BAB IV HASIL DAN PEMBAHASAN
4.3 Hasil Pelaksanaan Audit Keamanan Sistem Informasi
4.3.1 Hasil Wawancara
Pada proses wawancara, auditor melakukan wawancara berdasarkan pertanyaan yang telah dibuat. Wawancara dilakukan berdasarkan pertanyaan yang telah dibuat oleh auditor. Wawancara ditujukan kepada beberapa pihak yang terkait didalamnya yaitu pihak auditee dengan jabatan officer 1 administrasi dan
monitoring, serta dua rekan dari pihak auditee lainnya yang ikut membantu dalam
proses wawancara yaitu bagian officer 2 administrasi dan monitoring dan bagian
officer 1 Desktop Operation dan Lisensi, pemetaan wawancara dan kewenangan
dari setiap orang yang diwawancarai terdapat pada Tabel 4.17. Beberapa contoh hasil wawancara terdapat pada klausul 8 (Delapan) Keamanan Sumber Daya Manusia dengan kontrol 8.2.3 (Proses Kedisiplinan (Disciplinary Process)), klausul 9 (Sembilan) Keamanan Fisik dan Lingkungan dengan kontrol 9.1.1 (Pembatasan Keamanan Fisik (Physical security perimeter)) dan klausul 11 (sebelas) Kontrol Akses dengan kontrol 11.3.1 (penggunaan password (Password
98
Use)) dapat dilihat pada Tabel 4.18, Tabel 4.19, Tabel 4.20 dan selengkapnya
pada Lampiran 7.
Tabel 4.17 Pemetaan Wawancara dengan Beberapa Narasumber Pemetaan Wawancara dengan Beberapa Narasumber
No. Tanggal Wawancara Narasumber Bagian/ Kewenangan
1. 24 Oktober 2012 – 24 Oktober 2013 Wawancara mengenai proses perencanaan audit yang meliputi profil perusahaan, visi misi PT Telkom, profil Desktop Management, struktur organisasi Desktop Management dan deskripsi pekerjaan Agus Widodo NIK : 631174 Bagian Officer 2 administrasi dan
monitoring yang memiliki
kewenangan kewenangan dalam pelaksanaan pengadministrasian dan
monitoring Seat Management dalam
rangka memenuhi dan mencatat kebutuhan sarana kerja desktop secara akurat. Serta memiliki kewenangan dalam melaksanakan instalasi desktop
management di pengguna dan menjamin validasi data pengguna setiap bulan 2. 10 Desember 2012 Wawancara alur proses bisnis perusahaan Uyud Warsono NIK : 630360
Bagian Officer 1 Desktop
Operation dan Lisensi
memiliki kewenangan dalam pelaksanaan lisensi software dan problem solving desktop. Serta memiliki kewenangan dalam memastikan masalah desktop management di pengguna tersolusikan dan memastikan operasional desktop berjalan lancar
3. 7 Agustus 2014 -31 Juli 2015 Wawancara mulai dari persiapan audit, pelaksanaan audit dan pelaporan audit Persiapan Audit meliputi - Penyampaian Setiyobudi Eko N NIK : 611283 Bagian Officer 1 administrasi dan monitoring memiliki kewenangan dalam pelaksanaan pengadministrasian dan monitoring Seat Management dalam
Pemetaan Wawancara dengan Beberapa Narasumber
No. Tanggal Wawancara Narasumber Bagian/ Kewenangan kebutuhan data audit - Melakukan pembobotan pernyataan audit Pelaksanaan Audit meliputi - Wawancara audit - Konfirmasi temuan dan rekomendasi audit Pelaporan Audit - Permintaan tanggapan dan rekomendasi atas daftar temuan audit mencatat kebutuhan sarana kerja desktop secara akurat. Serta memiliki kewenangan dalam menjamin ketersediaan perangkat desktop di seluruh wilayah Indonesia dan memonitor penyelesaian
delivery di seluruh
wilayah Indonesia.
Tabel 4.18 Hasil Wawancara Klausul 8 Dengan Kontrol 8.2.3 Proses Kedisiplinan (Disciplinary Process)
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA
MANUSIA)
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1
Administrasi & Monitoring)
Tanggal : 5 – 29 Januari 2015 Klausul 8.2 Selama Menjadi Pegawai (During Employment)
8.2.3 Proses Kedisiplinan
1 Terdapat prosedur yang mengatur kedisiplinan seluruh karyawan
P: Apakah terdapat prosedur yang mengatur kedisiplinan para karyawan ? J: Ada
P: Apa saja isi dari prosedur tentang kedisiplinan karyawan tersebut? J: antara lain Disiplin Dasar mengenai Karyawan
P: Apakah terdapat dokumentasi yang mengatur kedisiplinan karyawan? J: Ada di HRC
2 Terdapat pertimbangan kedisiplinan formal dengan melihat beberapa faktor
P: Apakah terdapat pertimbangan faktor pendisiplinan mengenai pelanggaran keamanan sistem informasi?
J: Ada
100
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 8 (KEAMANAN SUMBER DAYA
MANUSIA)
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1
Administrasi & Monitoring)
Tanggal : 5 – 29 Januari 2015 Klausul 8.2 Selama Menjadi Pegawai (During Employment)
8.2.3 Proses Kedisiplinan beberapa faktor?
J: Terdapat pada dokumen Disiplin Dasar Pegawai
P: Apakah terdapat pendokumentasian khusus mengenai pertimbangan yang dilakukan jika ada pelanggaran keamanan sistem informasi pada pegawai?
J: Dokumentasi bersifat Rahasia ada di HRC, tapi yang saya tahu ada beberapa macam jenis konsekuensi mengenai kedisiplinan yaitu apabila pelanggaran yang dilakukan karyawan dalam tingkatan rendah maka hanya akan ditegur, kalau tingkat pelanggarannya sedang maka akan diberikan nota dinas mengenai kedisiplinan dan apabila pelanggaran dalam tingkat yang tinggi maka karyawan tersebut bisa dikeluarkan dari perusahaan.
3 Terdapat konsekuensi bagi karyawan yang cenderung mengabaikan prosedur keamanan sistem informasi
P: Apakah seluruh karyawan harus mematuhi serta melaksanakan seluruh aturan dan prosedur keamanan sistem informasi yang terdapat pada perusahaan?
J: Mematuhi
P: Apakah karyawan tidak diperbolehkan menyebar atau memberikan informasi yang bersifat internal ? misalkan menyebarkan username dan password kepada rekan lain meskipun setiap jobdesk masing masing karyawan berbeda?
J: Tidak Diijinkan
P: Selama ini apakah pernah terjadi beberapa karyawan yang mengabaikan prosedur keamanan informasi tersebut?
J: Pernah, yaitu menitipkan password
P: Lalu apa sanksi yang tepat bagi karyawan yang mengabaikan , bahkan melanggar prosedur keamanan sistem informasi yang telah ditetapkan oleh perusahaan?
J: Sejauh ini masih dalam teguran lisan
P: Apakah ada dokumen yang mengatur tentang keamanan informasi khususnya mengenai pentingnya untuk tidak menyebarluaskan password tersebut pak?
J: Ada. Di KD 57 Bab VIII pasal 34 ayat 4(d), tentang alokasi password harus dikelola untuk memaksimumkan perlindungan terhadap sistem
Tabel 4.19 Hasil Wawancara Klausul 9 Dengan Kontrol 9.1.1
Pembatasan Keamanan Fisik (Physical security perimeter)
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN
FISIK & LINGKUNGAN)
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 5 September – 16 Desember 2014 Klausul 9.1 Wilayah Aman (Secure Areas)
9.1.1 Pembatas keamanan fisik
1 Terdapat batas perimeter yang jelas pada tempat fasilitas informasi yang aman secara fisik
P: Batas fisik seperti apakah yang terdapat di dalam ruangan Desktop Management untuk melindungi pemrosesan informasi yang sedang berlangsung dan bagaimana gambaran keamanan sebelum masuk menuju ruang Desktop? (disertai foto,ukuran batas fisik tersebuut)
J: Batas fisik berupa sekat dengan bahan playwood seperti yang terdapat di foto di bawah ini
Untuk gambaran umum keamanan sebelum masuk menuju ruang Desktop yaitu sebelum menuju ke ruang Desktop harus melalui resepsionist (Front Desk) terlebih dahulu untuk mengisi buku kunjungan sesuai keperluan. Setelah itu melewati pintu akses untuk masuk ke ruang ISSSM (Information System Service Support
Management), pegawai resepsionist memiliki kartu akses yang khusus hanya untuk
memasukkan tamu ke ruang ISSSM. Karena tidak ada pintu khusus untuk memasuki ruang Desktop Management jadi langsung menuju ke ruangan tersebut. Berikut foto dari ruang resepsionist sampai ke ruang Desktop Management.
102
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN
FISIK & LINGKUNGAN)
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 5 September – 16 Desember 2014 Klausul 9.1 Wilayah Aman (Secure Areas)
9.1.1 Pembatas keamanan fisik
P: Apakah batas fisik tersebut terjamin keamanannya secara optimal untuk melindungi kegiatan pemrosesan informasi yang sedang berlangsung?
J: Aman.
P: Apakah batas fisik tersebut telah dibuat sesuai standar keamanan yang layak? Terbuat dari bahan apakah pembatas fisik tersebut?
J: Sudah sesuai.
P: Apakah ada dokumen atau prosedur keamanan yang mengatur tentang batas fisik tersebut?
J: Iya ada prosedurnya, yaitu di dokumen keputusan Direksi Perusahaan Perseroan (PERSERO) PT Telekomunikasi Indonesia, Tbk. Nomor : KD.57/HK-290/ITS-30/2006 di Bab VI ((Sekuriti Fisik dan Lingkungan Aset Informasi), pasal 16(Area Aman) ayat 1)).
P: Pada ruangan Desktop Management ini terdapat kaca yang memiliki pandangan keluar gedung, apakah kaca tersebut terbuat dengan bahan yang kuat dan tidak mudah pecah untuk pencegahan huru hara, apakah kaca tersebut tahan peluru atau tidak?
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN
FISIK & LINGKUNGAN)
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 5 September – 16 Desember 2014 Klausul 9.1 Wilayah Aman (Secure Areas)
9.1.1 Pembatas keamanan fisik
(apabila di lantai dasar maka ideal apabila diproteksi dengan kaca anti peluru) dan dilindungi dari cahaya matahari yang menyengat
J: Kaca tidak tahan peluru , namun kalau hanya lemparan batu batu kecil masih kuat kacanya.
P: Selama ini apakah pernah terjadi insiden penembakan di daerah ruang Desktop
Management? Apakah ada standar khusus untuk kaca harus terbuat dari apa untuk
ruang Desktop Management ini? J: Tidak ada
2 Akses menuju tempat kerja harus dibatasi hanya untuk pesonil dengan otorisasi. P: Siapakah yang menempati ruangan pemrosesan informasi di sini?
J: GM (General Manager) dan staff.
P: Perlindungan seperti apakah yang digunakan untuk melindungi tempat kerja yang khusus hanya personil dengan otorisasi saja yang boleh masuk?(pintu,kartu akses,penjaga pintu,dll)
J: Setiap karyawan memilki kartu akses. Kartu akses tersebut dapat digunakan karyawan untuk masuk ke beberapa ruangan yang bisa dimasuki oleh orang orang tertentu saja. Dan di dekat pintu masuk juga ada ruang security yang dijaga oleh bagian keamanan.
P: Apakah terdapat cctv (close circuit tele vision) yang ditempatkan di lokasi yang ideal untuk merekam keluar masuknya karyawan? Apakah di dalam ruang kerja atau pemrosesan informasi juga ada cctv?
J: Hanya di ruang tertentu saja terdapat cctv, pada ruangan kerja tidak ada cctv.
P: Apakah ada dokumen yang mengatur bahwa untuk akses menuju tempat kerja dibatasi hanya untuk personil dengan otorisasi?
J: Sesuai dengan dokumen KD 57 Bab VI (Sekuriti Fisik dan Lingkungan Aset Informasi), pasal 16(Area Aman), ayat 2
3 Semua pintu darurat dalam batas parimeter keamanan harus dipasang tanda bahaya dan tertutup rapat.
P: Apakah pintu darurat telah dipasang sesuai standar keamanan dan tertutup rapat? J: Iya, sudah sesuai standar.
104
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN
FISIK & LINGKUNGAN)
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 5 September – 16 Desember 2014 Klausul 9.1 Wilayah Aman (Secure Areas)
9.1.1 Pembatas keamanan fisik
kalau pintu darurat, khusus pintu darurat harus memiliki criteria khusus bahwa pegangan pintunya harus terbuat dari bahan apa dan bentuknya harus seperti apa, dll)
J: Terbuat dari besi, lebarnya kurang lebih 90cm, tingginya 200cm dan langsung menuju tangga darurat dan juga bisa menuju pintu darurat yang terhubung langsung dengan halaman luar kantor.
P: Bagaimana kontrol pengawasan apabila terjadi bencana mendadak seperti kebakaran, banjir atau gempa?
J: Masih manual, apabila terjadi suatu bencana yang tidak diinginkan maka barang atau fasilitas yang sekiranya bisa diamankan , langsung diamankan dengan cara diangkut atau dibawa oleh para karyawan ke area yang lebih aman.
P: Apakah setiap karyawan mengetahui di mana saja pintu darurat berada?
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 9 (KEAMANAN
FISIK & LINGKUNGAN)
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1 Administrasi & Monitoring) Tanggal : 5 September – 16 Desember 2014 Klausul 9.1 Wilayah Aman (Secure Areas)
9.1.1 Pembatas keamanan fisik tangga darurat.
P: Apakah pintu darurat tersebut hanya dapat dibuka dari dalam atau juga dapat dibuka dari luar? (Kalaupun dapat dibuka dari luar , hanya dengan menggunakan kunci yang dimiliki oleh orang-orang yang telah ditunjuk misalnya personal keamanan gedung)
J: Pintu darurat dapat dibuka dari dalam dan dari luar. Namun yang dari luar kuncinya hanya dipegang oleh security. Pintu daruratnya terkadang rusak, karena digunakan untuk keluar masuknya barang, harusnya digunakan saat darurat saja.
4 Orang yang akan masuk ke wilayah aman harus diawasi
P: Apakah ada persyaratan khusus untuk orang lain selain karyawan yang akan mengunjungi wilayah aman? Seperti apakah persyaratan tersebut?
J: Ada. Orang tersebut harus menemui resepsionist – ditanyai dulu apa keperluannya - lalu diarahkan oleh resepsionis ke masing-masing unit yang bersangkutan – menitipkan KTP – lalu diberi kartu visitor yang akan dikenakan sampai selesai urusannya , lalu kartu visitor dikembalikan kepada resepsionis dan KTP akan dikembalikan kepada yang bersangkutan.
P: Apakah ada pencatatan khusus apabila ada yang keluar masuk ruangan Desktop
Management?
J: Ada. Di buku kunjungan yang terdapat pada resepsionis.
P: Adakah cctv yang mengawasi siapa saja yang masuk dan keluar ke wilayah aman? J: Cctv ada di pintu utama, di pintu yang menuju ruang kerja Desktop Management
106
Tabel 4.20 Hasil Wawancara Klausul 11 Dengan Kontrol 11.3.1 Penggunaan Password (Password Use)
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1
Administrasi & Monitoring)
Tanggal : 2 Maret – 31 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities)
11.3.1 Penggunaan password
1 Adanya kesadaran dari diri sendiri untuk menjaga kerahasiaan password
P: Apakah karyawan Desktop Management telah menyadari mengenai pentingnya kerahasiaan password masing-masing?
J: Sudah
P: Apakah ada perintah tertulis yang memberitahukan pada karyawan tentang pentingnya menjaga kerahasiaan password?
J: Ada, yaitu berupa larangan menyebarkan password. Di dokumen KD 57 Bab VIII Pasal 34 ayat (4)d
2 Terdapat penggantian kata password setiap kali ada kemungkinan sistem atau password dalam keadaan bahaya
P: Apakah karyawan yang bersangkutan sering melakukan pergantian password jika dirasa sistem dalam keadaan bahaya?
J: Selama ini masih belum melakukan pergantian password, karena masih belum ada sistem yang berbahaya
P: Apakah terdapat aturan secara tertulis atau secara lisan mengenai perintah pergantian sandi setiap kali ada kemungkinan keadaan bahaya?
J: Kalau memang ada perintah ya biasanya secara lisan 3 Terdapat larangan dalam pembuatan catatan password
P: Apakah ada larangan dalam pembuatan catatan password di laptop kerja tanpa perlindungan khusus?
J: Ada
P: Siapa yang membuat larangan pembuatan catatan password tersebut?
J: Pihak direksi, larangan tersebut terdapat di dokumen KD 57 Pasal 34 ayat (4)k P: Apakah karyawan memiliki metode penyimpanan yang aman dalam peletakan
passwordnya?
J: Iya , melalui perangkat pribadi masing masing, seperti perangkat mobile 4 Terdapat larangan untuk tidak membagi satu password kepada pengguna lain
P: Apakah ada larangan agar tidak membagi satu password kepada pengguna lain? J: Iya ada
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1
Administrasi & Monitoring)
Tanggal : 2 Maret – 31 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities)
11.3.1 Penggunaan password
P: Apakah karyawan pernah melakukan penyebaran password individu kepada karyawan lain atau orang lain?
J: Pernah, yaitu saling menitipkan password
P: Berdasarkan kuesioner terdahulu, apabila sudah ada yang mengatur bahwa tidak diperbolehkan membagi password, lantas mengapa masih ada saja yang melanggar prosedur tersebut pak?
J: Kalau sadar akan pentingnya password sudah menyadari namun tingkat kedisiplinan para karyawan yang masih kurang akan hal tersebut
P: Apakah terdapat konsekuensi khusus apabila karyawan tersebut melakukan penyebaran password kepada karyawan lain?
J: Sampai saat ini masih dalam teguran secara lisan saja, masih belum ada konsekuensi yang khusus
5 Terdapat pergantian password sementara pada saat pertama kali log-on P: Apakah terdapat pergantian password sementara?
J: Iya ada
P: Apakah pergantian password sementara tersebut digunakan saat pertama kali log-on?
J: iya betul, wajib dilakukan agar terjaga keamanan informasinya. Seperti aplikasi cnemas, absensi, poin serta portal menggunakan pergantian password sementara dan wajib diterapkan karena untuk keamanan informasi
6 Terdapat pemilihan password secara berkualitas yang mudah diingat
P: Apakah karyawan memilih password yang mudah diingat? Apakah password dipilih berdasarkan tgl lahir, nama karyawan atau secara acak?
J: Iya sudah memilih yang mudah diingat dan tidak berdasarkan tanggal lahir maupun nama
P: Apakah password yang digunakan sudah tidak menggunakan informasi yang mudah ditebak oleh orang lain?
J: Tidak
P: Apakah password yang digunakan sudah teracak dengan baik antara nomor dan alphabet?
108
AUDIT KEAMANAN SISTEM INFORMASI KLAUSUL 11 (KONTROL AKSES)
Auditor : Dian Ayu P
Auditee : Bpk Setiyobudi (Bagian Off 1
Administrasi & Monitoring)
Tanggal : 2 Maret – 31 Juli 2015 Klausul 11.3 Tanggung Jawab Pengguna (User Respon Sibilities)
11.3.1 Penggunaan password
P: Apakah terdapat dokumentasi khusus mengenai cara pemilihan kata sandi yang berkualitas?
J: Ada di dokumen KD 57 pasal 34 ayat (4)f
7 Terdapat perubahan kata sandi/password berkala atau berdasarkan jumlah akses dan larangan menggunakan password yang lama
P: Apakah perubahan kata sandi dilakukan secara berkala? J: Iya
P: Berapa kali karyawan melakukan perubahan kata sandi/password? J: Setiap 3 bulan sekali
P: Apakah perubahan kata sandi sudah dilakukan berdasarkan jumlah akses dilakukan? J: Tidak
P: Apakah sandi yang lama sudah dipastikan tidak dipergunakan kembali? J: Sandi yang lama sudah tidak bisa dipakai lagi
