PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 11 KONTROL
AKSES
Pemeriksa : Bpk Erwin SutomoBpk Teguh
Sutanto Auditor
: Dian Ayu P Auditee
: Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring
Tanggal : 1 Juni
– 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities
11.3.1 Penggunaan Password No. Pemeriksaan
Catatan Auditor Catatan Review
Dokumen yang mengatur tentang
pemilihan password yaitu di dokumen KD
57 bab VIII pasal 34 ayat 4 f.
7. Identifikasi perubahan kata
sandipassword berkala atau berdasarkan jumlah akses dan
larangan menggunakan password yang lama
Dengan cara
1. Wawancara
2. Survey
Telah diperiksa bahwa terdapat perubahan
sandi secara berkala yaitu setiap 3 bulan
sekali dan perubahan sandi tidak berdasarkan
jumlah akses yang dilakukan. Sandi yang
lama tidak dapat digunakan kembali.
Dilakukan perubahan password setiap 3 bulan
sekali, tidak berdasarkan jumlah akses yang
dilakukan.
4.3.3 Hasil Temuan dan Rekomendasi
Penyusunan temuan dan rekomendasi sebagai hasil evaluasi dari pelaksanaan audit keamanan sistem informasi ini muncul setelah dilakukan
pembandingan antara apa yang seharusnya dilakukan dengan proses yang sedang berlangsung pada perusahaan. Dari hasil temuan tersebut kemudian dilaksanakan
rekomendasi yang merupakan rincian temuan serta rekomendasi yang diberikan untuk perbaikan proses keamanan sistem informasi ke depannya. Beberapa contoh
temuan dan rekomendasi pada klausul 8 delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan, klausul 9 sembilan
Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatas keamanan fisik serta klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan
password dapat dilihat pada Tabel 4.24, Tabel 4.25, Tabel 4.26 dan untuk selengkapnya dapat dilihat pada Lampiran 9.
Tabel 4.24 Daftar Temuan dan Rekomendasi Pada Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 8 KEAMANAN SUMBER DAYA
MANUSIA Tanggal : 4
– 6 Mei 2015 No
Pernyataan Hasil Analisa Wawancara
Temuan Referensi, Penyebab Risiko
dan Rekomendasi Tanggapan dan Komitmen
Penyelesaian
1 Terdapat sanksi bagi
karyawan yang cenderung
mengabaikan prosedur keamanan
sistem informasi Telah diperiksa bahwa seharusnya
karyawan mematuhi prosedur keamanan sistem informasi pada
perusahaan dan tidak diijinkan menyebar atau memberikan
informasi yang bersifat internal seperti password contohnya,
tetapi tetap saja terdapat beberapa diantaranya yang mengabaikan
prosedur tersebut yaitu dengan menitipkan password kepada
rekan lain. saja dan tidak ada dokumen yang mengatur apabila
karyawan mengabaikan prosedur tersebut. Sejauh ini sanksi hanya
berupa teguran lisan. Terdapat temuan bahwa masih
terdapat karyawan yang tidak mematuhi prosedur yang
sudah ada di perusahaan, yaitu saling menitipkan password
kepada rekan lain meskipun mereka tau hal tersebut
dilarang dan sudah disebutkan jelas dalam dokumen KD 57
Bab VIII pasal 34 ayat 4d Ref Temuan:
- Wawancara klausul 8
dengan objektif kontrol 8.2.3 pada pertanyaan dan
jawaban nomor 3 yang terdapat detailnya di
lampiran 7 Wawancara Audit
Ref Rekomendasi: -
ISO 270002 8.2.3 Proses Kedisiplinan
- Dokumen KD 57 Bab VIII
Kontrol Akses -
IBISA, 2011:45. IBISA. 2011. Keamanan Sistem
Informasi. Yogyakarta : Andi.
Resiko : Jika password dibagikan ke
sesama rekan kerja, maka akan beresiko bahwa
informasi penting yang seharusnya hanya boleh
Tanggapan : Memang tidak ada
prosedur atau dokumen khusus untuk karyawan
yang melanggar peraturan yang telah ditetapkan oleh
perusahaan. Kalau dokumen yang mengatur
bahwa password tidak boleh diberikan kepada
orang lain ada di dokumen Keputusan Direksi
Perusahaan Perseroan PT Telekomunikasi Indonesia
dengan nomor : KD.57HK-290ITS-
302006, tapi di dalam dokumen tersebut tidak
terdapat sanksi khususnya. Komitmen Penyelesaian :
Kami pihak desktop management akan
mempertimbangkan terlebih dahulu untuk
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 8 KEAMANAN SUMBER DAYA
MANUSIA Tanggal : 4
– 6 Mei 2015 No
Pernyataan Hasil Analisa Wawancara
Temuan Referensi, Penyebab Risiko
dan Rekomendasi Tanggapan dan Komitmen
Penyelesaian dilihat secara pribadi bisa
dilihat oleh rekan yang tidak berhak. Dan apabila hanya
teguran lisan saja sanksinya, maka akan beresiko
karyawan tersebut mengulangi lagi
kesalahannya.
Rekomendasi : -
Seharusnya terdapat
sanksi bagi
karyawan apabila memberitahukan
password kepada orang lain di dalam dokumen
KD 57 Bab VIII Pasal 34 ayat 4d, jadi tidak hanya
dituliskan
larangan memberitahukan
password. Segera
merencanakan untuk
menambahkan sanksi di dalam dokumen KD 57
Bab VIII Pasal 34 ayat 4d tersebut.
- Dibuat
jenjang level
menambahkan sanksi di dalam dokumen KD 57
Bab VIII Pasal 34 ayat 4d tersebut, karena urusannya
langsung kepada yang membuat dokumen
kebijakan yaitu pihak Direksi perusahaan.
Begitu pula dengan penambahan level
keamanan passwordnya nanti kami akan mencoba
mengusulkannya ke pihak Unit Pengelola Teknologi
Informasi.
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 8 KEAMANAN SUMBER DAYA
MANUSIA Tanggal : 4
– 6 Mei 2015 No
Pernyataan Hasil Analisa Wawancara
Temuan Referensi, Penyebab Risiko
dan Rekomendasi Tanggapan dan Komitmen
Penyelesaian keamanan
passwordnya pada
aplikasi yang
digunakan, dimana
setelah login di awal pada aplikasi
terdapat password khusus yang
diperuntukkan hanya
untuk melihat lihat saja atau bisa mengedit atau
bahkan bisa menghapus data
- Reff
rekomendasi :
Wawancara mengenai
keamanan password
dengan bapak dwijo Dan
Tabel 4.25 Daftar Temuan dan Rekomendasi Pada Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 9 KEAMANAN FISIK DAN
LINGKUNGAN Tanggal : 4
– 6 Mei 2015 No
Pernyataan Hasil Analisa Wawancara
Temuan Referensi, Penyebab Risiko
dan Rekomendasi Tanggapan dan Komitmen
Penyelesaian
1. Semua pintu darurat
dalam batas perimeter keamanan harus
dipasang tanda bahaya dan tertutup
rapat. Telah diperiksa bahwa pintu
darurat dipasang sesuai standar keamanan yang terbuat dari besi
lebarnya kurang lebih 90cm, tingginya 200cm serta tertutup
rapat dan semua karyawan telah mengetahui lokasi pintu darurat
tersebut. Namun pintu darurat terkadang
rusak karena pernah digunakan untuk keluar masuknya barang ke
ruang Desktop atau ke ruang lainnya di ISSSM.
Terdapat temuan bahwa ada pintu yang terkadang rusak
dikarenakan pernah digunakan untuk akses keluar masuknya
barang. Ref Temuan :
- Wawancara klausul 9
dengan objektif kontrol 9.1.1 pada pertanyaan dan
jawaban no.3 yang terdapat detailnya di lampiran 7
Wawancara Audit
Ref Rekomendasi : -
ISO 27002 9.1.1 Pembatas keamanan fisik
- IBISA, 2011:62. IBISA.
2011. Keamanan Sistem Informasi. Yogyakarta :
Andi. Resiko :
Jika pintu darurat terkadang rusak, maka dikhawatirkan
akan beresiko tidak bisa digunakan saat terjadi
bencana mendadak seperti kebakaran atau gempa serta
bisa membahayakan keselamatan para karyawan.
Tanggapan : Untuk prosedur sekuriti
fisik dan lingkungan di sini sudah ada dokumennya
yaitu di dokumen KD 57, namun di situ belum ada
standar keamanan untuk pintu darurat dan memang
pintu darurat pernah digunakan untuk akses
keluar masuk barang. Komitmen Penyelesaian :
Kami akan mencoba mengusulkan untuk
membuat prosedur tentang standar keamanan pintu
darurat tersebut kepada pihak Unit Pengelola
Security and Safety SAS.
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 9 KEAMANAN FISIK DAN
LINGKUNGAN Tanggal : 4
– 6 Mei 2015 No
Pernyataan Hasil Analisa Wawancara
Temuan Referensi, Penyebab Risiko
dan Rekomendasi Tanggapan dan Komitmen
Penyelesaian Rekomendasi :
- Segera
merencanakan untuk membuat prosedur
tentang keamanan pintu darurat
sesuai standar
beserta pemeliharaannya agar
tidak digunakan
selain dalam
keadaan bahaya
dan agar
terpelihara. -
Lebih memperhatikan
keamanan di sekitar pintu darurat khususnya kerja
sama dengan
pihak security
agar tidak
dijadikan akses keluar masuknya barang melalui
pintu darurat.
Tabel 4.26 Daftar Temuan dan Rekomendasi Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 11 KONTROL AKSES
Tanggal : 30 Juni -30 Juli 2015 No
Pernyataan Hasil Analisa Wawancara
Temuan Referensi, Penyebab Risiko
dan Rekomendasi Tanggapan dan Komitmen
Penyelesaian
1. Terdapat larangan
untuk tidak membagi satu password kepada
pengguna lain Telah diperiksa bahwa karyawan
di larang untuk tidak membagi password kepada pengguna lain
namun karena tingkat kedisiplinan yang kurang, ada
saja karyawan yang melanggar aturan tersebut, yaitu saling
menitipkan password ke sesama rekan kerja. Sampai saat ini
konsekuensinya hanyalah berupa teguran lisan belum ada
konsekuensi yang lebih khusus.
Terdapat temuan bahwa tingkat kedisiplinan karyawan
untuk menjaga password yang dimiliki masih kurang karena
saling menitipkan password. Konsekuensi pada karyawan
hanya berupa teguran lisan. Ref Temuan :
- Wawancara klausul 11
dengan objektif kontrol 11.3.1 pertanyaan dan
jawaban no.4 yang terdapat detailnya di lampiran 7
Wawancara Audit
Ref Rekomendasi : -
ISO 27002 11.3.1 Penggunaan Password
- Dokumen Keputusan
Direksi Perusahaan Perseroan PT
Telekomunikasi Indonesia dengan nomor :
KD.57HK-290ITS- 302006 Bab VIII Kontrol
Akses
- IBISA, 2011:45. IBISA.
2011. Keamanan Sistem Informasi. Yogyakarta :
Andi. Tanggapan :
Meskipun sudah ada peraturan atau kebijakan
mengenai larangan untuk tidak menyebarkan
password namun tingkat kedisiplinan dari beberapa
karyawan masih ada yang kurang akan hal tersebut
Komitmen Penyelesaian : Kami pihak desktop
management akan mempertimbangkan
terlebih dahulu untuk menambahkan konsekuensi
di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d
yang mengatur tentang larangan menyebarluaskan
password, karena urusannya langsung kepada
yang membuat dokumen kebijakan yaitu pihak
Direksi perusahaan.
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 11 KONTROL AKSES
Tanggal : 30 Juni -30 Juli 2015 No
Pernyataan Hasil Analisa Wawancara
Temuan Referensi, Penyebab Risiko
dan Rekomendasi Tanggapan dan Komitmen
Penyelesaian Resiko :
Informasi yang seharusnya tidak diketahui oleh yang
bukan haknya bisa diketahui dengan mudah dengan
adanya saling menitipkan password. Pihak manajemen
bisa memberikan sanksi kepada pemilik user-ID dan
resiko yang paling fatal ialah pemutusan hubungan kerja
dan dituntut secara hukum. Rekomendasi :
-
Segera merencanakan
konsekuensi khusus bagi karyawan yang belum
sadar akan pentingnya untuk tidak menyebarkan
password dan perusahaan harus konsisten dengan
peraturan
yang dibuat
karena tidak ada gunanya peraturan dibuat namun
implementasinya masih
kurang Begitu pula dengan
penambahan level keamanan passwordnya
nanti kami akan mencoba mengusulkannya ke pihak
Unit Pengelola Teknologi Informasi.
Dari hasil wawancara dengan pihak Desktop Management dan bukti foto dan rekaman serta wawancara maka didapatkan temuan pada klausul 8 delapan
Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan yaitu adanya karyawan yang tidak mematuhi prosedur yang telah ditetapkan
tersebut, yaitu menitipkan password ke rekan kerja, untuk klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatas keamanan fisik
yaitu pintu darurat terkadang rusak karena pernah digunakan untuk akses keluar masuk barang dan untuk klausul 11 sebelas Kontrol Akses dengan kontrol
11.3.1 penggunaan password terdapat temuan yaitu masih ada karyawan kurang disiplin dalam menjaga passwordnya agar tidak dititipkan ke sesama rekan kerja .
Dari hasil temuan yang didapatkan pada klausul 8 dengan kontrol 8.2.3 maka rekomendasi yang dapat diberikan adalah dengan memberikan konsekuensi
kepada karyawan apabila menitipkan password kepada orang lain, dan di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d juga dituliskan konsekuensi untuk
karyawan tersebut, jadi tidak hanya dituliskan larangan memberitahukan password. Lalu segera merencanakan untuk menambahkan sanksi di dalam
dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut kepada Direksi. Untuk rekomendasi pada temuan klausul 9 dengan kontrol 9.1.1 yaitu segera membuat
prosedur tentang keamanan pintu darurat sesuai standar beserta pemeliharaannya agar tidak digunakan selain dalam keadaan bahaya. Untuk rekomendasi klausul 11
dengan kontrol 11.3.1 yaitu pihak perusahaan segera memberi konsekuensi khusus untuk karyawan yang salling menitipkan password tersebut, dan dibuatkan
jenjang level keamanan password pada aplikasi yang digunakan.
4.4 Hasil Pelaporan Audit Keamanan Sistem Informasi