TA : Audit Keamanan Sistem Informasi Pada Bagian Desktop Management Berdasarkan Standar ISO 27002:2005 di PT. Telkom Divre V Jatim.
AUDIT KEAMANAN SISTEM INFORMASI PADA
BAGIAN DESKTOP MANAGEMENT BERDASARKAN
STANDAR ISO 27002:2005
DI PT. TELKOM DIVRE V JATIM
TUGAS AKHIR
Program Studi
S1 SISTEM INFORMASI
Oleh:
DIAN AYU PERMATA 08410100453
FAKULTAS TEKNOLOGI DAN INFORMATIKA
INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA 2015
(2)
Halaman
ABSTRAK ... v
KATA PENGANTAR ... vi
DAFTAR ISI ... ix
DAFTAR TABEL ... xiii
DAFTAR GAMBAR ... xviii
DAFTAR LAMPIRAN ... xx
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang ... 1
1.2 Perumusan Masalah ... 5
1.3 Batasan Masalah ... 6
1.4 Tujuan ... 7
1.5 Sistematika Penulisan ... 7
BAB II LANDASAN TEORI ... 9
2.1 Audit ... 9
2.2 Sistem Informasi ... 12
2.3 Audit Keamanan Sistem Informasi ... 13
2.4 Desktop Management ... 14
2.5 Standar Sistem Manajemen Keamanan Informasi ... 15
(3)
PT. Telekomunikasi Indonesia, Tbk. Nomor :
KD.57/HK-290/ITS-30/2006 ... 25
BAB III METODE PENELITIAN... 26
3.1 Tahap Perencanaan Audit Keamanan Sistem Informasi ... 34
3.1.1 Identifikasi Informasi Organisasi Perusahaan ... 35
3.1.2 Pemahaman Proses Bisnis ... 36
3.1.3 Penentuan Ruang Lingkup, Objek dan Tujuan Audit 37
3.1.4 Menentukan Klausul, Objektif Kontrol dan Kontrol . 37 3.1.5 Membuat dan Menyampaikan Engagement Letter .... 37
3.2 Tahap Persiapan Audit Keamanan Sistem Informasi ... 38
3.2.1 Penyusunan Audit Working Plan ... 38
3.2.2 Penyampaian Kebutuhan Data ... 38
3.2.3 Membuat Pernyataan ... 39
3.2.4 Melakukan Pembobotan Pernyataan ... 40
3.2.5 Membuat Pertanyaan... 41
3.3 Tahap Pelaksanaan Audit Keamanan Sistem Informasi ... 43
3.3.1 Melakukan Wawancara ... 43
3.3.2 Proses Pemeriksaan Data ... 45
3.3.3 Penyusunan Daftar Temuan Audit Keamanan Sistem Informasi dan Rekomendasi ... 46
3.3.4 Konfirmasi Daftar Temuan dan Rekomendasi ... 50
3.4 Tahap Pelaporan Audit Keamanan Sistem Informasi ... 51
(4)
Informasi ... 51
3.4.3 Persetujuan Draft Laporan Audit Keamanan Sistem Informasi ... 52
3.4.4 Pertemuan Penutup atau Pelaporan Hasil Audit Keamanan Sistem Informasi ... 52
BAB IV HASIL DAN PEMBAHASAN... 53
4.1 Hasil Perencanaan Audit Keamanan Sistem Informasi ... 54
4.1.1 Hasil Identifikasi Informasi Organisasi Perusahaan .. 54
4.1.2 Hasil Pemahaman Proses Bisnis ... 58
4.1.3 Ruang Lingkup, Objek dan Tujuan Audit ... 60
4.1.4 Hasil Klausul, Objektif Kontrol dan Kontrol.. ... 64
4.1.5 Engagement Letter.. ... 68
4.2Hasil Persiapan Audit Keamanan Sistem Informasi ... 68
4.2.1 Hasil Penyusunan Audit Working Plan ... 68
4.2.2 Hasil Penyampaian Kebutuhan Data ... 69
4.2.3 Hasil Pernyataan ... 71
4.2.4 Hasil Pembobotan Pernyataan ... 76
4.2.5 Hasil Pertanyaan ... 87
4.3Hasil Pelaksanaan Audit Keamanan Sistem Informasi ... 97
4.3.1 Hasil Wawancara ... 97
4.3.2 Hasil Pemeriksaan Data ... 108
4.3.3 Hasil Temuan dan Rekomendasi ... 116
4.4Hasil Pelaporan Audit Keamanan Sistem Informasi ... 126
4.4.1 Hasil Permintaan Tanggapan Atas Daftar Temuan Audit Keamanan Sistem Informasi ... 126
(5)
Audit Keamanan Sistem Informasi ... 126
4.4.3 Hasil Pertemuan Penutup atau Pelaporan Audit Keamanan Sistem Informasi ... 126
BAB V PENUTUP ... 127
5.1 Kesimpulan ... 127
5.2 Saran ... 128
DAFTAR PUSTAKA ... 129
(6)
Halaman
Tabel 2.1 Peta PDCA dalam proses SMKI ... 17
Tabel 2.2 Ringkasan jumlah klausul kontrol keamanan, objektif
kontrol dan kontrol ... 20
Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC
27002:2005 ... 21
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen KD.57 ... 28
Tabel 3.2 Pemetaan Gambaran Proses Audit Menurut Davis dan
Tahap Audit yang Dikembangkan ... 34
Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf ... 35
Tabel 3.4 Audit Working Plan Secara Keseluruhan ... 38
Tabel 3.5 Contoh Lampiran Kebutuhan Data Penunjang yang
Diperlukan Dalam Pelaksanaan Audit ... 39
Tabel 3.6 Contoh Pernyataan Pada Klausul 11 Dengan Kontrol 11.3.1
Penggunaan Password (Password Use) ... 40
Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan ... 40
Tabel 3.8 Contoh Pembobotan Pada Klausul 11 Dengan Kontrol
11.3.1 Penggunaan Password (Password Use) ... 41
Tabel 3.9 Contoh Pertanyaan Pada Klausul 11 Dengan Kontrol 11.3.1
Penggunaan Password (Password Use) ... 42
Tabel 3.10 Contoh Wawancara Klausul 11 Dengan Kontrol 11.3.1
Penggunaan Password (Password Use) ... 44
Tabel 3.11 Contoh Dokumen Pemeriksaan Data Audit Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password
(7)
Tabel 3.12 Contoh Lampiran Temuan dan Rekomendasi Pada Klausul
11 (Sebelas) Kontrol Akses ... 47
Tabel 4.1 Job Description Desktop Management PT.Telkom DIVRE
V Jatim ... 57
Tabel 4.2 Pemetaan Alur Proses Bisnis dan Identifikasi Masalah ... 61
Tabel 4.3 Pemetaan Permasalahan dan Ruang Lingkup Audit
Keamanan Sistem Informasi ... 63
Tabel 4.4 Pemetaan Klausul, Objektif Kontrol dan Kontrol yang
Digunakan ... 65
Tabel 4.5 Pernyataan Klausul 8 Dengan Kontrol 8.2.3 Proses
Kedisiplinan (Disciplinary Process) ... 72
Tabel 4.6 Pernyataan Klausul 9 Dengan Kontrol 9.1.1 Pembatas
Keamanan Fisik (Physical security perimeter) ... 74
Tabel 4.7 Pernyataan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan
Password (Password Use) ... 75
Tabel 4.8 Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses
Kedisiplinan (Disciplinary Process) ... 78
Tabel 4.9 Pembobotan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan
Keamanan Fisik (Physical security perimeter) ... 81
Tabel 4.10 Pembobotan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan
Password (Password Use) ... 84
Tabel 4.11 Hasil Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process) Dengan Nilai Bobot
Medium(0,4-0,69) dan High(0,7-1,0) ... 85
Tabel 4.12 Hasil Pembobotan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik (Physical security perimeter)
Dengan Nilai Bobot Medium(0,4-0,69) dan High(0,7-1,0) .... 86
Tabel 4.13 Hasil Pembobotan Klausul 11 Dengan Objektif k Kontrol 11.3.1 (penggunaan password (Password Use)) Dengan
(8)
Tabel 4.14 Hasil Pertanyaan Klausul 8 Dengan Kontrol 8.2.3 Proses
Kedisiplinan (Disciplinary Process) ... 89
Tabel 4.15 Hasil Pertanyaan Klausul 9 Dengan Kontrol 9.1.1
Pembatasan Keamanan Fisik (Physical security perimeter) . 91
Tabel 4.16 Hasil Pertanyaan Klausul 11 Dengan Kontrol 11.3.1
Penggunaan password (Password Use) ... 94
Tabel 4.17 Pemetaan Wawancara dengan Beberapa Narasumber ... 98
Tabel 4.18 Hasil Wawancara Klausul 8 Dengan Kontrol 8.2.3 Proses
Kedisiplinan (Disciplinary Process) ... 99
Tabel 4.19 Hasil Wawancara Klausul 9 Dengan Kontrol 9.1.1
Pembatasan Keamanan Fisik (Physical security perimeter) .. 101
Tabel 4.20 Hasil Wawancara Klausul 11 Dengan Kontrol 11.3.1
Penggunaan Password (Password Use) ... 106
Tabel 4.21 Hasil Pemeriksaan Data Pada Klausul 8 Dengan Kontrol
8.2.3 Proses Kedisiplinan (Disciplinary Process) ... 109
Tabel 4.22 Hasil Pemeriksaan Data Pada Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik (Physical security
perimeter) ... 111
Tabel 4.23 Hasil Pemeriksaan Data Pada Klausul 11 Dengan Kontrol
11.3.1 Penggunaan password (Password Use) ... 113
Tabel 4.24 Daftar Temuan dan Rekomendasi Pada Klausul 8 Dengan
Kontrol 8.2.3 Proses Kedisiplinan ... 118
Tabel 4.25 Daftar Temuan dan Rekomendasi Pada Klausul 9 Dengan
Kontrol 9.1.1 Pembatas Keamanan Fisik ... 121
Tabel 4.26 Daftar Temuan dan Rekomendasi Pada Klausul 11 Dengan
(9)
Halaman
Gambar 2.1 Gambaran Proses Audit ... 10
Gambar 2.2 Aspek Keamanan Informasi ... 14
Gambar 2.3 Relasi Antar Keluarga Standar SMKI ... 16
Gambar 3.1 Tahapan-Tahapan dalam Audit Keamanan Sistem Informasi ... 27
Gambar 3.2 Tahapan dalam Menentukan Temuan Audit dan Rekomendasi ... 47
Gambar 4.1 Tahapan-Tahapan dalam Audit Keamanan Sistem Informasi ... 53
Gambar 4.2 Struktur Organisasi Desktop Management di PT. Telkom DIVRE V Jatim ... 56
Gambar 4.3 Bisnis Proses Desktop Management ... 60
Gambar 4.4 Hasil potongan Engagement Letter ... 70
Gambar 4.5 Hasil Audit Working Plan ... 70
Gambar 4.6 Lampiran Kebutuhan Data Penunjang yang Diperlukan Dalam Pelaksanaan Audit ... 71
(10)
Halaman
Lampiran 1 Engagement Letter... 130
Lampiran 2 Daftar Kebutuhan Data Audit ... 131
Lampiran 3 Pernyataan Audit ... 132
Lampiran 4 Pembobotan Pernyataan Audit ... 133
Lampiran 5 Hasil Pembobotan Pernyataan Audit ... 134
Lampiran 6 Pertanyaan Audit ... 135
Lampiran 7 Wawancara Audit ... 136
Lampiran 8 Program Pemeriksaan Data Audit ... 137
Lampiran 9 Temuan Dan Rekomendasi... 138
Lampiran 10 Persetujuan Draft Laporan Audit... 139
Lampiran 11 Penutup Laporan Audit... 140
Lampiran 12 Berita Acara Persetujuan Hasil Pembobotan Pernyataan ... 141
(11)
1
1.1 Latar Belakang
Perseroan Terbatas Telekomunikasi (PT Telkom) merupakan suatu
Badan Usaha Milik Negara (BUMN) yang bergerak dalam bidang jasa
telekomunikasi dan telah berdiri sejak tahun 1882. menyediakan sarana dan jasa
layanan telekomunikasi kepada masyarakat luas sampai ke pelosok daerah di
seluruh Indonesia. Perubahan besar terjadi pada tahun 1995 yang meliputi
restrukturisasi internal, Kerjasama Operasi (KSO), dan Initial Public Offering
(IPO). Sebagai hasil restrukturisasi, sejak 1 Juli 1995 organisasi PT Telkom terdiri
dari 7 (tujuh) Divisi Regional dan 1 (satu) Divisi Network yang keduanya
mengelola bidang usaha utama. PT Telkom DIVRE V JATIM merupakan salah
satu dari 7 (tujuh) Divisi Regional yang terletak di JL. Ketintang no.156
Surabaya. Perkembangan terakhir pada tanggal 1 Februari 2013 PT Telkom baru
saja melakukan Transformasi Organisasi (TO), dibagi menjadi dua divisi, yaitu
Divisi Telkom Barat yang berkedudukan di Jakarta dan Divisi Telkom Timur
(DTT) yang berkedudukan di Surabaya.
DIVRE V JATIM memiliki beberapa aset diantaranya aset piranti
lunak, aset informasi, aset fisik dan aset layanan. Salah satu aset PT Telkom
DIVRE V JATIM adalah Computer & Network Equipment Management System
(CNEMAS) merupakan aset piranti lunak yang dimiliki oleh bagian desktop
management di Divisi Information System Service Support Management (ISSSM)
(12)
pihak ketiga, tetapi asli dari pihak PT Telkom sendiri dan telah beroperasi selama
3 tahun terakhir. Bagian desktop management memiliki tugas mendukung
kebutuhan di bidang desktop dan fasilitas kerja pegawai seluruh Indonesia.
Dengan adanya penanganan kebutuhan desktop di seluruh Indonesia, maka bagian
desktop management ini sangat berperan penting dalam memanajemen keamanan
informasi, karena pegawai di seluruh Indonesia akan mengirimkan dan
mengakses data-data kebutuhan desktop serta fasilitas kerja dalam rentang waktu
tertentu.
Pada bagian desktop management ini belum pernah dilakukan audit
sebelumnya dan berdasarkan rekomendasi pihak perusahaan untuk dilakukan
audit pada bagian desktop management. Apabila proses kerja pada bagian desktop
management mengalami suatu kendala dikhawatirkan akan berdampak pada
proses bisnis perusahaan, karena bagian desktop berperan penting dalam
mendukung fasilitas kerja pegawai dan pemenuhan kebutuhan di bidang desktop
untuk pegawai Telkom di seluruh Indonesia. Apabila terdapat kendala dalam
pemenuhan kebutuhan fasilitas kerja para karyawan maka jelas akan menghambat
kinerja pegawai Telkom dan merugikan perusahaan dalam hal waktu, dimana
seharusnya waktu yang dapat digunakan untuk bekerja tetapi karyawan tersebut
tidak dapat bekerja karena mengalami kendala yaitu belum terpenuhi fasilitas
kerjanya seperti laptop dan perangkat desktop lainnya. Maka bagian desktop
management perlu diaudit dan diperkuat oleh dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor :
KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi untuk
(13)
desktop management membutuhkan evaluasi dan pemeriksaan tentang proses
manajemen resiko.
Audit yang digunakan dalam penelitian berdasarkan kebutuhan
perusahaan tersebut adalah audit keamanan sistem informasi. Hal ini diperlukan
untuk memenuhi Keputusan Direksi Perusahaan Perseroan (Persero) PT
Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang
Kebijakan Sekuriti Sistem Informasi. Apabila bagian desktop management tidak
memenuhi prosedur yang terdapat pada Keputusan Direksi Perusahaan Perseroan
(Persero) PT Telekomunikasi Indonesia, Tbk Nomor :
KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, dikhawatirkan akan
menyebabkan resiko tidak adanya kerahasiaan (Confidentiality) data, keutuhan
(Integrity) data, keamanan informasi, dan ketersediaan (Availability) data pada
bagian desktop management. Untuk mengurangi terjadinya resiko tersebut dan
mengetahui keamanan sistem informasi yang sedang berlangsung pada
perusahaan, maka perlu dilakukan audit keamanan sistem informasi.
Adapun yang dimaksud audit keamanan informasi adalah “suatu proses atau kejadian yang memiliki basis pada kebijakan atau standar keamanan untuk
menentukan semua keadaan dari perlindungan yang ada, dan untuk memverifikasi
apakah perlindungan yang ada berjalan dengan baik” (Ahmad 2012:27). Pada bagian desktop management, mulai tahun 2006 menggunakan standar yang
tercantum di dalam Keputusan Direksi Perusahaan Perseroan (Persero) PT
Telekomunikasi Indonesia, Tbk Nomor : KD. 57/HK-290/ITS-30/2006 tentang
Kebijakan Sekuriti Sistem Informasi. Adapun ketentuan standar yang berlaku
(14)
Kedua kebijakan sekuriti/keamanan sistem informasi tersebut menggunakan
referensi utama yaitu ISO/IEC 17799:2005.
Selain menggunakan standar ketentuan yang ada yaitu KD.
57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, penelitian ini juga
menggunakan referensi yang ada pada standar ISO 27002:2005 sebagai standar
yang paling baru diterapkan menggantikan standar lama ISO 17799:2005. ISO
27002 menyediakan rekomendasi best practice terhadap manajemen keamanan
informasi untuk digunakan oleh mereka yang bertanggung jawab untuk proses
implementasi, dan pemeliharaan Information Security Management Systems
(ISMS) pada suatu organisasi. Standar ini tidak mengharuskan bentuk-bentuk
kontrol yang tertentu tetapi menyerahkan kepada pengguna untuk memilih dan
menerapkan kontrol yang tepat sesuai kebutuhannya. Standar ini sangat fleksibel
digunakan karena sangat tergantung dari kebutuhan organisasi, tujuan organisasi,
persyaratan keamanan, proses bisnis dan dalam implementasinya bisa sangat
tergantung kebutuhan organisasi.
Berdasarkan permasalahan yang ada dan engagement letter yang telah
dibuat atas persetujuan antara dua belah pihak yakni manager desktop
management dan auditor, maka ada beberapa klausul yang digunakan sebagai
acuan untuk melakukan audit keamanan sistem informasi yaitu :
1. Keamanan Sumber Daya Manusia (Klausul 8)
2. Keamanan Fisik dan Lingkungan (Klausul 9)
3. Kontrol Akses (Klausul 11)
Klausul didapatkan berdasar kondisi permasalahan awal dari bagian
(15)
desktop management yang seharusnya terlindungi, dapat dilihat oleh karyawan
lain di bagian yang sama namun sebenarnya karyawan tersebut tidak memiliki
akses untuk melihat informasi khusus yang bukan haknya. Karena setiap
karyawan telah memiliki hak akses yang berbeda untuk melihat informasi yang
dibutuhkan sesuai jobnya, maka klausul 11 yang digunakan untuk acuan kontrol
akses. Lalu penempatan perangkat keras atau fisik yang kurang dilindungi dengan
maksimal, maka klausul 9 yang digunakan untuk acuan keamanan fisik dan
lingkungan. Karyawan yang tidak memenuhi ketentuan yang telah terdapat pada
dokumen kebijakan perusahaan yaitu Keputusan Direksi Perusahaan Perseroan
(Persero) PT Telekomunikasi Indonesia, Tbk Nomor :
KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi, maka klausul 8 yang
menjadi acuan untuk keamanan sumber daya manusia. Batasan klausul tersebut
berdasarkan kesepakatan bersama antara auditor dan manager desktop
management. Dengan adanya audit keamanan sistem informasi pada bagian
desktop management di PT Telkom DIVRE V JATIM melalui penyusunan Tugas
Akhir maka diharapkan dapat menghasilkan temuan audit yang berupa daftar
temuan, hasil pengukuran untuk mengetahui rekomendasi perbaikan bagian
desktop management pada PT Telkom DIVRE V JATIM.
1.2Perumusan Masalah
Berdasarkan penjelasan pada latar belakang, maka perumusan masalah
yang didapat adalah sebagai berikut :
1. Bagaimana melaksanakan audit keamanan sistem informasi pada bagian
desktop management PT Telkom DIVRE V JATIM, berdasarkan standar ISO
(16)
2. Bagaimana memberikan hasil berupa temuan audit keamanan informasi yang
dilakukan di bagian desktop management PT Telkom DIVRE V JATIM
berdasarkan standar ISO 27002:2005?
1.3 Batasan Masalah
Berdasarkan perumusan masalah di atas, maka tujuan dalam audit
keamanan sistem informasi ini, agar tidak menyimpang dari tujuan yang akan
dicapai maka pembahasan masalah dibatasi pada hal-hal sebagai berikut:
1. Standar pelaksanaan audit keamanan sistem informasi yang digunakan
mengacu pada ISO 27002 : 2005 dan dokumen Keputusan Direksi
Perusahaan Perseroan(Persero) PT Telekomunikasi Indonesia, Tbk Nomor:
KD.57/HK-290/ITS-30/2006 .
2. Periode data yang digunakan untuk audit keamanan sistem informasi, Januari
2011 sampai 2013.
3. Tidak dilakukan penilaian resiko secara terperinci, melainkan hanya dengan
melakukan wawancara untuk mengetahui resiko yang menonjol pada bagian
Desktop Management
4. Tidak menggunakan data mengenai proses penyeleksian karyawan karena
seluruh data penyeleksian karyawan terdapat di Telkom Pusat kota Bandung
5. Klausul yang digunakan telah disesuaikan dengan kesepakatan auditor dan
Manager desktop management dan terlampir pula pada dokumen engagement
letter yaitu:
a. Klausul 8 : Keamanan Sumber Daya Manusia
(17)
c. Klausul 11 : Kontrol Akses
1.4 Tujuan
Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai
dalam penelitian ini adalah :
1. Menyusun dan mendokumentasikan hasil audit keamanan sistem informasi
pada bagian desktop management di PT Telkom DIVRE V JATIM
berdasarkan standar ISO 27002:2005 dan dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor:
KD.57/HK-290/ITS-30/2006.
2. Mengevaluasi temuan audit kemanan sistem informasi yang ada, dan
selanjutnya dapat dijadikan perbaikan untuk bagian desktop management
pada PT Telkom DIVRE V JATIM.
1.5 Sistematika Penulisan
Di dalam penulisan Tugas Akhir ini secara sistematika diatur dan disusun
dalam 5 (lima) bab, yaitu:
BAB I : PENDAHULUAN
Pada bab ini membahas tentang latar belakang masalah, rumusan
masalah serta batasan terhadap masalah yang akan dibahas, tujuan dari
pembahasan masalah yang diangkat, dan sistematika penulisan laporan
tugas akhir ini.
BAB II : LANDASAN TEORI
Pada bab ini dibahas mengenai teori-teori yang berkaitan dengan audit
(18)
sistem informasi, audit keamanan sistem informasi, desktop
management, standar sistem manajemen keamanan informasi, ISO/IEC
27002:2005.
BAB III : METODE PENELITIAN
Pada bab ini berisi penjelasan mengenai langkah-langkah yang
dilakukan dalam audit keamanan sistem informasi pada bagian desktop
management di PT Telkom DIVRE V Jatim yang meliputi perencanaan
audit, persiapan audit, pelaksanaan audit serta pelaporan audit.
BAB IV : HASIL DAN PEMBAHASAN
Pada bab ini dibahas tentang analisa dan evaluasi hasil temuan serta
rekomendasi dari kegiatan audit keamanan sistem informasi pada
bagian desktop management di PT Telkom DIVRE V Jatim.
BAB V : PENUTUP
Pada bab ini berisikan kesimpulan penelitian yang telah dilakukan
terkait dengan tujuan dan permasalahan yang ada, serta saran
sehubungan dengan adanya kemungkinan pengembangan sistem pada
(19)
9
2.1Audit
Penggunaan istilah audit telah banyak dipakai di berbagai disiplin ilmu,
mulai dari keuangan, pemerintahan hingga Teknologi Informasi (TI). Adapun
definisi audit menurut Sarno (2009a:171) adalah:
“Audit merupakan proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan
dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria
pemeriksaan (audit) yang ditetapkan”.
Dari pendapat Sarno diatas dapat disimpulkan bahwa audit mengandung
arti aktivitas yang berlangsung secara sistematik atau terarah, independen atau
mandiri dan terdokumentasi artinya ada rekam jejak, temuan atau bukti.
Selanjutnya dikatakan oleh Sarno “ Aktivitas yang berlangsung pada dasarnya serupa, yakni: penemuan ketidakpatutan proses yang ada terhadap
standar pengelolaan aktivitas terkait. Agar dapat sukses mengimplementasikan hal
tersebut, maka aktivitas audit seharusnya terencana dengan baik untuk
memberikan hasil yang optimal sesuai dengan kondisi bisnis masing-masing
(20)
Gambar 2.1 Gambaran Proses Audit (Sumber: Davis dkk, 2011:42)
Menurut Davis dkk (2011:42) beberapa tahapan audit seperti yang
terlihat pada gambar 2.1, setiap tahapan-tahapan akan dijelaskan sebagai berikut :
1. Planning
Sebelum melakukan audit terlebih dahulu harus menentukan rencana
meninjau bagaimana audit dilakukan. Jika proses perencaaan dilakukan secara
efektif, maka dapat membentuk tim audit yang dapat berjalan dengan baik.
Sebaliknya, jika itu dilakukan dengan buruk serta pekerjaan dimulai tanpa rencana
yang jelas tanpa arah, upaya tim audit dapat mengakibatkan kegagalan tujuan dari
proses perencaaan adalah menentukan tujuan dan ruang lingkup audit, yaitu harus
menentukan apa yang akan dicapai.
2. Fieldwork and Documentation
Sebagian besar audit terjadi selama fase ini, ada saat pemeriksaan
langkah-langkah yang dibuat selama tahap sebelumnya dijalankan oleh tim audit.
Saat ini tim audit telah memperoleh data dan melakukan wawancara yang akan
membantu anggota tim untuk menganalisis potensi resiko dan menentukan resiko
belum dikurangi dengan tepat. Auditor juga harus melakukan pekerjaan yang
dapat mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat
(21)
cukup informasi bagi orang untuk dapat memahami apa yang dilakukan dan
tersampainya kesimpula yang sama seperti auditor.
3. Issues Discovery and Validation
Pada tahap ini auditor harus menentukan dan melakukan perbaikan pada
daftar isu-isu yang potensial untuk memastikan isu-isu yang valid pada relevan.
Auditor harus mendiskusikan isu-isu potensial dengan pelanggan secepat
mungkin. Selain memvalidasi bahwa fakta-fakta telah benar, maka perlu
memvalidasi bahwa resiko yang disajikan oleh masalah ini cukup signifikan
memiliki nilai untuk pelaporan dan pengalamatan.
4. Solution Development
Setelah mengidentifikasikan isu-isu potensial di wilayah yang sedang
dilakukan audit dan telah memvalidasi fakta dan resiko, maka dapat dilakukan
rencanan untuk mengatasi setiap masalah. Tentu, hanya mengangkat isu-isu yang
tidak baik bagi perusahaan dan isu isu yang benar benar harus ditangani. Tiga
pendekatan umum yang digunakan untuk mengembangkan tindakan dalam
menangani masalah audit
a. Pendekatan rekomendasi
b.Pendekatan respon manajemen
c. Pendekatan Solusi
5. Report Drafting and Issuance
Setelah ditemukan masalah dalam lingkungan yang diaudit,
memvalidasi, dan mendapatkan solusi yang dikembangkan untuk mengatasi
masalah, maka dapat membuat draft untuk laporan audit. Laporan audit adalah
(22)
a. Untuk auditor dan perusahaan yang diaudit, berfungsi sebagai catatan
audit, hasilnya, dan rencana rekomendasi yang dihasilkan
b.Untuk manajemen senior dan komite audit, berfungsi sebagai “kartu
laporan” pada daerah yang telah diaudit.
6. Issue Tracking
Audit belum benar-benar lengkap sampai isu yang diangkat dalam audit
tersebut diselesaikan. Departemen harus mengembangkan suatu proses dimana
anggotanya dapat melacak dan mengikuti sampai isu terselesaikan. Auditor yang
melakukan atau memimpin audit bertanggung jawab untuk menindak lanjuti poin
dari audit seperti tanggal jatuh tempo untuk setiap pendekatan dari audit yang
dihasilkan.
2.2Sistem Informasi
“Sistem adalah sekelompok dua atau lebih komponen-komponen yang saling berkaitan (inter-related) atau subsistem-subsistem yang bersatu untuk
mencapai tujuan yang sama (common purpose).” (Gondodiyoto, 2007:106)
“Informasi berarti hasil suatu proses yang terorganisasi, memiliki arti dan
berguna bagi orang yang menerimanya .” adapun menurut James Hall pada bukunya (diterjemahkan oleh Amir Abadi Jusuf, 2001, p 14):”Informasi
menyebabkan pemakai melakukan suatu tindakan yang dapat ia lakukan atau tidak
dilakukan. Informasi ditentukan oleh efeknya pada pemakai, bukan oleh bentuk
fisiknya.” (Gondodiyoto, 2007:110)
Dengan demikian sistem informasi dapat didefinisikan sebagai kumpulan
(23)
terpadu, terintegrasi dalam suatu hubungan hirarkis tertentu dan bertujuan untuk
mengolah data menjadi informasi. (Gondodiyoto, 2007:112)
2.3 Audit Keamanan Sistem Informasi
Di sisi lain kita juga mengenal istilah “audit keamanan”, adapun yang dimaksud dengan “audit keamanan adalah suatu proses atau kejadian yang memiliki basis pada kebijakan atau standar keamanan untuk menentukan semua
keadaan dari perlindungan yang ada, dan untuk memverifikasi apakah
perlindungan yang ada berjalan dengan baik.”(Ahmad,2012:27)
Dari pengertian diatas dapat di garis bawahi bahwa audit keamanan
tujuan utamanya adalah memberikan perlindungan sesuai dengan kebijakan dan
standar keamanan yang ada serta memverifikasi apakah perlindungan sudah
berjalan dengan baik. Oleh karena itu, suatu hal yang penting untuk memahami
dan mengimplementasikan audit keamanan pada sistem informasi yang
digunakan. Penerapan audit keamanan sistem informasi dimaksudkan untuk
mengatasi segala masalah dan kendala baik secara teknis maupun non teknis.
Terdapat tiga kriteria mendasar dari keamanan teknologi informasi yang harus
diaudit kemanannya menurut (Ahmad, 2012 : 4), yaitu:
a. Kerahasiaan (confidentiality): Informasi bersifat rahasia dan harus
dilindungi terhadap keterbukaan dari yang tidak berhak atau berkepentingan.
b. Ketersediaan (availability): Layanan, fungsi sistem teknologi informasi, data
dan informasi harus tersedia bagi penggunaa saat diperlukan.
c. Integritas (integrity) :Data harus komplit dan tidak diubah. Dalam teknologi informasi, kata ”informasi” terkait dengan ”data”. Hilangnya integritas informasi berarti data tersebut telah tanpa adanya ijin atau ilegal.
(24)
Gambar 2.2 Aspek Keamanan Informasi (Sumber: Sarno, 2009a:37)
2.4 Desktop Management
Desktop management merupakan bagian dari ISSSM (Information
System Service Support Management), sedangkan ISSSM merupakan unit dari
Divisi ISC(Information System Center). Desktop management merupakan bagian
yang mendukung fasilitas kerja pegawai Telkom dan kebutuhan di bidang desktop
untuk wilayah seluruh Indonesia. Beberapa kebutuhan desktop tersebut
diantaranya adalah PC, laptop, layar proyektor, printer, dan lain lain.(wawancara
pada tanggal 10 Desember 2012)
Seperti yang telah dijelaskan pada latar belakang masalah terdahulu,
desktop management mempunyai peranan yang sangat penting dalam
memanagement keamanan informasi data-data kebutuhan desktop serta fasilitas
kerja PT Telkom di seluruh Indonesia. Apabila keamanan sistem informasi pada
desktop management tidak dilindungi maka akan terjadi penyalahgunaan
password yang beurjung pada penyalahgunaan akses pada aplikasi, memanipulasi data serta pencurian data oleh pihak yang tidak betanggung jawab.“Suatu
kenyataan yang dihadapi pada abad globalisasi ini adalah berbagai organisasi
(25)
Hal tersebut diperlihatkan dengan keberadaan sejumlah kasus kejahatan komputer
yang dilakukan secara sengaja, contohnya :pencurian data, aktivitas spionase,
percobaan hacking, tindakan vandalism. Ancaman serupa juga disebabkan karena
kejadian lain seperti bencana alam, misalnya: banjir, gempa bumi, tsunami dan
kebakaran.”(Sarno,2009a:28)
2.5 Standar Sistem Manajemen Keamanan Informasi
Sejak tahun 2005, International Organization for Standardization (ISO)
atau organisasi Internasional untuk standarisasi telah mengembangkan sejumlah
standar tentang Information Security Management System (ISMS) atau Sistem
Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun
panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000
yang terdiri dari :
a. ISO/IEC 27000:2009-ISMS Overview and Vocabulary
Dokumen definisi-definisi keamanan informasi yang digunakan sebagai istilah
dasar dalam serial ISO 27000.
b. ISO/IEC 27001:2005-ISMS Requirements
Berisi persyaratan standar yang harus dipenuhi untuk membangun SMKI.
c. ISO/IEC 27002:2005-Code of Practice for ISMS
Terkait dengan dokumen ISO 27001, namun dalam dokumen ini berisi
panduan praktis (code of practice) teknik keamanan informasi.
d. ISO/IEC 27003:2010-ISMS Implementation Guidance
Berisi matriks dan metode pengukuran keberhasilan implementasi SMKI.
e. ISO/IEC 27004:2009-ISMS Measurements
(26)
f. ISO/IEC 27005:2008-Infromation Security Risk Management
Dokumen panduan pelaksanaan manajemen resiko.
g. ISO/IEC 27006:2007-ISMS Certification Body Requirements
Dokumen panduan untuk sertifikasi SMKI perusahaan.
h. ISO/IEC 27007-Guidelines for ISMS Auditing
Dokumen panduan audit SMKI perusahaan.
ISO 27000 Overview and Vocabulary
ISO 27004 Measurements
ISO 27006 Certification Body
Requirements
ISO 27002 Code of Practice
ISO 27007 Audit Guidelines ISO 27001
Requirements
ISO 27005 Risk Management ISO 27003
Implementation Guidance
Termi
nologi
Per
syara
tan
Umum
Panduan Umu
m
Gambar 2.3 Relasi Antar Keluarga Standar SMKI (Sumber Ahmad,2012:13)
Adapun penjelasan dari standar ISMS tersebut dijelaskan sebagai berikut :
a. ISO/IEC 27000:2009 – ISMS Overview and Vocabulary
Standar ini dirilis tahun 2009, memuatprinsip-prinsip dasar Information
Security Management System, definisi sejumlah istilah penting dan hubungan
(27)
tahap pengembangan. Hubungan antar standar keluarga ISO 27000 dapat dilihat
pada gambar 3.
b. SNI ISO/IEC 27001- Persyaratan Sistem Manajemen Keamanan Informasi
SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi
Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus
dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi(SMKI).
Standar ini bersifat independen terhadap produk teknologi masyarakat
penggunaan pendekatan manajeman berbasis risiko,dan dirancang untuk
menjamin agar kontrol- kontrol keamanan yang dipilih mampu melindungi aset
informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi
pihak yang berkepentingan.
Standar ini dikembangkan dengan pendekatan proses sebagai suatu
model bagi penetapan, penerapan, pengoprasian, pemantauan, tinjau ulang
(review), pemeliharaan dan peningkatan suatu SMKI. Model PLAN – DO – CHECK–ACT (PDCA) diterapkan terhadap struktur keseluruhan proses SMKI. Dalam model PDCA, keseluruhan proses SMKI dapat dipetakan seperti Tabel 2.1.
Tabel 2.1 Peta PDCA dalam Proses SMKI (Sumber:Ahmad, 2012:15) PDCA dalam Proses SMKI
1. PLAN (Menetapkan SMKI)
Menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola resiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dari sasaran
2. DO (Menerapkan dan mengoperasikan SMKI)
Menetapkan dan mengoperasikan kebijakan SMKI
(28)
Tabel 2.1 Peta PDCA dalam Proses SMKI (Sumber:Ahmad, 2012:15) PDCA dalam Proses SMKI
3. CHECK (Memantau dan melakukan tinjau ulang SMKI)
Mengkaji dan mengukur kinerja proses terhadap kebijakan, sasaran, praktek-praktek dalam menjalankan SMKI dan melaporkan hasilnya kepada manajemen untuk ditinjau efektivitasnya
4. ACT (Memelihara dan meningkatkan SMKI)
Melakukan tindakan perbaikan dan pencegahan, berdasarkan hasil evaluasi, audit internal dan tinjauan manajemen tentang SMKI atau kegiatan pemantauan lainnya untuk mencapai peningkatan yang
berkelanjutan.
c. ISO/IEC 27002:2005 – Code of Practice for ISMS
ISO/IEC 27002 berisi panduan ISO IEC 17799 tahun 2005, resmi
dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu
secara resmi diubah menjadi ISO IEC 27002 tahun 2005. Konten tersebut masih
persis sama. Standar ISO IEC 17799:2005 (sekarang dikenal sebagai ISO IEC
27002:2005) dikembangkan oleh IT Security Subcommittee (SC 27) dan
Technical Committee on Information Technology (ISO/IEC JTC 1) (ISO
27002, 2005).
d. ISO/IEC 27003:2010 – ISMS Implementation Guidance
Tujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagi
perancangan dan penerapan SMKI agar memenuhi persyaratan ISO 27001.
Standar ini menelaskan proses pembangunan SMKI meliputi pengarsipan,
perancangan dan penyusunan atau pengembangan SMKI yang digambarkan
sebagai suatu kegiatan proyek.
(29)
Standar ini menyediakan penyusunan dan penggunaan teknik pengukuran
untuk mengkaji efektivitas penerapan SMKI dan kontrol sebagaimana disyaratkan
ISO/IEC 27001. Standar ini juga membentu organisasi dalam mengukur
ketercapaian sasaran keamanan yang ditetapkan.
f. ISO/IEC 27005:2008 – Information Security Risk Management
Standar ini menyediakan panduan bagi kegiatan manajemen risiko
keamanan informasi dalam suatu organisasi, khususnya dalam rangka mendukung
persyaratan- persyaratan SMKI sebagaimana didefinisikan oleh ISO/IEC 27001.
Standar ini diterbitkan pada bulan Juni 2008.
g. ISO/IEC 27006:2007 – Prasyarat Badan Audit dan Sertifikasi
Standar ini menetapkan persyaratan dan memberikan panduan bagi
organisasi yang memiliki kewenangan untuk melakukan audit dan sertifikasi
SMKI.Standar ini utamanya dimaksudkan untuk mendukung porses akreditasi
Badan Sertifikasi ISO/IEC 27001 oleh Komite Akreditasi dari negara
masing-masing.
h. ISO/IEC 27007 – Guidelines for ISMS Auditing
Standar ini memaparkan panduan bagaimana melakukan audit SMKI
perusahaan.
2.5.1 ISO/IEC 27002:2005
Seperti yang telah dikemukakan pada bagian terdahulu, ISO/IEC
27002:2005 terkait dengan dokumen ISO 27001, namun dalam dokumen ini berisi
panduan praktis (code of practice) teknik keamanan informasi. Kontrol keamanan
(30)
control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol
keamanan/ kontrol (controls) yang dapat dilihat dalam Tabel 2.2.
Tabel 2.2 Ringkasan Jumlah Klausul Kontrol Keamanan, Objektif Kontrol dan Kontrol (Sumber: Sarno, 2009a:187)
Klausul
Jumlah
Objektif Kontrol Kontrol
5 1 2
6 2 11
7 2 5
8 3 9
9 2 13
10 10 31
11 7 25
12 6 16
13 2 5
14 1 5
15 3 10
Jumlah : 11 Jumlah : 39 Jumlah : 133
ISO 27002:2005 berisi panduan yang menjelaskan contoh penerapan
keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar
mencapai sasaran kontrol yang ditetapkan.Bentuk-bentuk kontrol yang disajikan
seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan didalam
ISO/IEC 27002.
Dalam penelitian ini ,audit keamanan sistem informasi akan difokuskan
pada standar 3 klausul yang sudah disesuaikan dengan kesepakatan auditor dan
manager desktop management dalam engagement letter/ surat perjanjian audit,
untuk detail struktur dokumen kontrol keamanan dari ISO/IEC 27002:2005 dapat
(31)
Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 Klausul: 8 Keamanan Sumber Daya Manusia
Kategori Keamanan Utama: 8.1 Sebelum menjadi pegawai Objektif Kontrol:
Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk
meminimalkan resiko pencurian atau kesalahan dalam penggunaan fasilitas informasi.
8.1.1 Aturan dan tanggung jawab keamanan
Kontrol:
Aturan-aturan dan tanggung jawab dari pegawai, kontraktor dan pengguna pihak ketiga harus didefinisikan, didokumentasi sesuai dengan kebijakan Keamanan Informasi organisasi.
Kategori Keamanan Utama: 8.2 Selama menjadi pegawai Objektif Kontrol:
Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami Keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang dihadapi oleh organisasi.
8.2.3 Proses kedisiplinan
Kontrol:
Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi.
Kategori Keamanan Utama: 8.3 Pemberhentian atau pemindahan pegawai Objektif Kontrol:
Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindah dilakukan sesuai prosedur yang benar.
8.3.1 Tanggung jawab pemberhentian
Kontrol:
Tanggung jawab terhadap pemberhentian atau pemindahan pegawai, kontraktor atau pihak ketiga harus didefinisikan dan ditunjuk dengan jelas.
(32)
Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)
Klausul: 9 Keamanan fisik dan lingkungan Kategori Keamanan Utama: 9.1 Wilayah aman Objektif Kontrol:
Untuk mencegah akses fisik tanpa hak, kerusakan dan ganguan terhadap Informasi dan perangkatnya dalam organisasi.
9.1.1 Pembatasan keamanan fisik
Kontrol:
Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi.
9.1.2 Kontrol masuk fisik
Kontrol:
Wilayah aman (secure) harus dilindungi dengan kontrol akses masuk yang memadai untuk memastikan hanya orang yang berhak saja dibolehkan masuk.
Kategori Keamanan Utama: 9.2 Keamanan Peralatan Objektif Kontrol:
Untuk mencegah kehilangan, kerusakan, pencurian atau ketidakberesan aset dan gangguan terhadap aktivitas organisasi.
9.2.1 Letak peralatan dan pengamanannya
Kontrol:
Semua peralatan harus ditempatkan dengan tepat dan dilindungi untuk mengurangi resiko dari ancaman dan bahaya dari lingkungan sekitar atau kesempatan untuk diakses dari orang- orang yang tidak berhak.
9.2.3 Keamanan
pengkabelan
Kontrol:
Kabel daya dan telekomunikasi yang menyalurkan data dan layanan Informasi harus dilindungi dari gangguan dan kerusakan.
(33)
Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)
Klausul: 11 Kontrol Akses
Kategori Keamanan Utama: 11.1 Persyaratan bisnis untuk akses control Objektif Kontrol:
Untuk mengontrol akses Infromasi.
11.1.1 Kebijakan kontrol akses
Kontrol:
Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk akses.
Kategori Keamanan Utama: 11.2 Manajemen akses user Objektif Kontrol:
Untuk memastikan pengguna yang mempunyai hak akses ke Sistem Informasi dan yang tidak.
11.2.3 Manajemen password user
Kontrol:
Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk akses.
11.2.4 Tinjauan terhadap hak akses user
Kontrol:
Suatu kebijakan kontrol akses harus dibuat, didokumentasikan dan dikaji ulang berdasarkan kebutuhan bisnisdan keamanan untuk
akses.Manajemen harus melakukan tinjauan ulang terhadap hak akses user secara berkala melalui proses yang formal.
Kategori Keamanan Utama: 11.3 Tanggung jawab pengguna (user) Objektif Kontrol:
Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas pemrosesan Informasi
11.3.1 Penggunaan Password
Kontrol:
(34)
Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)
Kategori Keamanan Utama: 11.3 Tanggung jawab pengguna (user) Objektif Kontrol:
Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas pemrosesan Informasi
yang baik dalam pemilihan dan penggunaan password.
Kategori Keamanan Utama: 11.4 Kontrol Akses jaringan Objektif Kontrol:
Untuk mencegah akses tanpa hak ke dalam layanan jaringan
11.4.1
Kebijakan
penggunaan layanan jaringan
Kontrol:
Pengguna seharusnya hanya disediakan akses terhadaplayanan yang telah secara spesifik diotorifikasi dalam penggunaannya.
Kategori Keamanan Utama: 11.5 Kontrol Akses Sistem Operasi Objektif Kontrol:
Untuk mencegah akses tanpa hak ke sistem operasi.
11.5.3 Sistem Manajemen Password
Kontrol:
Sistem yang digunakan untuk mengelola password harus interaktif dan harus dipastikan passwordnya berkualitas.
Kategori Keamanan Utama: 11.6 Kontrol Akses Informasi dan aplikasi Objektif Kontrol:
Untuk mencegah akses tanpa hak terhadap Informasi yang terdapat di dalam aplikasi.
11.6.1 Pembatasan akses Informasi
Kontrol:
Akses terhadap Informasi dan sistem aplikasi oleh pengguna harus dibatasi sesuai dengan kebijakan keamanan yang ditentukan.
(35)
Tabel 2.3 Detail Struktur Dokumen Kontrol Keamanan ISO/IEC 27002:2005 (Lanjutan)
Kategori Keamanan Utama: 11.7 Komputasi bergerak dan bekerja dari lain tempat (teleworking)
Objektif Kontrol:
Untuk memastikan Keamanan Informasi saat menggunakan fasilitas komputasi bergerak atau bekerja darilaintempat.
11.7.1
Komunikasi dan terkomputerisasi yang bergerak
Kontrol:
Kebijakan secara formal seharusnya ditempatkan dan pengukuran keamanan yang sesuai seharusnya diadopsi untuk melindungi resiko dari penggunaan fasilitas komunikasi dan komputer yang bergerak.
2.5.2 Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk. Nomor : KD.57/HK-290/ITS-30/2006
Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia
dengan nomor : KD.57/HK-290/ITS-30/2006 merupakan dokumen tentang
kebijakan sekuriti sistem informasi yang digunakan oleh bagian Desktop
Management sebagai pedoman dalam melaksanakan segala kegiatan yang
berhubungan dengan keamanan informasi.
Di dalam dokumen Keputusan Direksi Perusahaan Perseroan PT
Telekomunikasi Indonesia dengan nomor : KD.57/HK-290/ITS-30/2006 tersebut
terdapat uraian panduan implementasi kegiatan keamanan informasi berupa Bab I
sampai Bab XIV, Pasal 1 sampai Pasal 53 yang menjelaskan tentang prosedur
atau langkah langkah dalam menjalankan keamanan informasi pada bagian
(36)
26
BAB III
METODE PENELITIAN
Pada Bab III akan dilakukan pembahasan dimulai dengan profil
perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan
tahapan-tahapan audit yang akan dilaksanakan. Dapat dilihat pada Gambar 3.1.
Studi literartur yang digunakan dalam metode penelitian ini adalah ISO
27002:2005 dan regulasi dari perusahaan yaitu dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor :
KD.57/HK-290/ITS-30/2006. Pada standar ISO 27002 dan dokumen Keputusan
Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk
Nomor : KD.57/HK-290/ITS-30/2006 terdapat beberapa kesamaan dalam
panduan implementasi audit yang dapat dilihat pada Tabel 3.1.
Setelah standar audit sudah ditetapkan pada proses studi literatur maka
terdapat suatu gambaran tahapan dalam audit keamanan sistem informasi.
Berdasarkan referensi dari Davis dengan memperhatikan juga referensi dari
(Windriya, 2013:35) maka gambaran tahapan dalam audit keamanan sistem
informasi dapat dikembangkan dan disederhanakan menjadi beberapa tahap audit
(37)
Studi Literatur
A. Studi ISO 27002 -Dokumen ISO/IEC 27002 edisi pertama 15-6-2005 -Buku Manajemen Keamanan Sitem Informasi (R. Sarno Iffano)
B. Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT.Telekomunikasi Indonesia, Tbk. Nomor : KD. 57/HK-290/ITS-30/2006.
Perencanaan Audit
1.Identifikasi informasi organisasi perusahaan 2.Pemahaman proses bisnis 3.Penentuan ruang lingkup, objek audit & tujuan audit 4.Penentuan klausul, objektif kontrol dan kontrol
5.Membuat dan menyampaikan
Engagement Letter
Persiapan Audit
1.Melakukan penyusunan Audit
Working Plan (AWP)
2.Penyampaian kebutuhan data 3.Membuat pernyataan 4.Melakukan pembobotan pernyataan
5.Membuat pertanyaan
Pelaksanaan Audit
1.Melakukan wawancara pada pihak terkait
2.Melakukan pemeriksaan data 3.Penyusunan daftar temuan audit dan rekomendasi 4. Konfirmasi temuan dan rekomendasi audit
Pelaporan Audit
1.Permintaan tanggapan atas daftar temuan audit
2.Penyusunan draft laporan audit 3.Persetujuan draft laporan audit 4.Pelaporan hasil audit
Hasil Perencanaan Audit
1.Profil perusahaan, visi misi PT.Telkom DIVRE V Jatim, profil
Desktop Management, Struktur
Organisasi Desktop Management, deskripsi pekerjaan di Desktop
Management
2. Alur proses bisnis desktop
management
3.Ruang lingkup, objek audit & tujuan audit
4.Hasil pemilihan klausul,objektif kontrol dan kontrol
5.Engagement Letter
Hasil Persiapan Audit
1.Audit Working Plan untuk merencanakan dan memantau pelaksanaan audit
2.Kebutuhan data yang diperlukan auditor
3.Pernyataan yang dibuat oleh auditor
4.Tingkat pembobotan masing-masing pernyataan
5.Daftar pertanyaan dari pernyataan yang dibuat oleh auditor
Hasil Pelaksanaan Audit
1.Dokumen wawancara 2.Dokumen pemeriksaan 3.Daftar temuan & rekomendasi
Hasil Pelaporan Audit
1.Hasil Permintaan Tanggapan Atas Temuan Audit
2.Penyusunan dan persetujuan Draft laporan Audit
3.Pertemuan penutup, notulen pertemuan penutup audit
Planning
Fieldwork and Documentation
Fieldwork and Documentation , Issues Discovery and Validation,
Solution Development
Report Drafting and Issuance , Issue Tracking
Keterangan :
Referensi dari Davis
Tahap Pengembangan Langkah Audit
(38)
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006
No
Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.
Nomor : KD.57/HK-290/ITS-30/2006
ISO 27002:2005
1.
Bab V
Sekuriti Sumber Daya Manusia
Pasal 13 Sebelum Penugasan
Dalam pasal 13 ini mengatur tentang pengelolaan SDM serta proses screening pada calon karyawan serta pekerja kontrak dan mitra kerja yang harus menandatangani Term and Conditions.
Pasal 14
Selama Penugasan
Dalam pasal 14 ini mengatur tentang pemahaman Security Awareness yang cukup untuk menjalani prosedur sekuriti dalam pekerjaannya dan untuk
meminimalisir terjadinya human eror.
Klausul 8 Keamanan Sumber Daya Manusia
Kategori Keamanan Utama: 8.1 (Berelasi dengan Pasal 13 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Sebelum menjadi pegawai Objektif Kontrol:
Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga
memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimalkan resiko pencurian atau kesalahan dalam penggunaan fasilitas informasi.
8.1.1 Aturan dan tanggung jawab
keamanan 8.1.2 Seleksi
8.1.3 Persyaratan dan Kondisi yang harus dipenuhi oleh pegawai
Kategori Keamanan Utama: 8.2 (Berelasi dengan Pasal 14 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Selama Menjadi Pegawai Objektif Kontrol:
Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga
(39)
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No
Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.
Nomor : KD.57/HK-290/ITS-30/2006
ISO 27002:2005
1.
Pasal 15 Pemutusan atau Penggantian
Tugas
Dalam pasal 15 ini mengatur tentang tata cara pemberhentian atau
penggantian tugas karyawan, hak akses yang diberikan pada
karyawan, serta pengembalian aset apabila sudah tidak bekerja.
memahami Keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang
dihadapi oleh organisasi.
8.2.1 Tanggung jawab manajemen 8.2.2 Pendidikan dan pelatihan Keamanan Informasi
8.2.3 Proses kedisiplinan
Kategori Keamanan Utama: 8.3 (Berelasi dengan Pasal 15 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Pemberhentian atau pemindahan pegawai
Objektif Kontrol:
Untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindah dilakukan sesuai prosedur yang benar.
8.3.1 Tanggung jawab pemberhentian 8.3.2 Pengembalian aset-aset
8.3.3 Penghapusan hak akses
2.
Bab VI
Sekuriti Fisik dan Lingkungan Aset Informasi
Pasal 16 Area Aman
Klausul 9 Keamanan Fisik dan Lingkungan
Kategori Keamanan Utama: 9.1 (Berelasi dengan Pasal 16 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
(40)
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No
Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.
Nomor : KD.57/HK-290/ITS-30/2006
ISO 27002:2005
2.
Dalam pasal 16 ini mengatur tentang area aman harus diberi batas fisik, hanya dapat dimasuki oleh personil yang memiliki hak akses serta didesain dengan mempertimbangkan aspek sekuriti.
Pasal 17 Sekuriti Perangkat Teknologi
Informasi
Dalam pasal 17 ini mengatur tentang perangkat teknologi informasi harus ditempatkan di lokasi yang aman, serta kabel daya dan kabel
komunikasi harus dilindungi dari kerusakan
Wilayah Aman
Objektif Kontrol:
Untuk mencegah akses fisik tanpa hak, kerusakan dan ganguan terhadap Informasi dan perangkatnya dalam organisasi.
9.1.1 Pembatasan Keamanan Fisik 9.1.2 Kontrol Masuk Fisk
9.1.3 Keamanan kantor, ruang dan fasilitasnya
9.1.4 Perlindungan terhadap ancaman
dari luar dan lingkungan sekitar 9.1.5 Bekerja di wilayah aman
9.1.6 Akses publik, tempat pengiriman dan penurunan barang
Kategori Keamanan Utama: 9.2 (Berelasi dengan Pasal 17 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Keamanan Peralatan 9.2.1 Letak peralatan dan
pengamanannya 9.2.2 Utilitas pendukung
9.2.3 Keamanan pengkabelan
9.2.4 Pemeliharaan peralatan 9.2.5 Keamanan peralatan diluar
tempat yang tidak disyaratkan 9.2.6 Keamanan untuk pembuangan atau pemanfaatan kembali peralatan 9.2.7 Hak pemanfaatan
(41)
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No
Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.
Nomor : KD.57/HK-290/ITS-30/2006 ISO 27002:2005 3. Bab VIII Kontrol Akses Pasal 34 Manajemen Akses Pengguna
Dalam pasal 34 ini mengatur tentang prosedur kontrol akses sistem
informasi, pemberian dan
pencabutan hak akses, serta alokasi password yang harus dikelola untuk memaksimumkan perlindungan terhadap sistem, aplikasi dan data.
Pasal 35 Tanggung Jawab Pengguna
Dalam pasal 35 ini mengatur tentang tanggung jawab pengguna untuk melindungi aset informasi, pengguna harus bertanggung jawab untuk memelihara kontrol akses yang diberikan serta pengguna harus menjamin bahwa perangkat yang sedang tidak dikontrol memiliki proteksi yang memadai.
Klausul 11 Kontrol Akses
Kategori Keamanan Utama: 11.1
Persyaratan bisnis untuk akses kontrol Objektif Kontrol:
Untuk mengontrol akses informasi.
11.1.1 Kebijakan kontrol akses
Kategori Keamanan Utama: 11.2 (Berelasi dengan Pasal 34 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Manajemen akses user Objektif Kontrol:
Untuk memastikan pengguna yang mempunyai hak akses ke Sistem Informasi dan yang tidak.
11.2.1 Registrasi pengguna 11.2.2 Manajemen hak istimewa
11.2.3 Manajemen password user 11.2.4 Tinjauan terhadap hak akses user
Kategori Keamanan Utama: 11.3 (Berelasi dengan Pasal 35 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Tanggung jawab pengguna (user) Objektif Kontrol:
Untuk mencegah akses user tanpa hak atau pencurian Informasi dan fasilitas
(42)
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No
Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.
Nomor : KD.57/HK-290/ITS-30/2006
ISO 27002:2005
3.
Pasal 36 Kontrol Akses Layanan Jaringan
Dalam pasal 36 ini mengatur tentang harus dilakukannya pengendalian akses ke layanan jaringan internal dan eksternal, unit pengelola teknologi informasi bertanggung jawab untuk menyusun prosedur implementasi layanan jaringan.
Pasal 37
Kontrol Akses Sistem Operasi
Dalam pasal 37 ini mengatur tentang pengendalian akses sistem operasi dilakukan dengan prosedur log-on untuk mengurangi akses yang tidak
pemrosesan Informasi.
11.3.1 Penggunaan password 11.3.2 Peralatan penggunaan yang
tanpa penjagaan
11.3.3 Kebijakan clear desk dan clear screen
Kategori Keamanan Utama: 11.4 (Berelasi dengan Pasal 36 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Kontrol Akses Jaringan Objektif Kontrol:
Untuk mencegah akses tanpa hak ke dalam layanan jaringan.
11.4.1 Kebijakan penggunaan layanan jaringan 11.4.2 Otentikasi pengguna untuk
melakukan koneksi keluar
11.4.3 Identifikasi peralatan di dalam jaringan
11.4.4 Perlindungan remote
diagnosticdan konfigurasi port 11.4.5 Pemisahan dengan jaringan
11.4.6 Kontrol terhadap koneksi jaringan
11.4.7 Kontrol terhadap routing jaringan
Kategori Keamanan Utama: 11.5 (Berelasi dengan Pasal 37 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
(43)
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No
Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.
Nomor : KD.57/HK-290/ITS-30/2006
ISO 27002:2005
3.
terotorisasi.
Pasal 38 Kontrol Akses Aplikasi dan
Informasi
Dalam pasal 38 ini mengatur tentang akses terhadap informasi dan
aplikasi harus diatur berdasarkan prosedur.
Pasal 39
Mobile Computing dan
Teleworking
Dalam pasal 39 ini mengatur tentang seluruh perangkat mobile computing sedapat mungkin harus mengikuti prosedur keamanan yang berlaku.
Kontrol Akses Sistem Operasi Objektif Kontrol:
Untuk mencegah akses tanpa hak ke sistem operasi.
11.5.1 Prosedur Log-On yang aman 11.5.2 Identifikasi dan autentikasi
pengguna
11.5.3 Sistem Manajemen Password 11.5.4 Penggunaan utilitas sistem
diagnosticdan konfigurasi port 11.5.5 Sesi time-out
11.5.6 Batasan waktu koneksi
Kategori Keamanan Utama: 11.6 (Berelasi dengan Pasal 38 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
Kontrol Akses Informasi dan aplikasi Objektif Kontrol:
Untuk mencegah akses tanpa hak terhadap Informasi yang terdapat di dalam aplikasi.
11.6.1 Pembatasan akses informasi 11.6.2 Pengisolasian sistem yang
sensitif
Kategori Keamanan Utama: 11.7 (Berelasi dengan Pasal 39 dari Dokumen Keputusan Direksi
Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006)
(44)
Tabel 3.1 Pemetaan Standar ISO 27002:2005 dan Dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 (Lanjutan)
No
Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk.
Nomor : KD.57/HK-290/ITS-30/2006
ISO 27002:2005
3.
Komputasi bergerak dan bekerja dari lain tempat (teleworking)
Objektif Kontrol: Untuk memastikan Keamanan
Informasi saat menggunakan fasilitas komputasi bergerak atau bekerja darilaintempat.
11.7.1 Komunikasi dan
terkomputerisasi yang bergerak 11.7.2 Teleworking
Tabel 3.2 Pemetaan Gambaran Proses Audit Menurut Davis dan Tahap Audit yang Dikembangkan
No Davis Proses Pengembangannya
1 Planning Pada tahap planning ini masuk ke dalam tahap
perencanaan audit
2 Fieldwork and Documentation
Pada tahap Fieldwork and Documentation ini masuk ke dalam tahap persiapan audit dan pelaksanaan audit
3 Issues Discovery and Validation
Pada tahap Issues Discovery and Validation masuk ke dalam tahap pelaksanaan audit
4 Solution Development Pada tahap Solution Development ini masuk ke dalam tahapan pelaksanaan audit
5 Report Drafting and Issuance
Pada tahap Report Drafting and Issuance masuk ke dalam tahap pelaporan audit
6 Issue Tracking Pada tahap Issue Tracking masuk ke dalam tahap
pelaporan audit
3.1 Tahap Perencanaan Audit Keamanan Sistem Informasi
Pada tahap ini langkah-langkah yang dilakukan yakni 1.) Identifikasi
Informasi organisasi perusahaan 2.) Pemahaman proses bisnis, 3.) Menentukan
ruang lingkup, objek audit dan tujuan audit, 4.) Penentuan klausul, objektif
kontrol dan kontrol, 5.) Membuat dan menyampaikan engagement letter. Dari
(45)
perusahaan, ruang lingkup dan tujuan yang telah ditentukan serta klausul yang
telah ditentukan oleh kedua belah pihak.
3.1.1 Identifikasi Informasi Organisasi Perusahaan
Pada tahapan perencanaan audit, proses pertama yang dilakukan adalah
mengidentifikasi informasi organisasi perusahaan yang diaudit dengan
mempelajari dokumen-dokumen yang terkait dengan perusahaan. Dokumen
tersebut berupa profil perusahaan PT Telkom Divre V Jatim, visi misi PT Telkom
Divre V Jatim, profil bagian Desktop Management, struktur organisasi Desktop
Management serta deskripsi pekerjaan di Desktop Management. Langkah
selanjutnya adalah mencari informasi apakah sebelumnya perusahaan telah
melaksanakan proses audit. Apabila pernah dilakukan audit, maka auditor perlu
mengetahui dan memeriksa laporan audit sebelumnya.
Untuk menggali pengetahuan tentang informasi organisasi perusahaan
langkah yang dilakukan adalah dengan cara mengetahui dan memeriksa
dokumen-dokumen yang terkait dengan proses audit, wawancara manajemen dan staff, serta
melakukan observasi. Salah satu contoh proses identifikasi informasi organisasi
perusahaan dengan wawancara manajemen dan staff dapat dilihat pada Tabel 3.3.
Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf
Wawancara Permasalahan Pada Desktop Management
Auditor : Dian Ayu P
Auditee : Bpk Agus Widodo
(Bagian Officer 2 administrasi & monitoring) & Pak Uyud (Bagian Officer 1 Desktop Operation & Lisensi)
Tanggal : 10 Desember 2012
1. T: Apakah pada perusahaan ini khususnya di bagian Desktop Management PT Telkom Divre V Jatim memiliki suatu regulasi khusus
(46)
Tabel 3.3 Contoh Wawancara dengan Manajemen dan Staf (Lanjutan)
Wawancara Permasalahan Pada Desktop Management
Auditor : Dian Ayu P
Auditee : Bpk Agus Widodo
(Bagian Officer 2 administrasi & monitoring) & Pak Uyud (Bagian Officer 1 Desktop Operation & Lisensi)
Tanggal : 10 Desember 2012
2. 1. untuk audit atau keterikatan, misalnya seperti Bank regulasinya adalah PBI/BI, apabila saham berdasarkan BEI/Bapepam? Apabila tidak ada regulasi khusus, dapatkah saya nantinya mengaudit pada bagian tertentu berdasarkan SOP atau kebijakan atau peraturan yg berlaku pada perusahaan ini?
3. J: Mengenai SOP (Standard Operating Procedure), hampir seluruh alur proses bisnis datanya tidak di sini tapi terdapat di Telkom Bandung. Namun terdapat satu bagian yang dapat anda audit karena masih bisa dilihat secara langsung proses kerjanya yaitu di bagian Desktop Management. Pada bagian tersebut terdapat aplikasi penyimpanan dokumen, serta prosedur standard keamanan untuk penggunaan password.
4. 2. T : Pada setiap perusahaan pasti terdapat beberapa aset berharga, contoh : aset informasi, aset piranti lunak, aset fisik, aset layanan. Pada bagian Desktop Management , terdapat aset apa saja?
5. J : Ya aset-aset tersebut semuanya ada di sini. Di antaranya yaitu : Aset informasi :berupa dokumentasi prosedur standard keamanan untuk penggunaan password, Aset fisik :berupa fasilitas dari perusahaan yaitu PC, printer dan perabotan kantor lainnya, Aset piranti lunak :berupa aplikasi CNEMAS (Computer & Network Equipment Management System), Aset layanan :berupa pencahayaan, AC, dll
6. 3. T: Bagaimana penjelasan secara umum mengenai fungsi aplikasi tersebut?
7. J: CNEMAS merupakan suatu aset piranti lunak yang berfungsi untuk mengontrol pergerakan fasilitas kerja pegawai
3.1.2 Pemahaman Proses Bisnis
Proses kedua pada tahapan perencanaan audit ini adalah mengetahui
proses bisnis perusahaan sebelum dilakukan audit dengan cara memahami proses
bisnis yang ada pada bagian Desktop Management. Output yang dihasilkan dalam
(47)
3.1.3 Penentuan Ruang Lingkup, Objek Audit dan Tujuan Audit
Proses ketiga pada tahapan perencanaan ini adalah mengidentifikasi
ruang lingkup dan tujuan yang akan dibahas dalam audit kali ini. Penentuan ruang
lingkup dilakukan dengan cara melakukan observasi, wawancara dan kuesioner
pada bagian Desktop management. Pada proses ini, langkah yang selanjutnya
dilakukan adalah mengidentifikasi tujuan yang berhubungan dengan kebutuhan
audit keamanan sistem informasi. Output yang dihasilkan adalah hasil ruang
lingkup, objek audit dan tujuan audit.
3.1.4 Menentukan Klausul, Objektif Kontrol dan Kontrol
Pada proses ini langkah yang dilakukan adalah menentukan objek mana
saja yang akan diperiksa sesuai dengan permasalahan yang ada dan kebutuhan
perusahaan. Menentukan klausul, objektif kontrol dan kontrol yang sesuai dengan
kendala dan kebutuhan Desktop management. Klausul, objektif kontrol dan
kontrol yang ditentukan harus berdasarkan kesepakatan antara auditor dengan
auditee dan disesuaikan dengan standar ISO 27002:2005. Output yang dihasilkan
adalah hasil pemilihan klausul yang akan diperiksa, objektif kontrol dan kontrol
sesuai ISO 27002:2005 yang juga tertuang pada engagement letter.
3.1.5 Membuat dan Menyampaikan Engagement Letter
Pada tahap ini adalah membuat dan menyampaikan Engagement Letter
atau surat perjanjian audit. Surat perjanjian audit adalah surat persetujuan antara
kedua belah pihak yang bersangkutan yaitu auditor dengan manager Desktop
Management tentang syarat-syarat pekerjaan audit yang akan dilakukan oleh
(48)
manajemen dan auditor, lingkup audit dan ketentuan audit. Output yang
dihasilkan adalah berupa dokumen Engagement Letter yang disepakati oleh kedua
belah pihak.
3.2 Tahap Persiapan Audit Keamanan Sistem Informasi
Pada tahap ini langkah-langkah yang dilakukan yaitu: 1.) Melakukan
penyusunan audit working plan, 2.) Penyampaian kebutuhan data, 3.) Membuat
pernyataan, 4.) Melakukan pembobotan pernyataan dan 5.) Membuat pertanyaan.
3.2.1 Penyusunan Audit Working Plan
Audit working plan merupakan dokumen yang dibuat oleh auditor dan
digunakan untuk merencanakan dan memantau pelaksanaan audit keamanan
sistem informasi secara terperinci. Output yang dihasilkan adalah daftar susunan
AWP dan dapat dilihat pada tabel 3.4
Tabel 3.4 Audit Working Plan Secara Keseluruhan
ID Task Name Duration Start Finish
1 Total Hari Audit 355 days Thu 3/27/14 Fri 7/31/15
2 Perencanaan Audit Sistem
Informasi 113 days Thu 3/2714 Fri 8/29/14
7 Persiapan Audit Sistem
Informasi 200 days Wed 8/6/14 Thu 5/7/15
13 Pelaksanaan Audit Sistem
Informasi 238 days Fri 9/5/14 Fri 7/31/15
18 Pelaporan Audit Sistem
Informasi 65 days Mon 5/4/15 Fri 7/31/15
3.2.2 Penyampaian Kebutuhan Data
Penyampaian kebutuhan data yang diperlukan auditor dapat disampaikan
terlebih dahulu kepada auditee agar dapat dipersiapkan terlebih dahulu. Fieldwork
dilaksanakan auditor setelah auditee menginformasikan ketersediaan semua data
(49)
secara efektif. Output yang dihasilkan adalah daftar penyampaian kebutuhan data
perusahaan pada tampilan Tabel 3.5.
Tabel 3.5 Contoh Lampiran Kebutuhan Data Penunjang yang Diperlukan Dalam Pelaksanaan Audit
Lampiran Permintaan Kebutuhan Data/Dokumen
No. Data yang diperlukan
Ketersediaan Data
Keterangan
Tanda Tangan
Ada Tidak
ada Auditee Auditor
1 Profil perusahaan
2 Struktur organisasi Desktop Management
3 Job description pegawai di Desktop Management 4 Alur proses bisnis
perusahaan
5 Dokumen kebijakan
keamanan sistem informasi 6 Dokumen prosedur Desktop
Management
3.2.3 Membuat Pernyataan
Proses selanjutnya pada tahapan persiapan audit ini dilakukan dengan
membuat pernyataan berdasarkan kontrol keamanan yang terdapat pada setiap
klausul yang telah ditetapkan berdasarkan standar ISO 27002. Pada setiap kontrol
keamanan dapat ditentukan pernyataan yang mendiskripsikan implementasi dan
pemeliharaan kontrol keamanan tersebut. Output yang dihasilkan adalah salah
satu contoh pernyataan pada klausul 11 (sebelas) Kontrol Akses dengan kontrol
(50)
Tabel 3.6 Contoh Pernyataan Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use)
PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Klausul 11.3 Tanggung Jawab Pengguna (User Respon sibilities)
ISO 27002 11.3.1 Penggunaan Password (Password Use)
Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam
pemilihan dan penggunaan password.
No. PERNYATAAN
1. Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password 2. Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau
password dalam keadaan bahaya
3. Terdapat larangan dalam pembuatan catatan password
4. Terdapat larangan untuk tidak membagi satu password kepada pengguna lain 5. Terdapat pergantian password sementara pada saat pertama kali log-on 6. Terdapat pemilihan password secara berkualitas yang mudah diingat
7. Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama
3.2.4 Melakukan Pembobotan Pernyataan
Setelah membuat pernyataan, maka langkah selanjutnya adalah
melakukan pengukuran pembobotan pada setiap pernyataan. Pembobotan
dilakukan berdasarkan perhitungan yang dilakukan oleh (Niekerk dan
Labuschagne dalam hastin 2012: 39), dengan membagi tingkat pembobotan dalam
manajemen menjadi 3 (tiga), yaitu: rendah, cukup dan tinggi. Output yang
dihasilkan adalah contoh tingkat kepentingan dalam pembobotan pernyataan pada
Tabel 3.7 dan salah satu contoh pembobotan yang ada dalam klausul 11 (sebelas)
Kontrol Akses dapat dilihat pada Tabel 3.8.
Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan
(Sumber: Niekerk dan Labuschagne dalam Hastin, 2012:39)
Resiko Bobot Keterangan
Rendah 0,00 - 0,39 Pernyataan tersebut mempunyai peranan kurang penting dalam proses sistem informasi
(51)
Tabel 3.7 Tingkat Kepentingan dalam Pembobotan Pernyataan (Lanjutan) (Sumber: Niekerk dan Labuschagne dalam Hastin, 2012:39)
Resiko Bobot Keterangan
Cukup 0,40 - 0,69 Pernyataan tersebut mempunyai peranan cukup penting dalam proses sistem informasi
Tinggi 0,70 - 1,00 Pernyataan tersebut mempunyai peranan sangat penting dalam proses sistem informasi
Tabel 3.8 Contoh Pembobotan Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use)
PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Klausul 11.3 Tanggung Jawab Pengguna (user)
ISO 27002 11.3.1 Penggunaan password
Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam
pemilihan dan penggunaan password.
No. PERNYATAAN
Bobot
Rendah (0,1-0,39)
Cukup (0,4-0,69)
Tinggi (0,7-1,0)
1. Adanya kesadaran dari diri sendiri untuk
menjaga kerahasiaan password 1
2.
Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya
0,6
3. Terdapat larangan dalam pembuatan
catatan password 0,8
4. Terdapat larangan untuk tidak membagi
satu password kepada pengguna lain 1
5. Terdapat pergantian password sementara
pada saat pertama kali log-on 1
6. Terdapat pemilihan password secara
berkualitas yang mudah diingat 0,6
7.
Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama
0,7
3.2.5 Membuat Pertanyaan
Pada proses ini langkah yang dilakukan adalah membuat pertanyaan dari
pernyataan yang telah ditentukan sebelumnya. Pada satu pernyataan bisa memiliki
(1)
124
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) ASPEK : KLAUSUL 11 (KONTROL AKSES) Tanggal : 30 Juni -30 Juli 2015
No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko
dan Rekomendasi
Tanggapan dan Komitmen Penyelesaian Resiko :
Informasi yang seharusnya tidak diketahui oleh yang bukan haknya bisa diketahui dengan mudah dengan adanya saling menitipkan password. Pihak manajemen bisa memberikan sanksi kepada pemilik user-ID dan resiko yang paling fatal ialah pemutusan hubungan kerja dan dituntut secara hukum. Rekomendasi :
- Segera merencanakan konsekuensi khusus bagi karyawan yang belum sadar akan pentingnya untuk tidak menyebarkan password dan perusahaan harus konsisten dengan peraturan yang dibuat karena tidak ada gunanya peraturan dibuat namun implementasinya masih kurang
Begitu pula dengan penambahan level keamanan passwordnya nanti kami akan mencoba mengusulkannya ke pihak Unit Pengelola Teknologi Informasi.
(2)
Dari hasil wawancara dengan pihak Desktop Management dan bukti foto dan rekaman serta wawancara maka didapatkan temuan pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan) yaitu adanya karyawan yang tidak mematuhi prosedur yang telah ditetapkan tersebut, yaitu menitipkan password ke rekan kerja, untuk klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik) yaitu pintu darurat terkadang rusak karena pernah digunakan untuk akses keluar masuk barang dan untuk klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password) terdapat temuan yaitu masih ada karyawan kurang disiplin dalam menjaga passwordnya agar tidak dititipkan ke sesama rekan kerja . Dari hasil temuan yang didapatkan pada klausul 8 dengan kontrol 8.2.3 maka rekomendasi yang dapat diberikan adalah dengan memberikan konsekuensi kepada karyawan apabila menitipkan password kepada orang lain, dan di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d juga dituliskan konsekuensi untuk karyawan tersebut, jadi tidak hanya dituliskan larangan memberitahukan password. Lalu segera merencanakan untuk menambahkan sanksi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut kepada Direksi. Untuk rekomendasi pada temuan klausul 9 dengan kontrol 9.1.1 yaitu segera membuat prosedur tentang keamanan pintu darurat sesuai standar beserta pemeliharaannya agar tidak digunakan selain dalam keadaan bahaya. Untuk rekomendasi klausul 11 dengan kontrol 11.3.1 yaitu pihak perusahaan segera memberi konsekuensi khusus untuk karyawan yang salling menitipkan password tersebut, dan dibuatkan jenjang level keamanan password pada aplikasi yang digunakan.
(3)
126
4.4Hasil Pelaporan Audit Keamanan Sistem Informasi
Tahap pelaporan adalah tahap untuk melaporkan secara resmi sebagai suatu bentuk penyelesaian proses audit yang dilakukan. Hasil pelaporan audit diserahkan kepada pihak yang berwenang saja dikarenakan bersifat tertutup untuk kalangan umum atau rahasia.
4.4.1 Hasil Permintaan Tanggapan Atas Daftar Temuan Audit Keamanan
Sistem Informasi
Permintaan tanggapan atas daftar temuan audit dilakukan oleh auditor kepada auditee dengan memberikan tanggapan atas apa yang telah ditemukan auditor dan memberikan komitmen penyelesaiannya. Hasil permintaan tanggapan atas daftar temuan audit telah dilaksanakan dan dapat dilihat pada Lampiran 9.
4.4.2Hasil Penyusunan dan Persetujuan Draft Laporan Audit Keamanan
Sistem Informasi
Setelah dilakukan penyusunan draft laporan audit keamanan sistem informasi berupa kertas kerja audit, temuan dan tanggapan auditee sebagai bentuk tanggung jawab atas penugasan audit keamanan sistem informasi yang telah selesai dilaksanakan maka dilakukan persetujuan audit. Hasil persetujuan draft laporan audit dapat dilihat pada Lampiran 10.
4.4.3Hasil Pertemuan Penutup atau Pelaporan Audit Keamanan Sistem
Informasi
Pertemuan penutup memberikan penjelasan mengenai kondisi yang telah diaudit. Pertemuan penutup dihasilkan berupa exit meeing yang dapat dilihat pada Lampiran 11.
(4)
127 5.1 Kesimpulan
Berdasarkan hasil audit keamanan sistem informasi yang telah dilakukan maka didapat kesimpulan berupa:
1. Audit keamanan sistem informasi pada bagian desktop management di PT Telkom DIVRE V Jatim telah berhasil dilakukan dan didokumentasikan sesuai dengan Audit Working Plan (AWP) berdasarkan standar ISO 27002:2005 dan dokumen Keputusan Direksi Perusahaan Perseroan (Persero) PT Telekomunikasi Indonesia, Tbk Nomor : KD.57/HK-290/ITS-30/2006 tentang Kebijakan Sekuriti Sistem Informasi yang dilakukan dengan menggunakan beberapa klausul yang telah disepakati bersama yaitu Keamanan Sumber Daya Manusia, Keamanan Fisik dan Lingkungan, dan Kontrol Akses
2. Berdasarkan hasil evaluasi keamanan sistem informasi pada bagian desktop management terdapat beberapa temuan yaitu adanya ketidak patuhan karyawan terhadap kebijakan perusahaan, penempatan lingkungan fisik yang kurang terlindungi secara optimal seperti adanya pintu darurat yang digunakan untuk akses keluar masuk barang sehingga terkadang pintu darurat tersebut rusak serta adanya rekan kerja yang menitipkan password kepada rekan kerja yang memiliki akses informasi yang berbeda
3. Rekomendasi untuk beberapa temuan audit yang tidak sesuai dengan kebijakan perusahaan tersebut yaitu dengan menambahkan konsekuensi yang
(5)
128
jelas pada dokumen kebijakan perusahaan bagi karyawan yang tidak patuh, sesuai dengan pelanggaran yang dilakukan. Untuk penempatan lingkungan fisik segera dilakukan perlindungan yang optimal seperti memberi prosedur khusus agar pintu darurat hanya digunakan untuk kondisi darurat saja dan tidak boleh digunakan untuk akses keluar masuk barang agar tidak cepat rusak. Untuk akses informasi yang kurang terlindungi dan kurangnya tingkat kedisiplinan karyawan dalam menjaga password, sebaiknya pihak perusahaan segera memperbaiki mekanisme pengendalian akses informasi dengan cara membuat jenjang level keamanan password pada aplikasi yang digunakan. 5.2 Saran
Beberapa saran yang dapat diberikan untuk pengembangan lebih lanjut adalah sebagai berikut:
1. Bagian Desktop Management di PT Telkom DIVRE V Jatim harus melakukan audit keamanan sistem informasi secara berkala agar dapat mengurangi risiko keamanan informasi setidaknya setahun sekali.
2. Audit keamanan sistem informasi pada bagian Desktop Management di PT Telkom DIVRE V Jatim dapat dikembangkan dengan beberapa keamanan kontrol yang lain pada standar ISO 27002:2005.
(6)
129
Ahmad, Amar. 2012. Bakuan Audit Keamanan Informasi Kemenpora. Republik Indonesia : Kementrian Pemuda dan Olahraga.
Davis, Chris.2007. IT Auditing Using Controls to Protect Information Assets. United States of America : The McGraw-Hill Companies.
Direksi Perusahaan Perseroan (Persero) PT. Telekomunikasi Indonesia, Tbk . 2006. Kebijakan Sekuriti Sistem Informasi. Surabaya : PT. Telekomunikasi Indonesia, Tbk
Ermana, Fine. 2011. Audit keamanan sistem informasi Berdasarkan Standar ISO 20071 Pada PT. BPR JATIM : STIKOM Surabaya. Laporan Tugas Akhir STIKOM Surabaya.
Gondodiyoto, Sanyoto. 2007. Audit Sistem Informasi +Pendekatan Cobit. Jakarta : Mitra Wacana Media.
IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta : Andi
ISO/IEC 27002. 2005. Information technology — Security techniques — Code of practice for information security management International.ISO.
Ningtyas, Hastin Istiqomah. 2012. Audit Keamanan sistem Informasi Manajemen Aset Berdasarkan Standar ISO 27002 (Studi Kasus PT. Varia Usaha Beton). STIKOM Surabaya. Laporan Tugas Akhir STIKOM Surabaya. Sarno, R. dan Iffano, I. 2009a. Sistem Manajemen Keamanan Informasi.
Surabaya: ITS Press.
Sarno, Riyanarto. 2009b. Audit Sistem & Teknologi Informasi. Surabaya: ITS Press.
Windriya, Danastri Rasmona. 2013. Audit Keamanan Sistem Informasi Pada Instalasi Sistem Informasi Manajemen RSUD Bangil Berdasarkan ISO 27002. STIKOM Surabaya. Laporan Tugas Akhir STIKOM Surabaya. Yaner, Annisa Destiara. 2013. Audit Keamanan Sistem Informasi Pada Instalasi
Sistem Informasi Management (SIM-RS) Berdasarkan ISO 27002:2005 (Pada Rumah Sakit Haji Surabaya). STIKOM Surabaya. Laporan Tugas Akhir STIKOM Surabaya.