126
Tabel 4.16 : Perancangan Remediasi COBIT 4.1 PO2 : Proses Penetapan Arsitektur Informasi Tujuan : Agar sigap dalam menanggapi kebutuhan, untuk memberikan informasi yang dapat dipercaya dan konsisten, dan juga untuk mempermudah pengintegrasian aplikasi ke dalam proses bisnis.
ISO27001 A.7.1 : Tanggung jawab terhadap asset Tujuan: Untuk mengatur dan mencapai tujuan perlindungan aset organsasi. A.7.2 : Klasifikasi informasi Tujuan: Untuk memastikan informasi menerima level perlindungan yang seharusnya. A.10.7 : Manajemen media Tujuan: Untuk mencegah akses kepada pihak yang tidak berwenang, modifikasi, penghapusan aset informasi ataupun gangguan terhadap aktivitas bisnis. A.10.8 : Pertukaran Informasi Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang terlibat dalam pertukaran data di organisasi ataupun dengan pihak luar. A.11.1 : Persyaratan bisnis untuk kontrol akses Tujuan: Untuk mengontrol akses ke informasi. PO9 : Proses Penilaian dan Pengaturan Risiko IT A.5.1 : Kebijakan keamanan informasi Tujuan : Untuk menganalisis dan Tujuan: Untuk menyediakan arah manajemen dan dukungan terhadap mengkomunikasikan risiko IT dan dampak potensial keamanan informasi yang selaras dengan kebutuhan bisnis dan sesuai dengan pada proses dan tujuan bisnis. regulasi dan aturan yang berlaku. A.13.1 : Pelaporan kejadian keamanan informasi dan kelemahan Tujuan: Untuk memastikan kejadian keamanan dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan baik untuk tindakan perbaikan yang tepat waktu. A.14.1 : Aspek keamanan informasi dalam manajemen kelanjutan bisnis Tujuan: Untuk mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis yang kritikal dari efek kegagalan sistem informasi atau bencana dan untuk memastikan kelanjutan bisnis sesuai dengan asumsi waktu yang
127
AI6 : Proses Pengelolaan Perubahan Tujuan : Untuk merespon kebutuhan bisnis yang sejalan dengan strategi bisnis, mengurangi solusi non permanen dan penyampaian pelayanan yang tidak sempurna dan pekerjaan yang berulang.
DS4 : Proses Memastikan Ketersediaan Layanan Tujuan : Untuk meminimalkan dampak bisnis yang disebabkan oleh suatu penghentian layanan IT.
DS5 : Proses Memastikan Keamanan Sistem Tujuan : Untuk memelihara kebutuhan informasi dan infrastruktur yang memproses hal tersebut dan mengurangi dampak dari kerentanan keamanan dan kejadian.
ditetapkan. A.10.1 : Tanggung jawab dan prosedur operasional Tujuan: Untuk memastikan pengoperasian fasilitas pemrosesan informasi secara benar dan aman. A.11.5 : Kontrol akses sistem operasi Tujuan: Untuk mencegah akses yang tidak sah pada sistem operasi. A.12.5 : Keamanan dalam proses pengembangan dan dukungan Tujuan: Untuk menjaga keamanan perangkat lunak aplikasi sistem dan informasi. A.12.6 Manajemen kerentanan teknis Tujuan: Untuk mengurangi risiko akibat eksploitasi kerentanan teknis yang telah diberitahukan. A.6.1 : Organisasi internal Tujuan: Untuk mengatur keamanan informasi dalam organisasi. A.10.5 : Backup informasi Tujuan: Untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesannya. A.14.1 : Aspek keamanan informasi dalam manajemen kelanjutan bisnis Tujuan: Untuk mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis yang kritikal dari efek kegagalan sistem informasi atau bencana dan untuk memastikan kelanjutan bisnis sesuai dengan asumsi waktu yang ditetapkan. A.5.1 : Kebijakan keamanan informasi Tujuan: Untuk menyediakan arah manajemen dan dukungan terhadap keamanan informasi yang selaras dengan kebutuhan bisnis dan sesuai dengan regulasi dan aturan yang berlaku. A.6.1 : Organisasi internal Tujuan: Untuk mengatur keamanan informasi dalam organisasi. A.6.2 : Pihak ketiga eksternal
128
Tujuan: Untuk mengatur keamanan informasi organisasi dan fasilitas proses informasi yang diakses, diproses, dikomunikasikan, atau diatur oleh pihak ketiga. A.8.1 : Sebelum pemberdayaan Tujuan: Untuk memastikan bahwa staf, tenaga kontrak, dan pihak ketiga mengerti tanggung jawab masing-masing, dan sesuai dengan peran yang diinginkan, serta untuk mengurangi risiko pencurian, pelanggaran atau penyalahgunaan terhadap fasilitas. A.8.2 : Selama pemberdayaan Tujuan: Untuk memastikan semua staf, tenaga kontrak, dan pihak ketiga peduli terhadap acaman keamanan informasi dan dampaknya, tanggung jawab dan kewajiban mereka, dan dipersiapkan untuk mendukung kebijakan keamanan organisasi dalam pekerjaan mereka, dan untuk mengurangi risiko kesalahan manusia (human error). A.8.3 Pemberhentian atau pergantian staf Tujuan: Untuk memastikan staf, tenaga kontrak, dan pihak ketiga keluar dari organisasi dengan cara yang benar. A.9.1 : Area aman Tujuan: Untuk menghindari akses secara fisik, ancaman dan interfensi terhadap informasi organisasi dari pihak-pihak yang tidak diberi hak akses. A.9.2 : Pengamanan peralatan Tujuan: Untuk mencegah kehilangan, kerusakan, pencurian ataupun ancaman terhadap aset dan gangguan terhadap aktifitas organisasi. A.10.1 : Tanggung jawab dan prosedur operasional Tujuan: Untuk memastikan pengoperasian fasilitas pemrosesan informasi secara benar dan aman. A.10.4 : Perlindungan terhadap aplikasi mobile yang bersifat merusak Tujuan: Untuk melindungi integritas perangkat lunak dan informasi. A.10.6 : Manajemen keamanan jaringan Tujuan: Untuk memastikan perlindungan terhadap informasi dalam jaringan
129
dan infrastruktur yang mendukungnya. A.10.7 : Manajemen media Tujuan: Untuk mencegah akses kepada pihak yang tidak berwenang, modifikasi, penghapusan aset informasi ataupun gangguan terhadap aktivitas bisnis. A.10.8 : Pertukaran Informasi Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang terlibat dalam pertukaran data di organisasi ataupun dengan pihak luar. A.10.9 : Layanan-layanan Electronic Commerce Tujuan: Untuk menjamin keamanan dari layanan-layanan electronic commerce dan keamanan penggunaan electronic commerce. A.10.10 Monitoring Tujuan: Untuk mendeteksi kegiatan-kegiatan proses informasi yang tidak sah. A.11.1 : Persyaratan bisnis untuk kontrol akses Tujuan: Untuk mengontrol akses ke informasi. A.11.2 : Manajemen akses pengguna Tujuan: Untuk menjamin akses pengguna yang sah dan untuk mencegah akses yang tidak sah ke sistem informasi. A.11.3 : Tanggung jawab pengguna Tujuan: Untuk mencegah akses pengguna yang tidak sah dan terjadinya kompromi atau pencurian informasi dan fasilitas pemrosesan informasi. A.11.4 : Kontrol akses jaringan Tujuan: untuk mencegah akses yang tidah sah ke layanan jaringan. A.11.5 : Kontrol akses sistem operasi Tujuan: Untuk mencegah akses yang tidak sah pada sistem operasi. A.11.6 : Kontrol akses aplikasi dan informasi Tujuan: Untuk mencegah akses yang tidak sah ke informasi yang berada di sistem aplikasi. A.11.7 : Mobile computing dan teleworking
130
Tujuan: Untuk menjamin keamanan informasi ketika menggunakan mobile computing dan fasilitas teleworking. A.12.2 : Proses yang tepat dalam aplikasi Tujuan: Untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi. A.12.3 : Kontrol kriptografi Tujuan: Untuk melindungi kerahasiaan, keaslian atau integritas informasi melalui kriptografi A.12.4 : Keamanan file sistem Tujuan: Untuk menjamin keamanan file sistem. A.12.6 : Manajemen kerentanan teknis Tujuan: Untuk mengurangi risiko akibat eksploitasi kerentanan teknis yang telah diberitahukan. A.13.1 : Pelaporan kejadian keamanan informasi dan kelemahan Tujuan: Untuk memastikan kejadian keamanan dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan baik untuk tindakan perbaikan yang tepat waktu. A.13.2 : Manajemen insiden keamanan informasi dan perbaikan Tujuan: Untuk memastikan pendekatan yang konsisten dan efektif diterapkan dalam pengelolaan insiden keamanan informasi A.15.1 : Kepatuhan terhadap persyaratan hukum Tujuan: Untuk menghindari pelanggaran hukum, undang-undang, kewajiban terhadap kebijakan atau kontrak, dan persyaratan keamanan. A.15.2 : Kepatuhan dengan kebijakan keamanan dan standar, serta kepatuhan teknis Tujuan: Untuk memastikan kepatuhan sistem dengan kebijakan standar keamanan organisasi. A.15.3 : Audit sistem informasi Tujuan: Untuk memaksimalkan efektivitas dan meminimalkan gangguan ke atau dari proses audit sistem informasi.
131
DS11 : Proses Pengelolaan Data Tujuan : Untuk mengoptimalkan penggunaan informasi dan memastikan bahwa informasi tersedia ketika dibutuhkan.
A.9.2 : Pengamanan peralatan Tujuan: Untuk mencegah kehilangan, kerusakan, pencurian ataupun ancaman terhadap aset dan gangguan terhadap aktifitas organisasi. A.10.5 : Backup informasi Tujuan: Untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesannya. A.10.7 : Manajemen media Tujuan: Untuk mencegah akses kepada pihak yang tidak berwenang, modifikasi, penghapusan aset informasi ataupun gangguan terhadap aktivitas bisnis. A.10.8 : Pertukaran Informasi Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang terlibat dalam pertukaran data di organisasi ataupun dengan pihak luar. A.12.4 : Keamanan file sistem Tujuan: Untuk menjamin keamanan file sistem. A.15.1 Kepatuhan terhadap persyaratan hukum Tujuan: Untuk menghindari pelanggaran hukum, undang-undang, kewajiban terhadap kebijakan atau kontrak, dan persyaratan keamanan. DS12 : Proses Pengelolaan Fasilitas A.6.2 : Pihak ketiga eksternal Tujuan : Untuk melindungi aset komputer dan data Tujuan: Untuk mengatur keamanan informasi organisasi dan fasilitas proses bisnis, dan juga untuk mengurangi risiko dari informasi yang diakses, diproses, dikomunikasikan, atau diatur oleh pihak gangguan bisnis. ketiga. A.9.1 : Area aman Tujuan: Untuk menghindari akses secara fisik, ancaman dan interfensi terhadap informasi organisasi dari pihak-pihak yang tidak diberi hak akses. A.9.2 : Pengamanan peralatan Tujuan: Untuk mencegah kehilangan, kerusakan, pencurian ataupun ancaman terhadap aset dan gangguan terhadap aktifitas organisasi.
132
4.4.1 Perancangan Remediasi Proses Penetapan Arsitektur Informasi (PO2)
Fokus utama proses PO2 adalah pembentukan model data perusahaan yang menggabungkan skema klasifikasi data untuk
memastikan integritas dan konsistensi dari semua data. Pencapaian dari proses ini dapat dicapai dengan cara : 9 Menjamin akurasi dari arsitektur informasi dan model data 9 Menetapkan kepemilikan data 9 Mengklasifikasikan informasi menggunakan suatu skema klasifikasi yang disepakati Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut : Tabel 4.17 : Perancangan Remediasi PO2 Key Areas COBIT 4.1 (PO2.1) Model arsitektur informasi perusahaan Decision support analysis Manajemen TSI harus memantau dan mengukur secara berkala mengenai model informasi perusahaan untuk penyediaan pengembangan aplikasi dan sikap-kegiatan Information pendukung, sesuai dengan perencanaan yang dibuat. architecture Model harus memfasilitasi kreasi yang optimal, model penggunaan dan berbagi informasi bisnis dengan cara mempertahankan integritas dan fleksibelitas, fungsional, Maintained
ISO27001
133
Corporate data model Corporate data dictionary
biaya-efektif, tepat waktu, aman dan tahan terhadap kegagalan.
(PO2.2) Kamus data dan aturan sintaks data perusahaan Manajemen TSI harus memantau dan mengukur secara Common data berkala mengenai kamus data perusahaan yang menggabungkan aturan sintaks data organisasi Bank T. understanding Kamus ini harus menyediakan pembagian dari elemen data antara aplikasi dan sistem, memperkenalkan pemahaman umum dari data antara IT dan untuk keperluan bisnis, dan mencegah unsur-unsur data yang tidak kompatibel dari model arsitektur informasi yang dihasilkan. Information classes Ownership Retention Access rules Security levels for each information class
(PO2.3) Skema klasifikasi data Manajemen TSI harus memantau dan mengukur secara berkala mengenai penetapan skema klasifikasi yang berlaku di seluruh perusahaan, berdasarkan kekritisan dan kepekaan (misalnya: Public, confidential, top secret) dari data perusahaan. Skema ini harus mencakup rincian tentang kepemilikan data, definisi dari tingkat keamanan yang sesuai dan kontrol perlindungan, dan deskripsi singkat mengenai retensi data dan persyaratan kerusakan, kekritisan dan kepekaan. Skema ini juga harus digunakan sebagai dasar untuk menerapkan kontrol seperti kontrol akses, pengarsipan atau enkripsi.
(A.7.1.1) Inventori aset Seluruh aset harus diidentifikasikan dengan jelas dan inventori untuk seluruh aset dijaga dan dipelihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kamus data dan aturan sintaks data perusahaan. (A.11.1.1) Kebijakan kontrol akses Sebuah kebijakan kontrol akses harus dibuat, didokumentasikan, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kamus data dan aturan sintaks data perusahaan. (A.7.2.1) Panduan klasifikasi Informasi harus diklasifikasikan berdasarkan nilai, kebutuhan legal, sensitivitas, dan level kekritisannya terhadap organisasi Bank T. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data. (A.10.7.1) Manajemen terhadap removable media Harus tersedia prosedur untuk manajemen penanganan media yang dapat dipindahkan/removable media. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data. (A.10.8.1) Prosedur dan kebijakan pertukaran informasi Kebijakan formal, prosedur, serta pengendalian atas pertukaran data harus tersedia untuk melindungi
134
aktifitas pertukaran data melalui berbagai macam fasilitas komunikasi yang ada. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data. (A.10.8.2) Kesepakatan mengenai Pertukaran Kesepakatan harus dibentuk dalam melakukan pertukaran data dan perangkat lunak antara organisasi dengan pihak eksternal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data. (A.11.1.1) Kebijakan kontrol akses Sebuah kebijakan kontrol akses harus dibuat, didokumentasikan, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data. Integrity and consistency of data.
(PO2.4) Pengelolaan yang terintegrasi Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu penetapan dan penerapan prosedur untuk menjamin integritas dan konsistensi dari semua data yang tersimpan dalam bentuk elektronik, seperti database, data warehouses dan arsip data.
Ukuran pencapaian dari proses ini adalah : 9 Pesentasi dari redudansi/duplikasi elemen data 9 Persentasi dari aplikasi yang tidak terpenuhi dengan penggunaan metode dalam arsitektur informasi oleh perusahaan
135
9 Frekuensi dari kegiatan validitas data
4.4.2 Perancangan Remediasi Proses Penilaian dan Pengaturan Risiko (PO9)
Fokus utama proses PO9 adalah pengembangan kerangka manajemen risiko yang terintegrasi dalam bisnis dan kerangka kerja
manajemen risiko operasional, penilaian risiko, mitigasi risiko dan komunikasi risiko residual. Pencapaian dari proses ini dapat dicapai dengan cara : 9 Memastikan bahwa manajemen risiko sepenuhnya selaras dengan manajemen proses, internal, external dan penerapan yang konsisten. 9 Melakukan pengukuran risiko 9 Merekomendasikan dan mengkomunikasikan perencanaan remediasi terhadap risiko Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut : Tabel 4.18 : Perancangan Remediasi PO9 Key Areas Alignment to enterprise risk
COBIT 4.1 ISO27001 (PO9.1) Kerangka kerja manajemen risiko IT (A.14.1.1) Memasukkan keamanan informasi Manajemen TSI harus memantau dan mengukur secara dalam proses manajemen kelanjutan bisnis
136
framework
Internal and external context and goals of each assessment
Important threats
berkala mengenai pembentukan kerangka kerja Sebuah proses manajemen harus dikembangkan dan manajemen risiko IT yang sejalan dengan kerangka dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan kerja manajemen risiko perusahaan. informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja manajemen risiko IT. (A.14.1.2) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja manajemen risiko IT. (A.14.1.1) Memasukkan keamanan informasi (PO9.2) Membentuk konteks risiko Manajemen TSI harus memantau dan mengukur secara dalam proses manajemen kelanjutan bisnis berkala mengenai suatu penetapan konteks di mana Sebuah proses manajemen harus dikembangkan dan kerangka kerja penilaian risiko diterapkan untuk dipertahankan untuk kelanjutan bisnis di seluruh memastikan hasil yang tepat. Hal ini harus mencakup organisasi yang membahas persyaratan keamanan penentuan konteks internal dan eksternal dari setiap informasi yang dibutuhkan untuk kelanjutan organisasi penilaian risiko, tujuan penilaian, dan adanya evaluasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pembentukan konteks risiko. mengenai kriteria terhadap risiko. (A.14.1.2) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pembentukan konteks risiko. (A.13.1.1) Pelaporan peristiwa keamanan informasi (PO9.3) Identifikasi kejadian Manajemen TSI harus memantau dan mengukur secara Informasi kejadian keamanan harus dilaporkan melalui
137
exploiting vulnerabilities having negative business impact Risk registry
Likelihood and impact of all identified risks Qualitative and quantitative Assessment
berkala mengenai identifikasi kejadian dengan potensi dampak negatif pada tujuan atau operasi perusahaan, termasuk bisnis, peraturan, hukum, teknologi, mitra dagang, sumber daya manusia dan aspek operasional. Harus Menentukan dampak dasar dan menjaga informasi ini. Harus danya suatu pencatatan dan penyimpanan risiko yang relevan dalam registri risiko.
(PO9.4) Penilaian Risiko Manajemen TSI harus memantau dan mengukur secara berkala mengenai kemungkinan dan dampak dari semua risiko yang teridentifikasi, menggunakan metode kualitatif dan kuantitatif. Kemungkinan dan dampak yang terkait dengan risiko yang melekat dan residual harus ditentukan secara individual, berdasarkan kategori dan berdasarkan jumlah portofolio.
Inherent and residual risk
Cost-effective controls mitigating exposure Risk avoidance
(PO9.5) Merespon risiko Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu pengembangan dan pemeliharaan mengenai proses yang merespon risiko yang dirancang untuk memastikan bahwa biaya-efektif kontrol memitigasi risiko eksposur secara berkelanjutan.
jalur manajemen yang tepat dan cepat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam indentifikasi risiko. (A.13.1.2) Pelaporan kelemahan keamanan Semua karyawan, tenaga kontrak dan pengguna pihak ketiga sistem informasi dan layanan harus mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau yang dicurigai dalam sistem atau jasa. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam indentifikasi risiko. (A.5.1.2) Peninjauan kebijakan keamanan informasi Kebijakan keamanan informasi harus ditinjau secara berkala atau jika terjadi perubahan yang signifikan harus dipastikan kecocokannya dengan tujuan bisnis, memadai, dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian risiko. (A.14.1.2) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian risiko.
138
strategies in terms of avoidance, mitigation or acceptance Prioritising and planning risk responses Costs, benefits and responsibilities Monitoring deviations
Proses respon risiko ini harus mengidentifikasi strategi risiko seperti menghindari, mengurangi, membagi, atau menerima. Menentukan tanggung jawab yang terkait, dan mempertimbangkan tingkat toleransi risiko. (PO9.6) Pemeliharaan dan pemantauan risk action plan Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu prioritas dan perencanaan kegiatan kontrol di semua tingkatan untuk melaksanakan identifikasi dalam menanggapi risiko sebagai kebutuhan, termasuk identifikasi biaya, manfaat dan tanggung jawab untuk pelaksanaannya. Tindakan tersebut harus mendapat persetujuan untuk melakukan tindakan yang direkomendasikan dan penerimaan dari setiap risiko residual, dan pastikan bahwa tindakan tersebut di sepakati oleh pemilik proses yang terkena dampak. Harus adanya pemantauan mengenai pelaksanaan rencana tersebut, dan melaporkan setiap penyimpangan kepada manajemen senior.
Ukuran pencapaian dari proses ini adalah : 9 Pesentasi dari kekeritisan tujuan IT yang tercover oleh pengukuran risiko 9 Persentasi dari identifikasi risiko IT yang kritis dengan perencanaan tindakan pengembangan 9 Frekuensi dari perencanaan manajemen risiko yang disetujui untuk diimplementasi
139
4.4.3 Perancangan Remediasi Proses Pengelolaan Perubahan (AI6)
Fokus utama proses AI6 adalah mengendalikan dampak penilaian, otorisasi dan pelaksanaan semua perubahan pada
infrastruktur IT, aplikasi dan solusi teknis, mengurangi kesalahan yang disebabkan karena permintaan spesifikasi yang tidak lengkap, dan menghentikan pelaksanaan perubahan yang tidak sah. Pencapaian dari proses ini dapat dicapai dengan cara : 9 Mendefinisikan dan mengkomunikasikan prosedur perubahan, termasuk perubahan darurat 9 Mengukur, memprioritaskan dan mengotorisasi perubahan 9 Menelusuri status dan melaporkan perubahan Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut : Tabel 4.19 : Perancangan Remediasi AI6 Key Areas Formal change management procedures Standardised approach
COBIT 4.1 (AI6.1) Standar dan prosedur perubahan Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu pengaturan dari prosedur pengelolaan perubahan secara formal untuk menangani semua permintaan sesuai standar (termasuk pemeliharaan dan patch) untuk perubahan aplikasi,
ISO27001 (A.10.1.2) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam standar dan prosedur perubahan. (A.12.5.3) Pembatasan perubahan pada perangkat
140
Assessing impact, categorising, prioritising and authorising
prosedur, proses, parameter sistem dan layanan, dan lunak platform yang mendasarinya. Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam standar dan prosedur perubahan. (A.10.1.2) Manajemen perubahan (AI6.2) Penilaian dampak, prioritas dan otorisasi Manajemen TSI harus memantau dan mengukur secara Perubahan terhadap fasilitas pemrosesan informasi berkala mengenai penilaian terhadap semua permintaan ataupun sistem harus dikontrol. Kemudian Manajemen untuk perubahan dengan cara yang terstruktur untuk TSI harus memasukkan hal ini ke dalam penilaian menentukan dampak pada sistem operasional dan dampak, prioritas dan otorisasi. fungsinya. Pastikan bahwa perubahan dikategorikan, (A.12.5.1) Mengubah prosedur pengendalian Penerapan perubahan harus dikendalikan dengan diprioritaskan dan diotorisasi. menggunakan prosedur kontrol perubahan yang formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi. (A.12.5.3) Pembatasan perubahan pada perangkat lunak Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi. (A.12.6.1) Pengendalian kerentanan teknis Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh pada waktu yang tepat, informasi kerentanan tersebut harus dievaluasi,
141
Process for defining, raising, testing, documenting, assessing and authorising emergency changes
(AI6.3) Perubahan darurat Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu proses untuk mendefinisikan, meningkatkan, menguji, mendokumentasikan, menilai dan mengotorisasi perubahan darurat yang tidak mengikuti proses perubahan yang baru dibangun.
dan kebijakan yang sesuai harus diambil untuk mengatasi risiko terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi. (A.10.1.2) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A.11.5.4) Penggunaan dari utilitas sistem Penggunaan dari utilitas program yang mungkin mampu melebihi sistem dan kontrol aplikasi harus dibatasi dan dikontrol secara ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A.12.5.1) Mengubah prosedur pengendalian Penerapan perubahan harus dikendalikan dengan menggunakan prosedur kontrol perubahan yang formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A.12.5.3) Pembatasan perubahan pada perangkat lunak Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A.12.6.1) Pengendalian kerentanan teknis Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh pada waktu yang
142
Tracking and reporting of all changes— rejected, approved, in-process and completed
Change implementation and documentation updates
(AI6.4) Penelusuran perubahan status dan pelaporan Manajemn TSI harus memantau dan mengukur secara berkala mengenai sebuah sistem penelusuran dan pelaporan untuk perubahan dokumen yang ditolak, mengkomunikasikan status yang disetujui dan yang sedang dalam perubahan, dan setelah perubahan. Pastikan perubahan yang disetujui diimplementasikan sesuai rencana. (AI6.5) Penyelesaian perubahan dan dokumentasi Manajemen TSI harus memantau dan mengukur secara berkala mengenai kapan saja perubahan diimplementasikan, diperbaharuinya sistem yang terkait dan dokumentasi pengguna dan prosedur yang sesuai.
tepat, informasi kerentanan tersebut harus dievaluasi, dan kebijakan yang sesuai harus diambil untuk mengatasi risiko terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A.10.1.2) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan status dan penelusuran.
(A.10.1.2) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penyelesaian perubahan dan dokumentasi.
Ukuran pencapaian dari proses ini adalah : 9 Jumlah gangguan atau data yang error karena spesifikasi yang tidak akurat atau pengukuran damapk yang tidak lengkap 9 Banyaknya aplikasi atau infrastruktur yang dikerjakan ulang karena spesifikasi perubahan yang tidak memadai 9 Persentasi dari perubahan yang mengikuti proses kontrol perubahan yang formal
143
4.4.4 Perancangan Remediasi Memastikan Ketersediaan Layanan (DS4)
Fokus utama proses DS4 adalah menyediakan layanan IT yang berkesinambungan yang membutuhkan pengembangan,
pemeliharaan, dan pengujian perencanaan IT yang berkesinambungan. Proses layanan yang secara efektif berkesinambungan meminimalkan kemungkinan dan dampak dari interupsi layanan utama IT pada proses-proses dan fungsi-fungsi utama bisnis. Pencapaian dari proses ini dapat dicapai dengan cara : 9 Mengembangkan dan memelihara/meningkatkan IT kontingensi 9 Melatih dan menguji rencana IT kontingensi 9 Menyimpan salinan dari rencana kontingensi dan data pada offsite locations Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 2 (Repeatable but Intuitive) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya terdapat dua tahap yang pertama untuk peningkatan ke level 3 (Define Process) dan kemudian tahap selanjutnya untuk peningkatan ke level 4 (Manage and Measurable) berikut merupakan perancangan remediasinya :
144
Tabel 4.20 : Perancangan Remediasi DS4 Key Areas Enterprisewide consistent approach to continuity management
COBIT 4.1 (DS4.1) Kerangka kerja IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai suatu pengembangan langkah kerja untuk IT yang berkelanjutan untuk mendukung kelangsungan manajemen bisnis yang berkelanjutan menggunakan proses yang konsisten. Tujuan dari kerangka kerja tersebut harus mendampingi dalam menentukan pemulihan infrastuktur yang sesuai dan untuk mendorong pengembangan pemulihan dari bencana dan rencan kotingensi IT. Kerangka kerja tersebut menunjukkan struktur organisasi untuk kelangsungan manajemen, melingkupi peran, tugas dan kewajiban dari penyelenggara pelayanan internal dan external, manajemen dan customernya, dan proses perencanaan yang menciptakan aturan dan struktur untuk dokumentasi, pengujian, dan mengeksekusi proses pemulihan bencana dan rencana kontingensi IT. Rencana tersebut harus menunjukkan hal-hal seperti identifikasi sumber yang kritis, memperhatikan hal-hal yang terkait, memonitor dan melaporkan sumber kritis yang tersedia, proses alternatif dan prinsip dari backup dan pemulihan. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai kerangka kerja IT yang berkelanjutan.
ISO27001 (A.6.1.6) Autorisasi kontak Kontak-kontak yang dibutuhkan harus dipelihara dengan baik dan terautorisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A.6.1.7) Kontak dengan grup yang khusus Kontak dengan grup-grup yang khusus atau forum para spesialis atau profesional keamanan harus diperlihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A.14.1.1) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A.14.1.2) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A.14.1.4) Kerangka rencana kelanjutan bisnis
145
Individual continuity plans based on framework Business impact analysis Resilience, alternative processing and recovery
Focus on critical
(DS4.2) Rencana IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan pengembangan mengenai rencana IT yang berkelanjutan berdasarkan kerangka kerja dan dirancang untuk mengurangi pengaruh dari ganguan yang utama pada kunci fungsi bisnis dan proses. Perancanaan tersebut harus berdasarkan pada pemahaman risiko dari potensi dampak bisnis dan menunjukkan kebutuhan untuk pemulihan, proses alternatif dan kemampuan penyembuhan dari semua pelayanan IT yang kritis. Perencanaan tersebut harus meliputi panduan pemakaian, peranan dan kewajiban, prosedur, proses komunikasi dan pendekatan untuk melakukan pengujian. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana IT yang berkelanjutan.
(DS4.3) Sumber IT yang kritis Manajemen TSI harus mendokumentasikan
dan
Kerangka kerja untuk rencana kelanjutan bisnis harus dipelihara guna memastikan semua rencana dan kebutuhan keamanan informasi dipenuhi secara konsisten, serta untuk mengidentifikasi prioritas dalam pengujian dan pemeliharaan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A.6.1.6) Autorisasi kontak Kontak-kontak yang dibutuhkan harus dipelihara dengan baik dan terautorisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam rencana IT yang berkelanjutan. (A.6.1.7) Kontak dengan grup yang khusus Kontak dengan grup-grup yang khusus atau forum para spesialis atau profesional keamanan harus diperlihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A.14.1.3) Mengembangkan dan menerapkan rencana kelanjutan termasuk keamanan informasi Rencana harus dikembangkan dan diimplementasikan untuk mempertahankan atau mengembalikan operasi dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan, atau kegagalan, proses bisnis yang kritis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A.14.1.1) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis
146
mengkomunikasikan prihal perhatian yang fokus kepada hal yang spesifik sebagai hal yang paling kritis dalam rencana IT yang berkelanjutan untuk membangun pemulihan dan menyelenggarakan prioritas dalam situasi tersebut. Menghindari gangguan dari hal-hal Response for pemulihan yang tidak kritis dan memastikan respon dan different time pemulihan yang sesuai dengan kebutuhan bisnis yang periods diprioritaskan, sedangkan memastikan bahwa biaya masih dalam tingkat yang dapat diterima dan kepatuhan terhadap peraturan dan kontrak sesuai dengan kebutuhan. Harus adanya suatu pertimbangan mengenai kebutuhan pemulihan dan respon untuk pihak yang berbeda, sebagai contoh 1 sampai 4 jam, 4 sampai dengan 24 jam, lebih dari 24 jam dan waktu operasi bisnis yang kritis. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana IT yang berkelanjutan. (DS4.4) Pemeliharaan IT yang berkelanjutan Changing control to reflect Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai dorongan yang diberikan changing dari Manajemen TSI untuk mendefinisikan dan business melaksanakan prosedur kontrol perubahan untuk requirements memastikan bahwa rencana IT yang berkelanjutan tetap diperbaharui dan merefleksikan secara berkelanjutan mengenai kebutuhan bisnis yang sesungguhnya. Dan juga harus mengkomunikasikan perubahan dalam prosedur dan kewajiban secara jelas dan dalam waktu yang teratur. infrastructure, resilience and prioritisation
Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam sumber IT yang kritis. (A.14.1.2) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam sumber IT yang kritis.
(A.14.1.5) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemeliharaan IT yang berkelanjutan.
147
Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pemeliharaan IT yang berkelanjutan. (DS4.5) Menguji rencana IT yang berkelanjutan Regular testing Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai pengujian terhadap Implementing rencana IT yang berkelanjutan yang teratur untuk action plan memastikan bahwa sistem IT dapat diperbaiki secara efektif, pemberitahuan ditujukan dan sesuai dengan rencana. Hal ini membutuhkan persiapan yang hati-hati, dokumentasi, pelaporan hasil pengujian dan sesuai dengan hasil, implementasi dari sebuah action plan. Dan juga harus mempertimbangkan perpanjangan dari pemulihan pengujian aplikasi yang tersendiri untuk mengintegrasikan skenario pengujian dengan pengujian akhir dan pengujian vendor yang terintegrasi. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pengujian rencana IT yang berkelanjutan. Regular training (DS4.6) Pelatihan rencana IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan for all mengkomunikasikan mengenai penyediaan semua pihak concerned yang terlibat dengan sesi pelatihan yang teratur parties berkenaan dengan prosedur dan peranan kewajiban mereka dalam hal insiden atau bencana. Dan juga harus adanya verifikasi dan dukungan pelatihan sesuai dengan hasil pengujian bersama. Setelah mendokumentasikan dan mengkomunikasikan
(A.14.1.5) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian rencana IT yang berkelanjutan.
(A.14.1.5) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pelatihan rencana IT yang berkelanjutan.
148
Proper and secure distribution to all authorised parties
Planning for period when IT is recovering and resuming services Business understanding and investment support
maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pelatihan rencana IT yang berkelanjutan. (DS4.7) Distribusi rencana IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penetapan sebuah strategi distribusi yang didefinisikan dan dikelola dari yang sudah ada untuk memastikan bahwa rencanarencana tersebut didistribusikan secara aman dan sesuai dan tersedia untuk pihak terkait yang tertarik ketika dibutuhkan di manapun dan kapanpun. Dan juga harus adanya perhatian untuk membuat rencana tersebut dapat diakses dalam segala skenario bencana. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai distribusi rencana IT yang berkelanjutan. (DS4.8) Pemulihan dan perangkuman layanan IT Manajemen TSI harus mendokumentasikan dan mengkomunikasikan perencanaan dari langkah-langkah yang harus diambil dalam periode di mana IT sebagai pelayanan pemulihan dan perangkuman. Hal ini termasuk aktivasi dari tempat backup, inisiasi proses alternatif, komunikasi pelanggan dan pihak terkait dan prosedur perangkuman. Dan juga harus dipastikan bahwa bisnis memahami waktu pemulihan dan investasi teknologi yang dibutuhkan untuk mendukung pemulihan bisnis dan kebutuhan perangkuman. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus
(A.14.1.5) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam distribusi rencana IT yang berkelanjutan.
(A.14.1.1) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemulihan dan perangkuman layanan IT. (A.14.1.3) Mengembangkan dan menerapkan rencana kelanjutan termasuk keamanan informasi Rencana harus dikembangkan dan diimplementasikan untuk mempertahankan atau mengembalikan operasi
149
memantau dan mengukur secara berkala mengenai dan memastikan ketersediaan informasi pada tingkat pemulihan dan perangkuman layanan IT. yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan, atau kegagalan, proses bisnis yang kritis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemulihan dan perangkuman layanan IT. (A.10.5.1) Backup Informasi (DS4.9) Penyimpanan backup offsite Offsite storage Manajemen TSI harus mendokumentasikan dan Backup terhadap salinan informasi dan perangkat of all critical mengkomunikasikan mengenai suatu penyimpanan dari lunak perlu dilakukan dan diuji secara berkala sesuai media, semua media backup yang kritis, dokumentasi dan dengan kebijakan backup yang telah ditentukan documentation sumber IT yang lainnya yang dibutuhkan dalam rencana sebelumnya. Kemudian Manajemen TSI harus and resources pemulihan IT dan kelanjutan bisnis. Tentukan bahwa isi memasukkan hal ini ke dalam penyimpanan backup needed in dari penyimpanan backup dalam kerjasama antara offsite. collaboration pemilik proses bisnis dan personel IT. Pengelolaan with business process penyimpanan fasilitas offsite harus merespon kebijakan pengelompokan data dan praktek penyimpanan media owners perusahaan. Manajemen TSI harus memastikan bahwa penyusunan offsite dinilai secara periodik, setidaknya setahun sekali, untuk isi, proteksi lingkungan dan keamanan. Pastikan bahwa hardware dan software dapat digunakan untuk menyimpan data diarsip dan menguji secara periodik dan memperbaharui data diarsip. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai penyimpanan backup offsite. (A.14.1.5) Pengujian, pemeliharaan dan penilaian Regular (DS4.10) Ulasan paska perangkuman Manajemen TSI harus mendokumentasikan dan kembali rencana kelanjutan bisnis management mengkomunikasikan mengenai penetapan bahwa Rencana kelanjutan bisnis harus diuji dan diperbarui assessment
150
of plans
Manajemen TSI telah menyelenggarakan prosedur untuk menilai kecukupan rencana dalam hal kesuksesan perangkuman dari fungsi IT paska suatu bencana dan memperbaharui rencana berdasarkan hal tersebut. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai ulasan paska perangkuman.
secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam ulasan paska perangkuman.
Ukuran pencapaian dari proses ini adalah : 9 Jumlah jam yang hilang peruser perbulan karena keluar dari yang tidak direncanakan 9 Jumlah penyampaian proses bisnis yang kritis terhadap IT yang tidak tercover oleh perencanaan IT yang berkelanjutan
4.4.5 Perancangan Remediasi Memastikan Keamanan Sistem (DS5)
Fokus utama proses DS5 adalah mendefinisikan kebijakan, prosedur, dan standar keamanan IT, serta memonitor, mendeteksi,
melaporkan, dan menyelesaikan kerentanan keamanan dan insiden. Pencapaian dari proses ini dapat dicapai dengan cara : 9 Memahami kebutuhan keamanan, kerentanan dan ancaman 9 Mengelola identitas pengguna dan otorisasi dalam suatu cara standarisasi 9 Menguji keamanan secara reguler
151
Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 2 (Repeatable but Intuitive) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya terdapat dua tahap yang pertama untuk peningkatan ke level 3 (Define Process) dan kemudian tahap selanjutnya untuk peningkatan ke level 4 (Manage and Measurable) berikut merupakan perancangan remediasinya : Tabel 4.21 : Perancangan Remediasi DS5 Key Areas High-level placement of security management to meet business needs
COBIT 4.1 (DS5.1) Manajemen keamanan IT Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai monitoring terhadap pengelolaan keamanan IT pada tingkat tertinggi dalam organisasi, sehingga pengelolaan tindakan keamanan sesuai dengan kebutuhan bisnis Bank T. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai manajemen keamanan IT.
ISO27001 (A.6.1.1) Komitmen pihak manajemen terhadap keamanan informasi Pihak manajemen harus mendukung dengan aktif keamanan dalam organisasi melalui tujuan yang jelas, komitmen yang dapat dirasakan, penugasan secara eksplisit, dan merasa bertanggung jawab terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT. (A.6.1.2) Koordinasi keamanan informasi Keamanan informasi harus sudah dikoordinasikan dengan pihak-pihak dari berbagai Divisi dalam organisasi dengan peran dan tanggung jawab yang sesuai. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT. (A.6.2.3) Mengikutsertakan keamanan dalam persetujuan dengan pihak ketiga Persetujuan dengan pihak ketiga mengenai hak akses, proses, komunikasi, atau pengaturan informasi organisasi serta fasilitas proses informasi, bahkan
152
Translation of business, risk and compliance requirements into a security plan
(DS5.2) Rencana keamanan IT Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penafsiran kebutuhan bisnis, risiko dan kepatuhan ke dalam rencana keamanan IT secara keseluruhan, dengan mempertimbangkan infrastruktur IT dan budaya keamanan. Pastikan bahwa rencana diimplementasikan dalam kebijakan dan prosedur keamanan bersama-sama dengan investasi yang tepat dalam layanan, perangkat lunak personel, dan perangkat keras. Komunikasikan kebijakan dan prosedur keamanan kepada stakeholders dan pengguna. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana keamanan IT.
proses penambahan produk atau pelayanan harus melingkupi seluruh kebutuhan keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT. (A.8.2.2) Kepedulian keamanan informasi, pendidikan dan pelatihan Semua staf dalam organisasi, dan jika berhubungan, tenaga kontrak, dan pihak ketiga harus menerima pelatihan dan pembaharuan kebijakan dan prosedur dalam organisasi, yang berkaitan dengan fungsi pekerjaan mereka. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT. (A.5.1.1) Dokumen kebijakan keamanan informasi Dokumen kebijakan keamanan informasi harus disetujui oleh pihak manajemen, dan dicetak serta dikomunikasikan kepada seluruh staf dan pihak-pihak ketiga yang terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.5.1.2) Peninjauan kebijakan keamanan informasi Kebijakan keamanan informasi harus ditinjau secara berkala atau jika terjadi perubahan yang signifikan harus dipastikan kecocokannya dengan tujuan bisnis, memadai, dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.6.1.2) Koordinasi keamanan informasi Keamanan informasi harus sudah dikoordinasikan
153
dengan pihak-pihak dari berbagai Divisi dalam organisasi dengan peran dan tanggung jawab yang sesuai. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.6.1.5) Persetujuan kerahasiaan Persetujuan kerahasiaan atau non-disclosure yang dibutuhkan oleh organisasi untuk keamanan informasi harus diidentifikasikan dan ditinjau secara berkala. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.8.2.2) Kepedulian keamanan informasi, pendidikan dan pelatihan Semua staf dalam organisasi, dan jika berhubungan, tenaga kontrak, dan pihak ketiga harus menerima pelatihan dan pembaharuan kebijakan dan prosedur dalam organisasi, yang berkaitan dengan fungsi pekerjaan mereka. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.11.1.1) Kebijakan kontrol akses Sebuah kebijakan kontrol akses harus dibuat, didokumentasi, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.11.7.1) Mobile computing dan komunikasi mobile Sebuah kebijakan formal harus berada pada tempatnya dan pengukuran keamanan yang sesuai harus diadopsi untuk melindungi risiko-risiko menggunakan fasilitas komunikasi dan mobile computing. Kemudian
154
Identification of all users (internal, external and temporary) and their activity
(DS5.3) Manajemen identitas Manajemen TSI harus mendokumentasikan dan mengkomunikasikan prihal memastikan bahwa semua pengguna (internal, eksternal dan temporer) dan aktivitas mereka pada sistem IT (aplikasi bisnis, lingkungan IT, operasi sistem, pengembangan dan pemeliharaan) secara unik diidentifikasi. Mengaktifkan identitas pengguna melalui mekanisme otentikasi. Konfirmasikan bahwa hak akses pengguna ke sistem dan data yang sesuai dengan kebutuhan bisnis didefinisikan dan didokumentasikan dan bahwa persyaratan pekerjaan yang melekat pada identitas pengguna. Pastikan bahwa pengguna hak akses yang diminta oleh manajemen pengguna disetujui oleh pemilik sistem dan dilaksanakan oleh orangbertanggung jawab terhadap keamanan. Mempertahankan identitas pengguna dan hak akses dalam repositori pusat. Menerapkan langkah-langkah teknis dan prosedural biaya efektif, dan menjaga hal tersebut di saat yang sama untuk membangun identifikasi pengguna, menerapkan otentikasi dan menegakkan hak akses.
Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.11.7.2) Teleworking Sebuah kebijakan, rencana operasional dan prosedurprosedur harus dikembangkan dan diimplementasikan untuk kegiatan teleworking. Kemudian Manajemen TSI harus memsukkan hal ini ke dalam perencanaan keamanan IT. (A.11.2.3) Manajemen password pengguna Alokasi password harus dikontrol lewat sebuah proses manajemen formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. (A.11.3.1) Penggunaan password Pengguna harus mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. (A.11.4.1) Kebijakan penggunaan layanan jaringan Pengguna hanya disediakan akses ke jaringan yang secara khusus sah untuk digunakan oleh pengguna tersebut. Kemudian Manajemen TSI harus memasakkan hal ini ke dalam manajemen identitas. (A.11.5.1) Prosedur keamanan log-on Akses pada sistem operasi harus dikontrol oleh prosedur keamanan log-on. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. (A.11.5.2) Idenfikasi user dan autentikasi
155
Semua pengguna harus memiliki identitas (user ID) yang unik, hanya untuk penggunaan pribadi, dan teknik autentikasi yang cocok juga harus dipilih untuk memperkuat klaim identitas dari pengguna. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. (A.11.5.3) Sistem manajemen password Sistem untuk mengatur password harus interaktif dan menjamin kualitas password. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. (A.11.5.5) Sesi waktu keluar Sesi akan ditutup setelah waktu ketidakaktifan yang sudah didefinisikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. (A.11.5.6) Batasan dari waktu koneksi Batasan waktu koneksi harus digunakan untuk menyediakan keamanan tambahan dari aplikasi yang mempunyai risiko besar. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. (A.11.6.1) Pembatasan akses informasi Akses ke fungsi sistem aplikasi dan informasi oleh pengguna dan personil pendukung harus dibatasi sesuai dengan kebijakan kontrol akses yang terdefinisi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. (A.6.1.5) Persetujuan kerahasiaan (DS5.4) Manajemen akun pengguna Manajemen TSI harus mendokumentasikan dan Persetujuan kerahasiaan atau non-disclosure yang mengkomunikasikan mengenai permintaan dibutuhkan oleh organisasi untuk keamanan informasi
Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai manajemen identitas.
Life cycle management of user
156
accounts and access privileges
pengalamatan, penerbitan, penangguhan, pemodifikasian dan penutup akun pengguna dan hak pengguna terkait dengan seperangkat prosedur manajemen user account. Termasuk prosedur persetujuan menguraikan pemilik data atau sistem pemberian hak akses. Prosedur ini harus diterapkan untuk semua pengguna, termasuk administrator (pengguna istimewa) dan pengguna internal dan eksternal, untuk kasus-kasus normal dan darurat. Hak dan kewajiban relatif terhadap akses ke sistem perusahaan dan informasi kontak diatur untuk semua jenis pengguna. Lakukan tinjauan secara rutin mengenai semua akun dan hak-hak terkait. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai manajemen akun pengguna.
harus diidentifikasikan dan ditinjau secara berkala. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.6.2.1) Identifikasi risiko terkait pihak ketiga eksternal Risiko terhadap informasi organisasi dan fasilitas proses informasi terkait proses bisnis yang berhubungan dengan pihak ketiga eksternal harus diidentifikasikan dan diatur kewenangannya sebelum diberi hak akses. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.6.2.2) Penjagaan keamanan ketika berhubungan dengan pelanggan Mengidentifikasikan seluruh kebutuhan keamanan informasi sebelum memberikan akses kepada pelanggan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.8.1.1) Peran dan tanggung jawab Tingkat keamanan untuk peran dan tanggung jawab staf, tenaga kontrak, dan pihak ketiga harus didefinisikan dan didokumentasikan sesuai dengan kebijakan keamanan informasi perusahaan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.8.3.1) Tanggung jawab untuk pemberhentian staf Tanggung jawab untuk melakukan proses pemberhentian atau penggantian staf harus
157
didefinisikan dan ditugaskan dengan jelas. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.8.3.3) Penghapusan hak-hak akses Semua akses dari staf, tenaga kontrak, dan pihak ketiga terhadap informasi dan fasilitas proses informasi harus dihapus selama proses pemberhentian kerja, kontrak atau persetujuan, atau penyesuaian selama proses pergantian posisi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.10.1.3) Pemisahan tugas Tugas dan tanggung jawab harus dipisahkan untuk menekan potensi atas modifikasi atau penyalahgunaan aset organisasi oleh pihak-pihak yang tidak berwenang baik yang dilakukan secara sengaja ataupun tidak ada unsur kesengajaan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.11.1.1) Kebijakan kontrol akses Sebuah kebijakan kontrol akses harus dibuat, didokumentasi, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.11.2.1) Registrasi pengguna Ada registrasi formal pengguna dan prosedur registrasi ulang di tempat untuk pemberian dan pencabutan akses ke semua sistem dan layanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam
158
manajemen akun pengguna. (A.11.2.2) Manajemen hak khusus Alokasi dan penggunaan hak khusus harus dibatasi dan dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.11.2.4) Peninjauan hak akses pengguna Manajemen harus memantau hak akses pengguna pada interval waktu yang teratur dengan menggunakan sebuah proses formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.11.3.1) Penggunaan password Pengguna harus mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.11.5.1) Prosedur keamanan log-on Akses pada sistem operasi harus dikontrol oleh prosedur keamanan log-on. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.11.5.3) Sistem manajemen password Sistem untuk mengatur password harus interaktif dan menjamin kualitas password. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.11.6.1) Pembatasan akses informasi Akses ke fungsi sistem aplikasi dan informasi oleh pengguna dan personil pendukung harus dibatasi
159
Proactive testing of security implementation Timely accreditation Timely reporting of unusual events
(DS5.5) Pengujian, pengawasan dan pemantauan keamanan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai pengujian dan pemantauan pelaksanaan keamanan IT dengan cara proaktif. Keamanan IT harus diakreditasi pada waktu yang tepat untuk memastikan bahwa informasi dasar keamanan perusahaan yang disetujui itu dipertahankan. Sebuah logging dan fungsi pengawasan memungkinkan pencegahan dini dan/atau deteksi dan pelaporan waktu sberikutnya dari kegiatan yang tidak biasa yang mungkin perlu ditangani. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pengujian, pengawasan dan pemantauan keamanan.
sesuai dengan kebijakan kontrol akses yang terdefinisi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna. (A.6.1.8) Peninjauan keamanan informasi yang independen Peninjauan manajemen keamanan informasi dalam organisasi dan implementasinya (seperti: kontrol obyektif, kebijakan, proses, dan prosedur keamanan informasi) harus dilakukan secara independen dan berkala, atau ketika terjadi perubahan implementasi keamanan yang signifikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan. (A.10.10.2) Memonitor penggunaan sistem Prosedur-prosedur untuk memonitor penggunaan dari fasilitas proses informasi harus dibuat, dan hasil dari kegiatan proses pemonitoran dipantau secara rutin. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan. (A.10.10.3) Perlindungan dari log informasi Fasilitas logging dan log informasi harus dilindungi dari gangguan dan akses yang tidak sah. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan. (A.10.10.4) Log administrator dan operator Kegiatan dari sistem administrator dan sistem operator harus dicatat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan.
160
Definition and
(DS5.6) Definisi insiden keamanan
(A.12.6.1) Pengendalian kerentanan teknis Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh pada waktu yang tepat, informasi kerentanan tersebut harus dievaluasi, dan kebijakan yang sesuai harus diambil untuk mengatasi risiko terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan. (A.13.1.2) Pelaporan kelemahan keamanan Semua karyawan, tenaga kontrak dan pengguna pihak ketiga sistem informasi dan layanan harus mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau yang dicurigai dalam sistem atau jasa. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan. (A.15.2.2) Pemeriksaan kepatuhan teknis Sistem informasi harus diperiksa secara rutin untuk memenuhi standar implementasi keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan. (A.15.3.1) Kontrol audit sistem informasi Kebutuhan audit dan kegiatan yang melibatkan pengecekan pada sistem operasional harus direncanakan dengan hati-hati dan untuk meminimalkan risiko gangguan terhadap proses bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan. (A.8.2.3) Proses pendisiplinan
161
classification of security incident characteristics
Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai definisi dan komunikasi yang jelas akan karakteristik insiden keamanan yang potensial sehingga hal tersebut dapat diklasifikasikan dan diperlakukan sesuai dengan kejadian dan masalah manajemen proses. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pendefinisian insiden keamanan.
Harus ada proses pendisiplinan untuk staf yang melakukan pelanggaran keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pendefinisian insiden keamanan. (A.13.1.1) Pelaporan peristiwa keamanan informasi Informasi kejadian keamanan harus dilaporkan melalui jalur manajemen yang tepat dan cepat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pendefinisian insiden keamanan. (A.13.1.2) Pelaporan kelemahan keamanan Semua karyawan, tenaga kontrak dan pengguna pihak ketiga sistem informasi dan layanan harus mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau yang dicurigai dalam sistem atau jasa. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pendefinisian insiden keamanan. (A.13.2.1) Tanggung jawab dan prosedur Tanggung jawab manajemen dan prosedur harus ditetapkan untuk memastikan respon yang cepat, efektif, dan teratur terhadap insiden keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pendefinisian insiden keamanan. (A.13.2.3) Pengumpulan bukti Apabila suatu tindak lanjut terhadap user atau organisasi setelah insiden keamanan informasi melibatkan pelanggaran dalam tindakan hukum (baik perdata atau pidana), maka bukti harus dikumpulkan, dipertahankan, dan disajikan agar sesuai dengan aturan yang ditetapkan dalam hukum yang relevan. Kemudian
162
Resistance to tampering
(DS5.7) Perlindungan keamanan teknologi Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai pembuatan keamanan untuk teknologi yang terkait tahan terhadap gangguan, dan tidak perlu membuka dokumentasi keamanan yang tidak diperlukan. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai perlindungan keamanan teknologi.
Manajemen TSI harus memasukkan hal ini ke dalam pendefinisian insiden keamanan. (A.6.1.4) Proses autorisasi untuk fasilitas proses informasi Mangelola permohonan autorisasi untuk proses informasi yang baru harus didefinisikan dan diimplementasikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.9.1.6) Area untuk akses publik, pengiriman dan pengangkutan Titik akses untuk aktifitas pengiriman dan pengangkutan ataupun titik-titik lainnya di mana pihak yang tidak berwenang dapat memasuki area gedung harus dapat dikontrol dan apabila memungkinkan terisolasi dari segala bentuk fasilitas pemrosesan informasi sehingga dapat mencegah kebocoran akses terhadap pihak-pihak yang tidak berwenang. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.9.2.1) Pengaman dan penempatan peralatan Perlengkapan harus ditempatkan atau diamankan untuk mengurangi risiko yang muncul dari lingkungan ataupun bahaya lainnya, serta potensi yang muncul atas penggunaan atau akses dari pihak yang tidak berwenang. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.9.2.3) Pengamanan jaringan kabel Kabel tenaga listrik ataupun telekomunikasi yang
163
mentransmisikan data ataupun berbagai sarana pendukung layanan informasi yang lainya harus dilindungi terhadap gangguan dan kerusakan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.10.6.2) Pengamanan terhadap layanan jaringan Keamanan, tingkat layanan, serta kebutuhan manajemen terhadap berbagai layanan jaringan harus diidentifikasi dan diikutsertakan dalam berbagai perjanjian layanan jaringan, baik untuk layanan yang diadakan sendiri/in-house ataupun yang dialih dayakan kepada pihak lain. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.10.7.4) Pengamanan terhadap dokumentasi sistem Dokumentasi sistem harus dilindungi terhadap akses yang tidak berwenang. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.10.10.1) Audit logging Audit logs mencatat kegiatan-kegiatan pengguna, pengecualian-pengecualian, dan peristiwa-peristiwa keamanan informasi di mana harus disimpan selama periode yang disetujui untuk membantu proses investigasi di masa depan dan untuk mengakses pemonitoran kontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.10.10.3) Perlindungan dari log informasi
164
Fasilitas logging dan log informasi harus dilindungi dari gangguan dan akses yang tidak sah. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.10.10.4) Log administrator dan operator Kegiatan dari sistem administrator dan sistem operator harus dicatat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.10.10.5) Pencatatan kesalahan (Fault logging) Kesalahan harus dicatat, dianalisa dan diambil tindakan yang sesuai. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.10.10.6) Sinkronisasi waktu Waktu dari semua sistem proses informasi harus relevan di dalam sebuah organisasi atau domain keamanan harus disinkronisasi dengan sumber waktu akurat yang telah disetujui. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.11.3.2) Peralatan penggunan yang tidak diawasi Penggunan harus menjamin bahwa peralatan yang tidak diawasi mempunyai perlindungan yang memadai. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.11.3.3) Kebijakan meja kerja dan monitor yang bersih Kebijakan meja kerja yang bersih dari kertas dan
165
media penyimpanan yang dapat dipindahkan serta kebijakan monitor yang bersih dari fasilitas proses informasi harus diadopsi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.11.4.3) Identifikasi peralatan dalam jaringan Idenfikasi peralatan otomatis harus dipertimbangkan sebagai sarana untuk mengautentikasi jaringan dari lokasi dan peralatan yang spesifik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.11.4.4) Diagnosa jarak jauh dan proteksi konfigurasi port Akses fisik dan logis untuk mendiagnosa dan konfigurasi port harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.11.5.1) Prosedur keamanan log-on Akses pada sistem operasi harus dikontrol oleh prosedur keamanan log-on. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.11.5.4) Penggunaan dari utilitas sistem Penggunaan dari utilitas program yang mungkin mampu melebihi sistem dan kontrol aplikasi harus dibatasi dan dikontrol secara ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.11.5.5) Sesi waktu keluar Sesi akan ditutup setelah waktu ketidakaktifan yang
166
sudah didefinisikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.11.5.6) Batasan dari waktu koneksi Batasan waktu koneksi harus digunakan untuk menyediakan keamanan tambahan dari aplikasi yang mempunyai risiko besar. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.11.6.2) Isolasi sistem sensitif Sistem sensitif harus diisolasi dari lingkungan komputasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.11.7.1) Mobile computing dan komunikasi mobile Sebuah kebijakan formal harus berada pada tempatnya dan pengukuran keamanan yang sesuai harus diadopsi untuk melindungi risiko-risiko menggunakan fasilitas komunikasi dan mobile computing. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.11.7.2) Teleworking Sebuah kebijakan, rencana operasional dan prosedurprosedur harus dikembangkan dan diimplementasikan untuk kegiatan teleworking. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.12.4.1) Pengendalian perangkat lunak untuk kegiatan operasional Harus ada prosedur untuk mangatur instalasi perangkat
167
lunak pada sistem operasional. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.12.6.1) Pengendalian kerentanan teknis Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh pada waktu yang tepat, informasi kerentanan tersebut harus dievaluasi, dan kebijakan yang sesuai harus diambil untuk mengatasi risiko terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.13.1.2) Pelaporan kelemahan keamanan Semua karyawan, tenaga kontrak dan pengguna pihak ketiga sistem informasi dan layanan harus mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau yang dicurigai dalam sistem atau jasa. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.13.2.3) Pengumpulan bukti Apabila suatu tindak lanjut terhadap user atau organisasi setelah insiden keamanan informasi melibatkan pelanggaran dalam tindakan hukum (baik perdata atau pidana), maka bukti harus dikumpulkan, dipertahankan, dan disajikan agar sesuai dengan aturan yang ditetapkan dalam hukum yang relevan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.15.2.2) Pemeriksaan kepatuhan teknis Sistem informasi harus diperiksa secara rutin untuk memenuhi standar implementasi keamanan. Kemudian
168
Life-cycle management of cryptographic keys
(DS5.8) Manajemen kunci kriptografi Manajemen TSI harus mendokumentasikan dan mengkomunikasikan prihal memastikan kebijakan dan prosedur berfungsi sebagai mana mestinya untuk mengatur turunan, perubahan, pencabutan, kehancuran, distribusi, sertifikasi, penyimpanan, akses masuk, penggunaan dan pengarsipan kunci kriptografi untuk menjamin perlindungan terhadap kunci modifikasi dan pengungkapan yang tidak sah. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai manajemen kunci kriptografi.
Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.15.3.2) Perlindungan terhadap tool audit sistem informasi Akses terhadap tool audit sistem informasi harus dilindungi untuk mencegah kemungkinan penyalahgunaan atau kompromi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi. (A.10.8.4) Pesan elektronik Informasi yang ada dalam pesan elektronik harus terlindungi dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen kunci kriptografi. (A.12.2.3) Integritas pesan Kebutuhan untuk memastikan keaslian dan perlindungan terhadap integritas pesan dalam aplikasi harus diidentifikasi, serta pengendalian yang tepat juga diidentifikasi dan diimplementasikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen kunci kriptografi. (A.12.3.1) Kebijakan dalam penggunaan kontrol kriptografi Kebijakan tentang penggunaan kontrol kriptografi untuk melindungi informasi harus dikembangkan dan diimplementasikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen kunci kriptografi. (A.12.3.2) Key management Key management harus tersedia untuk mendukung
169
Up-to-date patches, virus controls and protection from malware
Controls to authorise access
(DS5.9) Pencegahan, deteksi dan koreksi perangkat lunak yang berbahaya Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penempatan tindakan preventif, detektif dan korektif sesuai pada tempatnya (terutama sistem keamanan yang diperbaharui dan pengendalian virus) di seluruh organisasi untuk melindungi sistem informasi dan teknologi dari malware (misalnya, virus, worm, spyware, spam). Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pencegahan, deteksi dan koreksi perangkat lunak yang berbahaya.
(DS5.10) Keamanan jaringan Manajemen TSI harus mendokumentasikan
dan
penggunaan teknik kriptografi dalam organisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen kunci kriptografi. (A.15.1.6) Peraturan dalam kontrol kriptografi Kontrol kriptografi harus digunakan sesuai dengan semua perjanjian yang relevan, hukum, dan peraturan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen kunci kriptografi. (A.10.4.1) Pengendalian terhadap kode program yang bersifat merusak Deteksi, pencegahan, dan pemulihan kembali untuk melindungi ancaman kode program yang bersifat merusak, selain itu perlu di susun prosedur untuk meningkatkan kewaspadaan pengguna. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pencegahan, deteksi dan koreksi perangkat lunak yang berbahaya. (A.10.4.2) Pengendalian terhadap kode program mobile Pada saat di mana kode program mobile memperloleh otorisasi, konfigurasi yang ada harus memastikan bahwa kode program mobile tersebut beroperasi sesuai dengan kebijakan yang telah ditentukan dengan jelas, dan perlu dilakukan pencegahan terhadap kode program mobile yang belum mendapatkan otorisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pencegahan, deteksi dan koreksi perangkat lunak yang berbahaya. (A.6.2.1) Identifikasi risiko terkait pihak ketiga eksternal
170
and information flows from and to networks
mengkomunikasikan mengenai penggunaan teknik dan prosedur manajemen keamanan yang terkait (misalnya, firewall, peralatan keamanan, segmentasi jaringan, deteksi intrusi) untuk otorisasi akses dan kontrol arus informasi dari dan ke jaringan. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai keamanan jaringan.
Risiko terhadap informasi organisasi dan fasilitas proses informasi terkait proses bisnis yang berhubungan dengan pihak ketiga eksternal harus diidentifikasikan dan diatur kewenangannya sebelum diberi hak akses. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam keamanan jaringan. (A.10.6.1) Pengendalian jaringan Praktik pengendalian dan pengelolaan jaringan yang memadai sehingga terhindar dari berbagai ancaman dan untuk memastikan keamanan terhadap sistem dan aplikasi yang terhubung dengan jaringan, termasuk informasi yang ditransmisikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam keamanan jaringan. (A.10.6.2) Pengamanan terhadap layanan jaringan Keamanan, tingkat layanan, serta kebutuhan manajemen terhadap berbagai layanan jaringan harus diidentifikasi dan diikutsertakan dalam berbagai perjanjian layanan jaringan, baik untuk layanan yang diadakan sendiri/in-house ataupun yang dialih dayakan kepada pihak lain. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam keamanan jaringan. (A.11.4.1) Kebijakan penggunaan layanan jaringan Pengguna hanya disediakan akses ke jaringan yang secara khusus sah untuk digunakan oleh pengguna tersebut. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam keamanan jaringan. (A.11.4.2) Autentikasi pengguna untuk koneksi eksternal Metode autentikasi yang sesuai harus digunakan untuk
171
mengontrol akses oleh pengguna jarak jauh. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam keamanan jaringan. (A.11.4.3) Identifikasi peralatan dalam jaringan Idenfikasi peralatan otomatis harus dipertimbangkan sebagai sarana untuk mengautentikasi jaringan dari lokasi dan peralatan yang spesifik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam keamanan jaringan. (A.11.4.4) Diagnosa jarak jauh dan proteksi konfigurasi port Akses fisik dan logis untuk mendiagnosa dan konfigurasi port harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam keamanan jaringan. (A.11.4.5) Pemisahan dalam jaringan Grup-grup dalam layanan informasi, pengguna dan sistem informasi harus dipisahkan dalam jaringan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam keamanan jaringan. (A.11.4.6) Kontrol koneksi jaringan Untuk jaringan berbagi, khususnya perluasan yang melewati wilayah organisasi, kemampuan pengguna untuk menghubung ke jaringan harus dibatasi, masih dalam jalur dengan kebijakan kontrol akses dan persyaratan dari aplikasi bisnis (lihat 11.1). Kemudian Manajemen TSI harus memasukkan hal ini ke dalam keamanan jaringan. (A.11.4.7) Kontrol routing jaringan Kontrol routing harus diimplementasikan pada
172
Trusted path and authentication controls, proof of receipt and non-repudiation
(DS5.11) Pertukaran data sensitif Manajmen TSI harus mendokumentasikan dan mengkomunikasikan mengenai pertukaran data transaksi yang sensitif hanya melalui jalur yang dipercaya atau menengah dengan kontrol untuk menyediakan keaslian isi, bukti penyerahan, bukti penerimaan dan sumber yang tidak terlacak.
jaringan untuk menjamin bahwa koneksi komputer dan aliran informasi tidak melanggar kebijakan kontrol akses untuk aplikasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam keamanan jaringan. (A.11.6.2) Isolasi sistem sensitif Sistem sensitif harus diisolasi dari lingkungan komputasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam keamanan jaringan. (A.6.1.5) Persetujuan kerahasiaan Persetujuan kerahasiaan atau non-disclosure yang dibutuhkan oleh organisasi untuk keamanan informasi harus diidentifikasikan dan ditinjau secara berkala. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pertukaran data sensitif. (A.6.2.1) Identifikasi risiko terkait pihak ketiga eksternal Risiko terhadap informasi organisasi dan fasilitas proses informasi terkait proses bisnis yang berhubungan dengan pihak ketiga eksternal harus diidentifikasikan dan diatur kewenangannya sebelum diberi hak akses. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pertukaran data sensitif. (A.10.8.1) Prosedur dan kebijakan pertukaran informasi Kebijakan formal, prosedur, serta pengendalian atas pertukaran data harus tersedia untuk melindungi aktifitas pertukaran data melalui berbagai macam fasilitas komunikasi yang ada. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pertukaran
173
data sensitif. (A.10.8.2) Kesepakatan mengenai Pertukaran Kesepakatan harus dibentuk dalam melakukan pertukaran data dan perangkat lunak antara organisasi dengan pihak eksternal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pertukaran data sensitif. (A.10.8.3) Media fisik yang sedang dalam pengiriman (transit) Media yang memuat informasi harus dilindungi terhadap akses yang tidak berhak, penyalah gunaan ataupun kerusakan pada saat pemindahan atau transportasi ke luar area organisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pertukaran data sensitif. (A.10.8.4) Pesan elektronik Informasi yang ada dalam pesan elektronik harus terlindungi dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pertukaran data sensitif. (A.10.9.1) Electronic commerce Informasi pada electronic commerce yang melewati jaringan publik harus dilindungi dari kegiatan kecurangan, sengketa kontrak, penyingkapan yang tidak sah dan kegiatan modifikasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pertukaran data sensitif. (A.11.4.2) Autentikasi pengguna untuk koneksi eksternal Metode autentikasi yang sesuai harus digunakan untuk
174
mengontrol akses oleh pengguna jarak jauh. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pertukaran data sensitif.
Ukuran pencapaian dari proses ini adalah : 9 Jumlah kejadian yang merusak reputasi organisasi terhadap publik 9 Jumlah sistem dimana kebutuhan keamanannya tidak terpenuhi 9 Jumlah pelanggaran dalam pemisahan tugas
4.4.6 Perancangan Remediasi Proses Pengelolaan Data (DS11)
Fokus utama proses DS11 adalah menjaga kelengkapan, akurasi, ketersediaan dan perlindungan data. Pencapaian dari proses
ini dapat dicapai dengan cara : 9 Membackup data dan menguji restorasi 9 Mengelola penyimpanan insite dan offsite dari data 9 Mengamankan pembuangan data dan peralatan
175
Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut : Tabel 4.22 : Perancangan Remediasi DS11 Key Areas Input form design Minimising errors and omissions Error-handling procedures Document preparation Segregation of duties
COBIT 4.1 (DS11.1) Kebutuhan bisnis untuk pengelolaan data Manajemen TSI harus memantau dan mengukur secara berkala mengenai verifikasi bahwa semua data yang diperlukan untuk proses diterima dan diproses secara lengkap, akurat, dan sesuai jadwal, dan semua hasilnya disampaikan sesuai dengan kebutuhan bisnis. Harus adanya dukungan mengenai kebutuhan untuk memulai kembali dan memproses ulang.
ISO27001 (A.10.8.1) Prosedur dan kebijakan pertukaran informasi Kebijakan formal, prosedur, serta pengendalian atas pertukaran data harus tersedia untuk melindungi aktifitas pertukaran data melalui berbagai macam fasilitas komunikasi yang ada. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan bisnis untuk pengelolaan data.
(DS11.2) Pengaturan tempat penyimpanan dan memory Manajemen TSI harus memantau dan mengukur secara berkala mengenai definisi dan penerapan prosedur untuk efektifitas dan efesiensi penyimpanan data, memory, pengarsipan agar sesuai dengan tujuan bisnis, kebutuhan kebijakan keamanan organisasi dan regulasi.
(A.10.5.1) Backup informasi Backup terhadap salinan informasi dan perangkat lunak perlu dilakukan dan diuji secara berkala sesuai dengan kebijakan backup yang telah ditentukan sebelumnya. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan memory. (A.10.7.1) Manajemen terhadap removable media Harus tersedia prosedur untuk manajemen penanganan media yang dapat dipindahkan/removable media. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan memory. (A.15.1.3) Perlindungan terhadap catatan organisasi
176
Completeness and accuracy
(DS11.3) Sistem pengelolaan media library Manajemen TSI harus memantau dan mengukur secara berkala mengenai definisi dan penerapan prosedur untuk memelihara tempat penyimpanan dan media yang telah diarsipkan untuk memastikan penggunaan dan integritasnya.
Detection, reporting and correction
(DS11.4) Disposal Manajemen TSI harus memantau dan mengukur secara berkala mengenai pendefinisian dan penerapan prosedur untuk memastikan bahwa kebutuhan bisnis untuk perlindungan data dan perangkat lunak yang sensitif sesuai ketika data dan perangkat keras yang dihancurkan atau dipindahkan.
Catatan penting harus dilindungi dari kerugian, kehancuran dan pemalsuan, sesuai dengan perundangundangan, persyaratan peraturan, kontrak, dan bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan memory. (A.10.7.1) Manajemen terhadap removable media Harus tersedia prosedur untuk manajemen penanganan media yang dapat dipindahkan/removable media. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan memory. (A.10.7.2) Pembuangan media Media harus dibuang secara aman pada saat tidak dibutuhkan lagi, harus ada prosedur formal untuk itu. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan memory. (A.12.4.3) Kontrol akses ke source code program Akses ke source code program harus dibatasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan memory. (A.9.2.6) Pengamanan terhadap pembuangan atau penggunaan kembali peralatan Seluruh peralatan yang mengandung media penyimpanan harus terlebih dahulu diperiksa untuk memastikan bahwa data-data penting dan perangkat lunak berlisensi tidak ada atau sudah diganti secara keseluruhan sebelum dilakukan pembuangan.
177
Legal requirements Retrieval and reconstruction mechanisms Data input by authorised staff
(DS11.5) Backup dan restore Manajemen TSI harus memantau dan mengukur secara berkala mengenai definisi dan penerapan prosedur untuk backup dan restore aplikasi data dan dokumentasi yang sejalan dengan kebutuhan bisnis dan rencana yang berkelanjutan. (DS11.6) Kebutuhan pengamanan untuk pengelolaan data Manajemen TSI harus memantau dan mengukur secara berkala mengenai definisi dan penerapan kebijakan dan prosedur untuk mengidentifikasikan dan menerapkan kebutuhan keamanan aplikasi yang dapat diaplikasikan pada pemrosesan, penyimpanan dan keluaran dari data agar sesuai dengan tujuan bisnis, kebutuhan kebijakan keamanan dan regulasi.
Kemudian Manajemen TSI harus memasukkan hal ini ke dalam disposal. (A.10.7.1) Manajemen terhadap removable media Harus tersedia prosedur untuk manajemen penanganan media yang dapat dipindahkan/removable media. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam disposal. (A.10.7.2) Pembuangan media Media harus dibuang secara aman pada saat tidak dibutuhkan lagi, harus ada prosedur formal untuk itu. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam disposal. (A.10.5.1) Backup informasi Backup terhadap salinan informasi dan perangkat lunak perlu dilakukan dan diuji secara berkala sesuai dengan kebijakan backup yang telah ditentukan sebelumnya. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam backupn dan restore. (A.10.5.1) Backup informasi Backup terhadap salinan informasi dan perangkat lunak perlu dilakukan dan diuji secara berkala sesuai dengan kebijakan backup yang telah ditentukan sebelumnya. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data. (A.10.7.3) Prosedur penanganan informasi Prosedur untuk menangani dan mengatasi masalah penyimpanan informasi harus dibentuk untuk melindungi informasi tersebut dari kebocoran informasi ataupun penyalahgunaan. Kemudian
178
Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data. (A.10.8.3) Media fisik yang sedang dalam pengiriman (transit) Media yang memuat informasi harus dilindungi terhadap akses yang tidak berhak, penyalah gunaan ataupun kerusakan pada saat pemindahan atau transportasi ke luar area organisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data. (A.10.8.4) Pesan elektronik Informasi yang ada dalam pesan elektronik harus terlindungi dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data. (A.10.8.5) Sistem informasi bisnis Kebijakan dan prosedur harus dibentuk dan diterapkan untuk melindungi informasi yang berhubungan dengan interkoneksi antara sistem informasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data. (A.12.4.2) Perlindungan terhadap data pengujian sistem Data uji harus dipilih dengan hati-hati, dan dilindungi serta dikendalikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data. (A.12.4.3) Kontrol akses ke source code program Akses ke source code program harus dibatasi. Kemudian Manajemen TSI harus memasukkan hal ini
179
ke dalam kebutuhan pengamanan untuk pengelolaan data. Ukuran pencapaian dari proses ini adalah : 9 Persentasi kepuasan pengguna terhadap ketersediaan data 9 Persentasi dari kesuksesan restorasi data 9 Jumlah kejadian dimana data diambil setelah media dibuang
4.4.7 Perancangan Remediasi Proses Pengelolaan fasilitas (DS12)
Fokus utama proses DS12 adalah menyediakan dan merawat lingkungan fisik yang sesuai untuk melindungi perlengkapan IT
dari akses, gangguan, atau pencurian. Pencapaian dari proses ini dapat dicapai dengan cara : 9 Mengimplemantasikan pengukuran keamanan fisik 9 Memilih dan mengelola fasilitas Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut :
180
Tabel 4.23 : Perancangan Remediasi DS12 Key Areas Site selection based on technology strategy, risk, legal and regulatory requirements
Securing the location, including protection from
COBIT 4.1 (DS12.1) Pemilihan situs dan layout Manajemen TSI harus memantau dan mengukur secara berkala mengenai definisi dan pemilihan situs fisik untuk peralatan IT untuk mendukung strategi teknologi yang berkaitan dengan strategi bisnis. Pemilihan dan perancangan tata ruang situs tersebut harus memperhatikan risiko yang berkaitan dengan bencana alam dan bencana yang disebabkan oleh manusia dengan mempertimbangkan hukum dan ketentuan yang berlaku seperti kesehatan, pekerjaan, dan peraturan keamanan.
ISO27001 (A.9.1.1) Pertahanan keamanan fisik Pertahanan keamanan (penghalang seperti: tembok, pintu masuk dengan kartukontrol) harus digunakan untuk melindungi area yang memuat informasi dan fasilitas proses informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemilihan situs dan layout. (A.9.1.3) Pengamanan kantor, ruangan, dan fasilitas Keamanan secara fisik untuk kantor, ruangan, dan fasilitas harus didesain dan diaplikasikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemilihan situs dan layout. (A.9.1.6) Area untuk akses publik, pengiriman dan pengangkutan Titik akses untuk aktifitas pengiriman dan pengangkutan ataupun titik-titik lainnya di mana pihak yang tidak berwenang dapat memasuki area gedung harus dapat dikontrol dan apabila memungkinkan terisolasi dari segala bentuk fasilitas pemrosesan informasi sehingga dapat mencegah kebocoran akses terhadap pihak-pihak yang tidak berwenang.. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemilihan situs dan layout. (A.9.1.1) Pertahanan keamanan fisik (DS12.2) Pengukuran keamanan fisik Manajemen TSI harus memantau dan mengukur secara Pertahanan keamanan (penghalang seperti: tembok, berkala mengenai definisi dan penerapan pengukuran pintu masuk dengan kartukontrol) harus digunakan keamanan fisik yang sesuai dengan kebutuhan bisnis untuk melindungi area yang memuat informasi dan
181
unauthorised access, natural risks and power outages
Controlled access to premises by all
fasilitas proses informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengukuran keamanan fisik. (A.9.1.2) Kontrol hak akses masuk Area terlarang harus dilindungi dengan hak akses masuk yang sesuai untuk memastikan hanya pihakpihak yang memiliki akses yang dapat masuk. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengukuran keamanan fisik. (A.9.1.3) Pengamanan kantor, ruangan, dan fasilitas Keamanan secara fisik untuk kantor, ruangan, dan fasilitas harus didesain dan diaplikasikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengukuran keamanan fisik. (A.9.2.5) Pengamanan terhadap peralatan yang ada di luar gedung Pengamanan harus dilakukan terhadap peralatan yang berada di luar lokasi, dan harus mencakup berbagai risiko kerja yang timbul di luar gedung. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengukuran keamanan fisik. (A.9.2.7) Pencabutan atau penonaktifan properti Peralatan, informasi ataupun perangkat lunak tidak boleh dicabut atau dinonaktifkan tanpa otorisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengukuran keamanan fisik. (A.6.2.1) Identifikasi risiko terkait pihak ketiga (DS12.3) Akses fisik Manajemen TSI harus memantau dan mengukur secara eksternal berkala mengenai definisi dan penerapan prosedur untuk Risiko terhadap informasi organisasi dan fasilitas untuk mengamankan lokasi dan aset fisik. Pengukuran keamana fisik harus dapat mencegah secara efektif mendeteksi dan menjauhkan risiko yang berkaitan dengan pencurian, suhu, api, asap, air, getaran, teror, kekacauan, konsleting, bahan kimia atau ledakan.
182
parties
menjamin, membatasi akses kepada area dan bangunan berdsarkan kebutuhan bisnis, termasuk keadaan darurat. Akses ke area dan bangunan harus ditentukan, diotorisasi dan dimonitor. Hal ini harus diaplikasikan kepada semua orang yang memasuki area tersebut termasuk staf, staf temporer, pelanggan, vendor, pengunjung atau pihak ketiga lainnya.
proses informasi terkait proses bisnis yang berhubungan dengan pihak ketiga eksternal harus diidentifikasikan dan diatur kewenangannya sebelum diberi hak akses. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam akses fisik. (A.9.1.2) Kontrol hak akses masuk Area terlarang harus dilindungi dengan hak akses masuk yang sesuai untuk memastikan hanya pihakpihak yang memiliki akses yang dapat masuk. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam akses fisik. (A.9.1.5) Bekerja dalam area yang menuntut pengamanan Perlindungan fisik dan panduan apabila bekerja dalam lingkungan yang menuntut pengamanan harus dirancang dan diterapkan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam akses fisik. (A.9.1.6) Area untuk akses publik, pengiriman dan pengangkutan Titik akses untuk aktifitas pengiriman dan pengangkutan ataupun titik-titik lainnya di mana pihak yang tidak berwenang dapat memasuki area gedung harus dapat dikontrol dan apabila memungkinkan terisolasi dari segala bentuk fasilitas pemrosesan informasi sehingga dapat mencegah kebocoran akses terhadap pihak-pihak yang tidak berwenang. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam akses fisik. (A.9.2.5) Pengamanan terhadap peralatan yang ada di luar gedung
183
Monitoring and control of environmental factors
(DS12.4) Perlindungan terhadap faktor lingkungan Manajemen TSI harus memantau dan mengukur secara berkala mengenai perancangan dan penerapan pengukuran untuk perlindungan terhadap faktor lingkungan. Memasang peralatan dan perlengkapan tertentu untuk memonitor dan mengendalikan lingkungan.
Pengamanan harus dilakukan terhadap peralatan yang berada di luar lokasi, dan harus mencakup berbagai risiko kerja yang timbul di luar gedung. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam akses fisik. (A.9.1.4) Perlindungan terhadap ancaman eksternal dan yang berasal dari lingkungan Perlindungan fisik terhadap kerusakan akibat kebakaran, banjir, gempa bumi, ledakan, kerusuhan, serta bencana lainnya yang disebabkan baik oleh alam ataupun manusia harus di rancang dan diterapkan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan terhadap faktor lingkungan. (A.9.2.1) Pengaman dan penempatan peralatan Perlengkapan harus ditempatkan atau diamankan untuk mengurangi risiko yang muncul dari lingkungan ataupun bahaya lainnya, serta potensi yang muncul atas penggunaan atau akses dari pihak yang tidak berwenang. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan terhadap faktor lingkungan. (A.9.2.2) Utilitas pendukung Peralatan harus dilindungi dari kegagalan sumber daya listrik atau gangguan lainnya yang disebabkan oleh kegagalan pada sarana utilitas pendukung. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan terhadap faktor lingkungan. (A.9.2.3) Pengamanan jaringan kabel Kabel tenaga listrik ataupun telekomunikasi yang mentransmisikan data ataupun berbagai sarana
184
Management of facilities according to business, legal and regulatory requirements
(DS12.5) Manajemen fasilitas fisik Manajemen TSI harus memantau dan mengukur secara berkala mengenai proses pengelolaan fasilitas, termasuk peralatan sumber listrik dan komunikasi, sesuai dengan hukum dan ketentuan yang berlaku, kebutuhan teknis dan bisnis, spesifikasi vendor dan panduan kesehatan dan keamanan.
Ukuran pencapaian dari proses ini adalah : 9 Banyaknya downtime yang muncul dari kejadian lingkungan fisik 9 Jumlah kejadian karena pelanggaran atau kegagalan keamanan fisik 9 Frekuensi dari pengulasan dan pengukuran risiko fisik
pendukung layanan informasi yang lainya harus dilindungi terhadap gangguan dan kerusakan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan terhadap faktor lingkungan. (A.9.2.2) Utilitas pendukung Peralatan harus dilindungi dari kegagalan sumber daya listrik atau gangguan lainnya yang disebabkan oleh kegagalan pada sarana utilitas pendukung. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan terhadap manajemen fasilitas fisik. (A.9.2.4) Perawatan peralatan Peralatan harus diperliharan dengan baik dan benar untuk memastikan integritas serta kelangsungannya. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan terhadap manajemen fasilitas fisik.
