PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM INFORMASI ASPEK : KLAUSUL 11 KONTROL AKSES Pemeriksa : Bpk Erwin SutomoBpk Teguh Sutanto Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 1 Juni – 30 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan Password No. Pemeriksaan Catatan Auditor Catatan Review Dokumen yang mengatur tentang pemilihan password yaitu di dokumen KD 57 bab VIII pasal 34 ayat 4 f. 7. Identifikasi perubahan kata sandipassword berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama Dengan cara 1. Wawancara 2. Survey Telah diperiksa bahwa terdapat perubahan sandi secara berkala yaitu setiap 3 bulan sekali dan perubahan sandi tidak berdasarkan jumlah akses yang dilakukan. Sandi yang lama tidak dapat digunakan kembali. Dilakukan perubahan password setiap 3 bulan sekali, tidak berdasarkan jumlah akses yang dilakukan.

4.3.3 Hasil Temuan dan Rekomendasi

Penyusunan temuan dan rekomendasi sebagai hasil evaluasi dari pelaksanaan audit keamanan sistem informasi ini muncul setelah dilakukan pembandingan antara apa yang seharusnya dilakukan dengan proses yang sedang berlangsung pada perusahaan. Dari hasil temuan tersebut kemudian dilaksanakan rekomendasi yang merupakan rincian temuan serta rekomendasi yang diberikan untuk perbaikan proses keamanan sistem informasi ke depannya. Beberapa contoh temuan dan rekomendasi pada klausul 8 delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan, klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatas keamanan fisik serta klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password dapat dilihat pada Tabel 4.24, Tabel 4.25, Tabel 4.26 dan untuk selengkapnya dapat dilihat pada Lampiran 9. Tabel 4.24 Daftar Temuan dan Rekomendasi Pada Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA Tanggal : 4 – 6 Mei 2015 No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko dan Rekomendasi Tanggapan dan Komitmen Penyelesaian 1 Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi Telah diperiksa bahwa seharusnya karyawan mematuhi prosedur keamanan sistem informasi pada perusahaan dan tidak diijinkan menyebar atau memberikan informasi yang bersifat internal seperti password contohnya, tetapi tetap saja terdapat beberapa diantaranya yang mengabaikan prosedur tersebut yaitu dengan menitipkan password kepada rekan lain. saja dan tidak ada dokumen yang mengatur apabila karyawan mengabaikan prosedur tersebut. Sejauh ini sanksi hanya berupa teguran lisan. Terdapat temuan bahwa masih terdapat karyawan yang tidak mematuhi prosedur yang sudah ada di perusahaan, yaitu saling menitipkan password kepada rekan lain meskipun mereka tau hal tersebut dilarang dan sudah disebutkan jelas dalam dokumen KD 57 Bab VIII pasal 34 ayat 4d Ref Temuan: - Wawancara klausul 8 dengan objektif kontrol 8.2.3 pada pertanyaan dan jawaban nomor 3 yang terdapat detailnya di lampiran 7 Wawancara Audit Ref Rekomendasi: - ISO 270002 8.2.3 Proses Kedisiplinan - Dokumen KD 57 Bab VIII Kontrol Akses - IBISA, 2011:45. IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta : Andi. Resiko : Jika password dibagikan ke sesama rekan kerja, maka akan beresiko bahwa informasi penting yang seharusnya hanya boleh Tanggapan : Memang tidak ada prosedur atau dokumen khusus untuk karyawan yang melanggar peraturan yang telah ditetapkan oleh perusahaan. Kalau dokumen yang mengatur bahwa password tidak boleh diberikan kepada orang lain ada di dokumen Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia dengan nomor : KD.57HK-290ITS- 302006, tapi di dalam dokumen tersebut tidak terdapat sanksi khususnya. Komitmen Penyelesaian : Kami pihak desktop management akan mempertimbangkan terlebih dahulu untuk TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA Tanggal : 4 – 6 Mei 2015 No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko dan Rekomendasi Tanggapan dan Komitmen Penyelesaian dilihat secara pribadi bisa dilihat oleh rekan yang tidak berhak. Dan apabila hanya teguran lisan saja sanksinya, maka akan beresiko karyawan tersebut mengulangi lagi kesalahannya. Rekomendasi : - Seharusnya terdapat sanksi bagi karyawan apabila memberitahukan password kepada orang lain di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d, jadi tidak hanya dituliskan larangan memberitahukan password. Segera merencanakan untuk menambahkan sanksi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut. - Dibuat jenjang level menambahkan sanksi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut, karena urusannya langsung kepada yang membuat dokumen kebijakan yaitu pihak Direksi perusahaan. Begitu pula dengan penambahan level keamanan passwordnya nanti kami akan mencoba mengusulkannya ke pihak Unit Pengelola Teknologi Informasi. TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA Tanggal : 4 – 6 Mei 2015 No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko dan Rekomendasi Tanggapan dan Komitmen Penyelesaian keamanan passwordnya pada aplikasi yang digunakan, dimana setelah login di awal pada aplikasi terdapat password khusus yang diperuntukkan hanya untuk melihat lihat saja atau bisa mengedit atau bahkan bisa menghapus data - Reff rekomendasi : Wawancara mengenai keamanan password dengan bapak dwijo Dan Tabel 4.25 Daftar Temuan dan Rekomendasi Pada Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 9 KEAMANAN FISIK DAN LINGKUNGAN Tanggal : 4 – 6 Mei 2015 No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko dan Rekomendasi Tanggapan dan Komitmen Penyelesaian 1. Semua pintu darurat dalam batas perimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. Telah diperiksa bahwa pintu darurat dipasang sesuai standar keamanan yang terbuat dari besi lebarnya kurang lebih 90cm, tingginya 200cm serta tertutup rapat dan semua karyawan telah mengetahui lokasi pintu darurat tersebut. Namun pintu darurat terkadang rusak karena pernah digunakan untuk keluar masuknya barang ke ruang Desktop atau ke ruang lainnya di ISSSM. Terdapat temuan bahwa ada pintu yang terkadang rusak dikarenakan pernah digunakan untuk akses keluar masuknya barang. Ref Temuan : - Wawancara klausul 9 dengan objektif kontrol 9.1.1 pada pertanyaan dan jawaban no.3 yang terdapat detailnya di lampiran 7 Wawancara Audit Ref Rekomendasi : - ISO 27002 9.1.1 Pembatas keamanan fisik - IBISA, 2011:62. IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta : Andi. Resiko : Jika pintu darurat terkadang rusak, maka dikhawatirkan akan beresiko tidak bisa digunakan saat terjadi bencana mendadak seperti kebakaran atau gempa serta bisa membahayakan keselamatan para karyawan. Tanggapan : Untuk prosedur sekuriti fisik dan lingkungan di sini sudah ada dokumennya yaitu di dokumen KD 57, namun di situ belum ada standar keamanan untuk pintu darurat dan memang pintu darurat pernah digunakan untuk akses keluar masuk barang. Komitmen Penyelesaian : Kami akan mencoba mengusulkan untuk membuat prosedur tentang standar keamanan pintu darurat tersebut kepada pihak Unit Pengelola Security and Safety SAS. TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 9 KEAMANAN FISIK DAN LINGKUNGAN Tanggal : 4 – 6 Mei 2015 No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko dan Rekomendasi Tanggapan dan Komitmen Penyelesaian Rekomendasi : - Segera merencanakan untuk membuat prosedur tentang keamanan pintu darurat sesuai standar beserta pemeliharaannya agar tidak digunakan selain dalam keadaan bahaya dan agar terpelihara. - Lebih memperhatikan keamanan di sekitar pintu darurat khususnya kerja sama dengan pihak security agar tidak dijadikan akses keluar masuknya barang melalui pintu darurat. Tabel 4.26 Daftar Temuan dan Rekomendasi Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 11 KONTROL AKSES Tanggal : 30 Juni -30 Juli 2015 No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko dan Rekomendasi Tanggapan dan Komitmen Penyelesaian 1. Terdapat larangan untuk tidak membagi satu password kepada pengguna lain Telah diperiksa bahwa karyawan di larang untuk tidak membagi password kepada pengguna lain namun karena tingkat kedisiplinan yang kurang, ada saja karyawan yang melanggar aturan tersebut, yaitu saling menitipkan password ke sesama rekan kerja. Sampai saat ini konsekuensinya hanyalah berupa teguran lisan belum ada konsekuensi yang lebih khusus. Terdapat temuan bahwa tingkat kedisiplinan karyawan untuk menjaga password yang dimiliki masih kurang karena saling menitipkan password. Konsekuensi pada karyawan hanya berupa teguran lisan. Ref Temuan : - Wawancara klausul 11 dengan objektif kontrol 11.3.1 pertanyaan dan jawaban no.4 yang terdapat detailnya di lampiran 7 Wawancara Audit Ref Rekomendasi : - ISO 27002 11.3.1 Penggunaan Password - Dokumen Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia dengan nomor : KD.57HK-290ITS- 302006 Bab VIII Kontrol Akses - IBISA, 2011:45. IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta : Andi. Tanggapan : Meskipun sudah ada peraturan atau kebijakan mengenai larangan untuk tidak menyebarkan password namun tingkat kedisiplinan dari beberapa karyawan masih ada yang kurang akan hal tersebut Komitmen Penyelesaian : Kami pihak desktop management akan mempertimbangkan terlebih dahulu untuk menambahkan konsekuensi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d yang mengatur tentang larangan menyebarluaskan password, karena urusannya langsung kepada yang membuat dokumen kebijakan yaitu pihak Direksi perusahaan. TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring ASPEK : KLAUSUL 11 KONTROL AKSES Tanggal : 30 Juni -30 Juli 2015 No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko dan Rekomendasi Tanggapan dan Komitmen Penyelesaian Resiko : Informasi yang seharusnya tidak diketahui oleh yang bukan haknya bisa diketahui dengan mudah dengan adanya saling menitipkan password. Pihak manajemen bisa memberikan sanksi kepada pemilik user-ID dan resiko yang paling fatal ialah pemutusan hubungan kerja dan dituntut secara hukum. Rekomendasi : - Segera merencanakan konsekuensi khusus bagi karyawan yang belum sadar akan pentingnya untuk tidak menyebarkan password dan perusahaan harus konsisten dengan peraturan yang dibuat karena tidak ada gunanya peraturan dibuat namun implementasinya masih kurang Begitu pula dengan penambahan level keamanan passwordnya nanti kami akan mencoba mengusulkannya ke pihak Unit Pengelola Teknologi Informasi. Dari hasil wawancara dengan pihak Desktop Management dan bukti foto dan rekaman serta wawancara maka didapatkan temuan pada klausul 8 delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 proses kedisiplinan yaitu adanya karyawan yang tidak mematuhi prosedur yang telah ditetapkan tersebut, yaitu menitipkan password ke rekan kerja, untuk klausul 9 sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 pembatas keamanan fisik yaitu pintu darurat terkadang rusak karena pernah digunakan untuk akses keluar masuk barang dan untuk klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password terdapat temuan yaitu masih ada karyawan kurang disiplin dalam menjaga passwordnya agar tidak dititipkan ke sesama rekan kerja . Dari hasil temuan yang didapatkan pada klausul 8 dengan kontrol 8.2.3 maka rekomendasi yang dapat diberikan adalah dengan memberikan konsekuensi kepada karyawan apabila menitipkan password kepada orang lain, dan di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d juga dituliskan konsekuensi untuk karyawan tersebut, jadi tidak hanya dituliskan larangan memberitahukan password. Lalu segera merencanakan untuk menambahkan sanksi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut kepada Direksi. Untuk rekomendasi pada temuan klausul 9 dengan kontrol 9.1.1 yaitu segera membuat prosedur tentang keamanan pintu darurat sesuai standar beserta pemeliharaannya agar tidak digunakan selain dalam keadaan bahaya. Untuk rekomendasi klausul 11 dengan kontrol 11.3.1 yaitu pihak perusahaan segera memberi konsekuensi khusus untuk karyawan yang salling menitipkan password tersebut, dan dibuatkan jenjang level keamanan password pada aplikasi yang digunakan.

4.4 Hasil Pelaporan Audit Keamanan Sistem Informasi