1. Home
  2. Lainnya

Hasil Wawancara Hasil Pelaksanaan Audit Keamanan Sistem Informasi

AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password

4.3 Hasil Pelaksanaan Audit Keamanan Sistem Informasi

Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. Melakukan wawancara, 2. Melakukan proses pemeriksaan data, 3. Penyusunan daftar temuan audit keamanan sistem informasi dan rekomendasi. Tahap ini akan menghasilkan temuan dan bukti, dokumen wawancara, hasil daftar temuan dan rekomendasi audit.

4.3.1 Hasil Wawancara

Pada proses wawancara, auditor melakukan wawancara berdasarkan pertanyaan yang telah dibuat. Wawancara dilakukan berdasarkan pertanyaan yang telah dibuat oleh auditor. Wawancara ditujukan kepada beberapa pihak yang terkait didalamnya yaitu pihak auditee dengan jabatan officer 1 administrasi dan monitoring, serta dua rekan dari pihak auditee lainnya yang ikut membantu dalam proses wawancara yaitu bagian officer 2 administrasi dan monitoring dan bagian officer 1 Desktop Operation dan Lisensi, pemetaan wawancara dan kewenangan dari setiap orang yang diwawancarai terdapat pada Tabel 4.17. Beberapa contoh hasil wawancara terdapat pada klausul 8 Delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process, klausul 9 Sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 Pembatasan Keamanan Fisik Physical security perimeter dan klausul 11 sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password Password Use dapat dilihat pada Tabel 4.18, Tabel 4.19, Tabel 4.20 dan selengkapnya pada Lampiran 7. Tabel 4.17 Pemetaan Wawancara dengan Beberapa Narasumber Pemetaan Wawancara dengan Beberapa Narasumber No. Tanggal Wawancara Narasumber Bagian Kewenangan 1. 24 Oktober 2012 – 24 Oktober 2013 Wawancara mengenai proses perencanaan audit yang meliputi profil perusahaan, visi misi PT Telkom, profil Desktop Management, struktur organisasi Desktop Management dan deskripsi pekerjaan Agus Widodo NIK : 631174 Bagian Officer 2 administrasi dan monitoring yang memiliki kewenangan kewenangan dalam pelaksanaan pengadministrasian dan monitoring Seat Management dalam rangka memenuhi dan mencatat kebutuhan sarana kerja desktop secara akurat. Serta memiliki kewenangan dalam melaksanakan instalasi desktop management di pengguna dan menjamin validasi data pengguna setiap bulan 2. 10 Desember 2012 Wawancara alur proses bisnis perusahaan Uyud Warsono NIK : 630360 Bagian Officer 1 Desktop Operation dan Lisensi memiliki kewenangan dalam pelaksanaan lisensi software dan problem solving desktop. Serta memiliki kewenangan dalam memastikan masalah desktop management di pengguna tersolusikan dan memastikan operasional desktop berjalan lancar 3. 7 Agustus 2014 -31 Juli 2015 Wawancara mulai dari persiapan audit, pelaksanaan audit dan pelaporan audit Persiapan Audit meliputi - Penyampaian Setiyobudi Eko N NIK : 611283 Bagian Officer 1 administrasi dan monitoring memiliki kewenangan dalam pelaksanaan pengadministrasian dan monitoring Seat Management dalam rangka memenuhi dan Pemetaan Wawancara dengan Beberapa Narasumber No. Tanggal Wawancara Narasumber Bagian Kewenangan kebutuhan data audit - Melakukan pembobotan pernyataan audit Pelaksanaan Audit meliputi - Wawancara audit - Konfirmasi temuan dan rekomendasi audit Pelaporan Audit - Permintaan tanggapan dan rekomendasi atas daftar temuan audit mencatat kebutuhan sarana kerja desktop secara akurat. Serta memiliki kewenangan dalam menjamin ketersediaan perangkat desktop di seluruh wilayah Indonesia dan memonitor penyelesaian delivery di seluruh wilayah Indonesia. Tabel 4.18 Hasil Wawancara Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 5 – 29 Januari 2015 Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan 1 Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan P: Apakah terdapat prosedur yang mengatur kedisiplinan para karyawan ? J: Ada P: Apa saja isi dari prosedur tentang kedisiplinan karyawan tersebut? J: antara lain Disiplin Dasar mengenai Karyawan P: Apakah terdapat dokumentasi yang mengatur kedisiplinan karyawan? J: Ada di HRC 2 Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor P: Apakah terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi? J: Ada P: Apa saja isi dari pertimbangan pendisiplinan formal tersebut dengan melihat AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA MANUSIA Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 5 – 29 Januari 2015 Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan beberapa faktor? J: Terdapat pada dokumen Disiplin Dasar Pegawai P: Apakah terdapat pendokumentasian khusus mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai? J: Dokumentasi bersifat Rahasia ada di HRC, tapi yang saya tahu ada beberapa macam jenis konsekuensi mengenai kedisiplinan yaitu apabila pelanggaran yang dilakukan karyawan dalam tingkatan rendah maka hanya akan ditegur, kalau tingkat pelanggarannya sedang maka akan diberikan nota dinas mengenai kedisiplinan dan apabila pelanggaran dalam tingkat yang tinggi maka karyawan tersebut bisa dikeluarkan dari perusahaan. 3 Terdapat konsekuensi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi P: Apakah seluruh karyawan harus mematuhi serta melaksanakan seluruh aturan dan prosedur keamanan sistem informasi yang terdapat pada perusahaan? J: Mematuhi P: Apakah karyawan tidak diperbolehkan menyebar atau memberikan informasi yang bersifat internal ? misalkan menyebarkan username dan password kepada rekan lain meskipun setiap jobdesk masing masing karyawan berbeda? J: Tidak Diijinkan P: Selama ini apakah pernah terjadi beberapa karyawan yang mengabaikan prosedur keamanan informasi tersebut? J: Pernah, yaitu menitipkan password P: Lalu apa sanksi yang tepat bagi karyawan yang mengabaikan , bahkan melanggar prosedur keamanan sistem informasi yang telah ditetapkan oleh perusahaan? J: Sejauh ini masih dalam teguran lisan P: Apakah ada dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password tersebut pak? J: Ada. Di KD 57 Bab VIII pasal 34 ayat 4d, tentang alokasi password harus dikelola untuk memaksimumkan perlindungan terhadap sistem Tabel 4.19 Hasil Wawancara Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik Physical security perimeter AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 5 September – 16 Desember 2014 Klausul 9.1 Wilayah Aman Secure Areas 9.1.1 Pembatas keamanan fisik 1 Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik P: Batas fisik seperti apakah yang terdapat di dalam ruangan Desktop Management untuk melindungi pemrosesan informasi yang sedang berlangsung dan bagaimana gambaran keamanan sebelum masuk menuju ruang Desktop? disertai foto,ukuran batas fisik tersebuut J: Batas fisik berupa sekat dengan bahan playwood seperti yang terdapat di foto di bawah ini Untuk gambaran umum keamanan sebelum masuk menuju ruang Desktop yaitu sebelum menuju ke ruang Desktop harus melalui resepsionist Front Desk terlebih dahulu untuk mengisi buku kunjungan sesuai keperluan. Setelah itu melewati pintu akses untuk masuk ke ruang ISSSM Information System Service Support Management, pegawai resepsionist memiliki kartu akses yang khusus hanya untuk memasukkan tamu ke ruang ISSSM. Karena tidak ada pintu khusus untuk memasuki ruang Desktop Management jadi langsung menuju ke ruangan tersebut. Berikut foto dari ruang resepsionist sampai ke ruang Desktop Management. AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 5 September – 16 Desember 2014 Klausul 9.1 Wilayah Aman Secure Areas 9.1.1 Pembatas keamanan fisik P: Apakah batas fisik tersebut terjamin keamanannya secara optimal untuk melindungi kegiatan pemrosesan informasi yang sedang berlangsung? J: Aman. P: Apakah batas fisik tersebut telah dibuat sesuai standar keamanan yang layak? Terbuat dari bahan apakah pembatas fisik tersebut? J: Sudah sesuai. P: Apakah ada dokumen atau prosedur keamanan yang mengatur tentang batas fisik tersebut? J: Iya ada prosedurnya, yaitu di dokumen keputusan Direksi Perusahaan Perseroan PERSERO PT Telekomunikasi Indonesia, Tbk. Nomor : KD.57HK-290ITS- 302006 di Bab VI Sekuriti Fisik dan Lingkungan Aset Informasi, pasal 16Area Aman ayat 1. P: Pada ruangan Desktop Management ini terdapat kaca yang memiliki pandangan keluar gedung, apakah kaca tersebut terbuat dengan bahan yang kuat dan tidak mudah pecah untuk pencegahan huru hara, apakah kaca tersebut tahan peluru atau tidak? AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 5 September – 16 Desember 2014 Klausul 9.1 Wilayah Aman Secure Areas 9.1.1 Pembatas keamanan fisik apabila di lantai dasar maka ideal apabila diproteksi dengan kaca anti peluru dan dilindungi dari cahaya matahari yang menyengat J: Kaca tidak tahan peluru , namun kalau hanya lemparan batu batu kecil masih kuat kacanya. P: Selama ini apakah pernah terjadi insiden penembakan di daerah ruang Desktop Management? Apakah ada standar khusus untuk kaca harus terbuat dari apa untuk ruang Desktop Management ini? J: Tidak ada 2 Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. P: Siapakah yang menempati ruangan pemrosesan informasi di sini? J: GM General Manager dan staff. P: Perlindungan seperti apakah yang digunakan untuk melindungi tempat kerja yang khusus hanya personil dengan otorisasi saja yang boleh masuk?pintu,kartu akses,penjaga pintu,dll J: Setiap karyawan memilki kartu akses. Kartu akses tersebut dapat digunakan karyawan untuk masuk ke beberapa ruangan yang bisa dimasuki oleh orang orang tertentu saja. Dan di dekat pintu masuk juga ada ruang security yang dijaga oleh bagian keamanan. P: Apakah terdapat cctv close circuit tele vision yang ditempatkan di lokasi yang ideal untuk merekam keluar masuknya karyawan? Apakah di dalam ruang kerja atau pemrosesan informasi juga ada cctv? J: Hanya di ruang tertentu saja terdapat cctv, pada ruangan kerja tidak ada cctv. P: Apakah ada dokumen yang mengatur bahwa untuk akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi? J: Sesuai dengan dokumen KD 57 Bab VI Sekuriti Fisik dan Lingkungan Aset Informasi, pasal 16Area Aman, ayat 2 3 Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. P: Apakah pintu darurat telah dipasang sesuai standar keamanan dan tertutup rapat? J: Iya, sudah sesuai standar. P: Standar yang dimaksud di sini seperti apa pak? Mungkin bisa dijelaskan? misal AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 5 September – 16 Desember 2014 Klausul 9.1 Wilayah Aman Secure Areas 9.1.1 Pembatas keamanan fisik kalau pintu darurat, khusus pintu darurat harus memiliki criteria khusus bahwa pegangan pintunya harus terbuat dari bahan apa dan bentuknya harus seperti apa, dll J: Terbuat dari besi, lebarnya kurang lebih 90cm, tingginya 200cm dan langsung menuju tangga darurat dan juga bisa menuju pintu darurat yang terhubung langsung dengan halaman luar kantor. P: Bagaimana kontrol pengawasan apabila terjadi bencana mendadak seperti kebakaran, banjir atau gempa? J: Masih manual, apabila terjadi suatu bencana yang tidak diinginkan maka barang atau fasilitas yang sekiranya bisa diamankan , langsung diamankan dengan cara diangkut atau dibawa oleh para karyawan ke area yang lebih aman. P: Apakah setiap karyawan mengetahui di mana saja pintu darurat berada? J: Iya , semua karyawan pasti tahu. Letaknya skitar 18m dari sini dan menyambung ke AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN FISIK LINGKUNGAN Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 5 September – 16 Desember 2014 Klausul 9.1 Wilayah Aman Secure Areas 9.1.1 Pembatas keamanan fisik tangga darurat. P: Apakah pintu darurat tersebut hanya dapat dibuka dari dalam atau juga dapat dibuka dari luar? Kalaupun dapat dibuka dari luar , hanya dengan menggunakan kunci yang dimiliki oleh orang-orang yang telah ditunjuk misalnya personal keamanan gedung J: Pintu darurat dapat dibuka dari dalam dan dari luar. Namun yang dari luar kuncinya hanya dipegang oleh security. Pintu daruratnya terkadang rusak, karena digunakan untuk keluar masuknya barang, harusnya digunakan saat darurat saja. 4 Orang yang akan masuk ke wilayah aman harus diawasi P: Apakah ada persyaratan khusus untuk orang lain selain karyawan yang akan mengunjungi wilayah aman? Seperti apakah persyaratan tersebut? J: Ada. Orang tersebut harus menemui resepsionist – ditanyai dulu apa keperluannya - lalu diarahkan oleh resepsionis ke masing-masing unit yang bersangkutan – menitipkan KTP – lalu diberi kartu visitor yang akan dikenakan sampai selesai urusannya , lalu kartu visitor dikembalikan kepada resepsionis dan KTP akan dikembalikan kepada yang bersangkutan. P: Apakah ada pencatatan khusus apabila ada yang keluar masuk ruangan Desktop Management? J: Ada. Di buku kunjungan yang terdapat pada resepsionis. P: Adakah cctv yang mengawasi siapa saja yang masuk dan keluar ke wilayah aman? J: Cctv ada di pintu utama, di pintu yang menuju ruang kerja Desktop Management tidak ada. Tabel 4.20 Hasil Wawancara Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password Password Use AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 2 Maret – 31 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password 1 Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password P: Apakah karyawan Desktop Management telah menyadari mengenai pentingnya kerahasiaan password masing-masing? J: Sudah P: Apakah ada perintah tertulis yang memberitahukan pada karyawan tentang pentingnya menjaga kerahasiaan password? J: Ada, yaitu berupa larangan menyebarkan password. Di dokumen KD 57 Bab VIII Pasal 34 ayat 4d 2 Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya P: Apakah karyawan yang bersangkutan sering melakukan pergantian password jika dirasa sistem dalam keadaan bahaya? J: Selama ini masih belum melakukan pergantian password, karena masih belum ada sistem yang berbahaya P: Apakah terdapat aturan secara tertulis atau secara lisan mengenai perintah pergantian sandi setiap kali ada kemungkinan keadaan bahaya? J: Kalau memang ada perintah ya biasanya secara lisan 3 Terdapat larangan dalam pembuatan catatan password P: Apakah ada larangan dalam pembuatan catatan password di laptop kerja tanpa perlindungan khusus? J: Ada P: Siapa yang membuat larangan pembuatan catatan password tersebut? J: Pihak direksi, larangan tersebut terdapat di dokumen KD 57 Pasal 34 ayat 4k P: Apakah karyawan memiliki metode penyimpanan yang aman dalam peletakan passwordnya? J: Iya , melalui perangkat pribadi masing masing, seperti perangkat mobile 4 Terdapat larangan untuk tidak membagi satu password kepada pengguna lain P: Apakah ada larangan agar tidak membagi satu password kepada pengguna lain? J: Iya ada AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 2 Maret – 31 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password P: Apakah karyawan pernah melakukan penyebaran password individu kepada karyawan lain atau orang lain? J: Pernah, yaitu saling menitipkan password P: Berdasarkan kuesioner terdahulu, apabila sudah ada yang mengatur bahwa tidak diperbolehkan membagi password, lantas mengapa masih ada saja yang melanggar prosedur tersebut pak? J: Kalau sadar akan pentingnya password sudah menyadari namun tingkat kedisiplinan para karyawan yang masih kurang akan hal tersebut P: Apakah terdapat konsekuensi khusus apabila karyawan tersebut melakukan penyebaran password kepada karyawan lain? J: Sampai saat ini masih dalam teguran secara lisan saja, masih belum ada konsekuensi yang khusus 5 Terdapat pergantian password sementara pada saat pertama kali log-on P: Apakah terdapat pergantian password sementara? J: Iya ada P: Apakah pergantian password sementara tersebut digunakan saat pertama kali log- on? J: iya betul, wajib dilakukan agar terjaga keamanan informasinya. Seperti aplikasi cnemas, absensi, poin serta portal menggunakan pergantian password sementara dan wajib diterapkan karena untuk keamanan informasi 6 Terdapat pemilihan password secara berkualitas yang mudah diingat P: Apakah karyawan memilih password yang mudah diingat? Apakah password dipilih berdasarkan tgl lahir, nama karyawan atau secara acak? J: Iya sudah memilih yang mudah diingat dan tidak berdasarkan tanggal lahir maupun nama P: Apakah password yang digunakan sudah tidak menggunakan informasi yang mudah ditebak oleh orang lain? J: Tidak P: Apakah password yang digunakan sudah teracak dengan baik antara nomor dan alphabet? J: Sudah AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES Auditor : Dian Ayu P Auditee : Bpk Setiyobudi Bagian Off 1 Administrasi Monitoring Tanggal : 2 Maret – 31 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password P: Apakah terdapat dokumentasi khusus mengenai cara pemilihan kata sandi yang berkualitas? J: Ada di dokumen KD 57 pasal 34 ayat 4f 7 Terdapat perubahan kata sandipassword berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama P: Apakah perubahan kata sandi dilakukan secara berkala? J: Iya P: Berapa kali karyawan melakukan perubahan kata sandipassword? J: Setiap 3 bulan sekali P: Apakah perubahan kata sandi sudah dilakukan berdasarkan jumlah akses dilakukan? J: Tidak P: Apakah sandi yang lama sudah dipastikan tidak dipergunakan kembali? J: Sandi yang lama sudah tidak bisa dipakai lagi

4.3.2 Hasil Pemeriksaan Data

Dokumen yang terkait

TA : Audit Keamanan Informasi Pada Bagian Pengembangan Multimedia Baru Berdasarkan Standar ISO 27002:2005 di Radio Republik Indonesia Surabaya.

0 8 116

TA : Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 Pada PT. Aneka Jaya Baut Sejahtera (PT. AJBS).

9 41 90

TA : Audit Keamanan Sistem Informasi Manajemen Aset Berdasarkan Standar ISO 27002 (Studi Kasus: PT. Varia Usaha Beton).

1 10 101

58 ISO 17799 Standar Sistem Manajemen Keamanan Informasi

0 14 10

ISO 17799 Standar Sistem Manajemen Keama

0 1 1

SURVEY STANDAR MANAJEMEN KEAMANAN SISTEM

0 0 10

Audit Keamanan Sistem Informasi Berdasarkan Standar Iso 27001 Pada PT. BPR JATIM

1 1 8

Audit Keamanan Sistem Informasi Pada Instalasi Sistem Informasi Management (Sim-Rs) Berdasarkan Standar ISO 27002 (Studi Kasus: Rumah Sakit Umum Haji Surabaya)

0 1 8

Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 (Studi Kasus: PT. Aneka Jaya Baut Sejahtera)

0 0 9

Audit Keamanan Sistem Informasi Pada Bagian Desktop Management Berdasarkan Standar ISO 27002:2005 Di PT. Telkom Divre V Jatim

0 0 8