UNIVERSITAS INDONESIA EVALUASI KONDISI MANAJEMEN KEAMANAN INFORMASI PADA PIALANG ASURANSI : STUDI KASUS PADA PT XYZ KARYA AKHIR

UNIVERSITAS INDONESIA

EVALUASI KONDISI MANAJEMEN KEAMANAN INFORMASI PADA PIALANG ASURANSI : STUDI KASUS PADA PT XYZ

KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi

ALVIN ADAM 1006747990

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013

Evaluasi kondisi ..., Alvin Adam, FAsilkom UI, 2013

ii

Universitas Indonesia


iii



KATA PENGANTAR

Puji syukur saya panjatkan kepada Tuhan Yang Maha Esa, karena atas berkat dan rahmat-Nya, saya dapat menyelesaikan Karya Akhir ini. Penulisan karya akhir ini dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer - Universitas Indonesia. Saya menyadari bahwa, tanpa bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada penyusunan karya akhir ini, sangatlah sulit bagi saya untuk menyelesaikannya. Oleh karena itu, saya mengucapkan terima kasih kepada:

(1) Widijanto S. Nugroho, Ph.D., selaku dosen pembimbing yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan karya akhir ini;

(2) Seluruh pihak Komisaris, Direksi dan Karyawan PT XYZ

(3) Orang tua dan keluarga tercinta

(4) Sahabat-sahabat, yang tidak dapat disebutkan satu persatu, yang telah banyak membantu saya dalam menyelesaikan karya akhir ini.

(5) Pihak lain yang telah membantu saya dalam karya akhir ini

Akhir kata, saya berharap Tuhan Yang Maha Esa berkenan membalas segala kebaikan semua pihak yang telah membantu. Semoga karya akhir ini membawa manfaat bagi pengembangan ilmu.

Jakarta, Januari 2013

Alvin Adam

iv



v



ABSTRAK Nama

: Alvin Adam

Program Studi : Magister Teknologi Informasi Judul

: Evaluasi Kondisi Manajemen Keamanan Informasi Pada Pialang Asuransi : Studi Kasus Pada PT XYZ

PT XYZ bergerak pada bisnis jasa pialang asuransi. Pada pelaksanaan proses bisnisnya telah terjadi beberapa kali pencurian data. Selain itu dari audit yang dilakukan oleh Departemen Keuangan menunjukan bahwa dibutuhkan evaluasi terhadap keamanan informasi perusahaan. Evaluasi kondisi Manajemen Keamanan Informasi pada penelitian ini dilakukan dari sisi tata kelola TI untuk melihat kondisi Manajemen Keamanan Informasi dari sisi strategis perusahaan.

Penelitian ini menggunakan kerangka kerja ISO 27001 dan COBIT untuk mengevaluasi kondisi manajemen keamanan informasi perusahaan. Sementara itu untuk mengevaluasi kondisi strategis pencapaian manajemen keamanan informasi digunakan IT BSC. Hasil akhir yang didapatkan adalah kondisi terkini Manajemen Keamanan Informasi.

Kata kunci : Manajemen Keamanan Informasi,COBIT, IT BSC. xiii + 83 halaman; 13 gambar; 2 tabel; 55 halaman lampiran

vi



ABSTRACT Nama

: Alvin Adam

Program Studi : Magister Teknologi Informasi Judul

: Evaluasi Kondisi Manajemen Keamanan Informasi Pada Pialang Asuransi : Studi Kasus Pada PT XYZ

PT XYZ is a corporation that runs insurance brokerage business. On the implementation of business processes there was data fraud occured several times . In addition, from an audit conducted by the Ministry of Finance shows that it’s necessary to made an evaluation of coorporation’s information security. Evaluation of Information Security Management conditions in this research was carried out from the side of IT governance to evaluate the information security management of the company's strategic.

This research use the framework of ISO 27001 and COBIT to evaluate the condition of coorporation’s information security management. Meanwhile, to evaluate the condition of the achievement of the strategic information security management IT BSC was used. The final result that obtained is the current state of information security management.

Keywords : Manajemen Keamanan Informasi,COBIT, IT BSC. xiii + 83 pages; 13 pictures; 2 table; 55 appendix’s pages

vii



DAFTAR ISI

HALAMAN JUDUL ........................................................................................................ i HALAMAN PERNYATAAN ORISINALITAS ......................................................... ii HALAMAN PENGESAHAN ....................................................................................... iii KATA PENGANTAR .................................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR . v DAFTAR ISI viii DAFTAR GAMBAR ........................................................................................................ xii DAFTAR TABEL............................................................................................................. xii DAFTAR SINGKATAN ................................................................................................. xiii BAB I PENDAHULUAN .............................................................................................................. 1 1.1. Latar Belakang..................................................................................................... 1 1.2. Permasalahan Dalam Karya Akhir ....................................................................... 5 1.3. Batasan Karya Akhir ............................................................................................ 5 1.4. Tujuan Karya Akhir ............................................................................................. 6 1.5. Sistematika Penulisan........................................................................................... 7 BAB II STUDI LITERATUR.......................................................................................................... 8 2.1. Pendahuluan ......................................................................................................... 8 2.2. Regulasi terkait Penyelenggaraan operasional pada Pialang Asuransi ................ 8 2.3. Risiko ................................................................................................................. 10 2.4. Standar Manajemen Keamanan Informasi ISO 27001 ....................................... 12 2.5. Penilaian Risiko ................................................................................................. 13 2.6. IT Balanced Scorecard ....................................................................................... 17 viii



2.7. COBIT ................................................................................................................ 19 2.8. Penelitian Terdahulu Yang Relevan ................................................................... 21 BAB III METODOLOGI PENELITIAN ........................................................................................ 25 3.1. Pernyataan Masalah............................................................................................ 26 3.2. Landasan Teori ................................................................................................... 26 3.3. Pengumpulan data .............................................................................................. 26 3.4. Evaluasi Manajemen Keamanan Informasi ........................................................ 27 3.5. Kesimpulan dan Saran........................................................................................ 28 3.6. Theoretical Framework ...................................................................................... 29 BAB IV EVALUASI KONDISI MANAJEMEN KEAMANAN INFORMASI ............................ 30 4.1. Analisa Kondisi Perusahaan .............................................................................. 30 4.1.1.

Kondisi Perusahaan Saat ini ...................................................................... 30

4.1.2.

Usulan Perbaikan Manajemen Keamanan Informasi ................................ 31

4.1.3.

Data yang Dibutuhkan .............................................................................. 32

4.1.3.1.

Dokumen SOP .......................................................................................... 32

4.1.3.2.

Dokumen Kebijakan Perusahaan .............................................................. 32

4.2. Proses Analisa Data ........................................................................................... 33 4.2.1.

Analisa Target Manajemen Keamanan Informasi ..................................... 33

4.2.2.

Analisa Kemapanan Manajemen Keamanan Informasi ............................ 42

4.2.2.1.

Analisa IEC17799/ISO27001 ................................................................... 43

4.2.2.2.

Analisa Kemapanan COBIT ..................................................................... 57

4.2.3. Kesenjangan Performansi dan Kemapanan Manajemen Keamanan Informasi ......................................................................................................... 67

BAB V KESIMPULAN DAN SARAN......................................................................................... 78 5.1. Kesimpulan ........................................................................................................ 78 ix



5.2. Saran .................................................................................................................. 79 DAFTAR PUSTAKA ....................................................................................................... 81 LAMPIRAN… ................................................................................................................ 814 STRUKTUR SOP ............................................................................................................. 89 HASIL FGD I. .................................................................................................................. 92 HASIL FGD II .................................................................................................................. 95 HASIL PEMERIKSAAN MANAJEMEN KEAMANAN INFORMASI MENGGUNAKAN ISO 27001 ................................................................. 97 STRUKTUR ORGANISASI PT XYZ ........................................................................... 138

x



DAFTAR GAMBAR

Gambar 1 : Aspek keamanan informasi ...................................................................... 11 Gambar 2 : Flowchart 9 langkah penilaian risiko...................................................... 16 Gambar 3 : 4 Domain COBIT ...................................................................................... 20 Gambar 4 : Theoretical Framework ............................................................................ 29 Gambar 5 : Analisa SWOT ........................................................................................... 35 Gambar 6 : BSC PT. XYZ ............................................................................................ 37 Gambar 7 : IT BSC PT. XYZ ....................................................................................... 37 Gambar 8 : IT BSC dan performansi KPI ................................................................... 39 Gambar 9 : Strategy Tree IT BSC PT. XYZ ............................................................. 68 Gambar 10 : SWOT setelah penambahan manajemen keamanan informasi.......... 72 Gambar 11 : BSC PT. XYZ setelah penambahan manajemen keamanan informasi ................................................................................................... 73 Gambar 12 : IT BSC PT. XYZ setelah penambahan manajemen keamanan informasi ................................................................................................... 74 Gambar 13 : IT BSC dan performansi KGI setelah penambahan manajemen keamanan informasi ................................................................................ 76

xi



DAFTAR TABEL

Tabel 1 : Tabel hasil temuan masalah keamanan informasi perusahaan berdasarkan IEC17799/ISO 27001 ..................................................... 43 Tabel 2 : Pemetaan terhadap COBIT .......................................................................... 58

xii



DAFTAR SINGKATAN

BSC

=

Balanced Scorecard

DRP

=

Disaster Recovery Plan

FGD

=

Focus Group Discussion

GCG

=

Good Corporate Governance

IT BSC

=

IT Balanced Scorecard

KGI

=

Key Group Indicator Merupakan target dari performasi yang telah dirumuskan pada KPI

KPI

=

Key Performance Indicator

SOP

=

Standard Operating Procedures

SWOT

=

Strengh Weakness Opportunities Threat

TI

=

Teknologi Informasi

xiii



BAB I

PENDAHULUAN

1.1. Latar Belakang PT XYZ merupakan perusahaan pialang asuransi yang didirikan pada 20 November 2008 melalui perpindahan 100% kepemilikan pialang asuransi PT ABC. Kegiatan utama pialang asuransi adalah : 1. Jasa keperantaraan penutupan asuransi, yang meliputi a) Jasa manajemen risiko, b) Jasa penempatan asuransi c) Pialang diperbolehkan melakukan pemasaran atas semua jenis produk asuransi baik asuransi umum (general/kerugian) maupun produk asuransi jiwa; d) Pialang diperbolehkan menempatkan resiko nasabah ke semua perusahaan asuransi selama masih terdapat dalam kriteria UU No. 2 tahun 1992 terutama pasal 12 dan 13; e) Pialang diperbolehkan menerima titipan pembayaran premi dari Tertanggung untuk kemudian diteruskan kepada perusahaan asuransi setelah dipotong komisi; 2. Jasa keperantaraan penyelesaian proses klaim a) Pialang diperbolehkan mewakili tertanggung untuk bernegosiasi dengan pihak Penanggung dalam proses penyelesaian klaim Tertanggung; b) Pialang tidak berhak untuk menerima pembayaran klaim atas nama tertanggung dari penanggung; Melihat dari fungsi pialang asuransi di atas maka dapat dilihat bahwa pialang asuransi tidak memiliki peranan sebagai lembaga asuransi tetapi memiliki jenis data sama seperti perusahaan asuransi ataupun lembaga keuangan non bank.

1



2

Sementara sebagai perbandingan antara broker asuransi dan agen asuransi adalah :

1.

2.

3.

Broker Perusahaan Pialang Asuransi adalah perusahaan yang memberikan jasa keperantaraan dalam penutupan asuransi dan penanganan penyelesaian ganti rugi asuransi dengan bertindak untuk kepentingan tertanggung (UU No. 2 Th. 92 Pasal. 3) Perusahaan Pialang Asuransi dilarang menempatkan penutupan asuransi kepada perusahaan asuransi yang tidak mempunyai izin usaha dari menteri. (UU No. 2 Th. 92 Pasal. 12) Perusahaan Pialang Asuransi hanya dapat menyelenggarakan usaha dengan bertindak mewakili Tertanggung dalam rangka transaksi yang berkaitan dengan kontrak asuransi. (UU No. 2 Th. 92 Pasal. 5)

1.

Agen Agen Asuransi adalah seseorang atau badan hukum yang kegiatannya memberikan jasa asuransi untuk dan atas nama penanggung (UU No.2 Th. 92)

2.

Setiap Agen Asuransi hanya dapat menjadi satu agen dari 1 (satu) Perusahaan Asuransi (UU No. 63 Th.99 Pasal. 27)

3.

Agen Asuransi wajib memiliki Perjanjian Keagenan dengan Perusahaan Asuransi yang diageni (UU No. 63 Th. 99 Pasal. 27)

Dikarenakan PT XYZ baru beroperasional secara penuh pada awal 2009, maka seluruh proses manajemen perusahaan sampai saat ini masih dirumuskan oleh pihak manajemen perusahaan. Acuan dari kegiatan opersional pialang asuransi adalah : 1. UU nomor 2 tahun 1992 tentang pelaksanaan perasuransian 2. Peraturan Pemerintah No. 73 th 1992 tentang penyelenggaraan usaha perasuransian 3. Peraturan Pemerintah Republik Indonesia Nomor 63 Tahun 1999 tentang perubahan atas Peraturan Pemerintah Nomor 73 Tahun 1992 tentang Penyelenggaraan Usaha Perasuransian 4. Peraturan Pemerintah no 38 tahun 2008 tentang perubahan kedua Peraturan pemerintah nomor 73 tahun 1992 5. Peraturan Pemerintah no 81 tahun 2008 tentang perubahan ketiga Peraturan pemerintah nomor 73 tahun 1992



6. Keputusan Menteri Keuangan R.I. No. 226/KMK.0171993 tentang perizinan dan penyelenggaraan kegiatan usaha perusahaan penunjang perusahaan asuransi. Pada keseluruhan peraturan tersebut belum ada yang mengatur tentang keamanan data informasi dan manajemen risiko informasi sehingga setiap pialang asuransi menerapkan standar internal yang berbeda. Dalam menjalankan bisnisnya, PT XYZ menerima penutupan asuransi untuk jenis asuransi jiwa dan umum di mana klien terbesar dari PT XYZ merupakan klien dari perusahaan bukan perorangan meskipun PT XYZ sendiri menerima penutupan asuransi dari perorangan. Layanan utama PT XYZ dapat diketegorikan menjadi 3 layanan utama : 1. Layanan Penutupan Asuransi Mencakup layanan konsultasi dalam pemilihan asuransi dan pengurusan dokumen penutupan asuransi. Dalam kasus tertentu, perusahaan juga dapat membentuk satu produk asuransi baru yang merupakan gabungan dari berbagai perusahaan asuransi agar kebutuhan klien dapat terpenuhi 2. Layanan Klaim Merupakan layanan pengurusan klaim untuk mempermudah klien dengan berdasarkan pada SOP dan SLA perusahaan 3. Layanan Perpanjangan Asuransi Jasa perusahaan di mana perusahaan membantu klien dalam mengurus perpanjangan asuransi mencakup pengurusan dokumen dan negosiasi rate premi. Sebagai pendukung dari 3 layanan utama tersebut, PT XYZ juga memberikan layanan berupa antar jemput polis dan dokumen klien. Saat ini PT XYZ sedang mengembangkan sistem yang terintegrasi di mana setiap agen dan perusahaan asuransi akan mampu terhubung dengan kantor pusat dan keseluruhan data dapat diakses secara online, selain itu dalam rencana stratejik perusahaan, akan dibuat juga sistem terintegrasi dengan bank yang bekerja sama dengan perusahaan. Sebagai perusahaan yang menjadi perantara antara klien dan perusahaan asuransi, maka PT XYZ memiliki tanggung jawab keamanan data sama



seperti perusahaan asuransi dikarenakan semua data klien akan dikirimkan ke PT XYZ terlebih dahulu, baik itu data dari klien ke perusahaan asuransi ataupun sebaliknya. Dengan tanggung jawab perusahaan seperti itu maka pengamanan data menjadi penting, selama ini pengamanan data dilakukan secara informal dan belum ada kebijakan-kebijakan yang mengatur manajemen keamanan informasi secara detail. Divisi TI berada langsung dibawah direksi setelah sebelumnya berada di bawah divisi General Affair, perubahan ini baru diterapkan bulan April tahun 2011. Selama ini manajemen risiko dilakukan atas inisiatif divisi TI dan sering terjadi miskoordinasi dengan pihak manajemen dikarenakan kurangnya interaksi pihak manajemen dengan karyawan lain di perusahaan akibat dari rangkap jabatan di mana dipihak manajemen memiliki fungsi sebagai marketing. Manajemen risiko yang sudah diterapkan oleh TI hanya sebatas manajemen risiko yang berlaku dalam divisi internal TI dikarenakan divisi TI tidak memiliki kuasa atas divisi lain. Akibat dari hal tersebut maka pernah terjadi pencurian data yang dilakukan oleh karyawan internal perusahaan pada akhir tahun 2011. Pencurian data tersebut dilakukan oleh karyawan dari pihak staf maupun manajemen. Sistem dokumentasi perusahaan dilakukan secara terpusat dalam server utama di mana dilakukan backup dan sistem penanggulangan bencana belum di rumuskan oleh perusahaan. Kebijakan audit yang dilakukan perusahaan hanya berdasarkan Peraturan Menteri Keuangan Republik Indonesia Nomor 152/PMK.010/2012 di mana setiap tahun perusahaan broker asuransi harus melaporkan kondisi keuangan perusahaan. Tetapi dalam audit tersebut juga diikut sertakan audit teknologi yang berkaitan dengan kondisi teknologi perusahaan di mana evaluasi hanya melihat ketersediaan teknologi dan sistem. Selain itu, masalah lain yang dialami perusahaan berkaitan dengan keamanan adalah perpindahan pegawai yang tinggi, terutama untuk posisi agen. Dengan tingginya perpindahan pegawai, pihak manajemen khawatir akan keamanan



data yang mungkin dapat diakses oleh pegawai di level rendah maupun level manajemen. Daftar insiden yang pernah terjadi dapat dilihat pada lampiran.

1.2. Permasalahan Dalam Karya Akhir Dalam penelitian kali ini, penulis merumuskan

permasalahan dalam

penelitian yang didapatkan dari ringkasan latar belakang berupa : 1. Perusahaan tidak mengetahui tingkat kemapanan penerapan manajemen keamanan informasi dan belum menyadari manfaat atas penerapan manajemen risiko. 2. Terjadi pencurian data oleh karyawan sebelum mengundurkan diri yang membuat perusahaan harus mengevaluasi kondisi manajemen keamanan informasi. Dari permasalahan di atas, maka penulis dapat membuat pertanyaan riset dalam penelitian kali ini yaitu : “Bagaimanakah kondisi manajemen keamanan informasi pada PT XYZ?”

1.3. Batasan Karya Akhir Dari permasalahan yang didapatkan pada perusahaan PT XYZ maka dapat dilihat bahwa perlu dilakukan evaluasi terhadap kondisi manajemen keamanan informasi untuk mengetahui kondisi apa saja dalam manajemen keamanan informasi yang harus di perbaiki oleh perusahan. Untuk menjalankan penelitian ini, penulis menggunakan 2 pendekatan yaitu studi literatur dan pendekatan wawancara. Studi literatur didapatkan dari undang-undang mengenai pelaksanaan bisnis perusahaan, panduan Best Practice dalam manajemen keamanan informasi dan Textbook yang berkaitan dengan teori manajemen keamanan informasi. Sementara pendekatan tanya jawab akan dilakukan dengan cara wawancara dan Focus Group Discussion. Pendekatan studi literatur mencakup analisa penerapan manajemen keamanan informasi terhadap strategi bisnis perusahaan yang diwakili dengan KGI



perusahaan yang harus di rumuskan terlebih dahulu. Setelah target penerapan manajemen keamanan informasi didapatkan maka dilakukan perbandingan antara kondisi manajemen keamanan informasi perusahaan dan acuan kontrol objektif dalam COBIT, diharapkan akan memberikan gambaran berupa : 1. Kelemahan-kelemahan yang yang terjadi dalam penerapan manajemen informasi keamanan perusahaan sehingga dapat mengetahui risiko yang dihadapi dalam keamanan data dan informasi 2. Kebijakan-kebijakan yang harus rumuskan terkait dengan keamanan data tersebut Pendekatan tanya jawab dilakukan untuk melengkapi pendekatan studi literatur yag diharapkan untuk mendapatkan aspek : 1. Gambaran kebijakan keamanan informasi menurut pihak manajemen sehingga perumusan kebijakan dapat dilakukan dengan satu gambaran yang sama dan preferensi pihak manajemen terhadap keamanan data 2. Gambaran karyawan mengenai keamanan informasi sehingga dapat diketahui sampai sejauh mana pandangan karyawan terhadap keamanan data. Hasil dari tanya jawab dan diskusi ini diharapkan akan memberikan kepedulian terhadap karyawan akan keamanan data dan karyawan dapat menerima penerapan kebijakan yang akan diterapkan.

1.4. Tujuan Karya Akhir Tujuan penelitian yang diharapkan adalah: 1. Membuat KGI bagi manajemen keamanan informasi sehingga diketahui efek dari penerapan manajemen keamanan informasi tersebut terhadap strategi perusahaan 2. Menganalisa penerapan manajemen informasi perusahaan. Analisa dilakukan dari sudut KGI 3.

Mengukur tingkat kemapanan manajemen keamanan informasi pada perusahaan yang akan menghasilkan perbandingan kontrol didalam kebijakan sistem informasi dan COBIT

Selain itu diharapkan dengan dilakukannya penelitian ini, maka manfaat dari penelitian ini adalah :



1. Sebagai gambaran tentang kebijakan manajemen keamanan informasi bagi perusahaan pialang asuransi 2. Memberikan gambaran kondisi penerapan kebijakan informasi bagi perusahaan pialang asuransi

1.5. Sistematika Penulisan Sistematika penulisan untuk karya akhir ini adalah : 1. BAB I Bab ini merupakan pendahuluan yang berisi tentang latar belakang masalah dan penjelasan mengenai penelitian ini. 2. BAB II Bab ini berisi studi literatur yang penulis lakukan untuk mempelajari teori-teori yang akan digunakan dalam penelitian ini. Dalam bab ini dirangkum teori apa saja yang digunakan oleh penulis. 3. BAB III Bab ini menjelaskan metodologi yang digunakan dalam penelitian ini. Termasuk di dalamnya adalah metode pengumpulan data dan metode analisa data 4. BAB IV Bab

ini

membahas

evaluasi

penerapan

manajemen

informasi

perusahaan dalam tata kelola pada pialang asuransi. Pembahasan akan diawali dari analisa kondisi terkini, perumusan KGI, proses analisa data dan kondisi tata kelola manajemen keamanan informasi. 5. BAB V Bab ini membahas kesimpulan hasil evaluasi dari penerapan manajemen informasi pada PT XYZ



BAB II

STUDI LITERATUR

2.1. Pendahuluan Dalam penelitian ini, penulis menggunakan referensi dari regulasi, jurnal, textbook dan penelitian terdahulu

2.2. Regulasi terkait Penyelenggaraan operasional pada Pialang Asuransi 1. UU nomor 2 tahun 1992 tentang pelaksanaan perasuransian

Undang-undang ini berisi tentang keseluruhan usaha perasuransian. Hal yang diatur dalam undang-undang ini bersifat umum dan lebih ke arah pemahaman asuransi dan mengatur perusahaan asuransi. Dalam pasal 10 disebutkan bahwa pembinaan dan pengawasan usaha asuransi dilaksanakan olen menteri dan pada pasal 11 pengawasan perusahaan asuransi untuk kegiatan operasional yang terdiri atas : a) Kesehatan

keuangan

bagi

Perusahaan

Asuransi

Kerugian,

Perusahaan Asuransi Jiwa dan Perusahaan Reasuransi, yang terdiri dari : 

Batas tingkat solvabilitas



Retensi sendiri



Reasuransi



Investasi



Cadangan Teknis



Ketentuan-ketentuan lain yang berhubungan dengan kesehatan keuangan

b) Penyelenggaraan Usaha, yang terdiri dari : 

Syarat-syarat polis asuransi



Tingkat premi



Penyelesaian klaim 8





Persyaratan keahlian di bidang perasuransian



Ketentuan-ketentuan

lain

yang

berhubungan

dengan

penyelenggaraan usaha. Undang-undang ini tidak membahas tentang pengaturan data dan informasi pada lembaga asuransi.

2.

Peraturan Pemerintah No. 73 th 1992 yang mengalami perubahan melalui peraturan pemerintah : a) Peraturan Pemerintah Republik Indonesia Nomor 63 Tahun 1999 tentang perubahan atas Peraturan Pemerintah Nomor 73 Tahun 1992 tentang Penyelenggaraan Usaha Perasuransian b) Peraturan Pemerintah no 39 tahun 2008 tentang perubahan kedua Peraturan pemerintah nomor 73 tahun 1992 c) Peraturan Pemerintah no 81 tahun 2008 tentang perubahan ketiga Peraturan pemerintah nomor 73 tahun 1992

Peraturan Pemerintah beserta perubahan-perubahan peraturan tersebut berisi tentang dasar-dasar pialang akuntansi. Hal-hal yang berkaitan dengan operasional perusahaan pialang asuransi adalah : a) Kewajiban untuk melaporkan kepada menteri terkait dengan solvabilitas perusahaan b) Kewajiban untuk menyajikan informasi yang relevan dalam pemasaran

Undang-undang yang digunakan dalam studi literatur ini digunakan penulis sebagai referensi dalam membandingan strategi perusahaan dan kegiatan operasional perusahaan, sampai mana perusahaan mampu menerapkan undang-undang tersebut dalam menjalankan manajemen keamanan informasi, selain itu undang-undang tersebut juga dibandingkan dengan framework tata kelola teknologi informasi yang penulis pilih, sampai sejauh mana framework tata kelola teknologi informasi tersebut mampu memenuhi standar yang



diterapkan dalam Peraturan Menteri Keuangan Republik Indonesia Nomor 152/PMK.010/2012.

2.3. Risiko Menurut dokumen NIST 800-30 “Risk Management Guide For Information Technology Systems” , risiko adalah suatu fungsi kemungkinan yang bersumber pada sumber ancaman yang membuat potensi kerentanan dan berdampak membahayakan organisasi sedangkan pada dokumen “Security Planning and Risk Analysis” (CS461) risiko didefinisikan sebagai kemungkinan di mana suatu ancaman akan di eksploitasi menjadi suatu kelemahan. Menurut Yulianto dalam presentasi Keamanan Sistem – Manjemen Risiko, terdapat 4 klarifikasi risiko (2006), yaitu : 1. Risiko keuangan 2. Risiko yang tidak dapat dihindari 3. Risiko opersional 4. Risiko strategis Dalam

jurnal

Information

Security

Management

Menggunakan Standar ISO/IEC 27001:2005 (2008),

System

(ISMS)

Melwin Syafrizal

menulis bahwa aspek-aspek perlindungan terhadap keamanan informasi terdiri atas : 1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. 2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin pihak yang berwenang (authorized) menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini 3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan



informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

Berikut bagan dari aspek-aspek keamanan informasi menurut Melvin Stafrizal :

Gambar 1 : Aspek keamanan informasi , Syafrizal, merwin, information security Management system menggunakan standar ISO/IEC 27001:2005

Melvin Syafrizal juga menulis bahwa strategi keamanan informasi memiliki fokus dan dibangun pada masing-masing bidangnya. Fokus tersebut adalah: 1. Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam. 2. Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi. 3. Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan. 4. Communications

Security

yang

bertujuan

mengamankan

media

komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi. 5. Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk



menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi. Melihat dari definisi risiko di atas maka dalam penelitian kali ini maka hal yang harus di periksa dalam evaluasi kondisi manajemen keamanan PT XYZ adalah: 1. Struktur organisasi 2. Kebijakan keamanan (security policy) 3. Prosedur dan proses 4. Tanggung jawab atau responsibility 5. Sumber Daya Manusia

2.4. Standar Manajemen Keamanan Informasi ISO 27001 ISO merupakan kumpulan sertifikasi standar yang dirumuskan oleh organisasi yang bernama International Organization for Standarization (ISO). ISO 27001 dirumuskan pada tahun 2005. Dalam

jurnal

Information

Security

Management

Menggunakan Standar ISO/IEC 27001:2005 (2008),

System

(ISMS)

Melwin Syafrizal

menulis Standar dalam ISO 27001 adalah: 1. 27000

:

Dokumen definisi keamanan yg digunakan sebagai istilah dasar

2. 27001

:

Aspek pendukung realisasi serta implementasi sistem manajemen keamanan perusahaan

3. 27002

:

Dokumen terkait ISO 17799 : panduan praktis pelaksanaan dan implementasi sistem manajemen keamanan informasi perusahaan

4. 27003

:

Panduan

implementasi

sistem

manajemen

keamanan

informasi perusahaan 5. 27004

:

Dokumen matriks dan metode pengukuran keberhasilan implementasi sistem manajemen keamanan informasi

6. 27005

:

Dokumen panduan pelaksanaan manajemen risiko



7. 27006

:

Dokumen panduan utnuk sertifikasi sistem manajemen keamanan informasi perusahaan

8. 27007

:

Dokumen panduan audit sistem manajemen keamanan informasi perusahaan

9. 27799

:

Dokumen panduan ISO 27001 untuk industri kesehatan

Didalam standar ISO 27001 terdapat 11 aspek yang harus ada di tiap perusahaan, yaitu : 1. IS policy 2. Klasifikasi kerahasiaan informasi 3. Manajemen aset 4. Pengamanan SDM 5. Pengamanan secara fisik dan lingkungan 6. Manajemen komunikasi dan operasional 7. Kontrol akses 8. Pengakuisisian, pembuatan dan pemeliharaan sistem informasi 9. Manajemen insiden keamanan 10. Manajemen kelanjutan bisnis 11. Kesesuaian dengan regulasi

2.5. Penilaian Risiko Dalam dokumen NIST 800-30 “Risk Management Guide For Information Technology Systems” , penilaian risiko didefinisikan sebagai proses awal dalam metodologi pengelolaan risiko. Suatu organisasi menggunakan proses penilaian risiko untuk menentukan tingkat ancaman potensial dan risiko yang terkait dengan TI. Dalam dokumen tersebut dijelaskan juga 9 langkah dalam menilai risiko, yaitu: 1. Identifikasi karakteristik sistem Identifikasi karakteristik system dilakukan dengan cara menentukan batasan-batasan dan sistem TI yang akan diidentifikasi bersama dengan



sumber daya yang ada dan informasi-informasi yang berkaitan dengan sistem. Informasi-informasi

yang

berkaitan

dengan

sistem

biasanya

di

kelompokan menjadi : a) Hardware b) Software c) System interfaces d) Data dan informasi e) Pengguna sistem f) Tujuan sistem itu dibuat g) Data-data penting sistem h) Sensitifitas data. 2. Identifikasi ancaman Proses identifikasi ancaman untuk mengetahui ancaman apa saja yang mungkin terjadi terhadap sistem. Pada identifikasi ancaman ini, di identifikasi sumber ancaman dan langkah-langkah apa saja yang dapat dilakukan oleh sumber ancaman itu yang dapat menimbulkan kerusakan pada sistem 3. Identifikasi kelemahan Proses ini dilakukan dengan tujuan untuk mengetahui potensi kelemahan apa saja yang ada dan dapat dimanfaat oleh sumber ancaman. 4. Analisis kontrol Analisis kontrol dilakukan setelah seluruh ancaman dan kelemahan diketahui. Tujuan dari analisi kontrol ini adalah untuk menganalisa seluruh kontrol sistem yang telah diimplementasikan atau direncanakan untuk diimplementasikan oleh perusahaan. Hasil analisa tersebut akan digunakan untuk

meminimalisir

atau

menghilangkan

kecenderungan

dari

kemungkinan akan adanya kelemahan sistem. 5. Pengenalan kecenderungan Langkah ini dilakukan untuk memeroleh nilai kemungkinan potensi kelemahan

yang dilihat dalam suatu ancaman. Hal-hal yang harus di

pertimbangkan adalah :



a) Motivasi dan kemampuan dari sumber ancaman b) Sifat-sifat dari suatu kelemahan tersebut c) Keberadaan dan efektivitas dari kontrol yang ada 6. Analisis dampak Langkah ini bertujuan untuk menentukan dampak negatif yang ditimbulkan apabila terjadinya suatu ancaman yang berasal dari kelemahan yang ada. 7. Pengenalan risiko Tujuan dari langkah ini adalah untuk menilai dari tingkat risiko yang ada terhadap sistem TI. Penentuan bobot risiko yang berasal dari ancaman dan kelemahan yang telah di analisa sebelumnya dapat berdasarkan pada : a) Kemungkinan yang dihasilkan oleh sumber ancaman yang berusaha untuk memanfaatkan kelemahan yang ada b) Besarnya dampak yang dihasilkan oleh sumber ancaman apabila mereka telah berhasil memanfaatkan kelemahan yang ada c) Perencanaan terhadap keamanan yang cukup untuk mengurangi atau mengilangkan kelemahan yang ada. 8. Rekomendasi kontrol Dalam tahap sebelumnya, diketahui bahwa kontrol dapat digunakan untuk mengurangi atau bahkan menghilangkan kemungkinan risiko yang ada sesuai dengan kebutuhan perusahaan. Tujuan dari rekomendasi kontrol adalah untuk mengurangi atau menghilangkan risiko TI sampai pada tahap yang bisa diterima. Faktor-faktor berikut dapat dipertimbangkan dalam melakukan kontrol terhadap risiko yang teridentifikasi : a) Efektivitas dari opsi yang disediakan b) Undang-undang dan peraturan yang berlaku c) Kebijakan perusahaan d) Dampak yang akan terjadi pada perusahaan e) Kehandalan dan keselamatan



9. Dokumentasi Setelah semua tahap penilaian risiko selesai dilakukan, maka harus dibuat suatu dokumentasi yang berisi seluruh laporan kegiatan dan hasil dari penilaian risiko tersebut.

Flowchart dari 9 langkah penilaian risiko tersebut adalah :

Gambar 2 : Flowchart 9 langkah penilaian risiko, National Institute of Standard and Technology, Risk Management Guide For Information Technology Systems, Special Publication 800-30



2.6. IT Balanced Scorecard Balanced Scorecard dipublikasikan oleh Kaplan dan Norton pada tahun 1992, pada tahun 1997 Van Grembergen dan Van Bruggen mengadopsi BSC untuk mengembangkan IT BSC. IT BSC yang di kembangkan oleh Van Grembergen dan Van Bruggen sendiri menggunakan 4 perspektif, yaitu :

1. Corporate Contribution Merupakan perspektif dari pihak manajemen terhadap divisi TI, bagaimana pihak manajemen melihat dan menilai divisi TI. Tujuan dari perspektif ini adalah untuk mendapatkan hasil yang masuk akal dari investasi TI yang telah dilakukan oleh perusahaan. Strategi dalam perspektif ini adalah : a) Melakukan control terhadap pengeluaran TI b) Menilai Project TI dari kacamata bisnis sehingga berhasil merumuskan business value dari Project TI tersebut c) Memberikan kapabilitas baru dalam bisnis 2. Customer Orientation Merupakan perpektif dari pihak pengguna sistem. Perspektif ini menilai bagaimana pengguna sistem menilai departemen TI. Tujuan dari perspektif ini adalah untuk menjadi penyedia sistem informasi yang terbaik bagi pengguna. Strategi dalam perspektif ini adalah : a) Menjadi penyedia aplikasi terpercaya b) Menjadi penyedia kegiatan operasional yang terpercaya c) Melakukan partnership dengan pengguna d) Memberikan kepuasan kepada pengguna e) Memberikan saran solusi terbaik yang dirangkum dari seluruh sumber 3. Operation Excellence Perspektif yang menilai seberapa efektif dan efisien proses TI yang telah dilakukan oleh perusahaan. Tujuan dari perspektif ini adalah untuk



memberikan proses TI (berupa aplikasi dan layanan TI) yang efektif dan efisien kepada pengguna TI. Strategi dalam perspektif ini adalah : a) Kegiatan operasional yang efektif dan efisien b) Kegiatan pengembangan TI yang efektif dan efisien 4. Future Orientation Perspektif yang menilai bagaimana posisi TI dalam mewujudkan kebutuhan di masa depan. Tujuan dari perspektif ini adalah untuk membentuk peluang-peluang yang memungkinkan untuk memenuhi kebutuhan di masa depan. Strategi dalam perspektif ini adalah : a) Melakukan pelatihan terhadap staff TI b) Meningkatkan keahlian ahli TI c) Riset terhadap teknologi terbaru d) Penilaian terhadap umur portofolio aplikasi Sementara tujuan dari penggunaan IT BSC adalah : 1. Menterjemahkan strategi TI kedalam bentuk aktivitas 2. Mengintegrasikan seluruh strategi perusahaan 3. Mengidentifikasikan KPI/KGI 4. Mengkomunikasikan strategi ke seluruh stakeholder 5. Sebagai alat kontrol penerapan strategi perusahaan 6. Mengontrol performansi 7. Menselaraskan semua komponen dalam perusahaan

Perspektif pada IT BSC didapatkan dengan cara menurunkan perpektif yang ada pada BSC ke dalam perspektif IT BSC, cara menurunkan perspektif tersebut adalah : 1. Education and Growth diturunkan menjadi Future Orientation 2. Customer Perspective diturunkan menjadi Customer Orientation 3. Internal Process diturunkan menjadi Operation Excellence 4. Financial Perspective diturunkan menjadi Corporate Contribution



IT BSC digunakan dalam penelitian ini untuk mentranslasikan strategi yang telah dirumuskan pada BSC ke dalam IT BSC sehingga dapat digunakan sesuai dengan tujuan IT BSC diatas. Selain itu IT BSC juga digunakan karena pada penelitian kali ini, penulis ingin mencari hasil penelitian berupa kondisi pencapaian perusahaan pada saat penelitian ini dilakukan dan disajikan dalam bentuk persentase.

2.7. COBIT Cobit merupakan framework untuk pengendalian tata kelola TI, dalam presentasi Craig R Gray yang berjudul Policy Development & The 4 COBIT Domain Processes, COBIT menyediakan best practice untuk mengelola proses TI dalam pengelolaan pihak manajemen dan struktur yang logis, memenuhi kebutuhan manajemen perusahaan skala besar dengan cara menjembatani kesenjangan antara risiko bisnis, masalah teknis, kebutuhan control dan persayaratan pengukuran kinerja. Misi COBIT adalah untuk meneliti, mengembangkan, mempublikasikan dan mempromosikan kewenangan dan kumpulan kontrol objektif yang up to date , berlaku internasional dan secara umum diterima oleh manajer bisnis dan auditor. Dalam presentasi tersebut juga disebutkan bahwa COBIT terdapat 4 proses utama yaitu : 1. Plan and Organise Domain ini meliputi strategi dan taktik yang menyangkut indentifikasi cara terbaik yang dapat dilakukan oleh TI untuk dapat memberikan kontribusi pada pencapaian tujuan bisnis 2. Acquire and Implement Untuk

mewujudkan

dikembangkan

atau

strategi

TI,

solusi

didapatkan,

serta

TI

perlu

diidentifikasi,

diimplementasikan

dan

diintegrasikan ke dalam proses bisnis perusahaan 3. Deliver and Support Domain ini berkaitan dengan pemberian layanan yang dibutuhkan di mana cakupan dari domain ini adalah mulai dari aspek operasional



perusahaan atas keamanan dan aspek yang berulang-ulang sampai pelatihan yang dilakukan oleh perusahaan 4. Monitor and Evaluate Domain ini membahas pengawasan manajemen proses pengendalian organisasi yang disediakan oleh audit internal atau eksternal ataupun sumber-sumber alternatif lainnya

Berikut adalah gambar bagan dari domain COBIT :

Gambar 3 : 4 Domain COBIT; Gray, Craig R. Policy Development & The 4 COBIT Domain Processes

Dengan COBIT, proses TI dapat dinilai dan disempurnakan untuk meningkatkan performa tata kelola TI. Untuk tolok ukur penilaian performansi TI dilakukan melalui 3 komponen yaitu : 1. Target performansi (KGI) 2. Performasi (KPI) 3. Tingkat kemapanan proses



Penggunaan COBIT sebagai framework dipilih karena : 1. ITIL lebih melihat dari sisi service management sedangkan COBIT lebih melihat dari sisi tata kelola dan manajemen secara praktikal. Pada penelitian kali ini, penulis berfokus pada strategi perusahaan dan manajemen sehingga memilih COBIT. 2. ISO 27000 dan NIST800 lebih mengedepankan dari sisi keamanan sehingga dibutuhkan pemetaan ke COBIT untuk memberikan perspektif ke sisi tata kelola dan manajemen secara strategis. 3. COBIT dapat mengukur performansi TI sehingga dapat memberikan gambaran dari sisi manajemen.

2.8. Penelitian Terdahulu Yang Relevan Penulis menemukan penelitian terdahulu yang dapat dijadikan referensi, yaitu 1. Penilaian Risiko dan Analisa Profil Risiko TI Menggunakan Kerangka Kerja Riskit: Studi Kasus PT. Bank ABC (Persero) Tbk karangan Yok Christiono. Karya akhir ini berisi tentang proses analisa dan pemetaan risiko pada sebuah bank. Framework yang digunakan adalah Risk IT. Karya akhir ini menjadi acuan bagi penulis dikarenakan kesamaan jenis data pada nbank dan lembaga asuransi. Dalam karya akhir ini, pengarang menganalisa risiko yang terjadi dan mungkin akan terjadi pada sebuah bank lalu memetakan risiko tersebut ke dalam kerangka Risk IT sehingga terbentuk suatu daftar profil risiko dan hasil akhirnya berupa saran untuk kebijakan perusahaan untuk mengontrol risiko tersebut. Karya akhir ini penulis jadikan referensi untuk melakukan analisa risiko dalam penelitian ini.



2. Perancangan

Keamanan

Informasi

Berdasarkan

Penilaian

Risiko

Keamanan Informasi Di PT Multi Terminal Indonesia karangan Aan Al Bone Karya akhir ini berisi perancangan keamanan informasi pada perusahaan yang bergerak di bidang logistik. Pengarang membagi proses perancangan keamanan informasi menjadi 3 bagian yaitu : a) Profil dan penilaian risiko Pada bagian ini pengarang mengidentifikasi seluruh asset perusahaan dan risiko yang dapat terjadi dan membuat tabel penilaian seluruh risiko tersebut b) Mitigasi Risiko Bagian ini berisi evaluasi risiko yang ada dan rekomendasirekomendasi control yang dapat dilakukan bersasarkan risiko yang telah teridentifikasi c) Perancangan Informasi Perusahaan Bagian ini berisi strategi dan rancangan implementasi keamanan yang dapat dijalankan oleh perusahaan. Dalam melakukan penilaian risiko, pengarang menggunakan 3 jenis metode yang didapatkan dari studi literatur, yaitu : a) Metode

Kuantitatif,

didapatkan

dari

dokumen

“Information

Assurance CS498SH” Merupakan metode analisa risiko yang menggunakan angka dalam menghitung dampak risiko tersebut b) Metode Kualitatif, dari “Information Security Risk Analysis” karangan Peltier Metode kualitatif merupakan metode untuk meniliai risiko dengan menggunakan tabulasi berdasarkan deskripsi. c) Metode Kualitatif dan kuantitatif, dari “Information Security Risk Assesment” Merupakan metode yang digunakan untuk menggabungkan kedua metode di atas dengan tujuan untuk menghilangkan subjektivitas penilaian.



3. Evaluasi Penerapan Manajemen Keamanan Informasi di Xprins karangan Mohammad Baihaqi Aqbaruddin Karya akhir ini mengevaluasi penerapan manajemen keamanan yang diterapkan pada sebuah perusahaan penyedia jasa manajemen dokumen. Pengarang menilai bagaimana proses penerapan majamenen kemanan dan memetakan ke dalam BSC untuk melihat efektivitas penerapan manajemen keamanan tersebut terhadap strategi bisnis perusahaan. Karya akhir ini menjadi referensi utama penulis dalam melakukan penelitian dikarenakan kemiripan tipe penelitian, di mana karya akhir ini menyusun KPI dan KGI dan memetakan hasil KPI/KGI tersebut ke dalam IT BSC untuk digunakan sebagai bahan pengambilan keputusan pihak manajemen untuk mengetahui kondisi terkini perusahaan. Hal yang penulis temukan di mana menjadi perbedaan penelitian antara penulis dan karya akhir ini adalah proses evaluasi yang dilakukan di mana dalam karya akhir ini dilakukan 12 sesi untuk membangun security awarness yang diambil dari Making ISMS (ISO 27001) Measureable, Manageable and Improveable karangan Anup Narayanan dan COBIT 3rd Edition Implementation Tool dari ITGI. 12 sesi tersebut adalah : a) Pembukaan b) Pengenalan ISM c) Wacana sertifikasi ISM d) Membuat KPI/KGI dan lingkup ISM e) Membuat premis target pengamanan f) Menentukan tingkatan tanggung jawab g) Permasalahan dalam proses h) Membuat matrikulasi permasalahan dalam proses i) Proses strategis dan taktis j) Proses operasional k) Penerapan dan Pelaksanaan l) Audit dan sertifikasi ISM



Perbedaan penelitian dengan karya akhir ini ada pada tingkatan tanggung jawab di mana pada penelitian kali ini, dilakukan di perusahaan yang memiliki jumlah karyawan sedikit dan kemungkinan akan terdapat kasus di mana tanggung jawab yang berbeda akan dapat diserahkan kepada satu orang. KGI/KPI yang akan di susun juga akan berbeda mengingat perbedaan

industri

perusahaan

yang

di

teliti



BAB III

METODOLOGI PENELITIAN Dalam melakukan penelitian ini, penulis membagi penelitian menjadi 5 tahap, yaitu :

Input Fenomena

Tahap 1 - Pernyataan Masalah Metode Output Observasi Permasalahan Wawancara Pertanyaan Riset

Input Permasalahan Pertanyaan Riset

Input Metodologi Penelitian

Tahap 2 – Landasan Teori Metode Output Studi Literatur Metodologi Penelitian

Tahap 3 – Pengumpulan data Metode Studi Literatur Wawancara Observasi

Output

Kondisi perusahaan saat ini

Tahap 4 – Analisa Implementasi Manajemen Risiko Input Metode Output Kondisi perusahaan saat Wawancara KGI/KPI,Level ini FGD Kemapanan perusahaan, Studi Literatur Gap Analys antara target dan kondisi terkini

25



26

Tahap 5 – Kesimpulan dan saran Input Metode Output Kesimpulan dan Saran untuk mengatasi KGI/KPI,Level Metode Deduktif kesenjangan antara Kemapanan perusahaan, target dan kondisi Gap Analys antara target terkini. dan kondisi terkini

Penjelasan dari metodologi penelitian adalah : 3.1. Pernyataan Masalah Pernyataan masalah didapatkan dari analisa observasi dan sebab akibat yang di lakukan penulis selama menjadi karyawan perusahaan. Selain itu perusahaan juga meminta penulis untuk mengembangkan manajemen risiko perusahaan.

Hasil dari proses ini adalah pernyataan masalah yang akan

diangkat menjadi topik karya akhir ini dan pertanyaan penelitian.

3.2. Landasan Teori Landasan teori didapatkan dengan cara studi literatur berdasarkan permasalahan yang diangkat pada penelitian ini, dan hasil dari studi literatur ini adalah metodologi penelitian dan theoretical framework. Studi literatur didapatkan dari jurnal, rangkuman presentasi, karya akhir terdahulu, textbook, dan peraturan yang berlaku. Tujuan dari studi literatur ini untuk mencari teori apa saja yang akan digunakan dalam menganalisa risiko dan menyusun kebijakan stratejik.

3.3. Pengumpulan data Tahap ini dilakukan dengan cara studi literatur dengan cara mengumpulkan seluruh dokumen terkait dengan operasional perusahaan, kemudian dilanjutkan dengan pengumpulan dokumen yang berkaitan dengan penuruan strategi bisnis. Setelah itu dilakukan studi literatur dari dokumen best practices berupa IEC 17799 dan COBIT 4.1 sebagai pembanding. Universitas Indonesia


27

Tahap tanya jawab akan menggunakan 11 sesi yang diambil dari dari Making ISMS (ISO 27001) Measureable, Manageable and Improveable karangan Anup Narayanan dan COBIT 3rd Edition Implementation Tool dari ITGI, yaitu : 1. Pembukaan 2. Pengenalan ISM 3. Wacana sertifikasi ISM 4. Membuat KGI/KPI dan lingkup ISM 5. Membuat premis target pengamanan 6. Menentukan tingkatan tanggung jawab 7. Permasalahan dalam proses 8. Membuat matrikulasi permasalahan dalam proses 9. Proses strategis dan taktis 10. Proses operasional 11. Penerapan dan Pelaksanaan Selain itu dilakukan juga FGD dan wawancara dengan tujuan untuk mendapatkan data kondisi perusahaan yang digunakan dalam analisa kemapanan manajemen keamanan informasi. Untuk hasil FGD dan wawancara dapat dilihat pada lampiran.

3.4. Evaluasi Manajemen Keamanan Informasi Pada tahap ini dari seluruh dokumentasi dan kebijakan yang telah dikumpulkan maka dilakukan analisa SWOT dan pemetaan ke BSC. Dikarenakan KGI/KPI perusahaan belum dibuat secara sempurna, makan pembuatan BSC dilakukan dengan melibatkan pihak manajemen perusahaan dengan cara FGD. Dari hasil FGD tersebut didapatkan analisa SWOT kemudian solusi yang didapatkan dari analisa SWOT tersebut disederhanakan untuk kemudian dimasukan kedalam perspektif yang ada dalam BSC. Setelah itu dilakukan analisa menggunakan IT BSC yang diturunkan dari BSC perusahaan untuk melihat target pengamanan informasi yang diinginkan oleh perusahaan. Setelah target perusahaan dirumuskan, maka kondisi manajemen keamanan informasi perusahaan di analisa dengan cara melakukan audit

Universitas Indonesia Evaluasi kondisi ..., Alvin Adam, FAsilkom UI, 2013

28

keamanan menggunakan kerangka IEC17799/ISO27001. Setelah hasil audit keamanan didapatkan, dilakukan pemetaan IEC17799/ISO27001 ke COBIT untuk melihat dari perspektif tata kelola dan menemukan control objective apa saja yang terdapat kesenjangan. Hasil dari kesenjangan tersebut kemudian dijadikan bahan masukan untuk menyusun kembali analisa SWOT yang baru dimana akan ada tambahan solusi untuk mengatasi kesenjangan yang ditemukan dalam control objective COBIT. Hasil dari analisa SWOT tersebut kemudian diturunkan ke dalam perpektif BSC dan IT BSC sehingga muncul tambahan strategi perusahaan yang berkaitan dengan ISM. Dengan adanya tambahan strategi yang berkaitan dengan ISM tersebut maka dapat dibandingkan kembali dengan kondisi yang ada pada perusahaan sehingga pencapaian perusahaan dalam mencapai target tersebut dapat terlihat. Evaluasi lain dilakukan dengan cara menganalisa hasil diskusi dengan seluruh karyawan perusahaan untuk melihat seberapa jauh pemahaman mereka tentang manajemen keamanan informasi dan mengukur tingkat kemapanan proses manajemen keamanan informasi pada perusahaan. Selain itu hal ini dilakukan untuk mengetahui perbaikan apa yang dapat dilakukan.

3.5. Kesimpulan dan Saran Kesimpulan dan saran diambil dengan menggunakan metode deduktif yaitu perumusan dari umum ke khusus berdasarkan kondisi terkini perusahaan dan kondisi yang ingin dicapai oleh perusahaan

Universitas Indonesia Evaluasi kondisi ..., Alvin Adam, FAsilkom UI, 2013

29

3.6. Theoretical Framework Berikut adalah theoritcal framework yang penulis gunakan dalam penelitian ini

FGD

Peraturan dan Kebijakan Perusahaan

BSC

IT BSC

IEC17799/ISO 27001

COBIT

IT BSC Baru

Kondisi Manajemen Keamanan Informasi Perusahaan

Kesenjangan antara performansi Manajemen Keamanan Informasi dan target yang sebenarnya ingin dicapai

Observasi

Gambar 4 : Theoritical Framework



30

BAB IV

EVALUASI KONDISI MANAJEMEN KEAMANAN INFORMASI

4.1. Analisa Kondisi Perusahaan Saat ini perusahaan memiliki SOP yang berkaitan dengan seluruh kegiatan operasional perusahaan dan daftar kebijakan dari pihak manajemen yang telah di dokumentasikan. 4.1.1. Kondisi Perusahaan Saat ini Yang termasuk dalam cakupan manajemen keamanan informasi perusahaan saat ini adalah keseluruhan proses yang ada pada PT XYZ, secara umum, dalam SOP perusahaan, proses bisnis yang ada dapat dibagi menjadi 3 bagian yaitu : 1. Before Sales Merupakan proses bisnis di mana perusahaan memberikan jasa , yang termasuk di dalamnya adalah : a) Manajemen risiko dan pencegah kerugian b) Penawaran jaminan yang terbaik c) Konsultasi mengenai asuransi 2. Concurrent Service Merupakan proses bisnis di mana perusahaan memberikan jasa terkait dengan pendaftaran dan pembuatan polis, yaitu : a) Penempatan risiko b) Evaluasi polis asuransi c) Informasi berita di Pasar Asuransi terkini d) Pengurusan perubahan dan adendum



31

3. After Sales Merupakan proses bisnis di mana perusahaan memberikan jasa setelah terbitnya polis dan berjalannya masa polis, yaitu : a) Membagi pengetahuan tentang asuransi b) Notifikasi perpanjangan polis c) Pengurusan klaim d) Pemeriksaan dokumen pendukung e) Negosiasi pembayaran klaim

Keseluruhan proses bisnis tersebut diatur dalam SOP dan dokumen kebijakan perusahaan. Dapat dilihat bahwa keseluruhan proses bisnis tersebut berkaitan dengan data yang keamanannya sensitif karena berkaitan dengan data pribadi klien. 4.1.2. Usulan Perbaikan Manajemen Keamanan Informasi Dapat dilihat pada sub bab 4.1.1 di mana perusahaan belum memiliki SOP khusus yang mengatur tentang manajemen keamanan informasi perusahaan. Tetapi terdapat kebijakan perusahaan yang berkaitan dengan keamanan data namun belum dibakukan ke dalam SOP. Seluruh kebijakan yang berkaitan dengan keamanan informasi yang ada telah didokumentasikan ke dalam dokumen kebijakan perusahaan dan telah

dijalankan oleh seluruh karyawan

perusahaan. Namun kebijakan tersebut bukanlah khusus untuk keamanan informasi, memperbaiki

tetapi kebijakan yang dibuat untuk

pelayanan.

Kondisi

pelaksanaan

manajemen

keamanan informasi akan di nilai dengan menggunakan framework IEC 17799 yang kemudian dipetakan ke dalam COBIT untuk mengetahui tingkatan kemapanan manajemen keamanan informasi pada perusahaan.



32

4.1.3. Data yang Dibutuhkan Berikut adalah data yang dibutuhkan dalam mengevaluasi penerapan manajemen keamanan informasi pada PT XYZ 4.1.3.1. Dokumen SOP SOP perusahaan yang telah ada dapat dilihat pada lampiran x. Keamanan informasi diatur dalam Bab 4, namun keamanan informasi yang diatur baru sebatas keamanan informasi sistem yang ada, bukan keamanan data secara keseluruhan.

4.1.3.2. Dokumen Kebijakan Perusahaan Dokumen ini berisi kebijakan perusahaan berkaitan dengan best practice dalam pelaksanaan proses bisnis perusahaan. Halhal yang tidak termasuk dalam SOP tapi digunakan sebagai panduan pelaksanaan kegiatan operasional terdapat pada dokumen ini. Dokumen ini berisi : 1. Kebijakan Transaksi : a) Perubahan transaksi b) Penanganan komplain c) Pencatatan log/aktivitas transaksi 2. Kebijakan Prosedur Internal a) Penanganan donkumen b) Perubahan prosedur c) Sosialisasi kebijakan 3. Kebijakan Data a) Keamanan data b) Hak akses c) Monitoring CCTV d) Klasifikasi informasi 4. Kebijakan SDM a) Training



33

4.2.

Proses Analisa Data 4.2.1. Analisa Target Manajemen Keamanan Informasi Untuk menganalisa target manajemen keamanan informasi perusahaan, dibutuhkan visi dan misi perusahaan, karena target tersebut diturunkan dari visi dan misi perusahaan. Visi dan misi perusahaan adalah : 1. Visi Visi perusahaan adalah menjadi Perusahaan Perantara Asuransi Yang Terbaik Dan Terpercaya Di Indonesia. Menjadi perusahaan pialang asuransi yang terkemuka berarti menjadi yang terbaik dalam hal pelayanan pada pelanggan,

pengembangan

bakat-bakat

karyawan,

pengembangan teknologi dan pertumbuhan pendapatan yang konsisten . 2. Misi Misi perusahaan adalah: a) Menjembatani dan Melayani sepenuh hati kepentingan pengguna jasa asuransi dan perusahaan asuransi yang saling menguntungkan. b) Memenuhi

keinginan

dan

kebutuhan

pelanggan

terhadap desain produk atau produk yang mempunyai keunggulan bersaing. c) Melakukan penggarapan pasar di seluruh lingkup pasar, dengan

memposisikan

keberadaannya

di

seluruh

indonesia. d) Menyelenggarakan dukungan administrasi berbasis teknologi informasi dan komunikasi. e) Menjalankan kegiatan usaha dengan memperhatikan etika bisnis dan mengikuti kaidah Good Corporate Governance. f) Membentuk dipercaya,

sumber cerdas,

daya

manusia

profesional,

insani

jujur,

yang

memiliki



34

kemampuan yang baik. g) Menjunjung

tinggi

martabat

serta

nilai-nilai

kemanusiaan yang berwawasan kesejahteraan sosial masyarakat dan kelestarian lingkungan hidup. h) Mengangkat martabat serta nila-nilai kemanusiaan dengan memperhatikan kesejahteraan karyawan dan memposisikan karyawan sebagai aset yang bernilai bagi perusahaan.

Dari visi dan misi di atas maka dilakukan analisa kondisi internal dan eksternal PT XYZ yang kemudian dipetakan kedalam analisa SWOT, sehingga terbentuklah analisa SWOT sebagai berikut:



35

Opportunities 1.

Threat

Calon konsumen

yang

sudah

sadar

tapi

belum

asuransi

memiliki asuransi 2.

Produk

yang

masal

belum tergarap 3.

jabatan manajemen berubah

menjadi

pesaing

asuransi

bersifat

4. Mantan pegawai dari

5. Klien yang terlambat membayar premi 6. Waktu

Program

pemerintah

pengurusan

kerja

polis dan klaim yang

untuk

lambat dari beberapa

mengasuransikan

perusahaan asuransi

penduduk

Strength  Hubungan

Solusi  Penambahan

dengan

perusahaan asuransi

Solusi

pembentukan produk

produk

baru

terbesar di Indonesia

 Kreativitas

Solusi  Peningkatan pengawasan

 Kemampuan masuk

untuk

ke

birokrasi

follow

up

dan dalam

pengurusan polis dan klaim

pemerintah

 Menyisihkan konsumen bermasalah

Weakness  Kurangnya


tenaga

 Efisiensi

informasi

 Perhitungan efisiensi biaya

belum

biaya

perhitungan

Solusi

belum sempurna

modul

sistem informasi

marketing handal  Sistem

Solusi penerimaan dan ulang

pengeluaran

 Pelatihan

dan pegawai

baru  Efisiensi

waktu

pengurusan klaim  Penambahan

dilakukan

keuangan

 Jumlah tenaga ahli asuransi yang kurang

Gambar 5 : Analisa SWOT



modul

36

Dari analisa SWOT tersebut di atas dapat kita petakan kedalam BSC yaitu dengan cara mengelompokkan solusi yang telah dirumuskan pada analisa SWOT tersebut sesuai dengan perspektif pada BSC. Sebelum dikelompokkan, solusi yang ada di data terlebih dahulu sehingga terdapat daftar solusi yaitu : 1. Penambahan

produk

baru

sesuai

kebutuhan

konsumen 2. Kemampuan untuk masuk ke dalam birokrasi pemerintah 3. Melakukan pengawasan pengurusan polis dan follow up lebih intensif 4. Menyisihkan konsumen bermasalah 5. Penambahan modul marketing 6. Penambahan modul keuangan 7. Perhitungan

ulang

cost

dan

expense

untuk

melakukan efisiensi 8. Pelatihan dan rekrutmen 9. Efisiensi waktu pengurusan klaim Dari daftar solusi yang ada, dapat disederhanakan menjadi : 1. Penambahan modul marketing dan penambahan modul keuangan dapat disederhanakan menjadi pengembangan system informasi 2. Efisiensi waktu pengurusan klaim dan pengawasan pengurusan

polis

dapat

dikategorikan

sebagai

perbaikan kualitas servis 3. Penambahan produk baru dan kemampuan masuk ke dalam birokrasi pemerintah dapat dikategorikan sebagai penambahan pendapatan 4. Perhitungan menyisihkan

ulang

cost

konsumen

dan

expense

bermasalah

serta dapat

dikategorikan ke dalam efisiensi biaya



37

Dengan disederhanakannya solusi yang ada menjadi hanya 4 solusi secara general, maka dapat dipetakan kedalam BSC menjadi : Perspective Education and Growth Perspective

Description

Pengembangan Kualitas SDM dan Sistem Pengembangan Sistem PT XYZ

Customer Perspective Perbaikan Kualitas Servis

Internal Processes Perspective Efisiensi Biaya

Financial Perspective Peningkatan Pendapatan

Gambar 6 : BSC PT XYZ

Untuk membentuk IT BSC dari BSC di atas maka BSC tersebut harus dijabarkan kedalam IT BSC dengan cara menurunkan tiap perspektif yang ada menjadi : 1. Education and Growth

Future Orientation

2. Customer Perspective

Customer Orientation

3. Internal Process 4. Financial Perspective

Operation Excellence Corporate Contribution

IT BSC hasil penurunan dari BSC tersebut adalah :

Perspective Future Orientation

Description Pengembangan Kualitas SDM dan Sistem Pengembangan Sistem PT XYZ

Customer Orientation Perbaikan servis dan konsumen baru

Operation Excellence Efisiensi Biaya dan waktu

Corporate Contribution Peningkatan Pendapatan

Gambar 7 : IT BSC PT XYZ



38

Dari penjabaran BSC di atas maka dapat dibentuk menjadi IT BSC dan performansi KPI PT XYZ sampai dengan kondisi saat ini yaitu :

Perspective Indicator Future Orientation

Weight (x of 10)

Description

3

33,33%

4

Indicator shows how the solution "Pengembangan Sistem" helps to achieve business goal "PT XYZ" Pengembangan Sistem PT XYZ

Training Total Performance in group

3 3

Peningkatan Kualitas SDM PT XYZ Future Orientation


2

Modul

Claim Service

2 33,33% 30,43%

3

20,00% 14

4

Penambahan produk baru Total Performance in group

1 2

Konsumen Baru PT XYZ Customer Orientation

Operation Excellence

2

Konsumen Baru

4

Efisiensi Waktu PT XYZ Efisiensi Waktu PT XYZ

Pengurusan Polis

Value

4

0 30,43% 29,24%

Indicator shows how the solution "Konsumen Baru" helps to achieve business goal "PT XYZ" Konsumen Baru PT XYZ

5



39

Efisiensi Biaya

3

Efisiensi Biaya PT XYZ

5,00%

Outstanding Premi Berkurang

3


5,00%

Pengurangan Konsumen Bermasalah Total Performance in group

1 2

Efisiensi Biaya PT XYZ Operation Excellence

Coorporate Contribution

3

30,00% 29,24% 8,25%

4

Indicator shows how the solution "Pendapatan" helps to achieve business goal "PT XYZ" Pendapatan PT XYZ

Investasi

2

Pendapatan PT XYZ

5,00%

Jasa Lain Total Performance in group

2 3

Pendapatan PT XYZ Coorporate Contribution

2,00% 8,25%

Brokerage Fee

Total Performance in

Powered by

KPI PT XYZ

13,00%

24,41%

BSC Designer PRO

Gambar 8 : IT BSC dan Performansi KPI



40

Penjabaran dari IT BSC adalah : 1. Corporate Contribution Mencapai target pendapatan yang telah ditetapkan oleh pihak manajemen dan mengoptimalkan pendapatan lain yang berupa : a) Investasi yang dilakukan selama masa tenggang antara pembayaran premi nasabah dan tagihan premi dari perusahaan rekanan asuransi b) Pendapatan jasa lain yang mungkin dilakukan oleh perusahaan 2. Customer Orientation a) Mempercepat proses klaim dan pengurusan polis b) Menyediakan produk baru 3. Operation Excellence a) Mengurangi konsumen bermasalah b) Menambah konsumen c) Pengurangan outstanding premi d) Perhitungan

ulang

cost

operational

dan

melakukan efisiensi 4. Future Orientation a) Penyempurnaan sistem informasi perusahaan dengan

memperbaiki

modul

yang

belum

sempurna serta membuat modul keuangan b) Training untuk staff yang ada c) Merekrut staff untuk memenuhi kebutuhan kompetensi produk asuransi Dan sebagai target aktivitas dan performansi dari KGI yang diharapkan oleh pihak manajemen, dilakukan proses FGD untuk menghitung pembobotan tiap langkah yang ada pada IT BSC. Pembobotan dilakukan dengan melihat langkah mana yang dianggap terpenting untuk mencapai target yang ditentukan. Hasil dari FGD tersebut dapat dilihat pada lampiran.



41

Proses penentuan bobot diawali dengan diskusi untuk menentukan perspektif mana yang mendapatkan fokus paling tinggi dalam rancangan strategis perusahaan dan hasilnya adalah

Future

Orientation

dan

Corporate

Contribution

memiliki bobot yang sama yaitu 30% sementara sisa 40% lainnya dibagi rata untuk 2 perspektif lainnya. Pembobotan 30% dalam perspektif Future Orientation didapatkan karena perusahaan ingin mengutamakan fokus pada pengembangan sistem informasi. Sementara pada perspektif

Corporate

Contribution perusahaan mengutamakan pendapatan premi (Brokerage Fee) disbanding dengan strategi yang lain. Hasil selengkapnya dari pembobotan tersebut adalah : 1. Future Orientation (30%) a) Penambahan Modul (17,1%) b) Training untuk staff (12,9%) 2. Customer Orientation (20%) a) Claim Service (7,5%) b) Penambahan Produk Baru (2,5%) c) Pengurusan Polis (10%) 3. Operation Excellence (20%) a) Konsumen Baru (7,3%) b) Efisiensi Biaya (5,5%) c) Pengurangan outstanding Premi (5,5%) d) Pengurangan konsumen bermasalah (1,8%) 4. Corporate Contribution (30%) a) Brokerage Fee (15%) b) Investasi ( 7,5%) c) Jasa lain (7,5%) Dalam merumuskan sub strategi yang berada dalam tiap perspektif juga dilakukan hal yang sama yaitu menetapkan bobot tiap strategi mana yang lebih didahulukan sementara



42

value pada IT BSC menunjukan kondisi yang telah dicapai oleh perusahaan dalam mewujudkan strategi perusahaan.

4.2.2. Analisa Kemapanan Manajemen Keamanan Informasi Analisa

kemapanan

Manajemen

Keamanan

informasi

perusahaan dilakukan dengan menggunakan framework ISO 27001 yang kemudian dipetakan ke COBIT dikarenakan COBIT merupakan framework yang telah diakui secara international dan digunakan untuk menilai tata kelola suatu perusahaan.



43

4.2.2.1. Analisa IEC17799/ISO27001 Hasil pemeriksaan manajemen keamanan informasi dengan menggunakan kerangka IEC17799/ISO27001 ditemukan kekurangan pada bagian :

Tabel 1 : Tabel hasil temuan masalah keamanan informasi perusahaan berdasarkan IEC17799/ISO27001 Checklist

Standard

Section

Audit Question

Temuan

Security Policy 1.1.2

3.1.2

Review

and Whether the process ensures that a review Hanya

Evaluation

takes place in response to any changes tanpa affecting the basis of the original assessment

dilakukan

review,

diperiksa

apakah

perubahan tersebut

yang

terjadi

berpengaruh

terhadap basis assessment yang berlaku



44

Checklist

Standard

Section

Audit Question

Temuan

Organisational Security 2.1.3

4.1.3

Allocation of

Whether responsibilities for the protection of Belum ada, namun sedang

information security

individual assets and for carrying out dirumuskan

responsibilities

specific security processes were clearly defined.

2.1.5

4.1.5

Specialist

Whether

specialist

information

security Belum pernah dilakukan


advice is obtained where appropriate.

advise 2.1.5

4.1.5

Specialist

A specific individual may be identified to co- Belum pernah dilakukan


ordinate

advise

experiences to ensure consistency, and

in-house

knowledge

and

provide help in security decision making.



45

Checklist

Standard

Section

Audit Question

Temuan

2.1.6

4.1.6

Co-operation

Whether appropriate contacts with law Belum pernah ada kasus

between

enforcement authorities, regulatory bodies, terkait dan belum pernah

organisations

information

service

telecommunication

providers operators

and dilakukan were

maintained to ensure that appropriate action can be quickly taken and advice obtained, in the event of a security incident. 2.2.1

4.2.1

Identification of risks

Whether security risks with third party Sebatas hak akses sesuai

from third party

contractors working onsite was identified dengan

access

and appropriate controls are implemented.

kebijakan

perusahaan

tentang

akses

data Asset classification and control 3.1.1

5.1.1

Inventory of assets

Whether each asset identified has an owner, Belum

dilakukan

kecuali

the security classification defined and bagian IT agreed and the location identified.



46

Checklist

Standard

Section

Audit Question

Temuan

Personnel security 4.3.3

6.3.3

Reporting

software Whether procedures were established to Prosedur ada tapi tidak di

malfunctions

report any software malfunctions.

Physical

dokumentasikan

and

Environmental Security 5.1.3

7.1.3

Securing

Offices, Whether there is any potential threat from Ada perusahaan lain yang

rooms and facilities

neighbouring premises.

berbagi

ruangan

perusahaan

dan

dengan memiliki

akses ke sebagian sistem pengawasan. 5.1.5

7.1.5

Isolated delivery and Whether a risk assessment was conducted to Belum pernah dilakukan loading areas

5.2.1

7.2.1

Equipment protection

determine the security in such areas. siting Whether there is a policy towards eating, Hanya smoking drinking and smoking on in proximity to information processing services.



47

Checklist

Standard

Section

Audit Question

5.2.1

7.2.1


siting Whether

environmental

Temuan conditions

are Belum ada

monitored which would adversely affect the information processing facilities.

5.2.4

7.2.4

Security Policy

Whether logs are maintained with all Hanya untuk kegiatan yang suspected or actual faults and all preventive menggunakan PC dan server and corrective measures.

5.3.2

7.3.2

Security Policy

Whether spot checks or regular audits were Belum pernah dilakukan conducted to detect unauthorised removal of property.

5.3.2

7.3.2

Security Policy

Whether individuals are aware of these types Tidak of spot checks or regular audits.

semua

menyadari,

terutama divisi Marketing



48

Checklist

Standard

Section

Audit Question

Temuan

Communications and

Operations

Management 6.1.1

8.1.1

Documented

Whether the Security Policy has identified Belum

ada

Operating

any Operating procedures such as Back-up, keamanan

procedures

Equipment maintenance etc.,

dengan tapi

yang

prosedur

telah

ada

kebijakan berkaitan operasi, prosedur

secara informal dan tidak didokumentasikan 6.1.1

8.1.1

Documented

Whether such procedures are documented Sebagian

Operating

and used.

procedures

sudah

didokumentasikan tapi tidak lengkap



49

Checklist

Standard

Section

Audit Question

6.1.2

8.1.2

Operational Change Whether audit logs are maintained for any Audit log belum digunakan Control

6.1.3

8.1.3

Temuan

change made to the production programs.

Incident management Whether the procedure addresses different Hanya ada prosedur secara procedures

types of incidents ranging from denial of umum service to breach of confidentiality etc., and ways to handle them.

6.1.3

8.1.3

Incident management Whether the audit trails and logs relating to Belum procedures

dilakukan,

masih

the incidents are maintained and proactive tergantung dari data audit action taken in a way that the incident yang ada di TI doesn’t reoccur.

6.1.5

8.1.5

Separation development

of Whether

8.3.1

Control

development

and

testing Belum ada pemisahan

and facilities are isolated from operational

operational facilities 6.3.1

the

facilities

against Whether there exists any Procedure to verify Ada

malicious software

tetapi

tidak

di

all warning bulletins are accurate and dokumentasikan informative with regards to the malicious software usage.



50

Checklist

Standard

Section

Audit Question

Temuan

6.4.2

8.4.2

Operator logs

Whether Operational staffs maintain a log of Belum ada pencatatan their activities such as name of the person, errors, corrective action etc.,

6.6.1

8.6.1

Management

of Whether

there

exist

a

procedure

for Belum ada

removable computer management of removable computer media media

such as tapes, disks, cassettes, memory cards and reports.

6.7.5

8.7.5

Security of Electronic Whether there are any guidelines in place to Belum ada office systems

effectively control the business and security risks associated with the electronic office systems.

Access Control 7.2.3

9.2.3

User

Password The

Management

allocation

and

reallocation

of Belum dilakukan dan belum

passwords should be controlled through a ada peraturan yang mengatur formal management process.

secara formal



51

Checklist

Standard

Section

7.2.3

9.2.3

User

7.3.1

9.3.1

Audit Question

Temuan

Password Whether the users are asked to sign a Belum dilakukan

Management

statement to keep the password confidential.

Password use

Whether there are any guidelines in place to Belum ada panduan yang guide users in selecting and maintaining berkaitan dengan password secure passwords.

7.4.3

9.4.3

User

authentication Cryptography based technique, hardware Belum

for

diimplementasikan

external tokens, software tokens, challenge/ response karena belum ada system

connections

protocol etc.,

yang bias diakses dari luar kantor.

7.5.4

9.5.4

Password

Whether

there

exists

a

password Belum ada

management system

management system that enforces various password controls such as: individual password

for

accountability,

enforce

password changes, store passwords in encrypted form, etc.,



52

Checklist

Standard

Section

7.5.6

9.5.6

Duress

Audit Question alarm

Temuan

to Whether provision of a duress alarm is Belum ada

safeguard users

considered for users who might be the target of coercion.

7.7.2

9.7.2

Monitoring

system Whether the results of the monitoring Review

use

activities are reviewed regularly.

ada

tapi

tidak

dilaksanakan secara rutin.

System development and maintenance 8.2.1

10.2.1

Input data validation

Whether data input to application system is Belum ada validasi data validated to ensure that it is correct and secara sistem appropriate.

8.2.2

10.2.2

Control of internal Whether areas of risks are identified in the Area risiko belum ditentukan processing

processing cycle and validation checks were included. In some cases the data that has been correctly entered can be corrupted by processing errors or through deliberate acts.



53

Checklist

Standard

Section

Audit Question

8.2.2

10.2.2

Control of internal Whether appropriate controls are identified Belum ada processing

Temuan

for applications to mitigate from risks during internal processing.

8.2.2

10.2.2

Control of internal The controls will depend on nature of Belum ada processing

application and business impact of any corruption of data.

8.2.3

10.2.3

Message

Whether an assessment of security risk was Belum pernah dilaksanakan

authentication

carried

out

to

determine

if

Message assessment keamanan

authentication is required; and to identify most appropriate method of implementation if it is necessary. 8.2.3

10.2.3

Message

Message authentication is a technique used Belum ada

authentication

to detect unauthorised changes to, or corruption of, the contents of the transmitted electronic message.



54

Checklist

Standard

Section

8.2.4

10.2.4

Output

Audit Question

Temuan

data Whether the data output of application Belum ada

validation

system is validated to ensure that the processing of stored information is correct and appropriate to circumstances.

8.3.1

8.3.1

8.3.5

10.3.1

10.3.1

10.3.5

Policy

on

use

of Whether there is a “Policy in use of Belum ada

cryptographic

cryptographic controls for protection of

controls

information” is in place.

Policy

on

use

of Whether a risk assessment was carried out Belum

pernah

cryptographic

to identify the level of protection the assessment risiko

controls

information should be given.

Key management

Whether the Key management system is Belum ada based

on

agreed

set

of

dilakukan

standards,

procedures and secure methods. 8.5.3

10.5.3

Technical review of Whether there are any restrictions in place Tidak ada batasan dalam operating

system to limit changes to software packages.

perubahan paket aplikasi

changes



55

Checklist

Standard

Section

Audit Question

Temuan

Business Continuity Management 9.1.1

11.1.1

Business

continuity Whether there is a managed process in place Belum dirumuskan secara

management process

for developing and maintaining business formal, proses continuity throughout the organisation.

yang ada

selama ini berjalan secara informal

9.1.4

11.1.4

Business

continuity Whether there is a single framework of Business

planning framework

Business continuity plan.

yang

continuity ada

plan

berdasarkan

pengalaman case by case Compliance 10.1.1

12.1.1

Identification

of Whether all relevant statutory, regulatory Untuk hal yang berkaitan

applicable legislation and contractual requirements were explicitly dengan service level belum defined

and

documented

for

each didefinisikan

information system. 10.1.1

12.1.1

Identification

of Whether specific controls and individual Belum didefinisikan

applicable legislation responsibilities to meet these requirements were defined and documented.



56

Checklist

Standard

Section

10.1.6

12.1.6

Regulation

10.2.1

12.2.1

Audit Question

Temuan

of Whether the regulation of cryptographic Kriptografi

cryptographic

control is as per the sector and national dalam

controls

agreement.

Compliance

belum

peraturan

diatur pialang

asuransi

with Whether all areas within the organisation is Belum dilakukan

security policy

considered for regular review to ensure compliance with security policy, standards and procedures.

10.2.2

12.2.2

Technical

Whether information systems were regularly Belum

compliance checking

checked

for

compliance

with

pernah

dilakukan

security pemeriksaan.

implementation standards. 10.3.1

12.3.1

System audit controls

Whether audit requirements and activities Belum

pernah

involving checks on operational systems perencanaan

ada berkaitan

should be carefully planned and agreed to dengan proses audit minimise the risk of disruptions to business process.



57

Hasil lengkap pemeriksaan manajemen keamanan informasi perusahaan berdasarkan IEC17799/ISO27001 dapat dilihat selengkapnya pada lampiran. Data kondisi manajemen keamanan informasi yang telah diperiksa berdasarakan IEC17799/ISO27001 tersebut akan digunakan

sebagai

menggunakan

data

COBIT

dalam

menilai

kemapanan

sesuai

dengan

pemetaan

IEC17799/ISO27001 terhadap COBIT.

4.2.2.2. Analisa Kemapanan COBIT COBIT sendiri dipilih karena ISO 27001 dapat dipetakan ke dalam COBIT sehingga penilaian Manajemen Keamanan Informasi dapat dilakukan dan dilihat dari sisi tata kelola. COBIT sendiri terbagi atas 4 kontrol utama, yaitu : 1. Planning and Organizing 2. Acquire and Implement 3. Deliver and Support 4. Montoring and Evaluating

Untuk memetakan ke dalam 4 kontrol utama COBIT, menurut

dokumen

COBIT

mapping,

overview

of

international IT Guidance edisi ke 2. pemetaan dari ISO 27001 ke COBIT dapat dilihat pada tabel berikut :



58

Tabel 2 : Pemetaan terhadap COBIT

COBIT mapping, overview of international IT Guidance

Dari tabel di atas maka dapat dilihat bahwa untuk melakukan

analisa

terhadap

manajemen

keamanan

informasi suatu perusahaan hanya dibutuhkan 24 kontrol proses dalam COBIT, yaitu : 1. Planning and Organizing a) PO2 Define the Information Architecture



59

Perusahaan telah menetapkan arsitektur informasi yang ada dan telah distandarkan, seluruh staf mengerti akan tanggung jawab atas informasi yang menjadi tanggung jawabnya dan terdapat training secara formal terhadap setiap staf apabila terdapat perubahan. Namun pihak manajemen tidak

menetapkan

penetapan standar ini

kemana

arah

strategis

(menggunakan standar

internal) dan tidak berniat untuk mengadopsi standar tertentu. Selain itu terdapat review dan laporan yang dilakukan case by case terhadap informasi yang ada. Melihat dari kondisi di atas, maka level maturity perusahaan untuk kontrol proses PO 2 berada pada level 3 b) PO3 Determine Technological Direction Terdapat perancangan strategis TI yang berisi arah dan tujuan TI serta pihak manajemen juga menyusun

program

kerja

jangka

pendek,

menengah dan panjang yang di dalamnya di sesuaikan dengan perancangan strategis TI. Hal hal yang berkaitan dengan infrastruktur teknologi telah di dokumentasikan

dan setiap ada

perubahan infrastruktur dilakukan training bagi penggunanya.

Tetapi

migration

plan

tidak

dirumuskan secara standar, tetapi dirumuskan secara case by case yang ada. Melihat dari kondisi di atas maka level kemapanan perusahaan berada pada level 3 c) PO4 Define the IT Processes, Organisation and Relationships



60

Hasil temuan yang berkaitan dengan kontrol proses ini adalah : 

Proses TI yang dilakukan oleh divisi TI kepada

perusahaan sudah ada standar

baku, tetapi tidak lengkap dan sering berubah untuk mengikuti kebutuhan klien ataupun user 

Pemilihan dan hubungan antar vendor berdasarkan pada kemampuan individu yang ditunjuk dalam menangani vendor tersebut

Melihat dari hasil di atas maka kemapanan berada di level 2 d) PO6 Communicate Management Aims and Direction Pihak manajemen telah mengerti apa yang harus dilakukan

terkait

dengan

visi

dan

misi

perusahaan, terbukti dengan telah dibuatnya rencana jangka panjang, menengah dan pendek, serta terdapat juga rancangan strategis TI untuk perusahaan,

selain

itu

terdapat

kebijakan-

kebijakan yang ditetapkan oleh pihak manajemen terkait dengan TI perusahaan yang dibuat case by case, tetapi sayangnya keseluruhan hal tersebut masih dijalankan secara informal dan case by case (tidak konsisten) Melihat dari kondisi di atas maka level kemapanan perusahaan berada pada level 2 e) PO7 Manage IT Human Resources Dalam merekrut staff TI digunakan metode yang berbeda-beda sesuai dengan kebutuhan per



61

project tapi metode dan requirement tersebut dibahas terlebih dahulu oleh pihak manajemen, serta training akan diberikan case by case. Kemapanan perusahaan pada kontrol objektif ini berada pada level 2 f) PO9 Assess and Manage IT Risks IT Risks di kelola oleh divisi TI dengan arahan dari pihak manajemen, tetapi pengelolaanya belum menggunakan suatu framework tertentu dan dilakukan terpisah untuk tiap project yg ada, kecuali untuk IT Risks internal perusahaan, sudah dirumuskan standar-standar keamananya tetapi masih belum dilaksanakan secara formal. Untuk keadaan di atas, maka level kemapanan perusahaan berada pada level 1 2. Acquire and Implement a) AI2 Acquire and Maintain Application Software Proses dalam memilih dan menggunakan aplikasi di

tentukan

oleh

divisi

TI

berdasarkan

pengalaman case by case yang pernah dialami oleh staf TI di mana standar yang berlaku adalah standar yang ditetapkan oleh staf TI tersebut. Dan untuk keamanan, baru di tetapkan standarnya setelah perubahan manajemen bulan mei lalu. Level kemapanan perusahaan dalam proses ini adalah 2 b) AI3

Acquire

and

Maintain

Technology

Infrastructure Proses dalam memilih dan maintain infrastruktur TI yang ada dalam perusahaan dilakukan dengan berpatokan pada kemampuan dan pengalaman



62

individu staf TI yang ditunjuk bertanggung jawab atas pemilihan dan maintain tersebut. Selain itu terdapat juga perencanaan maintenance infratstruktur TI secara formal yang disusun oleh divisi TI sendiri. Level kemapanan perusahaan berada pada level 2 c) AI4 Enable Operation and Use Transfer ilmu pengetahuan dilakukan dengan cara-cara informal, cara formal yang dilakukan hanya training yang di adakan apabila menurut pihak manajemen diperlukan training. Materi training dipersiapkan sesuai dengan kebutuhan dan belum ada standar. Review hasil training juga tidak dilakukan secara reguler. Melihat kondisi di atas maka level kemapanan perusahaan berada pada level 2. d) AI6 Manage Changes Terdapat prosedur change management yang telah dirumuskan oleh pihak manajemen tetapi belum di dokumentasikan. Tetapi prosedur tersebut hanya mencakup rencana perubahan dalam jangka waktu pendek dan belum ada standar tersendiri yang digunakan untuk menilai perubahan tersebut, sehingga dilakukan case by case. Prosedur tersebut telah dilakukan berulang ketika pelaksanaan change management. Dengan demikian maka level kemapanan perusahaan berada pada level 2. e) AI7 Install and Accredit Solutions and Changes Apabila terdapat perubahan yang mengharuskan adanya solusi baru untuk diimplementasikan, perusahaan telah menyadari pentingnya testing,



63

dilihat dari kebiasaan perusahaan yang selalu melakukan testing pada 4 project TI sebelumnya. Namun testing tersebut dilakukan tidak dalam standar yang baku, semua berdasarkan pada standar staf yang ditunjuk untuk bertanggung jawab pada project tersebut. Melihat dari kondisi di atas maka kemapanan perusahaan berada pada level 1 3. Deliver and Support a) DS2 Manage Third-party Services Pengelolaan vendor berlangsung secara informal di mana terdapat laporan untuk setiap proses yang dilakukan terhadap vendor. Pemilihan vendor

belum

memiliki

standar

sehingga

dilakukan berdasarkan hubungan dengan staf walaupun terdapat kontrak resmi. Vendor sendiri dipilih per project. Melihan kondisi di atas maka level kemapanan perusahaan berada pada level 2. b) DS3 Manage Performance and Capacity Pengelolaan performa dan kapasitas TI telah dilakukan dengan review yang diadakan setiap pengajuan project minimum

baru. Tetapi tidak terdapat

requirement

secara

formal

yang

ditentukan untuk membuat service level minimum dalam project selanjutnya. Level kemapanan perusahaan berada pada level 2 c) DS4 Ensure Continuous Service Dalam mengelola ketersediaan servis, prosedur DRP belum di rumuskan secara formal tetapi backup telah dilakukan secara periodik. Staf TI



64

ditunjuk

untuk

bertanggung

jawab

atas

kelangsungan ketersediaan servis TI. Level kemapanan perusahaan berada pada level 2 d) DS5 Ensure Systems Security Keamanan sistem telah diterapkan tetapi belum mengikuti standar tertentu dan belum dapat dipastikan apakah aman atau tidak, pengujian belum

pernah

dilakukan

untuk

memeriksa

keamanan sistem. Setiap respon keamanan didasarkan pada incident yang terjadi. Level kemapanan perusahaan berada pada level 1. e) DS7 Educate and Train Users Proses edukasi dan pelatihan user dilakukan secara informal dan tanpa prosedur baku. Proses tersebut dilakukan berdasarkan kebutuhan user yang tidak mengerti akan sistem. Melihat kondisi di atas maka kemapanan perusahaan untuk proses ini berada pada level 1. f) DS8 Manage Service Desk and Incidents Penanganan incident yang terjadi dilakukan secara reaktif apabila terjadi incident tetapi tidak ada standar prosedur

yang mengatur tiap

pelaksanaan incident handling tersebut, semua kegiatan dilakukan secara informal dan tidak ada pendataan terkait dengan incident tersebut. Level kemapanan perusahaan berada pada level 1 g) DS9 Manage the Configuration Konfigurasi

TI

telah

di

berdasarkan

kemampuan

berdasarkan

standar

dokumentasikan staf

tertentu.

TI, Setiap

bukan ada

perubahan konfigurasi, dokumen konfigurasi TI



65

diperbarui, terdapan karyawan lain yang ditunjuk untuk

mendapatkan

konfigurasi

TI

akses

untuk

ke

dokumen

meminimalisir

risiko

apabila terjadi sesuatu dengan staf TI Level kemapanan perusahaan berada di level 2 h) DS11 Manage Data Terdapat

klasifikasi

data

dan

tiap

user

bertanggung jawab atas data miliknya. Terdapat pengawasan untuk jenis data yang dipilih oleh pihak manajemen. Staf TI bertanggung jawab atas manajemen data keseluruhan secara umum. Level kemapanan perusahaan berada pada level 2 i) DS12 Manage the Physical Environment Pengamanan secara fisik hanya terdapat kunci dan dilakukan oleh beberapa karyawan yang ditunjuk. Proses maintenance dilakukan secara informal tetapi terdapat laporan yang diserahkan kepada pihak manajemen. Pihak manajemen tidak

melakukan

laporan

apabila

review,

hanya

terdapat

menerima

masalah

dan

memberikan keputusan terkait dengan masalah tersebut. Level kemapanan perusahaan berada pada level 2 j) DS13 Manage Operations Pelaksanaan operasional TI dilakukan secara informal, terutama untuk support, di mana setiap permintaan user dan perbaikan dilakukan setiap ada masalah atau ada permintaan dari user. Tetapi untuk lingkup divisi TI sendiri sudah terdapat

prosedur

formal

yang

mengatur

operasional TI, sehingga dapat disimpulkan level kemapanan berada pada level 2.



66

4. Montoring and Evaluating a) ME1 Monitor and Evaluate IT Performance Proses untuk mengevaluasi dan pengawasan performa TI dilakukan secara informal oleh pihak manajemen langsung. Metric pengukuran dalam evaluasi sudah di tentukan tapi tidak mengacu kepada

standar

tertentu.

Sementara

proses

evaluasi dan pengawasan juga sangat tergantung kepada keahlian staf TI perusahaan. Melihat hasil temuan di atas maka perusahaan berada pada level kemapanan 2. b) ME2 Monitor and Evaluate Internal Control Untuk

kontrol

internal,

manajemen

tidak

mengatur secara formal, tetapi memerintahkan divisi TI untuk melakukan pengawasan dan memberikan

laporan

dalam

jangka

waktu

tertentu. Dengan kondisi tersebut, maka level kemapanan perusahaan berada pada level 1 c) ME4 Provide IT Governance Pihak manajemen menyadari pentingnya tata kelola TI pada perusahaan sehingga mulai menyusun perbaikan pada tata kelola TI terhitung ketika perubahan manajemen pada pertengahan bulan mei lalu. Untuk saat ini, kondisi tata kelola TI dijalankan dengan melihat kasus-kasus yang telah dialami perusahaan dan apabila terjadi masalah, pihak manajamen selalu merespon dan menindak lanjuti masalah tersebut secepatnya. Dengan melihat kondisi di atas, maka level kemapanan perusahaan berada pada level 1



67

4.2.3. Kesenjangan Performansi dan Kemapanan Manajemen Keamanan Informasi Untuk analisa performansi manajemen keamanan informasi PT XYZ, dalam peta strategi yang di turunkan dari IT BSC yang telah dirumuskan sebelumnya, terlihat bahwa manajemen keamanan informasi sendiri belum dapat diukur karena belum mendapatkan perhatian pada rencana strategis perusahaan. Tetapi perusahaan sendiri meminta

proses manajemen

keamanan informasi untuk mendukung seluruh target yang telah di susun dalam IT BSC. Berikut adalah peta strategi yang telah di buat dari IT BSC berdasarkan kondisi pencapaian perusahaan

terhadap

target

strategis

perusahaan

yang

didapatkan melalui FGD.



68

Gambar 9 : Strategy Tree IT BSC PT XYZ



69

Selain

kesenjangan

performansi

di

atas,

juga

terdapat

kesenjangan kemapanan Dari hasil evaluasi kemapanan PT XYZ, terdapat 7 proses yang memiliki tingkat kemapanan 1 yaitu : 1. PO9 Proses untuk mengelola dan mengevaluasi risiko TI pada PT XYZ dijalankan

sesuai

dengan arahan pihak

manajemen dan belum di jalankan secara formal. Dari hasil

wawancara

manajemen

dengan

pihak

menginginkan

agar

manajemen, standar

pihak

keamanan

perusahaan dapat dibuat lebih formal sehingga mampu untuk mengidentifikasi risiko-risiko yang mungkin terjadi di masa depan. 2. AI7 Dengan tidak adanya standar perusahaan dalam mengatur solusi bisnis, maka dibutuhkan standarisasi yang mengatur solusi bisnis perusahaan dalam hal testing dan instalasi. Hal ini bertujuan untuk memastikan kualitas sistem yang digunakan sudah sesuai dengan kebutuhan perusahaan. 3. DS5 Dengan tidak adanya standar keamanan perusahaan dan pengalaman

terjadinya

pencurian

data

oleh

pihak

manajemen maka diperlukan assesment pada keamanan perusahaan dan Menetapkan standar keamanan perusahaan untuk mencegah terulangnya kejadian pencurian data tersebut dan mengurangi risiko keamanan TI lainnya 4. DS7 Walaupun

pihak

manajemen

menyadari

dan

telah

menjalankan program training, namun tidak ada review ataupun standar yang baku sehingga tingkat pemahaman karyawan hanya sebatas case by case yang telah terjadi. Dibutuhkan penetapan standar dalam training staf untuk



70

meningkatkan kualitas individu staf yang ada sehingga terdapat standar minimum dalam kemampuan staf. 5. DS8 Kondisi sevice desk yang masih informal dan bereaksi berdasarkan incident yang ada menyebabkan incident tidak terdokumentasikan dengan baik dan tidak ada penjelasan apakah incident tersebut sudah tertangani dengan baik atau belum. Hal tersebut akan membuat terdapatnya kemungkinan berulangnya incident tersebut atau terjadi incident lain akibat dari incident yang belum terselesaikan. Untuk mengurangi

risiko atas hal tersebut maka

diperlukan perubahan service desk yang sebelumnya informal menjadi formal dan terdapat pengarsipan secara konsisten berkaitan dengan incident yang terjadi. 6. ME2 Dengan kondisi di mana pengawasan yang terjadi hanyalah secara informal walaupun secara infrastruktur telah dipersiapkan, sehingga banyak kejadian yang tidak tercatat dan lolos dari pengawasan. Untuk mengatisipasi kejadian tersebut dibutuhkan proses pengawasan di mana terdapat individu yang ditunjuk bertanggung jawab untuk melakukan pengawasan serta dilakukan pelaporan secara reguler

berdasarkan

jangka

waktu

tertentu

bukan

berdasarkan incident yang terjadi. 7. ME4 Perubahan yang terjadi pada level manajemen telah menilai bahwa tata kelola TI yang cocok untuk perusahaan harus segera dirumuskan karena sebelumnya, kegiatan TI yang dilakukan hanya sebatas support dan dilakukan secara informal.



71

Dari hasil analisa sebelumnya di mana belum memasukan ISM dalam analisanya, maka untuk memperbaiki ISM pada PT XYZ dilakukan analisa ulang terhadap kondisi perusahaan dengan menggunakan SWOT untuk memasukan unsur ISM. Analisa SWOT tersebut menghasilkan analisa SWOT baru PT XYZ yang di dalamnya terdapat ISM sehingga memunculkan strategi tambahan untuk mencapai target perusahaan. Hasil dari analisa tersebut adalah :



72

Opportunities 5.

Threat

Calon konsumen

yang

sudah

sadar

tapi

belum

asuransi

memiliki asuransi 6.

Produk

yang

masal

belum tergarap 7.

berubah

Program

membayar premi

kerja

pengurusan

polis

untuk

dan

yang

penduduk

perusahaan asuransi

pembentukan produk

produk

baru

 Peningkatan pengawasan

 Kemampuan Solusi

 Kreativitas

Solusi

 Penambahan

terbesar di Indonesia

klaim

lambat dari beberapa

Solusi

perusahaan asuransi

Waktu

mengasuransikan

Strength dengan

menjadi

9. Klien yang terlambat

10.

pemerintah

 Hubungan

jabatan manajemen

pesaing

asuransi

bersifat

8. Mantan pegawai dari

masuk

untuk

ke

birokrasi

follow

up

dan dalam

pengurusan polis dan klaim

pemerintah

 Penataan

ulang

manajemen

keamanan

 Menyisihkan konsumen bermasalah

 Perbaikan

informasi

prosedur

backup

Weakness  Kurangnya


tenaga

 Efisiensi

informasi

belum

dilakukan

Solusi

biaya

biaya

perhitungan

belum sempurna  Perhitungan efisiensi

modul

sistem informasi

marketing handal  Sistem

 Pelatihan penerimaan

dan ulang

pengeluaran

dan pegawai

baru  Efisiensi

waktu

pengurusan klaim

 Penambahan

sistem

keamanan

 Penambahan

modul

keuangan

 Jumlah tenaga ahli asuransi

Solusi

 Perbaikan

yang

keamanan

kurang

Gambar 10 : SWOT setelah penambahan Manajemen Keamanan Informasi



prosedur

73

Dari hasil analisa SWOT diatas maka dapat dilihat bahwa terdapat tambahan strategi berupa solusi perusahaan untuk mencapai target. Tambahan strategi tersebut adalah : 1.

Penataan ulang manajemen keamanan informasi

2. Perbaikan prosedur backup 3. Penambahan sistem keamanan 4. Perbaikan prosedur keuangan Setelah didapatkan daftar solusi strategi baru yang terkait dengan manajemen keamanan informasi, maka strategi tersebut dimasukkan ke dalam BSC, yaitu :

Perspective Education and Growth Perspective

Description

Pengembangan Kualitas SDM dan Sistem Pengembangan Sistem PT XYZ Penambahan keamanan pada sistem

Customer Perspective Perbaikan Kualitas Servis Perubahan prosedur keamanan

Internal Processes Perspective Efisiensi Biaya Perbaikan prosedur backup

Financial Perspective Peningkatan Pendapatan Penataan ulang Manajemen Keamanan Informasi

Gambar 11 : BSC PT XYZ setelah penambahan manajemen keamanan informasi

Dan kemudian dari BSC yang ada diturunkan ke dalam IT BSC, yaitu :



74

Perspective Future Orientation

Description Pengembangan Kualitas SDM dan Sistem Pengembangan Sistem PT XYZ Penambahan keamanan pada sistem

Customer Orientation Perbaikan servis dan konsumen baru Perubahan prosedur keamanan

Operation Excellence Efisiensi Biaya dan waktu Perbaikan prosedur backup

Corporate Contribution Peningkatan Pendapatan Penataan ulang Manajemen Keamanan Informasi

Gambar 12 : IT BSC PT XYZ setelah penambahan manajemen keamanan informasi



75

Dari IT BSC yang telah dibuat, maka dengan data performansi perusahaan, maka dapat dirumuskan perofrmansi perusahaan terkait dengan strategi yang telah dijalankan yang dapat kita lihat pada gambar dibawah :

Perspective Indicator Future Orientation

Weight (x of 10)

Description

3

Training Penambahan Keamanan Pada Sistem Total Performance in group

3

4 3

Future Orientation


2

4

1

4 2


3


2

Konsumen Baru

4

4

4

Score

6

2

Score

6

Risk

0

50 39,39% 36,95%

Efisiensi Waktu PT XYZ Efisiensi Waktu PT XYZ Konsumen Baru PT XYZ

Claim Service Pengurusan Polis Penambahan produk baru Perubahan Prosedur Keamanan Total Performance in group

Target Value

39,39% Indicator shows how the solution "Pengembangan Sistem" helps to achieve business goal "PT XYZ" Pengembangan Sistem PT XYZ Peningkatan Kualitas SDM PT XYZ

Modul

Measure unit

Value

20,00%

%

14,00%

14

Score

3

0

Score

5

Risk

0

50 36,95% 48,11%

Indicator shows how the solution "Konsumen Baru" helps to achieve business goal "PT XYZ" Konsumen Baru PT XYZ

5

Score

30



76

Efisiensi Biaya Outstanding Premi Berkurang Pengurangan Konsumen Bermasalah Perbaikan Prosedur Backup Total Performance in group

3


5,00%

%

20,00%

3


5,00%

%

0,00%

1


30,00%

%

100,00%

4 2

100,00% 48,11%

%

100,00%



3

13,00%

%

100,00%

5,00%

%

100,00%

2,00%

%

100,00%

4 3


4

Investasi

2

Total Performance in Powered by

2

Brokerage Fee

Jasa Lain Penataan ulang manajemen keamanan informasi Total Performance in group

38,83% Indicator shows how the solution "Pendapatan" helps to achieve business goal "PT XYZ" Pendapatan PT XYZ Pendapatan PT XYZ Pendapatan PT XYZ

KPI PT XYZ

0 38,83%

Risk

0

40,48%

BSC Designer PRO

Gambar 13 : IT BSC dan Performansi KGI setelah penambahan manajemen keamanan informasi



77

Bobot penilaian strategi yang berkaitan dengan manajemen keamanan informasi diberi nilai sama dengan bobot strategi tertinggi dengan alasan bahwa apabila strategi manajemen keamanan informasi tidak dijalankan, maka risiko keamanan data menjadi lebih tinggi dan dapat mengancam ketersediaan data yang digunakan untuk menjalankan strategi yang lain. Dengan adanya tambahan KGI yang berkaitan dengan manajemen keamanan informasi di atas, maka performansi perusahaan juga berubah menjadi 40,48% . Performansi perusahaan tersebut dapat dilihat pada gambar 13 untuk mengetahui performansi mana yang masih jauh dari target sehingga pihak manajemen dapat mengambil keputusan terkait dengan performansi perusahaan agar dapat memenuhi target.



78

BAB V

KESIMPULAN DAN SARAN

5.1. Kesimpulan Setelah dilakukan analisa data dan didapatkan hasil, maka kesimpulan dari penelitian ini adalah : 1. PT XYZ masih belum memasukan manajemen keamanan informasi ke dalam langkah

strategis

perusahaan

sementara

pihak

manajemen

sendiri

membutuhkan suatu keamanan informasi yang mampu untuk mendukung proses bisnis yang dijalankan oleh perusahaan. Selama ini pihak manajemen menanggap bahwa keamanan informasi cukup dengan pengawasan secara informal dan menjadi tanggung jawab divisi TI. Tetapi divisi TI sendiri tidak memiliki kontrol keamanan atas divisi lain kecuali dalam hal pengelolaan TI pada divisi lain tersebut. Hal ini mengakibatkan terjadinya beberapa kali pencurian data oleh pegawai dan mantan pegawai PT XYZ. 2. Pihak manajemen menginginkan agar keamanan informasi PT XYZ dapat dijalankan secara fleksibel di mana ada bagian yang harus dapat memenuhi standar pelayanan untuk nasabah tetapi di pihak internal ada proses yang dapat berjalan secara informal. Hal ini yang menyebabkan pihak manajemen belum memikirkan untuk menerapkan suatu standar tersendiri dan lebih untuk menggunakan standar yang diciptakan hasil dari pengalaman kasus-kasus terdahulu yang pernah terjadi di perusahaan. Keamanan yang dapat dijalankan secara fleksibel dibutuhkan karena jumlah pegawai yang memang hanya sedikit. Apabila keseluruhan keamanan dijalankan secara formal, maka ada bagian proses bisnis yang menjadi tidak efisien. 3. Tata kelola keamanan informasi PT XYZ yang telah berjalan selama ini merupakan hasil dari pengalaman pihak manajemen dan staf yang diambil dari kasus-kasus yang pernah terjadi dan belum menerapkan satu standar tertentu. 70



79

Hasil dari pelaksanan tata kelola keamanan dengan cara tersebut di atas mengakibatkan tidak optimalnya pelaksanaan tata kelola keamanan informasi sehingga terjadi kasus-kasus pencurian data. 4. Dengan diintegrasikannya manajemen keamanan informasi pada rancangan strategis perusahaan, maka target pencapaian performansi perusahaan juga berubah, dengan kondisi yang ada sekarang dan target performansi yang telah dirumuskan, pencapaian performansi perusahaan ternyata lebih tinggi daripada kondisi sebelum manajemen keamanan informasi diintegrasikan ke dalam target strategis perusahaan. Hal di atas menunjukkan bahwa penerapan manajemen keamanan informasi dapat mempengaruhi performansi perusahaan karena secara tidak langsung, dari penerapan manajemen keamanan informasi dapat mengurangi insiden yang terjadi dan meningkatkan Service Level

kepada client, dengan

peningkatan Service Level tersebut maka diharapkan akan mendatangkan client baru. 5.2. Saran Berdasarkan kesimpulan dan hasil penelitian ini, maka penulis dapat memberikan saran : 1. Menyusun tata kelola TI yang di dalamnya juga memuat manajemen keamanan informasi yang sesuai dengan target yang ingin dicapai oleh pihak manajemen sehingga pelaksanaan kegiatan operasional TI pada PT XYZ dapat dinilai dan diukur sebagai bahan perbaikan untuk mencapai target perusahaan. 2. Memasukan manajemen keamanan informasi ke dalam rancangan strategis perusahaan untuk melindungi informasi perusahaan. Hal ini dibutuhkan agar kebutuhan keamanan perusahaan dapat terus di awasi dan dinilai agar tetap sesuai dengan kebutuhan keamanan informasi perusahaan. 3. Menetapkan secara formal batasan-batasan keamanan yang harus di formalkan dan mana yang masih dapat di lakukan secara informal. Untuk menetapkan batasan keamanan mana saja yang harus di buat formal, maka diperlukan kesepakatan antara pihak manajemen dan karyawan perusahaan, hal-hal yang masih dapat berjalan tanpa proses yang formal. Tetapi dalam pelaksanaanya, dibutuhkan keputusan tertulis dari pihak manajemen tentang batasan yang boleh berjalan informal apabila telah keluar dari batasan tersebut, maka tetap harus dilakukan secara formal. Universitas Indonesia


80

4. Melakukan assesment keamanan perusahaan dan menetapkan standar keamanan yang dibutuhkan oleh perusahaan. Dalam pemilihan standar keamanan yang dibutuhkan perusahaan, dapat mengacu kepada perusahaan lain yang memiliki standar keamanan dan disesuaikan dengan kondisi perusahaan ataupun menetapkan standar baru tersendiri dari awal yang sesuai dengan

kebutuhan

perusahaan.



81

DAFTAR PUSTAKA

(1)

Evaluasi

Penerapan

Mohammad

Baihaqi

Manajemen

Keamanan

Informasi

di

Xprins;

Aqbaruddin; Jakarta : Program Studi Magister

Teknologi Informasi Fasilkom UI, 2011

(2)

Security Planning and Risk Analysis, CS461/ECE422

(3)

ISO 27001:2005 International Standard, First Edition, 15-10-2005

(4)

Keputusan Menteri Keuangan R.I. No. 226/KMK.0171993 tentang perijinan penyelenggaraan kegiatan usaha penunjang perusahaan asuransi.

(5)

Gary Stoneburner, Alice Goguen, and Alexis Feringa. Risk Management Guide for Information Technology System: NIST Publication, July 2002.

(6)

Penilaian Risiko dan Analisa Profil Risiko TI Menggunakan Kerangka Kerja Riskit: Studi Kasus PT. Bank ABC (Persero) Tbk; Yok Christiono; Jakarta : Program Studi Magister Teknologi Informasi Fasilkom UI, 2011

(7)

Perancangan Keamanan Informasi Berdasarkan Penilaian Risiko Keamanan Informasi Di PT Multi Terminal Indonesia; Aan Al Bone; Jakarta: Program Studi Magister Teknologi Informasi Fasilkom UI,2009

(8)

Peraturan Pemerintah Republik Indonesia Nomor 63 Tahun 1999 tentang perubahan atas Peraturan Pemerintah Nomor 73 Tahun 1992 tentang Penyelenggaraan Usaha Perasuransian

(9)

Peraturan Pemerintah Nomor 73 Tahun 1992 tentang penyelenggaraan perasuransian



82

(10) Peraturan Pemerintah Nomor 38 Tahun 2008 tentang perubahan kedua Peraturan pemerintah nomor 73 tahun 1992

(11) Peraturan Pemerintah Nomor 81 Tahun 2008 tentang perubahan ketiga Peraturan pemerintah nomor 73 tahun 1992

(12) Risk IT Framework, ISACA, 2009

(13) Surat Edaran Bank Indonesia 09/30/DPNP/2007 mengenai Implementasi Manajemen Risiko pada Bank Umum di Indonesia,

(14) Syafrizal, merwin, information security Management system menggunakan standar ISO/IEC 27001:2005. Yogyakarta : STMIK AMIKOM, 2008

(15) Undang-undang Nomor 2 Tahun 1992 tentang pelaksanaan perasuransian (16) Yulianto, Famzah Arif. Keamanan Sistem – Manajemen Risiko, 2006.

(17) Dokumen Kebijakan PT XYZ, 2011

(18) IEC 17799 checklist, SANS Institute, 2003

(19) Rangkuti, Freddy. SWOT Balanced Scorecard, Teknik Menyusun Strategi Korporat yang Efektif Plus Cara Mengelola Kinerja dan Risiko. Gramedia, April 2012

(20) SOP PT XYZ, 2011

(21) Riri Satria. Balanced Scorecard, Presentasi Kuliah. MTI-UI, 2011

(22) Suwardi Luis & Prima A Biromo. Step By Step in Cascading Balanced Scorecard to Functional Scorecards. Kompas Gramedia,2011



83

(23) http://www.e-cio.org/eamap.php?&blogid=31, diakses pada 12 Juni 2012 pukul 13.00

(24) Gray, Craig R. Policy Development & The 4 COBIT Domain Processes. Lee University

(25) National Institute of Standard and Technology, Risk Management Guide For Information Technology Systems, Special Publication 800-30

(26) Peraturan Menteri Keuangan Republik Indonesia Nomor 152/PMK.010/2012 tentang tata kelola perusahaan yang baik bagi perusahaan perasuransian

(27) Keputusan DJLK Nomor Kep-2833/LK / 2003 tentang Petunjuk Penyusunan Pedoman Pelaksanaan Prinsip Pengenalan Nasabah

(28) COBIT Mapping: Overview of International IT Guidance, 2nd Edition, ISACA



84

RANGKUMAN DATA INSIDEN YANG PERNAH TERJADI

Waktu Agustus 2011 - Agustus 2012 Agustus 2011 - Agustus 2012

Insiden

Penyebab

Pencurian data

Penyalahgunaan

proyek

wewenang

Pencurian data

Penyalahgunaan

nasabah

wewenang

- Agustus 2012

Pencegahan

Perusahaan Kerahasiaan

kehilangan

Perubahan hak akses

proyek

Kerahasiaan

berpindah ke pialang

Perubahan hak akses

asuransi lain

Pencurian polis

2012

Agustus 2011

Akibat

Nasabah

Agustus 2011 - Agustus

Risiko

Penyalahgunaan wewenang

Pendapatan Kerahasiaan

internal dan

materi internal

eksternal yang tidak jelas

Perubahan hak akses

perusahaan Perusahaan

Pemisahan data Pencurian data

tidak masuk ke

Kerahasiaan

pesaing

Pemisahan yang lebih

memiliki materi

ketat untuk data internal

internal

dan eksternal

perusahaan Universitas Indonesia


85

RANGKUMAN DATA INSIDEN YANG PERNAH TERJADI - LANJUTAN Waktu Agustus 2011 - Agustus 2012

Insiden Kehilangan data HR

Agustus 2011 - Agustus 2012

Penyebab Kerusakan hardware akibat listrik tidak stabil Adanya virus

Kerusakan data

yang menginfeksi PC dan Notebook

Risiko  Integritas  Ketersediaan  Integritas  Ketersediaan

Akibat

Pencegahan

Kehilangan

Perubahan frekuensi

data

backup otomatis

Kerusakan pada data

Penutupan hak akses user ke seluruh folder kecuali folder users



86

RANGKUMAN HASIL WAWANCARA TAHAP 1 DENGAN PIHAK MANAJEMEN

1. Sejauh mana pemahaman pihak manajemen terhadap keamanan informasi Pihak manajemen masih menganggap keamanan informasi sebatas keamanan sistem di mana keseluruhan keamanan sistem adalah tanggung jawab divisi IT dan untuk keamanan informasi lain dijalankan sesuai dengan standar perusahaan yang diperbaiki case by case 2. Apakah para pelaku bisnis menyadari standar informasi keamanan ? Dalam praktiknya, para pelaku bisnis dalam industri ini tidak pernah melihat keamanan informasi secara detail karena merasa apa yang dilakukan sudah cukup baik kecuali dalam beberapa perusahaan asuransi general luar negeri yang sudah memiliki standar keamanan informasi sendiri 3. Apakah ada standar keamanan informasi Sampai sekarang tidak ada, dan perusahaan dalam industri ini hanya berpatokan pada undang-undang asuransi yang

mengatur tentang

pelayanan yang baik terhadap nasabah 4. Selama ini bagaimana cara menilai keamanan informasi yang berjalan sudah cukup aman atau belum? Selama ini belum ada audit keamanan ataupun serangan yang terjadi sehingga setiap perusahaan cukup optimis dengan keamanan informasinya 5. Apa yang menjadi dasar dalam penentuan keamanan informasi? Best Practice tiap pihak manajemen perusahaan dalam menjalankan bisnis dan melihat perusahaan lain yang dianggap lebih baik

Keterangan wawancara :  Waktu : 2 Mei 2012, 14.00 sampai 16.00  Tempat Meeting Room PT XYZ  Peserta : Penulis, Bapak F, Manager PT XYZ



87

RANGKUMAN HASIL WAWANCARA TAHAP 2 DENGAN PIHAK MANAJEMEN

Target keamanan informasi di masa depan adalah suatu keamanan yang aman tapi dapat diubah (fleksibel) untuk penggunaan keluar terhadap klien, dan penilaian tentang perubahan kebutuhan keamanan akan di nilai setiap kali ada project yang baru. Selain itu untuk keamanan data sendiri akan disesuaikan dengan kebutuhan klien apabila klien tersebut membutuhkan keamanan yang lebih baik lagi. Pihak IT dan manajemen yang akan bertanggung jawab atas keamanan data. Kemanan data yang fleksibel tersebut berupa tingkat pegawasan yang disesuaikan dengan kemauan pihak manajemen dan dapat di kontrol apabila dibutuhkan, tetapi untuk transaksi internal akan ada beberapa aspek yang akan diminta oleh pihak manajemen untuk di perlonggar dikarenakan user dari pihak internal perusahaan dibawah 30 orang dan keamanan tersebut harus dapat diubah secara cepat ketika dibutuhkan perubahan kebijakan keamanan , dalam hal ini akan di review seandainya terdapat suatu kasus dan apabila user telah lebih dari 30 orang . Dalam wawancara ini, didapatkan juga rangkuman target manajemen keamanan informasi perusahaan saat ini yang terdapat dalam target manajemen keamanan pada bab 4.

Keterangan wawancara :  Waktu : 25 Mei 2012, 14.00 sampai 16.00  Ruang Direktur Utama PT XYZ  Peserta : Penulis dan Bapak S Direktur Utama PT XYZ



88

RANGKUMAN WAWANCARA DENGAN PERWAKILAN KARYAWAN

Karyawan sebagai user menyerahkan segala kebijakan manajemen keamanan informasi kepada perusahaan, tetapi mereka ingin untuk kebijakan keamanan internal agar tidak menyulitkan mereka ketika bekerja. Berkaitan dengan kesadaran keamanan, seluruh karyawan belum ada yg mengetahui tentang standar keamanan data. Mereka semua mengambil tolok ukur dari tempat mereka bekerja sebagai patokan untuk menjalankan keamanan informasi, sehingga setiap tindakan yang dilakukan untuk mengamankan informasi hanya berdasarkan pengalaman mereka yang disesuaikan dengan kondisi manajemen keamanan informasi perusahaan yang ada.

Keterangan wawancara :  Waktu : Tidak tentu antara 2-5 Mei 2012  Tempat Ruang kerja PT XYZ  Peserta : Penulis, Seluruh Marketing support PT XYZ dan staf keuangan PT XYZ



89

STRUKTUR SOP BAB 1 – Pendahuluan/Introduction 1.1. Latar Belakang/Overview 1.2. Nilai Kultur dan Budaya Perusahaan/ Company Values & Culture 1.3. Visi dan Visi Perusahaan/Company Mission and Vision 1.4. Moto/Motto BAB 2 – Fungsi & Peranan/Role & Function 2.1. Undang-Undang no. 2 thn 1992 2.2. Peranan & Fungsi Broker 2.3. Manfaat bagi Tertanggung/ Advantages 2.4. Etika Perilaku & Praktek / Code of Ethic & Conduct BAB 3 – Dasar Pelayanan & Minimum Service 3.1. Dasar Pelayanan/Basic of Client Servicing 3.2. Standar Minimum/Minimum Standard 3.3. Standar Waktu Pelayanan/Service Standard Time Table BAB 4 – Sistim Administrasi & Dokumentasi 4.1. Pengawasan Dokumen/Document Control 4.2. Dokumen Administrasi 4.3. Komunikasi Vebal & Catatan/Verbal Communication & File Notes 4.4. Closing Instrucions 4.5. Sistim File/Filing System 4.6. Sistim Komputer/Computer System

Bab 5 - Prosedur pada Bagian Marketing dan Teknik 5.1 Prosedur Prospek Bisnis Baru dan Akseptasi 5.2 Prosedur Penerbitan Endorsement Polis 5.3 Prosedur Perpanjangan Polis



90

5.4 Prosedur Perpanjangan Polis Hilang 5.5 Prosedur Klaim Asuransi 5.6 Prosedur Pelaksanaan Survey Risiko 5.7 Tata Cara Sistem Penomoran Dokumen

Bab 6 - Prosedur pada Bagian Keuangan 6.1. Prosedur Pembuatan Nota 6.2. Prosedur Penagihan dan Penyetoran Premi 6.3. Prosedur Pembayaran Hutang Premi 6.4. Prosedur Pembayaran Hutang Komisi 6.5. Prosedur Pengisian Kas Kecil 6.6. Prosedur Pembelian Barang 6.7. Prosedur Investasi dan Kas Bank 6.8. Prosedur Perhitungan dan Pembayaran Upah Karyawan 6.9. Prosedur Pembayaran PPN dan Pajak-pajak Lain 6.10. Prosedur Transfer Brokerage dari Rekening Premi ke Rekening Fee

Bab 7 - Prosedur pada Bagian Akuntansi 7.1. Prosedur Rekap Laporan Produksi dan Perhitungan PPN 7.2. Prosedur Pembuatan Laporan Keuangan dan Laporan Hutang Piutang 7.3. Prosedur Pembuatan Laporan Auditor Independen 7.4. Prosedur Pelaporan SPT Tahunan 7.5. Prosedur Pelaporan kepada Departemen Keuangan Bab 8 – Prosedur pada Bagian Umum 8.1. Prosedur Pengiriman Polis 8.3. Prosedur Filing Dokumen Polis 8.3. Prosedur Pembelian Barang dan Inventaris Perusahaan 8.4. Prosedur Administrasi Inventaris Perusahaan 8.5. Prosedur Permintaan Barang Cetakan 8.6. Prosedur Pemakaian Aset/Inventaris Perusahaan 8.7. Prosedur Reparasi dan Pemeliharaan Aset/Inventaris



91

8.8. Prosedur Perhitungan dan Pembayaran Upah Karyawan 8.9. Prosedur Asuransi Inventaris Perusahaan 8.10. Prosedur Pengurusan Surat 8.11. Prosedur Penerimaan Telp Masuk 8.12. Prosedur Penerimaan Tamu



92

HASIL FGD I Waktu : 14 Mei 2012 Tempat : Ruang rapat PT XYZ Peserta : 

Penulis



Perwakilan dari pihak manajemen :  Bapak F  Bapak S  Bapak S

FGD pertama membahas tentang strategi perusahaan setelah pergantian manajemen. Hasil dari FGD ini adalah : 

Analisa SWOT dengan merumuskan strategi di bawah ini sebagai solusi : -

Penambahan modul sistem informasi, merupakan strategi utama perusahaan dalam menutupi kelemahan yang ada saat ini dikarenakan proses bisnis masih ada yang bersifat manual.

-

Penambahan produk baru dengan target 1 produk pada tahun ini

-

Meningkatkan pengawasan dan follow up terhadap perusahaan asuransi, terutama untuk perusahaan asuransi yang memiliki track record lambat dalam mengurus polis dan klaim asuransi

-

Mengurangi konsumen bermasalah dengan tidak menerima order dan tidak memperpanjang asuransi yang telah di tutup, tetapi tetap berusaha untuk memberikan pelayanan yang terbaik kepada konsumen tersebut.

-

Mencari peluang berupa asuransi masal yang menjadi program pemerintah

-

Melakukan pelatihan pegawai untuk meningkatkan kompetensi dengan cara mengikutsertakan pegawai yang dipilih untuk mengikuti pelatihan bersertifikasi



93

-

Melakukan penerimaan karyawan baru untuk posisi teknikal dan marketing



Melakukan perhitungan ulang pengeluaran dan melakukan efisiensi

Merumuskan BSC hasil dari penurunan solusi yang ada pada analisa SWOT



Pembobotan pada BSC, yaitu : -

Pembobotan dilakukan dengan membagi solusi dan target yang ada ke dalam kelompok bobot tertentu sesuai dengan prioritas masingmasing

-

Setiap strategi yang dinilai memiliki nilai prioritas sama akan ditempatkan pada 1 kelompok

-

Dari 4 perspektif yang ada pada BSC, terdapat 2 perspektif yang mendapatkan bobot tertinggi karena menjadi prioritas utama, sementara 2 perspektif lainnya mendapatkan nilai lebih kecil karena bukan menjadi prioritas utama, tetapi perbedaan nilai yang tidak jauh tersebut menunjukan bahwa 2 perspektif lainnya tetap mendapatkan prioritas hanya sedikit lebih kecil.

-

Dalam hal pembobotan strategi dalam tiap perspektif, dilakukan hal yang sama, hanya saja jumlah nilai dalam pembobotan diperbanyak karena ada lebih banyak pengelompokan strategi berdasarkan prioritas perusahaan.

-

Hasil dari pembobotan strategi tersebut adalah : 

Kategori prioritas tertinggi dengan nilai pembobotan 4 adalah : o Peningkatan brokerage fee o Penambahan modul sistem informasi perusahaan o Mempercepat

proses

pembuatan

polis

dan

memberikan pelayanan tambahan dalam pengurusan polis



94

o Penambahan konsumen baru terutama dari calon konsumen yang benar-benar belum mengenal PT XYZ 

Kategori strategi dengan nilai 3 adalah : o Pelatihan karyawan dan penerimaan karyawan baru o Mempercepat proses klaim o Perhitungan ulang biaya-biaya operasional dan melakukan efisiensi o Mengurangi premi yang pembayarannya terlambat (outstanding premi)



Kategori strategi dengan nilai 2 adalah : o Peningkatan pendapatan dari hasil investasi o Peningkatan pendapatan dari jasa lain yang dapat dilakukan



Kategori strategi dengan nilai 1 adalah : o Penambahan produk baru o Mengurangi konsumen yang bermasalah terutama yang berkaitan dengan pembayaran premi



95

HASIL FGD II Waktu : 29 Mei 2012 Tempat : Ruang rapat PT XYZ Peserta : 

Penulis



Perwakilan dari pihak manajemen :  Bapak F  Bapak S  Bapak S

FGD kedua berisi pembahasan mengenai perubahan strategi perusahaan terkait dengan hasil dari pemeriksaan tingkat kemapanan manajemen keamanan informasi perusahaan. Dari hasil pemeriksaan tingkat kemapanan tersebut ditemukan beberapa kekurangan yang kemudian membuat pihak manajemen merumuskan strategi baru untuk mengatasi kekurangan tersebut agar mampu untuk mencapai target perusahaan. Hasil dari FGD ini adalah : 

Penambahan solusi pada analisa SWOT dikarenakan telah diketahuinya kekurangan pada manajemen keamanan informasi, solusi tambahan tersebut adalah : -

Penataan ulang manajemen keamanan informasi dikarenakan adanya banyak kekurangan pada manajemen keamanan informasi yang telah berjalan selama ini.

-

Perbaikan prosedur keamanan yang ada terkait dengan insiden yang terjadi dalam 1 tahun belakang membuktikan ada kelemahan yang fatal dalam prosedur keamanan yang ada.

-

Durasi backup untuk beberapa jenis data diperbanyak dan rentang waktu backup juga dipersempit untuk menghindari kehilangan data apabila terjadi insiden yang berkaitan dengan masalah hardware.

-

Memperbaiki dan menambah sistem keamanan yang ada pada perusahaan

untuk

mendukung

perbaikan

pada

manajemen



96

keamanan informasi. Perbaikan akan didasarkan pada hasil pemeriksaan keamanan yang telah dilakukan. 

Pembobotan strategi tambahan pada BSC terbaru hasil dari penurunan solusi yang ada pada analisa SWOT terakhir ditentukan pada bobot tertinggi sama dengan bobot strategi terpenting perusahaan dikarenakan pentingnya manajemen keamanan informasi untuk menjaga informasi yang ada.



97

HASIL PEMERIKSAAN MANAJEMEN KEAMANAN INFORMASI MENGGUNAKAN ISO 27001 Checklist

Standard

Section

Audit Question

Temuan

Security Policy 1.1.1

3.1.1

Information

security Whether there exists an Information security Ada

policy document

dan

policy, which is approved by the management, dikomunikasikan

selalu tiap

ada

published and communicated as appropriate to all kebijakan baru employees. 1.1.1

3.1.1

Information

security Whether it states the management commitment and Baru

policy document

dilakukan

setelah

set out the organisational approach to managing pergantian manajemen information security.

1.1.2

3.1.2

Review and Evaluation

Whether the Security policy has an owner, who is Pihak manajemen menunjuk responsible for its maintenance and review orang yang bertanggung jawab according to a defined review process.

1.1.2

3.1.2

Review and Evaluation

terhadap kebijakan keamanan.

Whether the process ensures that a review takes Hanya dilakukan review, tanpa place in response to any changes affecting the diperiksa

apakah

basis of the original assessment

terjadi

yang

berpengaruh

perubahan tersebut

terhadap

basis

assessment yang berlaku Universitas Indonesia


98

Checklist

Standard

Section

Audit Question

Information

Temuan

security

infrastructure 2.1.1

4.1.1

Management information

Whether there is a management forum to ensure Ada

setelah

perubahan

security there is a clear direction and visible management manajemen

forum

support

for

security

initiatives

within

the

organisation. 2.1.2

4.1.2

Information

security Whether there is a cross-functional forum of Ada

coordination

management representatives from relevant parts of the organisation to coordinate the implementation of information security controls.

2.1.3

2.1.4

4.1.3

4.1.4

Allocation of

Whether responsibilities for the protection of Belum ada, namun sedang


individual assets and for carrying out specific dirumuskan

responsibilities

security processes were clearly defined.

Authorisation process

Whether there is a management authorisation Ada

for information

process in place for any new information

processing facilities

processing facility. This should include all new facilities such as hardware and software.

2.1.5

4.1.5

Specialist information

Whether specialist information security advice is Belum pernah dilakukan

security advise

obtained where appropriate.



99

Checklist

Standard

Section

Audit Question

Temuan

2.1.5

4.1.5

Specialist information

A specific individual may be identified to co- Belum pernah dilakukan

security advise

ordinate in-house knowledge and experiences to ensure consistency, and provide help in security decision making.

2.1.6

4.1.6

Co-operation between

Whether

appropriate

organisations

enforcement

authorities,

information

service

contacts

with

regulatory

law Belum pernah ada kasus terkait bodies, dan belum pernah dilakukan

providers

and

telecommunication operators were maintained to ensure that appropriate action can be quickly taken and advice obtained, in the event of a security incident. 2.1.7

4.1.7

Independent review of

Whether the implementation of security policy is Tidak selalu ada review


reviewed independently on regular basis. This is to provide assurance that organisational practices properly reflect the policy, and that it is feasible and effective.

2.2.1

4.2.1


Whether risks from third party access are identified Baru mulai dijalankan

from third party access and appropriate security controls implemented.



100

Checklist

Standard

Section

Audit Question

Temuan

2.2.1

4.2.1


Whether the types of accesses are identified, Sudah dilakukan

from third party access classified and reasons for access are justified. 2.2.1

4.2.1


Whether security risks with third party contractors Sebatas

hak

akses

sesuai

from third party access working onsite was identified and appropriate dengan kebijakan perusahaan controls are implemented. 2.2.2

4.2.1

Security requirements

tentang akses data

Whether there is a formal contract containing, or Ada

in third party contracts referring to, all the security requirements to ensure compliance

with

the

organisation’s

security

policies and standards. 2.3.1

4.3.1


Whether security requirements are addressed in the Sudah dijalankan

in outsourcing

contract

contracts

organisation has outsourced the management and

with

the

third

party,

when

the

control of all or some of its information systems, networks and/ or desktop environments.



101

Checklist

Standard

Section

Audit Question

Temuan

2.3.1

4.3.1


The contract should address how the legal Sudah dijalankan

in outsourcing

requirements are to be met, how the security of the

contracts

organisation’s assets are maintained and tested, and the right of audit, physical security issues and how the availability of the services is to be maintained in the event of disaster.

Asset classification and control 3.1.1

5.1.1

Inventory of assets

Whether an inventory or register is maintained Sudah dijalankan with the important assets associated with each information system.

3.1.1

5.1.1

Inventory of assets

Whether each asset identified has an owner, the Belum

dilakukan

kecuali

security classification defined and agreed and the bagian IT location identified. 3.2.1

5.2.1

Classification

Whether there is an Information classification Baru dijalankan

guidelines

scheme or guideline in place; which will assist in determining how the information is to be handled and protected.



102

Checklist

Standard

Section

Audit Question

Temuan

3.2.2

5.2.2

Information labelling

Whether an appropriate set of procedures are Sudah dijalankan

and handling

defined for information labelling and handling in accordance with the classification scheme adopted by the organisation.

Personnel security 4.1.1

6.1.1

Including security in

Whether security roles and responsibilities as laid Termasuk dalam SOP dan

job responsibilities

in Organisation’s information security policy is Kebijakan perusahaan documented where appropriate.

4.1.1

6.1.1

Including security in

This should include general responsibilities for Termasuk dalam SOP dan

job responsibilities

implementing or maintaining security policy as Kebijakan perusahaan well as specific responsibilities for protection of particular assets, or for extension of particular security processes or activities.

4.1.2

4.1.2

6.1.2

6.1.2

Personnel screening

Whether verification checks on permanent staff Termasuk dalam SOP dan

and policy

were carried out at the time of job applications.

Personnel screening

This

and policy

confirmation of claimed academic and professional Kebijakan perusahaan

should

include

character

Kebijakan perusahaan

reference, Termasuk dalam SOP dan

qualifications and independent identity checks.



103

Checklist

Standard

Section

Audit Question

Temuan

4.1.3

6.1.3

Confidentiality

Whether

agreements

Confidentiality or non-disclosure agreement as a

employees

are

asked

to

sign Sudah dilakukan

part of their initial terms and conditions of the employment. 4.1.3

6.1.3

Confidentiality

Whether this agreement covers the security of the Ada tapi hanya secara umum

agreements

information processing facility and organisation assets.

4.1.4

6.1.4

Terms and conditions

Whether terms and conditions of the employment Ada tetapi hanya secara umum

of employment

covers

the

employee’s

responsibility

for

information security. Where appropriate, these responsibilities might continue for a defined period after the end of the employment. 4.2.1

6.2.1

Information security

Whether all employees of the organisation and Sudah dijalankan

education and training

third

party

users

(where

relevant)

receive

appropriate Information Security training and regular updates in organisational policies and procedures.



104

Checklist

Standard

Section

Audit Question

Temuan

4.3.1

6.3.1

Reporting security

Whether a formal reporting procedure exists, to Masih secara informal tapi ada

incidents

report security incidents through appropriate pelaporan setiap kali insiden management channels as quickly as possible.

4.3.2

6.3.2

Reporting security

Whether a formal reporting procedure or guideline Masih secara informal tapi ada

weaknesses

exists for users, to report security weakness in, or pelaporan threats to, systems or services.

4.3.3

6.3.3

Reporting

software Whether procedures were established to report any Prosedur ada tapi tidak di

malfunctions 4.3.4

6.3.4

Learning

software malfunctions.

dokumentasikan

from Whether there are mechanisms in place to enable Ada secara informal

incidents

the types, volumes and costs of incidents and malfunctions to be quantified and monitored.

4.3.5

6.3.5

Disciplinary process

Whether there is a formal disciplinary process in Ada place

for

employees

who

have

violated

organisational security policies and procedures. Such a process can act as a deterrent to employees who might otherwise be inclined to disregard security procedures.



105

Checklist

Standard

Section

Audit Question

Temuan

Secure Area 5.1.1

7.1.1

Physical Security

What physical border security facility has been Ruangan khusus dan ruang

Perimeter

implemented to protect the Information processing penyimpanan service.

5.1.2

7.1.2

data

khusus,

kunci hanya dimiliki 2 orang

Physical entry

What entry controls are in place to allow only Kunci

Controls

authorised personnel into various areas within organisation.

5.1.3

7.1.3

Securing Offices,

Whether the rooms, which have the Information Ada


processing service, are locked or have lockable cabinets or safes.

5.1.3

7.1.3

Securing Offices,

Whether the Information processing service is Mengikuti sistem keamanan


protected from natural and man-made disaster.

gedung ditambah dengan kunci dari perusahan

5.1.3

7.1.3

Securing

Offices, Whether there is any potential threat from Ada


neighbouring premises.

perusahaan

berbagi

ruangan

lain

yang dengan

perusahaan dan memiliki akses ke

sebagian

sistem

pengawasan.



106

Checklist

Standard

Section

Audit Question

Temuan

5.1.4

7.1.4

Working in Secure

The information is only on need to know basis. Ada

Areas

Whether there exists any security control for third parties or for personnel working in secure area.

5.1.5

7.1.5

Isolated delivery and

Whether the delivery area and information Ada

sekat

pemisah

untuk

loading areas

processing area are isolated from each other to melindungi processing area avoid any unauthorised access.

5.1.5

7.1.5

Isolated delivery and Whether a risk assessment was conducted to Belum pernah dilakukan loading areas

5.2.1

7.2.1


determine the security in such areas. siting Whether the equipment was located in appropriate Sudah ditempatkan di tempat place to minimise unnecessary access into work khusus areas.

5.2.1

7.2.1


siting Whether the items requiring special protection Sudah dilaksanakan were isolated to reduce the general level of protection required.

5.2.1

7.2.1


siting Whether controls were adopted to minimise risk Mengikuti keamanan gedung from potential threats such as theft, fire, explosives, smoke, water, dist, vibration, chemical effects, electrical

supply

interfaces,

electromagnetic

radiation, flood. Universitas Indonesia


107

Checklist

Standard

Section

5.2.1

7.2.1

Equipment

Audit Question

Temuan

siting Whether there is a policy towards eating, drinking Hanya smoking

protection

and smoking on in proximity to information processing services.

5.2.1

7.2.1

Equipment

siting Whether environmental conditions are monitored Belum ada

protection

which would adversely affect the information processing facilities.

5.2.2

7.2.2

Power Supplies

Whether the equipment is protected from power Ada failures by using permanence of power supplies such as multiple feeds, uninterruptible power supply (ups), backup generator etc.,

5.2.3

7.2.3

Cabling Security

Whether the power and telecommunications cable Ada

perlindungan

terhadap

carrying data or supporting information services kabel are protected from interception or damage. 5.2.3

7.2.3

Cabling Security

Whether there are any additional security controls Hak in place for sensitive or critical information.

5.2.4

7.2.4

akses

dan

sistem

pemantauan

Equipment

Whether the equipment is maintained as per the Ya

Maintenance

supplier’s recommended service intervals and specifications.



108

Checklist

Standard

Section

Audit Question

5.2.4

7.2.4

Equipment

Whether the maintenance is carried out only by Ada 2 orang yang bertanggung

Maintenance

authorised personnel.

Security Policy

Whether logs are maintained with all suspected or Hanya untuk kegiatan yang

5.2.4

7.2.4

Temuan

jawab

actual faults and all preventive and corrective menggunakan PC dan server measures. 5.2.4

7.2.4

Security Policy

Whether appropriate controls are implemented Ada while sending equipment off premises.

5.2.4

7.2.4

Security Policy

If the equipment is covered by insurance, whether Sudah terlindungi oleh asuransi the insurance requirements are satisfied.

5.2.5

7.2.5

Securing of equipment Whether

any

equipment

usage

outside

an Sudah dilaksanakan

organisation’s premises for information processing

off-premises

has to be authorised by the management. 5.2.5

7.2.5

Securing of equipment Whether the security provided for these equipments Pengamanan yang ada sudah off-premises

while outside the premises are on par with or more seimbang than the security provided inside the premises.

5.2.6

7.2.6

Secure disposal or re- Whether use of equipment

storage

device

containing

sensitive Ada prosedur secara informal

information are physically destroyed or securely yang mengatur pemusnahan over written.

material



109

Checklist

Standard

Section

Audit Question

Temuan

5.3.1

7.3.1

Clear Desk and clear

Whether automatic

screen policy

facility is enabled. This would lock the screen when

computer

screen locking Ada

the computer is left unattended for a period. 5.3.1

7.3.1

Clear Desk and clear

Whether employees are advised to leave any Sudah dijalankan

screen policy

confidential material in the form of paper documents, media etc., in a locked manner while unattended.

5.3.2

7.3.2

Removal of property

Whether equipment, information or software can Tidak bisa be taken offsite without appropriate authorisation.

5.3.2

7.3.2

Security Policy

Whether spot checks or regular audits were Belum pernah dilakukan conducted to detect unauthorised removal of property.

5.3.2

7.3.2

Security Policy

Whether individuals are aware of these types of Tidak spot checks or regular audits.

semua

menyadari,

terutama divisi Marketing



110

Checklist

Standard

Section

Audit Question

Temuan

Communications and Operations Management 6.1.1

8.1.1

Documented

Whether the Security Policy has identified any Belum

Operating procedures

Operating

procedures

such

Equipment maintenance etc.,

as

ada

Back-up, keamanan

yang

kebijakan berkaitan

dengan prosedur operasi, tapi telah

ada

informal

prosedur

secara

dan

tidak

didokumentasikan 6.1.1

8.1.1

Documented

Whether such procedures are documented and Sebagian

Operating procedures

used.

sudah

didokumentasikan tapi tidak lengkap

6.1.2

8.1.2

Operational Control

Change Whether all programs running on production Setiap

perubahan

systems are subject to strict change control i.e., membutuhkan ijin dari pihak any change to be made to those production manajemen, tetapi tidak selalu programs need to go through the change control formal authorisation.



111

Checklist

Standard

Section

6.1.2

8.1.2

Operational

Audit Question

Change Whether audit logs are maintained for any change Audit log belum digunakan

Control 6.1.3

8.1.3

Temuan

made to the production programs.

Incident management Whether an Incident Management procedure exist Ada procedures

to handle security incidents.

tapi

tidak

didokumentasikan

secara

formal 6.1.3

8.1.3

Incident management Whether the procedure addresses the incident Hanya untuk insiden procedures

yang

management responsibilities, orderly and quick pernah dialami response to security incidents.

6.1.3

8.1.3

Incident management Whether the procedure addresses different types of Hanya ada prosedur secara procedures

incidents ranging from denial of service to breach umum of confidentiality etc., and ways to handle them.

6.1.3

8.1.3

Incident management Whether the audit trails and logs relating to the Belum procedures

incidents are maintained and proactive action tergantung taken in a way that the incident doesn’t reoccur.

6.1.4

8.1.4

Segregation of duties

dilakukan, dari

data

masih audit

yang ada di TI

Whether duties and areas of responsibility are Baru dipisah secara formal separated in order to reduce opportunities for unauthorised modification or misuse of information or services.



112

Checklist

Standard

Section

6.1.5

8.1.5

Separation

Audit Question

Temuan

of Whether the development and testing facilities are Belum ada pemisahan

development

and isolated from operational facilities

operational facilities 6.1.6

8.1.6

External

facilities Whether any of the Information processing facility Tidak

management

is managed by external company or contractor (third party).

6.1.6

8.1.6

External

facilities Whether

management

the

risks

associated

with

such Tidak

management is identified in advance, discussed with the third party and appropriate controls were incorporated into the contract.

6.1.6

6.2.1

8.1.6

8.2.1

External

facilities Whether necessary approval is obtained from Ya, apabila ada apporval harus

management

business and application owners.

datang dari direktur utama

Capacity Planning

Whether the capacity demands are monitored and Ya dan rencana penrgantian projections of future capacity requirements are hardware per 5 tahun kecuali made. This is to ensure that adequate processing untuk server power and storage are available.

6.2.2

8.2.2

System acceptance

Whether

System

acceptance

criteria

are Ada

established for new information systems, upgrades and new versions. Universitas Indonesia


113

Checklist

Standard

Section

Audit Question

Temuan

6.2.2

8.2.2

System acceptance

Whether suitable tests were carried out prior to Sudah dilakukan acceptance.

6.3.1

8.3.1

Control

against Whether there exists any control against malicious Ada

malicious software 6.3.1

8.3.1

Control

software usage.

against Whether the security policy does address software Ya

malicious software

licensing issues such as prohibiting usage of unauthorised software.

6.3.1

8.3.1

Control

against Whether there exists any Procedure to verify all Ada

malicious software

tetapi

tidak

di

warning bulletins are accurate and informative dokumentasikan with regards to the malicious software usage.

6.3.1

8.3.1

Control

against Whether Antivirus software is installed on the Tiap PC dan Server memiliki

malicious software

computers to check and isolate or remove any antivirus viruses from computer and media.

6.3.1

8.3.1

Control

against Whether this software signature is updated on a Update dilakukan tiap hari

malicious software 6.3.1

8.3.1

Control

regular basis to check any latest viruses.

against Whether all the traffic originating from un-trusted Ya

malicious software

network in to the organisation is checked for viruses



114

Checklist

Standard

Section

Audit Question

Temuan

6.4.1

8.4.1

Information back-up

Whether Back-up of essential business information Ya such as production server, critical network components, configuration backup etc., were taken regularly.

6.4.1

8.4.1

Information back-up

Whether the backup media along with the Ya, dalam radius minimal 20 procedure to restore the backup are stored KM securely and well away from the actual site.

6.4.1

8.4.1

Information back-up

Whether the backup media are regularly tested to Tidak secara rutin ensure that they could be restored within the time frame allotted in the operational procedure for recovery.

6.4.2

8.4.2

Operator logs

Whether Operational staffs maintain a log of their Belum ada pencatatan activities such as name of the person, errors, corrective action etc.,

6.4.2

8.4.2

Operator logs

Whether Operator logs are checked on regular Belum ada pencatatan basis against the Operating procedures.



115

Checklist

Standard

Section

Audit Question

Temuan

6.4.3

8.4.3

Fault Logging

Whether faults are reported and well managed. Ya This includes corrective action being taken, review of the fault logs and checking the actions taken

6.5.1

8.5.1

Network Controls

Whether effective operational controls such as Ya separate network and

system administration

facilities were be established where necessary. 6.5.1

8.5.1

Network Controls

Whether

responsibilities

and

procedures

for Ya, akses remote hanya di

management of remote equipment, including miliki oleh 2 orang equipment in user areas were established. 6.5.1

8.5.1

Network Controls

Whether there exist any special controls to Hanya

firewall

dan

safeguard confidentiality and integrity of data penggunaan port khusus processing over the public network and to protect the connected systems. Example: Virtual Private Networks,

other

encryption

and

hashing

mechanisms etc., 6.6.1

8.6.1

Management removable media

of Whether there exist a procedure for management of Belum ada computer removable computer media such as tapes, disks, cassettes, memory cards and reports.



116

Checklist

Standard

Section

Audit Question

Temuan

6.6.2

8.6.2

Disposal of Media

Whether the media that are no longer required are Ada prosedur yang mengatur disposed off securely and safely.

6.6.2

8.6.2

Disposal of Media

Whether disposal of sensitive items are logged Hanya untuk log PC where necessary in order to maintain an audit trail.

6.6.3

8.6.3

Information handling

Whether there exists a procedure for handling the Ada

procedures

storage of information. Does this procedure address issues such as information protection from unauthorised disclosure or misuse.

6.6.4

6.6.4

8.6.4

8.6.4

Security of system

Whether the system documentation is protected Ya

documentation

from unauthorised access.

Security of system

Whether

documentation

documentation is kept to minimum and authorised

the

access

list

for

the

system Ya

by the application owner. 6.7.1

8.7.1

Information and

Whether there exists any formal or informal Ada

software exchange

agreement between the organisations for exchange

agreement

of information and software.



117

Checklist

Standard

Section

Audit Question

6.7.1

8.7.1

Information and

Whether the agreement does addresses the security Ya

software exchange

issues based on the sensitivity of the business

agreement

information involved.

Security of Media in

Whether security of media while being transported Hanya

transit

taken into account.

6.7.2

8.7.2

Temuan

pengamanan

memastikan

media

untuk tersebut

sampai dengan selamat 6.7.2

8.7.2

Security of Media in

Whether the media is well protected from Penggunaan

transit

unauthorised access, misuse or corruption.

password

agar

hanya orang yang ditunjuk yang dapat mengakses media

6.7.3

8.7.3

Electronic Commerce

Whether Electronic commerce is well protected Tidak

menggunakan

security

and controls implemented to protect against ECommerce fraudulent activity, contract dispute and disclosure or modification of information.

6.7.3

8.7.3

Electronic Commerce

Whether Security controls such as Authentication, Tidak

menggunakan

security

Authorisation are considered in the ECommerce ECommerce environment.



118

Checklist

Standard

Section

Audit Question

6.7.3

8.7.3

Electronic Commerce

Whether

security

between trading partners include a documented ECommerce

electronic

Temuan commerce

arrangements Tidak

menggunakan

agreement, which commits both parties to the agreed terms of trading, including details of security issues. 6.7.4

8.7.4

Security of Electronic

Whether there is a policy in place for the Ada

email

acceptable use of electronic mail or does security policy does address the issues with regards to use of electronic mail.

6.7.4

8.7.4


Whether controls such as antivirus checking, Mengikuti kebijakan google

email

isolating potentially unsafe attachments, spam control, anti relaying etc., are put in place to reduce the risks created by electronic email.

6.7.5

6.7.5

8.7.5

8.7.5


Whether there is an Acceptable use policy to Ada

office systems

address the use of Electronic office systems.

Security of Electronic Whether there are any guidelines in place to Belum ada office systems

effectively control the business and security risks associated with the electronic office systems.



119

Checklist

Standard

Section

Audit Question

Temuan

6.7.6

8.7.6

Publicly available

Whether there is any formal authorisation process Harus atas ijin owner

systems

in place for the information to be made publicly available. Such as approval from Change Control which includes Business, Application owner etc.,

6.7.6

8.7.6

Publicly available

Whether there are any controls in place to protect Ada

systems

the integrity of such information publicly available from any unauthorised access.

6.7.7

8.7.7

Other forms of

Whether there are any policies, procedures or Ada

information exchange

controls in place to protect the exchange of information through the use of voice, facsimile and video communication facilities.

6.7.7

8.7.7

Other forms of

Whether staffs are reminded to maintain the Sudah dilaksanakan

information exchange

confidentiality of sensitive information while using such forms of information exchange facility.

Access Control 7.1.1

9.1.1

Access Control Policy

Whether the business requirements for access Ya control have been defined and documented.



120

Checklist

Standard

Section

Audit Question

Temuan

7.1.1

9.1.1


Whether the Access control policy does address the Ya rules and rights for each user or a group of user.

7.1.1

9.1.1


Whether the users and service providers were Sudah dilaksanakan given a clear statement of the business requirement to be met by access controls.

7.2.1

9.2.1

User Registration

Whether there is any formal user registration and Ada de-registration procedure for granting access to multi-user information systems and services.

7.2.2

9.2.2

Privilege Management

Whether the allocation and use of any privileges in Ya,

penyempurnaan

setelah

multi-user information system environment is perubahan manajemen restricted and controlled. 7.2.3

9.2.3

User

Password The allocation and reallocation of passwords Belum dilakukan dan belum

Management

should be controlled through a formal management ada peraturan yang mengatur process.

7.2.3

9.2.3

User

secara formal

Password Whether the users are asked to sign a statement to Belum dilakukan

Management

keep the password confidential.



121

Checklist

Standard

Section

Audit Question

7.2.4

9.2.4

Review of user access

Whether there exist a process to review user access Tidak secara rutin

rights

rights at regular intervals

Password use

Whether there are any guidelines in place to guide Belum

7.3.1

9.3.1

users

in

selecting

Temuan

and

maintaining

ada

panduan

yang

secure berkaitan dengan password

passwords. 7.3.2

9.3.2

Unattended

user Whether the users and contractors are made aware Ya

equipment

of the security requirements and procedures for protecting unattended equipment, as well as their responsibility to implement such protection.

7.4.1

7.4.2

9.4.1

9.4.2

Policy

on

use

of Whether there exists a policy that does address Ada

network services

concerns relating to networks and network services

Enforced path

Whether there is any control that restricts the route Ada

tapi

belum

di

dokumentasikan

between the user terminal and the designated computer services the user is authorised to access example: enforced path to reduce the risk.



122

Checklist

Standard

Section

7.4.3

9.4.3

User

Audit Question

Temuan

authentication Cryptography based technique, hardware tokens, Belum

for

external software tokens, challenge/ response protocol etc.,

connections 7.4.4

9.4.4

diimplementasikan

karena belum ada sistem yang bias diakses dari luar kantor.

Node Authentication

Whether connections to remote computer systems Sudah dipersiapkan tapi belum that

are

management

outside are

organisations authenticated.

security digunakan Node

authentication can serve as an alternate means of authenticating groups of remote users where they are connected to a secure, shared computer facility. 7.4.5

9.4.5

Remote diagnostic port Whether accesses to diagnostic ports are securely Hanya protection

7.4.6

9.4.6

Segregation networks

controlled i.e., protected by a security mechanism.

dapat

diakses

PC

tertentu

in Whether the network (where business partner’s Ya and/ or third parties need access to information system) is segregated using perimeter security mechanisms such as firewalls.



123

Checklist

Standard

Section

Audit Question

Temuan

7.4.7

9.4.7

Network connection

Whether there exists any network connection Belum ada shared networks

protocols

control for shared networks that extend beyond the berkaitan dengan perusahaan organisational boundaries.

7.4.8

9.4.8

Network routing

Whether there exist any network control to ensure Ada

control

that computer connections and information flows router

melalui

firewall

dan

do not breach the access control policy of the business applications. This is often essential for networks shared with non-organisations users. 7.4.8

9.4.8

Network routing

Whether the routing controls are based on the Ya

control

positive source and destination identification mechanism.

Example:

Network

Address

Translation (NAT). 7.4.9

9.4.9

Security of network

Whether the organisation, using public or private Ya untuk layanan yang telah

services

network

service

does

ensure

that

a

clear ada

description of security attributes of all services used is provided.



124

Checklist

Standard

Section

Audit Question

7.5.1

9.5.1

Automatic terminal

Whether

identification

mechanism is used to authenticate connections.

Terminal log-on

Whether access to information system is attainable Via SSL

procedures

only via a secure log-on process.

Terminal log-on

Whether there is a procedure in place for logging Ada

procedures

in to an information system. This is to minimise the

7.5.2

7.5.2

9.5.2

9.5.2

automatic

Temuan terminal

identification Ya

opportunity of unauthorised access. 7.5.3

9.5.3

User identification and Whether unique identifier is provided to every user Ada authorisation

such as operators, system administrators and all other staff including technical.

7.5.3

9.5.3

User identification and Whether the authentication method used does Ya authorisation

substantiate the claimed identity of the user; commonly used method: Password that only the user knows.



125

Checklist

Standard

Section

Audit Question

7.5.4

9.5.4

Password management Whether there exists a password management Belum ada system

Temuan

system that enforces various password controls such as: individual password for accountability, enforce password changes, store passwords in encrypted form, etc.,

7.5.5

9.5.5

Use of system utilities

Whether the system utilities that comes with Ya, hanya administrator yang computer installations, but may override system memiliki akses and application control is tightly controlled.

7.5.6

7.5.7

9.5.6

9.5.7

Duress

alarm

to Whether provision of a duress alarm is considered Belum ada

safeguard users

for users who might be the target of coercion.

Terminal time-out

Inactive terminal in public areas should be Sudah di konfigurasi configured to clear the screen or shut down automatically after a defined period of inactivity.

7.5.8

9.5.8

Limitation

of Whether there exist any restriction on connection Ya

connection time

time for high-risk applications. This type of set up should be considered for sensitive applications for which the terminals are installed in high-risk locations.



126

Checklist

Standard

Section

Audit Question

Temuan

7.6.1

9.6.1

Information access

Whether access to application by various groups/ Sudah didefinisikan

restriction

personnel within the organisation should be defined in the access control policy as per the individual business application requirement and is consistent with the organisation’s Information access policy.

7.6.2

9.6.2

Sensitive system

Whether sensitive systems are provided with Ya

isolation

isolated computing environment such as running on a dedicated computer, share resources only with trusted application systems, etc.,

7.7.1

9.7.1

Event logging

Whether audit logs recording exceptions and other Ya security relevant events are produced and kept for an agreed period to assist in future investigations and access control monitoring.

7.7.2

9.7.2

Monitoring system use

Whether procedures are set up for monitoring the Ada use of information processing facility.

tapi

tidak

didokumentasikan



127

Checklist

Standard

Section

Audit Question

Temuan

7.7.2

9.7.2

Monitoring system use

Whether the results of the monitoring activities are Review reviewed regularly.

7.7.3

9.7.3

Clock synchronisation

ada

tapi

tidak

dilaksanakan secara rutin.

Whether the computer or communication device Ya has the capability of operating a real time clock, it should be set to an agreed standard such as Universal co-ordinated time or local standard time.

7.8.1

9.8.1

Mobile computing

Whether a formal policy is adopted that takes into Ya account the risks of working with computing facilities such as notebooks, palmtops etc., especially in unprotected environments.

7.8.1

9.8.1

Mobile computing

Whether trainings were arranged for staff to use Ya mobile

computing

facilities

to

raise

their

awareness on the additional risks resulting from this way of working and controls that need to be implemented to mitigate the risks.



128

Checklist

Standard

Section

Audit Question

Temuan

7.8.2

9.8.2

Teleworking

Whether there is any policy, procedure and/ or Ada standard to control teleworking activities, this should be consistent with organisation’s security policy.

7.8.2

9.8.2

Teleworking

Whether suitable protection of teleworking site is Berada dalam tempat yang in place against threats such as theft of equipment, aman unauthorised disclosure of information etc.,

System

development

and maintenance 8.1.1

10.1.1

Security requirements Whether security requirements are incorporated as Baru dilaksanakan analysis

and part of business requirement statement for new

specification 8.1.1

10.1.1

systems or for enhancement to existing systems.

Security requirements Whether risk assessments are completed prior to Dilakukan per proyek analysis

and commencement of system development.

specification 8.2.1

10.2.1


Whether data input to application system is Belum ada validasi data secara validated to ensure that it is correct and sistem appropriate.



129

Checklist

Standard

Section

Audit Question

Temuan

8.2.1

10.2.1


Whether the controls such as: Different type of Ya inputs to check for error messages, Procedures for responding

to

validation

errors,

defining

responsibilities of all personnel involved in data input process etc., are considered. 8.2.2

10.2.2

Control

of

internal Whether areas of risks are identified in the Area risiko belum ditentukan

processing

processing cycle and validation checks were included. In some cases the data that has been correctly entered can be corrupted by processing errors or through deliberate acts.

8.2.2

10.2.2

Control

of

internal Whether appropriate controls are identified for Belum ada

processing

applications to mitigate from risks during internal processing.

8.2.2

8.2.3

10.2.2

10.2.3

Control

of

internal The controls will depend on nature of application Belum ada

processing

and business impact of any corruption of data.

Message

Whether an assessment of security risk was carried Belum

authentication

out to determine if Message authentication is assessment keamanan

pernah

dilaksanakan

required; and to identify most appropriate method of implementation if it is necessary. Universitas Indonesia


130

Checklist

Standard

Section

Audit Question

Temuan

8.2.3

10.2.3

Message

Message authentication is a technique used to Belum ada

authentication

detect unauthorised changes to, or corruption of, the contents of the transmitted electronic message.

8.2.4

10.2.4

Output data validation

Whether the data output of application system is Belum ada validated to ensure that the processing of stored information

is

correct

and

appropriate

to

circumstances. 8.3.1

10.3.1

Policy

on

use

of Whether there is a “Policy in use of cryptographic Belum ada

cryptographic controls 8.3.1

10.3.1

Policy

on

use

controls for protection of information” is in place.

of Whether a risk assessment was carried out to Belum

cryptographic controls

pernah

dilakukan

identify the level of protection the information assessment risiko should be given.

8.3.2

10.3.2

Encryption

Whether encryption techniques were used to Tidak semua data protect the data.

8.3.2

10.3.2

Encryption

Whether assessments were conducted to analyse Hanya untuk data marketing the sensitivity of the data and the level of protection needed.



131

Checklist

Standard

Section

Audit Question

8.3.3

10.3.3

Digital Signatures

Whether Digital signatures were used to protect Belum semua dokumen the

authenticity

Temuan

and

integrity

of

electronic

documents. 8.3.4

10.3.4

Non-repudiation

Whether non-repudiation services were used, Sudah pernah dilakukan

services

where it might be necessary to resolve disputes about occurrence or non-occurrence of an event or action.

8.3.5

10.3.5

Key management

Whether the Key management system is based on Belum ada agreed set of standards, procedures and secure methods.

8.4.1

10.4.1

Control of operational Whether there are any controls in place for the Ada tetapi tidak baku software

implementation of software on operational systems. This is to minimise the risk of corruption of operational systems.

8.4.2

10.4.2

Protection of system Whether system test data is protected and Sudah dilaksanakan test data

controlled. The use of operational database containing personal information should be avoided for test purposes. If such information is used, the data should be depersonalised before use. Universitas Indonesia


132

Checklist

Standard

Section

8.4.3

10.4.3

Access

Audit Question Control

program

8.5.1

10.5.1

Temuan

to Whether strict controls are in place over access to Sudah dilaksanakan

source program source libraries. This is to reduce the

library

potential for corruption of computer programs.

Change

control Whether there are strict control procedures in Ada

procedures

place over implementation of changes to the information system. This is to minimise the corruption of information system.

8.5.2

10.5.2

Technical review of Whether there are process or procedure in place to Ada operating changes

8.5.3

10.5.3

tidak

system ensure application system is reviewed and tested didokumentasikan after change in operating system.

Technical review of Whether there are any restrictions in place to limit Tidak operating

tapi

system changes to software packages.

ada

batasan

dalam

perubahan paket aplikasi

changes 8.5.4

10.5.4

Covert channels and Whether there are controls in place to ensure that Ada Trojan code

the covert channels and Trojan codes are not introduced into new or upgraded system.



133

Checklist

Standard

Section

8.5.5

10.5.5

Outsourced

Audit Question

software Whether there are controls in place over Ada

development Business

Temuan

outsourcing software.

Continuity

Management 9.1.1

11.1.1

Business

continuity Whether there is a managed process in place for Belum

management process

11.1.2

Business

secara

developing and maintaining business continuity formal, proses yang ada selama throughout the organisation.

9.1.2

dirumuskan

ini berjalan secara informal

continuity Whether events that could cause interruptions to Ya

and impact analysis

business

process

were

identified

example:

equipment failure, flood and fire. 9.1.2

11.1.2

Business

continuity Whether a risk assessment was conducted to Hanya

and impact analysis 9.1.2

11.1.2

Business

determine impact of such interruptions.

pengetahuan

pihak manajemen

continuity Whether a strategy plan was developed based on Hanya

and impact analysis

sebatas

sebatas

pengetahuan

the risk assessment results to determine an overall pihak manajemen approach to business continuity.

9.1.3

11.1.3

Writing

and Whether plans were developed to restore business Hanya

implementing

operations

within

the

required

time

continuity plan

following an interruption or failure to business

sebatas

pengetahuan

frame pihak manajemen

process. Universitas Indonesia


134

Checklist

Standard

Section

9.1.3

11.1.3

Writing

Audit Question and Whether the plan is regularly tested and updated.

Temuan Tidak secara rutin

implementing continuity plan 9.1.4

11.1.4

Business

continuity Whether there is a single framework of Business Business continuity plan yang

planning framework

continuity plan.

ada berdasarkan pengalaman case by case

9.1.5

11.1.5

Testing,

maintaining Whether Business continuity plans are tested Tidak secara regular

and

re-assessing regularly to ensure that they are up to date and

business

continuity effective.

plan 9.1.5

11.1.5

Testing,

maintaining Whether procedures were included within the Ya

and

re-assessing organisations change management programme to

business

continuity ensure that Business continuity matters are

plan

appropriately addressed.

Compliance 10.1.1

12.1.1

Identification

of Whether all relevant statutory, regulatory and Untuk

applicable legislation

hal

yang

contractual requirements were explicitly defined dengan service level and documented for each information system.

berkaitan belum

didefinisikan



135

Checklist

Standard

Section

Audit Question

10.1.1

12.1.1

Identification

of Whether

applicable legislation

specific

Temuan controls

and

individual Belum didefinisikan

responsibilities to meet these requirements were defined and documented.

10.1.2

12.1.2

Intellectual

property Whether there exist any procedures to ensure Ya

rights (IPR)

compliance with legal restrictions on use of material in respect of which there may be intellectual property rights such as copyright, design rights, trade marks.

10.1.2

12.1.2

Intellectual

property Whether the procedures are well implemented.

Sudah

rights (IPR) 10.1.2

12.1.2

Intellectual

property Whether

rights (IPR)

proprietary

software

products

are Ya

supplied under a license agreement that limits the use of the products to specified machines. The only exception might be for making own back-up copies of the software.

10.1.3

12.1.3

Safeguarding

of Whether important records of the organisation is Ya

organisational records

protected from loss destruction and falsi function.



136

Checklist

Standard

Section

10.1.4

12.1.4

Data protection and Whether there is a management structure and Ada privacy

Audit Question

of

personal control in place to protect data and privacy of

information 10.1.5

12.1.5

Temuan

personal information.

Prevention of misuse Whether use of information processing facilities for Ya of

information any non-business or unauthorised purpose, without

processing facility

management approval is treated as improper use of the facility.

10.1.5

12.1.5

Prevention of misuse Whether at the log-on a warning message is Tidak ada of

information presented on the computer screen indicating that

processing facility

the system being entered is private and that unauthorised access is not permitted.

10.1.6

10.1.7

12.1.6

12.1.7

Regulation

of Whether the regulation of cryptographic control is Kriptografi belum diatur dalam

cryptographic controls

as per the sector and national agreement.

peraturan pialang asuransi

Collection of evidence

Whether the process involved in collecting the Sudah sesuai evidence is in accordance with legal and industry best practise.



137

Checklist

Standard

Section

10.2.1

12.2.1

Compliance

Audit Question

Temuan

with Whether all areas within the organisation is Belum dilakukan

security policy

considered

for

regular

review

to

ensure

compliance with security policy, standards and procedures. 10.2.2

12.2.2

Technical compliance Whether information systems were regularly Belum checking

checked

for

compliance

with

pernah

dilakukan

security pemeriksaan.

implementation standards. 10.3.1

12.3.1

System audit controls

Whether

audit

requirements

and

activities Belum pernah ada perencanaan

involving checks on operational systems should be berkaitan dengan proses audit carefully planned and agreed to minimise the risk of disruptions to business process. 10.3.2

12.3.2

Protection of system Whether access to system audit tools such as Ya audit tools

software or data files are protected to prevent any possible misuse or compromise.



138

STRUKTUR ORGANISASI PT XYZ Komisaris

Direktur Utama

Teknik & Marketing

General Affair

Keuangan

HRD

Life

Teknik

General

TI

Marketing

Life

General



UNIVERSITAS INDONESIA EVALUASI KONDISI MANAJEMEN KEAMANAN INFORMASI PADA PIALANG ASURANSI : STUDI KASUS PADA PT XYZ KARYA AKHIR

Recommend Documents