.

Pembuatan perangkat audit (2) Cara membuat perangkat audit berbentuk checklist: • Pilih klausul kontrol yang spesifik pada ISO untuk proses yang diaudit ditambah yang lebih umum lalu verifikasi kedua efektivitas proses tersebut dan juga kepatuhannya terhadap standar. • Membuat daftar pertanyaan (checklist) dari klausul kontrol. Bentuk dari daftar pertanyaan dapat meliputi 5W (what, who, why, where dan when) dan 1H (how) atau Diagram alir proses yang dilengkapi dengan checkpoint. • Cara membuat pertanyaan dapat dilakukan dengan merubah kalimat positif dalam prosedur menjadi kalimat pertanyaan, misalnya dalam prosedur tertulis “Masukan dalam rapat tinjauan adalah: 1. Status hasil rapat tinjauan manajemen terdahulu, 2. Dan seterusnya”. Maka pertanyaan yang bisa dibuat adalah seperti ini: “Apakah agenda mencakup status dari apa yang sudah diputuskan dalam laporan tinjauan manajemen terdahulu?”.

Pembuatan perangkat audit (3) •

Membuat instruksi kerja sebagai bagian dari aktifitas audit, instruksi yang harus dibuat spesifik mungkin untuk tiap pertanyaan (satu pertanyaan memuat satu instruksi yang spesifik). Misal jika pertanyaan yang diajukan adalah adalah “Apakah agenda mencakup status dari apa yang sudah diputuskan dalam laporan tinjauan manajemen terdahulu?”. Maka instruksi yang dapat dibuat adalah sebagai berikut: “check agenda rapat tinjauan manajemen terakhir. Bandingkan dengan laporan tinjauan terdahulu”. Dengan instruksi seperti ini, pada proses audit, auditor akan langsung meminta auditee menunjukkan agenda rapat tinjauan terakhir dan laporan rapat tinjauan terdahulu lalu membandingkan keduanya.

Contoh perangkat audit yang dibuat Referensi

Ruang lingkup, tujuan dan pertanyaan audit Hasil

Standart

Poin pertanyaan

3.1

Responsibility for assets

Pertanyaan Apakah tiap aset yang diidentifikasi telah ditempatkan di lokasi yang benar?

Contoh jawaban instruksi Cek secara detail SOP jasa teknis yang terkait penempatan aset yang dilakukan oleh organisasi, pastikan penempatan yang dilakukan melindungi aset

Uji coba perangkat audit

Klausul kontrol ISO 27002

Dokumen SOA

Mengidentifikasi dan menilai resiko terkait

SOP perpustakaan ITS

Uji coba perangkat audit

Revisi Perangkat audit Revisi terhadap hasil uji coba perangkat audit dilakukan setelah pelaksanaan uji coba perangkat audit. Revisi dilakukan karena:  Auditee susah memahami pertanyaan.  jawaban kurang sesuai (termasuk penggunaan kata yang kurang tepat).  instruksi kurang spesifik

Contoh pertanyaan yang susah dipahami

Contoh pemilihan kata yang tidak sesuai

Contoh instruksi yang kurang spesifik

Kesimpulan Simpulan yang dapat diambil dari pengerjaan tugas akhir ini adalah sebagai berikut: • Penilaian resiko dilakukan pada area dimana resiko teridentifikasi. Area yang dimaksud adalah aset-aset yang berkaitan dengan sistem secara langsung, terutama data karena proses yang dipilih adalah proses pengelolaan data. Dengan dilakukan penilaian resiko berdasarkan derajat pengukuran tertentu maka didapatkan resiko yang direpresentasikan dalam kategori yang telah ditentukan. • Perangkat audit dibuat berbentuk checklist dengan beberapa acuan seperti hasil pemetaan klausul kontrol pada ISO/IEC 27002, yang didalamnya sudah terdapat standar pengelolaan keamanan terutama untuk manajemen aset serta metode dalam melakukan pendekatan berbasis resiko. • Berdasarkan hasil uji coba yang telah dilakukan, beberapa revisi diperlukan terkait perbaikan dari beberapa pertanyaan dan instruksi yang telah dibuat, yaitu meliputi mudah atau tidaknya pengelola menjawab pertanyaan yang dibuat serta efektifitas dalam melakukan proses audit.

Saran Beberapa saran yang diharapkan dapat dilakukan perbaikan dalam pengembangan penelitian ini antara lain: • Perlu adanya prosedur kontrol terdokumentasi yang nantinya dapat membantu menjadi acuan dalam menangani setiap masalah yang terkait dengan Digital Library, sehingga mempermudah dalam mencari solusi jika terlibat permasalahan, dan mempermudah pelaksanaan proses audit dan pemantauan terhadap aktivitas pengelolaan data. • Perangkat audit ini hanya mencakup proses pengelolaan data Digital library saja, untuk itu kedepannya pengembangan dapat dilakukan hingga end user point pada Digital Library dan dimungkinkan pada sistem informasi lainnya yang ada di perpustakaan ITS. • Pertanyaan dibuat lebih banyak dan detail untuk setiap kalimat yang ada pada klausul dalam pedoman yang digunakan sehingga jawaban yang diperoleh semakin rinci. • Perangkat audit ini dibuat berdasarkan ISO/IEC 27002. Untuk kedepannya perangkat audit yang dibuat dapat dipetakan dengan pedoman lain sesuai dengan kelebihan yang dimilikinya.