AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES
Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password
4.3 Hasil Pelaksanaan Audit Keamanan Sistem Informasi
Pada tahap ini langkah-langkah yang dilakukan yaitu: 1. Melakukan wawancara, 2. Melakukan proses pemeriksaan data, 3. Penyusunan daftar temuan
audit keamanan sistem informasi dan rekomendasi. Tahap ini akan menghasilkan temuan dan bukti, dokumen wawancara, hasil daftar temuan dan rekomendasi
audit.
4.3.1 Hasil Wawancara
Pada proses wawancara, auditor melakukan wawancara berdasarkan pertanyaan yang telah dibuat. Wawancara dilakukan berdasarkan pertanyaan yang
telah dibuat oleh auditor. Wawancara ditujukan kepada beberapa pihak yang terkait didalamnya yaitu pihak auditee dengan jabatan officer 1 administrasi dan
monitoring, serta dua rekan dari pihak auditee lainnya yang ikut membantu dalam proses wawancara yaitu bagian officer 2 administrasi dan monitoring dan bagian
officer 1 Desktop Operation dan Lisensi, pemetaan wawancara dan kewenangan dari setiap orang yang diwawancarai terdapat pada Tabel 4.17. Beberapa contoh
hasil wawancara terdapat pada klausul 8 Delapan Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process,
klausul 9 Sembilan Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 Pembatasan Keamanan Fisik Physical security perimeter dan klausul 11
sebelas Kontrol Akses dengan kontrol 11.3.1 penggunaan password Password
Use dapat dilihat pada Tabel 4.18, Tabel 4.19, Tabel 4.20 dan selengkapnya pada Lampiran 7.
Tabel 4.17 Pemetaan Wawancara dengan Beberapa Narasumber Pemetaan Wawancara dengan Beberapa Narasumber
No. Tanggal
Wawancara Narasumber
Bagian Kewenangan
1. 24 Oktober
2012 – 24
Oktober 2013 Wawancara
mengenai proses perencanaan audit
yang meliputi profil perusahaan, visi
misi PT Telkom, profil Desktop
Management, struktur organisasi
Desktop Management dan
deskripsi pekerjaan
Agus Widodo NIK : 631174
Bagian Officer 2 administrasi dan
monitoring yang memiliki kewenangan kewenangan
dalam pelaksanaan pengadministrasian dan
monitoring Seat Management dalam
rangka memenuhi dan mencatat kebutuhan
sarana kerja desktop secara akurat. Serta
memiliki kewenangan dalam melaksanakan
instalasi desktop management di pengguna
dan menjamin validasi data pengguna setiap
bulan
2. 10 Desember
2012 Wawancara alur
proses bisnis perusahaan
Uyud Warsono NIK : 630360
Bagian Officer 1 Desktop Operation dan Lisensi
memiliki kewenangan dalam pelaksanaan lisensi
software dan problem solving desktop. Serta
memiliki kewenangan dalam memastikan
masalah desktop management di pengguna
tersolusikan dan memastikan operasional
desktop berjalan lancar
3. 7 Agustus
2014 -31 Juli 2015
Wawancara mulai dari persiapan
audit, pelaksanaan audit dan pelaporan
audit Persiapan Audit
meliputi
- Penyampaian
Setiyobudi Eko N NIK : 611283
Bagian Officer 1 administrasi dan
monitoring memiliki kewenangan dalam
pelaksanaan pengadministrasian dan
monitoring Seat Management dalam
rangka memenuhi dan
Pemetaan Wawancara dengan Beberapa Narasumber No.
Tanggal Wawancara
Narasumber Bagian Kewenangan
kebutuhan data audit
- Melakukan
pembobotan pernyataan audit
Pelaksanaan Audit meliputi
- Wawancara audit
- Konfirmasi
temuan dan rekomendasi audit
Pelaporan Audit -
Permintaan tanggapan dan
rekomendasi atas daftar temuan
audit mencatat kebutuhan
sarana kerja desktop secara akurat. Serta
memiliki kewenangan dalam menjamin
ketersediaan perangkat desktop di seluruh
wilayah Indonesia dan memonitor penyelesaian
delivery di seluruh wilayah Indonesia.
Tabel 4.18 Hasil Wawancara Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan Disciplinary Process
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA
MANUSIA
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal
: 5 – 29 Januari 2015
Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan
1 Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan
P: Apakah terdapat prosedur yang mengatur kedisiplinan para karyawan ? J: Ada
P: Apa saja isi dari prosedur tentang kedisiplinan karyawan tersebut? J: antara lain Disiplin Dasar mengenai Karyawan
P: Apakah terdapat dokumentasi yang mengatur kedisiplinan karyawan? J: Ada di HRC
2 Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor
P: Apakah terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi?
J: Ada P: Apa saja isi dari pertimbangan pendisiplinan formal tersebut dengan melihat
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 KEAMANAN SUMBER DAYA
MANUSIA
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal
: 5 – 29 Januari 2015
Klausul 8.2 Selama Menjadi Pegawai During Employment 8.2.3 Proses Kedisiplinan
beberapa faktor? J: Terdapat pada dokumen Disiplin Dasar Pegawai
P: Apakah terdapat pendokumentasian khusus mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai?
J: Dokumentasi bersifat Rahasia ada di HRC, tapi yang saya tahu ada beberapa macam jenis konsekuensi mengenai kedisiplinan yaitu apabila pelanggaran yang
dilakukan karyawan dalam tingkatan rendah maka hanya akan ditegur, kalau tingkat pelanggarannya sedang maka akan diberikan nota dinas mengenai kedisiplinan dan
apabila pelanggaran dalam tingkat yang tinggi maka karyawan tersebut bisa dikeluarkan dari perusahaan.
3 Terdapat konsekuensi bagi karyawan yang cenderung mengabaikan prosedur keamanan
sistem informasi P: Apakah seluruh karyawan harus mematuhi serta melaksanakan seluruh aturan dan
prosedur keamanan sistem informasi yang terdapat pada perusahaan? J: Mematuhi
P: Apakah karyawan tidak diperbolehkan menyebar atau memberikan informasi yang
bersifat internal ? misalkan menyebarkan username dan password kepada rekan lain meskipun setiap jobdesk masing masing karyawan berbeda?
J: Tidak Diijinkan P: Selama ini apakah pernah terjadi beberapa karyawan yang mengabaikan prosedur
keamanan informasi tersebut? J: Pernah, yaitu menitipkan password
P: Lalu apa sanksi yang tepat bagi karyawan yang mengabaikan , bahkan melanggar prosedur keamanan sistem informasi yang telah ditetapkan oleh perusahaan?
J: Sejauh ini masih dalam teguran lisan P: Apakah ada dokumen yang mengatur tentang keamanan informasi khususnya
mengenai pentingnya untuk tidak menyebarluaskan password tersebut pak? J: Ada. Di KD 57 Bab VIII pasal 34 ayat 4d, tentang alokasi password harus dikelola
untuk memaksimumkan perlindungan terhadap sistem
Tabel 4.19 Hasil Wawancara Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik Physical security perimeter
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN
FISIK LINGKUNGAN
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal
: 5 September – 16
Desember 2014 Klausul 9.1 Wilayah Aman Secure Areas
9.1.1 Pembatas keamanan fisik 1
Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik
P: Batas fisik seperti apakah yang terdapat di dalam ruangan Desktop Management untuk melindungi pemrosesan informasi yang sedang berlangsung dan bagaimana
gambaran keamanan sebelum masuk menuju ruang Desktop? disertai foto,ukuran batas fisik tersebuut
J: Batas fisik berupa sekat dengan bahan playwood seperti yang terdapat di foto di bawah ini
Untuk gambaran umum keamanan sebelum masuk menuju ruang Desktop yaitu sebelum menuju ke ruang Desktop harus melalui resepsionist Front Desk terlebih
dahulu untuk mengisi buku kunjungan sesuai keperluan. Setelah itu melewati pintu akses untuk masuk ke ruang ISSSM Information System Service Support
Management, pegawai resepsionist memiliki kartu akses yang khusus hanya untuk memasukkan tamu ke ruang ISSSM. Karena tidak ada pintu khusus untuk memasuki
ruang Desktop Management jadi langsung menuju ke ruangan tersebut. Berikut foto dari ruang resepsionist sampai ke ruang Desktop Management.
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN
FISIK LINGKUNGAN
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal
: 5 September – 16
Desember 2014 Klausul 9.1 Wilayah Aman Secure Areas
9.1.1 Pembatas keamanan fisik
P: Apakah batas fisik tersebut terjamin keamanannya secara optimal untuk melindungi kegiatan pemrosesan informasi yang sedang berlangsung?
J: Aman. P: Apakah batas fisik tersebut telah dibuat sesuai standar keamanan yang layak?
Terbuat dari bahan apakah pembatas fisik tersebut? J: Sudah sesuai.
P: Apakah ada dokumen atau prosedur keamanan yang mengatur tentang batas fisik
tersebut? J: Iya ada prosedurnya, yaitu di dokumen keputusan Direksi Perusahaan Perseroan
PERSERO PT Telekomunikasi Indonesia, Tbk. Nomor : KD.57HK-290ITS- 302006 di Bab VI Sekuriti Fisik dan Lingkungan Aset Informasi, pasal 16Area
Aman ayat 1.
P: Pada ruangan Desktop Management ini terdapat kaca yang memiliki pandangan keluar gedung, apakah kaca tersebut terbuat dengan bahan yang kuat dan tidak
mudah pecah untuk pencegahan huru hara, apakah kaca tersebut tahan peluru atau tidak?
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN
FISIK LINGKUNGAN
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal
: 5 September – 16
Desember 2014 Klausul 9.1 Wilayah Aman Secure Areas
9.1.1 Pembatas keamanan fisik apabila di lantai dasar maka ideal apabila diproteksi dengan kaca anti peluru dan
dilindungi dari cahaya matahari yang menyengat J: Kaca tidak tahan peluru , namun kalau hanya lemparan batu batu kecil masih kuat
kacanya. P: Selama ini apakah pernah terjadi insiden penembakan di daerah ruang Desktop
Management? Apakah ada standar khusus untuk kaca harus terbuat dari apa untuk ruang Desktop Management ini?
J: Tidak ada 2
Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. P: Siapakah yang menempati ruangan pemrosesan informasi di sini?
J: GM General Manager dan staff. P: Perlindungan seperti apakah yang digunakan untuk melindungi tempat kerja yang
khusus hanya personil dengan otorisasi saja yang boleh masuk?pintu,kartu akses,penjaga pintu,dll
J: Setiap karyawan memilki kartu akses. Kartu akses tersebut dapat digunakan karyawan untuk masuk ke beberapa ruangan yang bisa dimasuki oleh orang orang
tertentu saja. Dan di dekat pintu masuk juga ada ruang security yang dijaga oleh bagian keamanan.
P: Apakah terdapat cctv close circuit tele vision yang ditempatkan di lokasi yang ideal untuk merekam keluar masuknya karyawan? Apakah di dalam ruang kerja atau
pemrosesan informasi juga ada cctv? J: Hanya di ruang tertentu saja terdapat cctv, pada ruangan kerja tidak ada cctv.
P: Apakah ada dokumen yang mengatur bahwa untuk akses menuju tempat kerja
dibatasi hanya untuk personil dengan otorisasi? J: Sesuai dengan dokumen KD 57 Bab VI Sekuriti Fisik dan Lingkungan Aset
Informasi, pasal 16Area Aman, ayat 2 3
Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat.
P: Apakah pintu darurat telah dipasang sesuai standar keamanan dan tertutup rapat? J: Iya, sudah sesuai standar.
P: Standar yang dimaksud di sini seperti apa pak? Mungkin bisa dijelaskan? misal
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN
FISIK LINGKUNGAN
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal
: 5 September – 16
Desember 2014 Klausul 9.1 Wilayah Aman Secure Areas
9.1.1 Pembatas keamanan fisik kalau pintu darurat, khusus pintu darurat harus memiliki criteria khusus bahwa
pegangan pintunya harus terbuat dari bahan apa dan bentuknya harus seperti apa, dll
J: Terbuat dari besi, lebarnya kurang lebih 90cm, tingginya 200cm dan langsung menuju tangga darurat dan juga bisa menuju pintu darurat yang terhubung langsung
dengan halaman luar kantor.
P: Bagaimana kontrol pengawasan apabila terjadi bencana mendadak seperti kebakaran, banjir atau gempa?
J: Masih manual, apabila terjadi suatu bencana yang tidak diinginkan maka barang atau fasilitas yang sekiranya bisa diamankan , langsung diamankan dengan cara diangkut
atau dibawa oleh para karyawan ke area yang lebih aman. P: Apakah setiap karyawan mengetahui di mana saja pintu darurat berada?
J: Iya , semua karyawan pasti tahu. Letaknya skitar 18m dari sini dan menyambung ke
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 KEAMANAN
FISIK LINGKUNGAN
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal
: 5 September – 16
Desember 2014 Klausul 9.1 Wilayah Aman Secure Areas
9.1.1 Pembatas keamanan fisik tangga darurat.
P: Apakah pintu darurat tersebut hanya dapat dibuka dari dalam atau juga dapat dibuka dari luar? Kalaupun dapat dibuka dari luar , hanya dengan menggunakan kunci
yang dimiliki oleh orang-orang yang telah ditunjuk misalnya personal keamanan gedung
J: Pintu darurat dapat dibuka dari dalam dan dari luar. Namun yang dari luar kuncinya hanya dipegang oleh security. Pintu daruratnya terkadang rusak, karena digunakan
untuk keluar masuknya barang, harusnya digunakan saat darurat saja.
4 Orang yang akan masuk ke wilayah aman harus diawasi
P: Apakah ada persyaratan khusus untuk orang lain selain karyawan yang akan mengunjungi wilayah aman? Seperti apakah persyaratan tersebut?
J: Ada. Orang tersebut harus menemui resepsionist – ditanyai dulu apa keperluannya -
lalu diarahkan oleh resepsionis ke masing-masing unit yang bersangkutan –
menitipkan KTP – lalu diberi kartu visitor yang akan dikenakan sampai selesai
urusannya , lalu kartu visitor dikembalikan kepada resepsionis dan KTP akan dikembalikan kepada yang bersangkutan.
P: Apakah ada pencatatan khusus apabila ada yang keluar masuk ruangan Desktop Management?
J: Ada. Di buku kunjungan yang terdapat pada resepsionis.
P: Adakah cctv yang mengawasi siapa saja yang masuk dan keluar ke wilayah aman? J: Cctv ada di pintu utama, di pintu yang menuju ruang kerja Desktop Management
tidak ada.
Tabel 4.20 Hasil Wawancara Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password Password Use
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal
: 2 Maret – 31 Juli 2015
Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password
1 Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password
P: Apakah karyawan Desktop Management telah menyadari mengenai pentingnya kerahasiaan password masing-masing?
J: Sudah P: Apakah ada perintah tertulis yang memberitahukan pada karyawan tentang
pentingnya menjaga kerahasiaan password? J: Ada, yaitu berupa larangan menyebarkan password. Di dokumen KD 57 Bab VIII
Pasal 34 ayat 4d 2
Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya
P: Apakah karyawan yang bersangkutan sering melakukan pergantian password jika dirasa sistem dalam keadaan bahaya?
J: Selama ini masih belum melakukan pergantian password, karena masih belum ada sistem yang berbahaya
P: Apakah terdapat aturan secara tertulis atau secara lisan mengenai perintah pergantian sandi setiap kali ada kemungkinan keadaan bahaya?
J: Kalau memang ada perintah ya biasanya secara lisan 3
Terdapat larangan dalam pembuatan catatan password P: Apakah ada larangan dalam pembuatan catatan password di laptop kerja tanpa
perlindungan khusus? J: Ada
P: Siapa yang membuat larangan pembuatan catatan password tersebut? J: Pihak direksi, larangan tersebut terdapat di dokumen KD 57 Pasal 34 ayat 4k
P: Apakah karyawan memiliki metode penyimpanan yang aman dalam peletakan
passwordnya? J: Iya , melalui perangkat pribadi masing masing, seperti perangkat mobile
4 Terdapat larangan untuk tidak membagi satu password kepada pengguna lain
P: Apakah ada larangan agar tidak membagi satu password kepada pengguna lain? J: Iya ada
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal
: 2 Maret – 31 Juli 2015
Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password
P: Apakah karyawan pernah melakukan penyebaran password individu kepada karyawan lain atau orang lain?
J: Pernah, yaitu saling menitipkan password P: Berdasarkan kuesioner terdahulu, apabila sudah ada yang mengatur bahwa tidak
diperbolehkan membagi password, lantas mengapa masih ada saja yang melanggar prosedur tersebut pak?
J: Kalau sadar akan pentingnya password sudah menyadari namun tingkat kedisiplinan para karyawan yang masih kurang akan hal tersebut
P: Apakah terdapat konsekuensi khusus apabila karyawan tersebut melakukan penyebaran password kepada karyawan lain?
J: Sampai saat ini masih dalam teguran secara lisan saja, masih belum ada konsekuensi yang khusus
5 Terdapat pergantian password sementara pada saat pertama kali log-on
P: Apakah terdapat pergantian password sementara? J: Iya ada
P: Apakah pergantian password sementara tersebut digunakan saat pertama kali log-
on? J: iya betul, wajib dilakukan agar terjaga keamanan informasinya. Seperti aplikasi
cnemas, absensi, poin serta portal menggunakan pergantian password sementara dan wajib diterapkan karena untuk keamanan informasi
6 Terdapat pemilihan password secara berkualitas yang mudah diingat
P: Apakah karyawan memilih password yang mudah diingat? Apakah password dipilih berdasarkan tgl lahir, nama karyawan atau secara acak?
J: Iya sudah memilih yang mudah diingat dan tidak berdasarkan tanggal lahir maupun nama
P: Apakah password yang digunakan sudah tidak menggunakan informasi yang mudah ditebak oleh orang lain?
J: Tidak P: Apakah password yang digunakan sudah teracak dengan baik antara nomor dan
alphabet? J: Sudah
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 KONTROL AKSES
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi
Bagian Off 1 Administrasi
Monitoring Tanggal
: 2 Maret – 31 Juli 2015
Klausul 11.3 Tanggung Jawab Pengguna User Respon Sibilities 11.3.1 Penggunaan password
P: Apakah terdapat dokumentasi khusus mengenai cara pemilihan kata sandi yang berkualitas?
J: Ada di dokumen KD 57 pasal 34 ayat 4f 7
Terdapat perubahan kata sandipassword berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama
P: Apakah perubahan kata sandi dilakukan secara berkala? J: Iya
P: Berapa kali karyawan melakukan perubahan kata sandipassword? J: Setiap 3 bulan sekali
P: Apakah perubahan kata sandi sudah dilakukan berdasarkan jumlah akses dilakukan? J: Tidak
P: Apakah sandi yang lama sudah dipastikan tidak dipergunakan kembali? J: Sandi yang lama sudah tidak bisa dipakai lagi
4.3.2 Hasil Pemeriksaan Data