BAB IV PEMBAHASAN
4.1 Manajemen Risiko TI dan Risiko TI pada PT Bank Sinarmas
PT Bank Sinarmas saat ini telah menerapkan Manajemen Risiko sesuai dengan Lampiran 1 Surat Edaran BANK INDONESIA No.5/21/DPNP tanggal 29 September 2003 tentang “Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum”. Perusahaan telah membentuk Komite Manajemen Risiko Bank yang diketuai oleh Direktur Kepatuhan. Satuan Kerja Manajemen Risiko Perusahaan terdiri dari empat orang dan bertanggung jawab langsung kepada Direktur Utama. Komite Manajemen Risiko menangani segala bentuk risiko yang terjadi pada bank, diantaranya adalah risiko kredit, risiko pasar, risiko likuiditas, risiko operasional, risiko hukum, risiko reputasi, risiko strategis, dan risiko kepatuhan. Hingga saat ini Komite Pemantau Risiko bekerja dengan Komite Manajemen Risiko dan Satuan Kerja Manajemen Risiko dalam menangani risiko-risiko pada PT Bank Sinarmas. Berdasarkan analisa penulis, PT Bank Sinarmas telah mengimplementasikan Manajemen Risiko dengan baik karena semua anggota Direksi dan Dewan Komisaris yang berfungsi sebagai Komite Manajemen Risiko, Komite Pemantau Risiko dan Satuan Kerja Manajemen Risiko telah memperoleh sertifikasi manajemen risiko yang diberikan oleh Badan Sertifikasi Manajemen Risiko dan Bank Indonesia.
Akan tetapi walaupun telah memiliki Manajemen Risiko yang baik, PT Bank Sinarmas hingga saat ini tidak memiliki Divisi atau Staff khusus untuk menangani risiko-risiko TI dan tidak memiliki Direktur TI yang khusus menangani rencana strategis
TI, kebijakan dan prosedur, serta masalah-masalah yang ada pada Divisi TI. Semua hal yang berhubungan dengan Divisi TI dikelola oleh Direktur Operasional.
Inilah yang menjadi kelemahan perusahaan dalam mengatasi masalah (risiko) TI, yaitu semua hal yang berhubungan dengan Divisi TI dikelola oleh Direktur Operasional, selain itu Divisi TI juga tidak pernah mendokumentasikan risiko-risiko yang telah terjadi. Inilah yang menjadi kelemahan perusahaan dalam mengatasi masalah (risiko) TI. Untuk mengatasi risiko TI, Manajemen perlu melakukan beberapa proses. Proses Manajemen Risiko TI yang harus dilakukan pada PT Bank Sinarmas dengan menggunakan pedoman Peraturan Bank Indonesia, meliputi jenis-jenis risiko TI sebagai berikut ini:
Risiko-risiko yang dapat terjadi pada PT Bank Sinarmas: a. Risiko Operasional
Contoh kejadian yang ada pada PT Bank Sinarmas adalah: 1. Kesalahan posting/pembukuan
2. Mesin ATM tidak dapat digunakan untuk melakukan transaksi b. Risiko Reputasi
Risiko Reputasi dapat muncul sebagai akibat adanya keluhan dari nasabah karena adanya kesalahan/error sistem teknologi serta kegagalan transaksi yang dialami nasabah. Risiko Reputasi tersebut juga dapat muncul akibat kesalahan yang dilakukan oleh pihak ketiga sebagai penyedia sarana penunjang sistem teknologi. c. Risiko Strategis
Dalam hal ini risiko yang ada adalah kehilangan data dan pencurian data transaksional harian bank oleh pihak yang tidak berwenang, sehingga untuk masa
yang akan datang, manajemen perlu menerapkan strategi pengamanan data atau pengotorisasian penggunaan data.
d. Risiko Kepatuhan
Divisi TI PT Bank Sinarmas memutuskan untuk mengimplementasikan salah satu proyek seperti Internet Banking. Implementasi proyek, telah direncanakan untuk berjalan pada tanggal 1 Maret 2008. Pihak Divisi TI telah membuat laporan kepada Bank Indonesia tentang rencana proyek tersebut dua bulan sebelum diimplementasikan, dan satu bulan setelah proyek diimplementasikan. Akan tetapi, pada tanggal 3 Maret 2008 proyek tersebut baru dapat diimplementasikan, sehingga waktu pengimplementasian proyek tidak sesuai dengan yang direncanakan (1 Maret 2008). Oleh karena keterlambatan implementasi, Bank membayar sanksi atas keterlambatan proyek selama dua hari. Sanksi tersebut yang diartikan sebagai risiko kepatuhan.
e. Risiko Likuiditas (scope pada ATM) Risiko likuiditas dapat muncul apabila:
1. Bank memiliki jumlah ATM yang banyak, sehingga diperlukan penyediaan dana kas yang sangat besar untuk alokasi pengisian uang diseluruh mesin ATM.
2. Jumlah transaksi di mesin ATM yang sangat rendah, sehingga uang yang diisikan ke mesin ATM tidak digunakan (idle money).
3. Nasabah tidak dapat melakukan penarikan uang dari mesin ATM karena uang di mesin ATM tidak tersedia atau habis.
4. Tidak dapat / gagal melakukan settlement dengan bank lain peserta anggota jaringan ATM lokal atau internasional.
f. Risiko Hukum (scope pada ATM) Risiko hukum dapat timbul akibat:
1. Perselisihan antara nasabah dengan Bank terkait dengan transaksi nasabah di ATM yang menyebabkan kerugian finansial di pihak nasabah atau Bank.
2. Perselisihan dengan pihak luar sehubungan dengan penggunaan lisensi perangkat lunak mesin ATM dan mesin switching.
3. Perselisihan dengan bank lain yang menjadi anggota jaringan ATM lokal/internasional.
4.2. Pembahasan Pengukuran Risiko
4.2.1 Proses Pengukuran Risiko Terhadap Aset TI pada PT Bank Sinarmas
Proses pengukuran risiko terhadap aset TI dengan menggunakan pedoman Peraturan Bank Indonesia belum pernah dilakukan sebelumnya oleh kelompok atau perusahaan lain karena pedoman tersebut baru diedarkan pada tahun 2007, dengan Lampiran Surat Edaran Bank Indonesia Nomor: 9/30/DPNP Tanggal 12 Desember 2007.
4.2.1.1 Penilaian Risiko
Penulis melakukan identifikasi terhadap aset TI yang penting bagi unit kerja pengguna dan unit kerja penyelenggara TI dengan menentukan pemilik aset risiko agar risiko yang diidentifikasi dan dinilai atau diukur dapat dipantau oleh manajemen yang biasa disebut dengan Risk Register.
Untuk menghasilkan risk register ini perlu langkah-langkah tertentu yang harus dilakukan. Saat ini terdapat berbagai macam pendekatan, langkah dan metode dapat digunakan dalam penilaian risiko penggunaan Teknologi Informasi (TI) misalnya
dengan pedekatan aset atau pendekatan proses. Berikut ini adalah beberapa tahap yang penulis lakukan dalam mengukur risiko aset TI, sebagai berikut:
1. Identifikasi Aset
Pada langkah ini, sebelumnya penulis telah melakukan pengumpulan data dan pengolahan data terhadap aset-aset yang ada, yaitu sebagai berikut:
1. Aset Hardware (lih. Tabel Lampiran 1.1 Aset Hardware, hal. L1)
Dalam tabel ini, penulis menjelaskan aset-aset hardware pada setiap lokasi yang ada di setiap cabang PT Bank Sinarmas.
2. Aset Software (lih. Tabel Lampiran 1.2 Aset Software, hal. L49)
Dalam tabel ini, penulis menjelaskan aset-aset software pada setiap lokasi yang ada di cabang, KCU, KPNO, maupun Data Center PT Bank Sinarmas.
3. Aset Informasi (lih. Tabel Lampiran 1.3 Aset Informasi, hal. L68)
Dalam tabel ini, penulis menjelaskan aset-aset informasi pada setiap lokasi yang ada di cabang, KCU, KPNO, maupun Data Center PT Bank Sinarmas.
4. Aset Sumber Daya Manusia (Human Resource) (lih. Tabel Lampiran 1.4 Aset SDM, hal. L79)
Dalam tabel ini, penulis menjelaskan aset-aset sumber daya manusia pada setiap lokasi yang ada di cabang dan KPNO PT Bank Sinarmas.
2. Identifikasi Risiko dan Evaluasi Risiko yang Terkait dengan Aset
Pada tahap ini, penulis mengidentifikasi risiko-risiko dan jenis-jenis risiko yang terkait dengan aset berikut:
a. Aset Hardware (lih. Tabel Lampiran 1.1.1 Identifikasi dan Evaluasi Risiko pada Aset Hardware, hal. L4)
Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada aset-aset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas. b. Aset Software (lih. Tabel Lampiran 1.2.1 Identifikasi dan Evaluasi Risiko pada
Aset Software, hal. L50)
Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada aset-aset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas. c. Aset Informasi (lih. Tabel Lampiran 1.3.1 Identifikasi dan Evaluasi Risiko pada
Aset Informasi, hal. L67)
Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada aset-aset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas. d. Aset SDM (lih. Tabel Lampiran 1.4.1 Identifikasi dan Evaluasi Risiko pada Aset
SDM, hal. L83)
Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada aset-aset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas.
3. Analisa Kerawanan
Pada tahap ini penulis menganalisa kerawanan, yakni kerawanan yang timbul akibat risiko-risiko yang dapat terjadi pada aset-aset berikut:
a. Aset Hardware (lih. Tabel Lampiran 1.1.2 Analisa Kerawanan pada Aset Hardware, hal. L8)
Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset hardware.
b. Aset Software (lih. Tabel Lampiran 1.2.2 Analisa Kerawanan pada Aset Software, hal. L49)
Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset Software.
c. Aset Informasi (lih. Tabel Lampiran 1.3.2 Analisa Kerawanan pada Aset Informasi, hal. L68)
Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset Informasi.
d. Aset SDM (lih. Tabel Lampiran 1.4.2 Analisa Kerawanan pada Aset SDM, hal. L81)
Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset hardware.
4. Pengukuran Kecenderungan Nilai Risiko Dasar dan Akhir
Untuk menentukan tingkatan-tingkatan yang ada, penulis mengukur risiko-risiko yang ada pada aset-aset hardware, software, informasi dan SDM dengan menggunakan tabel Pengukuran Kecenderungan (Probability). (lih. Tabel 2.2 Tingkatan Pengkuran (Sumber:PBI), hal. 33).
5. Pengukuran Dampak
Penulis mengukur dan menganalisa risiko-risiko yang dapat terjadi dengan menggunakan tabel Klasifikasi Dampak dalam menentukan seberapa sering atau potensi gangguan yang dapat terjadi terhadap proses bisnis (transaksi) yang ada. (lih. Tabel 2.3 Klasifikasi Dampak (Sumber: PBI), hal. 34).
6. Penentuan Nilai Risiko
Dalam menentukan nilai risiko dan potensi yang dapat timbul, penulis mengukur dengan menggunakan tabel Penentuan Nilai Risiko. (lih. Tabel 2.4 Risk Register (Sumber: PBI), hal. 35).
7. Identifikasi Pengendalian yang Diimplementasikan
Sebelum penulis melakukan identifikasi pengendalian yang diimplementasikan, penulis melakukan pengumpulan data dengan metode wawancara (lih. Lampiran Wawancara, hal. LW1).
1. Aset Hardware
Pada aset hardware, penulis melakukan pengendalian dengan menganalisa kontrol-kontrol yang sudah ada pada aset-aset hardware, dan kontrol yang tidak ada pada aset-aset hardware. (lih. Tabel Lampiran 1.1.3 Identifikasi Pengendalian pada Aset Hardware, hal. L12).
2. Aset Software
Pada aset Software, penulis melakukan pengendalian dengan menganalisa kontrol-kontrol yang sudah ada pada aset-aset hardware, dan kontrol yang tidak ada pada aset-aset Software. (lih. Tabel Lampiran 1.2.3 Identifikasi Pengendalian pada Aset Software, hal. L49).
3. Aset Informasi
Pada aset Informasi, penulis melakukan pengendalian dengan menganalisa kontrol-kontrol yang sudah ada pada aset-aset Informasi, dan kontrol yang tidak ada pada aset-aset Informasi. (lih. Tabel Lampiran 1.3.3 Identifikasi Pengendalian pada Aset Informasi, hal. L66).
4. Aset SDM
Pada aset SDM, penulis melakukan pengendalian dengan menganalisa kontrol-kontrol yang sudah ada pada aset-aset SDM, dan kontrol-kontrol yang tidak ada pada aset-aset SDM. (lih. Tabel Lampiran 1.4.3 Identifikasi Pengendalian pada Aset SDM, hal. L82).
4.2.2 Analisa Proses Bisnis yang Terlibat dalam Aset TI PT Bank Sinarmas
Sebelum penulis melakukan pengukuran, penulis melakukan analisa terhadap transaksi-transaksi (proses bisnis yang berhubungan dengan nasabah PT Bank Sinarmas) yang dilakukan oleh, sebagai berikut:
4.2.2.1 Analisa Proses Bisnis Teller
Tabel 4.1 Transaksi Bagian Teller
(Ket: angka yang dimasukkan adalah nomor aset pada Risk Register) Transaksi Aset TI Hardware yang
Terlibat dengan Transaksi
Aset TI Software yang Terlibat dengan
Transaksi
Aset TI Informasi yang Terlibat dengan
Transaksi
Aset TI Sumber Daya Manusia yang Terlibat
dengan Transaksi 1) Tarik Tunai 1, 2 , 7-9, 10, 14-18, 19, 20, 21, 24, 25, 30, 31 1,2,4,8,9,10,12 1,2 1 2) Setor Tunai 1, 2 , 7-9, 10, 14-18, 19, 20, 21, 24, 25, 30, 31 1,2,4,8,9,10,12 1,2 1 3) Pemindahbukuan 1, 2 , 7-9, 10, 14-18, 19, 20, 21, 24, 25, 30, 31 1,2,4,8,9,10,12 1,2 1 4) Penjualan/Pembelian Banknotes 1, 2 , 7-9, 10, 14-18, 19, 20, 21, 24, 25, 30, 31 1,2,4,8,9,10,12 1,2 1 5) Transfer SKN 1, 2, 5, 7-9, 10, 11-13, 14-18, 19, 20, 21, 24, 25, 28, 1,2,4,5,8,9,10,12 1,2 1 85
30, 31 6) Transfer RTGS 1, 2, 6, 7-9, 10, 11-13, 14-18, 19, 20, 21, 28, 30, 31 1,2,4,5,8,9,10,12 1,2 1 7) Pembelian Travel Cheque 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 1,2,4,8,9,10,12 1,2 1 8) Penjualan Travel Cheque 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 1,2,4,8,9,10,12 1,2 1 9) Pencairan Deposito 1, 2 , 7-9, 10, 14-18, 19, 20, 21, 24, 25, 30, 31 1,2,4,8,9,10,12 1,2 1 10) Setor/Tarik Kelebihan/Kekurangan Kas 1, 2, 7-9, 10, 14-18, 19, 20, 24, 25 1,2,4,8,9,10,12 1,2 1 11) Inkaso Valas 1, 2 , 7-9, 10, 14-18, 19, 20, 21, 30, 31 1,2,4,8,9,10,12 1,2 1
12) Setor/Tarik Tunai via Fokus Group
1, 2, 6, 7-9, 10, 11-13, 14-18, 19, 20, 21, 28, 30, 31
4.2.2.2 Analisa Proses Bisnis Customer Service
Tabel 4.2 Transaksi Bagian Customer Service (Ket: angka yang dimasukkan adalah nomor aset pada Risk Register) Transaksi Aset TI Hardware yang
Terlibat dengan Transaksi
Aset TI Software yang Terlibat dengan
Transaksi
Aset TI Informasi yang Terlibat dengan
Transaksi
Aset TI Sumber Daya Manusia yang Terlibat
dengan Transaksi
1) Pendataan/Inquiry/Peruba han Info Nasabah
2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 3,6,7,10,11 1 2 2) Pembukaan Tabungan 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 3,6,7,10,11 1 2 3) Penutupan Tabungan 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 3,6,7,10,11 1,2 2 4) Pembukaan Giro 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 3,6,7,10,11 1,2 2 5) Penutupan Giro 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 3,6,7,10,11 1,2 2 87
6) Permintaan dan Penyerahan Cek/BG 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 3,6,7,10,11 1,2 2 7) Penempatan Deposito 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 3,6,7,10,11 1,2 2 8) Pencairan Deposito 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 3,6,7,10,11 1,2 2
4.2.2.3 Analisa Proses Bisnis ATM
Tabel 4.3 Transaksi Bagian ATM
(Ket: angka yang dimasukkan adalah nomor aset pada Risk Register) Transaksi Aset TI Hardware yang
Terlibat dengan Transaksi
Aset TI Software yang Terlibat dengan
Transaksi
Aset TI Informasi yang Terlibat dengan
Transaksi
Aset TI Sumber Daya Manusia yang Terlibat
dengan Transaksi
1) Tarik Tunai 44, 7-9, 10, 14-18, 19, 20, 21, 22, 23, 26, 29, 30, 31
1,2,4,8,9,10 2 -
2) Transfer (ALTO,
PRIMA, ATM Bersama)
44, 7-9, 10, 14-18, 19, 20, 21, 22, 23, 26, 29, 30, 31 1,2,4,8,9,10 2 - 3) Pemindahbukuan 44, 7-9, 10, 14-18, 19, 20, 21, 22, 23, 26, 29, 30, 31 1,2,4,8,9,10 2 - 4) Informasi Saldo on Us 44, 7-9, 10, 14-18, 19, 20, 21, 22, 23, 26, 29, 30, 31 1,2,4,8,9,10 2 -
4.2.3 Pengukuran Terhadap Data-Data yang Terkumpul
Setelah penulis melakukan Identifikasi Aset, Identifikasi Risiko dan Evaluasi Risiko yang Terkait dengan Aset, Analisa Kerawanan, Pengukuran Kecenderungan Nilai Risiko Dasar dan Akhir, Pengukuran Dampak, Penentuan Nilai Risiko, Identifikasi Pengendalian yang Diimplementasikan, dan menganalisa transaksi-transaksi yang terlibat dalam aset TI PT Bank Sinarmas, penulis melakukan pengukuran risiko-risiko pada aset-aset dari data-data yang telah terkumpul ke dalam tabel Risk Register PBI, sebagai berikut:
4.2.3.1 Pengukuran Risiko Aset Hardware
No Aset IT Deskripsi Risiko Analisa
Kerawanan
Inheren Kontrol yang Ada Residual Nilai
Risiko Dihara pkan Kecende rungan (min=1, maks=5) Dampak (min=1, maks=5) Nilai Risiko Dasar Kecende rungan (min=1, maks=5) Dampak (min=1, maks=5) Nilai Risiko Akhir 0 1 2 3 4 5 6 7 8 9 10 11 1 S1 Cashier Computer Tidak dapat melakukan beberapa transaksi karena Operating System (OS) windows pada komputer tidak berfungsi -Hardware rusak masalah Grounding -Karena daya listrik di kantor kecil sehingga tegangan listrik tidak stabil
Level 1 Level 5 High Melakukan service maintenance secara berkala oleh pihak staf TI
Level 1 Level 2 Low -
Tabel 4.4 Risk Register Hardware
2 Computer Client (Teller,CS, dan sebagainya) Tidak dapat melakukan beberapa transaksi karena Operating System (OS) windows pada komputer tidak berfungsi -Server Down -Hardware rusak karena Grounding
Level 2 Level 5 High Melakukan service maintenance secara berkala oleh pihak staf TI
Level 1 Level 1 Low Low
3 Printer Teller: SP172MC Printer tidak dapat digunakan Salah konfigurasi (salah install driver, dsb) ketika pertama kali pemasangan (installasi)
Level 2 Level 2 Low - Level 2 Level 1 Low -
Ingenico (aktivasi ATM) (biasanya Terjadi pada saat pemasangan pertama) konfigurasi (salah install driver, dsb) ketika pertama kali pemasangan (installasi) 5 Server TPU SKN (kantor cabang dan kantor pusat) Nasabah tidak dapat melakukan transaksi SKN / RDGS - Hardware rusak karena Grounding (tidak berfungsi) - Software rusak - Listrik tidak stabil - Human Error
Level 3 Level 3 Medium Masing-masing cabang KCU (tempat SKN berada), memiliki satu backup PC minimum, yg ter-register ke BI.
(saat update patch) 6 Server RTGS (kantor pusat ) Nasabah tidak dapat melakukan transfer dana RTGS dalam 1 hari - Hardware rusak karena Grounding - Software rusak - Listrik tidak stabil - Human Error (saat update patch)
Level 2 Level 3 Medium - Menyediakan back up PC - Menyediakan leased line - Menyediakan backup jaringan khusus untuk RTGS -Menyediakan juga prosedur pengetesan berkala yg dilakukan satu tahun 2 kali (dan wajib dilakukan
serta dibuatkan berita acara-nya) - Untuk RTGS, setiap kali ada perubahan versi software, juga di-pelihara CDnya, disimpan dalam SDB dan selalu disamakan versi-nya antara server production dan server backup) 7 LAN: Client to PatchPanel Kabel mudah untuk putus sehingga koneksi - Tidak memakai kabel CAT5 atau
Level 4 Level 2 Medium - Memiliki kabel LAN cadangan dan dibuatkan
putus CAT6, atau memakai kabel palsu (jadi mudah patah) - Panel berada di tembok bgn bwh jadi mudah tertendang staf panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak) - Mengatur standard untuk kontraktor (saat penarikan untuk pembukaan cabang baru) - Sebagai standard juga menyediakan kabel-kabel LAN yang dibungkus
(dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak 8 LAN: Cashier to PatchPanel Kabel mudah untuk putus sehingga koneksi putus - Tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah) - Panel berada di tembok bgn bwh jadi mudah tertendang staf
Level 4 Level 2 Medium -Memiliki kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak) - Mengatur standard untuk kontraktor (saat
penarikan kabel LAN untuk pembukaan cabang baru). - Menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak. 9 LAN: PatchPanel to Switch Kabel mudah untuk putus sehingga koneksi putus - Tidak memakai kabel CAT5 atau CAT6, atau
Level 3 Level 3 Medium - Memiliki kabel LAN cadangan dan dibuatkan panel tambahan
memakai kabel palsu (jadi mudah patah) - Panel berada di tembok bgn bwh jadi mudah tertendang staf
(agar user bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak) - Mengatur standard untuk kontraktor (saat penarikan kabel LAN untuk pembukaan cabang baru) - Menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar
tidak digigit tikus atau putus terinjak. 10 LAN: Router Juniper 2300 Kabel mudah untuk putus sehingga koneksi putus Tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah)
Level 2 Level 2 Low - Menyediakan back up hardware di regional, yang dikirimkan bila cabang ada masalah jadi satu di sumatera, satu di kalimantan (biasanya di area dimana ada masalah, backup bisa dikirimkan cepat).
Level 2 Level 1 Low -
RTGS to PatchPanel untuk putus sehingga koneksi putus memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah) -Panel berada di tembok bgn bwh jadi mudah tertendang staf LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak) - Mengatur standard untuk kontraktor (saat penarikan kabel LAN untuk pembukaan cabang baru) - Menyediakan kabel-kabel LAN
yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak. 12 KPNO LAN: Modem Leased Line RTGS Hardware tidak berfungsi sehingga tidak dapat megirim data - Hardware rusak Grounding - Listrik tidak stabil - Human Error (saat update patch)
Level 1 Level 3 Medium - Menyediakan back up PC - Menyediakan leased line - Menyediakan back up jaringan khusus untuk RTGS - Menyediakan prosedur pengetesan
berkala yg dilakukan satu tahun 2 kali (dan wajib dilakukan serta dibuatkan berita acara-nya) - Menyediakan jaringan backup dialup yang memakai modem external 13 KPNO LAN: Router Huawei Hardware tidak berfungsi sehingga tidak dapat megirim data - Hardware rusak Grounding - Listrik tidak stabil - Human Error (saat update
Level 1 Level 3 Medium - Menyediakan back up router
patch) 14 WAN : Primary Network MPLS Modem Kantor cabang tidak dapat melakukan semua transaksi Daerah kantor merupakan daerah rawan gempa
Level 3 Level 5 High - Menyediakan leased line backup sebagai kontrol
- Menggunakan setting BGP (agar bisa saling ganti, tanpa manual interference dari human) jadi jika 1 putus, langsung network-nya ganti ke jaringan yang B secara otomatis.
Level 2 Level 3 Medium Low
15 WAN: Primary Vendor Sebagian user mengalami Jaringan backhaul
Level 2 Level 3 Medium -Menggunakan aplikasi MRTG
Backhaul Router
request time out. penuh menyebabkan kemacetan / tidak ada respon. untuk memonitor secara periodik, apakah backhaul connection sudah mencapai limit kapasitas yg sudah digunakan - Menyediakan back up router disetiap cabang regional
16 WAN: Switch Seluruh koneksi dari cabang yang menggunakan provider A (XL, misalnya) putus jadi tidak bisa
Grounding hardware
Level 2 Level 4 Medium - Menyediakan back up Switch di TI
- Menyediakan back up table routing
digunakan 17 WAN: “Core Router” Juniper 2300 Semua kantor pusat, kantor cabang tidak dapat melakukan transaksi - Grounding hardware - Kapasitas hardware seberapa cepat router bisa terima dan forward package
Level 2 Level 5 High - Monitoring grounding dijaga (tidak lebih dari 1 volt)
- Menyediakan back up di kantor TI
- Menyediakan back up dari table routing
Level 1 Level 1 Low -
18 WAN: “Core Switch” Cisco 2960 Gigabit Semua kantor pusat, kantor cabang tidak dapat melakukan transaksi -Core Switch rusak -Hardware rusak karena Grounding
Level 2 Level 5 High -Monitoring grounding dijaga (tidak lebih dari 1 volt)
- Menyediakan back up di kantor
TI
- Menyediakan back up dari table routing 19 DMZ 2: Firewall Juniper Seluruh koneksi tidak dapat melintas, karena hardware ini rusak Konfigurasi dan Bug IDS di Firewall (yg menjadi fitur tambahan dari firewall)
Level 2 Level 5 High - Menyediakan network membuat firewall ini, bila gagal menjadi "standby", jadi tidak aktif, tapi bisa dilalui data saja, sampai ada ganti hardware.
Level 1 Level 1 Low -
20 DMZ 2: Switch DMZ 2
Aplikasi-aplikasi bank mati jadi tidak bisa dijalankan
Hardware rusak karena Grounding
Level 2 Level 5 High -Monitoring grounding dijaga (tidak lebih dari 1 volt)
- Menyediakan backup di kantor TI 21 DMZ 2: App. Server Temenos Semua aktivitas tidak bisa beroperasi Setiap aplikasi beda persyaratannya
Level 2 Level 5 High - Melakukan pengetesan (testing) terlebih dahulu tentang berapa memory-nya, apa OS nya
Level 1 Level 1 Low -
22 DMZ 2: App. X/Link Server
ATM tidak bisa beroperasi
Salah konfigurasi
Level 3 Level 3 Medium - Menyediakan back up Server -Menyempurna kan prosedur pengetesan, jika ada fitur baru masuk ke Temenos, atau
ada fitur baru masuk ke Xlink. 23 DMZ 2: DB.
X/Link Server
ATM tidak bisa beroperasi
-Salah konfigurasi -Hardware rusak
Level 2 Level 3 Medium - Menyediakan back up Server -Menyempurna kan prosedur pengetesan, jika ada fitur baru masuk ke Temenos, atau ada fitur baru masuk ke Xlink.
Level 1 Level 2 Low -
24 DMZ 2: App. Server S1
Cabang dapat beraktivitas tapi agak lambat dan lebih sedikit yang dapat digunakan
Salah
Programming
Level 2 Level 2 Low Menyediakan back up Server
user (keterbatasan user) 25 DMZ 2: DB. Server S1 Cabang dapat beraktivitas tapi agak lambat dan lebih sedikit yang dapat digunakan user (keterbatasan user)
Salah
Programming
Level 1 Level 3 Medium Menyediakan back up Server
Level 1 Level 1 Low -
26 DMZ 2: HSM Data-data tidak dapat diakses
Hardware rusak karena grounding
Level 1 Level 4 Medium Menyediakan back up data ke media storage lain
Level 1 Level 1 Low -
27 DMZ2 : Channeling, Wealth Management, Aktivitas internet banking tidak dapat diakses Database crash
Level 1 Level 3 Medium Menyediakan backup database
LLD (bank) 28 DMZ 2: Server Interface SKN/RTGS Semua aktivitas transfer SKN/RTGS tidak bisa beroperasi Aplikasi tidak berfungsi karena setiap aplikasi beda persyaratannya
Level 2 Level 3 Medium - Mempunyai aplikasi cadangan - Melakukan pengetesan (testing) terlebih dahulu tentang berapa memory-nya, apa OS nya.
Level 1 Level 2 Low -
29 DMZ 2: Server UMG Tidak dapat melakukan transaksi yang berhubungan dengan delivery channel
Server down Level 1 Level 3 Medium - Menyediakan backup database
Level 1 Level 2 Low -
Switch dan HBA Cable sehingga koneksi hilang memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah) -Panel berada di tembok bgn bwh jadi mudah tertendang staf back up di kantor TI 31 DMZ 2: Hitachi Storage
Data Bank hilang Staf TI yang bekerja melakukan kesalahan dalam pencabutan
Level 2 Level 5 High Menyediakan back up data ke media storage lain.
kabel 32 DMZ 1: Nokia Firewall dan IDP seluruh koneksi tidak bisa melintas, karena Hardware ini rusak Konfigurasi dan Bug IDS di Firewall (yg menjadi fitur tambahan dari firewall)
Level 2 Level 5 High - Menyediakan back up network untuk membuat firewall ini, bila gagal menjadi "standby", jadi tidak aktif, tapi bisa dilalui data saja, sampai ada ganti hardware
Level 1 Level 1 Low -
33 DMZ 1: Switch DMZ 1
Aplikasi-aplikasi bank mati jadi tidak bisa dijalankan
Hardware rusak karena Grounding
Level 1 Level 5 High - Monitoring grounding dijaga (tidak lebih dari 1 volt)
- Menyediakan back up di kantor
TI 34 DMZ 1: Server HP OpenView Tidak dapat memonitoring cabang Hardware rusak karena Grounding
Level 1 Level 3 Medium Melakukan service maintenance secara berkala oleh pihak staf TI
Level 1 Level 1 Low -
35 DMZ 1: Server RSA Tidak bisa menjalankan transaksi finansial di internet banking - Server down - Kapasitas melebihi batas maksimum
Level 3 Level 2 Low - Maintenance update patch OS, update software RSA - Menyediakan kontrol kapasitas (karena mulai mendekati kapasitas, misal 3000 token, tidak bisa dipakai utk
pelanggan baru.) 36 DMZ 1: Server Internet Banking Tidak dapat melakukan transaksi financial di aplikasi internet banking - Salah Program ming -Hardware rusak karena Grounding
Level 5 Level 2 Medium -Menyediakan back up database
Level 3 Level 1 Low -
37 DMZ 1: Server DNS+Portal Tidak dapat mencari dokumen-dokumen di portal Server rawan untuk rusak
Level 4 Level 1 Low - Menyediakan back up data
Level 2 Level 1 Low -
38 DMZ 1: Server Nokia Management Tidak dapat mengubah konfigurasi di firewall Server rawan untuk rusak
Level 2 Level 1 Low - Level 1 Level 1 Low -
39 DMZ 1: Server Juniper Tidak dapat mengubah Server rawan untuk rusak
Management konfigurasi di firewall 40 DMZ 1: Server Mantis dan Email Seluruh karyawan bank tidak bisa menerima/mengir im email
Server rawan untuk rusak
Level 1 Level 1 Low -Melakukan maintenance - Menyediakan back up data masing-masing email oleh masing-masing orang
Level 1 Level 1 Low -
41 Utility: UPS UPS tidak berfungsi jadi server juga mati
Kurangnya maintenance
Level 1 Level 4 Medium - Level 1 Level 2 Low -
42 Utility: Genset Genset tidak berfungsi sehingga pada saat listrik
Kurangnya maintenance
mati,transaksi tidak dapat dilakukan 43 Utility: AC AC mati karena
listrik padam/tidak di-maintenance (sehingga server menjadi panas) Kurangnya maintenance
Level 1 Level 4 Medium - Level 1 Level 1 Low
44 ATM Machine Nasabah tidak dapat mengambil uang/transfer/ pembayaran
Kurangnya maintenance
Level 3 Level 4 High Menyediakan alat monitoring (CCTV).
Keterangan (Tabel 4.4 Risk Register Hardware) 1. S1 Cashier Computer
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan beberapa transaksi karena Operating System (OS) windows pada komputer tidak berfungsi. Analisa kerawanannya adalah sebagian atau keseluruhan hardware rusak masalah grounding, karena daya listrik di kantor kecil sehingga tegangan listrik tidak stabil. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah melakukan service maintenance secara berkala oleh staf TI. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
2. Computer Client (komputer yang dipakai di Teller, Customer Service, dan sebagainya)
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan beberapa transaksi karena Operating System (OS) windows pada komputer tidak berfungsi Analisa kerawanannya adalah server down, terkena virus, hardware rusak karena grounding. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi
TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah dengan melakukan service maintenance secara berkala oleh staf TI. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
3. Printer Teller: SP172MC
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Printer tidak dapat digunakan. Analisa kerawanannya adalah karena salah konfigurasi (salah install driver, dsb) ketika pertama kali pemasangan (installasi). Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah tidak ada. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
4. Pinpad Teller Ingenico (aktivasi ATM)
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak berfungsi (biasanya Terjadi pada saat pemasangan pertama). Analisa kerawanannya adalah karena salah konfigurasi (salah install driver, dsb) ketika pertama kali
pemasangan (installasi). Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah tidak ada. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
5. Server TPU SKN (kantor cabang dan kantor pusat)
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah nasabah tidak dapat melakukan transfer dana (transaksi dimana nasabah dapat mengirim uang lebih dari satu hari). Analisa kerawanannya adalah hardware rusak karena grounding (maka tidak berfungsi), driver / software rusak, listrik tidak stabil, Human Error (saat update patch), terkena virus. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah masing2 cabang KCU (tempat SKN berada), memiliki satu backup PC minimum, yg ter-register ke BI. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
6. Server RTGS (kantor pusat)
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah nasabah tidak dapat melakukan transfer dana RTGS dalam satu hari karena hardware tidak berfungsi, juga karena Human Error (saat update patch). Analisa kerawanannya adalah hardware rusak, driver atau software rusak, listrik tidak stabil. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah adanya back up PC, ada leased line serta back up jaringan khusus untuk RTGS, juga ada prosedur pengetesan berkala yg dilakukan satu tahun 2x (dan wajib dilakukan serta dibuatkan berita acaranya), untuk RTGS, setiap kali ada perubahan versi software, juga di-pelihara CDnya, disimpan dalam SDB dan selalu disamakan versi-nya antara server production dan server back up) dengan melakukan maintenance back up tiga kali dalam satu tahun. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
7. LAN: Client to Patch Panel
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok tidak disengaja tertendang staf. Pada penilaian inheren,
kecenderungannya ada pada level 4, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah memiliki kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), mengatur standard untuk kontraktor (saat penarikan untuk pembukaan cabang baru), dan sebagai standard juga, seluruh kabel2 itu harus dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
8. LAN: Cashier to Patch Panel
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok tidak disengaja tertendang staf. Pada penilaian inheren, kecenderungannya ada pada level 4, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah memiliki kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), set standard untuk kontraktor (saat penarikan untuk pembukaan cabang
baru) dan sebagai standard juga, seluruh kabel2 itu harus dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
9. LAN: Patch Panel to Switch
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok tidak disengaja tertendang staf. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), set standard untuk kontraktor (saat penarikan untuk pembukaan cabang baru) dan menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
10. LAN: Router Juniper 2300
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah). Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up hardware di regional, yang dikirimkan bila cabang ada masalah jadi satu di sumatera, satu di kalimantan (biasanya di area dimana ada masalah, backup bisa dikirimkan cepat). Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
11. KPNO LAN : RTGS to Patch Panel
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok tidak disengaja tertendang staf. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank
Sinarmas adalah memiliki kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), mengatur standard untuk kontraktor (saat penarikan kabel LAN untuk pembukaan cabang baru), menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
12. KPNO LAN: Modem Leased Line RTGS
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi hardware tidak berfungsi. Analisa kerawanannya adalah hardware rusak karena Grounding, listrik tidak stabil, human Error (saat update patch). Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 1, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah adanya menyediakan back up PC, menyediakan leased line, menyediakan back up jaringan khusus untuk RTGS, menyediakan prosedur pengetesan berkala yg dilakukan satu tahun 2 kali (dan wajib dilakukan serta dibuatkan berita acara-nya), menyediakan jaringan backup dialup yang memakai modem external. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
13. KPNO LAN: Router Huawei
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah hardware tidak berfungsi. Analisa kerawanannya adalah hardware rusak karena Grounding, listrik tidak stabil, human Error (saat update patch). Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up router. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
14. WAN : Primary Network MPLS Modem
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kantor cabang tidak dapat melakukan transaksi. Analisa kerawanannya adalah gempa di laut tempat kantor cabang daerah. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah disediakan line leased line back up sebagai kontrol, dan digunakan setting BGP (agar bisa saling ganti, tanpa manual interference dari human) jadi jika 1 putus, langsung network-nya ganti ke jaringan yang B otomatis. Pada penilaian residual,
kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko akhirnya adalah Medium. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
15. WAN: Primary Backhaul Router
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah sebagaian user mengalami request time out. Analisa kerawanannya adalah Jaringan backhaul penuh menyebabkan kemacetan/tidak ada respon. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menggunakan aplikasi MRTG untuk memonitor secara periodik, apakah backhaul connection sudah mencapai limit apasitas yg sudah digunakan, menyediakan back up router disetiap cabang regional. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
16. WAN: Switch
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah seluruh koneksi dari cabang yang menggunakan provider A (XL, misalnya) putus jadi tidak bisa digunakan. Analisa kerawanannya adalah Grounding hardware. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 4, maka
nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah ada backup switch di TI, dan ada backup table routing juga. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
17. WAN: “Core Router” Juniper 2300
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah grounding hardware, kapasitas hardware seberapa cepat router bisa terima dan forward package. Analisa kerawanannya adalah hardware rusak, driver rusak. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah monitoring grounding dijaga (tidak lebih dari 1 volt), back up tersedia di kantor TI Bank, back up dari routing table. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
18. WAN: “Core Switch” Cisco 2960 Gigabit
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan aktivasi ATM. Analisa kerawanannya adalah hardware rusak, driver rusak. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Menyewa komputer berikut OS agar komputer/komponen komputer yg rusak, segera diganti oleh pihak penyedia jasa (vendor). Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah monitoring grounding dijaga (tidak lebih dari 1 volt), menyediakan back up di kantor TI, menyediakan back up dari table routing. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
19. DMZ 2: Firewall Juniper
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah seluruh koneksi tidak dapat melintas, karena hardware ini rusak. Analisa kerawanannya adalah konfigurasi dan Bug IDS di Firewall (yg menjadi fitur tambahan dari firewall). Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah
menyediakan network membuat firewall ini, bila gagal menjadi “standby”, jadi tidak aktif, tapi bisa dilalui data saja, sampai ada ganti hardware. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
20. DMZ 2: Switch DMZ 2
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah aplikasi-aplikasi bank mati jadi tidak bisa dijalankan. Analisa kerawanannya adalah hardware rusak karena Grounding. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah monitoring grounding dijaga (tidak lebih dari 1 volt), back up tersedia di kantor TI Bank. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
21. DMZ 2: App. Server Temenos
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah semua aktivitas tidak bisa beroperasi. Analisa kerawanannya adalah setiap aplikasi beda persyaratannya. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil
identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah melakukan pengetesan terlebih dahulu tentang berapa memory-nya, apa OS nya. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
22. DMZ 2: App. X/Link Server
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah ATM tidak bisa beroperasi.. Analisa kerawanannya adalah Salah konfigurasi. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up server, menyempurnakan prosedur pengetesan, jika ada fitur baru masuk ke Temenos, atau ada fitur baru masuk ke Xlink. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
23. DMZ 2: DB. X/Link Server
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah ATM tidak bisa beroperasi. Analisa kerawanannya adalah salah konfigurasi, hardware
rusak. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up server, menyempurnakan prosedur pengetesan, jika ada fitur baru masuk ke Temenos, atau ada fitur baru masuk ke Xlink. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
24. DMZ 2: App. Server S1
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Cabang dapat beraktivitas tapi agak lambat dan lebih sedikit yang dapat digunakan user (keterbatasan user). Analisa kerawanannya adalah Salah Programming. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan backup server. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
25. DMZ 2: DB. Server S1
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan aktivasi ATM. Analisa kerawanannya adalah hardware rusak, driver rusak. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up server. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
26. DMZ 2: HSM (Hierarchical Storage Management)
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Data-data tidak dapat diakses. Analisa kerawanannya adalah hardware rusak. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 4, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up data ke media storage yang lain. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
27. DMZ 2: Channeling, Wealth Management, LLD (Bank)
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Aktivitas internet banking tidak dapat diakses. Analisa kerawanannya adalah Database crash. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up database. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
28. DMZ 2: Server Interface SKN/RTGS
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah semua aktivitas transfer SKN/RTGS tidak bisa beroperasi. Analisa kerawanannya adalah aplikasi tidak befungsi karena setiap aplikasi beda persyaratannya. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah mempunyai aplikasi cadangan, melakukan pengetesan terlebih tentang berapa memory-nya, apa OS nya. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level
2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
29. DMZ 2: Server UMG
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Tidak dapat melakukan transaksi yang berhubungan dengan delivery channel. Analisa kerawanannya adalah Server down. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up database. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
30. DMZ 2: SAN Switch dan HBA Cable
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok tidak sengaja tertendang staf. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam
perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up tersedia di kantor TI Bank. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
31. DMZ 2: Hitachi Storage
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Data Bank hampir hilang. Analisa kerawanannya adalah staf salah cabut kabel dan salah cabut lagi (sampai lebih dari 2 kali). Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up data ke media storage lain. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
32. DMZ 1: Nokia Firewall dan IDP
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah seluruh koneksi tidak bisa melintas, karena Hardware ini rusak. Analisa kerawanannya adalah konfigurasi dan Bug IDS di Firewall (yg menjadi fitur tambahan dari firewall). Pada penilaian inheren, kecenderungannya ada pada level 2, dan
dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan network membuat firewall ini, bila gagal menjadi “standby”, jadi tidak aktif, tapi bisa dilalui data saja, sampai ada ganti hardware. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
33. DMZ 1: Switch DMZ 1
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah aplikasi-aplikasi bank mati jadi tidak bisa dijalankan. Analisa kerawanannya adalah hardware rusak karena grounding. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah monitoring grounding dijaga (tidak lebih dari 1 volt), backup tersedia di kantor TI Bank. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
34. DMZ 1: Server HP OpenView
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat memonitoring cabang. Analisa kerawanannya adalah hardware rusak karena grounding. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah melakukan service maintenance secara berkala oleh staf TI. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
35. DMZ 1: Server RSA
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak bisa menjalankan transaksi finansial di internet banking. Analisa kerawanannya adalah server down, kapasitas melebihi batas maksimum. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah maintenance update patch OS, update software RSA, maintenance dengan pihak RSA), menyediakan kontrol kapasitas (karena mulai mendekati kapasitas, misal 3000 token, tidak bisa dipakai utk pelanggan baru.). Pada penilaian
residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
36. DMZ 1: Server Internet Banking
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan transaksi financial di aplikasi Internet Bank. Analisa kerawanannya adalah salah programming, hardware rusak karena grounding. Pada penilaian inheren, kecenderungannya ada pada level 5, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up database. Pada penilaian residual, kecenderungannya ada pada level 3, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
37. DMZ 1: Server DNS+Portal
Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat mencari dokumen-dokumen di portal. Analisa kerawanannya adalah server rusak. Pada penilaian inheren, kecenderungannya ada pada level 4, dan dampaknya pada level 1, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam