BAB IV HASIL DAN PEMBAHASAN
4.3 Hasil Pelaksanaan Audit Keamanan Sistem Informasi
4.3.2 Hasil Pemeriksaan Data
Setiap langkah pemeriksaan yang ada dalam program audit dilaksanakan oleh auditor TI dengan menggunakan satu atau lebih teknik audit yang sesuai dan disertai data /bukti pendukung yang memadai / mencukupi. Wawancara dan observasi dilakukan untuk mendapatkan bukti atau temuan mengenai fakta terkait dengan masalah yang ada. Bukti-bukti tersebut berupa foto, dokumen, rekaman dan data. Beberapa contoh dokumen pemeriksaan pada klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (Proses Kedisiplinan (Disciplinary Process)), klausul 9 (Sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (Pembatasan Keamanan Fisik (Physical security perimeter))
dan klausul 11 (Sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password) dapat dilihat pada Tabel 4.21, Tabel 4.22 dan Tabel 4.23 untuk Tabel bukti foto, dokumen dan rekaman selengkapnya dapat dilihat pada Lampiran 12, untuk dokumen pemeriksaan data audit di Lampiran 8.
Tabel 4.21 Hasil Pemeriksaan Data Pada Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process)
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)
Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 9 Maret- 12 April 2015 Klausul 8.2 Selama Menjadi Pegawai
8.2.3 Proses kedisiplinan
No. Pemeriksaan Catatan Auditor Catatan Review
1. Identifikasi mengenai prosedur yang mengatur kedisiplinan seluruh karyawan Dengan cara 1. Wawancara 2. Dapatkan dokumentasi yang mengatur kedisiplinan karyawan
Telah diperiksa bahwa terdapat prosedur yang mengatur kedisiplinan para karyawan yaitu antara lain, Disiplin Dasar mengenai Karyawan. Namun dokumentasinya ada di HRC kota Bandung.
Ada dokumen yang mengatur kedisiplinan para karyawan namun keberadaan dokumennya di HRC Bandung.
2. Identifikasi mengenai pertimbangan kedisiplinan formal dengan melihat beberapa faktor Dengan cara
1. Wawancara
2. Dapatkan dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran pada pegawai
Telah diperiksa bahwa terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi. Isi dari pertimbangan tersebut adalah tentang “Disiplin Dasar Pegawai”. Untuk dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai terdapat di HRC kota Bandung dan bersifat privat.
Dokumentasi yang bersangkutan terdapat di HRC kota Bandung dan bersifat privat
110
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)
Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 9 Maret- 12 April 2015 Klausul 8.2 Selama Menjadi Pegawai
8.2.3 Proses kedisiplinan
No. Pemeriksaan Catatan Auditor Catatan Review
3. Identifikasi mengenai sanksi bagi karyawan yang
cenderung mengabaikan prosedur keamanan sistem informasi Dengan cara 1. Wawancara 2. Dokumentasi tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password
Telah diperiksa bahwa karyawan kurang mematuhi aturan dan prosedur keamanan sistem informasi. Meskipun tidak diijinkan menyebar atau memberikan informasi yang bersifat internal seperti
password contohnya, tetapi terdapat beberapa karyawan yang
mengabaikan prosedur tersebut yaitu dengan menitipkan password kepada rekan lain. Terdapat dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password yaitu di dokumen KD 57 Bab VIII pasal 34 ayat 4(d), namun hanya teguran lisan saja dan tidak ada dokumen yang
mengatur apabila karyawan mengabaikan prosedur tersebut.
Terdapat temuan bahwa masih terdapat karyawan yang tidak mematuhi prosedur yang sudah ada di perusahaan, yaitu saling menitipkan password kepada rekan lain meskipun mereka tau hal tersebut dilarang dan sudah disebutkan jelas dalam dokumen KD 57 Bab VIII pasal 34 ayat 4(d) .
Tabel 4.22 Hasil Pemeriksaan Data Pada Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik (Physical security perimeter)
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 9 (KEAMANAN
FISIK & LINGKUNGAN)
Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 13 April – 18 Mei 2015 Klausul 9.1 Wilayah Aman (Secure Area)
9.1.1 Pembatasan keamanan fisik
No. Pemeriksaan Catatan Auditor Catatan Review
1. Identifikasi batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik
Dengan cara 1. Wawancara
2. Dapatkan dokumen atau prosedur keamanan yang mengatur tentang batas fisik tersebut
3. Survey
Telah diperiksa bahwa ada batas fisik yang terdapat di dalam ruangan Desktop
Management yaitu
berupa sekat yang terbuat dari playwood.
Namun dalam tiap bagian belum terdapat pintu khusus untuk menuju masing masing ruangan.
Terdapat kaca yang memiliki pandangan keluar gedung, dan terdapat pintu akses sebelum menuju ruang ISSSM yang di mana di dalamnya terdapat ruang Desktop
Management.
Adapun dokumen yang mengatur batas
keamanan fisik yaitu di dokumen KD 57 Bab VI pasal 16 ayat 1.
Terdapat batas fisik di dalam ruangan kerja
desktop management
yang terbuat dari bahan playwood dan ada dokumen yang mengatur tentang standar batas fisik tersebut yaitu di dokumen KD 57.
2. Identifikasi akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi
Dengan cara 1. Wawancara
2. Dapatkan dokumen yang mengatur bahwa untuk akses menuju tempat
Telah diperiksa bahwa setiap karyawan memiliki kartu akses untuk dapat masuk ke beberapa ruangan yang hanya bisa dimasuki oleh orang orang tertentu saja jadi tidak sembarang orang dapat
Untuk menuju ke tempat tempat tertentu yang hanya dimasuki orang yang memiliki otorisasi, karyawan telah diberi kartu akses.
112
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 9 (KEAMANAN
FISIK & LINGKUNGAN)
Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 13 April – 18 Mei 2015 Klausul 9.1 Wilayah Aman (Secure Area)
9.1.1 Pembatasan keamanan fisik
No. Pemeriksaan Catatan Auditor Catatan Review
kerja dibatasi hanya untuk personil dengan otorisasi
memasuki ruang
Desktop Management.
Yang menempati ruang Desktop Management ini adalah GM
(Genderal Manager) dan staff. Terdapat dokumen yang mengatur untuk akses menuju tempat kerja yaitu di dokumen KD 57 Bab VI pasal 16 ayat 2.
Tidak terdapat cctv (close circuit tele vision) khusus di ruang kerja Desktop
Management ini. 3. Identifikasi pintu darurat
dalam batas parimeter keamanan harus dipasang sesuai standar
Dengan cara 1. Wawancara 2. Survey
Telah diperiksa bahwa terdapat pintu darurat yang dipasang sesuai standar keamanan yang terbuat dari besi dan tertutup rapat. Semua karyawan telah
mengetahui lokasi pintu darurat tersebut.
Pintu darurat terkadang rusak karena pernah digunakan untuk keluar masuknya barang ke ruang Desktop atau ke ruang lainnya di ISSSM.
Untuk kontrol pengawasan fisik apabila terjadi bencana
Terdapat temuan bahwa ada pintu darurat namun terkadang rusak
dikarenakan pernah digunakan untuk akses keluar masuknya barang.
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 9 (KEAMANAN
FISIK & LINGKUNGAN)
Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 13 April – 18 Mei 2015 Klausul 9.1 Wilayah Aman (Secure Area)
9.1.1 Pembatasan keamanan fisik
No. Pemeriksaan Catatan Auditor Catatan Review
mendadak dilakukan secara manual, yaitu langsung
menyelamatkan fasilitas kantor yang bisa diselamatkan dengan cara diangkat langsung dan
membawa ke tempat yang lebih aman. 4. Identifikasi orang yang akan
masuk ke wilayah aman harus diawasi
Dengan cara 1. Wawancara 2. Survey
Telah diperiksa bahwa terdapat persyaratan khusus dan pencatatan bagi orang lain yang akan masuk ke wilayah aman seperti ruang pemrosesan informasi, yaitu harus melalui resepsionist terlebih dahulu untuk ditanyai keperluannya.
Namun di ruang resepsionist dan ruang menuju wilayah aman tidak ada cctv.
Bagi orang lain yang akan masuk ke wilayah aman, biasanya harus melalui resepsionist terlebih dahulu. Terdapat temuan bahwa di
sepanjang arah menuju wilayah aman
pemrosesan informasi tidak terdapat cctv.
Tabel 4.23 Hasil Pemeriksaan Data Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan password (Password Use)
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 11 (KONTROL
AKSES)
Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 1 Juni – 30 Juli 2015
Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password
114
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 11 (KONTROL
AKSES)
Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 1 Juni – 30 Juli 2015
Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password
No. Pemeriksaan Catatan Auditor Catatan Review
1. Identifikasi kesadaran dari diri sendiri untuk menjaga kerahasiaan password Dengan cara 1. Wawancara 2. Dapatkan dokumen yang memberitahukan larangan untuk menyebarluaskan password dan menjaga kerahasiaannya
Telah diperiksa bahwa terdapat kesadaran dari para karyawan akan pentingnya untuk menjaga password dan telah sesuai dengan dokumen yang ada di perusahaan yaitu di dokumen KD 57 bab VIII pasal 34 ayat (4)d.
Terdapat kesadaran dari para karyawan untuk menjaga passwordnya masing masing sesuai dengan prosedur yang sudah ada.
2. Identifikasi penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya
Dengan cara 1. Wawancara 2. Survey
Telah diperiksa bahwa sampai saat ini masih belum ada sistem yang berbahaya, sehingga masih belum dilakukan pergantian password atau sandi oleh
karyawan, apabila ada perintah pergantian sandi biasanya
dilakukan secara lisan.
Sampai saat ini masih belum ada sistem yang berbahaya, jadi belum perlu dilakukan pergantian password kecuali pada jangka waktu 3 bulan sekali selalu melakukan penggantian password.
3. Identifikasi mengenai larangan dalam pembuatan catatan password
Dengan cara 1. Wawancara
2. Dapatkan dokumen yang memberitahukan larangan untuk membuat catatan password tanpa perlindungan khusus
Telah dilakukan
pemeriksaan bahwa ada larangan untuk
membuat catatan password tanpa perlindungan khusus sesuai dengan dokumen KD 57 bab VIII pasal 34 ayat (4) k.
Karyawan menyimpan melalui perangkat pribadi masing masing.
Ada larangan untuk membuat catatan password tanpa perlindungan khusus, biasanya apabila karyawan hendak mencatat password di perangkat mobile pribadi. 4. Identifikasi mengenai larangan untuk tidak membagi satu password kepada pengguna lain Dengan
Telah diperiksa bahwa terdapat larangan untuk tidak membagi satu password kepada
Terdapat temuan bahwa tingkat kedisiplinan karyawan untuk menjaga password yang dimiliki
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 11 (KONTROL
AKSES)
Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 1 Juni – 30 Juli 2015
Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password
No. Pemeriksaan Catatan Auditor Catatan Review
cara
1. Wawancara 2. Survey
pengguna lain namun karena tingkat
kedisiplinan yang kurang, ada saja karyawan yang melanggar aturan tersebut, yaitu dengan cara saling menitipkan password ke sesama rekan kerja. Sampai saat ini konsekuensinya hanyalah berupa
teguran lisan belum ada konsekuensi yang lebih khusus.
masih kurang karena saling menitipkan
password. Konsekuensi
pada karyawan hanya berupa teguran lisan.
5. Identifikasi mengenai pergantian password
sementara pada saat pertama kali log-on
Dengan cara 1. Wawancara 2. Survey
Telah diperiksa bahwa terdapat pergantian
password sementara
setelah pertama kali log-on agar terjaga keamanan
informasinya. Seperti aplikasi cnemas, absensi, poin serta portal menggunakan pergantian password sementara dan wajib diterapkan
Terdapat pergantian password sementara pada saat pertama kali log-on
6. Identifikasi mengenai pemilihan password secara berkualitas yang mudah diingat
Dengan cara 3. Wawancara
4. Dapatkan dokumen yang mengatur cara pemilihan kata sandi yang berkualitas
Telah dilakukan pemeriksaan bahwa terdapat pemilihan password yang mudah diingat namun tidak berdasarkan tanggal lahir ataupun nama karena telah teracak dengan baik antara nomor dan huruf.
Karyawan memilih password yang mudah diingat dirinya sendiri namun sulit ditebak oleh orang lain karena tidak menggunakan tanggal lahir, nama atau hal hal yang mudah diketahui orang lain.
116
PROGRAM PEMERIKSAAN AUDIT KEAMANAN SISTEM
INFORMASI ASPEK : KLAUSUL 11 (KONTROL
AKSES)
Pemeriksa : Bpk Erwin Sutomo/Bpk Teguh Sutanto
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 1 Juni – 30 Juli 2015
Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan Password
No. Pemeriksaan Catatan Auditor Catatan Review
Dokumen yang mengatur tentang pemilihan password yaitu di dokumen KD 57 bab VIII pasal 34 ayat (4) f.
7. Identifikasi perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama Dengan cara
1. Wawancara 2. Survey
Telah diperiksa bahwa terdapat perubahan sandi secara berkala yaitu setiap 3 bulan sekali dan perubahan sandi tidak berdasarkan jumlah akses yang dilakukan. Sandi yang lama tidak dapat digunakan kembali.
Dilakukan perubahan password setiap 3 bulan sekali, tidak berdasarkan jumlah akses yang dilakukan.