BAB IV HASIL DAN PEMBAHASAN
4.3 Hasil Pelaksanaan Audit Keamanan Sistem Informasi
4.3.3 Hasil Temuan dan Rekomendasi
Penyusunan temuan dan rekomendasi sebagai hasil evaluasi dari pelaksanaan audit keamanan sistem informasi ini muncul setelah dilakukan pembandingan antara apa yang seharusnya dilakukan dengan proses yang sedang berlangsung pada perusahaan. Dari hasil temuan tersebut kemudian dilaksanakan rekomendasi yang merupakan rincian temuan serta rekomendasi yang diberikan untuk perbaikan proses keamanan sistem informasi ke depannya. Beberapa contoh temuan dan rekomendasi pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan), klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik) serta klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan
password) dapat dilihat pada Tabel 4.24, Tabel 4.25, Tabel 4.26 dan untuk selengkapnya dapat dilihat pada Lampiran 9.
118
Tabel 4.24 Daftar Temuan dan Rekomendasi Pada Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) ASPEK : KLAUSUL 8 (KEAMANAN SUMBER DAYA
MANUSIA) Tanggal : 4 – 6 Mei 2015
No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko
dan Rekomendasi
Tanggapan dan Komitmen Penyelesaian
1
Terdapat sanksi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi
Telah diperiksa bahwa seharusnya karyawan mematuhi prosedur keamanan sistem informasi pada perusahaan dan tidak diijinkan menyebar atau memberikan informasi yang bersifat internal seperti password contohnya, tetapi tetap saja terdapat beberapa diantaranya yang mengabaikan prosedur tersebut yaitu dengan menitipkan password kepada rekan lain. saja dan tidak ada dokumen yang mengatur apabila karyawan mengabaikan prosedur tersebut. Sejauh ini sanksi hanya berupa teguran lisan.
Terdapat temuan bahwa masih terdapat karyawan yang tidak mematuhi prosedur yang sudah ada di perusahaan, yaitu saling menitipkan password kepada rekan lain meskipun mereka tau hal tersebut dilarang dan sudah disebutkan jelas dalam dokumen KD 57 Bab VIII pasal 34 ayat 4(d)
Ref Temuan:
- Wawancara klausul 8 dengan objektif kontrol 8.2.3 pada pertanyaan dan jawaban nomor 3 yang terdapat detailnya di lampiran 7 (Wawancara Audit) Ref Rekomendasi: - ISO 270002 8.2.3 Proses Kedisiplinan
- Dokumen KD 57 Bab VIII
(Kontrol Akses) - (IBISA, 2011:45). IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta : Andi. Resiko :
Jika password dibagikan ke sesama rekan kerja, maka akan beresiko bahwa informasi penting yang seharusnya hanya boleh
Tanggapan : Memang tidak ada prosedur atau dokumen khusus untuk karyawan yang melanggar peraturan yang telah ditetapkan oleh perusahaan. Kalau dokumen yang mengatur bahwa password tidak boleh diberikan kepada orang lain ada di dokumen Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia dengan nomor : KD.57/HK-290/ITS-30/2006, tapi di dalam dokumen tersebut tidak terdapat sanksi khususnya. Komitmen Penyelesaian : Kami pihak desktop
management akan
mempertimbangkan terlebih dahulu untuk
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) ASPEK : KLAUSUL 8 (KEAMANAN SUMBER DAYA
MANUSIA) Tanggal : 4 – 6 Mei 2015
No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko
dan Rekomendasi
Tanggapan dan Komitmen Penyelesaian dilihat secara pribadi bisa
dilihat oleh rekan yang tidak berhak. Dan apabila hanya teguran lisan saja sanksinya, maka akan beresiko
karyawan tersebut mengulangi lagi kesalahannya. Rekomendasi :
- Seharusnya terdapat
sanksi bagi karyawan
apabila memberitahukan password kepada orang lain di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d, jadi tidak hanya
dituliskan larangan memberitahukan password. Segera merencanakan untuk menambahkan sanksi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut.
- Dibuat jenjang level
menambahkan sanksi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut, karena urusannya langsung kepada yang membuat dokumen kebijakan yaitu pihak Direksi perusahaan. Begitu pula dengan penambahan level keamanan passwordnya nanti kami akan mencoba mengusulkannya ke pihak Unit Pengelola Teknologi Informasi.
120
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) ASPEK : KLAUSUL 8 (KEAMANAN SUMBER DAYA
MANUSIA) Tanggal : 4 – 6 Mei 2015
No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko
dan Rekomendasi
Tanggapan dan Komitmen Penyelesaian
keamanan passwordnya
pada aplikasi yang
digunakan, dimana
setelah login di awal pada
aplikasi terdapat
password khusus yang
diperuntukkan hanya
untuk melihat lihat saja atau bisa mengedit atau bahkan bisa menghapus data
- Reff rekomendasi :
Wawancara mengenai
keamanan password
dengan bapak dwijo Dan
Tabel 4.25 Daftar Temuan dan Rekomendasi Pada Klausul 9 Dengan Kontrol 9.1.1 Pembatas Keamanan Fisik
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) ASPEK : KLAUSUL 9 (KEAMANAN FISIK DAN
LINGKUNGAN) Tanggal : 4 – 6 Mei 2015
No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko
dan Rekomendasi
Tanggapan dan Komitmen Penyelesaian
1.
Semua pintu darurat dalam batas perimeter keamanan harus dipasang tanda bahaya dan tertutup rapat.
Telah diperiksa bahwa pintu darurat dipasang sesuai standar keamanan yang terbuat dari besi lebarnya kurang lebih 90cm, tingginya 200cm serta tertutup rapat dan semua karyawan telah mengetahui lokasi pintu darurat tersebut.
Namun pintu darurat terkadang rusak karena pernah digunakan untuk keluar masuknya barang ke ruang Desktop atau ke ruang lainnya di ISSSM.
Terdapat temuan bahwa ada pintu yang terkadang rusak dikarenakan pernah digunakan untuk akses keluar masuknya barang.
Ref Temuan :
- Wawancara klausul 9 dengan objektif kontrol 9.1.1 pada pertanyaan dan jawaban no.3 yang terdapat detailnya di lampiran 7 (Wawancara Audit) Ref Rekomendasi : - ISO 27002 9.1.1 Pembatas keamanan fisik - (IBISA, 2011:62). IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta : Andi. Resiko :
Jika pintu darurat terkadang rusak, maka dikhawatirkan akan beresiko tidak bisa digunakan saat terjadi bencana mendadak seperti kebakaran atau gempa serta bisa membahayakan keselamatan para karyawan.
Tanggapan :
Untuk prosedur sekuriti fisik dan lingkungan di sini sudah ada dokumennya yaitu di dokumen KD 57, namun di situ belum ada standar keamanan untuk pintu darurat dan memang pintu darurat pernah digunakan untuk akses keluar masuk barang. Komitmen Penyelesaian : Kami akan mencoba mengusulkan untuk membuat prosedur tentang standar keamanan pintu darurat tersebut kepada pihak Unit Pengelola Security and Safety (SAS).
122
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) ASPEK : KLAUSUL 9 (KEAMANAN FISIK DAN
LINGKUNGAN) Tanggal : 4 – 6 Mei 2015
No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko
dan Rekomendasi
Tanggapan dan Komitmen Penyelesaian
Rekomendasi :
- Segera merencanakan
untuk membuat prosedur tentang keamanan pintu darurat sesuai standar beserta pemeliharaannya
agar tidak digunakan
selain dalam keadaan
bahaya dan agar
terpelihara.
- Lebih memperhatikan
keamanan di sekitar pintu darurat khususnya kerja
sama dengan pihak
security agar tidak
dijadikan akses keluar masuknya barang melalui pintu darurat.
Tabel 4.26 Daftar Temuan dan Rekomendasi Pada Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring)
ASPEK : KLAUSUL 11 (KONTROL AKSES) Tanggal : 30 Juni -30 Juli 2015
No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko
dan Rekomendasi
Tanggapan dan Komitmen Penyelesaian
1.
Terdapat larangan untuk tidak membagi satu password kepada pengguna lain
Telah diperiksa bahwa karyawan di larang untuk tidak membagi
password kepada pengguna lain
namun karena tingkat kedisiplinan yang kurang, ada saja karyawan yang melanggar aturan tersebut, yaitu saling menitipkan password ke sesama rekan kerja. Sampai saat ini konsekuensinya hanyalah berupa teguran lisan belum ada
konsekuensi yang lebih khusus.
Terdapat temuan bahwa tingkat kedisiplinan karyawan untuk menjaga password yang dimiliki masih kurang karena saling menitipkan password. Konsekuensi pada karyawan hanya berupa teguran lisan.
Ref Temuan :
- Wawancara klausul 11 dengan objektif kontrol 11.3.1 pertanyaan dan jawaban no.4 yang terdapat detailnya di lampiran 7 (Wawancara Audit) Ref Rekomendasi : - ISO 27002 11.3.1 Penggunaan Password - Dokumen Keputusan Direksi Perusahaan Perseroan PT Telekomunikasi Indonesia dengan nomor : KD.57/HK-290/ITS-30/2006 Bab VIII (Kontrol Akses) - (IBISA, 2011:45). IBISA. 2011. Keamanan Sistem Informasi. Yogyakarta : Andi. Tanggapan : Meskipun sudah ada peraturan atau kebijakan mengenai larangan untuk tidak menyebarkan password namun tingkat kedisiplinan dari beberapa karyawan masih ada yang kurang akan hal tersebut Komitmen Penyelesaian : Kami pihak desktop
management akan
mempertimbangkan terlebih dahulu untuk menambahkan konsekuensi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d yang mengatur tentang larangan menyebarluaskan password, karena
urusannya langsung kepada yang membuat dokumen kebijakan yaitu pihak Direksi perusahaan.
124
TEMUAN AUDIT KEAMANAN SISTEM INFORMASI Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring)
ASPEK : KLAUSUL 11 (KONTROL AKSES) Tanggal : 30 Juni -30 Juli 2015
No Pernyataan Hasil Analisa Wawancara Temuan Referensi, Penyebab Risiko
dan Rekomendasi
Tanggapan dan Komitmen Penyelesaian Resiko :
Informasi yang seharusnya tidak diketahui oleh yang bukan haknya bisa diketahui dengan mudah dengan adanya saling menitipkan password. Pihak manajemen bisa memberikan sanksi kepada pemilik user-ID dan resiko yang paling fatal ialah pemutusan hubungan kerja dan dituntut secara hukum. Rekomendasi :
- Segera merencanakan
konsekuensi khusus bagi karyawan yang belum sadar akan pentingnya untuk tidak menyebarkan password dan perusahaan harus konsisten dengan
peraturan yang dibuat
karena tidak ada gunanya peraturan dibuat namun
implementasinya masih
kurang
Begitu pula dengan penambahan level keamanan passwordnya nanti kami akan mencoba mengusulkannya ke pihak Unit Pengelola Teknologi Informasi.
Dari hasil wawancara dengan pihak Desktop Management dan bukti foto dan rekaman serta wawancara maka didapatkan temuan pada klausul 8 (delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (proses kedisiplinan) yaitu adanya karyawan yang tidak mematuhi prosedur yang telah ditetapkan tersebut, yaitu menitipkan password ke rekan kerja, untuk klausul 9 (sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (pembatas keamanan fisik) yaitu pintu darurat terkadang rusak karena pernah digunakan untuk akses keluar masuk barang dan untuk klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password) terdapat temuan yaitu masih ada karyawan kurang disiplin dalam menjaga passwordnya agar tidak dititipkan ke sesama rekan kerja . Dari hasil temuan yang didapatkan pada klausul 8 dengan kontrol 8.2.3 maka rekomendasi yang dapat diberikan adalah dengan memberikan konsekuensi kepada karyawan apabila menitipkan password kepada orang lain, dan di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d juga dituliskan konsekuensi untuk karyawan tersebut, jadi tidak hanya dituliskan larangan memberitahukan password. Lalu segera merencanakan untuk menambahkan sanksi di dalam dokumen KD 57 Bab VIII Pasal 34 ayat 4d tersebut kepada Direksi. Untuk rekomendasi pada temuan klausul 9 dengan kontrol 9.1.1 yaitu segera membuat prosedur tentang keamanan pintu darurat sesuai standar beserta pemeliharaannya agar tidak digunakan selain dalam keadaan bahaya. Untuk rekomendasi klausul 11 dengan kontrol 11.3.1 yaitu pihak perusahaan segera memberi konsekuensi khusus untuk karyawan yang salling menitipkan password tersebut, dan dibuatkan jenjang level keamanan password pada aplikasi yang digunakan.
126
