Hasil Pembobotan Pernyataan - Hasil Persiapan Audit Keamanan Sistem Informasi

BAB IV HASIL DAN PEMBAHASAN

4.2 Hasil Persiapan Audit Keamanan Sistem Informasi

4.2.4 Hasil Pembobotan Pernyataan

Setelah membuat pernyataan, maka langkah selanjutnya adalah melakukan pengukuran pembobotan pada setiap pernyataan. Pembobotan dilakukan berdasarkan perhitungan, dengan membagi tingkat pembobotan dalam manajemen menjadi 3 (tiga), yaitu: rendah, cukup dan tinggi yang telah disesuaikan dengan kondisi Desktop Management dan kesepakatan dengan pihak

Desktop Management.

Hasil nilai pembobotan didapatkan dengan cara memberikan angket kepada pihak auditee dengan posisi jabatan officer 1 administrasi dan monitoring. Beberapa contoh pembobotan yang ada dalam klausul 8 (delapan) Keamanan

Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan (Disciplinary

Process)), klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol

9.1.1 (pembatasan keamanan fisik (Physical security perimeter)) dan klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password (Password

Use)), dapat dilihat pada Tabel 4.8, Tabel 4.9, Tabel 4.10 dan untuk selengkapnya

dapat dilihat pada Lampiran 4.

Pembobotan pada klausul 8 dengan kontrol 8.2.3 proses kedisiplinan, didapatkan beberapa nilai dari pihak auditee yang disesuaikan dengan kondisi

Desktop Management diantaranya yaitu :

a. Pernyataan nomor 1 (satu) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee, bahwa karyawan harus mengutamakan disiplin dasar dari pegawai karena setiap karyawan desktop management wajib menerapkan prosedur yang mengatur kedisiplinan seluruh karyawan, beberapa kedisiplinan diantaranya yaitu kedisiplinan waktu, kedisiplinan pekerjaan serta kedisiplinan menaati prosedur kerja yang sudah ditetapkan, oleh karena itu diberikan nilai 1 dalam pernyataan nomor 1 tersebut.

b. Pernyataan nomor 2 (dua) mendapatkan nilai pembobotan 0,7 yang juga masuk kategori tinggi yaitu memiliki peranan sangat penting dalam proses sistem informasi, namun nilainya lebih kecil dibanding dengan pernyataan nomor satu karena menurut pihak auditee meskipun sama sama penting dan perlu diterapkan di desktop management, tetaplah tingkat keutamaan prosedur kedisiplinan lebih utama dibandingkan pertimbangan kedisiplinan formal. Jadi

harus menerapkan pertimbangan kedisiplinan formal dengan melihat beberapa faktor namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 2 tersebut.

c. Pernyataan nomor 3 (tiga) mendapatkan nilai pembobotan 0,9 yang juga masuk kategori tinggi yaitu memiliki peranan sangat penting dalam proses sistem informasi, namun nilainya lebih besar dari pernyataan nomor 2 karena menurut auditee suatu konsekuensi harus dilakukan pada setiap karyawan yang tidak taat pada prosedur perusahaan namun terkadang konsekuensi ini belum berjalan secara optimal. Jadi harus menerapkan konsekuensi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,9 dalam pernyataan nomor 3 tersebut.

Tabel 4.8 Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process)

PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL

8 (KEAMANAN SUMBER DAYA MANUSIA)

Auditor: Dian Ayu P Auditee: Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal: 10-16 Februari 2015

Klausul 8.2 Selama Menjadi Pegawai (During Employment)

8.2.3 Proses Kedisiplinan (Disciplinary Process)

Kontrol : Aturan-aturan dan tanggung jawab keamanan dari pegawai, kontraktor

dan pengguna pihak ketiga harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi.

Tabel 4.8 Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Lanjutan)

PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL

8 (KEAMANAN SUMBER DAYA MANUSIA)

Auditor: Dian Ayu P Auditee: Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal: 10-16 Februari 2015

Klausul 8.2 Selama Menjadi Pegawai (During Employment)

8.2.3 Proses Kedisiplinan (Disciplinary Process)

Kontrol : Aturan-aturan dan tanggung jawab keamanan dari pegawai, kontraktor

dan pengguna pihak ketiga harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi.

No. PERNYATAAN Bobot Rendah (0,1-0,39) Cukup (0,4-0,69) Tinggi (0,7-1,0)

1. ^{Terdapat prosedur yang mengatur}

kedisiplinan seluruh karyawan ¹

2. ^{Terdapat pertimbangan kedisiplinan formal}

dengan melihat beberapa faktor ^0,7

Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi

0,9

Pembobotan pada klausul 9 dengan kontrol 9.1.1 pembatasan keamanan fisik, didapatkan beberapa nilai dari pihak auditee yang disesuaikan dengan kondisi Desktop Management diantaranya yaitu :

a. Pernyataan nomor 1 (satu) mendapatkan nilai pembobotan 0,7 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee, telah terdapat batas fisik yang jelas dan sesuai prosedur KD 57 yang menjelaskan bahwa area aman harus diberi batas sekuriti fisik untuk melindungi area yang berisi informasi dan fasilitas pengolah informasi namun masih dirasa kurang optimal karena tidak dilengkapi cctv di ruang pemrosesan informasi. Jadi harus menerapkan batas perimeter yang jelas pada tempat fasilitas informasi

yang aman secara fisik namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 1 tersebut.

b. Pernyataan nomor 2 (dua) mendapatkan nilai pembobotan 0,8 yang juga masuk kategori tinggi yaitu memiliki peranan sangat penting dalam proses sistem informasi, namun nilainya lebih tinggi dibanding pernyataan nomor 1. Berdasarkan keterangan pihak auditee untuk masuk menuju ke tempat tertentu harus dengan otorisasi khusus dan cctv hanya ada di beberapa tempat tertentu, sedangkan pada ruang desktop management dan sepanjang jalan menuju ruang desktop masih belum terdapat cctv. Jadi harus menerapkan akses menuju tempat kerja dibatasi hanya untuk pesonil dengan otorisasi namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,8 dalam pernyataan nomor 2 tersebut.

c. Pernyataan nomor 3 (tiga) mendapatkan nilai pembobotan 0,6 yang masuk kategori cukup dimana nilai tersebut mempunyai peranan cukup penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee pada semua pintu darurat terpasang tanda bahaya namun salah satu pintu darurat yang terletak di lantai dasar dan dekat dengan ruang desktop tersebut pernah digunakan untuk akses keluar masuknya barang. Jadi tetap perlu menerapkan semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat, namun masih belum bisa memberikan nilai kategori tinggi melainkan masih di 0,6 pada pernyataan nomor 3 tersebut.

d. Pernyataan nomor 4 (empat) mendapatkan nilai pembobotan 0,7 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Tingkat keutamaannya sama dengan pernyataan

nomor 1, berdasarkan keterangan pihak auditee harus ada pengawasan dari petugas sekuriti untuk orang lain yang akan masuk ke wilayah aman, namun dirasa kurang optimal karena terkadang tidak memeriksa setiap orang lain selain karyawan yang masuk ke wilayah aman. Jadi harus menerapkan pengawasan terhadap orang yang akan ke wilayah aman namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 4 tersebut.

Tabel 4.9 Pembobotan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik (Physical security perimeter)

PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9

(KEAMANAN FISIK & LINGKUNGAN)

Auditor: Dian Ayu P Auditee: Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal: 10-14 Januari 2015 Klausul 9.1 Wilayah Aman

9.1.1 Pembatasan keamanan fisik

Kontrol : Pembatasan keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan Informasi dan perangkat pemrosesan Informasi.

No. PERNYATAAN Bobot Rendah (0,1-0,39) Cukup (0,4-0,69) Tinggi (0,7-1,0) 1.

Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik

0,7

2. ^{Akses menuju tempat kerja harus dibatasi}

hanya untuk pesonil dengan otorisasi ^0,8

Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat.

0,6

4. ^{Orang yang akan ke wilayah aman harus}

diawasi ^0,7

Pembobotan pada klausul 11 dengan kontrol 11.3.1 penggunaan

password, didapatkan beberapa nilai dari pihak auditee yang disesuaikan dengan

a. Pernyataan nomor 1 (satu) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee, bahwa kesadaran dari diri sendiri untuk menjaga kerahasiaan password wajib dilakukan karena ditakutkan akan disalahgunakan oleh yang tidak bertanggung jawab oleh karena itu diberikan nilai 1 dalam pernyataan nomor 1 tersebut.

b. Pernyataan nomor 2 (dua) mendapatkan nilai 0,6 yang masuk kategori cukup dimana nilai tersebut mempunyai peranan cukup penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee masih belum ada sistem yg berbahaya, jadi tetap perlu menerapkan penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya namun masih belum bisa memberikan nilai kategori tinggi melainkan masih di 0,6 pada pernyataan nomor 2 tersebut.

c. Pernyataan nomor 3 (tiga) mendapatkan nilai 0,8 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee dilarang membuat catatan password tanpa perlindungan, hal ini sangat penting namun tidak sempurna nilainya, dikarenakan terkadang masih ada beberapa yang mungkin tanpa sadar mencatat passwordnya di kertas. Jadi harus menerapkan larangan dalam pembuatan catatan password namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,8 dalam pernyataan nomor 3 tersebut.

d. Pernyataan nomor 4 (empat) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam

proses sistem informasi. Berdasarkan keterangan dari pihak auditee, bahwa larangan untuk tidak membagi satu password kepada pengguna lain wajib dilakukan karena ditakutkan akan disalahgunakan oleh yang tidak bertanggung jawab oleh karena itu diberikan nilai 1 dalam pernyataan nomor 4 tersebut.

e. Pernyataan nomor 5 (lima) mendapatkan nilai pembobotan 1 yang masuk kategori tinggi dimana nilai 1 tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan dari pihak auditee terdapat pergantian password sementara setelah pertama kali log-on karena takut akan disalahgunakan oleh yang tidak bertanggung jawab sehingga pergantian password sementara pada saat pertama kali log-on lain wajib dilakukan, oleh karena itu diberikan nilai 1 dalam pernyataan nomor 5 tersebut.

f. Pernyataan nomor 6 (enam) mendapatkan nilai 0,6 yang masuk kategori cukup dimana nilai tersebut mempunyai peranan cukup penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee untuk memilih password tentunya dengan pemilihan yang mudah diingat bagi setiap karyawan, jadi tetap perlu menerapkan pemilihan password secara berkualitas yang mudah diingat namun masih belum bisa memberikan nilai kategori tinggi melainkan masih di 0,6 pada pernyataan nomor 6 tersebut.

g. Pernyataan nomor 7 (tujuh) mendapatkan nilai 0,7 yang masuk kategori tinggi dimana nilai tersebut memiliki peranan sangat penting dalam proses sistem informasi. Berdasarkan keterangan pihak auditee terdapat perubahan sandi yang dilakukan secara berkala yaitu setiap 3 bulan sekali bukan dilakukan berdasarkan jumlah akses. Jadi harus menerapkan perubahan kata

sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama namun masih belum bisa memberikan nilai 1 oleh karena itu didapatkan nilai 0,7 dalam pernyataan nomor 7 tersebut.

Tabel 4.10 Pembobotan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use)

PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL

11 (KONTROL AKSES)

Auditor: Dian Ayu P Auditee: Bpk Setiyobudi

(Bagian Off 1 Administrasi & Monitoring) Tanggal: 6-7 Mei 2015

Klausul 11.3 Tanggung Jawab Pengguna (user)

11.3.1 Penggunaan password

Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam

pemilihan dan penggunaan password.

No. PERNYATAAN Bobot Rendah (0,1-0,39) Cukup (0,4-0,69) Tinggi (0,7-1,0)

1. ^{Adanya kesadaran dari diri sendiri untuk}

menjaga kerahasiaan password ¹

Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau

password dalam keadaan bahaya

0,6

3. ^{Terdapat larangan dalam pembuatan}

catatan password ^0,8

4. ^{Terdapat larangan untuk tidak membagi}

satu password kepada pengguna lain ¹

5. ^{Terdapat pergantian password sementara}

pada saat pertama kali log-on ¹

6. ^{Terdapat pemilihan password secara}

berkualitas yang mudah diingat ^0,6

Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama

0,7

Dari hasil pembobotan untuk klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan (Disciplinary Process)) didapatkan pentingnya kedisiplinan pegawai untuk bagian Desktop Management, sehingga pihak Desktop Management harus lebih memperhatikan proses

kedisiplinan. Untuk klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik (Physical security perimeter)) didapatkan pentingnya pembatas keamanan fisik untuk bagian Desktop Management, sehingga pihak Desktop Management harus lebih memperhatikan pembatas keamanan fisik. Untuk klausul 11 (Sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password (Password Use)) didapatkan pentingnya penggunaan

password untuk Desktop Management, sehingga pihak Desktop Management

harus lebih memperhatikan penggunaan password. Pernyataan yang digunakan tersebut sesuai dengan permintaan auditee yang sebelumnya juga telah mengetahui nilai beserta makna dari tingkat kepentingan dalam pembobotan pernyataan dan juga menyesuaikan dengan kondisi sebenarnya pada bagian

Desktop Management maka yang digunakan adalah tingkat resiko cukup/medium

(0,4-0,69) dan tinggi/high (0,7-1,0). Apabila terdapat nilai yang tingkat resikonya rendah/low maka pihak auditee sepakat tidak menggunakannya karena berdasarkan tingkat kepentingan dalam pembobotan pernyataan, pernyataan tersebut mempunyai peranan kurang penting dalam proses sistem informasi. Hasil pembobotan dapat dilihat pada Tabel 4.11, Tabel 4.12, Tabel 4.13 dan selengkapnya di Lampiran 5.

Tabel 4.11 Hasil Pembobotan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process) Dengan Nilai Bobot Medium (0,4-0,69) dan High(0,7-1,0)

HASIL PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA

MANUSIA)

Auditor: Dian Ayu P Auditee: Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal: 10-16 Februari 2015

8.2.3 Proses Kedisiplinan (Disciplinary Process)

Kontrol : Aturan-aturan dan tanggung jawab keamanan dari pegawai, kontraktor

dan pengguna pihak ketiga harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi.

No. PERNYATAAN Bobot Rendah (0,1-0,39) Cukup (0,4-0,69) Tinggi (0,7-1,0)

1. ^{Terdapat prosedur yang mengatur}

kedisiplinan seluruh karyawan ¹

2. ^{Terdapat pertimbangan kedisiplinan formal}

dengan melihat beberapa faktor ^0,7

Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi

0,9

Tabel 4.12 Hasil Pembobotan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik (Physical security perimeter) Dengan Nilai Bobot

Medium

(0,4-0,69) dan High(0,7-1,0)

HASIL PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9

(KEAMANAN FISIK & LINGKUNGAN)

Auditor: Dian Ayu P Auditee: Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal: 10-14 Januari 2015 Klausul 9.1 Wilayah Aman

9.1.1 Pembatasan keamanan fisik

No. PERNYATAAN Bobot Rendah (0,1-0,39) Cukup (0,4-0,69) Tinggi (0,7-1,0) 1.

Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik

0,7

2. ^{Akses menuju tempat kerja harus dibatasi}

hanya untuk pesonil dengan otorisasi ^0,8

Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat.

0,6

4. ^{Orang yang akan ke wilayah aman harus}

Tabel 4.13 Hasil Pembobotan Klausul 11 Dengan Objektif k Kontrol 11.3.1 (penggunaan password (Password Use)) Dengan Nilai Bobot

Medium

(0,4-0,69) dan High(0,7-1,0)

HASIL PEMBOBOTAN PERNYATAAN AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL

11 (KONTROL AKSES)

Auditor: Dian Ayu P Auditee: Bpk Setiyobudi

(Bagian Off 1 Administrasi & Monitoring) Tanggal: 6-7 Mei 2015

Klausul 11.3 Tanggung Jawab Pengguna (user)

11.3.1 Penggunaan password

Kontrol : Pengguna seharusnya mengikuti praktek keamanan yang baik dalam

pemilihan dan penggunaan password.

No. PERNYATAAN Bobot Rendah (0,1-0,39) Cukup (0,4-0,69) Tinggi (0,7-1,0)

1. ^{Adanya kesadaran dari diri sendiri untuk}

menjaga kerahasiaan password ¹

Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya

0,6

3. ^{Terdapat larangan dalam pembuatan}

catatan password ^0,8

4. ^{Terdapat larangan untuk tidak membagi}

satu password kepada pengguna lain ¹

5. ^{Terdapat pergantian password sementara}

pada saat pertama kali log-on ¹

6. ^Terdapat ^pemilihan ^password ^secara

berkualitas yang mudah diingat ^0,6

Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama

0,7

Dalam dokumen TA : Audit Keamanan Sistem Informasi Pada Bagian Desktop Management Berdasarkan Standar ISO 27002:2005 di PT. Telkom Divre V Jatim. (Halaman 86-97)