BAB IV HASIL DAN PEMBAHASAN

4.3 Hasil Pelaksanaan Audit Keamanan Sistem Informasi

4.3.2 Hasil Pemeriksaan Data

Setiap langkah pemeriksaan yang ada dalam program audit dilaksanakan oleh auditor TI dengan menggunakan satu atau lebih teknik audit yang sesuai dan disertai data /bukti pendukung yang memadai / mencukupi. Wawancara dan observasi dilakukan untuk mendapatkan bukti atau temuan mengenai fakta terkait dengan masalah yang ada. Bukti-bukti tersebut berupa foto, dokumen, rekaman dan data. Beberapa contoh dokumen pemeriksaan pada klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (Proses Kedisiplinan (Disciplinary Process)), klausul 9 (Sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (Pembatasan Keamanan Fisik (Physical security perimeter))

dan klausul 11 (Sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password) dapat dilihat pada Tabel 4.21, Tabel 4.22 dan Tabel 4.23 untuk Tabel bukti foto, dokumen dan rekaman selengkapnya dapat dilihat pada Lampiran 12, untuk dokumen pemeriksaan data audit di Lampiran 8.

Tabel 4.21 Hasil Pemeriksaan Data Pada Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process)

PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM

INFORMASI ASPEK : KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)

Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto

Auditor : Dian Ayu P

Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 9 Maret- 12 April 2015 Klausul 8.2 Selama Menjadi Pegawai

8.2.3 Proses kedisiplinan

No. Pemeriksaan Catatan Auditor Catatan Review

1. Identifikasi mengenai prosedur yang mengatur kedisiplinan seluruh karyawan Dengan cara 1. Wawancara 2. Dapatkan dokumentasi yang mengatur kedisiplinan karyawan

Telah diperiksa bahwa terdapat prosedur yang mengatur kedisiplinan para karyawan yaitu antara lain, Disiplin Dasar mengenai Karyawan. Namun dokumentasinya ada di HRC kota Bandung.

Ada dokumen yang mengatur kedisiplinan para karyawan namun keberadaan dokumennya di HRC Bandung.

2. Identifikasi mengenai pertimbangan kedisiplinan formal dengan melihat beberapa faktor Dengan cara

1. Wawancara

2. Dapatkan dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran pada pegawai

Telah diperiksa bahwa terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi. Isi dari pertimbangan tersebut adalah tentang “Disiplin Dasar Pegawai”. Untuk dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai terdapat di HRC kota Bandung dan bersifat privat.

Dokumentasi yang bersangkutan terdapat di HRC kota Bandung dan bersifat privat

110

PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM

INFORMASI ASPEK : KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)

Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto

Auditor : Dian Ayu P

Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 9 Maret- 12 April 2015 Klausul 8.2 Selama Menjadi Pegawai

8.2.3 Proses kedisiplinan

No. Pemeriksaan Catatan Auditor Catatan Review

3. Identifikasi mengenai sanksi bagi karyawan yang

cenderung mengabaikan prosedur keamanan sistem informasi Dengan cara 1. Wawancara 2. Dokumentasi tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password

Telah diperiksa bahwa karyawan kurang mematuhi aturan dan prosedur keamanan sistem informasi. Meskipun tidak diijinkan menyebar atau memberikan informasi yang bersifat internal seperti

password contohnya, tetapi terdapat beberapa karyawan yang

mengabaikan prosedur tersebut yaitu dengan menitipkan password kepada rekan lain. Terdapat dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password yaitu di dokumen KD 57 Bab VIII pasal 34 ayat 4(d), namun hanya teguran lisan saja dan tidak ada dokumen yang

mengatur apabila karyawan mengabaikan prosedur tersebut.

Terdapat temuan bahwa masih terdapat karyawan yang tidak mematuhi prosedur yang sudah ada di perusahaan, yaitu saling menitipkan password kepada rekan lain meskipun mereka tau hal tersebut dilarang dan sudah disebutkan jelas dalam dokumen KD 57 Bab VIII pasal 34 ayat 4(d) .

Tabel 4.22 Hasil Pemeriksaan Data Pada Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik (Physical security perimeter)

PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM

INFORMASI ASPEK : KLAUSUL 9 (KEAMANAN

FISIK & LINGKUNGAN)

Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto

Auditor : Dian Ayu P

Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 13 April – 18 Mei 2015 Klausul 9.1 Wilayah Aman (Secure Area)

9.1.1 Pembatasan keamanan fisik

No. Pemeriksaan Catatan Auditor Catatan Review

1. Identifikasi batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik

Dengan cara 1. Wawancara

2. Dapatkan dokumen atau prosedur keamanan yang mengatur tentang batas fisik tersebut

3. Survey

Telah diperiksa bahwa ada batas fisik yang terdapat di dalam ruangan Desktop

Management yaitu

berupa sekat yang terbuat dari playwood.

Namun dalam tiap bagian belum terdapat pintu khusus untuk menuju masing masing ruangan.

Terdapat kaca yang memiliki pandangan keluar gedung, dan terdapat pintu akses sebelum menuju ruang ISSSM yang di mana di dalamnya terdapat ruang Desktop

Management.

Adapun dokumen yang mengatur batas

keamanan fisik yaitu di dokumen KD 57 Bab VI pasal 16 ayat 1.

Terdapat batas fisik di dalam ruangan kerja

desktop management

yang terbuat dari bahan playwood dan ada dokumen yang mengatur tentang standar batas fisik tersebut yaitu di dokumen KD 57.

2. Identifikasi akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi

Dengan cara 1. Wawancara

2. Dapatkan dokumen yang mengatur bahwa untuk akses menuju tempat

Telah diperiksa bahwa setiap karyawan memiliki kartu akses untuk dapat masuk ke beberapa ruangan yang hanya bisa dimasuki oleh orang orang tertentu saja jadi tidak sembarang orang dapat

Untuk menuju ke tempat tempat tertentu yang hanya dimasuki orang yang memiliki otorisasi, karyawan telah diberi kartu akses.

112

PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM

INFORMASI ASPEK : KLAUSUL 9 (KEAMANAN

FISIK & LINGKUNGAN)

Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto

Auditor : Dian Ayu P

Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 13 April – 18 Mei 2015 Klausul 9.1 Wilayah Aman (Secure Area)

9.1.1 Pembatasan keamanan fisik

No. Pemeriksaan Catatan Auditor Catatan Review

kerja dibatasi hanya untuk personil dengan otorisasi

memasuki ruang

Desktop Management.

Yang menempati ruang Desktop Management ini adalah GM

(Genderal Manager) dan staff. Terdapat dokumen yang mengatur untuk akses menuju tempat kerja yaitu di dokumen KD 57 Bab VI pasal 16 ayat 2.

Tidak terdapat cctv (close circuit tele vision) khusus di ruang kerja Desktop

Management ini. 3. Identifikasi pintu darurat

dalam batas parimeter keamanan harus dipasang sesuai standar

Dengan cara 1. Wawancara 2. Survey

Telah diperiksa bahwa terdapat pintu darurat yang dipasang sesuai standar keamanan yang terbuat dari besi dan tertutup rapat. Semua karyawan telah

mengetahui lokasi pintu darurat tersebut.

Pintu darurat terkadang rusak karena pernah digunakan untuk keluar masuknya barang ke ruang Desktop atau ke ruang lainnya di ISSSM.

Untuk kontrol pengawasan fisik apabila terjadi bencana

Terdapat temuan bahwa ada pintu darurat namun terkadang rusak

dikarenakan pernah digunakan untuk akses keluar masuknya barang.

PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM

INFORMASI ASPEK : KLAUSUL 9 (KEAMANAN

FISIK & LINGKUNGAN)

Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto

Auditor : Dian Ayu P

Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 13 April – 18 Mei 2015 Klausul 9.1 Wilayah Aman (Secure Area)

9.1.1 Pembatasan keamanan fisik

No. Pemeriksaan Catatan Auditor Catatan Review

mendadak dilakukan secara manual, yaitu langsung

menyelamatkan fasilitas kantor yang bisa diselamatkan dengan cara diangkat langsung dan

membawa ke tempat yang lebih aman. 4. Identifikasi orang yang akan

masuk ke wilayah aman harus diawasi

Dengan cara 1. Wawancara 2. Survey

Telah diperiksa bahwa terdapat persyaratan khusus dan pencatatan bagi orang lain yang akan masuk ke wilayah aman seperti ruang pemrosesan informasi, yaitu harus melalui resepsionist terlebih dahulu untuk ditanyai keperluannya.

Namun di ruang resepsionist dan ruang menuju wilayah aman tidak ada cctv.

Bagi orang lain yang akan masuk ke wilayah aman, biasanya harus melalui resepsionist terlebih dahulu. Terdapat temuan bahwa di

sepanjang arah menuju wilayah aman

pemrosesan informasi tidak terdapat cctv.

Tabel 4.23 Hasil Pemeriksaan Data Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan password (Password Use)

PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM

INFORMASI ASPEK : KLAUSUL 11 (KONTROL

AKSES)

Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto

Auditor : Dian Ayu P

Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 1 Juni – 30 Juli 2015

Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password

114

PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM

INFORMASI ASPEK : KLAUSUL 11 (KONTROL

AKSES)

Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto

Auditor : Dian Ayu P

Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 1 Juni – 30 Juli 2015

Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password

No. Pemeriksaan Catatan Auditor Catatan Review

1. Identifikasi kesadaran dari diri sendiri untuk menjaga kerahasiaan password Dengan cara 1. Wawancara 2. Dapatkan dokumen yang memberitahukan larangan untuk menyebarluaskan password dan menjaga kerahasiaannya

Telah diperiksa bahwa terdapat kesadaran dari para karyawan akan pentingnya untuk menjaga password dan telah sesuai dengan dokumen yang ada di perusahaan yaitu di dokumen KD 57 bab VIII pasal 34 ayat (4)d.

Terdapat kesadaran dari para karyawan untuk menjaga passwordnya masing masing sesuai dengan prosedur yang sudah ada.

2. Identifikasi penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya

Dengan cara 1. Wawancara 2. Survey

Telah diperiksa bahwa sampai saat ini masih belum ada sistem yang berbahaya, sehingga masih belum dilakukan pergantian password atau sandi oleh

karyawan, apabila ada perintah pergantian sandi biasanya

dilakukan secara lisan.

Sampai saat ini masih belum ada sistem yang berbahaya, jadi belum perlu dilakukan pergantian password kecuali pada jangka waktu 3 bulan sekali selalu melakukan penggantian password.

3. Identifikasi mengenai larangan dalam pembuatan catatan password

Dengan cara 1. Wawancara

2. Dapatkan dokumen yang memberitahukan larangan untuk membuat catatan password tanpa perlindungan khusus

Telah dilakukan

pemeriksaan bahwa ada larangan untuk

membuat catatan password tanpa perlindungan khusus sesuai dengan dokumen KD 57 bab VIII pasal 34 ayat (4) k.

Karyawan menyimpan melalui perangkat pribadi masing masing.

Ada larangan untuk membuat catatan password tanpa perlindungan khusus, biasanya apabila karyawan hendak mencatat password di perangkat mobile pribadi. 4. Identifikasi mengenai larangan untuk tidak membagi satu password kepada pengguna lain Dengan

Telah diperiksa bahwa terdapat larangan untuk tidak membagi satu password kepada

Terdapat temuan bahwa tingkat kedisiplinan karyawan untuk menjaga password yang dimiliki

PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM

INFORMASI ASPEK : KLAUSUL 11 (KONTROL

AKSES)

Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto

Auditor : Dian Ayu P

Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 1 Juni – 30 Juli 2015

Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password

No. Pemeriksaan Catatan Auditor Catatan Review

cara

1. Wawancara 2. Survey

pengguna lain namun karena tingkat

kedisiplinan yang kurang, ada saja karyawan yang melanggar aturan tersebut, yaitu dengan cara saling menitipkan password ke sesama rekan kerja. Sampai saat ini konsekuensinya hanyalah berupa

teguran lisan belum ada konsekuensi yang lebih khusus.

masih kurang karena saling menitipkan

password. Konsekuensi

pada karyawan hanya berupa teguran lisan.

5. Identifikasi mengenai pergantian password

sementara pada saat pertama kali log-on

Dengan cara 1. Wawancara 2. Survey

Telah diperiksa bahwa terdapat pergantian

password sementara

setelah pertama kali log-on agar terjaga keamanan

informasinya. Seperti aplikasi cnemas, absensi, poin serta portal menggunakan pergantian password sementara dan wajib diterapkan

Terdapat pergantian password sementara pada saat pertama kali log-on

6. Identifikasi mengenai pemilihan password secara berkualitas yang mudah diingat

Dengan cara 3. Wawancara

4. Dapatkan dokumen yang mengatur cara pemilihan kata sandi yang berkualitas

Telah dilakukan pemeriksaan bahwa terdapat pemilihan password yang mudah diingat namun tidak berdasarkan tanggal lahir ataupun nama karena telah teracak dengan baik antara nomor dan huruf.

Karyawan memilih password yang mudah diingat dirinya sendiri namun sulit ditebak oleh orang lain karena tidak menggunakan tanggal lahir, nama atau hal hal yang mudah diketahui orang lain.

116

PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM

INFORMASI ASPEK : KLAUSUL 11 (KONTROL

AKSES)

Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto

Auditor : Dian Ayu P

Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 1 Juni – 30 Juli 2015

Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password

No. Pemeriksaan Catatan Auditor Catatan Review

Dokumen yang mengatur tentang pemilihan password yaitu di dokumen KD 57 bab VIII pasal 34 ayat (4) f.

7. Identifikasi perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama Dengan cara

1. Wawancara 2. Survey

Telah diperiksa bahwa terdapat perubahan sandi secara berkala yaitu setiap 3 bulan sekali dan perubahan sandi tidak berdasarkan jumlah akses yang dilakukan. Sandi yang lama tidak dapat digunakan kembali.

Dilakukan perubahan password setiap 3 bulan sekali, tidak berdasarkan jumlah akses yang dilakukan.