UNIVERSITAS INDONESIA EVALUASI MANAJEMEN RISIKO KEAMANAN INFORMASI SISTEM PROVISIONING GATEWAY TELKOM FLEXI KARYA AKHIR EGA LESTARIA SUKMA

UNIVERSITAS INDONESIA

EVALUASI MANAJEMEN RISIKO KEAMANAN INFORMASI SISTEM PROVISIONING GATEWAY TELKOM FLEXI

KARYA AKHIR

EGA LESTARIA SUKMA 1106121686

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2013

Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.

UNIVERSITAS INDONESIA

EVALUASI MANAJEMEN RISIKO KEAMANAN INFORMASI SISTEM PROVISIONING GATEWAY TELKOM FLEXI

KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi

EGA LESTARIA SUKMA 1106121686

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JULI 2013




KATA PENGANTAR

Puji syukur saya panjatkan kepada Allah SWT, karena atas berkat dan rahmatNya, saya dapat menyelesaikan Karya Akhir ini. Penulisan Karya Akhir ini dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Magister Teknologi Informasi pada Program Studi Magister Teknologi Informasi, Fakultas Ilmu Komputer - Universitas Indonesia. Saya menyadari bahwa, tanpa bantuan dan bimbingan dari berbagai pihak, dari masa perkuliahan sampai pada penyusunan karya akhir ini, sangatlah sulit bagi saya untuk menyelesaikannya. Oleh karena itu, saya mengucapkan terima kasih kepada: (1)

Bapak Yudho Giri Sucahyo, Ph.D, selaku dosen pembimbing 1 yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan Karya Akhir ini;

(2)

Bapak Ivano Aviandi, Msc., selaku dosen pembimbing 2 yang telah menyediakan waktu, tenaga, dan pikiran untuk mengarahkan saya dalam penyusunan Karya Akhir ini;

(3)

Pihak PT. Telkom, yang telah banyak membantu dalam usaha memperoleh data yang saya perlukan;

(4)

Orang tua dan keluarga saya yang telah memberikan bantuan dukungan material dan moral; dan

(5)

Teman-teman di MTI yang telah banyak membantu saya dalam menyelesaikan karya akhir ini.

Akhir kata, saya berharap Allah SWT berkenan membalas segala kebaikan semua pihak yang telah membantu. Semoga karya akhir ini membawa manfaat bagi pengembangan ilmu.

Jakarta, 4 Juli 2013 Penulis

iv



ABSTRAK

Nama : Ega Lestaria Sukma Program Studi : Magister Teknologi Informasi Judul : Evaluasi Manajemen Risiko Keamanan Informasi Sistem Provisioning Gateway Telkom Flexi

Saat ini banyak perusahaan menggunakan sistem dan teknologi informasi untuk menunjang usaha dalam mencapai tujuan bisnis perusahaan. Oleh karena itu, aspek-aspek terkait sistem dan teknologi informasi ini menjadi perhatian penting. Salah satu aspek penting dalam sistem informasi adalah aspek keamanan, dimana informasi merupakan aset yang harus dilindungi untuk menjamin keberlangsungan bisnis. Apabila sistem informasi tidak dijaga keamanannya, maka risiko yang mungkin timbul dapat mengganggu jalannya bisnis perusahaan. Telkom Flexi merupakan salah satu produk Telkom untuk layanan fixed wireless. Untuk sistem provisioning Flexi, baru saja dikembangkan i-NEFI sebagai jantung dari sistem provisioning yang dikembangkan dan dikelola oleh Divisi Information System Center (ISC). Mengingat sangat pentingnya fungsi sistem tersebut, maka sedapat mungkin risiko-risiko yang dapat mengganggu kinerja sistem provisioning gateway harus diturunkan ke level terendah. Pengelolaan risiko untuk sistem ini sudah dijalankan, namun tidak ada prosedur yang jelas, sehingga peluang untuk terjadinya fraud sangat besar. Oleh karena itu suatu manajemen risiko keamanan informasi yang baik sangat penting diterapkan pada sistem ini. Dalam penelitian ini dilakukan evaluasi terhadap kondisi manajemen risiko keamanan informasi saat ini, untuk mendapatkan nilai kematangannya. Kemudian dilakukan perancangan manajemen risiko keamanan informasi pada sistem provisioning gateway menggunakan kerangka kerja ISO 27001:2005. Perancangan tersebut dilakukan melalui risk assessment sehingga didapatkan rekomendasi kontrol yang perlu diterapkan untuk sistem tersebut. Dari hasil evaluasi kondisi manajemen risiko keamanan informasi yang sudah ada, didapat nilai kematangannya sebesar 75.23% dengan tingkat kesesuaian terendah terhadap domain ISO 27001:2005 yaitu domain Asset Management. Keluaran dari penelitian ini adalah 13 rekomendasi kontrol, berikut prosedur untuk setiap domainnya. Kata Kunci: Manajemen risiko keamanan informasi, sistem provisioning gateway xii + 188 halaman; 9 gambar; 15 tabel; 2 lampiran

vi

Universitas Indonesia


ABSTRACT

Name Study Program Title

: Ega Lestaria Sukma : Magister of Information Technology : Evaluation of Information Security Risk Management of Telkom Flexi Provisioning Gateway System

Nowadays, many companies use information systems and technology to support the business in achieving its business objectives. Therefore, the relevant aspects of information systems and technology is an important concern. One critical aspect is the aspect of information systems security, in which information is an asset that must be protected, to ensure business continuity. If information systems security is not well-maintained, then the risks that may arise could disrupt the company's business. Telkom Flexi is one of Telkom’s product for fixed wireless service. For its provisioning system, i-NEFI is just developed as the heart of the system, which are developed and maintained by Division of Information System Center (ISC). Because of its vital function, the risks that can interfere with the performance of provisioning gateway system should be reduced to the lowest level. Risk management for this system has been implemented, but there is no clear procedure, so the opportunity for fraud is huge. Therefore an information security risk management are essential to be applied to this system. This research is about doing an evaluation of the condition of existing information security risk management, to get the value of maturity. Then to design the information security risk management for provisioning gateway system using ISO 27001:2005 framework. Information security risk management is designed through a risk assessment to obtain recommendations of control that need to be applied to the system. The result in evaluation of existing information security risk management shows that the readiness or maturity level of risk management in provisioning gateway system is 75.23%, with the lowest readiness level to ISO domain is the Asset Management domain. Output from this research are 13 control recommendations, including risk management procedure for each domain. Key Words: Information security risk management, provisioning gateway system xii + 188 pages; 9 pictures; 15 tables; 2 attachments

vii



DAFTAR ISI

HALAMAN JUDUL .............................................................................................. i HALAMAN PERNYATAAN ORISINALITAS ................................................ ii HALAMAN PENGESAHAN .............................................................................. iii KATA PENGANTAR .......................................................................................... iv HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI KARYA AKHIR UNTUK KEPENTINGAN AKADEMIS .............................................. v ABSTRAK ............................................................................................................ vi ABSTRACT ......................................................................................................... vii DAFTAR ISI ....................................................................................................... viii DAFTAR GAMBAR ............................................................................................. x DAFTAR TABEL ................................................................................................ xi DAFTAR LAMPIRAN ....................................................................................... xii BAB 1 PENDAHULUAN ..................................................................................... 1 1.1. Latar Belakang.......................................................................................... 1 1.2. Perumusan Masalah .................................................................................. 3 1.3. Ruang Lingkup Penelitian ........................................................................ 3 1.4. Tujuan Penelitian ...................................................................................... 4 1.5. Manfaat Penelitian .................................................................................... 4 1.6. Sistematika Penulisan ............................................................................... 4 BAB 2 LANDASAN TEORI ................................................................................ 6 2.1. Risiko dan Manajemen Risiko.................................................................. 6 2.1.1. Definisi Risiko ...................................................................................... 6 2.1.2. Manajemen Risiko ................................................................................ 8 2.2. Keamanan Informasi ................................................................................ 9 2.2.1. Definisi Keamanan Informasi ............................................................... 9 2.2.2. Ruang Lingkup Keamanan Informasi ................................................. 11 2.2.3. Sistem Manajemen Keamanan Informasi ........................................... 13 2.3. Standar dan Kerangka Kerja Keamanan Informasi ................................ 14 2.4. International Organization for Standardization (ISO) 27001:2005 ...... 22 2.4.1. Proses Perancangan Manajemen Keamanan Informasi ...................... 23 2.4.2. Domain, Kontrol, dan Kontrol Objektif ISO 27001 ........................... 27 2.5. Penelitian Sebelumnya ........................................................................... 29 BAB 3 METODOLOGI PENELITIAN ............................................................ 31 3.1. Metode Pengumpulan Data .................................................................... 31 3.2. Pola Pikir Penelitian ............................................................................... 32 3.3. Tahapan Penelitian ................................................................................. 32 BAB 4 PROFIL PERUSAHAAN....................................................................... 37 4.1. Gambaran Singkat Perusahaan ............................................................... 37 4.2. Visi dan Misi Perusahaan ....................................................................... 38 4.3. Organisasi Divisi Information System Center (ISC) .............................. 38 4.3.1. Lingkup Peran Divisi Information System Center (ISC).................... 38 4.3.2. Struktur Organisasi Divisi Information System Center (ISC) ............ 39 BAB 5 ANALISA DAN PEMBAHASAN ......................................................... 41 5.1. Penentuan Ruang Lingkup ..................................................................... 41 viii



5.2. Infrastruktur Teknologi Informasi .......................................................... 42 5.3. Kondisi Manajemen Keamanan Sistem Informasi Saat Ini .................... 43 5.4. Analisa Kesenjangan (Gap Analysis) ..................................................... 44 5.5. Metode Analisa Risiko ........................................................................... 47 5.6. Identifikasi Risiko .................................................................................. 51 5.6.1. Identifikasi Aset .................................................................................. 51 5.6.2. Identifikasi Ancaman dan Kerawanan ................................................ 52 5.7. Evaluasi Risiko ....................................................................................... 54 5.8. Pemilihan Kontrol dan Statement of Applicability (SOA) ..................... 62 BAB 6 KESIMPULAN DAN SARAN ............................................................... 66 6.1. Kesimpulan ............................................................................................. 66 6.2. Saran ....................................................................................................... 67 DAFTAR PUSTAKA .......................................................................................... 68 LAMPIRAN ......................................................................................................... 70

ix



DAFTAR GAMBAR

Gambar 2.1 Ruang Lingkup Keamanan Informasi .............................................. 12 Gambar 2.2 Proses Manajemen Risko NIST 800-30 ........................................... 17 Gambar 2.3 Kerangka Kerja OCTAVE ............................................................... 21 Gambar 2.4 Siklus P-D-C-A ISO 27001 ............................................................... 23 Gambar 3.1 Pola Pikir Penelitian ......................................................................... 32 Gambar 3.2 Tahapan Penelitian ........................................................................... 34 Gambar 4.1 Struktur Organisasi Divisi IS Center ................................................ 40 Gambar 5.1 Infrastruktur Sistem Provisioning Gateway Telkom Flexi .............. 42 Gambar 5.2 Chart Hasil Analisis Kesenjangan .................................................... 47

x



DAFTAR TABEL

Tabel 2.1 Domain dan Kontrol Objektif ISO 27001 ............................................ 28 Tabel 5.1 Penilaian Untuk Assessment Checklist ................................................. 43 Tabel 5.2 Kualifikasi Responden ......................................................................... 44 Tabel 5.3 Nilai Kesesuaian Berdasarkan Domain................................................ 45 Tabel 5.3 Nilai Kesesuaian Berdasarkan Kontrol Objektif.................................. 46 Tabel 5.4 Parameter Tingkat Kecenderungan Terjadi Risiko .............................. 48 Tabel 5.5 Parameter Tingkat Dampak Risiko ...................................................... 49 Tabel 5.6 Pengukuran Nilai Inheren Risk ............................................................ 50 Tabel 5.7 Pengukuran Nilai Residual Risk............................................................ 51 Tabel 5.8 Daftar Aset ........................................................................................... 52 Tabel 5.9 Identifikasi Kerawanan (Vulnerabilities) ............................................. 53 Tabel 5.10 Identifikasi Ancaman (Threat) ........................................................... 54 Tabel 5.11 Nilai Inheren Risk .............................................................................. 55 Tabel 5.12 Hasil Penilaian Risiko (Risk Assessment) .......................................... 57 Tabel 5.13 Rekomendasi Kontrol ........................................................................ 62

xi



DAFTAR LAMPIRAN

Lampiran 1 Assessment Checklist......................................................................L-1 Lampiran 2 Statement of Applicability (SOA)...................................................L-2

xii



BAB 1 PENDAHULUAN

Bab ini menjelaskan tentang latar belakang dilakukannya penelitian, permasalahan yang diangkat dalam penelitian, pembatasan atau cakupan penelitian, tujuan dan manfaat dari penelitian, serta sistematika penulisan penelitian.

1.1. Latar Belakang Kebutuhan akan sistem informasi dan teknologi informasi saat ini semakin tinggi, dapat dilihat dari dimanfaatkannya SI/TI untuk menjalankan aktivitas-aktivitas penting perusahaan maupun instansi pemerintahan. Untuk mencapai tujuan bisnisnya, saat ini banyak perusahaan yang bergantung pada teknologi informasi untuk mencapai tujuan bisnisnya serta untuk memberikan layanan yang berkualitas kepada pelanggannya. Sistem dan teknologi informasi memegang fungsi penting dalam menunjang bisnis perusahaan, oleh karena itu guna tetap menjaga optimalnya bisnis perusahaan, aspek-aspek terkait sistem dan teknologi informasi ini menjadi perhatian penting. Teknologi informasi saat ini juga semakin mudah dan murah untuk didapatkan dan dikembangkan. Perusahaan dan organisasi besar maupun kecil dapat mengembangkan sistem informasi mereka sendiri, atau dapat pula menggunakan jasa penyedia layanan sistem informasi dari pihak lain, tergantung kebutuhan masing-masing perusahaan atau organisasi.

Salah satu aspek penting dalam sistem informasi adalah aspek keamanan. Informasi merupakan aset penting perusahaan yang harus dilindungi, untuk menjamin keberlangsungan bisnis perusahaan. Dengan semakin pesatnya perkembangan teknologi, semakin meluasnya penggunaan teknologi informasi, serta semakin mudahnya teknologi informasi didapatkan dan dikembangkan, maka peluang timbulnya risiko terhadap informasi juga semakin besar. Apabila sistem informasi tidak dijaga keamanannya, maka muncul risiko terganggunya bisnis perusahaan. Risiko tersebut dapat berupa kerugian finansial, opportunity

1



2

loss, pelanggaran terhadap hukum, bahkan dapat pula mengakibatkan kerugian reputasi.

Sebagai salah satu perusahaan telekomunikasi besar di Indonesia, bisnis Telkom sangat bergantung pada kehandalan sistem dan teknologi informasi. Layanan yang diberikan kepada pelanggan didukung oleh sistem dan infrastruktur teknologi informasi yang kuat, termasuk dalam memberikan layanan fixed wireless berbasis CDMA, yaitu Flexi.

Salah satu sistem inti yang mendukung jalannya layanan Flexi kepada pelanggan adalah sistem provisioning. Provisioning merupakan proses pembuatan, perubahan,

maupun

penghapusan

basis

data

pelanggan

pada

jaringan

telekomunikasi atau yang dikenal sebagai Network Element (NE). Provisioning mempersiapkan dan melengkapi NE sehingga sebuah layanan dapat dinikmati oleh pelanggan. NE yang dimaksud antara lain HLR (Home Location Register), WIN (Wireless Intelligent Network), SHLR (Smart HLR), Server AN-AAA (Authentication, Authorization and Accounting), Server PCRF (Policy and Charging Rules Function), serta perangkat lainnya.

Provisioning system Telkom Flexi dikembangkan dan dikelola oleh Divisi Information System Center (ISC). Saat ini ISC baru saja mengembangkan i-NEFI (Integrated Network Element Flexi Interface), dimana i-NEFI ini merupakan inti dari sistem provisioning Flexi. Semua layanan Flexi yang membutuhkan provisioning ke NE yang tersebar di beberapa lokasi di Indonesia dilayani oleh iNEFI. Dengan pentingnya peran i-Nefi, eksistensi i-NEFI sebagai sistem provisioning mutlak diperlukan agar semua layanan bisa berfungsi sebagaimana mestinya. Layanan yang ditangani oleh i-Nefi mulai dari produksi Kartu Perdana (Starter Pack) dan Pasang Sambungan Baru (PSB), produksi voucher pulsa, aktivasi Nada Sambung Pribadi (NSP), aktivasi layanan Flexi Combo, layanan buka tutup isolir pelanggan, registrasi layanan Flexi-Net dan Flexi Mobile Broadband, hingga layananan Customer Care.



3

Mengingat sangat pentingnya fungsi sistem provisioning gateway untuk mendukung keberlangsungan bisnis Telkom Flexi, dan karena sistem ini merupakan antarmuka atau gateway dari sekian banyak NE, maka sedapat mungkin risiko-risiko yang dapat mengganggu kinerja sistem provisioning gateway berada pada level serendah mungkin. Oleh karena itu suatu manajemen risiko keamanan informasi sangat penting untuk dijalankan di sistem ini.

Saat ini, keamanan informasi pada sistem tersebut dijaga hanya mengacu kepada kebutuhan operasional. Manajemen risiko dijalankan, namun tidak ada prosedur yang jelas, sehingga peluang untuk terjadinya fraud sangat besar. Oleh karena itu, kondisi manajemen risiko keamanan informasi yang sudah ada saat ini perlu dievaluasi dan dilakukan penilaian terhadap sistem agar pengelolaan risiko sistem provisioning gateway tersebut dapat dilakukan dengan baik, sesuai dengan ancaman, kerawanan, dan dampak yang mungkin timbul yang dapat mengganggu jalannya bisnis Flexi.

1.2. Perumusan Masalah Berdasarkan latar belakang di atas, maka dapat dirumuskan permasalahan penelitian sebagai berikut: 1. Bagaimana kondisi manajemen risiko keamanan informasi saat ini yang diterapkan pada sistem provisioning gateway Telkom Flexi. 2. Manajemen risiko keamanan informasi seperti apa yang seharusnya dijalankan terhadap sistem provisioning gateway agar sesuai dengan standar keamanan informasi internasional yang ada.

1.3. Ruang Lingkup Penelitian Ruang lingkup dari penelitian ini antara lain: 1. Evaluasi terhadap manajemen risiko keamanan informasi dilakukan pada sistem provisioning gateway Telkom Flexi. 2. Kerangka kerja yang digunakan sebagai standar acuan keamanan informasi adalah ISO 27001:2005. Universitas Indonesia


4

1.4. Tujuan Penelitian Tujuan yang ingin dicapai dari penelitian ini antara lain: 1. Mengetahui tingkat kematangan manajemen risiko keamanan informasi yang dijalankan pada sistem provisioning gateway Telkom Flexi saat ini. 2. Menentukan manajemen risiko keamanan informasi seperti apa yang sesuai untuk sistem provisioning gateway Telkom Flexi, dan kontrolkontrol apa yang perlu diterapkan untuk menjaga keamanan sistem informasi.

1.5. Manfaat Penelitian Manfaat dari penelitian ini antara lain: 1. Memberikan gambaran mengenai kondisi manajemen risiko keamanan informasi yang dijalankan pada sistem provisioning gateway Telkom Flexi dan kesenjangannya terhadap standar yang berlaku. 2. Memberikan rekomendasi kontrol yang perlu diterapkan untuk manajemen risiko keamanan informasi yang lebih baik, berikut dengan kebijakan dan prosedurnya.

1.6. Sistematika Penulisan Karya Akhir atau penelitian ini ditulis dengan sistematika penulisan sebagai berikut : BAB 1

PENDAHULUAN

Bab ini menjelaskan tentang latar belakang masalah, perumusan masalah, tujuan dan manfaat penelitian, serta sistematika penulisan. BAB 2

LANDASAN TEORI

Bab ini menjelaskan tentang teori-teori yang relevan dengan penelitian yang dilakukan, diantaranya mengenai manajemen risiko, kerangka kerja keamanan sistem informasi, kerangka kerja ISO 27001:2005, serta hasil dari penelitian sebelumnya yang sejenis.



5

BAB 3

METODOLOGI PENELITIAN

Bab ini menjelaskan tentang langkah-langkah yang dilakukan dan teknik-teknik yang digunakan dalam penelitian, untuk menjawab permasalahan yang telah dirumuskan.

BAB 4

PROFIL PERUSAHAAN

Bab ini berisi pemaparan profil dari organisasi Divisi Information System Center (ISC) sebagai pengelola sistem provisioning gateway Telkom Flexi.

BAB 5

ANALISIS DAN PEMBAHASAN

Bab ini menjelaskan tentang analisis yang dilakukan beserta hasilnya, terhadap manajemen keamanan sistem informasi provisioning gateway Telkom Flexi, dan berisi rekomendasi bagi organisasi untuk pengelolaan risiko keamanan informasi sistem.

BAB 6

KESIMPULAN DAN SARAN

Bab ini berisi kesimpulan yang didapat dari penelitian ini untuk menjawab permasalahan, juga berisi saran yang dapat dijadikan sebagai perbaikan melalui penelitian.



BAB 2 LANDASAN TEORI

Bab ini berisi uraian dari beberapa teori yang terkait dengan permasalahan penelitian. Literatur yang diuraikan pada bab ini antara lain mengenai manajemen risiko, kerangka kerja keamanan sistem informasi, kerangka kerja ISO 27001:2005, serta hasil dari penelitian sebelumnya yang sejenis.

2.1. Risiko dan Manajemen Risiko Organisasi apapun, baik bersifat profit maupun non-profit, organisasi besar maupun organisasi kecil, pasti akan selalu menghadapi pengaruh-pengaruh internal maupun eksternal, yang dapat menimbulkan suatu ketidakpastian yang dapat mempengaruhi organisasi tersebut dalam mencapai tujuannya. Efek dari ketidakpastiaan yang mempengaruhi tujuan organisasi tersebut disebut dengan risiko. 2.1.1. Definisi Risiko Risiko dapat diartikan secara luas untuk berbagai aspek seperti finansial, sistem informasi, pengelolaan proyek, risiko operasional, investasi, risiko lingkungan, dan lain sebagainya. Dalam ISO Guide 73:2009 (ISO, 2009), risiko didefinisikan sebagai efek ketidakpastian dalam tujuan, dimana: • Efek merupakan penyimpangan dari yang diharapkan, baik positif dan atau negatif. • Tujuan dapat terkait beberapa aspek (misalnya finansial, kesehatan dan keselamatan kerja, serta lingkungan) dan dapat diterapkan dalam tingkatan

yang

berbeda

(misalnya

strategis,

organisasi

secara

keseluruhan, proyek, produk dan proses). • Risiko sering dikenali dalam bentuk events dan consequences yang potensial, atau gabungan dari keduanya.

6



7

• Risiko

sering

diekspresikan

dalam

bentuk

kombinasi

antara

consequences dari sebuah event (termasuk perubahan dalam suatu keadaan) dan kemungkinan yang terkait. • Ketidakpastian merupakan keadaan defisiensi informasi yang terkait, pemahaman atau pengetahuan, meskipun sebagian, terhadap suatu kejadian (event), kosekuensi dari kejadian (consequence), atau kemungkinannya (likelihood). David Vose mendefinisikan risiko sebagai “Kejadian random yang kemugkinan akan terjadi, dan apabila itu terjadi, akan memberikan efek negatif terhadap tujuan organisasi. Oleh karena itu, risiko terbentuk dari tiga elemen : skenario, probabilitas kejadian, dan besarnya efek dari dari kejadian random tersebut (dengan nilai tetap maupun distribusi)” (Vose, 2000). Sedangkan pengertian risiko menurut Emmet J. Vaghan dan Therese Vaughan adalah suat kondisi dimana ada peluang deviasi yang merugikan dari suatu hasil yang diinginkan (Vaughan, 2008).

Dari beberapa definisi diatas, kata kunci dari definisi risiko adalah antara lain ketidakpastian, peluang, kerugian, dan tujuan organisasi. Risiko dapat dimaknai sebagai suatu peluang atau kemungkinan yang dapat berpengaruh kepada suatu tujuan, dan dapat menghasilkan kerugian apabila peluang kerugian itu tidak dikelola dengan baik.

Risiko dapat dibedakan dalam beberapa kategori, dilihat dari kepada apa risiko tersebut berdampak. Kategori dari risiko, diantaranya: • Strategic Risk, merupakan risiko yang berhubungan tujuan organisasi secara keseluruhan, berada pada level tertinggi organisasi dan dapat menyebabkan timbulnya jenis-jenis risiko yang lainnya. • Compliance Risk, merupakan risiko sanksi hukum, financial loss, atau rusaknya reputasi suatu organisasi yang mungkin terjadi sebagai akibat dari ketidakpatuhan organisasi tersebut terhadap hukum, regulasi,



8

peraturan, standar regulasi organisasi dan codes of conduct yang ada untuk setiap aktivitas organisasi. • Financial Risk, merupakan segala risiko yang berhubungan dengan finansial organisasi, termasuk transaksi finansial yang dapat berpotensi menyebabkan kerugian finansial bagi organisasi. • Reputational Risk, merupakan risiko yang berpotensi terhadap citra perusahaan di mata publik. Risiko ini biasanya berkaitan dengan business practice organisasi yang dapat menyebabkan turunnya jumlah pelanggan dan penurunan pendapatan. Reputational risk dapat terjadi akibat kegagalan organisasi dalam mengelola jenis-jenis risiko yang lain yang ada secara efektif. • Operational Risk, merupakan risiko akibat adanya ketidaksesuaian sistem yang berjalan, baik itu proses internal, orang-orang yang terkait didalamnya, serta sistem teknologinya.

2.1.2. Manajemen Risiko Segala aktivitas dari suatu organisasi memiliki risiko. Organisasi mengelola risiko dengan cara mengantisipasi dan memahami risiko yang mungkin muncul. Manajemen risiko merupakan aplikasi sistematik dalam kebijakan pengelolaan, prosedur,

dan

langkah-langkah

dalam

aktivitas

komunikasi,

konsultasi,

menentukan ruang lingkup, serta mengidentifikasi, menganalisa, mengevaluasi, memperlakukan, memantau, dan meninjau risiko (ISO, 2009). Dalam standar NIST 800-30, manajemen risiko didefinisikan sebagai proses mengidentifikasi risiko, menilai risiko, dan mengambil tindakan-tindakan untuk mengurangi risiko ke level yang dapat diterima (Stoneburner, 2002). Sedangkan menurut Emmet J. Vaughan dan Therese Vaughan (Vaughan, 2008), definisi dari manajemen risiko adalah “Pendekatan ilmiah untuk menghadapi risiko murni dengan mengantisipasi kemungkinan kerugian yang tidak disengaja dan mengimplementasikan prosedur yang meminimalisasi terjadinya kerugian atau efek finansial dari kerugian yang terjadi”.



9

Manajemen risiko dapat diaplikasikan dalam keseluruhan organisasi, pada berbagai level dan area, begitu pula untuk fungsi, proyek, dan aktivitas tertentu. Ada berbagai bentuk strategi manajemen risiko, tergantung pada jenis risiko dan jenis bisnis organisasi. Standar internasional untuk manajemen risiko juga beragam, antara lain yang dikembangkan oleh Project Management Institute, International Standard for Organization (ISO), National Institute of Standards and Technology, dan lain-lain.

Berdasarkan publikasi NIST 800-30 Risk Management Guide for Information Technology Systems, ada 3 fase dalam manajemen risiko, yaitu (Stoneburner, 2002): 1. Risk Assessment: fokus kepada penentuan risiko yang mungkin muncul dan potensi ancaman (threat) yang berhubungan dengan sistem. 2. Risk Mitigation: fokus kepada menyusun prioritas, evaluasi, dan implementasi kontrol untuk minimalisasi risiko yang didapat dari hasil rekomendasi proses risk assessment. 3. Evaluation and assessment: merupakan evaluasi terhadap mitigasi risiko yang telah dilakukan. 2.2. Keamanan Informasi 2.2.1. Definisi Keamanan Informasi Keamanan informasi merupakan perlindungan terhadap informasi, dimana pastinya informasi itu sendiri bersifat penting sehingga perlu dilindungi. Informasi didefinisikan oleh Gordon B. Davis sebagai suatu data yang telah diolah menjadi suatu bentuk yang penting bagi si penerima dan mempunyai nilai yang nyata yang dapat dirasakan dalam keputusan-keputusan sekarang atau keputusan-keputusan yang akan datang (Gordon, 1974). Informasi adalah pengumpulan atau pengolahan data untuk memberikan pengetahuan atau keterangan (Burch, 1974). Definisi lainnya dari informasi adalah data yang penting yang memberikan pengetahuan yang berguna. Dari definisi-definisi tersebut dapat disimpulkan bahwa informasi adalah sesuatu yang penting sehingga perlu dilindungi melalui suatu sistem keamanan informasi.



10

Tujuan dari keamanan informasi adalah untuk melindungi informasi dari dan terhadap segala sumber. Prinsip utama dari keamanan informasi adalah kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability). •

Confidentiality (kerahasiaan): mencegah adanya akses yang tidak berhak, melindungi informasi yang bersifat rahasia dan proprietary.

•

Integrity (integritas): menjaga informasi dari perubahan atau perusakan yang tidak seharusnya, termasuk memastikan aspek non repudiation dan autentikasi dari suatu informasi.

•

Availability (ketersediaan): memastikan informasi dapat diakses dan digunakan setiap dibutuhkan.

Namun tidak hanya tiga aspek diatas yang harus dijaga dari suatu informasi, tergantung pada masing-masing kebutuhan. ISO 27001:2005 mendefinisikan keamanan informasi sebagai perlindungan terhadap kerahasiaan, integritas, dan ketersediaan informasi, serta terhadap aspek lainnya seperti autentikasi, akuntabilitas, non-repudiation dan reliabilitas (ISO, 2005).

Keamanan informasi tidak hanya terancam oleh aspek-aspek yang sangat teknis seperti virus komputer, penyadapan komunikasi, atau pencurian komputer. Keamanan informasi juga dapat terganggu oleh beberapa hal seperti: •

Force majeure (misalnya kebakaran, banjir, dan gempa bumi) dapat secara langsung berdampak pada data atau sistem TI. Dokumen, sistem TI atau layanan lainnya tidak lagi tersedia seperti yang dibutuhkan.

•

Setalah gagalnya update software, aplikasi dapat tidak berfungsi dengan baik atau data dapat dimodifikasi tanpa diketahui.

•

Proses bisnis penting terhambat karena satu-satunya staf yang paham aplikasi sedang sakit.

•

Informasi rahasia secara tidak sengaja bocor ke pihak lain akibat staf perusahaan tidak menandai dokumen tersebut dengan tanda “rahasia”.



11

Untuk menjaga prinsip utama dari keamanan informasi (kerahasiaan, integritas, dan ketersediaan), ada beberapa strategi yang dapat dilakukan, antara lain: •

Physical security Strategi ini merupakan strategi yang bertujuan untuk mengamankan asetaset yang bersifat fisik, seperti perangkat keras, personil, karyawan, serta perlindungan terhadap tempat kerja.

•

Personal security Strategi ini merupakan strategi yang bertujuan untuk mengamankan individu-individu seperti memberikan pelatihan atau sosialisasi perihal keamanan informasi dalam rangka menciptakan kesadaran individu akan pentingnya menjaga keamanan informasi.

•

Operation security Strategi ini merupakan strategi yang bertujuan untuk mengamankan operasional organisasi atau perusahaan dari gangguan yang dapat mengganggu kelancaran aktivitas operasional.

•

Communication security Strategi ini merupakan strategi yang bertujuan untuk mengamankan media komunikasi dan teknologi komunikasi sehingga fungsi komunikasi dalam organisasi dapat berjalan dengan baik.

•

Network security Strategi ini merupakan strategi yang bertujuan untuk mengamankan jaringan yang digunakan sebagai media pertukaran informasi perusahaan, serta memastikan bahwa kapabilitas dan kapasitas jaringan untuk mengirimkan dan menerima informasi terpenuhi sesuai kebutuhan organisasi atau perusahaan.

2.2.2. Ruang Lingkup Keamanan Informasi Ruang lingkup keamanan informasi terdiri dari empat aspek yaitu organization, people, process, dan technology (ISACA, 2011). Keempat aspek ini dapat



12

dikatakan sebagai aset yang harus dilindugi dan dikelola risikonya. Keterkaitan antara keempat aspek tersebut dapat dilihat pada gambar di bawah ini:

Gambar 2.1 Ruang Lingkup Keamanan Informasi

•

Organization Sebuah organisasi merupakan jaringan yang terbentuk dari sumber daya manusia, aset, dan proses yang saling berinteraksi satu dengan yang lain, dalam perannya masing-masing yang telah ditentukan serta saling bekerja untuk mencapai tujuan yang sama.

•

People Ruang lingkup dari aspek ini adalah sumber daya manusia dan masalahmasalah keamanan informasi yang terkait dengannya. Dalam aspek ini didefinisikan siapa yang menerapkan setiap bagian dari strategi. Aspek ini merepresentasikan sekolompok sumber daya manusia dengan nilai-nilai perilaku, serta nilai-nilai lainnya yang masih bias yang harus diperhitungkan.

•

Process Ruang lingkup aspek ini adalah seluruh mekanisme formal dan informal (besar dan kecil, sederhana dan kompleks) dalam menyelesaikan sesuatu dan menjadi penghubung yang penting bagi seluruh interkoneksi yang dinamis.



13

•

Technology Teknologi merupakan seluruh alat, aplikasi, dan infrastruktur yang membuat proses menjadi lebih efisien.

2.2.3. Sistem Manajemen Keamanan Informasi Sistem manajemen keamanan informasi merupakan suatu kesatuan sistem yang disusun berdasarkan pendekatan risiko bisnis. Sistem manajemen keamanan informasi

perusahaan

bertujuan

untuk

pengembangan,

implementasi,

pengoperasian, pengawasan, pemeliharaan serta peningkatan keamanan informasi perusahaan. Sebagai sebuah sistem, keamanan informasi harus didukung oleh halhal berikut: (Syafrizal, 2007) •

Struktur organisasi Struktur organisasi menunjukan pemetaan dan pembagian fungsi kerja sehingga dapat diketahui pembagian tanggung jawab terkait keamanan informasi

•

Kebijakan keamanan informasi Kebijakan keamanan informasi merupakan dasar yang dijadikan acuan dalam penerapan manajemen keamanan informasi. Kebijakan keamanan informasi dibuat oleh perusahaan dan disahkan oleh manajemen, untuk kemudian diturunkan dalam bentuk prosedur di tingkat operasionl.

•

Prosedur dan proses Prosedur dan proses merupakan turunan dari kebijakan, yang dibuat lebih terperinci sebagai panduan implementasi keamanan informasi di tingkat operasional.

•

Tanggung jawab Di dalam prosedur dan proses terdapat pembagian tanggung jawab, dimana tanggung jawab ini harus dibuat sangat jelas, sehingga setiap individu terkait paham akan peran dan kewajibannya terhadap pengelolaan keamanan informasi

•

Sumber daya manusia



14

Sumber daya manusia merupakan pelaksana setiap prosedur dan proses pengelolaan keamanan informasi sesuai dengan peran, kewenangan, dan tanggung jawabnya masing-masing.

2.3. Standar dan Kerangka Kerja Keamanan Informasi Manajemen keamanan informasi yang efektif adalah ketika organisasi memperhitungkan seluruh proses operasional dan organisasional serta pihak yang terkait keamanan informasi. Keamanan informasi harus menjadi proses yang berjalan, dimana apabila keamanan informasi ini dikembangkan secara keseluruhan, maka akan menempatkan organisasi pada isu keamanan yang tepat sehingga tujuan bisnis dapat tercapai. Dalam area keamanan informasi, berbagai macam standar dan kerangka kerja telah dikembangkan dimana titik beratnya terletak pada target atau area subyek. Penggunaan standar keamanan di perusahaan, organisasi, maupun pemerintahan tidak hanya meningkatkan tingkat keamanan, tapi juga memudahkan organisasi dalam menentukan prosedur keamanan apa yang harus dijalankan dan bagaimana bentuknya. Ada beberapa standar dan kerangka kerja terkait keamanan informasi yang telah teruji dan diaplikasikan secara internasional, antara lain: 1. International Organization for Standardization (ISO) Dengan pertimbangan terus bertambahnya jumlah standar keamanan informasi

yang

berkembang,

maka

ISO

Electrotechnical

Commission)

sepakat

dan

untuk

IEC

(International

berkonsolidasi

dalam

pengembangan standar keamanan informasi seri 2700x. Standar-standar tersebut antara lain: •

ISO 13335 Standar ISO 13335 merupakan standar untuk Management of Information and Communictations Technology Security, dimana standar ini menyediakan arahan umum untuk menginisiasi dan mengimplementasikan

proses

manajemen

keamanan

teknologi

informasi. ISO 13335 menyediakan instruksi namun bukan solusi untk mengelola keamanan teknologi informasi. Bagaimanapun juga,



15

standar ini merupakan titik awal dan referensi bagi perkembangan standar lain dalam manajemen keamanan teknologi informasi. •

ISO 27001 Akibat kompleksnya area teknologi informasi, dan karena adanya kebutuhan untuk sertifikasi, sejumlah manual, standar dan norma nasional untuk keamanan informasi telah muncul selama beberapa tahun yang lalu. ISO 27001 (Information Technology - Security Techniques - Information Security Management Systems Requirement Specification) merupakan standar internasional pertama untuk manajemen keamanan informasi yang dapat disertifikasi. ISO 27001 berisi rekomendasi umum mengenai bagaimana menjalankan dan meningkatkan dokumentasi sistem manajemen keamanan informasi yang juga mempertimbangkan risiko-risiko.

•

ISO 27002 ISO 27002 awalnya dikenal ISO 17799:2005 (Information Technology - Code of Practice for Information Security Management). Tujuan dari ISO 27002 adalah menentukan kerangka kerja untuk manajemen keamanan informasi. ISO 27002 fokus terhadap langkah-langkah yang diperlukan untuk membangun fungsionalitas sistem manajemen keamanan dan menanamkannya ke dalam organisasi. Rekomendasi yang diberikan pada ISO 27002 khususnya ditujukan untuk level manajemen dan tidak terlalu banyak mengandung informasi teknis yang spesifik. Implementasi ISO 27002 merupakan salah satu dari berbagai cara untuk memenuhi persyaratan yang ada dalam standar ISO 27001.

•

ISO 27005 ISO 27005 (Information Security Risk Management) mengandung rekomendasi umum untuk manajemen risiko keamanan informasi. ISO



16

27005 digunakan untuk mendukung implementasi persyaratan yang ada dalam ISO 27001. •

ISO 27006 ISO 27006 (Information Technology – Security Techniques – Requirements for The Accreditation of Bodies Providing Certification of

Information

Security

Management

Systems)

menjelaskan

persyaratan yang dibutuhkan untuk mengakreditasi sertifikasi ISMS dan juga menjelaskan detail proses sertifikasi ISMS secara spesifik.

2. National Institute of Standards and Technology (NIST) 800-30 NIST 800-30 dipublikasikan pada tahun 2002 oleh National Institute of Standards and Technology, sebuah institut teknologi federal yang bekerjasama dengan industri untuk mengembangkan dan mengaplikasikan teknologi, pengukuran, dan standar. NIST 800-30 merupakan publikasi khusus mengenai Risk Guide for Information Technology System. NIST 80030 menyediakan dasar untuk pengembangan program manajemen risiko yang efektif yang berisi baik definisi-definisi maupun arahan praktis yang dibutuhkan untuk menilai dan memitigasi risiko yang teridentifikasi didalam suatu sistem teknologi informasi. Tujuan dari NIST 800-30 adalah untuk membantu organisasi dalam mengelola risiko terkait teknologi informasi dengan lebih baik. Kerangka kerja ini juga menyediakan informasi dalam menyeleksi kontrol keamanan informasi yang efektif secara biaya yang dapat digunakan untuk memitigasi risiko dalam rangka memberikan perlindungan bagi informasi penting dan sistem teknologi informasi yang memproses, menyimpan, dan membawa informasi tersebut.

Dalam NIST 800-30, proses manajemen risiko dilakukan dalam tiga aktivitas seperti pada gambar di bawah ini:



17

Gambar 2.2 Proses Manajemen Risko NIST 800-30 Tahapan yang dilakukan dalam gambar di atas antara lain: (Stoneburner, 2002) a. Penilaian risiko Penilaian risiko merupakan proses pertama dalam manajemen risiko. Organisasi menggunakan penilaian risiko untuk menentukan ancaman dan risiko potensial terkait sistem teknologi informasi. penilaian risiko mencakup identifikasi dan evaluasi risiko dan efek dari risiko, serta rekomendasi untuk pengukuran minimalisasi risiko.Dalam melakukan penilaian risiko, terdapat 9 langkah utama yang dapat dilakukan, yaitu: •

System Characterization, menentukan ruang lingkup dari sistem yang akan dinilai risikonya. Dalam tahapan ini, diidentifikasi batasan-batasan dari sistem beserta sumberdaya dan informasi yang berkaitan dengan sistem.

•

Threat Identification, mengidentifikasi sumber ancaman serta motivasi terjadinya ancaman. Ancaman disini dapat diakibatkan oleh adanya kelemahan internal maupun eksternal.

•

Vulnerability Identification, mengidentifikasi sumber kerawanan serta motivasi terjadinya kerawanan. Kerawanan merupakan kelemahan dalam prosedur keamanan sistem, perancangan, implementasi, atau kontrol internal yang dapat diekploitasi.

•

Control

Analysis,

diimplementasikan,

menganalisa atau

telah

kontrol

yang

direncanakan

telah akan



18

diimplementasikan oleh organisasi untuk meminimalisasi atau mengeliminasi probabilitas ancaman. •

Likelihood Determination, menentukan level dari kemungkinan suatu kelemahan dapat dieksploitasi oleh sumber ancaman. Level kemungkinan tersebut dibagi menjadi High, Medium, dan Low.

•

Impact Analysis, menganalisa dampak dari kelemahan yang berhasil dieksploitasi dengan mengacu kepada misi sistem, tingkat kepentingan sistem dan data, serta tingkat sensitivitas sistem dan data. Keluaran dari tahapan ini adalah level dari dampak yang dinyatakan dalam High, Medium, dan Low.

•

Risk Determination, menilai level risiko terhadap sistem TI. Penilaian ini dilakukan dengan menentukan skala dari risiko dan matriks dari level risiko. Keduanya dinyatakan dalam tingkatan High, Medium, dan Low.

•

Control Recommendation, menentukan rekomendasi dari kontrolkontrol yang dapat memitigasi ataupun mengeliminasi risiko yang teridentifikasi, dimana kontrol-kontrol tersebut relevan dengan operasional organisasi. Tujuan dari adanya rekomendasi kontrol ini adalah untuk menurunkan level risiko dari sistem teknologi informasi beserta datanya ke level yang dapat diterima.

•

Results Documentation, mendokumentasikan dengan jelas hasil dari keseluruhan tahapan, mulai dari penilaian risiko sampai rekomendasi kontrol.

b. Mitigasi Risiko Mitigasi risiko merupakan proses kedua setelah penilaian risiko yang mencakup pemrioritasan, mengimplementasikan, dan menjaga pengukuran minimalisasi risiko yang cocok yang didapat dari hasil penilaian risiko. Tahapan dari aktivitas mitigasi risiko, antara lain: •

Prioritize Action, merupakan penentuan prioritas aktivitas yang akan diimplementasikan dengan berdasar kepada level risiko yang didapat dari laporan penilaian risiko. Keluaran dari tahapan ini



19

adalah urutan prioritas aktivitas mulai dari yang tertinggi sampai yang terendah. •

Evaluate

Recommended

Control

Options,

kontrol

yang

direkomendasikan dalam proses penilaian risiko dapat saja bukan merupakan pilihan yang paling cocok untuk organisasi dan sistem TI tertentu. Dalam tahapan ini, dilakukan analisa terhadap efektivitas rekomendasi kontrol dengan tujuan untuk memilih kontrol yang paling cocok dan relevan untuk meminimalisasi risiko. •

Conduct Cost-Benefit Analysis, merupakan analisa terhadap costbenefit dari rekomendasi kontrol untuk membantu manajemen dalam membuat keputusan kontrol-kontrol mana saja yang akan diterapkan dengan melihat efektifitas kontrol dari sisi biaya.

•

Select Control, yaitu memilih kontrol yang telah ditentukan manajemen setelah melalui analisa cost-benefit. Kontrol-kontrol yang dipilih harus menggabungkan aspek teknis, operasional, dan kontrol manajemen untuk memastikan keamanan sistem teknologi informasi dan keamanan organisasi.

•

Assign Responsibility, menentukan tanggung jawab dari personil atau staf yang memiliki kemampuan dan keahlian yang memadai untuk mengimplementasikan kontrol yang telah dipilih.

•

Develop a Safeguard Implementation Plan, dimana dalam tahapan ini dikembangkan suatu action plan yang berisi informasi mengenai risiko, rekomendasi kontrol, prioritas aktivitas, kontrol yang terpilih, sumberdaya yang dibutuhkan untuk implementasi kontrol, daftar tanggung jawab personil dan tim, tanggal dimulainya implementasi, target penyelesaian implementasi, dan kebutuhan pemeliharaan.

•

Implement Selected Controls, yaitu tahapan dimana kontrol yang telah dipilih diimplementasikan.



20

c. Evaluasi Risiko Evaluasi risiko merupakan proses evaluasi secara berkelanjutan dan merupakan kunci untuk mengimplementasikan program manajemen risiko yang baik. 3. COBIT (Control Objective for Information and Related Technology) COBIT merupakan standar atau kerangka kerja yang menyediakan metode untuk mengontrol risiko akibat penggunaan teknologi informasi untuk mendukung proses bisnis. COBIT dikeluarkan oleh Information Domains Audit and Control Association (ISACA) IT Governance Institute. COBIT disusun dari suatu gabungan dokumen dan kerangka kerja yang diklasifikasikan dan secara umum diterima sebagai best practice untuk tata kelola teknologi informasi. Referensi perihal manajemen risiko secara khusus dibahas pada proses PO9 dalam COBIT. Kerangka kerja manajemen risiko teknologi informasi dengan menggunakan COBIT terdiri dari: (IT Governance Institute, 2005) a. Penetapan objektif, kriteria informasi dari COBIT dapat digunakan sebagai dasar dalam mendefinisikan objek TI. Terdapat tujuh kriteria informasi dari COBIT yaitu effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability. b. Identifikasi risiko, merupakan proses untuk mengetahui adanya risiko yang dapat bersumber dari manusia, proses, dan teknologi, dari dalam atau luar perusahaan, serta bbersumber dari bencana, ketidakpastian, dan kesempatan c. Penilaian risiko, merupakan proses untuk menilai seberapa sering risiko terjadi dan seberapa besar dampak yang dapat ditimbulkannya. Dampak risiko terhadap bisnis dapat berupa dampak finansial, menurunnya reputasi disebabkan sistem yang tidak aman, terhentinya operasi bisnis, kegagalan aset, dan penundaan pengambilan keputusan. d. Respon risiko, dilakukan dengan menerapkan kontrol objektif yang sesuai dalam melakukan manajemen risiko. Jika sisa risiko masih melebihi risiko yang dapat diterima, maka diperlukan respon risiko tambahan. Proses



21

proses pada kerangka kerja COBIT yang sesuai untuk manajemen risiko adalah: •

PO1 (Define a Strategic IT Plan) dan PO9 (Assess and Manage Risk)

•

A16 (Manages Change)

•

DS5 (Ensure System and Security)

•

ME1 (Monitor and Evaluate IT Performance)

e. Monitor risiko, setiap langkah dimonitor untuk menjamin bahwa risiko dan respon berjalan sepanjang waktu.

4. OCTAVE

(Operationally

Critical

Threat,

Asset,

and

Vulnerability

Evaluation) Kerangka kerja manajemen risiko keamanan informasi menggunakan pendekatan OCTAVE dapat dilihat pada gambar di bawah ini: (Alberts, 2002)

Gambar 2.3 Kerangka Kerja OCTAVE Aktivitas yang dilakukan dalam manajemen risiko keamanan informasi dengan pendekatan OCTAVE seperti gambar di atas, antara lain: a. Identifikasi, merupakan prosestransformasi ketidakpastian mengenai seberapa baik aset perusahaan dilindungi terhadap risiko. Aktivitas yang dilakukan antara lain identifikasi profil risiko (aset kritis, ancaman, kebutuhan keamanan, kebutuhan keamanan untuk aset kritis, deskripsi tentang dampak risiko pada perusahaan, dan komponen infrastruktur



22

utama yang berhubungan dengan aset kritis) serta identifikasi informasi perusahaan seperti kebijakan dan prosedur keamanan informasi b. Analisa, merupakan proses untuk memproyeksikan bagaimana resikoresiko ekstensif dan bagaimana menggunakan proyeksi tersebut untuk membuat skala prioritas. Tugas dalam proses analisa adalah melakukan evaluasi resiko (nilai-nilai untuk mengukur resiko, dampak dan peluang) serta skala prioritas resiko (pendekatan pengurangan resiko, menerima atau mengurangi resiko) c. Perencanaan, merupakan proses untuk menentukan aksi-aksi yang akan diambil untuk meningkatkan postur dan perlindungan keamanan aset kritis tersebut. Langkah dalam perencanaan adalah mengembangkan strategi proteksi, rencana mitigasi resiko, rencana aksi, budget, jadwal, kriteria sukses, ukuran-ukuran untuk monitor rencana aksi, dan penugasan personil untuk implementasi rencana aksi. d. Implementasi, merupakan proses untuk melaksanakan aksi yang direncanakan untuk meningkatkan keamanan sistem berdasarkan jadwal dan kriteria sukses yang didefinisikan selama perencanaan risiko. e. Monitor, yaitu pengawasan jejak rencana aksi untuk menentukan status saat ini dan meninjau ulang data perusahaan sebagai tanda adanya risiko baru atau perubahan yang ada. f. Kontrol, merupakan proses yang didesain agar personil melakukan penyesuaian rencana aksi dan menentukan apakah dengan merubah kondisi organisasi akan menyebabkan timbulnya risiko baru.

2.4. International Organization for Standardization (ISO) 27001:2005 International Organization for Standardization adalah badan standar dunia yang mengembangkan dan mempublikasikan berbagai jenis standar, mulai dari standar teknologi informasi, sampai kepada standar energi nuklir. ISO berkantor pusat di Genewa, Swiss, dan beranggotakan 162 anggota yang merepresentasikan masingmasing negara. Standar ISO 27001:2005 merupakan standar untuk ISMS (Information Security Management System) yang dipublikasikan ISO dan IEC (International Electrotechnical Commission) pada Oktober 2005 dalam rangka



23

menggantikan standar BS7799-2. Standar BS7799-2 sendiri dikeluarkan oleh British Standart Institute pada tahun 1995 sebagai code of practice yang fokus pada bagaimana mengimplementasikan ISMS dengan mengacu kepada struktur manajemen keamanan informasi dan kontrol.

2.4.1. Proses Perancangan Manajemen Keamanan Informasi Tujuan dari standar ISO 27001:2005 ini adalah agar dapat digunakan sebagai model

acuan

dalam

pembangunan,

pengimplementasian,

pengoperasian,

pengawasan, peninjauan, pemeliharaan dan perbaikan sistem manajemen keamanan informasi. ISO 27001 menggunakan siklus Plan-Do-Check-Act untuk menstrukturisasi setiap proses. Siklus PDCA tersebut dapat dilihat pada gambar dibawah ini (ISO, 2005).

Gambar 2.4 Siklus P-D-C-A ISO 27001 1. Plan Merupakan tahapan untuk perancangan ISMS, menetapkan aturan, tujuan, proses dan prosedur yang relevan untuk mengelola risiko dan meningkatkan keamanan informasi untuk memberikan hasil yang sesuai dengan keseluruhan tujuan dan kebijakan organisasi.



24

2. Do Merupakan tahapan implementasi dan jalannya kebijakan, aturan, kontrol, proses dan prosedur ISMS yang sudah dipilih pada tahap Plan.

3. Check Merupakan tahapan dilakukannya penilaian, pengawasan dan peninjauan implementasi dari ISMS, serta apabila memungkinkan, dilakukan pula pengukuran performansi proses terhadap kebijakan ISMS, dan melaporkan hasilnya kepada manajemen untuk dilakukan peninjauan.

4. Act Merupakan tahapan dalam melakukan perbaikan dan peningkatan kinerja ISMS. Langkag-langkah korektif dan preventif diambil berdasarkan hasil dari audit internal ISMS dan management review atau informasi lainnya yang relevan, agar mencapai perbaikan ISMS secara berkelanjutan. Dalam membangun atau merancang ISMS, beberapa hal harus dilakukan oleh organisasi, antara lain: 1. Menentukan ruang lingkup dan batasan dari ISMS terkait karakteristik bisnis, organisasi, lokasi, aset dan teknologi, termasuk rincian dan justifikasi untuk hal-hal yang berada diluar ruang lingkup. 2. Menentukan kebijakan ISMS terkait karakteristik bisnis, organisasi, lokasi, aset dan teknologi. 3. Menentukan pendekatan penilaian risiko organisasi. 4. Mengidentifikasi risiko terhadap aset, ancaman, kerawanan, serta dampak atas hilangnya kerahasiaan, integritas, dan ketersediaan yang mungkin terjadi terhadap aset. 5. Menganalisa dan mengevaluasi risiko, termasuk didalamnya mengestimasi level risiko dan menentukan apakah risiko-risiko tersebut dapat diterima atau membutuhkan perlakuan khusus.



25

6. Mengidentifikasi dan mengevaluasi pilihan untuk perlakuan terhadap risiko, diantaranya menjalankan kontrol yang sesuai, menerima risiko, menghindari risiko, dan mentransfer risiko bisnis ke pihak lain. 7. Memilih kontrol dan kontrol objektif untuk perlakuan terhadap risiko. 8. Mendapatkan persetujuan dari manajemen terhadap risiko yang diajukan. 9. Mendapatkan otoritas manajemen untuk mengimplementasikan dan mengoperasikan ISMS. 10. Menyiapkan Statement of Applicability, dimana didalamnya terdapat sasaran kontrol dan kontrol yang dipilih, serta alasan pemilihan kontrol tersebut,

sasaran

kontrol

dan

kontrol

yang

saat

ini

sedang

diimplementasikan, serta pengecualian terhadap sasaran kontrol dan kontrol serta justifikasi terhadap pengecualian tersebut. Setelah

menentukan

perencanaan

ISMS,

tahap

selanjutnya

organisasi

mengimplementasikan dan mengoperasikan ISMS. Hal-hal yang harus dilakukan organisasi antara lain: 1. Memformulasikan perencanaan tindak lanjut risiko untuk menentukan tindakan manajemen yang sesuai, sumber daya, tanggung jawab dan prioritas untuk mengelola risiko keamanan informasi. 2. Mengimplementasikan perencanaan tindak lanjut terhadap risiko dalam rangka mencapai sasaran kontrol, yang termasuk pertimbangan pendanaan dan alokasi peran dan tanggung jawab. 3. Mengimplementasikan kontrol yang telah dipilih untuk mencapai sasaran kontrol. 4. Menentukan bagaimana mengukur efektivitas kontrol yang telah dipilih dan menentukan bagaimana pengukuran ini digunakan untuk menilai efektivitas kontrol untuk menghasilkan hasil yang dapat dibandingkan. 5. Mengimplementasikan program pelatihan

dan kesadaran terhadap

keamanan informasi. 6. Mengelola operasional ISMS. 7. Mengelola sumber daya ISMS



26

8. Mengimplementasikan

prosedur

dan

kontrol

lainnya yang

dapat

mendeteksi dan merespon adanya insiden keamanan. Pada tahapan selanjutnya, dilakukan pengawasan dan peninjauan terhadap ISMS yang sedang berjalan, dimana pada tahap ini ativitas-aktivitas yang dapat dilakukan organisasi antara lain: 1. Menjalankan prosedur pengawasan dan peninjauan serta kontrol lainya. 2. Melakukan tinjauan berkala terhadap efektivitas ISMS (termasuk dijalankannya kebijakan dan sasaran ISMS, serta tinjauan terhadap kontrol-kontrol keamanan) dengan melihat kepada hasil dari audit keamanan, insiden, hasil dari efektivitas pengukuran, saran dan feedback dari seluruh pihak yang berkepentingan. 3. Mengukur efektivitas kontrol untuk memastikan bahwa kebutuhan keamanan benar-benar terpenuhi. 4. Meninjau penilaian risiko pada jangka waktu tertentu dan meninjau sisa risiko dan level risiko yang telah teridentifikasi dengan mepertimbangkan perubahan organisasi, teknologi, tujuan dan proses bisnis, ancaman, efektivitas dari kontrol yang berjalan, serta perubahan eksternal misalnya perubahan peraturan hukum atau regulasi, perubahan kontrak kewajiban, dan perubahan iklim sosial 5. Menjalankan audit internal ISMS sesuai jangka waktu yang telah direncanakan 6. Melakukan tinjauan manajemen terhadap ISMS untuk memastikan ruang lingkup ISMS tetap terpenuhi dan perbaikan pada proses ISMS teridentifikasi. 7. Melakukan perbaharuan rencana dengan mempertimbangkan temuan dalam aktivitas pengawasan dan peninjauan ISMS. 8. Menyimpan atau mendokumentasikan aktivitas dan event yang dapat berdampak pada efektivitas maupun performansi ISMS. Tahap terakhir pada siklus PDCA ISMS adalah menjaga dan melakukan peningkatan ISMS. Organisasi secara berkala harus melakukan hal-hal di bawah ini, yaitu:



27

1. Mengimplementasikan perbaikan yang teridentifikasi di ISMS 2. Mengambil tindakan korektif dan preventif. Mengaplikasikan lesson learnt dari pengalaman terkait keamanan baik dari organisasi lain maupun dari organisasi itu sendiri. 3. Mengkomunikasikan tindakan dan perbaikan tersebut kepada seluruh pihak yang berkepentingan. 4. Memastikan perbaikan tersebut memenuhi sasaran yang diharapkan.

2.4.2. Domain, Kontrol, dan Kontrol Objektif ISO 27001 Dalam ISO 27001:2005 terdapat 11 domain, 39 kontrol objektif dan 133 kontrol yang dapat dijadikan acuan untuk diimplementasikan guna memenuhi kebutuhan manajemen keamanan informasi yang didapat dari hasil penilaian risiko. Kontrolkontrol ini diterapkan untuk menurunkan tingkat risiko keamanan informasi ke tingkat yang dapat diterima. Dalam implementasinya, tidak seluruh kontrol yang ada pada ISO 27001:2005 harus diterapkan oleh organisasi atau perusahaan. Setiap organisasi atau sistem memiliki karakteristik yang berbeda-beda, sehingga ada beberapa kontrol ISO 27001:2005 yang tidak dapat diterapkan pada organisasi atau sistem tersebut. Oleh karena itu, organisasi harus memilih kontrol yang relevan dengan subjek atau ruang lingkup mereka. Kontrol-kontrol yang tidak relevan dengan kebutuhan atau kondisi organisasi atau perusahaan, dimasukan ke dalam Statement of Applicability, yang berisi kontrol mana saja yang akan diterapkan, serta justifikasi atas kontrol-kontrol yang tidak akan diterapkan karena tidak relevan. Kontrolkontrol yang tidak relevan tersebut nantinya tidak akan menjadi ruang lingkup pada saat audit. Domain dan kontrol objektif dari ISO 27001:2005 dapat dilihat pada tabel di bawah ini:



28

Tabel 2.1 Domain dan Kontrol Objektif ISO 27001 Ref.Annex A A.5 A5.1 A.6 A.6.1 A6.2 A.7 A.7.1 A.7.2 A.8 A.8.1 A.8.2 A.8.3 A.9 A9.1 A9.2 A10 A10.1 A10.2 A10.3 A10.4 A10.5 A10.6 A10.7 A10.8 A10.9 A10.10 A11 A11.1 A11.2 A11.3 A11.4 A11.5 A11.6 A11.7 A12 A12.1 A12.2 A12.3 A12.4 A12.5 A12.6 A13 A13.1 A13.2 A14 A14.1 A15 A15.1 A15.2 A15.3

Domain & Kontrol Objektif Security Policy Information security policy Organization of information security Internal Organization External parties Asset Management Responsibility for assets Information classification Human resources security Prior to employment During employment Termination or change of employment Physical and environmental security Secure areas Equipment security Communications and operations management Operational procedures and responsibilities Third party service delivery management System planning and acceptance Protection against malicious and mobile code Back-up Network security management Media handling Exchange of information Electronic commerce services Monitoring Access Control Business requirement for access control User access management User responsibilities Network access control Operating system access control Application and information access control Mobile computing and Teleworking Information systems acquisition, development and maintenance Security requirements of information systems Correct processing in applications Cryptographic controls Security of system files Security in development and support processes Technical Vulnerability Management Information security incident management Reporting information security events and weaknesses Management of information security incidents and improvements Business continuity management Information security aspects of business continuity management Compliance Compliance with legal requirements Compliance with security policies and standards, and technical compliance Information system audit considerations



29

2.5. Penelitian Sebelumnya Salah satu penelitian sejenis yang sebelumnya telah dilakukan adalah penelitian yang dilakukan oleh Arief Budi Winarto mengenai Evaluasi Kinerja Manajemen Risiko Keamanan Informasi Charging System : Studi Kasus PT XYZ (Winarto, 2012). Penelitian yang dilakukan Arief Budi Winarto adalah mengevaluasi kinerja manajemen risiko keamanan sistem informasi pada Charging System dimana sistem ini menyimpan aset informasi yang penting yang menjadi core business perusahaan. Perusahaan ini menggunakan framework ISMS berbasis ISO 27001:2005 untuk melakukan proses pengamanan aset informasi penting perusahaan terutama aset terkait Charging System. Dalam penelitian ini Arief Budi Winarto mengevaluasi kinerja manajemen risiko terhadap Charging System tersebut. Kemudian Arief Budi Winarto juga melakukan evaluasi terhadap kinerja tata kelola TI terkait kemanan informasi dengan mengacu kepada Cobit 4.1. Keluaran dari penelitian ini adalah nilai hasil analisa kesenjangan domain ISO serta suatu rekomendasi strategi manajemen risiko keamanan informasi pada Charging System perusahaan tempat penelitian ini dilakukan, yaitu berupa 14 rancangan kerja dan 5 kebijakan serta prosedur-prosedur terkait dengan peningkatan kinerja control objective dalam upaya pengamanan aset informasi Charging System. Penelitian sejenis lainnya juga pernah dilakukan oleh Vinici Vasquera Silitonga dalam penelitiannya yang berjudul “Perancangan Manajemen Risiko Pada PT. XYZ dengan Menggunakan Metode NIST 800-30” pada tahun 2012 (Silitonga, 2012). Penelitian ini dilakukan terhadap sistem SAP perusahaan serta lingkungan pendukung layanan sistem SAP di perusahaan tersebut. PT. XYZ telah menerapkan sistem SAP untuk mendukung proses bisnisnya, namun belum ada pengelolaan

terhadap

keamanan

sistem informasi yang

berisiko

dapat

menghambat jalannya proses bisnis dan berpotensi menimbulkan kerugian. Dalam melakukan

perancangan

manajemen

risiko,

Vinici

Vasquera

Silitonga

menggunakan kerangka kerja NIST 800-30 sebagai acuan dalam mengidentifikasi masalah. Peneltian ini hanya terbatas pada fase penilaian risiko dan mitigasi risiko, sedangkan fase implementasi dan evaluasi risiko tidak termasuk dalam



30

cakupan penelitian. Penilaian risiko dilakukan dengan 8 tahapan antara lain mengidentifikasi karakteristik sistem, mengidentifikasi ancaman, mengidentifikasi kelemahan, analisis kontrol, penentuan kemungkinan, analisa dampak, penentuan level risiko, dan yang terakhir rekomendasi kontrol. Sedangkan mitigasi risiko dilakukan dalam 5 tahapan antara lain prioritas aksi, mengevaluasi kontrol yang direkomendasikan, analisa cost-benefit, penugasan tanggung jawab, dan membangun rancangan implementasi keamanan. Keluaran dari penelitian ini adalah suatu draft kebijakan keamanan sistem informasi untuk sistem SAP pada perusahaan tempat penelitian ini dilakukan, yaitu berupa 10 kontrol kebijakan dan standar keamanan sistem informasi yang dapat menjadi acuan bagi PT. XYZ untuk mengelola 14 risiko yang ditemukan dalam penelitian ini. Penelitian juga dilakukan oleh Yuliansyah Al’Rasyid dengan judul penelitian “Analisa dan Kajian Model Kerangka Kerja Manajemen Risiko Teknologi Informasi Studi Kasus pada PT. Rajawali Nusantara Indonesia” tahun 2009 (Al’Rasyid, 2009). Saat penelitian ini dilakukan, PT. Rajawali Nusantara Indonesia belum memiliki pengelolaan manajemen risiko yang mungkin terjadi sehingga memungkinkan timbulnya kerugian yang tidak diinginkan. Pada penelitian ini, pertama dilakukan identifikasi dan pendefinisian area manajemen risiko TI, kemudian dilakukan pemetaan manajemen risiko TI yang ada saat ini. Setelah dilakukan pemetaan, dilakukan pengukuran dan analisa proses manajemen risiko TI dengan menggunakan capability analysis. Tahapan lain yang dilakukan adalah gap analysis manajemen risiko dengan mengacu kepada COBIT, sedangkan untuk penyusunan kebijakan manajemen risiko digunakan standar AU/NZS 4360-2004. Keluaran dari penelitian ini adalah 3 cakupan area operasional manajemen risiko yaitu risiko ketersediaan, risiko keamanan, dan risiko kemanfaatan TI terhadap proses bisnis.



BAB 3 METODOLOGI PENELITIAN

Bab ini menjelaskan langkah-langkah dilakukannya penelitian yang digunakan untuk pemecahan permasalahan penelitian dan mencapai tujuan penelitian. Karya Akhir ini merupakan penelitian dengan menggunakan metode studi kasus, dimana penelitian dilakukan terhadap permasalahan nyata yang ada di lapangan. Penelitian ini dilakukan berdasarkan data kualitatif dan kuantitatif. Peneliti melakukan pengamatan secara langsung terhadap obyek penelitian, melakukan studi literatur, dan mengumpulkan data yang relevan untuk kemudian dilakukan analisa agar dapat memberikan rekomendasi bagi perbaikan sistem di lokasi tempat penelitian dilakukan, khususnya untuk manajemen risiko keamanan informasi sesuai dengan ruang lingkup yang telah ditentukan.

3.1. Metode Pengumpulan Data Dalam penelitian ini, data yang dijadikan acuan untuk melakukan evaluasi terhadap manajemen risiko keamanan informasi dibagi menjadi dua, yaitu data primer dan data sekunder. a. Data primer Data primer merupakan data yang diperoleh langsung dari sumber yang relevan. Dalam penelitian ini, data primer didapat melalui wawancara terhadap pihak terkait, pengisian assessment checklist, serta survei dan observasi lapangan. b. Data sekunder Data sekunder merupakan data yang didapat melalui dokumen organisasi maupun hasil penelitian yang dilakukan oleh orang lain. Dalam penelitian ini, data sekunder didapat dari dokumen arsitektur teknologi sistem provisioning gateway Telkom Flexi, dokumen kebijakan perusahaan, serta dokumen pendukung studi literatur. 31



32

3.2. Pola Pikir Penelitian Pola pikir yang digunakan dalam penelitian ini adalah sebagai berikut:

Gambar 3.1 Pola Pikir Penelitian

Usulan perbaikan manajemen keamanan sistem informasi didapat dari hasil analisa kesenjangan antara kontrol objektif yang ada pada ISO 27001:2005 dengan kontrol – kontrol yang telah diterapkan dalam mengelola keamanan informasi sistem provisioning gateway. Gambaran dari kondisi manajemen sistem informasi saat ini didapat berdasarkan hasil observasi di lapangan, melakukan wawancara berdasarkan assessment checklist, serta berdasarkan dokumen – dokumen perusahaan terkait kebijakan ataupun prosedur manajemen keamanan sistem informasi.

3.3. Tahapan Penelitian Penelitian dilakukan dalam dua bagian utama, yaitu pertama, akan dilakukan evaluasi tingkat kematangan manajemen risiko keamanan informasi pada sistem provisioning gateway Telkom Flexi, melalui analisis kesenjangan. Kemudian Universitas Indonesia


33

yang kedua, akan dilakukan penilaian risiko untuk setiap aset terkait sistem provisioning gateway sehingga dapat ditentukan rekomendasi kontrol keamanan informasi. Sedangkan untuk alur penelitian, dibagi ke dalam empat tahapan yaitu : 1. Tahap perencanaan Pada tahap perencanaan dilakukan perumusan masalah dan studi literatur teori pendukung dalam melakukan penelitian. 2. Tahap pengumpulan data Tahap pengumpulan data dilakukan melalui wawancara dan pengisian assessment checklist, serta studi dokumen perusahaan terkait kebijakan dan prosedur keamanan informasi. 3. Tahap analisa Pada tahap analisa dilakukan analisis kesenjangan, identifikasi dan evaluasi risiko serta evaluasi kontrol. 4. Tahap penyelesaian Pada tahap penyelesaian dilakukan penyusuan prosedur keamanan informasi yang dijadikan sebagai rekomendasi perbaikan manajemen keamanan informasi pada sistem provisioning gateway Telkom Flexi.

Tahapan penelitian dapat dilihat pada gambar di bawah ini:



34

Perumusan Masalah Tahap Perencanaan

Studi Literatur

Wawancara & pengisian assessment checklist

Tahap Pengumpulan Data

Studi Dokumen Perusahaan

Gap Analysis

Identifikasi dan Evaluasi Risiko Tahap Analisa

Evaluasi Kontrol

Usulan perbaikan Manajemen Keamanan Sistem Informasi

Tahap Penyelesaian

Gambar 3.2 Tahapan Penelitian Universitas Indonesia


35

Penjelasan dari setiap aktivitas pada gambar tahapan penelitian di atas adalah sebagai berikut: 1. Melakukan perumusan masalah dimana di dalam perumusan masalah ini dijabarkan tentang permasalahan yang diteliti. Dalam perumusan masalah juga ditentukan ruang lingkup dan batasan manajemen keamanan informasi yang menunjukan cakupan dari manajemen keamanan informasi yang diimplementasikan ataupun yang akan dievaluasi. 2. Melakukan studi literatur dengan mempelajari teori-teori yang relevan untuk melakukan analisis, diantaranya studi literatur mengenai manajemen risiko, keamanan informasi, ISO 27001:2005, serta studi literatur terkait penelitian-penelitian sejenis yang pernah dilakukan sebelumnya. 3. Pengumpulan data meliputi data primer dan data sekunder, diantaranya data hasil wawancara, pengamatan langsung, pengisian assessment checklist serta data perusahaan terkait sistem provisioning gateway. Pada tahap pengumpulan data dilakukan penilaian terhadap manajemen keamanan

sistem

informasi

yang

telah

ada

sebelumnya

untuk

mendapatkan gambaran mengenai tingkat kematangan manajemen keamanan sistem provisioning gateway saat ini. 4. Melakukan analisis kesenjangan manajemen risiko keamanan informasi yang ada saat ini dengan kontrol objektif yang ada pada ISO 27001:2005. Analisis kesenjangan dilakukan melalui assessment checklist yang disesuaikan dengan kontrol objektif ISO 27001:2005. 5. Melakukan identifikasi dan evaluasi risiko keamanan sistem informasi. Dalam identifikasi resiko, hal-hal yang dilakukan antara lain : a. Mengidentifikasi semua aset yang berhubungan dengan ruang lingkup sistem manajemen keamanan informasi serta orang atau pihak yang bertanggung jawab terhadap produksi, pengembangan, pemeliharaan, penggunaan, maupun keamanan dari aset tersebut.



36

b. Mengidentifikasi ancaman yang ada pada aset-aset tersebut c. Mengidentifikasi kerawanan yang mungkin dapat dieksploitasi d. Mengidentifikasi dampak dari kehilangan aspek-aspek kerahasiaan, integritas, dan ketersediaan yang ada pada aset tersebut. Sedangkan dalam evaluasi risiko, dilakukan pemetaan nilai kecenderungan (likelihood) dan analisa dampak bisnis dari ancaman dan kerawanan yang ada, serta mengukur level resiko yang ada saat ini (inherent risk). 6. Melalukan evaluasi kontrol untuk menentukan rekomendasi kontol yang perlu diterapkan dalam menjaga keamanan informasi sistem provisioning gateway, dilihat berdasarkan tingkat risiko yang didapat dari hasil identifikasi dan evaluasi risiko. 7. Rekomendasi perbaikan prosedur yang langsung dapat dijadikan acuan untuk melakukan perbaikan proses manajemen risiko keamanan informasi sistem provisioning gateway Telkom Flexi.



BAB 4 PROFIL PERUSAHAAN

Bab ini berisi uraian mengenai profil perusahaan, serta peran dan pembagian fungsi kerja yang dapat dilihat dari struktur organisasi. Profil yang diuraikan adalah profil dari Divisi Information System Center (ISC) sebagai pengembang, pengelola, dan penanggung jawab sistem provisioning gateway Telkom Flexi.

4.1. Gambaran Singkat Perusahaan PT Telekomunikasi Indonesia, Tbk (Telkom) merupakan Badan Usaha Milik Negara yang bergerak dalam bidang penyediaan layanan telekomunikasi dan jaringan di wilayah Indonesia. Sebagai perusahaan milik negara, saham Telkom mayoritas dimiliki oleh Pemerintah Republik Indonesia, sedangkan sisanya dimiliki oleh publik. Saham perusahaan ini diperdagangkan di Bursa Efek Indonesia (BEI), New York Stock Exchange (NYSE), London Stock Exchange (LSE) dan public offering without listing (POWL) di Jepang. Layanan telekomunikasi dan jaringan Telkom sangat luas dan beragam meliputi layanan dasar telekomunikasi domestik dan internasional, baik menggunakan jaringan kabel, nirkabel tidak bergerak (Code Division Multiple Access atau CDMA) maupun Global System for Mobile Communication (GSM) serta layanan interkoneksi antar operator penyedia jaringan. Di luar layanan telekomunikasi, Telkom juga berbisnis di bidang Multimedia berupa konten dan aplikasi, melengkapi

portofolio

bisnis

perusahaan

yang

disebut

TIMES

(Telecommunication, Information, Media, Edutainment, dan Services). Bisnis telekomunikasi merupakan fundamental platform bisnis Telkom yang bersifat legacy, sedangkan portofolio bisnis lainnya disebut sebagai new wave yang mengarahkan perusahaan untuk berinovasi pada produk berbasis kreatif digital.

37



38

4.2. Visi dan Misi Perusahaan Visi perusahaan : “Menjadi perusahaan yang unggul dalam penyelenggaraan TIMES di kawasan regional.” Misi perusahaan : •

Menyediakan layanan TIMES yang berkualitas tinggi dengan harga yang kompetitif.

•

Menjadi model pengelolaan korporasi terbaik di Indonesia.

4.3. Organisasi Divisi Information System Center (ISC) 4.3.1. Lingkup Peran Divisi Information System Center (ISC) Information System Center (ISC) adalah unit bisnis Telkom yang merupakan organisasi di bawah Direktorat IT, Solution & Supply yang memiliki peran sebagai pengelola sistem informasi untuk seluruh unit organisasi yang ada di Telkom. Untuk tercapainya kinerja sistem informasi perusahaan yang optimal, ISC dibentuk untuk menjalankan peran: a. Penyelenggara

dukungan

sistem

informasi

perusahaan

untuk

mengkondisikan efektifitas penyelenggaraan proses bisnis perusahaan; b. Penyelenggara operasi pendayagunaan sarana dan prasaranan TI dalam rangka mengimplementasikan kebijakan TI bisnis perusahaan pada lingkup TelkomGroup. Untuk mendukung peran tersebut, ISC mengelola aktivitas utama sebagai berikut: a. Pengembangan

aplikasi

untuk

dukungan

sistem

informasi

pada

penyelenggaraan proses bisnis perusahaan (aplikasi untuk pengelolaan pelanggan, infrastruktur bisnis, dan enterprise); b. Penyelenggaraan operasi pendayagunaan sarana dan prasarana TI; c. Penyelenggaraan operasi internet, customer data management, dan dukungan sistem informasi untuk bisnis dan enterprise; d. Pengelolaan fungsi technostructure untuk penyelenggaraan organisasi ISC; e. Pengimplementasian kebijakan perusahaan di bidang operasional TI; f. Pengembangan layanan operasional dan pemeliharaan TI yang ada;



39

g. Pengelolaan seluruh aplikasi sistem informasi di unit-unit kerja Telkom; h. Pengelolaan perubahan dan performansi TI yang ada; Pengelolaan temporary/transisi di bidang TI.

4.3.2. Struktur Organisasi Divisi Information System Center (ISC) Organisasi Information System Center (ISC) terdiri atas: 1. Pimpinan Information System Center (ISC) yaitu : a. Senior General Manager (SGM) ISC; b. Deputy Senior General Manager (Deputy SGM) ISC. 2. Pengelola fungsi-fungsi pengembangan Information System Center (ISC) yaitu : a. Bidang OSS Application Development; b. Bidang Business Application Development; c. Bidang Enterprise Application Development; d. Bidang Infrastructure Development. 3. Pengelola fungsi dukungan manajemen yaitu : a. Bidang Planning & Controlling; b. Bidang General Support. 4. Pengelola operasional dan layanan TI yaitu : a. Sub Unit IS CS; b. Sub Unit IS EWS; c. Sub Unit IS PO Service; d. Sub Unit IS PO Infrastructure; e. Sub Unit Customer Data Management; f. Sub Unit IS Service Support Management; g. Sub Unit IS Shared Service Operation; h. Sub Unit IS Business, Customer & Enterprise Operation.

Struktur organisasi Divisi Information System Center (ISC) dapat dilihat pada gambar di bawah ini:



40

Gambar 4.1 Struktur Organisasi Divisi IS Center



BAB 5 ANALISA DAN PEMBAHASAN

Bab ini berisi pemaparan mengenai analisa yang dilakukan melalui metodologi yang telah ditentukan sebelumnya, untuk menjawab permasalahan penelitian.

5.1. Penentuan Ruang Lingkup Langkah pertama dalam melakukan penilaian terhadap manajemen keamanan sistem informasi adalah menentukan ruang lingkup. Ruang lingkup adalah apa saja yang akan dinilai dan sejauh mana penilaian terhadap manajemen keamanan sistem informasi dilakukan. Dalam penelitian ini, ruang lingkup yang diteliti adalah sistem provisioning gateway Telkom Flexi, dimana ruang lingkup ini meliputi organisasinya, lokasinya, serta aset dan teknologi yang berhubungan dengan sistem provisioning gateway. Adapun ruang lingkup yang dimaksud di atas antara lain : 1. Organisasi, yaitu Telkom Flexi dan ISC (Information System Center) sebagai pemilik dan pengelola sistem provisioning gateway. 2. Lokasi, yaitu Ruang Server STO Gambir dan Ruang Server STO Kota. 3. Aset dan Teknologi, yaitu : a.

Teknologi, meliputi aplikasi i-Nefi, Server Nefi 1, Server Nefi 2, Load Balancer, Access Point, PC dan laptop, media penyimpanan, sistem operasi, basis data, antivirus, dan source code;

b.

Data dan informasi, meliputi user management, command management, konfigurasi routing, entity profile, log transaksi, SOP dan dokumen teknis;

c.

Pengguna layanan, meliputi system admin, staf operasional VaS, dan mitra kerja;

d.

Fasilitas pendukung, meliputi listrik, HVAC, UPS, dan CCTV.

41



42

5.2. Infrastruktur Teknologi Informasi Arsitektur teknologi sistem provisioning gateway Telkom Flexi saat ini dapat dilihat pada gambar di bawah ini.

Gambar 5.1 Infrastruktur Sistem Provisioning Gateway Telkom Flexi

i-NEFI sebagai provisioning gateway menggunakan teknologi sebagai berikut: 1. Java berbasis Spring framework yang sudah teruji kehandalannya dalam membangun sistem besar dengan pola MVC (Model, View, Controller) 2. Netbeans sebagai IDE (Interface Development Enviorenment) yang memungkinkan pembuatan solusi berbasis platform Java dengan biaya lisensi nol. 3. Protokol standar interfacing http post dan socket yang memungkinkan multi koneksi antara node dapat dilakukan secara akurat dan aman . 4. Web application server dimana aplikasi i-NEFI berbasis Spring dideploy. 5. Load Balancer sebagai penyedia fitur high availability pada server redundansi menggunakan metoda round-robin dengan pembobotan. 6. Database MySQL yang menggantikan database proprietary commercial.



43

5.3. Kondisi Manajemen Keamanan Sistem Informasi Saat Ini Untuk mendapatkan gambaran terhadap tingkat kematangan manajemen risiko keamanan sistem informasi yang telah diterapkan oleh organisasi terhadap sistem provisioning gateway, maka dilakukan pengamatan langsung dan wawancara dengan pihak terkait. Pengamatan langsung dan wawancara didasarkan pada assessment checklist, dimana didalamnya berisi pertanyaan-pertanyaan mengenai implementasi manajemen keamanan sistem informasi yang

mengacu kepada

domain dan kontrol yang ada pada ISO 27001:2002. Untuk setiap pertanyaan assessment diberi nilai dalam bentuk presentase dengan melihat kepada ada atau tidaknya prosedur, serta dijalankan atau tidaknya kontrol terkait keamanan sistem informasi. Acuan penilaian beserta keterangannya adalah sebagai berikut: Tabel 5.1 Penilaian Untuk Assessment Checklist Nilai (%) 0 25 50 75 100

Keterangan Prosedur belum ada dan belum ada kontrol yang dilaksanakan Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur Prosedur belum ada dan kontrol sudah dilaksanakan Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur

Pengisian assessment checklist dilakukan bersama dengan pihak dari Divisi IS Center yang mengembangkan dan mengelola sistem provisioning gateway Telkom Flexi. Pengisian assessment checklist dilakukan oleh responden melalui diskusi bersama. Kualifikasi responden adalah sebagai berikut:



44

Tabel 5.2 Kualifikasi Responden Responden Deskripsi 1 • Merupakan key person perihal teknis pengembangan dan pengelolaan sistem Provisioning Gateway • Menerima laporan secara rutin dari mitra terkait performansi sistem Provisioning Gateway 2 • Merupakan administrator aplikasi i-Nefi • Terlibat sejak awal dalam pengembangan sistem, mulai dari inisiasi, pengetesan, migrasi, dan go live aplikasi • Menerima laporan secara rutin dari mitra terkait performansi sistem Provisioning Gateway Daftar pertanyaan dan nilai sesuai nilai yang telah diisi dapat dilihat pada Lampiran 1 Karya Akhir ini.

5.4. Analisa Kesenjangan (Gap Analysis) Setelah seluruh pertanyaan assessment diberi nilai yang sesuai, nilai tersebut dikelompokan berdasarkan kontrol dan berdasarkan domain ISO 27001:2002. Nilai yang didapat kemudian dirata-rata dari setiap pertanyan assessment per kontrol dan per domain. Perhitungan tersebut dilakukan untuk melihat seberapa jauh

kesesuaian

implementasi

manajemen

keamanan

sistem

informasi

provisioning gateway Telkom Flexi dengan kontrol objektif dari ISO 27001:2002. Hasil perhitungan nilai kesesuaian atau kematangan per domain ISO 27001:2002 tersebut dapat dilihat pada Tabel 5.3. Dari tabel 5.3 di bawah ini dapat dilihat bahwa domain ISO 27001:2005 yang 100% sesuai dengan kontrol dan kontrol objektif adalah domain Security Policy. Ini berarti IS Center telah memiliki kebijakan keamanan informasi, dimana kebijakan yang dijadikan acuan keamanan informasi sistem provisioning gateway adalah kebijakan keamanan informasi perusahaan. Sedangkan nilai kesesuaian terendah berada pada domain Asset Management, dikarenakan belum ada prosedur dan pembagian kerja yang jelas terkait pengelolaan aset terkait sistem provisioning gateway, serta masih rendahnya kesadaran pihak-pihak yang terkait terhadap pentingnya mengelola aset perusahaan. Universitas Indonesia


45

Tabel 5.3 Nilai Kesesuaian Berdasarkan Domain Domain

Keadaan Saat Ini (%)

Security Policy

100,00

Organization of information security

77,38

Asset management

58,33

Human resources security

76,39

Physical and environmental security

79,58

Communications and operations management

66,00

Access Control

84,40

Information systems acquisition, development and maintenance

69,79

Information security incident management

77,08

Business continuity management

65,00

Compliance

73,61

Selain dilihat per domain, kondisi manajemen keamanan informasi sistem provisioning gateway juga dapat dilihat berdasarkan kontrol objektif, untuk melihat dengan lebih detail area ISO 27001 yang penerapannya belum maksimal pada sistem provisioning gateway ini. Nilai kesesuaian atau kematangan berdasarkan setiap kontrol objektif ISO 27001:2005 dapat dilihat pada Tabel 5.4. Dari perhitungan nilai kesesuaian, secara keseluruhan didapatkan bahwa tingkat kematangan manajemen risiko keamanan sistem provisioning gateway Telkom Flexi terhadap kontrol-kontrol ISO 27001:2005 adalah 75.23% yang didapat dari perhitungan rata-rata nilai kesesuaian (status) per domain.



46

Tabel 5.4 Nilai Kesesuaian Berdasarkan Kontrol Objektif Domain

Control Objectives

Status (%)

Security Policy

Information security policy

Organization of information security

Internal organization External parties

Asset management

Responsibility for assets Information classification

Human resources security

Prior to employment During employment Termination or change of employment

Physical and environmental security

Secure areas Equipment security

Communications and operations management

Operational procedures and responsibilities Third party service delivery management System planning and acceptance Protection against malicious and mobile code Back‐up Network security management Media handling Exchange of information Electronic commerce services Monitoring

Access Control

Business requirement for access control User access management User responsibilities Network access control Operating system access control Application and information access control Mobile computing & teleworking

Information systems acquisition, development and maintenance

Security requirements of information systems Correct processing in applications Cryptographic controls Security of system files Security in development and support processes Technical Vulnerability Management

Information security incident management

Reporting information security events and weaknesses Management of information security incidents and improvements

Business continuity management

Compliance

Information security aspects of business continuity management

100,00 100,00 71,43 83,33 77,38 66,67 50,00 58,33 83,33 62,50 83,33 76,39 80,00 79,17 79,58 70,00 83,33 62,50 62,50 75,00 91,67 75,00 65,00 ‐ 75,00 66,00 75,00 87,50 68,75 92,86 91,67 87,50 87,50 84,40 75,00 62,50 87,50 75,00 68,75 50,00 69,79 87,50 66,67 77,08 65,00

65,00 Compliance with legal requirements 83,33 Compliance with security policies and standards, 75,00 and technical compliance Information systems audit considerations 62,50 73,61



47

Dalam bentuk radar chart, dapat dilihat kesenjangan manajemen risiko keamanan sistem informasi per domain ISO 27001:2005 sebagai berikut:

Gambar 5.2 Chart Hasil Analisis Kesenjangan

5.5. Metode Analisa Risiko Analisa risiko merupakan proses untuk mengidentifikasi, memprioritaskan, dan memitigasi risiko. Dalam melakukan analisa risiko, beberapa tahapan yang dilakukan antara lain mengidentifikasi risiko yang dilihat dari ancaman dan kerawanan yang dapat timbul dari suatu aset serta dampak yang akan mempengaruhi bisnis perusahaan, melakukan evaluasi terhadap risiko, serta mengevaluasi beberapa pilihan penanganan risiko. Analisa risiko ini digunakan sebagai dasar pemilihan kontrol yang akan dilakukan dalam memitigasi risiko yang ada. 1. Melakukan identifikasi risiko, tahapan yang dilakukan antara lain: a. Identifikasi aset Aset-aset yang akan diidentifikasi adalah berupa aset teknologi, aset data dan informasi, aset fasilitas pendukung, serta aset sumber daya manusia. Aset-aset yang dinilai hanyalah aset yang Universitas Indonesia


48

mempunyai dampak bagi bisnis perusahaan bila kerahasiaan dan integritas dari aset tersebut dilanggar, serta ketersediaannya tidak terjamin.

b. Identifikasi ancaman dan kerawanan Pada proses ini dilakukan identifikasi terhadap ancaman dari setiap aset. Ancaman yang diidentifikasi ini kemudian dikorelasikan dengan aset yang telah diidentifikasi sebelumnya. Selanjutnya dilakukan pula identifikasi kerawanan dari aset dan dikorelasikan juga dengan ancaman yang ada.

c. Identifikasi dampak atas hilangnya kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) yang mungkin timbul dari aset. 2. Melakukan evaluasi terhadap risiko Evaluasi terhadap risiko dilakukan dengan cara menilai kecenderungan terjadinya kegagalan keamanan sistem informasi terkait dengan ancaman dan kerawanan, serta dampak yang berhubungan dengan aset, berikut dengan kontrol yang saat ini diimplementasikan. Tujuan dari evaluasi risiko adalah mendapatkan tingkat atau level tingginya risiko per aset sehingga nantinya dapat diputuskan perlakuan terhadap risiko, apakah risiko tersebut akan diterima dan dimitigasi, ditolak, atau ditransfer ke pihak lain. Di bawah ini dapat dilihat tabel parameter nilai kecenderungan terjadinya risiko. Tabel 5.5 Parameter Tingkat Kecenderungan Terjadi Risiko Insidentil

Peluang Terjadi

Jarang

Sedang

Sering

Kemungkinan Kemungkinan terjadi kurang dari 5 terjadi 6 ‐ 10 kali kali dalam 5 tahun dalam 5 tahun

Kemungkinan terjadi 11 ‐ 15 kali dalam 5 tahun

Mungkin terjadi

Hampir pasti terjadi

Kadang‐kadang terjadi



49

Sedangkan untuk kriteria tingkatan besarnya dampak risiko berdasarkan faktor finansial dan non finansial perusahaan dapat dilihat pada tabel di bawah ini. Tabel 5.6 Parameter Tingkat Dampak Risiko

Rendah

Sedang

Financial

Tinggi

Kerugian 0% < unconsolidated 0.25% < Aktual / monthly revenue ≤ unconsolidated Potensi / 0.25% monthly revenue ≤ Opportunity 2.5%

unconsolidated monthly revenue > 2.5%

Non Financial

Reputasi (area publikasi)

Publikasi negatif pada skala kabupaten / kota madya

Publikasi negatif pada skala provinsi

Publikasi negatif pada skala nasional

Gangguan operasional (waktu non operasi)

0 menit < downtime ≤ 1 menit

1 menit < downtime < 10 menit

downtime ≥ 10 menit

3. Melakukan pengukuran nilai risiko saat ini (inheren risk). Nilai inheren risk merupakan nilai yang menunjukan tingkat risiko pada aset dengan mengimplementasikan kontrol yang ada. Nilai inheren risk didapat dari hasil pemetaan nilai kecenderungan terjadinya risiko atau kegagalan keamanan sistem informasi (likelihood) serta nilai dampak (impact). Pengukuran tingkat risiko saat ini (inheren risk) dari hasil pemetaan tersebut dapat dilihat pada tabel di bawah ini.



50

Tabel 5.7 Pengukuran Nilai Inheren Risk

Kecenderungan (Likelihood)

Dampak (Impact)

Jarang (0.1)

Sedang (0.5)

Sering (1)

Rendah (10)

Rendah (10*0.1=1)

Sedang (10*0.5=5)

Sedang (10*1=10)

Sedang (50)

Sedang (50*0.1=5)

Tinggi (50*0.5=25)

Tinggi (50*1=50)

Tinggi (100)

Tinggi (100*0.1=10)

Tinggi (100*0.5=50)

Kritis (100*1=100)

Tingkat kecenderungan terjadinya risiko diberi nilai dengan skala 0.1 – 1, begitu pula tingkatan besaran dampak dari risiko diberi nilai 10 – 100. Dari nilai dampak dan kecenderungan tersebut, didapatkan nilai inheren risk dengan skala nilai 0 – 1 untuk Rendah, 5 – 10 untuk Sedang, 10 – 50 untuk Tinggi, dan 50 - 100 untuk Kritis.

4. Melakukan evaluasi kontrol dengan melihat kepada hasil analisa kesenjangan antara kondisi manajemen keamanan sistem informasi saat ini dengan kontrol dan kontrol objektif yang ada pada ISO 27001:2005. Kontrol dan kontrol objektif ISO 27001:2005 yang dipilih hanya yang relevan dengan ruang lingkup sistem provisioning gateway Telkom Flexi. Kontrol-kontrol yang tidak relevan akan dimasukan ke dalam Statemant of Applicability.

5. Melakukan pengukuran nilai risiko akhir (residual risk). Nilai residual risk merupakan nilai tingkat risiko yang diharapkan setelah menerapkan kontrol. Penentuan nilai residual risk juga berdasar kepada hasil pemetaan kecenderungan terjadinya risiko (likelihood) dan nilai dampak (impact). Pengukuran tingkat risiko akhir (residual risk) dari hasil pemetaan dampak dan kecenderungan setelah kontrol baru diterapkan dapat dilihat pada tabel di bawah ini. Universitas Indonesia


51

Tabel 5.8 Pengukuran Nilai Residual Risk

Kecenderungan (Likelihood)

Dampak (Impact)

Jarang (0.1)

Sedang (0.5)

Sering (1)

Rendah (10)

Hilang

Sedang (10*0.5=5)

Sedang (10*1=10)

Sedang (50)

Sedang (50*0.1=5)

Tinggi (50*0.5=25)

Tinggi (50*1=50)

Tinggi (100)

Tinggi (100*0.1=10)

Tinggi (100*0.5=50)

Kritis (100*1=100)

Sama seperti pengukuran nilai inheren risk, tingkat kecenderungan terjadinya risiko diberi nilai dengan skala 0.1 – 1, begitu pula tingkatan besaran dampak dari risiko diberi nilai 10 – 100. Dari nilai dampak dan kecenderungan tersebut, didapatkan nilai residual risk dengan skala nilai 5 – 10 untuk Sedang, 10 – 50 untuk Tinggi, dan 50 - 100 untuk Kritis. Apabila dampak yang diharapkan setelah implementasi kontrol menjadi rendah, dan kecenderungan menjadi jarang, maka dianggap risiko menjadi hilang.

5.6. Identifikasi Risiko Setelah mendapatkan gambaran terhadap tingkat kematangan manajemen keamanan sistem informasi provisioning gateway Telkom Flexi, selanjutnya dilakukan identifikasi terhadap risiko yang muncul terhadap obyek penelitian. Identifikasi risiko dilakukan dengan terlebih dahulu mengidentifikasi aset-aset apa saja yang terkait dengan obyek penelitian. Kemudian dilakukan identifikasi terhadap ancaman, kerawanan, dan dampak dari setiap aset tersebut.

5.6.1. Identifikasi Aset Berdasarkan pengamatan dan melihat arsitektur sistem provsioning gateway Tekom Flexi, maka didapat daftar aset yang berada dalam ruang lingkup sistem tersebut. Aset terbagi menjadi aset teknologi, aset data dan informasi, aset fasilitas Universitas Indonesia


52

pendukung, serta aset sumber daya manusia. Adapun aset-aset tersebut adalah sebagai berikut: Tabel 5.9 Daftar Aset No Aset Aset Teknologi 1 Aplikasi i‐NEFI 2 Server NEFI 1 3 Server NEFI 2 4 Load Balancer 5 Access Point 6 PC dan Laptop 7 Storage Device 8 Sistem Operasi (Ms. Windows Server 2003 & Windows XP) 9 MySQL 10 Antivirus 11 Source Code Aset Data dan Informasi 1 User management 2 Command management 3 Konfigurasi routing 4 Entity Profile 5 Log transaksi 6 SOP & Technical Document Aset Sumber Daya Manusia 1 Admin 2 User 3 Mitra Aset Pendukung 1 Ruang Server STO Gambir 2 Ruang Server STO Kota 3 Listrik 4 HVAC 5 UPS 6 CCTV

Klasifikasi

Pemilik

Vital Vital Vital Vital Important Important Important

ISC ISC ISC ISC ISC User ISC

Important

ISC

Important Important Important

ISC ISC ISC

Vital Vital Vital Secondary Important Important

ISC ISC ISC ISC ISC ISC

Vital Important Important

ISC ISC & DWB ‐

Vital Vital Vital Vital Important Secondary

DWB DWB DWB DWB DWB DWB

5.6.2. Identifikasi Ancaman dan Kerawanan Setelah aset yang berada dalam ruang lingkup obyek penelitian diidentifikasi, proses selanjutnya adalah melakukan identifikasi terhadap ancaman (threat) dan kerawanan (vulnerability) yang mungkin timbul dari masing-masing aset tersebut. Adapun kerawanan yang telah diidentifikasi adalah sebagai berikut:



53

Tabel 5.10 Identifikasi Kerawanan (Vulnerabilities) No. Kerawanan (Vulnerabilities) 1 Penggunaan dan pengamanan hak akses yang tidak tepat, seperti dilakukannya sharing password 2 Password dan user ID ditulis di sticky notes dan ditempel di beberapa PC 3 Tidak diperbaharuinya versi perangkat lunak dan patching yang terlambat 4 File sharing dilakukan melalui media yang tidak tepat, dan tanpa prosedur yang sesuai 5 Penyimpanan data dan informasi di media portable storage 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

Proses kerja utama masih bergantung pada sedikit orang (serta melekat ke orang, bukan posisi pekerjaan) Pemeliharaan sistem oleh pihak ketiga/mitra tidak terpantau Beberapa perangkat IT tidak terawat dengan baik Permintaan perubahan sistem sering tidak dilakukan melalui prosedur change request yang formal Penggunaan software bajakan di beberapa PC Access Control pintu ruangan tidak digunakan Meninggalkan perangkat kerja tanpa 'logout' (misal PC, laptop) Backup data tidak dijalankan secara rutin Kurangnya dokumentasi perubahan konfigurasi Kurangnya pengetahuan dan kesadaran SDM tentang keamanan sistem informasi Fasilitas pendukung kurang dikelola dengan baik (misal catu daya, pendingin ruangan) Penggunaan perangkat kerja pribadi untuk pengolahan informasi Dokumen hardcopy yang sifatnya rahasia diletakan di sembarang tempat Update antivirus di perangkat kerja yang tidak menggunakan antivirus resmi perusahaan, tidak dilakukan secara berkala Sering dilakukannya pengiriman data perusahaan menggunakan email publik (contoh: gmail, yahoo)

Kode V1 V2 V3 V4 V5 V6 V7 V8 V9 V10 V11 V12 V13 V14 V15 V16 V17 V18 V19 V20

Sedangkan ancaman yang telah diidentifikasi dari aset adalah sebagai berikut:



54

Tabel 5.11 Identifikasi Ancaman (Threat) No. Ancaman (Threat) 1 Akses yang tidak berhak dari pihak eksternal yang mengancam kerahasiaan ketersediaan, dan integritas data dan informasi

Kode T1

2

Akses yang tidak berhak dari pihak internal yang mengancam kerahasiaan ketersediaan, dan integritas data dan informasi

T2

3 4

Perusakan aset fisik secara disengaja Kerusakan perangkat keras, perangkat lunak, dan fasilitas pendukung SDM utama sakit, berhalangan hadir, atau resign Perubahan konfigurasi yang tidak terkontrol Server Overload Serangan virus, worm, atau trojan Manipulasi data, perubahan data yang tidak sah Kesalahan operasional yang dilakukan personel/staf/mitra Pencurian dokumen Pencurian perangkat Gempa bumi, kebakaran, kerusuhan

T3 T4

5 6 7 8 9 10 11 12 13

T5 T6 T7 T8 T9 T10 T11 T12 T13

5.7. Evaluasi Risiko Risiko-risiko yang telah diidentifikasi kemudian di evaluasi tingkat risikonya berdasarkan dampak dan kecenderungan untuk mendapatkan nilai risiko dasar (inheren risk). Sebelumnya terlebih dahulu dilakukan pemetaan kerawanan, ancaman, dan dampak apa saja yang ada pada masing-masing aset. Kemudian diidentifikasi kontrol apa saja yang telah dijalankan pada setiap aset tersebut. Langkah selanjutnya adalah memberikan penilaian terhadap kecenderungan dan dampak untuk setiap aset dengan acuan nilai seperti pada Tabel 5.4 dan Tabel 5.5. Setelah kecenderungan dan dampak diberi nilai, maka kemudian dilakukaan pengukuran nilai inheren risk berdasarkan pemetaan pada Tabel 5.6. Nilai inheren risk untuk setiap aset yang telah teridentifikasi adalah sebagai berikut.



55

Tabel 5.12 Nilai Inheren Risk No

Aset

Kerawanan (Vulnerabilities)

Ancaman (Threat)

Dampak (Impact)

Inheren

1 Aplikasi i‐NEFI

V1, V7, V9, V14

T1, T2, T6, T10 I1, I3, I4, I5

Tinggi 90

Tinggi 1

Nilai Risiko Dasar Kritis 90

2 Server NEFI 1

V1, V2, V3, V7, V8, V13

T1, T2, T3, T4, I1, I2, I3, I4, T7, T8, T12 I5, I6

Tinggi 100

Sedang 0.5

Tinggi 50

3 Server NEFI 2

V1, V2, V3, V7, T1, T2, T3, T4, I1, I2, I3, I4, T7, T8, T12 I5, I6 V8, V13 V1, V2, V3, V7, V8 T3, T4, T6, T8, I1 T12

Tinggi 100 Sedang 50

Sedang 0.5 Jarang 0.1

Tinggi 50 Sedang 5

V8

Rendah 10 Sedang 50

Jarang 0.1 Sedang 0.5

Rendah 1 Tinggi 25

Tinggi 100 Tinggi 100

Sedang 0.5 Jarang 0.1

Tinggi 50 Tinggi 10

Sedang 50 Sedang 50 Tinggi 100 Tinggi 100 Tinggi 100 Tinggi 100 Sedang 50 Sedang 50 Sedang 50 Tinggi 100 Tinggi 100 Tinggi 100 Tinggi 100 Tinggi 100 Tinggi 100 Sedang 50 Tinggi 100 Rendah 10

Sedang 0.5 Sedang 0.5 Jarang 0.1 Sedang 0.5 Tinggi 1 Sedang 0.5 Jarang 0.1 Sedang 0.5 Sedang 0.5 Sedang 0.5 Sedang 0.5 Sedang 0.5 Jarang 0.1 Jarang 0.1 Sedang 0.5 Jarang 0.1 Jarang 0.1 Jarang 0.1

Tinggi 25 Tinggi 25 Tinggi 10 Tinggi 50 Kritis 100 Tinggi 50 Sedang 5 Tinggi 25 Tinggi 25 Tinggi 50 Tinggi 50 Tinggi 50 Tinggi 10 Tinggi 10 Tinggi 50 Sedang 5 Tinggi 10 Rendah 1

4 Load Balancer 5 Access Point

T3, T4, T6, T12 I1, I6, I8

6 PC dan Laptop

7 8

9 10

V1, V2, V8, V10, T3, T4, T8, T12 I1, I6, I8 V11, V12, V17, V19 Storage Device V4, V5, V8, V13 T3, T4, T8, T11, I1, I2, I3, I4, I6 T12 Sistem Operasi (Ms. V3, V10 T8 I1 Windows Server 2003 & Windows XP) MySQL V1, V3, V13 T1, T2, T4, T8, I1, I3, I4, I5 T9, T10 Antivirus V3, V10, V19 T8 I1, I6, I8

11 Source Code

V2, V13, V15

12 User management

V1, V2, V13, V15 T1, T2, T9, T11 I1, I3, I4, I5

13 Command management 14 Konfigurasi routing

V2, V13, V14, V15 T1, T2, T9, T11 I1, I3, I4, I5

15 Entity Profile

V2, V13, V15

T1, T2, T9, T11 I1, I3, I4, I5

16 Log transaksi

V13

T1, T2, T9, T11 I1, I7

17 SOP & Technical Document 18 Staf Teknis

V5, V18

T1, T2, T9, T11 I1, I2, I8

V6, V12, V15, V17, V20 V6, V12, V15, V17, V20 V7, V12, V15, V17, V20 V11

T5, T10

I1, I3, I8

T5, T10

I1, I3, I8

T5, T10

I1, I2, I3, I8

T13

I1, I5

V11

T13

I1, I5

V16

T4

I1, I5

24 HVAC

V16

T4

I1, I5

25 UPS

V16

T4

I1, I5

26 CCTV

V16

T4, T12

I7

19 User 20 Mitra 21 Ruang Server STO Gambir 22 Ruang Server STO Kota 23 Listrik

T1, T2, T9, T11 I2

V2, V13, V14, V15 T1, T2, T9, T11 I1, I3, I4, I5

Dampak

Kecenderungan



56

Nilai inheren risk merupakan nilai tingkat risiko ketika pada saat kontrol yang ada saat itu diimplementasikan. Dari tabel di atas terlihat bahwa terdapat dua aset yang memiliki risiko kritis, dan 19 aset dengan nilai risiko tinggi. Untuk mengurangi risiko tersebut ke tingkat yang dapat diterima oleh perusahaan, maka perlu diimplementasikan kontrol yang tepat. Harapan tingkatan risiko setelah menerapkan kontrol baru adalah nilai dari residual risk. Nilai residual risk didapat melalui pemetaan dampak dan kecenderungan seperti pada Tabel 5.7. Berdasarkan pengukuran residual risk yang dilakukan, tidak ada lagi aset dengan nilai resiko kritis, sedangkan untuk jumlah aset dengan risiko tinggi turun menjadi 8 aset. Dari setiap kontrol dan kontrol objektif per aset, disusun rencana kerja dengan waktu penyelesaiannya. Implementasi rencana kerja akan dilakukan mulai dari triwulan 3 2013 sampai dengan triwulan 1 2014, tergantung kebutuhan biaya dan ketersediaan sumber daya manusia. Nilai residual risk untuk tiap-tiap aset dan serta kontrol dan kontrol objektif yang direkomendasikan

untuk

diterapkan

berikut

rencana

kerja

dan

target

penyelesaiannya dituangkan dalam satu tabel penilaian risiko (risk assessment) seperti pada Tabel 5.12 di bawah ini.



57

Tabel 5.13 Hasil Penilaian Risiko (Risk Assessment) No

Aset

Kerawanan Penanggung (Vulnerabilities Jawab Aset )

Ancaman (Threat)

Dampak (Impact)

Inheren Kontrol yang Ada

Dampak

Residual Strategi Rencana Implementasi Kecende‐ Nilai Risiko Mitigasi Kerja Rencana Kerja rungan Akhir Sedang Tinggi Accept ‐ A.10.4 Penyusunan 0.5 25 ‐ A.10.10 prosedur change management

Target Penyelesaia n

1 Aplikasi i‐NEFI

ISC

V1, V7, V9, V14 T1, T2, T6, T10 I1, I3, I4, I5

2 Server NEFI 1

ISC

V1, V2, V3, V7, T1, T2, T3, T4, I1, I2, I3, I4, ‐ Pengamanan T7, T8, T12 I5, I6 fisik server V8, V13 ‐ Pembagian user access

Tinggi 100

Sedang 0.5

Tinggi 50

Sedang 50

Sedang 0.5

Tinggi 25

Accept

‐ A.7.1 ‐ A.9.2 ‐ A.10.3

‐ Upgrade server memory ‐ Penyusunan prosedur Backup ‐ Penyusunan prosedur pengelolaan aset

Triwulan 4 ‐ 2013

3 Server NEFI 2

ISC

V1, V2, V3, V7, T1, T2, T3, T4, I1, I2, I3, I4, ‐ Pengamanan I5, I6 fisik server V8, V13 T7, T8, T12 ‐ Pembagian user access

Tinggi 100

Sedang 0.5

Tinggi 50

Sedang 50

Sedang 0.5

Tinggi 25

Accept

‐ A.7.1 ‐ A.9.2 ‐ A.10.3

Triwulan 4 ‐ 2013

4 Load Balancer

ISC

V1, V2, V3, V7, T3, T4, T6, T8, I1 V8 T12

‐ Pengamanan fisik ‐ Backup konfigurasi

Sedang 50

Jarang 0.1

Sedang 5

Rendah 10

Jarang 0.1

Hilang

Accept

‐ A.7.1 ‐ A.9.2 ‐ A.10.3

5 Access Point

ISC

V8

Pengamanan fisik

Rendah 10

Jarang 0.1

Rendah 1

Rendah 10

Jarang 0.1

Hilang

Accept

A.9.2

‐ Upgrade server memory ‐ Penyusunan prosedur Backup ‐ Penyusunan prosedur pengelolaan aset ‐ Penyusunan prosedur pengelolaan aset ‐ Penyusunan prosedur keamanan perangkat ‐ Penyusunan prosedur system planning & acceptance Penyusunan prosedur keamanan perangkat

T3, T4, T6, T12 I1, I6, I8

‐ Password management ‐ Session time‐ out

Kecende‐ Nilai Risiko Dampak rungan Dasar Tinggi Kritis Sedang 1 90 50

Tinggi 90



Triwulan 3 ‐ 2013

Triwulan 3 ‐ 2013

Triwulan 3 ‐ 2013

58

No

Aset


Ancaman (Threat)

Dampak (Impact)


Dampak

Residual Strategi Rencana Implementasi Kecende‐ Nilai Risiko Mitigasi Kerja Rencana Kerja rungan Akhir Jarang Sedang Accept ‐ A.9.2 ‐ Penyusunan 0.1 5 ‐ A.10.4 prosedur ‐ A.11.3 keamanan perangkat ‐ Update antivirus ‐ Penyusunan prosedur user responsibilities Jarang Sedang Accept ‐ A.10.7 ‐ Penyusunan 0.1 5 ‐ A.9.2 prosedur ‐ A.10.3 keamanan perangkat ‐ Penyusunan prosedur penanganan media ‐ Penyusunan prosedur system planning & acceptance

6 PC dan Laptop

User

V1, V2, V8, V10, T3, T4, T8, T12 I1, I6, I8 V11, V12, V17, V19

7 Storage Device

ISC

V4, V5, V8, V13 T3, T4, T8, T11, I1, I2, I3, I4, Backup berkala T12 I6

Tinggi 100

Sedang 0.5

Tinggi 50

Sedang 50

8 Sistem Operasi (Ms. Windows Server 2003 & Windows XP)

ISC

V3, V10

T8

Antivirus

Tinggi 100

Jarang 0.1

Tinggi 10

Sedang 50

Jarang 0.1

Sedang 5

Accept

A.10.4

9 MySQL

ISC

V1, V3, V13

T1, T2, T4, T8, I1, I3, I4, I5 T9, T10

Backup

Sedang 50

Sedang 0.5

Tinggi 25

Sedang 50

Jarang 0.1

Sedang 5

Accept

‐ A.10.4 ‐ A.10.3 ‐ A.11.3

10 Antivirus

ISC

V3, V10, V19

T8

Update secara otomatis

Sedang 50

Sedang 0.5

Tinggi 25

Sedang 50

Jarang 0.1

Sedang 5

Accept

A.10.4

I1

I1, I6, I8

Sedang 50

Kecende‐ Nilai Risiko Dampak rungan Dasar Sedang Tinggi Sedang 0.5 25 50

‐ Pengamanan fisik ‐ Password management



Target Penyelesaia n Triwulan 4 ‐ 2013

Triwulan 4 ‐ 2013

Triwulan 3 ‐ ‐ Penyusunan 2013 prosedur keamanan terhadap malicious code dan mobile code ‐ Update antivirus Triwulan 4 ‐ ‐ Penyusunan prosedur 2013 keamanan terhadap malicious code dan mobile code Update antivirus Triwulan 3 ‐ 2013

59

No

Aset


11 Source Code

ISC

V2, V13, V15

12 User management

ISC

13 Command management

Ancaman (Threat)

Dampak (Impact)

T1, T2, T9, T11 I2


Dampak

Kecende‐ Nilai Risiko Dampak rungan Dasar Jarang Tinggi Sedang 0.1 10 50

Backup

Tinggi 100

V1, V2, V13, V15 T1, T2, T9, T11 I1, I3, I4, I5

Pergantian password berkala

Tinggi 100

Sedang 0.5

Tinggi 50

Tinggi 100

ISC

V2, V13, V14, V15

T1, T2, T9, T11 I1, I3, I4, I5

‐ Backup ‐ Password management

Tinggi 100

Tinggi 1

Kritis 100

Tinggi 100

14 Konfigurasi routing

ISC

V2, V13, V14, V15

T1, T2, T9, T11 I1, I3, I4, I5

Backup konfigurasi

Tinggi 100

Sedang 0.5

Tinggi 50

Tinggi 100

15 Entity Profile

ISC

V2, V13, V15

T1, T2, T9, T11 I1, I3, I4, I5

Backup

Sedang 50

Jarang 0.1

Sedang 5

Rendah 10

16 Log transaksi

ISC

V13

T1, T2, T9, T11 I1, I7

Pencatatan log transaksi

Sedang 50

Sedang 0.5

Tinggi 25

Sedang 50

Target Residual Strategi Rencana Implementasi Penyelesaia Kecende‐ Nilai Risiko Mitigasi Kerja Rencana Kerja n rungan Akhir Triwulan 4 ‐ Jarang Sedang Accept ‐ A.12.4 ‐ Penyusunan 2013 0.1 5 ‐ A.10.5 prosedur keamanan system files ‐ Pembelian Backup tape Triwulan 4 ‐ Jarang Tinggi Accept ‐ A.10.5 ‐ Penyusunan 0.1 10 ‐ A.11.3 prosedur back‐up 2013 ‐ Pembelian Backup tape ‐ Penyusunan prosedur user responsibilities Sedang Tinggi Accept ‐ A.10.5 ‐ Penyusunan Triwulan 4 ‐ 0.5 50 ‐ A.11.3 prosedur back‐up 2013 ‐ Pembelian Backup tape ‐ Penyusunan prosedur user responsibilities Triwulan 4 ‐ Jarang Tinggi Accept ‐ A.10.5 ‐ Penyusunan 0.1 10 ‐ A.11.3 prosedur back‐up 2013 ‐ Pembelian Backup tape ‐ Penyusunan prosedur user responsibilities Triwulan 1 ‐ Jarang Hilang Accept A.10.1 Penyusunan 0.1 prosedur tanggung 2014 jawab dan prosedur operasional Jarang Sedang Accept A.10.10 Penyusunan Triwulan 1 ‐ 0.1 5 prosedur 2014 monitoring



60

No

Aset


Ancaman (Threat)

Dampak (Impact)


Dampak

Kecende‐ Nilai Risiko Dampak rungan Dasar Sedang Tinggi Sedang 0.5 25 50

17 SOP & Technical Document

ISC

V5, V18

T1, T2, T9, T11 I1, I2, I8

Backup

Sedang 50

18 Staf Teknis

ISC

V6, V12, V15, V17, V20

T5, T10

I1, I3, I8

Pelatihan

Tinggi 100

Sedang 0.5

Tinggi 50

Sedang 50

ISC & DWB V6, V12, V15, V17, V20

T5, T10

I1, I3, I8

Prosedur operasional

Tinggi 100

Sedang 0.5

Tinggi 50

Sedang 50

V7, V12, V15, V17, V20

T5, T10

I1, I2, I3, I8

Perjanjian Kerja Sama

Tinggi 100

Sedang 0.5

Tinggi 50

Sedang 50

V11

T13

I1, I5

Pintu ruang server dilengkapi dengan kartu akses

Tinggi 100

Jarang 0.1

Tinggi 10

Tinggi 100

19 User

20 Mitra

21 Ruang Server STO Gambir

‐

DWB

Target Residual Strategi Rencana Implementasi Penyelesaia Kecende‐ Nilai Risiko Mitigasi Kerja Rencana Kerja n rungan Akhir Jarang Sedang Accept A.10.1 Penyusunan Triwulan 3 ‐ 0.1 5 prosedur tanggung 2013 jawab dan prosedur operasional Triwulan 1 ‐ Jarang Sedang Accept ‐ A.8.2 ‐ Penyunan 2014 0.1 5 ‐ A.8.3 prosedur ‐ A.11.3 keamanan SDM ‐ Pengadaan pelatihan keamanan informasi ‐ Penyusunan prosedur user responsibilities Triwulan 1 ‐ Jarang Sedang Accept ‐ A.8.2 ‐ Penyunan 0.1 5 ‐ A.8.3 prosedur 2014 ‐ A.11.3 keamanan SDM ‐ Pengadaan pelatihan keamanan informasi ‐ Penyusunan prosedur user responsibilities Jarang Sedang Accept ‐ A.8.2 ‐ Penyusunan Triwulan 1 ‐ 0.1 5 ‐ A.8.3 prosedur 2014 ‐ A.11.3 keamanan SDM ‐ Penyusunan prosedur user responsibilities Jarang Tinggi Accept A.9.1 Penyusunan Triwulan 1 ‐ 0.1 10 prosedur 2014 keamanan fisik dan lingkungan



61

No

Aset


Ancaman (Threat)

Dampak (Impact)


Dampak

Kecende‐ Nilai Risiko Dampak rungan Dasar Jarang Tinggi Tinggi 0.1 10 100

Residual Strategi Rencana Implementasi Kecende‐ Nilai Risiko Mitigasi Kerja Rencana Kerja rungan Akhir Jarang Tinggi Accept A.9.1 Penyusunan 0.1 10 prosedur keamanan fisik dan lingkungan

22 Ruang Server STO Kota

DWB

V11

T13

I1, I5

Pintu ruang server dilengkapi dengan kartu akses

Tinggi 100

23 Listrik

DWB

V16

T4

I1, I5

UPS

Tinggi 100

Sedang 0.5

Tinggi 50

Sedang 50

Sedang 0.5

Tinggi 25

Accept

A.9.2

24 HVAC

DWB

V16

T4

I1, I5

Maintenance staff

Sedang 50

Jarang 0.1

Sedang 5

Sedang 50

Jarang 0.1

Sedang 5

Accept

A.9.2

25 UPS

DWB

V16

T4

I1, I5

Backup UPS

Tinggi 100

Jarang 0.1

Tinggi 10

Sedang 50

Jarang 0.1

Sedang 5

Accept

A.9.2

26 CCTV

DWB

V16

T4, T12

I7

Pengamanan fisik

Rendah 10

Jarang 0.1

Rendah 1

Rendah 10

Jarang 0.1

Hilang

Accept

A.9.2



Penyusunan prosedur keamanan fisik dan lingkungan Penyusunan prosedur keamanan fisik dan lingkungan ‐ Penyusunan prosedur keamanan fisik dan lingkungan ‐ Pembelian UPS tambahan untuk beberapa lokasi Penyusunan prosedur keamanan fisik dan lingkungan

Target Penyelesaia n Triwulan 1 ‐ 2014

Triwulan 1 ‐ 2014

Triwulan 1 ‐ 2014

Triwulan 1 ‐ 2014

Triwulan 1 ‐ 2014

62

5.8. Pemilihan Kontrol dan Statement of Applicability (SOA) Untuk menurunkan tingkat risiko ke tingkat yang dapat diterima oleh perusahaan, maka

beberapa

kontrol

dan

kontrol

objektif

dari

ISO

97001:2005

direkomendasikan kepada perusahaan untuk diterapkan. Kerangka kerja keamanan informasi serta kebijakan dan prosedur untuk masing-masing kontrol dan kontrol objektif tersebut akan dirancang sebagai acuan bagi perusahaan untuk mengimplementasikan perbaikan manajamen keamanan sistem informasi. Kontrol ISO 27001:2005 yang direkomendasikan sesuai dengan hasil gap analysis dan evaluasi risiko adalah sebagai berikut: Tabel 5.14 Rekomendasi Kontrol No. 1 2 3 4 5 6 7 8 9 10 11 12 13

Control Objectives Responsibility for assets Information classification During employment Secure areas Equipment security Operational procedures and responsibilities System planning and acceptance Protection against malicious and mobile code Back-up Media handling Monitoring User responsibilities Security of system files

Untuk setiap kontrol di atas, direkomendasikan pula prosedur keamanan informasi sehingga dapat langsung diterapkan pada pengelolaan keamanan informasi sistem provisioning gateway Telkom Flexi. Prosedur-prosedur untuk kontrol tersebut merupakan penambahan atau perbaikan dari kebijakan keamanan informasi perusahaan yang telah ada dan masih berlaku, sehingga prosedur yang baru dapat mengakomodir kebutuhan operasional dan relevan dengan kondisi sistem Provisioning Gateway. Universitas Indonesia


63

Penjelasan dari 13 rekomendasi kontrol yang diberikan di atas adalah sebagai berikut:

1. Responsibility for assets Dari hasil assessment checklist yang dilakukan, diketahui bahwa inventarisasi aset terkait sistem provisioning gateway Telkom Flexi belum dilakukan dengan baik. Oleh karena itu perlu adanya prosedur dan pembagian tanggung jawab yang jelas untuk pengelolaan aset.

2. Information Classification Informasi terkait sistem provisioning gateway belum diklasifikasi sesuai dengan nilai, persyaratan hukum, sensitivitas dan kritikalitasnya terhadap organisasi. Selain itu pelabelan informasi juga belum sepenuhnya dilakukan, kecuali pada informasi Nota Dinas yang pelabelannya dilakukan secara otomatis lewat sistem. Oleh karena itu klasifikasi informasi dan pelabelan informasi non Nota Dinas perlu dilakukan seseuai kebijakan keamanan informasi yang ada.

3. During employment Personil atau karyawan yang menangani operasional sistem provisioning gateway belum dibekali dengan pelatihan security awareness, sehingga kesadaran sumber daya manusia terkait keamanan informasi masih kurang. Dibuktikan dengan masih seringnya pertukaran informasi dilakukan melalui media email publik, serta tidak dijalankannya clear desk policy. Untuk itu direkomendasikan diadakannya pelatihan keamanan informasi untuk personil atau karyawan yang mengelola sistem provisioning gateway.

4. Secure areas Area kerja IS Center sudah dilengkapi dengan pengamanan akses berupa access card, sehingga kemungkinan pihak-pihak luar memasuki area kerja Universitas Indonesia


64

dapat dihindari. Penggunaan access card hanya perlu lebih ditertibkan, pintu harus ditutup kembali setelah dibuka dan larangan untuk meminjamkan access card ke pihak yang tidak berhak.

5. Equipment security Rekomendasi untuk kontrol pengamanan perangkat adalah pengadaan fasilitas pendukung yang dapat melindungi perangkat, misalnya berupa backup catu daya, penempatan perangkat pada area yang aman yang tidak dapat diakses oleh sembarang orang.

6. Operational procedures and responsibilities Kontrol yang perlu diperbaiki untuk Operational procedures and responsibilities adalah prosedur untuk pengelolaan perubahan terhadap sistem, sehingga permintaan perubahan sistem dapat dilakukan melalui prosedur dan approval berjenjang. Hal ini juga betujuan agar dokumentasi perubahan tercatat dengan baik.

7. System planning and acceptance Penggunaan sumber daya harus dimonitor, disesuaikan dan dilakukan proyeksi kebutuhan kapasitas untuk memastikan performansi sistem. Pengelolaan kapasitas yang paling penting dilakukan adalah pada server iNefi dikarenakan untuk sistem provisioning gateway hanya menggunakan dua buah server sehingga perlu direkomendasikan untuk menambahkan memori pada server atau penambahan server baru.

8. Protection against malicious and mobile code Penggunaan mobile code diijinkan, oleh karena itu harus ada prosedur untuk memastikan bahwa mobile code yang sah beroperasi sesuai dengan kebijakan keamanan yang ditetapkan secara jelas, dan penggunaan mobile code yang tidak sah harus dicegah.



65

9. Back-up Informasi dari sistem harus dibackup secara berkala. Beberapa data informasi sudah dilakukan back-up oleh mitra sebagai bagian dari perjanjian kerja untuk maintenance. Namun direkomendasikan agar dapat menggunakan media tape sebagai media backup dari media tape ke server sehingga kualitas backup informasi lebih baik.

10. Media handling Belum ada prosedur untuk manajemen removable media, contohnya USB, disk, memory card, hard disk eksternal, dan lain-lain, sehingga perlu disusun prosedur untuk penanganan media tersebut, termasuk prosedur untuk pemusnahan media untuk menghindari penyalahgunaan media yang sudah tidak digunakan lagi.

11. Monitoring Prosedur untuk pemantauan penggunaan fasilitas pengolahan informasi harus ditetapkan dan dijalankan, serta fasilitas pencatatan log dan informasi harus dijaga dari akses yang tidak berhak.

12. User responsibilities Harus ada arahan yang jelas kepada karyawan, pengguna, maupun mitra mengenai kebijakan clear desk terhadap kertas dan removable media.

13. Security of system files Akses ke source code harus dibatasi, termasuk akses ke sistem file.

Untuk kontrol-kontrol ISO 27001:2005 yang tidak dapat diimplementasikan karena tidak relevan dengan ruang lingkup sistem provisioning gateway akan dimasukan ke dalam dokumen Statement of Applicability (SOA), terlampir pada Lampiran 2.



BAB 6 KESIMPULAN DAN SARAN

6.1. Kesimpulan Kesimpulan yang didapat dari penelitian ini, antara lain : 1. Dari hasil analisis kesenjangan yang dilakukan terhadap manajemen risiko keamanan informasi, dapat disimpulkan bahwa tingkat kematangan manajemen risiko keamanan informasi sistem provisioning gateway Telkom Flexi adalah sebesar 75.23%. Domain pengelolaan aset (Asset Management) saat ini masih lemah, yaitu dengan tingkat kematangan sebesar 58.33%. Kebijakan dari perusahaan terkait pengelolaan aset sudah tersedia, namun pelaksanaannya masih kurang atau tidak konsisten. Sedangkan untuk domain ISO 27001:2005 yang sudah diimplementasikan secara penuh adalah domain Security Policy. Saat ini kebijakan untuk keamanan informasi sistem provisioning gateway Telkom Flexi mengacu kepada kebijakan yang dikeluarkan perusahaan. 2. Setelah dilakukan risk assessment, disimpulkan bahwa terdapat 13 kontrol objektif

ISO 27001:2005 yang direkomendasikan untuk diterapkan

perusahaan guna perbaikan terhadap manajemen risiko keamanan sistem provisioning gateway Telkom Flexi. 3. Kontrol yang paling dahulu akan diterapkan dengan mempertimbangkan tingkat risiko dan ketersediaan sumber daya adalah penyusunan dan pengesahan seluruh prosedur, upgrade memori server, dan melakukan update antivirus untuk seluruh perangkat yang antivirusnya tidak menggunakan antivirus resmi perusahaan. Rencana kerja akan dijalankan mulai dari Triwulan 3 2013 sampai dengan Triwulan 1 2014.

66



67

6.2. Saran Untuk penelitian selanjutnya, dapat dilakukan analisis terhadap manfaat dan biaya dengan melakukan kuantifikasi terhadap dampak dari diimplementasikan atau tidak diimplementasikannya kontrol, sehingga kontrol yang dipilih merupakan kontrol yang paling memberikan manfaat terbesar dengan biaya yang terendah, tanpa tidak mengabaikan tingkat risiko apabila kontrol tidak diterapkan.



68

DAFTAR PUSTAKA

C.Alberts, A.Dorofee. (2002). Managing Information Security Risks: The OCTAVESM Approach, Addison Wesley, USA. Al’Rayid, Yuliansyah. (2009). Analisa dan Kajian Model Kerangka Kerja Manajemen Risiko Teknologi Informasi Studi Kasus Pada PT. Rajawali Nusantara Indonesia”. Burch, John G., Felix R. Strater. (1974). Practice. Hamilton Publishing Company.

Information System: Theory and

BSI-Standard 100-1. (2008). Information Security Management System (ISMS). Davis, Gordon B. (1974). Management Information System: Conceptual Foundation, Structure, and Development, McGraw-Hill International Book Company. ISACA. (2011). Certified Information Security Manager : Review Manual 2011. ISACA. ISO/IEC 27001. (2005). Information Technology – Security Techniques – Information Security Management Systems – Requirements. 2005. International Organization for Standardization. (2009). Guide 73 Risk Management – Vocabulary. The IT Governance Institute. (2005). COBIT 4.0. USA. Silitonga, Vinicio Vasquera. (2012). Perancangan Manajemen Risiko di PT. XYZ Menggunakan Metode NIST 800-30. Stoneburner, Gary., Alice Gouguen & Alexis Feringa. (2012). Risk Management Guide for Information Technology System – Recomendatio of the National Institute of Standards and technology. NIST. Syafrizal, M. (2007). ISO 17799 : Standar Sistem Manajemen Keamanan Informasi. Seminar Nasional Teknologi.



Vaughan, Emmet., Therese M Vaughan. (2008). Fundamentals of Risk and Insurance. John Wiley & Sons Ltd. Vose, David. (2000). Risk Analysis – A Quantitative Guide. John Wiley & Sons Ltd. Winarto, Arief Budi. (2012). Evaluasi Kinerja Manajemen Risiko Keamanan Informasi Charging System Studi Divisi PT. XYZ. 2012

69



LAMPIRAN

70



LAMPIRAN 1 ASSESSMENT CHECKLIST

L-1


Assessment Checklist Scoring System : Keterangan Bobot (%) Prosedur belum ada dan belum ada kontrol yang dilaksanakan 0 Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur 25 Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan 50 Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur 75 Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur 100 Referensi ISO 27001 Checklist

Standard

Area Assessment, Tujuan dan Pertanyaan Area

Pertanyaan Assessment

Hasil Assessment Nilai

Security Policy 1.1

1.1.1

1.1.2

5.1

5.1.1

5.1.2

Information security policy Information security policy document

Review of the information security policy

Apakah dokumen terkait kebijakan keamanan informasi telah disahkan oleh manajemen, dan dipublikasikan serta dikomunikasikan kepada seluruh karyawan dan pihak eksternal yang terkait ? Apakah ada dilakukan peninjauan terhadap kebijakan keamanan informasi tiap rentang waktu tertentu yang telah ditetapkan atau ditinjau setiap terjadinya perubahan-perubahan yang signifikan, demi memastikan kesesuaian, kecukupan, dan efektifitas keamanan informasi yang berkelanjutan ?


100

100

Assessment Checklist Scoring System : Keterangan Bobot (%) Prosedur belum ada dan belum ada kontrol yang dilaksanakan 0 Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur 25 Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan 50 75 Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur 100 Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur

Referensi ISO 27001 Checklist

Standard




Organization of information security 2.1 6.1 Internal organization 2.1.1

6.1.1

2.1.2

6.1.2

2.1.3

6.1.3

2.1.4

6.1.4

2.1.5

6.1.5

2.1.6

6.1.6

Management commitment Apakah manajemen secara aktif mendukung keamanan sistem melalui arahan yang jelas, menunjukan komitmen, penugasan yang jelas dan to sadar akan tanggung jawabnya terhadap keamanan sistem ? information security Information security coordination Allocation of information security responsibilities Authorization process for information processing facilities

Apakah aktivitas keamanan informasi sudah dikoordinasikan dengan wakil-wakil dari unit lain sesuai dengan peran dan fungsi kerjanya masing-masing? Apakah seluruh tanggung jawab terkait keamanan informasi sudah ditetapkan dengan jelas? Apakah proses otorisasi manajemen untuk fasilitas pengolahan informasi baru di dalam organisasi sudah ditetapkan dan diimplementasikan ?

Apakah persyaratan untuk kerahasiaan atau Non-Disclosure Confidentiality agreements Agreement (NDE) yang mencerminkan kebutuhan organisasi untuk perlindungan informasi sudah diidentifikasi dan dikaji secara berkala ? Contact with authorities

Apakah komunikasi dengan pihak yang terkait dengan keamanan sistem dikelola dengan baik ?


100

75 75 50

75

75

Referensi ISO 27001




Checklist

Standard

2.1.7

6.1.7

Contact with special interest Apakah komunikasi dengan special interest group atau forum security groups specialist dan asosiasi profesi dikelola dengan baik ?

NA

2.1.8

6.1.8

Apakah pendekatan organisasi untuk mengelola keamanan informasi / keamanan sistem dan implementasinya (kontrol, kebijakan, proses, dan prosedur) sudah ditinjau secara independen pada interval waktu tertentu atau pada saat terjadi perubahan signifikan terhadap implementasi keamanan sistem ?

50

2.2

6.2

2.2.1

6.2.1

2.2.2

6.2.2

2.2.3

6.2.3

Independent review of information security

External parties Apakah resiko terhadap informasi organisasi dan fasilitas pengolahan Identification of risks related informasi dari proses bisnis yang melibatkan pihak-pihak eksternal sudah diidentifikasi dan sudah diterapkan kontrol-kontrol yang sesuai to external parties sebelum memberikan akses kepada pihak eksternal ? Addressing security when dealing with customers

Apakah seluruh persyaratan keamanan yang diidentifikasi sudah ditekankan sebelum memberikan akses kepada pelanggan / user ?

Apakah perjanjian dengan pihak ketiga meliputi pengaksesan, pengolahan, pengkomunikasian atau pengelolaan informasi organisasi Addressing security in third atau fasilitas pengolahan informasi, atau penambahan produk atau party agreements jasa ke dalam fasilitas pengolahan informasi sudah mencakup seluruh persyaratan keamanan yang relevan ?


50

100

100

Assessment Checklist Scoring System : Keterangan Bobot (%) Prosedur belum ada dan belum ada kontrol yang dilaksanakan 0 Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur 25 Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan 50 Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur 75 Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur 100


Standard




Asset management 3.1

7.1

3.1.1

7.1.1

3.1.2

7.1.2

3.1.3

7.1.3

3.2

7.2

3.2.1

7.2.1

Responsibility for assets Inventory of assets

Apakah seluruh aset sudah diidentifikasi dengan jelas dan inventaris dari seluruh aset penting sudah dicatat dan dipelihara ?

50

Ownership of assets

Apakah manajemen secara resmi sudah menunjuk suatu unit atau bagian organisasi untuk mengontrol produksi, pengembangan, pemeliharaan, penggunaan, dan keamanan seluruh informasi dan aset terkait fasilitas pengolahan informasi?

75

Acceptable use of assets

Apakah peraturan penggunaan informasi dan aset terkait dengan fasilitas pengolahan informasi sudah diidentifikasi, didokumentasikan dan diimplementasikan ?

75

Apakah informasi sudah diklasifikasi sesuai dengan nilai, persyaratan hukum, sensitivitas dan kritikalitasnya terhadap organisasi?

50

Information classification Classification guidelines


Referensi ISO 27001

Area Assessment, Tujuan dan Pertanyaan

Hasil Assessment

Checklist

Standard

Area


Nilai

3.2.2

7.2.2

Information labelling and handling

Apakah prosedur-prosedur untuk pelabelan dan penanganan informasi sudah dikembangkan dan diimplementasikan sesuai dengan skema klasifikasi yang diadopsi oleh organisasi ?

50


Assessment Checklist Scoring System : Keterangan Bobot (%) Prosedur belum ada dan belum ada kontrol yang dilaksanakan 0 Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur 25 Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan 50 Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur 75 100 Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur Referensi ISO 27001 Checklist


Standard



Human resources security 4.1

8.1

4.1.1

8.1.1

4.1.2

8.1.2

4.1.3

4.2

Prior to employment

8.1.3

8.2

Roles and responsibilities

Apakah peran dan tanggung jawab dari pegawai, kontraktor dan user dari pihak ketiga terhadap keamanan sudah ditetapkan dan didokumentasikan sesuai dengan kebijakan keamanan informasi sistem ?

100

Screening

Apakah ada dilakukan verifikasi profil seluruh calon pegawai, kontraktor, dan pengguna dari pihak ketiga berdasarkan hukum dan undang-undang serta etika yang berlaku dan proporsional terhadap persyaratan bisnis, klasifikasi informasi yang diakses dan risiko yang ada ?

75

Sebagai bagian dari kontrak, apakah karyawan, pegawai dan kontraktor menandatangani terms and conditions dalam kontrak kerja mereka, dimana di dalamnya menyebutkan tanggung jawab mereka terhadap keamanan informasi ?

75

Terms and conditions of employment

During employment


Referensi ISO 27001


Checklist

Standard

Area

4.2.1

8.2.1

Management responsibilities


Apakah manajemen sudah mensyaratkan pegawai, kontraktor dan user dari pihak ketiga untuk menerapkan keamanan sesuai kebijakan dan prosedur organisasi yang ditetapkan ?

4.2.2

8.2.2

Information security awareness, education and training

4.2.3

8.2.3

Disciplinary process

4.3 4.3.1

4.3.2

4.3.3

Apakah seluruh pegawai dan, jika relevan, kontraktor dan user dari pihak ketiga, sudah menerima pelatihan kepedulian dan informasi terkini secara reguler terkait kebijakan dan prosedur, sesuai dengan fungsi kerjanya? Apakah ada proses pendisiplinan yang resmi untuk pegawai yang melakukan pelanggaran keamanan ?


75

50

NA

Termination or change of employment

8.3 8.3.1

8.3.2

8.3.3

Termination responsibilities

Return of assets

Removal of access rights

Apakah tanggung jawab untuk melaksanakan pengakhiran atau perubahan pekerjaan sudah ditetapkan dengan jelas? Apakah seluruh pegawai, kontraktor dan user dari pihak ketiga harus mengembalikan semua aset organisasi yang digunakannya apabila kontrak atau perjanjian dengan mereka berakhir ? Apakah hak akses seluruh pegawai, kontraktor dan user dari pihak ketiga terhadap informasi dan fasilitas pengolahan informasi ditarik atau dihapus ketika pekerjaan, kontrak atau perjanjian berakhir ?


75

100

75



Standard


Hasil Assessment


Nilai

Physical security perimeter

Apakah terdapat perlindungan secara fisik terhadap area yang mengandung informasi dan fasilitas pengolahan informasi (contohnya dinding, card controlled door, atau petugas keamanan)

75

Physical entry controls

Apakah area yang menyimpan informasi sudah dilindungi oleh entry control untuk memastikan bahwa hanya pihak yang berwenang yang dapat memasuki area tersebut

75

Physical and environmental security 5.1 9.1 Secure areas 5.1.1

9.1.1

5.1.2

9.1.2

5.1.3

9.1.3

5.1.4

9.1.4

5.1.5

9.1.5

5.2

9.2

Securing offices, rooms and Apakah sistem keamanan fisik untuk kantor, ruangan, dan fasilitas lainnya sudah dirancang dan diterapkan ? facilities Apakah perlindungan fisik terhadap kerusakan akibat dari kebakaran, Protecting against external banjir, gempa bumi, ledakan, kerusuhan dan bentuk lain dari bencana and environmental threats alam atau bencana buatan manusia sudah dirancang dan diterapkan? Working in secure areas

Apakah perlindungan fisik dan pedoman kerja dalam area yang aman sudah dirancang dan diterapkan?

Equipment security


75

100

75


5.2.1

5.2.2

5.2.3

5.2.4


Hasil Assessment

Standard

Area


Nilai

9.2.1

Equipment siting and protection

Apakah peralatan/perangkat sudah ditempatkan atau dilindungi untuk mengurangi risiko dari ancaman dan bahaya lingkungan serta peluang untuk akses oleh pihak yang tidak berwenang?

75

Apakah peralatan/perangkat sudah dilindungi dari kegagalan catu daya dan gangguan lain yang disebabkan oleh kegagalan sarana pendukung?

100

Apakah cadangan power supply sudah dipergunakan (misal : beda catuan gardu listrik, auto backup generator, UPS) ?

100

Apakah kabel power dan kabel telekomunikasi yang membawa data atau informasi pendukung sudah dilindungi dari intersepsi atau kerusakan ?

100

Apakah pemeliharaan peralatan/perangkat dilakukan secara tepat untuk memastikan ketersediaan dan integritas layanan ?

75

Apakah pemeliharaan peralatan/perangkat dilakukan sesuai spesifikasi dan interval yang direkomendasikan supplier ?

75

Apakah pemeliharaan peralatan/perangkat dilakukan oleh personil yang layak ?

100

Apakah dilakukan pemeliharaan terhadap log system (suspected atau actual faults) sebagai bagian dari tindakan preventif dan korektif ?

75

Apakah kendali yang tepat sudah diterapkan pada saat pengiriman peralatan atau bagian dari peralatan? Apakah peralatan sudah dilindungi oleh asuransi atau jaminan dari supplier yang memadai ?

75

9.2.2

9.2.3

9.2.4

Supporting utilities

Cabling security

Equipment maintenance


Referensi ISO 27001


Hasil Assessment

Checklist

Standard

Area


Nilai

5.2.5

9.2.5

Security of equipment offpremises

Apakah sistem keamanan sudah diterapkan pada peralatan di luar lokasi organisasi dengan mempertimbangkan risiko yang berbeda pada saat bekerja di luar lokasi organisasi?

50

5.2.6

9.2.6

5.2.7

9.2.7

Apakah seluruh item dari perangkat yang memuat media penyimpanan sudah diperiksa untuk memastikan bahwa setiap data sensitif dan Secure disposal or re-use of perangkat lunak berlisensi telah dihapus atau ditimpa (overwritten) equipment secara aman sebelum dibuang ?

Removal of property

Apakah terdapat suatu aturan untuk perangkat, informasi atau perangkat lunak yang dibawa keluar lokasi organisasi tanpa melalui ijin yang berwenang?


75

50


Standard




Communications and operations management Operational procedures and responsibilities 6.1 10.1

6.1.1

6.1.2

10.1.1

10.1.2

6.1.3

10.1.3

6.1.4

10.1.4

6.2

10.2

Apakah prosedur operasional sudah didokumentasikan, dikelola, dan tersedia untuk seluruh user yang membutuhkannya ?

100

Apakah dokumen prosedur tersebut sudah diformalkan sebagai dokumen prosedur operasi resmi dan mendapat otorisasi dari pejabat yang berwenang ?

75

Change management

Apakah perubahan terhadap fasilitas dan sistem pengolahan informasi sudah dikontrol ?

50

Segregation of duties

Apakah tugas dan lingkup tanggung jawab sudah dipisahkan untuk mengurangi peluang bagi modifikasi yang tidak sengaja atau tidak sah atau penyalahgunaan terhadap aset organisasi?

75

Apakah fasilitas pengembangan, pengujian dan operasional sudah Separation of development, dipisahkan untuk mengurangi risiko akses atau perubahan yang tidak test and operational facilities sah terhadap sistem operasional ?

50

Documented operating procedures

Third party service delivery management Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.


Standard


6.2.1

10.2.1

Service delivery

6.2.2

10.2.2

Monitoring and review of third party services

6.2.3

10.2.3

6.3

6.3.1

6.3.2

6.4 6.4.1

10.3

10.3.1

10.3.2

10.4 10.4.1



Apakah sudah dipastikan bahwa kontrol terhadap keamanan, definisi dan level layanan yang dicakup dalam perjanjian dengan pihak ketiga/mitra telah dijalankan, dioperasikan, dan dikelola oleh pihak ketiga/mitra tersebut ?

75

Apakah layanan dan laporan yang diberikan oleh pihak ketiga/mitra sudah dimonitor dan dikaji secara berkala?

100

Apakah perubahan terhadap ketentuan layanan, termasuk Managing changes to third pemeliharaan dan peningkatan kebijakan prosedur dan pengendalian party services keamanan informasi yang ada, sudah dikelola dengan baik?

75

System planning and acceptance

Capacity management

System acceptance

Apakah penggunaan sumber daya sudah dimonitor, disesuaikan dan dilakukan proyeksi kebutuhan kapasitas untuk memastikan performansi sistem ? Contoh : Monitoring space hard disk, RAM dan CPU pada server

50

Apakah acceptance criteria untuk sistem informasi baru, upgrade, dan versi baru sudah ditentukan dan sudah dilakukan pengujian sistem yang sesuai selama masa pengembangan dan sebelum diputuskan untuk diterima ?

75

Protection against malicious and mobile code Apakah kontrol terkait deteksi, pencegahan, dan recovery untuk Controls against malicious perlindungan terhadap malicious code dan prosedur user awareness code yang sesuai sudah dijalankan ?


75


6.4.2

6.5 6.5.1 6.6

6.6.1

6.6.2

6.7


Standard

10.4.2

10.5 10.5.1 10.6

10.6.1

10.6.2

10.7

Controls against mobile code



Apakah apabila penggunaan mobile code diijinkan, konfigurasi tersebut sudah memastikan bahwa mobile code yang sah beroperasi sesuai dengan kebijakan keamanan yang ditetapkan secara jelas, dan penggunaan mobile code yang tidak sah harus dicegah?

50

Apakah backup copy dari informasi dan perangkat lunak sudah diambil dan diuji secara berkala sesuai dengan backup policy yang disetujui ?

75

Back-up Information back-up

Network security management

Network controls

Apakah jaringan sudah dikelola dan dikontrol dengan baik agar terlindung dari threat (ancaman) ?

100

Apakah keamanan terhadap sistem dan aplikasi yang menggunakan jaringan sudah dikelola dan dikontrol dengan baik, termasuk informasi yang lewat didalamnya ?

100

Apakah fitur security, service level dan persyaratan manajemen untuk semua layanan sudah diidentifikasi dan dimasukan kedalam seluruh Security of network services network service agreement, baik layanan tersebut disediakan secara inhouse maupun outsource ?

75

Media handling Management of removable Apakah sudah tersedia prosedur untuk manajemen removable media, media contohnya tape, disk, memory card, dll ?

6.7.1

10.7.1

6.7.2

10.7.2

Disposal of media

6.7.3

10.7.3

Information handling procedures

Apakah media secara aman dimusnahkan menggunakan prosedur formal apabila tidak lagi diperlukan ? Apakah prosedur untuk penanganan dan penyimpanan informasi sudah ditetapkan ?


75

50 100


Standard

6.7.4

10.7.4

6.8

10.8


Security of system documentation Exchange of information

6.8.1

10.8.1

Information exchange policies and procedures

6.8.2

10.8.2

Exchange agreements

6.8.3

10.8.3

Physical media in transit

6.8.4

10.8.4

6.8.5

10.8.5

6.9 6.9.1

10.9 10.9.1

6.9.2

10.9.2

6.9.3

10.9.3


Apakah dokumentasi sistem sudah dilindungi terhadap akses yang tidak berhak? Apakah ada kebijakan, prosedur, dan kontrol untuk melindungi pertukaran informasi melalui penggunaan semua jenis media komunikasi ? Apakah ada perjanjian tertulis antara organisasi dengan pihak luar terkait pertukaran informasi ? Apakah media yang memuat informasi sudah dilindungi terhadap akses yang tidak sah, penyalahgunaan atau kerusakan selama transportasi diluar batasan fisik organisasi?

Apakah informasi dalam bentuk pesan elektronik sudah dilindungi dengan benar? Apakah kebijakan dan prosedur sudah dikembangkan dan diterapkan Business information systems untuk melindungi informasi yang berkaitan dengan interkoneksi sistem informasi bisnis? Electronic commerce services Electronic messaging


75

75 0

75

100 75

Electronic commerce

Apakah informasi yang termasuk dalam layanan electronic commerce yang melalui jaringan publik sudah dilindungi dari tindak kecurangan, perselisihan kontrak dan disclosure serta modifikasi yang tidak sah?

NA

On-line transactions

Apakah informasi yang termasuk dalam transaksi online sudah dilindungi untuk mencegah transmisi yang tidak lengkap, kesalahan routing, perubahan pesan, disclosure, duplikasi atau pengulangan pesan yang tidak sah?

NA

Apakah integritas informasi yang tersedia pada sistem yang digunakan Publicly available information untuk publik sudah dilindungi untuk mencegah modifikasi yang tidak sah? Evaluasi manajemen..., Ega Lestaria Sukma, FIKOM UI, 2013.

NA


6.10


Standard

10.10



Monitoring Apakah log audit yang merekam kegiatan user, pengecualian dan security events telah dibuat dan disimpan untuk periode waktu yang telah untuk membantu dalam investigasi di masa yang akan datang dan memantau access control ?

75

6.10.1

10.10.1

Audit logging

6.10.2

10.10.2

Monitoring system use

Apakah prosedur untuk pemantauan penggunaan fasilitas pengolahan informasi sudah ditetapkan dan dijalankan?

75

6.10.3

10.10.3

Protection of log information

Apakah fasilitas pencatatan log dan informasi log sudah dilindungi dari ganguan dan akses tidak sah?

50

6.10.4

10.10.4

Administrator and operator Apakah aktivitas-aktivitas dari administrator dan operator sistem log sudah dicatat dalam log ?

6.10.5

10.10.5

6.10.6

10.10.6

Fault logging

Clock synchronization

75

Apakah fault yang terjadi sudah dicatat dalam log, kemudian dianalisa, dan diambil langkah-langkah yang sesuai ?

75

Apakah penunjuk waktu dari seluruh sistem pengolahan informasi dalam organisasi atau domain keamanan sudah disinkronisasikan dengan sumber penunjuk waktu yang akurat dan telah disepakati. Misalnya time server harus disinkronisasikan untuk akurasi audit dan log

100



Standard

Access Control 7.1 11.1 7.1.1 7.2

11.1.1 11.2

7.2.1

11.2.1

7.2.2

11.2.2

7.2.3

11.2.3

7.2.4

11.2.4

7.3 7.3.1

11.3 11.3.1



Business requirement for access control Apakah kebijakan terkait pengendalian akses sudah ditetapkan, Access control policy didokumentasikan, dan ditinjau berdasarkan tuntutan bisnis dan keamanan terhadap akses ? User access management Apakah terdapat prosedur pendaftaran dan penghapusan user secara User registration formal untuk pemberian dan pencabutan akses terhadap seluruh layanan dan sistem informasi? Apakah alokasi dan penggunaan hak akses khusus sudah dibatasi dan Privilege management dikendalikan? Apakah alokasi password sudah dikendalikan melaui proses User password management manajemen yang formal ? Apakah secara formal manajemen melakukan tinjauan secara berkala Review of user access rights terhadap hak akses user? User responsibilities Apakah user sudah diminta untuk mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password? Password use



75

75 100 100 75

100


7.3.2

7.3.3

Standard

11.3.2

11.3.3



Apakah peralatan yang ditinggal oleh penggunanya (unattended) sudah dipastikan terlindungi dengan tepat? Misal : Logoff saat Unattended user equipment meninggalkan komputer, menutup sesi setelah menggunakan aplikasi, dll. Apakah kebijakan clear desk terhadap kertas dan media penyimpanan Clear desk and clear screen yang dapat dipindahkan sudah ditetapkan? policy Apakah kebijakan clear screen untuk fasilitas pengolahan informasi sudah ditetapkan?

7.4

11.4

7.4.1

11.4.1

7.4.2

11.4.2

7.4.3

11.4.3

7.4.4

11.4.4

7.4.5

7.4.6

11.4.5

11.4.6


75

50

50

Network access control Policy on use of network services

Apakah user hanya diberikan akses terhadap layanan sesuai kewenangan yang secara spesifik telah diberikan?

Apakah ada digunakan metode otentikasi yang tepat untuk mengontrol akses oleh remote user ? Apakah identifikasi perangkat secara otomatis sudah dipertimbangkan Equipment identification in sebagai cara untuk melakukan otentikasi koneksi dan peralatan yang networks spesifik ? Apakah akses secara fisik dan logik untuk mendiagnosa dan Remote diagnostic and mengkonfigurasi port sudah dikontrol dengan baik ? configuration port protection User authentication for external connections

Segregation in network

Apakah pengelompokan terhadap layanan informasi, pengguna dan sistem informasi di dalam jaringan sudah disegregasikan?

Untuk jaringan yang digunakan bersama, terutama jaringan yang diperluas sampai keluar dari jangkauan organisasi, apakah kemampuan Network connection control user untuk terhubung ke jaringan telah dibatasi, sejalan dengan kebijakan access control dan kebutuhan dari aplikasi bisnis ?


100

100 75

100

75

100

Referensi ISO 27001


Hasil Assessment

Checklist

Standard

Area


Nilai

7.4.7

11.4.7

Network routing control

Apakah kontrol terhadap routing sudah diimplementasikan untuk jaringan agar dapat dipastikan bahwa koneksi komputer dan alur informasi tidak melanggar keijakan access control dari aplikasi bisnis ?

100

7.5

11.5

Operating system access control Apakah akses ke Operating System sudah dikontrol menggnakan prosedur log-on yang aman ?

100

User identification and authentication

Apakah seluruh user memiliki satu pengenal yang unik (User ID) yang hanya digunakan bagi keperluan masing-masing mereka saja ?

100

100

7.5.1

11.5.1

Secure log-on procedures

7.5.2

11.5.2

7.5.3

11.5.3

Password management system

Apakah telah ada sistem untuk mengelola password yang bersifat interaktif dan dapat memastikan kualitas password ? Misal : Meminta user mengganti password secara berkala, ada ketentuan jumlah minimum karakter dalam membuat password, password harus mengandung huruf dan angka, dll

7.5.4

11.5.4

Use of system utilities

Apakah penggunaan utility program yag dapat mengganggu sistem dan kontrol aplikasi sudah dibatasi dan dikontrol secara ketat ?

50

7.5.5

11.5.5

Session time-out

Apakah ada mekanisme yang memastikan bahwa sesi yang tidak aktif dalam jangka waktu tertentu harus dimatikan ?

100

7.5.6 7.6

11.5.6 11.6

Apakah ada pembatasan pada connection time sebagai keamanan Limitation of connection time tambahan bagi aplikasi-aplikasi yang berisiko tinggi ? Application and information access control


100


Standard

7.6.1

11.6.1

7.6.2

11.6.2

7.7

11.7

7.7.1

11.7.1

7.7.2

11.7.2



Apakah akses ke informasi dan sistem aplikasi oleh user dan personel Information access restriction support telah dibatasi sesuai dengan kebijakan access control yang telah ditetapkan ? Sensitive system isolation Apakah sistem-sistem yang bersifat sensitif telah diisolasi dengan computing environment yang dedicated ? Mobile computing & teleworking Apakah kebijakan formal sudah tersedia dan tindakan pengamanan yang tepat sudah dilakukan terkait penggunaan fasilitas mobile computing and communication ? (Beberapa contoh fasilitas mobile Mobile computing and computing and communication meliputi notebook, tablet, laptop, communications smartphone)

Teleworking

Apakah ada kebijakan, prosedur, dan perencanaan operasional terkait aktivitas teleworking ?



75

100

75

100



Standard




Information systems acquisition, development and maintenance Security requirements of information systems 8.1 12.1

8.1.1

8.2

12.1.1

12.2

Security requirements analysis and specification

Apakah pernyataan kebutuhan bisnis terhadap sistem informasi baru atau perbaikan dari sistem informasi saat ini sudah mencantumkan persyaratan untuk security control ?

75

Correct processing in applications

12.2.1

Input data validation

Apakah data yang dimasukan ke dalam aplikasi telah divalidasi untuk memastikan bahwa data tersebut benar dan tepat ?

75

8.2.2

12.2.2

Control of internal processing

Apakah pengecekan validasi telah dimasukan ke dalam aplikasi untuk mendeteksi adanya perusakan informasi melalui kesalahan pemrosesan atau tindakan yang disengaja ?

50

8.2.3

12.2.3

Message integrity

Apakah persyaratan untuk memastikan keaslian dan perlindungan integritas pesan dalam aplikasi sudah diidentifikasi, dan pengendalian yang tepat sudah pula diidentifikasi dan diterapkan?

75

8.2.1



8.2.4

8.3

Standard

12.2.4

12.3


Output data validation

12.3.1

Policy on the use of cryptographic controls

8.3.2

12.3.2

Key management

12.4

8.4.1

12.4.1

8.4.2

12.4.2

8.4.3

12.4.3

8.5 8.5.1

8.5.2

12.5 12.5.1

12.5.2

Nilai

Apakah dilakukan validasi terhadap data yang keluar dari aplikasi untuk memastikan bahwa informasi yang disimpan adalah benar dan tepat sesuai dengan keadaan?

50

Apakah kebijakan terkait penggunaan kontrol kriptografi untuk melindungi informasi sudah dikembangkan dan diimplementasikan ?

100

Cryptographic controls

8.3.1

8.4


Hasil Assessment

Apakah key management sudah diterapkan untuk mendukung penggunaan teknik kriptografi oleh organisasi ?

Security of system files Control of operational Apakah ada prosedur untuk mengontrol instalasi perangkat lunak pada software sistem operasional ? Protection of system test Apakah data yang digunakan untuk testing telah dipilih dengan data seksama, dan dilindungi dan dikontrol ? Access control to program Apakah akses ke source code program sudah dibatasi ? source code Security in development and support processes Change control procedures

Apakah penerapan perubahan-perubahan di sistem sudah dikontrol melalui penggunaan prosedur change control yang formal ?

Ketika ada perubahan pada sistem operasional, apakah aplikasi bisnis Technical review of yang kritikal telah ditinjau dan dites untuk memastikan bahwa tidak applications after operating ada dampak yang merugikan keamanan dan operasional organsasi ? system changes


75

100 50 75

50

75

Referensi ISO 27001


Standard

Area

8.5.3

12.5.3

Restrictions on changes to software packages

8.5.4

12.5.4

8.5.5

12.5.5

Checklist

8.6

8.6.1

12.6

12.6.1



Apakah perubahan terhadap software package telah dibatasi hanya untuk perubahan yang penting, dan apakah seluruh perubahan tersebut sudah dikontrol dengan ketat ?

75

Information leakage

Apakah peluang atas bocornya informasi telah dihindari ?

75

Outsourced software development

Apakah pengembangan perangkat lunak yang dikerjakan oleh pihak ketiga (outsource ) diawasi dan dimonitor oleh organisasi ?

NA

Technical Vulnerability Management Apakah informasi tepat waktu tentang kerawanan teknis dari sistem informasi yang digunakan sudah diperoleh? Control of technical vulnerabilities Apakah eksposur organisasi terhadap kerawanan tersebut dievaluasi, dan diambil tindakan yang tepat untuk menangani resiko terkait?


50 50

Assessment Checklist Scoring System : Keterangan Bobot (%) Prosedur belum ada dan belum ada kontrol yang dilaksanakan 0 25 Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan 50 Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur 75 Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur 100


Standard



Information security incident management Reporting information security events and weaknesses 9.1 13.1 Reporting information Apakah event terkait keamanan informasi dilaporkan melalui jalur 9.1.1 13.1.1 security events manajemen yang tepat secepat mungkin? Apakah seluruh karyawan, mitra dan pengguna sistem informasi dari pihak ketiga diminta untukmencatat dan melaporkan setiap Reporting security 9.1.2 13.1.2 kelemahan keamanan yang diamati ata dicurigai ada di sistem atau weaknesses layanan ? Management of information security incidents and improvements 9.2 13.2 Apakah tersedia prosedur dan tanggung jawab manajemen untuk Responsibilities and memastikan respon yang cepat, efektif, dan sesuai terkait insiden 9.2.1 13.2.1 procedures keamanan informasi? Apakah tersedia mekanisme untuk memungkinkan jenis, besaran, dan Learning from information biaya atas insiden keamanan informasi dikuantifikasi dan dimonitor? 9.2.2 13.2.2 security incidents



75

100

100

50


9.2.3

Standard

13.2.3


Collection of evidence


Apakah bukti-bukti terkait keamanan informasi disimpan dan dikumpulkan? (dalam hal apabila terjadi insiden keamanan informasi yang menyebabkan adanya tindakan hukum, bukti-bukti tersebut digunakan untuk kebutuhan pengadilan ketika ingin melaporkan seseorang atau organisasi).



50

Assessment Checklist Scoring System : Keterangan Bobot (%) 0 Prosedur belum ada dan belum ada kontrol yang dilaksanakan 25 Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur 50 Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan 75 Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur 100 Referensi ISO 27001 Checklist

Standard



Business continuity management Information security aspects of business continuity management 10.1 14.1 Apakah terdapat proses yang dikembangkan dan dipelihara untuk Including information keberlanjutan bisnis organisasi secara menyeluruh, yang menekankan security in the business penggunaan persyaratan keamanan informasi yang dibutuhkan untuk 10.1.1 14.1.1 continuity management keberlanjutan bisnis organisasi? process

10.1.2

10.1.3

14.1.2

Apakah kejadian yang dapat menyebabkan gangguan terhadap proses Business continuity and risk bisnis sudah diidentifikasi, bersamaan dengan kemungkinan dan dampak dari gangguan tesebut serta konsekuensinya terhadap assessment keamanan informasi?

14.1.3

Developing and implementing continuity plans including information security

Apakah perencanaan dalam mengelola dan mengembalikan operasional sudah dikembangkan dan diterapkan untuk memastikan ketersediaan informasi pada tingkat dan jangka waktu tertentu setelah terjadinya gangguan atau kegagalan proses bisnis penting ?



75

75

75


10.1.4

10.1.5

Standard

14.1.4

14.1.5



Apakah kerangka kerja BCP (Business Continuity Plan ) dikelola untuk memastikan seluruh perencanaan terkait keberlangsungan bisnis Business continuity planning tetap konsisten dan secara konsisten pula memenuhi kebutuhan keamanan informasi, dan untuk mengidentifikasi prioritas pengujian framework dan pemeliharaan sistem ? Testing, maintaining and reassessing business continuity plans

Apakah BCP (Business Continuity Plan ) diuji dan diperbaharui secara berkala untuk memastikan bahwa perencanaan tersebut up to date dan efektif ?



50

50

Assessment Checklist Scoring System : Keterangan Bobot (%) 0 Prosedur belum ada dan belum ada kontrol yang dilaksanakan 25 Prosedur belum ada dan kontrol belum sepenuhnya dilaksanakan atau belum sesuai dengan prosedur 50 Prosedur belum ada dan kontrol sudah dilaksanakan, atau prosedur sudah ada tapi kontrol belum dilaksanakan 75 Prosedur sudah ada dan kontrol sudah dilaksanakan namun belum sesuai dengan prosedur 100 Prosedur sudah ada dan kontrol sudah dilaksanakan sepenuhnya sesuai dengan prosedur


Standard

Compliance 11.1 15.1

11.1.1

11.1.2

11.1.3




Compliance with legal requirements

Identification of applicable legislation

Apakah seluruh hukum, peraturan perundang-undangan dan persyaratan kontrak serta pendekatan organisasi untuk memenuhi persyaratan tersebut sudah ditetapkan secara eksplisit, didokumentasikan, dan dijaga pemutakhirannya untuk setiap sistem informasi dan untuk organisasi ?

100

15.1.2

Intellectual property rights (IPR)

Apakah prosedur yang sesuai sudah diterapkan untuk memastikan kesesuaian dengan peraturan hukum, peraturan perundangundangan dan persyaratan kontrak terkait penggunaan material dalam dimana mungkin terdapat hak kekayaan intelektual produk perangkat lunak?

75

15.1.3

Apakah rekaman penting sudah dilindungi dari kehilangan, Protection of organizational penghancuran dan pemalsuan sesuai dengan peraturan perundangrecords undangan, persyaratan kontrak dan persyaratan bisnis?

15.1.1


75

Referensi ISO 27001 Standard

Checklist




Compliance

11.1.4

15.1.4

11.1.5

15.1.5

11.1.6

15.1.6

11.2

15.2

11.2.1

15.2.1

11.2.2

15.2.2

11.3

11.3.1

11.3.2

15.3

Apakah perlindungan data dan kerahasiaan sudah dijamin seperti Data protection and privacy dipersyaratkan dalam legislasi, regulasi yang relevan, dan klausul of personal information kontrak, jika diperlukan? Prevention of misuse of information processing facilities

Apakah penggunaan fasilitas pengolahan informasi untuk setiap tujuan non-bisnis atau yang tidak layak atau tanpa persetujuan manajemen, diperlakukan sebagai penyalahgunaan fasilitas?

Regulation of cryptographic Apakah kontrol kriptografi sudah digunakan sesuai dengan seluruh controls perjanjian undang-undang dan regulasi yang relevan? Compliance with security policies and standards, and technical compliance Apakah manajemen sudah memastikan bahwa seluruh prosedur Compliance with security dalam lingkup tanggung jawabnya dilakukan secara benar untuk demi tercapainya kesesuaian dengan standar dan kebijakan keamanan ? policies and standards Apakah sistem informasi secara berkala diperiksa agar selalu sesuai Technical compliance dengan standar imlementasi keamanan ? checking Information systems audit considerations

15.3.1

Information systems audit controls

Apakah persyaratan audit dan kegiatan yang melibatkan pengecekan pada sistem operasional sudah direncanakan secara hati-hati serta telah disetujui untuk meminimalisasi risiko dari gangguan terhadap proses bisnis?

15.3.2

Protection of information systems audit tools

Apakah akses terhadap alat audit sistem informasi sudah dilindungi untuk mencegah setiap kemungkinan penyalahgunaan atau gangguan (compromise)?


100

50

100

75

75

75

50

LAMPIRAN 2 STATEMENT OF APPLICABILITY (SOA)

L-2


Klausul

Implementasi (Ya /Tidak)

Control Objectives

Justifikasi

A.5 Security policy Information security policy A.5.1 A.5.1.1

Information security policy document

Ya

A.5.1.2

Review of the information security policy

Ya

Kebijakan keamanan informasi akan tetap menggunakan Kebijakan Sekuriti Keamanan Informasi yang masih berlaku karena masih relevan Manajemen ISC akan tetap diikutsertakan dalam pelaksanaan kajian Kebijakan Sekuriti Keamanan Informasi setiap tahunnya, bersama dengan Dirktorat ITSS

A.6 Organization of information security Internal Organization A.6.1 A.6.1.1

Management commitment to information security

Ya

A.6.1.2

Information security coordination

Ya

A.6.1.3 A.6.1.4

Allocation of information security responsibilities Authorization process for information processing facilities

Ya

Komitmen manajemen ditunjukkan dengan pembagian fungsi dan tanggung jawab pengelolaan keamanan informasi yang bertugas mengawal berjalannya kontrol-kontrol keamanan informasi dengan baik. Masalah keamanan informasi akan dikoordinasikan secara rutin setiap bulannya dengan unit-unit kerja terkait. Pembagian tanggung jawab keamanan informasi ditetapkan dan disosialisasikan

Ya

Setiap fasilitas pengolahan informasi yang terkait dengan sistem provisioning gateway harus mendapat persetujuan penanggungjawab. Confidentiality Agreement (NDA) diwajibkan bagi karyawan kontrak dan pihak ketiga. Untuk karyawan tetap, NDA menjadi kewenangan HR pusat.

A.6.1.5

Confidentiality agreements

Ya

A.6.1.6

Contact with authorities

Ya

A.6.1.7

Contact with special interest groups

Tidak

Komunikasi dengan pihak yang terkait dijaga untuk pelaporan masalah keamanan dan koordinasi untuk tindak lanjutnya. Pengelola sistem provisioning gateway tidak diharuskan untuk mengikuti forum dengan pihak luar terkait provisioning.


Klausul

Control Objectives

A.6.1.8

Independent review of information security

A.6.2

External parties Identification of risks related to external parties Addressing security when dealing with customers

A.6.2.1 A.6.2.2 A.6.2.3

Addressing security in third party agreements


Justifikasi

Ya

Dilakukan minimum 1 (satu) tahun sekali melalui proses audit untuk menjamin efektivitas kontrol.

Ya

Dilakukan sebagai salah satu fungsi pengendalian risiko akibat pihak eksternal

Ya

Keamanan informasi menjadi isu penting dalam memberikan layanan ke pelanggan

Ya

Masalah keamanan informasi diakomodasi dalam Confidentiality Agreement (NDA) yang diwajibkan bagi karyawan kontrak dan pihak ketiga.

A.7 Asset management Responsibility for assets A.7.1 A.7.1.1 Inventory of assets A.7.1.2 Ownership of assets

Ya Ya

A.7.1.3

Acceptable use of assets

Ya

A.7.2 A.7.2.1

Information classification Classification guidelines

Ya

A.7.2.2

Information labeling and handling

Ya

Melakukan identifikasi dan inventarisasi aset sesuai prosedur Menetapkan pemilik aset sebagai pengelola dan penanggung jawab aset Ditetapkan untuk melindungi aset TI agar dapat digunakan secara benar dan aman dari penyalahgunaan . Membuat prosedur klasifikasi informasi Pelabelan dan penanganan informasi dilakukan berdasarkan klasifikasi masingmasing informasi

A.8 Human resources security Prior to employment A.8.1 A.8.1.1

Roles and responsibilities

Ya

Setiap karyawan dan mitra perlu memahami peran dan tanggung jawabnya terhadap keamanan informasi


Klausul

A.8.1.2


Control Objectives

Screening

Ya

Screening hanya akan dilakukan kepada calon mitra kerja atau pihak ketiga, karena screening untuk karyawan tetap hanya dilakukan oleh HR pusat

Ya

Di dalam perjanjian kerja, karyawan dan mitra perlu menandatangani terms and condition

A.8.2

Terms and conditions of employment During employment

A.8.2.1

Management responsibilities

Ya

A.8.2.2

Information security awareness, education and training

Ya

A.8.2.3

Disciplinary process

A.8.3 A.8.3.1

Termination or change of employment Termination responsibilities

Ya

A.8.3.2

Return of assets

Ya

A.8.3.3

Removal of access rights

Ya

A.8.1.3

Justifikasi

Tidak

Diperlukan sebagai pengarah dan pengawas bagi penerapan keamanan informasi. Sosialisasi keamanan informasi dilakukan minimal sekali setiap bulannya, diberikan kepada seluruh pihak terkait. Pelatihan dan pendidikan hanya diberikan bagi karyawanan tetap Proses pendisiplinan secara formal hanya berhak dilakukan oleh HR pusat Membuat prosedur pengakhiran tanggung jawab dalam penugasan Diperlukan agar dapat dipastikan bawah aset dan informasi penting perusahaan tidak keluar dari kontrol perusahaan Diperlukan agar dapat dipastikan bawah aset dan informasi penting perusahaan tidak keluar dari kontrol perusahaan

A.9 Physical and environmental security Secure areas A.9.1 A.9.1.1 Physical security perimeter

Ya

Untuk memasuki ruang server, sudah menggunakan access card

A.9.1.2

Physical entry controls

Ya

Akses masuk ke ruang server dibatasi hanya untuk orang-orang yang berhak

A.9.1.3

Securing offices, rooms and facilities

Ya

Untuk ruang kerja akan ditempatkan satpam di depan pintu masuk agar tidak sembarang orang dapat masuk ke ruang kerja


Klausul


Control Objectives

A.9.1.4

Protecting against external and environmental threats

Ya

A.9.1.5

Working in secure areas

Ya

A.9.1.6

Public access, delivery and loading areas

A.9.2

Equipment security

A.9.2.1

Equipment sitting and protection

Ya

A.9.2.2

Supporting utilities

Ya

A.9.2.3

Cabling security

Ya

A.9.2.4

Equipment maintenance

Ya

A.9.2.5

Security of equipment off-premises

Ya

A.9.2.6

Secure disposal or re-use of equipment

Ya

A.9.2.7

Removal of property

Ya

Tidak

Justifikasi

Ruang server dan ruang kerja dilindungi dari kebakaran, gangguan petir atau pencurian Menetapkan aturan bekerja di ruang server dan ruang kerja untuk melindungi karyawan dan perangkat. Loading area tidak digunakan Membuat prosedur dan aturan penempatan perangkat agar terlindungi dari bahaya lingkungan dan akses oleh pihak yang tidak berhak Perangkat yang ada di ruang server dan ruang kerja sudah dilengkapi dengan fasilitas pendukung seperti UPS dan genset listrik, apabila terjadi pemutusan listrik Kabel daya dan kabel telekomunikasi akan dipisahkan jalurnya agar terhindar dari kerusakan dan intersepsi. Perawatan berkala dilakukan untuk setiap perangkat, baik yang dilakukan oleh internal maupun yang dilakukan oleh mitra Persyaratan keamanan informasi juga diterapkan untuk perangkat TI (PC, laptop atau removable media ) yang digunakan di luar lokasi ruang lingkup Perangkat dan media penyimpan informasi harus dihancurkan bila sudah tidak digunakan. Pemindahan perangkat keluar lokasi perusahaan harus dilakukan atas persetujuan personil yang bertanggungjawab.

A.10 Communications and operations management Operational procedures and responsibilities A.10.1


Klausul


Control Objectives

A.10.1.1 Documented operating procedures

Ya

A.10.1.2 Change management

Ya

A.10.1.3 Segregation of duties Separation of development, test and A.10.1.4 operational facilities Third party service delivery management A.10.2 A.10.2.1 Service delivery Monitoring and review of third party A.10.2.2 services

Ya

A.10.2.3 Managing changes to third party services A.10.3

Ya

SOP sudah didokumentasikan, dikelola, dan tersedia untuk seluruh pengguna yang membutuhkan Membuat prosedur pengelolaan perubahan agar perubahan terhadap sistem atau aplikasi dapt terkontrol. Administrator dipisahkan dari operator. Proses pengembangan dan pegujian aplikasi akan menggunakan fasilitas yang berbeda dengan fasilitas operasional

Ya

Terdapat layanan pihak ketiga dalam maintenance aplikasi

Ya

Secara rutin pihak ketiga mengirimkan laporan kepada IS PO Service

Ya

Setiap perubahan layanan pihak ketiga harus dilakukan atas persetujuan IS PO Service .

System planning and acceptance

A.10.3.1 Capacity management

Ya

A.10.3.2 System acceptance

Ya

A.10.4

Justifikasi

Membuat prosedur pengelolaan kapasitas untuk memastikan sistem tetap dapa berjalan optimal meskipun pada saat traffic sedang tinggi Membuat prosedur yang berisi kriteria penerimaan untuk sistem informasi baru, atau sistem informasi hasil upgrade

Protection against malicious and mobile code

A.10.4.1 Controls against malicious code

Ya

A.10.4.2 Controls against mobile code Back-up A.10.5

Ya

A.10.5.1 Information back-up

Ya

Diperlukan agar serangan virus dapat dicegah dari seluruh perangkat, baik milik perusahaan maupun milik personal yang digunakan untuk pengolahan informasi perusahaan Mobile code digunakan dalam browser Membuat prosedur backup informasi secara berkala dan mengadakan perangkat atau media untuk backup


Klausul

A.10.6 A.10.6.1 A.10.6.2 A.10.7 A.10.7.1

Control Objectives

Network security management Network controls Security of network services Media handling Management of removable media


Justifikasi

Ya Ya

Jaringan internal sudah dikelola dengan baik agar terhindar dari ancaman Membuat prosedur untuk network service aggrement

Ya

A.10.7.2 Disposal of media

Ya

A.10.7.3 Information handling procedures A.10.7.4 Security of system documentation Exchange of information A.10.8 Information exchange policies and A.10.8.1 procedures

Ya Ya

Membuat prosedur untuk pengelolaan removable media Diperlukan untuk memastikan tidak ada informasi yang bocor dari media yang sudah tidak dipakai lagi. Diperlukan untuk mencegah kebocoran informasi. Diterapkan baik untuk dokumen hardcopy maupun softcopy.

Ya

Pertukaran informasi seringkali diperlukan dengan pihak ketiga

A.10.8.2 Exchange agreements

Ya

A.10.8.3 Physical media in transit

Ya

A.10.8.4 Electronic messaging A.10.8.5 Business information systems Electronic commerce services A.10.9

Ya Ya

Membuat perjanjian tertulis antara ISC dengan pihak luar terkait pertukaran informasi Media yang memuat informasi harus dilindungi pada saat dibawa keluar dari lokasi ISC Seluruh karyawan diwajibkan menggunakan email perusahaan. Informasi penting tentang perusahaan dibatasi aksesnya.

A.10.9.1 Electronic commerce

Tidak

Sistem provisioning gateway tidak terkait dengan layanan e-commerce

A.10.9.2 On-line transactions

Tidak

Sistem provisioning gateway tidak terkait dengan layanan e-commerce

A.10.9.3 Publicly available information

Tidak

Tidak ada informasi terkait sistem provisioning gateway yang tersedia untuk publik

A.10.10

Monitoring


Klausul


Control Objectives

Justifikasi

A.10.10.1 Audit logging

Ya

Aktivitas seluruh user dicatat dan disimpan selama periode tertentu untuk proses monitoring hak akses

A.10.10.2 Monitoring system use

Ya

Membuat prosedur pemantauan penggunaan fasilitas pengolahan informasi

A.10.10.3 Protection of log information

Ya

Membuat prosedur pencatatan log untuk melindungi informasi log dari penyalahgunaan

A.10.10.4 Administrator and operator logs

Ya

Aktivitas administrator dan operator dicatat dalam log

A.10.10.5 Fault logging

Ya

A.10.10.6 Clock synchronization

Ya

Fault pada proses pengolahan informasi di sistem harus dicatat untuk keperluan analisa dan pengambilan langkah-langkah yang sesuai Penunjuk waktu sistem pengolahan informasi disinkronisasikan dengan penunjuk waktu server NEFI

A.11 Access control Business requirement for access control A.11.1 A.11.1.1 Access control policy

Ya

Kebijakan pengendalian akses akan ditinjau berkala berdasarkan tuntutan bisnis dan keamanan terhadap akses

User access management A.11.2 A.11.2.1 User registration

Ya

Pendaftaran dan penghapusan user sudah dilakukan secara formal

A.11.2.2 Privilege management

Ya

Alokasi dan penggunaan hak akses khusus sudah dibatasi dan dikendalikan

A.11.2.3 User password management A.11.2.4 Review of user access rights User responsibilities A.11.3

Ya Ya

Alokasi password sudah dikendalikan melalui Nota Dinas Hak akses user akan ditinjau secara berkala

A.11.3.1 Password use

Ya

A.11.3.2 Unattended user equipment

Ya

User sudah diminta untuk mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password Untuk melindungi perangkat dari kehilangan saat tidak diawasi.


Klausul

Implementasi Justifikasi (Ya /Tidak) Ya Membuat kebijakan clear desk dan clear screen

Control Objectives

A.11.3.3 Clear desk and clear screen policy Network access control A.11.4 A.11.4.1 Policy on use of network services A.11.4.2

User authentication for external connections

A.11.4.3 Equipment identification in networks

Ya

User hanya diberikan akses terhadap layanan sesuai kewenangan yang secara spesifik telah diberikan

Ya

Sudah digunakan metode otentikasi untuk mengontrol akses oleh remote user

Ya

Perangkat yang tersambung di LAN internal dapat diidentifikasi dengan IP

Remote diagnostic and configuration port protection A.11.4.5 Segregation in networks

Ya

Diterapkan antara lain terhadap akses VPN melalui proses otentikasi

Ya

A.11.4.6 Network connection control

Ya

A.11.4.7 A.11.5 A.11.5.1 A.11.5.2

Ya

Jaringan internal dipisahkan dari jaringan publik. Kemampuan user untuk terhubung ke jaringan telah dibatasi, sejalan dengan kebutuhan dari aplikasi bisnis Kontrol terhadap routing sudah diimplementasikan

A.11.4.4

Network routing control Operating system access control Secure log-on procedures User identification and authentication

Ya Ya

A.11.5.3 Password management system

Ya

A.11.5.4 Use of system utilities

Ya

A.11.5.5 Session time-out

Ya

A.11.5.6 Limitation of connection time Application and information access control A.11.6

Ya

Diperlukan untuk mengelola dan mengendalikan akses ke OS Seluruh user sudah memiliki satu pengenal yang unik (User ID ) User sudah diminta untuk setiap tiga bulan mengganti password , ada ketentuan jumlah minimum karakter dalam membuat password Penggunaan utility program di komputer dikendalikan oleh Administrator. Sudah diterapkan session time-out untuk memastikan bahwa sesi yang tidak aktif dalam jangka waktu tertentu dimatikan Sudah diterapkan pembatasan pada connection time


Klausul


Control Objectives

Justifikasi

A.11.6.1 Information access restriction

Ya

Diterapkan untuk membatasi akses informasi rahasia oleh user dan personil support

A.11.6.2 Sensitive system isolation

Ya

Sistem provisioning gateway sudah dijalankan di lingkungan yang dedicated

A.11.7

Mobile computing and Teleworking

A.11.7.1 Mobile computing and communications

Ya

A.11.7.2 Teleworking

Ya

A.12 Information systems acquisition, development and maintenance Security requirements of information systems A.12.1 Security requirements analysis and A.12.1.1 Ya specification Correct processing in applications A.12.2 A.12.2.1 Input data validation Ya A.12.2.2 Control of internal processing Ya A.12.2.3 Message integrity

Ya

A.12.2.4 Output data validation Cryptographic controls A.12.3

Ya

A.12.3.1 Policy on the use of cryptographic controls

Ya

A.12.3.2 Key management

Ya

A.12.4

Membuat prosedur untuk komunikasi dan pengolahan informasi melalui notebook, tablet, atau smartphone Penggunaan teleworking diperbolehkan oleh perusahaan dan sudah dijaga keamanannya menggunakan jaringan VPN

Diperlukan untuk menjamin agar sistem aplikasi yang digunakan memenuhi syarat keamanan Membuat prosedur validasi data masukan Pengecekan validasi akan dimasukan ke dalam aplikasi Persyaratan untuk memastikan keaslian dan perlindungan terhadap integritas dalam aplikasi harus diidentifikasi dan dikendalikan Membuat prosedur validasi data keluaran Kebijakan terkait penggunaan kontrol kriptografi untuk melindungi informasi sudah diimplementasikan Key management sudah diterapkan untuk mendukung penggunaan teknik kriptografi

Security of system files


Klausul


Control Objectives

Justifikasi

A.12.4.1 Control of operational software

Ya

A.12.4.2 Protection of system test data

Ya

Suda ada prosedur untuk mengontrol instalasi perangkat lunak pada sistem operasional Membuat prosedur perlindungan terhadap data system test

A.12.4.3 Access control to program source code

Ya

Membuat prosedur pengelolaan akses ke source code aplikasi

Ya

Diperlukan untuk mengendalikan perubahan aset dan layanan TI

Ya

Untuk mencegah agar perubahan sistem operasi tidak mengganggu operasional

Security in development and support processes A.12.5 A.12.5.1 Change control procedures Technical review of applications after A.12.5.2 operating system changes Restrictions on changes to software A.12.5.3 packages A.12.5.4 Information leakage A.12.5.5 Outsourced software development

Ya Ya Tidak

Untuk mencegah agar perubahan paket perangkat lunak tidak mengganggu operasional Untuk mencegah peluang terjadinya kebocoran informasi rahasia. Seluruh pengembangan perangkat lunak dikerjakan sendiri (insource). Penggunaan layanan pihak ketiga hanya untuk maintenance

Technical Vulnerability Management A.12.6 A.12.6.1 Control of technical vulnerabilities Ya Membuat prosedur pengeolaan kerawanan teknis A.13 Information security incident management Management of information security incidents and improvements A.13.1 Seluruh insiden harus dilaporkan ke Sub Unit Planning & Controlling untuk A.13.1.1 Reporting information security events Ya ditindaklanjuti dengan tepat Seluruh insiden harus dilaporkan ke Sub Unit Planning & Controlling untuk A.13.1.2 Reporting security weaknesses Ya ditindaklanjuti dengan tepat Management of information security incidents and improvements A.13.2 A.13.2.1 Responsibilities and procedures

Ya

Tugas masing-masing pihak yang terlibat dijelaskan dalam prosedur terkait


Klausul

A.13.2.2


Control Objectives

Learning from information security incidents

A.13.2.3 Collection of evidence

Ya Ya

Justifikasi

Membuat mekanisme yang memungkinkan jenis, besaran, dan biaya atas insiden keamanan informasi dikuantifikasi dan dimonitor Bukti-bukti terkait pelanggaran keamanan informasi akan dikumpulkan disimpan

A.14 Business continuity management Information security aspects of business continuity management A.14.1 Ya

Diperlukan untuk mengatasi gangguan yang mempengaruhi keberlangsungan layanan

Ya

BCP disusun dengan memperhatikan risk assessment

Developing and implementing continuity plans including information security

Ya

Strategi BCP dirancang dengan memperhatikan gangguan/insiden keamanan informasi yang mungkin terjadi.

A.14.1.4 Business continuity planning framework

Ya

Disusun sebagai acuan dalam menjamin keberlangsungan layanan

A.14.1.5

Ya

Untuk memastikan agar BCP yang dibangun dapat diterapkan secara tepat dan efektif

A.15.1.1 Identification of applicable legislation

Ya

Seluruh hukum, peraturan perundang-undangan dan persyaratan kontrak serta pendekatan organisasi untuk memenuhi persyaratan keamanan informasi sudah ditetapkan

A.15.1.2 Intellectual property rights (IPR)

Ya

Kecuali freeware, hanya perangkat lunak berlisensi yang boleh digunakan.

A.14.1.1

Including information security in the business continuity management process

A.14.1.2 Business continuity and risk assessment A.14.1.3

Testing, maintaining and reassessing business continuity plans A.15 Compliance Compliance with legal requirements A.15.1


Klausul


Control Objectives

A.15.1.3 Protection of organizational records Data protection and privacy of personal information Prevention of misuse of information A.15.1.5 processing facilities A.15.1.4

A.15.1.6 A.15.2 A.15.2.1 A.15.2.2 A.15.3 A.15.3.1 A.15.3.2

Justifikasi

Ya

Membuat dokumen perlindungan terhadap rekaman penting perusahaan dari kehilangan, penghancuran, atau pemalsuan

Ya

Data pribadi karyawan termasuk data rahasia yang harus dilindungi.

Akan dilakukan pengawasan terhadap penggunaan fasilitas pengolahan informasi untuk mencegah terjadinya penyalahgunaan. ISC mengikuti kontrol kriptografi perusahaan yang sudah sesuai dengan Regulation of cryptographic controls Ya regulasi yang relevan Compliance with security policies and standards, and technical compliance Compliance with security policies and Dilakukan pamantauan berkala untuk menjamin kepatuhan terhadap standar dan Ya kebijakan keamanan informasi standards Sistem informasi secara berkala akan diperiksa agar selalu sesuai dengan Technical compliance checking Ya standar implementasi keamanan Information system audit considerations Akan dilakukan audit internal untuk menjamin kepatuhan terhadap kebijakan Information systems audit controls Ya dan standar keamanan informasi Protection of information systems audit Membuat prosedur perlindungan terhadap system audit tools untuk mencegah Ya tools setiap kemungkinan penyalahgunaan atau gangguan Ya


UNIVERSITAS INDONESIA EVALUASI MANAJEMEN RISIKO KEAMANAN INFORMASI SISTEM PROVISIONING GATEWAY TELKOM FLEXI KARYA AKHIR EGA LESTARIA SUKMA

Recommend Documents