AUDIT KEAMANAN SISTEM INFORMASI PADA

BAGIAN DESKTOP MANAGEMENT BERDASARKAN

STANDAR ISO 27002:2005

DI PT. TELKOM DIVRE V JATIM

TUGAS AKHIR

Program Studi

S1 SISTEM INFORMASI

Oleh:

DIAN AYU PERMATA 08410100453

FAKULTAS TEKNOLOGI DAN INFORMATIKA

INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA 2015

Halaman

ABSTRAK ... v

KATA PENGANTAR ... vi

DAFTAR ISI ... ix

DAFTAR TABEL ... xiii

DAFTAR GAMBAR ... xviii

DAFTAR LAMPIRAN ... xx

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Perumusan Masalah ... 5

1.3 Batasan Masalah ... 6

1.4 Tujuan ... 7

1.5 Sistematika Penulisan ... 7

BAB II LANDASAN TEORI ... 9

2.1 Audit ... 9

2.2 Sistem Informasi ... 12

2.3 Audit Keamanan Sistem Informasi ... 13

2.4 Desktop Management ... 14

2.5 Standar Sistem Manajemen Keamanan Informasi ... 15

PT. Telekomunikasi Indonesia, Tbk. Nomor :

KD.57/HK-290/ITS-30/2006 ... 25

BAB III METODE PENELITIAN... 26

3.1 Tahap Perencanaan Audit Keamanan Sistem Informasi ... 34

3.1.1 Identifikasi Informasi Organisasi Perusahaan ... 35

3.1.2 Pemahaman Proses Bisnis ... 36

3.1.3 Penentuan Ruang Lingkup, Objek dan Tujuan Audit 37

3.1.4 Menentukan Klausul, Objektif Kontrol dan Kontrol . 37 3.1.5 Membuat dan Menyampaikan Engagement Letter .... 37

3.2 Tahap Persiapan Audit Keamanan Sistem Informasi ... 38

3.2.1 Penyusunan Audit Working Plan ... 38

3.2.2 Penyampaian Kebutuhan Data ... 38

3.2.3 Membuat Pernyataan ... 39

3.2.4 Melakukan Pembobotan Pernyataan ... 40

3.2.5 Membuat Pertanyaan... 41

3.3 Tahap Pelaksanaan Audit Keamanan Sistem Informasi ... 43

3.3.1 Melakukan Wawancara ... 43

3.3.2 Proses Pemeriksaan Data ... 45

3.3.3 Penyusunan Daftar Temuan Audit Keamanan Sistem Informasi dan Rekomendasi ... 46

3.3.4 Konfirmasi Daftar Temuan dan Rekomendasi ... 50

3.4 Tahap Pelaporan Audit Keamanan Sistem Informasi ... 51

Informasi ... 51

3.4.3 Persetujuan Draft Laporan Audit Keamanan Sistem Informasi ... 52

3.4.4 Pertemuan Penutup atau Pelaporan Hasil Audit Keamanan Sistem Informasi ... 52

BAB IV HASIL DAN PEMBAHASAN... 53

4.1 Hasil Perencanaan Audit Keamanan Sistem Informasi ... 54

4.1.1 Hasil Identifikasi Informasi Organisasi Perusahaan .. 54

4.1.2 Hasil Pemahaman Proses Bisnis ... 58

4.1.3 Ruang Lingkup, Objek dan Tujuan Audit ... 60

4.1.4 Hasil Klausul, Objektif Kontrol dan Kontrol.. ... 64

4.1.5 Engagement Letter.. ... 68

4.2Hasil Persiapan Audit Keamanan Sistem Informasi ... 68

4.2.1 Hasil Penyusunan Audit Working Plan ... 68

4.2.2 Hasil Penyampaian Kebutuhan Data ... 69

4.2.3 Hasil Pernyataan ... 71

4.2.4 Hasil Pembobotan Pernyataan ... 76

4.2.5 Hasil Pertanyaan ... 87

4.3Hasil Pelaksanaan Audit Keamanan Sistem Informasi ... 97

4.3.1 Hasil Wawancara ... 97

4.3.2 Hasil Pemeriksaan Data ... 108

4.3.3 Hasil Temuan dan Rekomendasi ... 116

4.4Hasil Pelaporan Audit Keamanan Sistem Informasi ... 126

4.4.1 Hasil Permintaan Tanggapan Atas Daftar Temuan Audit Keamanan Sistem Informasi ... 126

Audit Keamanan Sistem Informasi ... 126

4.4.3 Hasil Pertemuan Penutup atau Pelaporan Audit Keamanan Sistem Informasi ... 126

BAB V PENUTUP ... 127

5.1 Kesimpulan ... 127

5.2 Saran ... 128

DAFTAR PUSTAKA ... 129

Halaman

Tabel 2.1 Peta PDCA dalam proses SMKI ... 17

Tabel 2.2 Ringkasan jumlah klausul kontrol keamanan, objektif

kontrol dan kontrol ... 20

Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC

27002:2005 ... 21

Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen KD.57 ... 28

Tabel 3.2 Pemetaan Gambaran Proses Audit Menurut Davis dan

Tahap Audit yang Dikembangkan ... 34

Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf ... 35

Tabel 3.4 Audit Working Plan Secara Keseluruhan ... 38

Tabel 3.5 Contoh Lampiran Kebutuhan Data Penunjang yang

Diperlukan Dalam Pelaksanaan Audit ... 39

Tabel 3.6 Contoh Pernyataan Pada Klausul 11 Dengan Kontrol 11.3.1

Penggunaan Password (Password Use) ... 40

Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan ... 40

Tabel 3.8 Contoh Pembobotan Pada Klausul 11 Dengan Kontrol

11.3.1 Penggunaan Password (Password Use) ... 41

Tabel 3.9 Contoh Pertanyaan Pada Klausul 11 Dengan Kontrol 11.3.1

Penggunaan Password (Password Use) ... 42

Tabel 3.10 Contoh Wawancara Klausul 11 Dengan Kontrol 11.3.1

Penggunaan Password (Password Use) ... 44

Tabel 3.11 Contoh Dokumen Pemeriksaan Data Audit Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password

Tabel 3.12 Contoh Lampiran Temuan dan Rekomendasi Pada Klausul

11 (Sebelas) Kontrol Akses ... 47

Tabel 4.1 Job Description Desktop Management PT.Telkom DIVRE

V Jatim ... 57

Tabel 4.2 Pemetaan Alur Proses Bisnis dan Identifikasi Masalah ... 61

Tabel 4.3 Pemetaan Permasalahan dan Ruang Lingkup Audit

Keamanan Sistem Informasi ... 63

Tabel 4.4 Pemetaan Klausul, Objektif Kontrol dan Kontrol yang

Digunakan ... 65

Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses

Kedisiplinan (Disciplinary Process) ... 72

Tabel 4.6 Pernyataan Klausul 9 Dengan Kontrol 9.1.1 Pembatas

Keamanan Fisik (Physical security perimeter) ... 74

Tabel 4.7 Pernyataan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan

Password (Password Use) ... 75

Tabel 4.8 Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses

Kedisiplinan (Disciplinary Process) ... 78

Tabel 4.9 Pembobotan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan

Keamanan Fisik (Physical security perimeter) ... 81

Tabel 4.10 Pembobotan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan

Password (Password Use) ... 84

Tabel 4.11 Hasil Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process) Dengan Nilai Bobot

Medium(0,4-0,69) dan High(0,7-1,0) ... 85

Tabel 4.12 Hasil Pembobotan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik (Physical security perimeter)

Dengan Nilai Bobot Medium(0,4-0,69) dan High(0,7-1,0) .... 86

Tabel 4.13 Hasil Pembobotan Klausul 11 Dengan Objektif k Kontrol 11.3.1 (penggunaan password (Password Use)) Dengan

Tabel 4.14 Hasil Pertanyaan Klausul 8 Dengan Kontrol 8.2.3 Proses

Kedisiplinan (Disciplinary Process) ... 89

Tabel 4.15 Hasil Pertanyaan Klausul 9 Dengan Kontrol 9.1.1

Pembatasan Keamanan Fisik (Physical security perimeter) . 91

Tabel 4.16 Hasil Pertanyaan Klausul 11 Dengan Kontrol 11.3.1

Penggunaan password (Password Use) ... 94

Tabel 4.17 Pemetaan Wawancara dengan Beberapa Narasumber ... 98

Tabel 4.18 Hasil Wawancara Klausul 8 Dengan Kontrol 8.2.3 Proses

Kedisiplinan (Disciplinary Process) ... 99

Tabel 4.19 Hasil Wawancara Klausul 9 Dengan Kontrol 9.1.1

Pembatasan Keamanan Fisik (Physical security perimeter) .. 101

Tabel 4.20 Hasil Wawancara Klausul 11 Dengan Kontrol 11.3.1

Penggunaan Password (Password Use) ... 106

Tabel 4.21 Hasil Pemeriksaan Data Pada Klausul 8 Dengan Kontrol

8.2.3 Proses Kedisiplinan (Disciplinary Process) ... 109

Tabel 4.22 Hasil Pemeriksaan Data Pada Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik (Physical security

perimeter) ... 111

Tabel 4.23 Hasil Pemeriksaan Data Pada Klausul 11 Dengan Kontrol

11.3.1 Penggunaan password (Password Use) ... 113

Tabel 4.24 Daftar Temuan dan Rekomendasi Pada Klausul 8 Dengan

Kontrol 8.2.3 Proses Kedisiplinan ... 118

Tabel 4.25 Daftar Temuan dan Rekomendasi Pada Klausul 9 Dengan

Kontrol 9.1.1 Pembatas Keamanan Fisik ... 121

Tabel 4.26 Daftar Temuan dan Rekomendasi Pada Klausul 11 Dengan

Halaman

Gambar 2.1 Gambaran Proses Audit ... 10

Gambar 2.2 Aspek Keamanan Informasi ... 14

Gambar 2.3 Relasi Antar Keluarga Standar SMKI ... 16

Gambar 3.1 Tahapan-Tahapan dalam Audit Keamanan Sistem Informasi ... 27

Gambar 3.2 Tahapan dalam Menentukan Temuan Audit dan Rekomendasi ... 47

Gambar 4.1 Tahapan-Tahapan dalam Audit Keamanan Sistem Informasi ... 53

Gambar 4.2 Struktur Organisasi Desktop Management di PT. Telkom DIVRE V Jatim ... 56

Gambar 4.3 Bisnis Proses Desktop Management ... 60

Gambar 4.4 Hasil potongan Engagement Letter ... 70

Gambar 4.5 Hasil Audit Working Plan ... 70

Gambar 4.6 Lampiran Kebutuhan Data Penunjang yang Diperlukan Dalam Pelaksanaan Audit ... 71

Halaman

Lampiran 1 Engagement Letter... 130

Lampiran 2 Daftar Kebutuhan Data Audit ... 131

Lampiran 3 Pernyataan Audit ... 132

Lampiran 4 Pembobotan Pernyataan Audit ... 133

Lampiran 5 Hasil Pembobotan Pernyataan Audit ... 134

Lampiran 6 Pertanyaan Audit ... 135

Lampiran 7 Wawancara Audit ... 136

Lampiran 8 Program Pemeriksaan Data Audit ... 137

Lampiran 9 Temuan Dan Rekomendasi... 138

Lampiran 10 Persetujuan Draft Laporan Audit... 139

Lampiran 11 Penutup Laporan Audit... 140

Lampiran 12 Berita Acara Persetujuan Hasil Pembobotan Pernyataan ... 141

1

1.1 Latar Belakang

Perseroan Terbatas Telekomunikasi (PT Telkom) merupakan suatu

Badan Usaha Milik Negara (BUMN) yang bergerak dalam bidang jasa

telekomunikasi dan telah berdiri sejak tahun 1882. menyediakan sarana dan jasa

layanan telekomunikasi kepada masyarakat luas sampai ke pelosok daerah di

seluruh Indonesia. Perubahan besar terjadi pada tahun 1995 yang meliputi

restrukturisasi internal, Kerjasama Operasi (KSO), dan Initial Public Offering

(IPO). Sebagai hasil restrukturisasi, sejak 1 Juli 1995 organisasi PT Telkom terdiri

dari 7 (tujuh) Divisi Regional dan 1 (satu) Divisi Network yang keduanya

mengelola bidang usaha utama. PT Telkom DIVRE V JATIM merupakan salah

satu dari 7 (tujuh) Divisi Regional yang terletak di JL. Ketintang no.156

Surabaya. Perkembangan terakhir pada tanggal 1 Februari 2013 PT Telkom baru

saja melakukan Transformasi Organisasi (TO), dibagi menjadi dua divisi, yaitu

Divisi Telkom Barat yang berkedudukan di Jakarta dan Divisi Telkom Timur

(DTT) yang berkedudukan di Surabaya.

DIVRE V JATIM memiliki beberapa aset diantaranya aset piranti

lunak, aset informasi, aset fisik dan aset layanan. Salah satu aset PT Telkom

DIVRE V JATIM adalah Computer & Network Equipment Management System

(CNEMAS) merupakan aset piranti lunak yang dimiliki oleh bagian desktop

management di Divisi Information System Service Support Management (ISSSM)

pihak ketiga, tetapi asli dari pihak PT Telkom sendiri dan telah beroperasi selama

3 tahun terakhir. Bagian desktop management memiliki tugas mendukung

kebutuhan di bidang desktop dan fasilitas kerja pegawai seluruh Indonesia.

Dengan adanya penanganan kebutuhan desktop di seluruh Indonesia, maka bagian

desktop management ini sangat berperan penting dalam memanajemen keamanan

informasi, karena pegawai di seluruh Indonesia akan mengirimkan dan

mengakses data-data kebutuhan desktop serta fasilitas kerja dalam rentang waktu

tertentu.

Pada bagian desktop management ini belum pernah dilakukan audit

sebelumnya dan berdasarkan rekomendasi pihak perusahaan untuk dilakukan

audit pada bagian desktop management. Apabila proses kerja pada bagian desktop

management mengalami suatu kendala dikhawatirkan akan berdampak pada

proses bisnis perusahaan, karena bagian desktop berperan penting dalam

mendukung fasilitas kerja pegawai dan pemenuhan kebutuhan di bidang desktop

untuk pegawai Telkom di seluruh Indonesia. Apabila terdapat kendala dalam

pemenuhan kebutuhan fasilitas kerja para karyawan maka jelas akan menghambat

kinerja pegawai Telkom dan merugikan perusahaan dalam hal waktu, dimana

seharusnya waktu yang dapat digunakan untuk bekerja tetapi karyawan tersebut

tidak dapat bekerja karena mengalami kendala yaitu belum terpenuhi fasilitas

kerjanya seperti laptop dan perangkat desktop lainnya. Maka bagian desktop

management perlu diaudit dan diperkuat oleh dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor :

KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi untuk

desktop management membutuhkan evaluasi dan pemeriksaan tentang proses

manajemen resiko.

Audit yang digunakan dalam penelitian berdasarkan kebutuhan

perusahaan tersebut adalah audit keamanan sistem informasi. Hal ini diperlukan

untuk memenuhi Keputusan Direksi Perusahaan Perseroan (Persero) PT

Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang

Kebijakan Sekuriti Sistem Informasi. Apabila bagian desktop management tidak

memenuhi prosedur yang terdapat pada Keputusan Direksi Perusahaan Perseroan

(Persero) PT Telekomunikasi Indonesia, Tbk Nomor :

KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, dikhawatirkan akan

menyebabkan resiko tidak adanya kerahasiaan (Confidentiality) data, keutuhan

(Integrity) data, keamanan informasi, dan ketersediaan (Availability) data pada

bagian desktop management. Untuk mengurangi terjadinya resiko tersebut dan

mengetahui keamanan sistem informasi yang sedang berlangsung pada

perusahaan, maka perlu dilakukan audit keamanan sistem informasi.

Adapun yang dimaksud audit keamanan informasi adalah “suatu proses atau kejadian yang memiliki basis pada kebijakan atau standar keamanan untuk

menentukan semua keadaan dari perlindungan yang ada, dan untuk memverifikasi

apakah perlindungan yang ada berjalan dengan baik” (Ahmad 2012:27). Pada bagian desktop management, mulai tahun 2006 menggunakan standar yang

tercantum di dalam Keputusan Direksi Perusahaan Perseroan (Persero) PT

Telekomunikasi Indonesia, Tbk Nomor : KD. 57/HK-290/ITS-30/2006 tentang

Kebijakan Sekuriti Sistem Informasi. Adapun ketentuan standar yang berlaku

Kedua kebijakan sekuriti/keamanan sistem informasi tersebut menggunakan

referensi utama yaitu ISO/IEC 17799:2005.

Selain menggunakan standar ketentuan yang ada yaitu KD.

57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, penelitian ini juga

menggunakan referensi yang ada pada standar ISO 27002:2005 sebagai standar

yang paling baru diterapkan menggantikan standar lama ISO 17799:2005. ISO

27002 menyediakan rekomendasi best practice terhadap manajemen keamanan

informasi untuk digunakan oleh mereka yang bertanggung jawab untuk proses

implementasi, dan pemeliharaan Information Security Management Systems

(ISMS) pada suatu organisasi. Standar ini tidak mengharuskan bentuk-bentuk

kontrol yang tertentu tetapi menyerahkan kepada pengguna untuk memilih dan

menerapkan kontrol yang tepat sesuai kebutuhannya. Standar ini sangat fleksibel

digunakan karena sangat tergantung dari kebutuhan organisasi, tujuan organisasi,

persyaratan keamanan, proses bisnis dan dalam implementasinya bisa sangat

tergantung kebutuhan organisasi.

Berdasarkan permasalahan yang ada dan engagement letter yang telah

dibuat atas persetujuan antara dua belah pihak yakni manager desktop

management dan auditor, maka ada beberapa klausul yang digunakan sebagai

acuan untuk melakukan audit keamanan sistem informasi yaitu :

1. Keamanan Sumber Daya Manusia (Klausul 8)

2. Keamanan Fisik dan Lingkungan (Klausul 9)

3. Kontrol Akses (Klausul 11)

Klausul didapatkan berdasar kondisi permasalahan awal dari bagian

desktop management yang seharusnya terlindungi, dapat dilihat oleh karyawan

lain di bagian yang sama namun sebenarnya karyawan tersebut tidak memiliki

akses untuk melihat informasi khusus yang bukan haknya. Karena setiap

karyawan telah memiliki hak akses yang berbeda untuk melihat informasi yang

dibutuhkan sesuai jobnya, maka klausul 11 yang digunakan untuk acuan kontrol

akses. Lalu penempatan perangkat keras atau fisik yang kurang dilindungi dengan

maksimal, maka klausul 9 yang digunakan untuk acuan keamanan fisik dan

lingkungan. Karyawan yang tidak memenuhi ketentuan yang telah terdapat pada

dokumen kebijakan perusahaan yaitu Keputusan Direksi Perusahaan Perseroan

(Persero) PT Telekomunikasi Indonesia, Tbk Nomor :

KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, maka klausul 8 yang

menjadi acuan untuk keamanan sumber daya manusia. Batasan klausul tersebut

berdasarkan kesepakatan bersama antara auditor dan manager desktop

management. Dengan adanya audit keamanan sistem informasi pada bagian

desktop management di PT Telkom DIVRE V JATIM melalui penyusunan Tugas

Akhir maka diharapkan dapat menghasilkan temuan audit yang berupa daftar

temuan, hasil pengukuran untuk mengetahui rekomendasi perbaikan bagian

desktop management pada PT Telkom DIVRE V JATIM.

1.2Perumusan Masalah

Berdasarkan penjelasan pada latar belakang, maka perumusan masalah

yang didapat adalah sebagai berikut :

1. Bagaimana melaksanakan audit keamanan sistem informasi pada bagian

desktop management PT Telkom DIVRE V JATIM, berdasarkan standar ISO

2. Bagaimana memberikan hasil berupa temuan audit keamanan informasi yang

dilakukan di bagian desktop management PT Telkom DIVRE V JATIM

berdasarkan standar ISO 27002:2005?

1.3 Batasan Masalah

Berdasarkan perumusan masalah di atas, maka tujuan dalam audit

keamanan sistem informasi ini, agar tidak menyimpang dari tujuan yang akan

dicapai maka pembahasan masalah dibatasi pada hal-hal sebagai berikut:

1. Standar pelaksanaan audit keamanan sistem informasi yang digunakan

mengacu pada ISO 27002 : 2005 dan dokumen Keputusan Direksi

Perusahaan Perseroan(Persero) PT Telekomunikasi Indonesia, Tbk Nomor:

KD.57/HK-290/ITS-30/2006 .

2. Periode data yang digunakan untuk audit keamanan sistem informasi, Januari

2011 sampai 2013.

3. Tidak dilakukan penilaian resiko secara terperinci, melainkan hanya dengan

melakukan wawancara untuk mengetahui resiko yang menonjol pada bagian

Desktop Management

4. Tidak menggunakan data mengenai proses penyeleksian karyawan karena

seluruh data penyeleksian karyawan terdapat di Telkom Pusat kota Bandung

5. Klausul yang digunakan telah disesuaikan dengan kesepakatan auditor dan

Manager desktop management dan terlampir pula pada dokumen engagement

letter yaitu:

a. Klausul 8 : Keamanan Sumber Daya Manusia

c. Klausul 11 : Kontrol Akses

1.4 Tujuan

Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai

dalam penelitian ini adalah :

1. Menyusun dan mendokumentasikan hasil audit keamanan sistem informasi

pada bagian desktop management di PT Telkom DIVRE V JATIM

berdasarkan standar ISO 27002:2005 dan dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor:

KD.57/HK-290/ITS-30/2006.

2. Mengevaluasi temuan audit kemanan sistem informasi yang ada, dan

selanjutnya dapat dijadikan perbaikan untuk bagian desktop management

pada PT Telkom DIVRE V JATIM.

1.5 Sistematika Penulisan

Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun

dalam 5 (lima) bab, yaitu:

BAB I : PENDAHULUAN

Pada bab ini membahas tentang latar belakang masalah, rumusan

masalah serta batasan terhadap masalah yang akan dibahas, tujuan dari

pembahasan masalah yang diangkat, dan sistematika penulisan laporan

tugas akhir ini.

BAB II : LANDASAN TEORI

Pada bab ini dibahas mengenai teori-teori yang berkaitan dengan audit

sistem informasi, audit keamanan sistem informasi, desktop

management, standar sistem manajemen keamanan informasi, ISO/IEC

27002:2005.

BAB III : METODE PENELITIAN

Pada bab ini berisi penjelasan mengenai langkah-langkah yang

dilakukan dalam audit keamanan sistem informasi pada bagian desktop

management di PT Telkom DIVRE V Jatim yang meliputi perencanaan

audit, persiapan audit, pelaksanaan audit serta pelaporan audit.

BAB IV : HASIL DAN PEMBAHASAN

Pada bab ini dibahas tentang analisa dan evaluasi hasil temuan serta

rekomendasi dari kegiatan audit keamanan sistem informasi pada

bagian desktop management di PT Telkom DIVRE V Jatim.

BAB V : PENUTUP

Pada bab ini berisikan kesimpulan penelitian yang telah dilakukan

terkait dengan tujuan dan permasalahan yang ada, serta saran

sehubungan dengan adanya kemungkinan pengembangan sistem pada

9

2.1Audit

Penggunaan istilah audit telah banyak dipakai di berbagai disiplin ilmu,

mulai dari keuangan, pemerintahan hingga Teknologi Informasi (TI). Adapun

definisi audit menurut Sarno (2009a:171) adalah:

“Audit merupakan proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan

dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria

pemeriksaan (audit) yang ditetapkan”.

Dari pendapat Sarno diatas dapat disimpulkan bahwa audit mengandung

arti aktivitas yang berlangsung secara sistematik atau terarah, independen atau

mandiri dan terdokumentasi artinya ada rekam jejak, temuan atau bukti.

Selanjutnya dikatakan oleh Sarno “ Aktivitas yang berlangsung pada dasarnya serupa, yakni: penemuan ketidakpatutan proses yang ada terhadap

standar pengelolaan aktivitas terkait. Agar dapat sukses mengimplementasikan hal

tersebut, maka aktivitas audit seharusnya terencana dengan baik untuk

memberikan hasil yang optimal sesuai dengan kondisi bisnis masing-masing

Gambar 2.1 Gambaran Proses Audit (Sumber: Davis dkk, 2011:42)

Menurut Davis dkk (2011:42) beberapa tahapan audit seperti yang

terlihat pada gambar 2.1, setiap tahapan-tahapan akan dijelaskan sebagai berikut :

1. Planning

Sebelum melakukan audit terlebih dahulu harus menentukan rencana

meninjau bagaimana audit dilakukan. Jika proses perencaaan dilakukan secara

efektif, maka dapat membentuk tim audit yang dapat berjalan dengan baik.

Sebaliknya, jika itu dilakukan dengan buruk serta pekerjaan dimulai tanpa rencana

yang jelas tanpa arah, upaya tim audit dapat mengakibatkan kegagalan tujuan dari

proses perencaaan adalah menentukan tujuan dan ruang lingkup audit, yaitu harus

menentukan apa yang akan dicapai.

2. Fieldwork and Documentation

Sebagian besar audit terjadi selama fase ini, ada saat pemeriksaan

langkah-langkah yang dibuat selama tahap sebelumnya dijalankan oleh tim audit.

Saat ini tim audit telah memperoleh data dan melakukan wawancara yang akan

membantu anggota tim untuk menganalisis potensi resiko dan menentukan resiko

belum dikurangi dengan tepat. Auditor juga harus melakukan pekerjaan yang

dapat mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat

cukup informasi bagi orang untuk dapat memahami apa yang dilakukan dan

tersampainya kesimpula yang sama seperti auditor.

3. Issues Discovery and Validation

Pada tahap ini auditor harus menentukan dan melakukan perbaikan pada

daftar isu-isu yang potensial untuk memastikan isu-isu yang valid pada relevan.

Auditor harus mendiskusikan isu-isu potensial dengan pelanggan secepat

mungkin. Selain memvalidasi bahwa fakta-fakta telah benar, maka perlu

memvalidasi bahwa resiko yang disajikan oleh masalah ini cukup signifikan

memiliki nilai untuk pelaporan dan pengalamatan.

4. Solution Development

Setelah mengidentifikasikan isu-isu potensial di wilayah yang sedang

dilakukan audit dan telah memvalidasi fakta dan resiko, maka dapat dilakukan

rencanan untuk mengatasi setiap masalah. Tentu, hanya mengangkat isu-isu yang

tidak baik bagi perusahaan dan isu isu yang benar benar harus ditangani. Tiga

pendekatan umum yang digunakan untuk mengembangkan tindakan dalam

menangani masalah audit

a. Pendekatan rekomendasi

b.Pendekatan respon manajemen

c. Pendekatan Solusi

5. Report Drafting and Issuance

Setelah ditemukan masalah dalam lingkungan yang diaudit,

memvalidasi, dan mendapatkan solusi yang dikembangkan untuk mengatasi

masalah, maka dapat membuat draft untuk laporan audit. Laporan audit adalah

a. Untuk auditor dan perusahaan yang diaudit, berfungsi sebagai catatan

audit, hasilnya, dan rencana rekomendasi yang dihasilkan

b.Untuk manajemen senior dan komite audit, berfungsi sebagai “kartu

laporan” pada daerah yang telah diaudit.

6. Issue Tracking

Audit belum benar-benar lengkap sampai isu yang diangkat dalam audit

tersebut diselesaikan. Departemen harus mengembangkan suatu proses dimana

anggotanya dapat melacak dan mengikuti sampai isu terselesaikan. Auditor yang

melakukan atau memimpin audit bertanggung jawab untuk menindak lanjuti poin

dari audit seperti tanggal jatuh tempo untuk setiap pendekatan dari audit yang

dihasilkan.

2.2Sistem Informasi

“Sistem adalah sekelompok dua atau lebih komponen-komponen yang saling berkaitan (inter-related) atau subsistem-subsistem yang bersatu untuk

mencapai tujuan yang sama (common purpose).” (Gondodiyoto, 2007:106)

“Informasi berarti hasil suatu proses yang terorganisasi, memiliki arti dan

berguna bagi orang yang menerimanya .” adapun menurut James Hall pada bukunya (diterjemahkan oleh Amir Abadi Jusuf, 2001, p 14):”Informasi

menyebabkan pemakai melakukan suatu tindakan yang dapat ia lakukan atau tidak

dilakukan. Informasi ditentukan oleh efeknya pada pemakai, bukan oleh bentuk

fisiknya.” (Gondodiyoto, 2007:110)

Dengan demikian sistem informasi dapat didefinisikan sebagai kumpulan

terpadu, terintegrasi dalam suatu hubungan hirarkis tertentu dan bertujuan untuk

mengolah data menjadi informasi. (Gondodiyoto, 2007:112)

2.3 Audit Keamanan Sistem Informasi

Di sisi lain kita juga mengenal istilah “audit keamanan”, adapun yang dimaksud dengan “audit keamanan adalah suatu proses atau kejadian yang memiliki basis pada kebijakan atau standar keamanan untuk menentukan semua

keadaan dari perlindungan yang ada, dan untuk memverifikasi apakah

perlindungan yang ada berjalan dengan baik.”(Ahmad,2012:27)

Dari pengertian diatas dapat di garis bawahi bahwa audit keamanan

tujuan utamanya adalah memberikan perlindungan sesuai dengan kebijakan dan

standar keamanan yang ada serta memverifikasi apakah perlindungan sudah

berjalan dengan baik. Oleh karena itu, suatu hal yang penting untuk memahami

dan mengimplementasikan audit keamanan pada sistem informasi yang

digunakan. Penerapan audit keamanan sistem informasi dimaksudkan untuk

mengatasi segala masalah dan kendala baik secara teknis maupun non teknis.

Terdapat tiga kriteria mendasar dari keamanan teknologi informasi yang harus

diaudit kemanannya menurut (Ahmad, 2012 : 4), yaitu:

a. Kerahasiaan (confidentiality): Informasi bersifat rahasia dan harus

dilindungi terhadap keterbukaan dari yang tidak berhak atau berkepentingan.

b. Ketersediaan (availability): Layanan, fungsi sistem teknologi informasi, data

dan informasi harus tersedia bagi penggunaa saat diperlukan.

c. Integritas (integrity) :Data harus komplit dan tidak diubah. Dalam teknologi informasi, kata ”informasi” terkait dengan ”data”. Hilangnya integritas informasi berarti data tersebut telah tanpa adanya ijin atau ilegal.

Gambar 2.2 Aspek Keamanan Informasi (Sumber: Sarno, 2009a:37)

2.4 Desktop Management

Desktop management merupakan bagian dari ISSSM (Information

System Service Support Management), sedangkan ISSSM merupakan unit dari

Divisi ISC(Information System Center). Desktop management merupakan bagian

yang mendukung fasilitas kerja pegawai Telkom dan kebutuhan di bidang desktop

untuk wilayah seluruh Indonesia. Beberapa kebutuhan desktop tersebut

diantaranya adalah PC, laptop, layar proyektor, printer, dan lain lain.(wawancara

pada tanggal 10 Desember 2012)

Seperti yang telah dijelaskan pada latar belakang masalah terdahulu,

desktop management mempunyai peranan yang sangat penting dalam

memanagement keamanan informasi data-data kebutuhan desktop serta fasilitas

kerja PT Telkom di seluruh Indonesia. Apabila keamanan sistem informasi pada

desktop management tidak dilindungi maka akan terjadi penyalahgunaan

password yang beurjung pada penyalahgunaan akses pada aplikasi, memanipulasi data serta pencurian data oleh pihak yang tidak betanggung jawab.“Suatu

kenyataan yang dihadapi pada abad globalisasi ini adalah berbagai organisasi

Hal tersebut diperlihatkan dengan keberadaan sejumlah kasus kejahatan komputer

yang dilakukan secara sengaja, contohnya :pencurian data, aktivitas spionase,

percobaan hacking, tindakan vandalism. Ancaman serupa juga disebabkan karena

kejadian lain seperti bencana alam, misalnya: banjir, gempa bumi, tsunami dan

kebakaran.”(Sarno,2009a:28)

2.5 Standar Sistem Manajemen Keamanan Informasi

Sejak tahun 2005, International Organization for Standardization (ISO)

atau organisasi Internasional untuk standarisasi telah mengembangkan sejumlah

standar tentang Information Security Management System (ISMS) atau Sistem

Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun

panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000

yang terdiri dari :

a. ISO/IEC 27000:2009-ISMS Overview and Vocabulary

Dokumen definisi-definisi keamanan informasi yang digunakan sebagai istilah

dasar dalam serial ISO 27000.

b. ISO/IEC 27001:2005-ISMS Requirements

Berisi persyaratan standar yang harus dipenuhi untuk membangun SMKI.

c. ISO/IEC 27002:2005-Code of Practice for ISMS

Terkait dengan dokumen ISO 27001, namun dalam dokumen ini berisi

panduan praktis (code of practice) teknik keamanan informasi.

d. ISO/IEC 27003:2010-ISMS Implementation Guidance

Berisi matriks dan metode pengukuran keberhasilan implementasi SMKI.

e. ISO/IEC 27004:2009-ISMS Measurements

f. ISO/IEC 27005:2008-Infromation Security Risk Management

Dokumen panduan pelaksanaan manajemen resiko.

g. ISO/IEC 27006:2007-ISMS Certification Body Requirements

Dokumen panduan untuk sertifikasi SMKI perusahaan.

h. ISO/IEC 27007-Guidelines for ISMS Auditing

Dokumen panduan audit SMKI perusahaan.

ISO 27000 Overview and Vocabulary

ISO 27004 Measurements

ISO 27006 Certification Body

Requirements

ISO 27002 Code of Practice

ISO 27007 Audit Guidelines ISO 27001

Requirements

ISO 27005 Risk Management ISO 27003

Implementation Guidance

Termi

nologi

Per

syara

tan

Umum

Panduan Umu

m

Gambar 2.3 Relasi Antar Keluarga Standar SMKI (Sumber Ahmad,2012:13)

Adapun penjelasan dari standar ISMS tersebut dijelaskan sebagai berikut :

a. ISO/IEC 27000:2009 – ISMS Overview and Vocabulary

Standar ini dirilis tahun 2009, memuatprinsip-prinsip dasar Information

Security Management System, definisi sejumlah istilah penting dan hubungan

tahap pengembangan. Hubungan antar standar keluarga ISO 27000 dapat dilihat

pada gambar 3.

b. SNI ISO/IEC 27001- Persyaratan Sistem Manajemen Keamanan Informasi

SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi

Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus

dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi(SMKI).

Standar ini bersifat independen terhadap produk teknologi masyarakat

penggunaan pendekatan manajeman berbasis risiko,dan dirancang untuk

menjamin agar kontrol- kontrol keamanan yang dipilih mampu melindungi aset

informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi

pihak yang berkepentingan.

Standar ini dikembangkan dengan pendekatan proses sebagai suatu

model bagi penetapan, penerapan, pengoprasian, pemantauan, tinjau ulang

(review), pemeliharaan dan peningkatan suatu SMKI. Model PLAN – DO – CHECK–ACT (PDCA) diterapkan terhadap struktur keseluruhan proses SMKI. Dalam model PDCA, keseluruhan proses SMKI dapat dipetakan seperti Tabel 2.1.

Tabel 2.1 Peta PDCA dalam Proses SMKI (Sumber:Ahmad, 2012:15) PDCA dalam Proses SMKI

1. _{PLAN (Menetapkan SMKI)}

Menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola resiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dari sasaran

2. DO (Menerapkan dan mengoperasikan SMKI)

Menetapkan dan mengoperasikan kebijakan SMKI

Tabel 2.1 Peta PDCA dalam Proses SMKI (Sumber:Ahmad, 2012:15) PDCA dalam Proses SMKI

3. CHECK (Memantau dan melakukan tinjau ulang SMKI)

Mengkaji dan mengukur kinerja proses terhadap kebijakan, sasaran, praktek-praktek dalam menjalankan SMKI dan melaporkan hasilnya kepada manajemen untuk ditinjau efektivitasnya

4. ACT (Memelihara dan meningkatkan SMKI)

Melakukan tindakan perbaikan dan pencegahan, berdasarkan hasil evaluasi, audit internal dan tinjauan manajemen tentang SMKI atau kegiatan pemantauan lainnya untuk mencapai peningkatan yang

berkelanjutan.

c. ISO/IEC 27002:2005 – Code of Practice for ISMS

ISO/IEC 27002 berisi panduan ISO IEC 17799 tahun 2005, resmi

dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu

secara resmi diubah menjadi ISO IEC 27002 tahun 2005. Konten tersebut masih

persis sama. Standar ISO IEC 17799:2005 (sekarang dikenal sebagai ISO IEC

27002:2005) dikembangkan oleh IT Security Subcommittee (SC 27) dan

Technical Committee on Information Technology (ISO/IEC JTC 1) (ISO

27002, 2005).

d. ISO/IEC 27003:2010 – ISMS Implementation Guidance

Tujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagi

perancangan dan penerapan SMKI agar memenuhi persyaratan ISO 27001.

Standar ini menelaskan proses pembangunan SMKI meliputi pengarsipan,

perancangan dan penyusunan atau pengembangan SMKI yang digambarkan

sebagai suatu kegiatan proyek.

Standar ini menyediakan penyusunan dan penggunaan teknik pengukuran

untuk mengkaji efektivitas penerapan SMKI dan kontrol sebagaimana disyaratkan

ISO/IEC 27001. Standar ini juga membentu organisasi dalam mengukur

ketercapaian sasaran keamanan yang ditetapkan.

f. ISO/IEC 27005:2008 – Information Security Risk Management

Standar ini menyediakan panduan bagi kegiatan manajemen risiko

keamanan informasi dalam suatu organisasi, khususnya dalam rangka mendukung

persyaratan- persyaratan SMKI sebagaimana didefinisikan oleh ISO/IEC 27001.

Standar ini diterbitkan pada bulan Juni 2008.

g. ISO/IEC 27006:2007 – Prasyarat Badan Audit dan Sertifikasi

Standar ini menetapkan persyaratan dan memberikan panduan bagi

organisasi yang memiliki kewenangan untuk melakukan audit dan sertifikasi

SMKI.Standar ini utamanya dimaksudkan untuk mendukung porses akreditasi

Badan Sertifikasi ISO/IEC 27001 oleh Komite Akreditasi dari negara

masing-masing.

h. ISO/IEC 27007 – Guidelines for ISMS Auditing

Standar ini memaparkan panduan bagaimana melakukan audit SMKI

perusahaan.

2.5.1 ISO/IEC 27002:2005

Seperti yang telah dikemukakan pada bagian terdahulu, ISO/IEC

27002:2005 terkait dengan dokumen ISO 27001, namun dalam dokumen ini berisi

panduan praktis (code of practice) teknik keamanan informasi. Kontrol keamanan

control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol

keamanan/ kontrol (controls) yang dapat dilihat dalam Tabel 2.2.

Tabel 2.2 Ringkasan Jumlah Klausul Kontrol Keamanan, Objektif Kontrol dan Kontrol (Sumber: Sarno, 2009a:187)

Klausul

Jumlah

Objektif Kontrol Kontrol

5 1 2

6 2 11

7 2 5

8 3 9

9 2 13

10 10 31

11 7 25

12 6 16

13 2 5

14 1 5

15 3 10

Jumlah : 11 Jumlah : 39 Jumlah : 133

ISO 27002:2005 berisi panduan yang menjelaskan contoh penerapan

keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar

mencapai sasaran kontrol yang ditetapkan.Bentuk-bentuk kontrol yang disajikan

seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan didalam

ISO/IEC 27002.

Dalam penelitian ini ,audit keamanan sistem informasi akan difokuskan

pada standar 3 klausul yang sudah disesuaikan dengan kesepakatan auditor dan

manager desktop management dalam engagement letter/ surat perjanjian audit,

untuk detail struktur dokumen kontrol keamanan dari ISO/IEC 27002:2005 dapat

Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 Klausul: 8 Keamanan Sumber Daya Manusia

Kategori Keamanan Utama: 8.1 Sebelum menjadi pegawai Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk

meminimalkan resiko pencurian atau kesalahan dalam penggunaan fasilitas informasi.

8.1.1 Aturan dan tanggung jawab keamanan

Kontrol:

Aturan-aturan dan tanggung jawab dari pegawai, kontraktor dan pengguna pihak ketiga harus didefinisikan, didokumentasi sesuai dengan kebijakan Keamanan Informasi organisasi.

Kategori Keamanan Utama: 8.2 Selama menjadi pegawai Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami Keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang dihadapi oleh organisasi.

8.2.3 Proses kedisiplinan

Kontrol:

Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi.

Kategori Keamanan Utama: 8.3 Pemberhentian atau pemindahan pegawai Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindah dilakukan sesuai prosedur yang benar.

8.3.1 Tanggung jawab pemberhentian

Kontrol:

Tanggung jawab terhadap pemberhentian atau pemindahan pegawai, kontraktor atau pihak ketiga harus didefinisikan dan ditunjuk dengan jelas.

Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)

Klausul: 9 Keamanan fisik dan lingkungan Kategori Keamanan Utama: 9.1 Wilayah aman Objektif Kontrol:

Untuk mencegah akses fisik tanpa hak, kerusakan dan ganguan terhadap Informasi dan perangkatnya dalam organisasi.

9.1.1 Pembatasan keamanan fisik

Kontrol:

Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi.

9.1.2 Kontrol masuk fisik

Kontrol:

Wilayah aman (secure) harus dilindungi dengan kontrol akses masuk yang memadai untuk memastikan hanya orang yang berhak saja dibolehkan masuk.

Kategori Keamanan Utama: 9.2 Keamanan Peralatan Objektif Kontrol:

Untuk mencegah kehilangan, kerusakan, pencurian atau ketidakberesan aset dan gangguan terhadap aktivitas organisasi.

9.2.1 Letak peralatan dan pengamanannya

Kontrol:

Semua peralatan harus ditempatkan dengan tepat dan dilindungi untuk mengurangi resiko dari ancaman dan bahaya dari lingkungan sekitar atau kesempatan untuk diakses dari orang- orang yang tidak berhak.

9.2.3 Keamanan

pengkabelan

Kontrol:

Kabel daya dan telekomunikasi yang menyalurkan data dan layanan Informasi harus dilindungi dari gangguan dan kerusakan.

Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)

Klausul: 11 Kontrol Akses

Kategori Keamanan Utama: 11.1 Persyaratan bisnis untuk akses control Objektif Kontrol:

Untuk mengontrol akses Infromasi.

11.1.1 Kebijakan kontrol akses

Kontrol:

Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk akses.

Kategori Keamanan Utama: 11.2 Manajemen akses user Objektif Kontrol:

Untuk memastikan pengguna yang mempunyai hak akses ke Sistem Informasi dan yang tidak.

11.2.3 Manajemen password user

Kontrol:

Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk akses.

11.2.4 Tinjauan terhadap hak akses user

Kontrol:

Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk

akses.Manajemen harus melakukan tinjauan ulang terhadap hak akses user secara berkala melalui proses yang formal.

Kategori Keamanan Utama: 11.3 Tanggung jawab pengguna (user) Objektif Kontrol:

Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas pemrosesan Informasi

11.3.1 Penggunaan Password

Kontrol:

Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)

Kategori Keamanan Utama: 11.3 Tanggung jawab pengguna (user) Objektif Kontrol:

Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas pemrosesan Informasi

yang baik dalam pemilihan dan penggunaan password.

Kategori Keamanan Utama: 11.4 Kontrol Akses jaringan Objektif Kontrol:

Untuk mencegah akses tanpa hak ke dalam layanan jaringan

11.4.1

Kebijakan

penggunaan layanan jaringan

Kontrol:

Pengguna seharusnya hanya disediakan akses terhadaplayanan yang telah secara spesifik diotorifikasi dalam penggunaannya.

Kategori Keamanan Utama: 11.5 Kontrol Akses Sistem Operasi Objektif Kontrol:

Untuk mencegah akses tanpa hak ke sistem operasi.

11.5.3 Sistem Manajemen Password

Kontrol:

Sistem yang digunakan untuk mengelola password harus interaktif dan harus dipastikan passwordnya berkualitas.

Kategori Keamanan Utama: 11.6 Kontrol Akses Informasi dan aplikasi Objektif Kontrol:

Untuk mencegah akses tanpa hak terhadap Informasi yang terdapat di dalam aplikasi.

11.6.1 Pembatasan akses Informasi

Kontrol:

Akses terhadap Informasi dan sistem aplikasi oleh pengguna harus dibatasi sesuai dengan kebijakan keamanan yang ditentukan.

Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)

Kategori Keamanan Utama: 11.7 Komputasi bergerak dan bekerja dari lain tempat (teleworking)

Objektif Kontrol:

Untuk memastikan Keamanan Informasi saat menggunakan fasilitas komputasi bergerak atau bekerja darilaintempat.

11.7.1

Komunikasi dan terkomputerisasi yang bergerak

Kontrol:

Kebijakan secara formal seharusnya ditempatkan dan pengukuran keamanan yang sesuai seharusnya diadopsi untuk melindungi resiko dari penggunaan fasilitas komunikasi dan komputer yang bergerak.

2.5.2 Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk. Nomor : KD.57/HK-290/ITS-30/2006

Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia

dengan nomor : KD.57/HK-290/ITS-30/2006 merupakan dokumen tentang

kebijakan sekuriti sistem informasi yang digunakan oleh bagian Desktop

Management sebagai pedoman dalam melaksanakan segala kegiatan yang

berhubungan dengan keamanan informasi.

Di dalam dokumen Keputusan Direksi Perusahaan Perseroan PT

Telekomunikasi Indonesia dengan nomor : KD.57/HK-290/ITS-30/2006 tersebut

terdapat uraian panduan implementasi kegiatan keamanan informasi berupa Bab I

sampai Bab XIV, Pasal 1 sampai Pasal 53 yang menjelaskan tentang prosedur

atau langkah langkah dalam menjalankan keamanan informasi pada bagian

26

BAB III

METODE PENELITIAN

Pada Bab III akan dilakukan pembahasan dimulai dengan profil

perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan

tahapan-tahapan audit yang akan dilaksanakan. Dapat dilihat pada Gambar 3.1.

Studi literartur yang digunakan dalam metode penelitian ini adalah ISO

27002:2005 dan regulasi dari perusahaan yaitu dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor :

KD.57/HK-290/ITS-30/2006. Pada standar ISO 27002 dan dokumen Keputusan

Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk

Nomor : KD.57/HK-290/ITS-30/2006 terdapat beberapa kesamaan dalam

panduan implementasi audit yang dapat dilihat pada Tabel 3.1.

Setelah standar audit sudah ditetapkan pada proses studi literatur maka

terdapat suatu gambaran tahapan dalam audit keamanan sistem informasi.

Berdasarkan referensi dari Davis dengan memperhatikan juga referensi dari

(Windriya, 2013:35) maka gambaran tahapan dalam audit keamanan sistem

informasi dapat dikembangkan dan disederhanakan menjadi beberapa tahap audit

Studi Literatur

A. Studi ISO 27002 -Dokumen ISO/IEC 27002 edisi pertama 15-6-2005 -Buku Manajemen Keamanan Sitem Informasi (R. Sarno Iffano)

B. Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT.Telekomunikasi Indonesia, Tbk. Nomor : KD. 57/HK-290/ITS-30/2006.

Perencanaan Audit

1.Identifikasi informasi organisasi perusahaan 2.Pemahaman proses bisnis 3.Penentuan ruang lingkup, objek audit & tujuan audit 4.Penentuan klausul, objektif kontrol dan kontrol

5.Membuat dan menyampaikan

Engagement Letter

Persiapan Audit

1.Melakukan penyusunan Audit

Working Plan (AWP)

2.Penyampaian kebutuhan data 3.Membuat pernyataan 4.Melakukan pembobotan pernyataan

5.Membuat pertanyaan

Pelaksanaan Audit

1.Melakukan wawancara pada pihak terkait

2.Melakukan pemeriksaan data 3.Penyusunan daftar temuan audit dan rekomendasi 4. Konfirmasi temuan dan rekomendasi audit

Pelaporan Audit

1.Permintaan tanggapan atas daftar temuan audit

2.Penyusunan draft laporan audit 3.Persetujuan draft laporan audit 4.Pelaporan hasil audit

Hasil Perencanaan Audit

1.Profil perusahaan, visi misi PT.Telkom DIVRE V Jatim, profil

Desktop Management, Struktur

Organisasi Desktop Management, deskripsi pekerjaan di Desktop

Management

2. Alur proses bisnis desktop

management

3.Ruang lingkup, objek audit & tujuan audit

4.Hasil pemilihan klausul,objektif kontrol dan kontrol

5.Engagement Letter

Hasil Persiapan Audit

1.Audit Working Plan untuk merencanakan dan memantau pelaksanaan audit

2.Kebutuhan data yang diperlukan auditor

3.Pernyataan yang dibuat oleh auditor

4.Tingkat pembobotan masing-masing pernyataan

5.Daftar pertanyaan dari pernyataan yang dibuat oleh auditor

Hasil Pelaksanaan Audit

1.Dokumen wawancara 2.Dokumen pemeriksaan 3.Daftar temuan & rekomendasi

Hasil Pelaporan Audit

1.Hasil Permintaan Tanggapan Atas Temuan Audit

2.Penyusunan dan persetujuan Draft laporan Audit

3.Pertemuan penutup, notulen pertemuan penutup audit

Planning

Fieldwork and Documentation

Fieldwork and Documentation , Issues Discovery and Validation,

Solution Development

Report Drafting and Issuance , Issue Tracking

Keterangan :

Referensi dari Davis

Tahap Pengembangan Langkah Audit

Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006

No

Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.

Nomor : KD.57/HK-290/ITS-30/2006

ISO 27002:2005

1.

Bab V

Sekuriti Sumber Daya Manusia

Pasal 13 Sebelum Penugasan

Dalam pasal 13 ini mengatur tentang pengelolaan SDM serta proses screening pada calon karyawan serta pekerja kontrak dan mitra kerja yang harus menandatangani Term and Conditions.

Pasal 14

Selama Penugasan

Dalam pasal 14 ini mengatur tentang pemahaman Security Awareness yang cukup untuk menjalani prosedur sekuriti dalam pekerjaannya dan untuk

meminimalisir terjadinya human eror.

Klausul 8 Keamanan Sumber Daya Manusia

Kategori Keamanan Utama: 8.1 (Berelasi dengan Pasal 13 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Sebelum menjadi pegawai Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga

memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimalkan resiko pencurian atau kesalahan dalam penggunaan fasilitas informasi.

8.1.1 Aturan dan tanggung jawab

keamanan 8.1.2 Seleksi

8.1.3 Persyaratan dan Kondisi yang harus dipenuhi oleh pegawai

Kategori Keamanan Utama: 8.2 (Berelasi dengan Pasal 14 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Selama Menjadi Pegawai Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga

Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)

No

Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.

Nomor : KD.57/HK-290/ITS-30/2006

ISO 27002:2005

1.

Pasal 15 Pemutusan atau Penggantian

Tugas

Dalam pasal 15 ini mengatur tentang tata cara pemberhentian atau

penggantian tugas karyawan, hak akses yang diberikan pada

karyawan, serta pengembalian aset apabila sudah tidak bekerja.

memahami Keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang

dihadapi oleh organisasi.

8.2.1 Tanggung jawab manajemen 8.2.2 Pendidikan dan pelatihan Keamanan Informasi

8.2.3 Proses kedisiplinan

Kategori Keamanan Utama: 8.3 (Berelasi dengan Pasal 15 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Pemberhentian atau pemindahan pegawai

Objektif Kontrol:

Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindah dilakukan sesuai prosedur yang benar.

8.3.1 Tanggung jawab pemberhentian 8.3.2 Pengembalian aset-aset

8.3.3 Penghapusan hak akses

2.

Bab VI

Sekuriti Fisik dan Lingkungan Aset Informasi

Pasal 16 Area Aman

Klausul 9 Keamanan Fisik dan Lingkungan

Kategori Keamanan Utama: 9.1 (Berelasi dengan Pasal 16 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)

No

Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.

Nomor : KD.57/HK-290/ITS-30/2006

ISO 27002:2005

2.

Dalam pasal 16 ini mengatur tentang area aman harus diberi batas fisik, hanya dapat dimasuki oleh personil yang memiliki hak akses serta didesain dengan mempertimbangkan aspek sekuriti.

Pasal 17 Sekuriti Perangkat Teknologi

Informasi

Dalam pasal 17 ini mengatur tentang perangkat teknologi informasi harus ditempatkan di lokasi yang aman, serta kabel daya dan kabel

komunikasi harus dilindungi dari kerusakan

Wilayah Aman

Objektif Kontrol:

Untuk mencegah akses fisik tanpa hak, kerusakan dan ganguan terhadap Informasi dan perangkatnya dalam organisasi.

9.1.1 Pembatasan Keamanan Fisik 9.1.2 Kontrol Masuk Fisk

9.1.3 Keamanan kantor, ruang dan fasilitasnya

9.1.4 Perlindungan terhadap ancaman

dari luar dan lingkungan sekitar 9.1.5 Bekerja di wilayah aman

9.1.6 Akses publik, tempat pengiriman dan penurunan barang

Kategori Keamanan Utama: 9.2 (Berelasi dengan Pasal 17 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Keamanan Peralatan 9.2.1 Letak peralatan dan

pengamanannya 9.2.2 Utilitas pendukung

9.2.3 Keamanan pengkabelan

9.2.4 Pemeliharaan peralatan 9.2.5 Keamanan peralatan diluar

tempat yang tidak disyaratkan 9.2.6 Keamanan untuk pembuangan atau pemanfaatan kembali peralatan 9.2.7 Hak pemanfaatan

Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)

No

Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.

Nomor : KD.57/HK-290/ITS-30/2006 ISO 27002:2005 3. Bab VIII Kontrol Akses Pasal 34 Manajemen Akses Pengguna

Dalam pasal 34 ini mengatur tentang prosedur kontrol akses sistem

informasi, pemberian dan

pencabutan hak akses, serta alokasi password yang harus dikelola untuk memaksimumkan perlindungan terhadap sistem, aplikasi dan data.

Pasal 35 Tanggung Jawab Pengguna

Dalam pasal 35 ini mengatur tentang tanggung jawab pengguna untuk melindungi aset informasi, pengguna harus bertanggung jawab untuk memelihara kontrol akses yang diberikan serta pengguna harus menjamin bahwa perangkat yang sedang tidak dikontrol memiliki proteksi yang memadai.

Klausul 11 Kontrol Akses

Kategori Keamanan Utama: 11.1

Persyaratan bisnis untuk akses kontrol Objektif Kontrol:

Untuk mengontrol akses informasi.

11.1.1 Kebijakan kontrol akses

Kategori Keamanan Utama: 11.2 (Berelasi dengan Pasal 34 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Manajemen akses user Objektif Kontrol:

Untuk memastikan pengguna yang mempunyai hak akses ke Sistem Informasi dan yang tidak.

11.2.1 Registrasi pengguna 11.2.2 Manajemen hak istimewa

11.2.3 Manajemen password user 11.2.4 Tinjauan terhadap hak akses user

Kategori Keamanan Utama: 11.3 (Berelasi dengan Pasal 35 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Tanggung jawab pengguna (user) Objektif Kontrol:

Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas

Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)

No

Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.

Nomor : KD.57/HK-290/ITS-30/2006

ISO 27002:2005

3.

Pasal 36 Kontrol Akses Layanan Jaringan

Dalam pasal 36 ini mengatur tentang harus dilakukannya pengendalian akses ke layanan jaringan internal dan eksternal, unit pengelola teknologi informasi bertanggung jawab untuk menyusun prosedur implementasi layanan jaringan.

Pasal 37

Kontrol Akses Sistem Operasi

Dalam pasal 37 ini mengatur tentang pengendalian akses sistem operasi dilakukan dengan prosedur log-on untuk mengurangi akses yang tidak

pemrosesan Informasi.

11.3.1 Penggunaan password 11.3.2 Peralatan penggunaan yang

tanpa penjagaan

11.3.3 Kebijakan clear desk dan clear screen

Kategori Keamanan Utama: 11.4 (Berelasi dengan Pasal 36 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Kontrol Akses Jaringan Objektif Kontrol:

Untuk mencegah akses tanpa hak ke dalam layanan jaringan.

11.4.1 Kebijakan penggunaan layanan jaringan 11.4.2 Otentikasi pengguna untuk

melakukan koneksi keluar

11.4.3 Identifikasi peralatan di dalam jaringan

11.4.4 Perlindungan remote

diagnosticdan konfigurasi port 11.4.5 Pemisahan dengan jaringan

11.4.6 Kontrol terhadap koneksi jaringan

11.4.7 Kontrol terhadap routing jaringan

Kategori Keamanan Utama: 11.5 (Berelasi dengan Pasal 37 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)

No

Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.

Nomor : KD.57/HK-290/ITS-30/2006

ISO 27002:2005

3.

terotorisasi.

Pasal 38 Kontrol Akses Aplikasi dan

Informasi

Dalam pasal 38 ini mengatur tentang akses terhadap informasi dan

aplikasi harus diatur berdasarkan prosedur.

Pasal 39

Mobile Computing dan

Teleworking

Dalam pasal 39 ini mengatur tentang seluruh perangkat mobile computing sedapat mungkin harus mengikuti prosedur keamanan yang berlaku.

Kontrol Akses Sistem Operasi Objektif Kontrol:

Untuk mencegah akses tanpa hak ke sistem operasi.

11.5.1 Prosedur Log-On yang aman 11.5.2 Identifikasi dan autentikasi

pengguna

11.5.3 Sistem Manajemen Password 11.5.4 Penggunaan utilitas sistem

diagnosticdan konfigurasi port 11.5.5 Sesi time-out

11.5.6 Batasan waktu koneksi

Kategori Keamanan Utama: 11.6 (Berelasi dengan Pasal 38 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Kontrol Akses Informasi dan aplikasi Objektif Kontrol:

Untuk mencegah akses tanpa hak terhadap Informasi yang terdapat di dalam aplikasi.

11.6.1 Pembatasan akses informasi 11.6.2 Pengisolasian sistem yang

sensitif

Kategori Keamanan Utama: 11.7 (Berelasi dengan Pasal 39 dari Dokumen Keputusan Direksi

Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)

Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)

No

Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.

Nomor : KD.57/HK-290/ITS-30/2006

ISO 27002:2005

3.

Komputasi bergerak dan bekerja dari lain tempat (teleworking)

Objektif Kontrol: Untuk memastikan Keamanan

Informasi saat menggunakan fasilitas komputasi bergerak atau bekerja darilaintempat.

11.7.1 Komunikasi dan

terkomputerisasi yang bergerak 11.7.2 Teleworking

Tabel 3.2 Pemetaan Gambaran Proses Audit Menurut Davis dan Tahap Audit yang Dikembangkan

No Davis Proses Pengembangannya

1 Planning Pada tahap planning ini masuk ke dalam tahap

perencanaan audit

2 Fieldwork and Documentation

Pada tahap Fieldwork and Documentation ini masuk ke dalam tahap persiapan audit dan pelaksanaan audit

3 Issues Discovery and Validation

Pada tahap Issues Discovery and Validation masuk ke dalam tahap pelaksanaan audit

4 Solution Development Pada tahap Solution Development ini masuk ke dalam tahapan pelaksanaan audit

5 Report Drafting and Issuance

Pada tahap Report Drafting and Issuance masuk ke dalam tahap pelaporan audit

6 Issue Tracking Pada tahap Issue Tracking masuk ke dalam tahap

pelaporan audit

3.1 Tahap Perencanaan Audit Keamanan Sistem Informasi

Pada tahap ini langkah-langkah yang dilakukan yakni 1.) Identifikasi

Informasi organisasi perusahaan 2.) Pemahaman proses bisnis, 3.) Menentukan

ruang lingkup, objek audit dan tujuan audit, 4.) Penentuan klausul, objektif

kontrol dan kontrol, 5.) Membuat dan menyampaikan engagement letter. Dari

perusahaan, ruang lingkup dan tujuan yang telah ditentukan serta klausul yang

telah ditentukan oleh kedua belah pihak.

3.1.1 Identifikasi Informasi Organisasi Perusahaan

Pada tahapan perencanaan audit, proses pertama yang dilakukan adalah

mengidentifikasi informasi organisasi perusahaan yang diaudit dengan

mempelajari dokumen-dokumen yang terkait dengan perusahaan. Dokumen

tersebut berupa profil perusahaan PT Telkom Divre V Jatim, visi misi PT Telkom

Divre V Jatim, profil bagian Desktop Management, struktur organisasi Desktop

Management serta deskripsi pekerjaan di Desktop Management. Langkah

selanjutnya adalah mencari informasi apakah sebelumnya perusahaan telah

melaksanakan proses audit. Apabila pernah dilakukan audit, maka auditor perlu

mengetahui dan memeriksa laporan audit sebelumnya.

Untuk menggali pengetahuan tentang informasi organisasi perusahaan

langkah yang dilakukan adalah dengan cara mengetahui dan memeriksa

dokumen-dokumen yang terkait dengan proses audit, wawancara manajemen dan staff, serta

melakukan observasi. Salah satu contoh proses identifikasi informasi organisasi

perusahaan dengan wawancara manajemen dan staff dapat dilihat pada Tabel 3.3.

Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf

Wawancara Permasalahan Pada Desktop Management

Auditor : Dian Ayu P

Auditee : Bpk Agus Widodo

(Bagian Officer 2 administrasi & monitoring) & Pak Uyud (Bagian Officer 1 Desktop Operation & Lisensi)

Tanggal : 10 Desember 2012

1. T: Apakah pada perusahaan ini khususnya di bagian Desktop Management PT Telkom Divre V Jatim memiliki suatu regulasi khusus

Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf (Lanjutan)

Wawancara Permasalahan Pada Desktop Management

Auditor : Dian Ayu P

Auditee : Bpk Agus Widodo

(Bagian Officer 2 administrasi & monitoring) & Pak Uyud (Bagian Officer 1 Desktop Operation & Lisensi)

Tanggal : 10 Desember 2012

2. 1. untuk audit atau keterikatan, misalnya seperti Bank regulasinya adalah PBI/BI, apabila saham berdasarkan BEI/Bapepam? Apabila tidak ada regulasi khusus, dapatkah saya nantinya mengaudit pada bagian tertentu berdasarkan SOP atau kebijakan atau peraturan yg berlaku pada perusahaan ini?

3. J: Mengenai SOP (Standard Operating Procedure), hampir seluruh alur proses bisnis datanya tidak di sini tapi terdapat di Telkom Bandung. Namun terdapat satu bagian yang dapat anda audit karena masih bisa dilihat secara langsung proses kerjanya yaitu di bagian Desktop Management. Pada bagian tersebut terdapat aplikasi penyimpanan dokumen, serta prosedur standard keamanan untuk penggunaan password.

4. 2. T : Pada setiap perusahaan pasti terdapat beberapa aset berharga, contoh : aset informasi, aset piranti lunak, aset fisik, aset layanan. Pada bagian Desktop Management , terdapat aset apa saja?

5. J : Ya aset-aset tersebut semuanya ada di sini. Di antaranya yaitu : Aset informasi :berupa dokumentasi prosedur standard keamanan untuk penggunaan password, Aset fisik :berupa fasilitas dari perusahaan yaitu PC, printer dan perabotan kantor lainnya, Aset piranti lunak :berupa aplikasi CNEMAS (Computer & Network Equipment Management System), Aset layanan :berupa pencahayaan, AC, dll

6. 3. T: Bagaimana penjelasan secara umum mengenai fungsi aplikasi tersebut?

7. J: CNEMAS merupakan suatu aset piranti lunak yang berfungsi untuk mengontrol pergerakan fasilitas kerja pegawai

3.1.2 Pemahaman Proses Bisnis

Proses kedua pada tahapan perencanaan audit ini adalah mengetahui

proses bisnis perusahaan sebelum dilakukan audit dengan cara memahami proses

bisnis yang ada pada bagian Desktop Management. Output yang dihasilkan dalam

3.1.3 Penentuan Ruang Lingkup, Objek Audit dan Tujuan Audit

Proses ketiga pada tahapan perencanaan ini adalah mengidentifikasi

ruang lingkup dan tujuan yang akan dibahas dalam audit kali ini. Penentuan ruang

lingkup dilakukan dengan cara melakukan observasi, wawancara dan kuesioner

pada bagian Desktop management. Pada proses ini, langkah yang selanjutnya

dilakukan adalah mengidentifikasi tujuan yang berhubungan dengan kebutuhan

audit keamanan sistem informasi. Output yang dihasilkan adalah hasil ruang

lingkup, objek audit dan tujuan audit.

3.1.4 Menentukan Klausul, Objektif Kontrol dan Kontrol

Pada proses ini langkah yang dilakukan adalah menentukan objek mana

saja yang akan diperiksa sesuai dengan permasalahan yang ada dan kebutuhan

perusahaan. Menentukan klausul, objektif kontrol dan kontrol yang sesuai dengan

kendala dan kebutuhan Desktop management. Klausul, objektif kontrol dan

kontrol yang ditentukan harus berdasarkan kesepakatan antara auditor dengan

auditee dan disesuaikan dengan standar ISO 27002:2005. Output yang dihasilkan

adalah hasil pemilihan klausul yang akan diperiksa, objektif kontrol dan kontrol

sesuai ISO 27002:2005 yang juga tertuang pada engagement letter.

3.1.5 Membuat dan Menyampaikan Engagement Letter

Pada tahap ini adalah membuat dan menyampaikan Engagement Letter

atau surat perjanjian audit. Surat perjanjian audit adalah surat persetujuan antara

kedua belah pihak yang bersangkutan yaitu auditor dengan manager Desktop

Management tentang syarat-syarat pekerjaan audit yang akan dilakukan oleh

manajemen dan auditor, lingkup audit dan ketentuan audit. Output yang

dihasilkan adalah berupa dokumen Engagement Letter yang disepakati oleh kedua

belah pihak.

3.2 Tahap Persiapan Audit Keamanan Sistem Informasi

Pada tahap ini langkah-langkah yang dilakukan yaitu: 1.) Melakukan

penyusunan audit working plan, 2.) Penyampaian kebutuhan data, 3.) Membuat

pernyataan, 4.) Melakukan pembobotan pernyataan dan 5.) Membuat pertanyaan.

3.2.1 Penyusunan Audit Working Plan

Audit working plan merupakan dokumen yang dibuat oleh auditor dan

digunakan untuk merencanakan dan memantau pelaksanaan audit keamanan

sistem informasi secara terperinci. Output yang dihasilkan adalah daftar susunan

AWP dan dapat dilihat pada tabel 3.4

Tabel 3.4 Audit Working Plan Secara Keseluruhan

ID Task Name Duration Start Finish

1 Total Hari Audit 355 days Thu 3/27/14 Fri 7/31/15

2 Perencanaan Audit Sistem

Informasi 113 days Thu 3/2714 Fri 8/29/14

7 Persiapan Audit Sistem

Informasi 200 days Wed 8/6/14 Thu 5/7/15

13 Pelaksanaan Audit Sistem

Informasi 238 days Fri 9/5/14 Fri 7/31/15

18 Pelaporan Audit Sistem

Informasi 65 days Mon 5/4/15 Fri 7/31/15

3.2.2 Penyampaian Kebutuhan Data

Penyampaian kebutuhan data yang diperlukan auditor dapat disampaikan

terlebih dahulu kepada auditee agar dapat dipersiapkan terlebih dahulu. Fieldwork

dilaksanakan auditor setelah auditee menginformasikan ketersediaan semua data

secara efektif. Output yang dihasilkan adalah daftar penyampaian kebutuhan data

perusahaan pada tampilan Tabel 3.5.

Tabel 3.5 Contoh Lampiran Kebutuhan Data Penunjang yang Diperlukan Dalam Pelaksanaan Audit

Lampiran Permintaan Kebutuhan Data/Dokumen

No. Data yang diperlukan

Ketersediaan Data

Keterangan

Tanda Tangan

Ada Tidak

ada Auditee Auditor

1 Profil perusahaan

2 Struktur organisasi Desktop Management

3 Job description pegawai di Desktop Management 4 Alur proses bisnis

perusahaan

5 Dokumen kebijakan

keamanan sistem informasi 6 Dokumen prosedur Desktop

Management

3.2.3 Membuat Pernyataan

Proses selanjutnya pada tahapan persiapan audit ini dilakukan dengan

membuat pernyataan berdasarkan kontrol keamanan yang terdapat pada setiap

klausul yang telah ditetapkan berdasarkan standar ISO 27002. Pada setiap kontrol

keamanan dapat ditentukan pernyataan yang mendiskripsikan implementasi dan

pemeliharaan kontrol keamanan tersebut. Output yang dihasilkan adalah salah

satu contoh pernyataan pada klausul 11 (sebelas) Kontrol Akses dengan kontrol

Tabel 3.6 Contoh Pernyataan Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use)

PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)

Klausul 11.3 Tanggung Jawab Pengguna (User Respon sibilities)

ISO 27002 11.3.1 Penggunaan Password (Password Use)

Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam

pemilihan dan penggunaan password.

No. PERNYATAAN

1. Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password 2. Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau

password dalam keadaan bahaya

3. Terdapat larangan dalam pembuatan catatan password

4. Terdapat larangan untuk tidak membagi satu password kepada pengguna lain 5. Terdapat pergantian password sementara pada saat pertama kali log-on 6. Terdapat pemilihan password secara berkualitas yang mudah diingat

7. Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama

3.2.4 Melakukan Pembobotan Pernyataan

Setelah membuat pernyataan, maka langkah selanjutnya adalah

melakukan pengukuran pembobotan pada setiap pernyataan. Pembobotan

dilakukan berdasarkan perhitungan yang dilakukan oleh (Niekerk dan

Labuschagne dalam hastin 2012: 39), dengan membagi tingkat pembobotan dalam

manajemen menjadi 3 (tiga), yaitu: rendah, cukup dan tinggi. Output yang

dihasilkan adalah contoh tingkat kepentingan dalam pembobotan pernyataan pada

Tabel 3.7 dan salah satu contoh pembobotan yang ada dalam klausul 11 (sebelas)

Kontrol Akses dapat dilihat pada Tabel 3.8.

Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan

(Sumber: Niekerk dan Labuschagne dalam Hastin, 2012:39)

Resiko Bobot Keterangan

Rendah 0,00 - 0,39 Pernyataan tersebut mempunyai peranan kurang penting dalam proses sistem informasi

Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan (Lanjutan) (Sumber: Niekerk dan Labuschagne dalam Hastin, 2012:39)

Resiko Bobot Keterangan

Cukup 0,40 - 0,69 Pernyataan tersebut mempunyai peranan cukup penting dalam proses sistem informasi

Tinggi 0,70 - 1,00 Pernyataan tersebut mempunyai peranan sangat penting dalam proses sistem informasi

Tabel 3.8 Contoh Pembobotan Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use)

PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)

Klausul 11.3 Tanggung Jawab Pengguna (user)

ISO 27002 11.3.1 Penggunaan password

Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam

pemilihan dan penggunaan password.

No. PERNYATAAN

Bobot

Rendah (0,1-0,39)

Cukup (0,4-0,69)

Tinggi (0,7-1,0)

1. Adanya kesadaran dari diri sendiri untuk

menjaga kerahasiaan password 1

2.

Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya

0,6

3. Terdapat larangan dalam pembuatan

catatan password 0,8

4. Terdapat larangan untuk tidak membagi

satu password kepada pengguna lain 1

5. Terdapat pergantian password sementara

pada saat pertama kali log-on 1

6. Terdapat pemilihan password secara

berkualitas yang mudah diingat 0,6

7.

Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama

0,7

3.2.5 Membuat Pertanyaan

Pada proses ini langkah yang dilakukan adalah membuat pertanyaan dari

pernyataan yang telah ditentukan sebelumnya. Pada satu pernyataan bisa memiliki

124

TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P

Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) ASPEK : KLAUSUL 11 (KONTROL AKSES) Tanggal : 30 Juni -30 Juli 2015

No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko

dan Rekomendasi

Tanggapan dan Komitmen Penyelesaian Resiko :

Informasi yang seharusnya tidak diketahui oleh yang bukan haknya bisa diketahui dengan mudah dengan adanya saling menitipkan password. Pihak manajemen bisa memberikan sanksi kepada pemilik user-ID dan resiko yang paling fatal ialah pemutusan hubungan kerja dan dituntut secara hukum. Rekomendasi :

- Segera merencanakan konsekuensi khusus bagi karyawan yang belum sadar akan pentingnya untuk tidak menyebarkan password dan perusahaan harus konsisten dengan peraturan yang dibuat karena tidak ada gunanya peraturan dibuat namun implementasinya masih kurang

Begitu pula dengan penambahan level keamanan passwordnya nanti kami akan mencoba mengusulkannya ke pihak Unit Pengelola Teknologi Informasi.

Dari hasil wawancara dengan pihak Desktop Management dan bukti foto dan rekaman serta wawancara maka didapatkan temuan pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan) yaitu adanya karyawan yang tidak mematuhi prosedur yang telah ditetapkan tersebut, yaitu menitipkan password ke rekan kerja, untuk klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik) yaitu pintu darurat terkadang rusak karena pernah digunakan untuk akses keluar masuk barang dan untuk klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password) terdapat temuan yaitu masih ada karyawan kurang disiplin dalam menjaga passwordnya agar tidak dititipkan ke sesama rekan kerja . Dari hasil temuan yang didapatkan pada klausul 8 dengan kontrol 8.2.3 maka rekomendasi yang dapat diberikan adalah dengan memberikan konsekuensi kepada karyawan apabila menitipkan password kepada orang lain, dan di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d juga dituliskan konsekuensi untuk karyawan tersebut, jadi tidak hanya dituliskan larangan memberitahukan password. Lalu segera merencanakan untuk menambahkan sanksi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut kepada Direksi. Untuk rekomendasi pada temuan klausul 9 dengan kontrol 9.1.1 yaitu segera membuat prosedur tentang keamanan pintu darurat sesuai standar beserta pemeliharaannya agar tidak digunakan selain dalam keadaan bahaya. Untuk rekomendasi klausul 11 dengan kontrol 11.3.1 yaitu pihak perusahaan segera memberi konsekuensi khusus untuk karyawan yang salling menitipkan password tersebut, dan dibuatkan jenjang level keamanan password pada aplikasi yang digunakan.

126

4.4Hasil Pelaporan Audit Keamanan Sistem Informasi

Tahap pelaporan adalah tahap untuk melaporkan secara resmi sebagai suatu bentuk penyelesaian proses audit yang dilakukan. Hasil pelaporan audit diserahkan kepada pihak yang berwenang saja dikarenakan bersifat tertutup untuk kalangan umum atau rahasia.

4.4.1 Hasil Permintaan Tanggapan Atas Daftar Temuan Audit Keamanan

Sistem Informasi

Permintaan tanggapan atas daftar temuan audit dilakukan oleh auditor kepada auditee dengan memberikan tanggapan atas apa yang telah ditemukan auditor dan memberikan komitmen penyelesaiannya. Hasil permintaan tanggapan atas daftar temuan audit telah dilaksanakan dan dapat dilihat pada Lampiran 9.

4.4.2Hasil Penyusunan dan Persetujuan Draft Laporan Audit Keamanan

Sistem Informasi

Setelah dilakukan penyusunan draft laporan audit keamanan sistem informasi berupa kertas kerja audit, temuan dan tanggapan auditee sebagai bentuk tanggung jawab atas penugasan audit keamanan sistem informasi yang telah selesai dilaksanakan maka dilakukan persetujuan audit. Hasil persetujuan draft laporan audit dapat dilihat pada Lampiran 10.

4.4.3Hasil Pertemuan Penutup atau Pelaporan Audit Keamanan Sistem

Informasi

Pertemuan penutup memberikan penjelasan mengenai kondisi yang telah diaudit. Pertemuan penutup dihasilkan berupa exit meeing yang dapat dilihat pada Lampiran 11.

127 5.1 Kesimpulan

Berdasarkan hasil audit keamanan sistem informasi yang telah dilakukan maka didapat kesimpulan berupa:

1. Audit keamanan sistem informasi pada bagian desktop management di PT Telkom DIVRE V Jatim telah berhasil dilakukan dan didokumentasikan sesuai dengan Audit Working Plan (AWP) berdasarkan standar ISO 27002:2005 dan dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi yang dilakukan dengan menggunakan beberapa klausul yang telah disepakati bersama yaitu Keamanan Sumber Daya Manusia, Keamanan Fisik dan Lingkungan, dan Kontrol Akses

2. Berdasarkan hasil evaluasi keamanan sistem informasi pada bagian desktop management terdapat beberapa temuan yaitu adanya ketidak patuhan karyawan terhadap kebijakan perusahaan, penempatan lingkungan fisik yang kurang terlindungi secara optimal seperti adanya pintu darurat yang digunakan untuk akses keluar masuk barang sehingga terkadang pintu darurat tersebut rusak serta adanya rekan kerja yang menitipkan password kepada rekan kerja yang memiliki akses informasi yang berbeda

3. Rekomendasi untuk beberapa temuan audit yang tidak sesuai dengan kebijakan perusahaan tersebut yaitu dengan menambahkan konsekuensi yang

128

jelas pada dokumen kebijakan perusahaan bagi karyawan yang tidak patuh, sesuai dengan pelanggaran yang dilakukan. Untuk penempatan lingkungan fisik segera dilakukan perlindungan yang optimal seperti memberi prosedur khusus agar pintu darurat hanya digunakan untuk kondisi darurat saja dan tidak boleh digunakan untuk akses keluar masuk barang agar tidak cepat rusak. Untuk akses informasi yang kurang terlindungi dan kurangnya tingkat kedisiplinan karyawan dalam menjaga password, sebaiknya pihak perusahaan segera memperbaiki mekanisme pengendalian akses informasi dengan cara membuat jenjang level keamanan password pada aplikasi yang digunakan. 5.2 Saran

Beberapa saran yang dapat diberikan untuk pengembangan lebih lanjut adalah sebagai berikut:

1. Bagian Desktop Management di PT Telkom DIVRE V Jatim harus melakukan audit keamanan sistem informasi secara berkala agar dapat mengurangi risiko keamanan informasi setidaknya setahun sekali.

2. Audit keamanan sistem informasi pada bagian Desktop Management di PT Telkom DIVRE V Jatim dapat dikembangkan dengan beberapa keamanan kontrol yang lain pada standar ISO 27002:2005.

129

Ahmad, Amar. 2012. Bakuan Audit Keamanan Informasi Kemenpora. Republik Indonesia : Kementrian Pemuda dan Olahraga.

Davis, Chris.2007. IT Auditing Using Controls to Protect Information Assets. United States of America : The McGraw-Hill Companies.

Direksi Perusahaan Perseroan (Persero) PT. Telekomunikasi Indonesia, Tbk . 2006. Kebijakan Sekuriti Sistem Informasi. Surabaya : PT. Telekomunikasi Indonesia, Tbk

Ermana, Fine. 2011. Audit keamanan sistem informasi Berdasarkan Standar ISO 20071 Pada PT. BPR JATIM : STIKOM Surabaya. Laporan Tugas Akhir STIKOM Surabaya.

Gondodiyoto, Sanyoto. 2007. Audit Sistem Informasi +Pendekatan Cobit. Jakarta : Mitra Wacana Media.

IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta : Andi

ISO/IEC 27002. 2005. Information technology — Security techniques — Code of practice for information security management International.ISO.

Ningtyas, Hastin Istiqomah. 2012. Audit Keamanan sistem Informasi Manajemen Aset Berdasarkan Standar ISO 27002 (Studi Kasus PT. Varia Usaha Beton). STIKOM Surabaya. Laporan Tugas Akhir STIKOM Surabaya. Sarno, R. dan Iffano, I. 2009a. Sistem Manajemen Keamanan Informasi.

Surabaya: ITS Press.

Sarno, Riyanarto. 2009b. Audit Sistem & Teknologi Informasi. Surabaya: ITS Press.

Windriya, Danastri Rasmona. 2013. Audit Keamanan Sistem Informasi Pada Instalasi Sistem Informasi Manajemen RSUD Bangil Berdasarkan ISO 27002. STIKOM Surabaya. Laporan Tugas Akhir STIKOM Surabaya. Yaner, Annisa Destiara. 2013. Audit Keamanan Sistem Informasi Pada Instalasi

Sistem Informasi Management (SIM-RS) Berdasarkan ISO 27002:2005 (Pada Rumah Sakit Haji Surabaya). STIKOM Surabaya. Laporan Tugas Akhir STIKOM Surabaya.