BAB IV HASIL DAN PEMBAHASAN
4.2 Hasil Persiapan Audit Keamanan Sistem Informasi
4.2.5 Hasil Pertanyaan
Setelah melakukan pembobotan pernyataan langkah selanjutnya adalah membuat pertanyaan. Pertanyaan yang dibuat mengacu pada pernyataan yang ada dimana satu pernyataan bisa memiliki lebih dari satu pertanyaan, hal tersebut dikarenakan setiap pertanyaan harus mewakili pernyataan pada saat dilakukan wawancara. Pertanyaan pada tabel didasarkan pada pernyataan yang telah
88
disesuaikan dengan standar ISO 27002. Beberapa pertanyaan pada klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (Proses Kedisiplinan (Disciplinary Process)), klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatasan keamanan fisik (Physical security
perimeter)) dan klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1
(penggunaan password (Password Use)), dapat dilihat pada Tabel 4.14, Tabel 4.15, Tabel 4.16 dan untuk selengkapnya dapat dilihat pada Lampiran 6.
Berdasarkan beberapa hasil pernyataan dari klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (Proses Kedisiplinan (Disciplinary Process)) maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu :
a. Pada pernyataaan nomor 1 (satu), dibutuhkan data atau prosedur yang mengatur tentang kedisiplinan karyawan maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 1 (satu)
b. Pada pernyataan nomor 2 (dua), dibutuhkan data pertimbangan kedisiplinan dengan melihat beberapa faktor maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 2 (dua)
c. Pada pernyataan nomor 3 (tiga), dibutuhkan data yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password, serta data mengenai konsekuensi apabila terdapat karyawan yang tidak patuh pada prosedur perusahaan maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.14 nomor 3 (tiga)
Tabel 4.14 Hasil Pertanyaan Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process)
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)
Klausul 8.2 Selama Menjadi Pegawai (During Employment) 8.2.3 Proses Kedisiplinan
1 Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan
P: Apakah terdapat prosedur yang mengatur kedisiplinan para karyawan ? J:
P: Apa saja isi dari prosedur tentang kedisiplinan karyawan tersebut? J:
P: Apakah terdapat dokumentasi yang mengatur kedisiplinan karyawan? J:
2 Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa factor
P: Apakah terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi sebagai bentuk suatu kesadaran pegawai dalam mengamankan informasi?
J:
P: Apa saja isi dari pertimbangan pendisiplinan formal tersebut dengan melihat beberapa faktor?
J:
P: Apakah terdapat dokumentasi mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai?
J:
3 Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi
P: Apakah seluruh karyawan harus mematuhi serta melaksanakan seluruh aturan dan prosedur keamanan sistem informasi yang terdapat pada perusahaan?
J:
P: Apakah karyawan tidak diperbolehkan menyebar atau memberikan informasi yang bersifat internal ? misalkan menyebarkan username dan password kepada rekan lain meskipun setiap jobdesk masing masing karyawan berbeda?
J:
P: Selama ini apakah pernah terjadi beberapa karyawan yang mengabaikan prosedur keamanan informasi tersebut?
J:
90
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA MANUSIA)
Klausul 8.2 Selama Menjadi Pegawai (During Employment) 8.2.3 Proses Kedisiplinan
melanggar prosedur keamanan sistem informasi yang telah ditetapkan oleh perusahaan?
J:
P: Apakah ada dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password tersebut pak?
J:
Berdasarkan beberapa hasil pernyataan dari klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (Pembatasan Keamanan Fisik (Physical security perimeter)) maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu : a. Pada pernyataaan nomor 1 (satu), dibutuhkan kepastian bahwa batas perimeter
yang terdapat pada tempat fasilitas informasi benar benar terjamin keamanannya sesuai standar keamanan serta dibutuhkan data atau prosedur keamanan yang mengatur tentang batas fisik tersebut, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 1 (satu)
b. Pada pernyataan nomor 2 (dua), dibutuhkan kepastian bahwa akses menuju tempat kerja dan pada saat di tempat kerja harus terjamin keamanannya dengan membatasi personil yang memiliki otorisasi saja yang diperbolehkan masuk selain itu dibutuhkan data yang mengatur akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 2 (dua)
c. Pada pernyataan nomor 3 (tiga), dibutuhkan kepastian bahwa seluruh pintu darurat dalam batas perimeter keamanan harus tertutup rapat dan dalam pengawasan pihak keamanan yang bersangkutan, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 3 (tiga)
d. Pada pernyataan nomor 4 (empat), dibutuhkan kepastian bahwa orang yang akan ke wilayah aman benar benar harus diawasi dan terjamin keamanannya, maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.15 nomor 4 (empat)
Tabel 4.15 Hasil Pertanyaan Klausul 9 Dengan Kontrol 9.1.1 Pembatasan Keamanan Fisik (Physical security perimeter)
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN)
Klausul 9.1 Wilayah Aman (Secure Areas) 9.1.1 Pembatas keamanan fisik
1 Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik
P: Batas fisik seperti apakah yang terdapat di dalam ruangan Desktop Management untuk melindungi pemrosesan informasi yang sedang berlangsung dan bagaimana gambaran keamanan sebelum masuk menuju ruang Desktop?)
J:
P: Apakah batas fisik tersebut terjamin keamanannya secara optimal untuk melindungi kegiatan pemrosesan informasi yang sedang berlangsung?
J:
P: Apakah batas fisik tersebut telah dibuat sesuai standar keamanan yang layak? Terbuat dari bahan apakah pembatas fisik tersebut?
J:
P: Apakah ada prosedur keamanan yang mengatur tentang batas fisik tersebut? J:
P: Pada ruangan Desktop Management ini terdapat kaca yang memiliki pandangan keluar gedung, apakah kaca tersebut terbuat dengan bahan yang kuat dan tidak mudah pecah untuk pencegahan huru hara, apakah kaca tersebut tahan peluru atau tidak?
92
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN)
Klausul 9.1 Wilayah Aman (Secure Areas) 9.1.1 Pembatas keamanan fisik
dilindungi dari cahaya matahari yang menyengat J:
P: Selama ini apakah pernah terjadi insiden penembakan di daerah ruang Desktop
Management? Apakah ada standar khusus untuk kaca harus terbuat dari apa untuk
ruang Desktop Management ini? J:
2 Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. P: Siapakah yang menempati ruangan pemrosesan informasi di sini?
J:
P: Perlindungan seperti apakah yang digunakan untuk melindungi tempat kerja yang khusus hanya personil dengan otorisasi saja yang boleh masuk?(pintu,kartu akses,penjaga pintu,dll)
J:
P: Apakah terdapat cctv (close circuit tele vision) yang ditempatkan di lokasi yang ideal untuk merekam keluar masuknya karyawan? Apakah di dalam ruang kerja atau pemrosesan informasi juga ada cctv?
J:
P: Apakah ada dokumen yang mengatur bahwa untuk akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi?
J:
3 Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat.
P: Apakah pintu darurat telah dipasang sesuai standar keamanan dan tertutup rapat? J:
P: Standar yang dimaksud di sini seperti apa pak? Mungkin bisa dijelaskan? (missal kalau pintu darurat, khusus pintu darurat harus memiliki criteria khusus bahwa pegangan pintunya harus terbuat dari bahan apa dan bentuknya harus seperti apa, dll)
J:
P: Bagaimana kontrol pengawasan apabila terjadi bencana mendadak seperti kebakaran, banjir atau gempa?
J:
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN FISIK & LINGKUNGAN)
Klausul 9.1 Wilayah Aman (Secure Areas) 9.1.1 Pembatas keamanan fisik
J:
P: Apakah pintu darurat tersebut hanya dapat dibuka dari dalam atau juga dapat dibuka dari luar? (Kalaupun dapat dibuka dari luar , hanya dengan menggunakan kunci yang dimiliki oleh orang-orang yang telah ditunjuk misalnya personal keamanan gedung)
J:
4 Orang yang akan ke wilayah aman harus diawasi
P: Apakah ada persyaratan khusus untuk orang lain selain karyawan yang akan mengunjungi wilayah aman? Seperti apakah persyaratan tersebut?
J:
P: Apakah ada pencatatan khusus apabila ada yang keluar masuk ruangan Desktop Management?
J:
P: Adakah cctv yang mengawasi siapa saja yang masuk dan keluar ke wilayah aman? J:
Berdasarkan beberapa hasil pernyataan dari klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (Penggunaan Password (Password Use)) maka didapatkan pertanyaan yang disesuaikan dengan kebutuhan yang terdapat pada setiap pernyataan, diantaranya yaitu :
a. Pada pernyataaan nomor 1 (satu), dibutuhkan kepastian bahwa karyawan telah memiliki kesadaran dalam menjaga passwordnya masing masing maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 1 (satu)
b. Pada pernyataan nomor 2 (dua), dibutuhkan kepastian bahwa karyawan telah melakukan pergantian password pada saat sistem atau password dalam
94
keadaan bahaya maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 2 (dua)
c. Pada pernyataan nomor 3 (tiga), dibutuhkan kepastian bahwa karyawan tidak membuat catatan password tanpa perlindungan enkripsi maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 3 (tiga)
d. Pada pernyataan nomor 4 (empat), dibutuhkan kepastian bahwa karyawan tidak membagi satu password yang dimillikinya kepada orang lain maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 4 (empat)
e. Pada pernyataan nomor 5 (lima), dibutuhkan kepastian bahwa karyawan telah melakukan penggantian password pada saat pertama kali log-on maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 5 (lima)
f. Pada pernyataan nomor 6 (enam), dibutuhkan kepastian bahwa karyawan telah memilih password yang berkualitas dan mudah diingat maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 5 (lima)
g. Pada pernyataan nomor 7 (tujuh), dibutuhkan kepastian bahwa karyawan telah melakukan perubahan password secara berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama maka didapatkan beberapa pertanyaan seperti yang ada pada Tabel 4.16 nomor 6 (enam)
Tabel 4.16 Hasil Pertanyaan Klausul 11 Dengan Kontrol 11.3.1 Penggunaan
password (Password Use)
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan password
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan password
1 Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password
P: Apakah karyawan Desktop Management telah menyadari mengenai pentingnya kerahasiaan password masing-masing?
J:
P: Apakah ada perintah tertulis yang menangani pentingnya menjaga kerahasiaan password?
J:
2 Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya
P: Apakah karyawan yang bersangkutan sering melakukan pergantian password jika dirasa sistem dalam keadaan bahaya?
J:
P: Apakah ada pencatatan perintah dalam pergantian password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya?
J:
3 Terdapat larangan dalam pembuatan catatan password P: Apakah ada larangan dalam pembuatan catatan password? J:
P: Siapa yang membuat larangan pembuatan catatan password? J:
P: Apakah karyawan memiliki metode penyimpanan yang aman dalam peletakan passwordnya?
J:
4 Terdapat larangan untuk tidak membagi satu password kepada pengguna lain P: Apakah ada larangan agar tidak membagi satu password kepada pengguna lain? J:
P: Apakah karyawan pernah melakukan penyebaran password individu kepada karyawan lain atau orang lain?
J:
P: Berdasarkan kuesioner terdahulu, apabila sudah ada yang mengatur bahwa tidak diperbolehkan membagi password, lantas mengapa masih ada saja yang melanggar prosedur tersebut pak?
96
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan password
P: Apakah terdapat konsekuensi khusus apabila karyawan tersebut melakukan penyebaran password kepada karyawan lain?
J:
5 Terdapat pergantian password sementara pada saat pertama kali log-on P: Apakah terdapat pergantian password sementara?
J:
P: Apakah pergantian password sementara tersebut digunakan saat pertama kali log-on?
J:
6 Terdapat pemilihan password secara berkualitas yang mudah diingat
P: Apakah karyawan memilih password yang mudah diingat? Apakah password dipilih berdasarkan tgl lahir, nama karyawan atau secara acak?
J:
P: Apakah password yang digunakan sudah tidak menggunakan informasi yang mudah ditebak oleh orang lain?
J:
P: Apakah password yang digunakan sudah teracak dengan baik antara nomor dan alphabet?
J:
P: Apakah terdapat dokumentasi khusus mengenai cara pemilihan kata sandi yang berkualitas?
J:
7 Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama
P: Berapa kali karyawan melakukan perubahan kata sandi/password? J:
P: Apakah perubahan kata sandi dilakukan secara berkala? J:
P: Apakah perubahan kata sandi sudah dilakukan berdasarkan jumlah akses dilakukan? J:
P: Apakah sandi yang lama sudah dipastikan tidak dipergunakan kembali? J:
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities) 11.3.1 Penggunaan password
