Harpananda Eka Sarwadhamana/

(1)

Progress

8

(2)

Pengumpulan Data

Identifikasi Permasalahan

 Hasil

an

didapatkan pada tahap ini telah

 Hasil yang didapatkan pada tahap ini telah

dicantumkan pada bab I

9

(3)

Pengumpulan Data

Studi Literatur

 Hasil

an

didapatkan pada tahap ini telah

 Hasil yang didapatkan pada tahap ini telah

dicantumkan pada bab II

10

(4)

PENGUMPULAN DATA

Observasi

Observasi dilakukan dengan pengamatan secara

langsung pada KPPN Surabaya I sehingga diketahui

kondisi nyata dari KPPN Surabaya I, khususnya observasi

terhadap aset pendukung operasional terutama SDM di

KPPN S

b

I

KPPN Surabaya I

Melalui tahapan observasi yang telah dilakukan

diperoleh informasi mengenai aset‐aset pendukung

operasional yang digunakan sebagai pengolah informasi

di KPPN Surabaya I

(5)

Wawancara

Wawancara dilakukan terhadap Kepala Sub Bagian Umum dan

beberapa pegawai pelaksana KPPN Surabaya I yang dalam

pelaksanaan tugasnya sehari‐hari berhubungan langsung dengan

pelaksanaan tugasnya sehari hari berhubungan langsung dengan

perasalahan pengolahan dan keamanan informasi di KPPN Surabaya I

Melalui tahapan wawancara diperoleh informasi mengenai tugas

pokok dan fungsi masing‐masing bagian di KPPN Surabaya I,

penggunaan dan permasalahan aset pendukung operasional

terutama perangkat pengolah informasi hasil observasi, serta

permasalahan dan ancaman/risiko yang berkaitan dengan keamanan

i f

i

informasi

(6)

Wawancara

 Data :

• Kesadaran pegawai mengenai keamanan TI • Latar belakang pegawai mengenai TILatar belakang pegawai mengenai TI

• Pendidikan dan pelatihan pegawai di bidang TI

• Peran dan tanggung jawab pegawai mengenai keamanan TI • Kebijakan penunjukan dan penempatan pegawai

• Kebijakan penunjukan dan penempatan pegawai

 Objek :

• Kepala Kantorp • Kepala Seksi • Supervisor • Pelaksana • Pelaksana

(7)

ANALISIS DATA

IDENTIFIKASI RISIKO

ANALISIS RISIKO

PENENTUAN TUJUAN KONTROL

(8)

IDENTIFIKASI RISIKO

Langkah 1 : Identifikasi aset

Aset yang diidentifikasi dalam tugas akhir ini adalah aset pendukung yang Aset yang diidentifikasi dalam tugas akhir ini adalah aset pendukung yang berhubungan dengan kontrol SDM di KPPN Surabaya I

No

Jenis Aset

Nama Aset

1 Manusia

 Kepala Kantor

1 Manusia

Kepala Kantor

 Kepala Seksi

 Supervisor

 Pelaksana

(9)

Identifikasi Risiko (cont’d)

Identifikasi Risiko (cont d)

Langkah 2 : Menghitung nilai aset

Menghitung nilai aset adalah menghitung nilai informasi yang dimiliki oleh KPPN Surabaya I berkaitan dengan aset yang telah teridentifikasi dengan pendekatan tiga aspek keamanan informasi yaitu kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability)

Penentuan nilai confidentiality :

Nilai Aset (NA) = NC + NI + NV

Kriteria aset NC Public 1

Internal Use Onlyy 2

Secret 3 Penentuan nilai integrity :

Tabel penentuan nilai availibility :

Kriteria aset NV g y Kriteria aset NI No impact 1 Mi di t b 2 Kriteria aset NV Low availability 1 Medium availability 2 Minor disturbance 2 Mayor disturbance 3 High availability 3

(10)

NILAI ASET

Nilai

No

Aset

Kriteria

Aset

Nilai

Confidentiality

Nilai

Integrity

Nilai

Availability

(NC+NI

+NV)

Confidentiality

Integrity Availability +NV)

(NC)

(NI)

(NA)

1 Kepala Kantor

2

1

4

2 Kepala Seksi

2

1

4

3 P t

3

9

3 Petugas

Supervisor

3

9

4 Pelaksana

1

2

5

4 Pelaksana

1

2

5

(11)

Identifikasi Risiko (cont’d)

Langkah 3 : Mengindentifikasi ancaman dan kelemahan yang

dimiliki oleh aset

Dilakukan untuk melakukan identifikasi ancaman dan kelemahan yang dimiliki olehy g informasi sehingga dapat menimbulkan ancaman terhadap aset yang telah

teridentifikasi.

Klasifikasi probabilitas :

Low : Nilai probabilitas 0,1 – 0,3 Medium : Nilai probabilitas 0,4 – 0,6 Highg : Nilai probabilitas 0,7 – 1,0p , ,

Nilai Ancaman (NT) = ∑ PO / ∑ Ancaman

Nilai Ancaman (NT) ∑ PO / ∑ Ancaman

Harpananda Eka Sarwadhamana/5209108717

(12)

J i P b bilit Nil i P b bilit

Kepala Kantor

Ancaman Jenis Kejadian Probabilitas Nilai Probabilitas (ancaman/kelemahan) (low/med/high) (PO)

Mutasi Ancaman 1 Low 0,1,

kurangnya pelatihan

keamanan Kelemahan 20 High 1

Penyalahgunaan Penyalahgunaan software dan hardware

Kelemahan 0 Low 0

Kurangnya kesadaran g y _Kelemahan ₂₀ _High ₁

Kurangnya kebijakan

mengenai keamanan Kelemahan 20 High 1

informasi

Kesalahan dalam

penggunaan Ancaman 0 Low 0

Penggunaan peralatan secara ilegal

Ancaman 0 Low 0

19

(13)

Kepala Seksi

Ancaman

Jenis

Kejadian

Probabilitas Nilai Probabilitas (ancaman/kelemahan) (low/med/high) (PO)

Mutasi Ancaman 0 Low 0

kurangnya pelatihan

Penyalahgunaan

software dan hardware Kelemahan 20 Low 0

Kurangnya kesadaran _Kelemahan ₀ _High ₁

Kurangnya kebijakan mengenai keamanan i f i Kelemahan 20 High 1 informasi Kesalahan dalam

penggunaan Ancaman 20 Low 0

Penggunaan peralatan

secara ilegal Ancaman 0 Low 0

Penyalahgunaan hak Ancaman 0 Low 0

20

(14)

Supervisor

Mutasi Kelemahan 0 Low 0

Rotasi Kelemahan 0 Low 0

Kerusakan Data Ancaman 2 Low 0,1

Kehilangan Data Ancaman 0 Low 0

Anti virus tidak

terupdate Kelemahan 2 Low 0,1

terupdate

Data lupa di-backup Kelemahan 0 Low 0

K k P k t Kerusakan Perangkat

Server Ancaman 0 Low 0

Kerusakan Jaringan Ancaman 6 Low 0,3

(15)

Supervisor

kurangnya pelatihan kurangnya pelatihan

Penyalahgunaan

software dan hardware Kelemahan 1 Low 0,3*

so a e da a d a e Kurangnya kesadaran

keamanan Kelemahan 0 Low 0

K k i Kurangnya mekanisme pemantauan kemanan informasi Kelemahan 20 High 1 Kurangnya kebijakan Kurangnya kebijakan mengenai keamanan informasi Kelemahan 20 High 1

Penggunaan peralatan _Ancaman ₀ _Low ₀

secara ilegal Ancaman 0 Low 0

Penyalahgunaan hak Ancaman 0 Low 0

(16)

Pelaksana

Ancaman

Jenis

Kejadian

Probabilitas Nilai Probabilitas (ancaman/kelemahan) (low/med/high) (PO)

Mutasi Kelemahan 0 Low 0

Rotasi Kelemahan 0 Low 0

Masuknya virus Ancaman 18 High 0 9

Masuknya virus Ancaman 18 High 0,9

Penyalahgunaan

perangkat informasi Kelemahan 10 Low 0,3**

Tersebarnya hak akses Kelemahan 25 High 0,7**

Hak akses karyawan

yang berhenti tidak Kelemahan 20 Low 1

yang berhenti tidak dihapus

Kelemahan 20 Low 1

kurangnya pelatihan _Kelemahan ₂₀ _High ₁

Kurangnya kesadaran

keamanan Kelemahan 30 High 0,8**

23

(17)

Pelaksana

Ancaman Jenis Kejadian Probabilitas

Nilai Probabilitas (ancaman/kelemahan) (low/med/high) (PO) (ancaman/kelemahan) (low/med/high) (PO)

Penggunaan peralatan secara ilegal Ancaman 0 Low 0,0 ilegal Penyalahgunaan

hak Ancaman 0 Low 0,0

(18)

Dari data ancaman dan kelemahan aset tersebut kemudian ditentukan nilai rerata probabilitas dan nilai ancaman terhadap aset

Aset ∑ PO ∑ Ancaman Nilai Ancaman (NT) K l K 8 3 1 0 38 Kepala Kantor 8 3,1 0,38 K l S k i 8 3 0 0 38 Kepala Seksi 8 3,0 0,38 Supervisor 3,8 15 0,25 Pelaksana 4,6 10 0,46

(19)

Analisis Risiko

Langkah 1 : Melakukan analisa dampak bisnis

(Business Impact Analysis/BIA)

BIA menggambarkan seberapa tahan proses bisnis didalam organisasi berjalan jika aset yang dimiliki terganggu

Tabel skala nilai BIA :

Batas toleransi

Keterangan

Nilai Skala

Batas toleransi

gangguan

Keterangan

Nilai Skala

< 1 minggu

Not critical

0 1 – 2 hari

Minor critical

1 < 1 hari

Mayor critical

2 < 12 jam

High critical

3 < 12 jam

High critical

3 < 1 jam

Very high critical

4

(20)

NILAI BIA

Aset

Dampak

Nilai BIA

Aset

Dampak

Nilai BIA

Kepala Kantor pelayanan menjadi lebih lambat karena posisi

approval luaran sistem digantikan oleh pejabat

sementara (pjs) atau pelaksana tugas (plt)

1 Kepala Seksi pelayanan menjadi lebih lambat karena posisi

approval luaran sistem digantikan oleh pejabat

sementara (pjs) atau pelaksana tugas (plt)

1 Supervisor Tidak adanya pengawas sistem database & 3 Supervisor Tidak adanya pengawas sistem, database &

jaringan sehingga apabila terjadi error atau miss tidak dapat diperbaiki dengan segera sehingga operasional kantor terhambat

3

Pelaksana  waktu pelayanan menjadi lebih lama karena beban kerja bertambah

 Kurangnya kesadaran keamanan informasi dapat menyebabkan sistem terganggu

2 dapat menyebabkan sistem terganggu

sehingga penyelesaian pekerjaan menjadi terhambat

(21)

Analisis Risiko (cont’d)

Langkah 2 : Mengidentifikasi level risiko (risk level)

(

)

Merupakan tingkat risiko yang timbul jika dihubungkan dengan dampak dan probabilitas yang mungkin timbul

Masing‐masing sudut pandang pengukuran memiliki kriteria dan bobot yang berbeda.

bobot yang berbeda.

Untuk probabilitas terjadinya ancaman dibagi kedalam tiga level pembobotan yaitu :

0 < Low probability < 0.1

0.1 < Medium probability < 0.5 0.5 < High probability < 1.0

Sedangkan untuk dampak terjadinya risiko dibagi kedalam lima level pembobotan yaitu :

• Not critical impact = 0 • Not critical impact = 0 • Low critical impact = 1 • Medium critical impact = 2 • High critical impactHigh critical impact = 3= 3 • Very high critical impact = 4

(22)

Matriks Level Risiko

Probabilitas

Dampak bisnis

Ancaman

p

Not critical

(0)

Minor

critical

Mayor

Critical

High

Critical

Very high

critical

(1)

(2)

(3)

(4)

Low (0,1)

0 x 0

0 (low)

0 x 1

0,1 (low)

0 x 2

0,2 (low)

0 x 3

0,3 (low)

0 x 4

0,4 (low)

Medium (0,5)

0,5 x 0

0 (low)

0,5 x 1

0,5 (med)

0,5 x 2

1 (med)

0,5 x 3

1,5 (med)

0,5 x 4

2 (med)

High (1,0)

1 x 0

0 (med)

1 x 1

1 (med)

1 x 2

2 (high)

1 x 3

3 (high)

1 x 4

4 (high)

(23)

Berdasarkan matriks tersebut nilai BIA dapat disesuaikan dan dapat

dib t l l i ik t k i i t

dibuat level risiko untuk masing‐masing aset

No

Aset

Nilai

Probabilitas

Nilai BIA

1 Kepala Kantor

1 0 5

0 5

1 Kepala Kantor

1 0,5

0,5

2 Kepala Seksi

1 0,5

0,5

3 Petugas Supervisor

3 0,5

1,5

4 P l k

2 0 5

1

4 Pelaksana

2 0,5

1

(24)

Analisis Risiko (cont’d)

Langkah 3 : Menentukan risiko diterima atau perlu pengelolaan

risiko

Analisis Risiko (cont d)

Nilai risiko (risk value) dihitung dengan rumus :

k

l

Risk Value = NA x BIA x NT

No Aset Nilai Aset (NA) Nilai Ancaman (NT) Nilai BIA Nilai Risiko (NT) 1 Kepala Kantor 4 0,38 0,5 0,76 2 Kepala Seksip 4 0,380,38 0,5, 0,750,75 3 Petugas Supervisor 9 0,25 1,5 3,38 4 Pelaksana 5 0,46 1 2,31

(25)

Setelah nilai risiko diperoleh maka selanjutnya level risiko dapat ditentukan. Level risiko dapat diketahui dengan menyesuaikan nilai risiko ke dalam matriks level risiko.

No Aset Nilai

Risiko

Level Risiko Risiko Risiko

1 Kepala Kantor 0,76 Medium

2 Kepala Seksi 0,75 Medium

3 Petugas Supervisor 3,38 High

4 Pelaksana 2,31 High

(26)

Berdasarkan pengukuran level risiko dengan indikator perkiraan probabilitas danp g g p p dampaknya, dapat diketahui bahwa risiko‐risiko yang perlu dibuat prosedur

pengendaliannya adalah risiko yang menempati level nilai tinggi (high), berdampak besar dan kontrol yang ada belum dapat menanggulangi risiko tersebut

Aset KPPN Surabaya I yang akan dibuat prosedur kontrolnya : 1. Supervisor

2. Pelaksana

(27)

Penentuan Tujuan Kontrol

k

l

d

k

d l h h

l

l h

Tujuan kontrol yang digunakan adalah hasil pemilihan tujuan

kontrol pada Annex A ISO/IEC 27001:2005 yang disesuaikan

dengan ancaman risiko pada klausul SDM (klausul 8)

Tujuan kontrol kemudian dijadikan dasar untuk membuat

prosedur kontrol guna mencegah dan mengelola ancaman

p

g

risiko.

(28)

SDM

Tujuan Kontrol :

SDM

Tujuan Kontrol :

Klausul : 8 Keamanan Sumber Daya Manusia

Kategori Keamanan Utama : 8 1 Sebelum menjadi pegawai Kategori Keamanan Utama : 8.1 Sebelum menjadi pegawai Objektif Kontrol :

Untuk memastikan bahwa pegawai memahami tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimalkan risiko pencurian atau kesalahan dalam penggunaan fasilitas informasi.

8.1.1 Aturan dan tanggung jawab

keamanan

Kontrol :

Aturan-aturan dan tanggung jawab keamanan dari pegawai harus didefinisikan, didokumentasikan sesuai dengan kebijakan Keamanan Informasi organisasi

kebijakan Keamanan Informasi organisasi

8.1.2 Seleksi Kontrol :

Pemeriksaan (screening) terhadap pegawai harus dilakukan pada saat pegawai melapor untuk melaksanakan tugas di kantor, pemeriksaan harus sesuai dengan hukum, golongan, kebutuhan persyaratan bisnis, klasifikasi informasi yang akan diakses pegawai dan resiko yang mungkin dihadapi oleh organisasi

oleh organisasi.

8.1.3 Persyaratan dan kondisi yang

harus dipenuhi oleh pegawai.

Kontrol :

Bahwa calon pegawai harus setuju dengan persyaratan dan kondisi yang ditetapkan organisasi dan harus menjadi bagian dengan kontrak kerja/pakta pegawai

(29)

SDM

Tujuan Kontrol :

SDM

Tujuan Kontrol :

Kategori Keamanan Utama : 8.2 Selama menjadi pegawai Obj k if K l

Objektif Kontrol :

Untuk memastikan bahwa pegawai memahami Keamanan Informasi yang telah ditetapkan demi mengurangi terjadinya kesalahan kerja (human error) dan resiko yang telah dicapai organisasi.

8.2.1 Tanggung jawab manajemengg g j j Kontrol :

Manajemen harus mensyaratkan seluruh pegawai untuk mengaplikasikan Keamanan Informasi sesuai dengan kebijakan dan prosedur Keamanan Informasi yang telah dib

dibangun

8.2.2 Pendidikan dan pelatihan

Keamanan Informasi

Kontrol :

Seluruh pegawai dalam organisasi harus mendapat pelatihan yang cukup dan relevan sesuai deskripsi kerja masing-masing

y g p p j g g

tentang kepedulian Keamanan Informasi. Hal ini dilakukan secara reguler sesuai dengan perubahan kebijakan dan prosedur di organisasi.

8 2 3 k di li

8.2.3 Proses kedisplinan. Kontrol :

Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga Keamanan Informasi

(30)

SDM

Tujuan Kontrol :

SDM

Tujuan Kontrol :

Kategori Keamanan Utama : 8.3 Pemberhentian atau pemindahan pegawai Obj ktif K t l

Objektif Kontrol :

Untuk memastikan bahwa pegawai yang berhenti atau pindah dilakukan sesuai prosedur yang benar.

8.3.1 Tanggung jawab

pemberhentian

Kontrol :

Tanggung jawab pemberhenti-an atau pemindahan pemberhentian Tanggung jawab pemberhenti an atau pemindahan

pegawai harus didefinisikan dan ditunjuk dengan jelas

8.3.2 Pengembalian aset Kontrol :

Seluruh pegawai harus mengembalikan semua aset organisasi yang dipakai saat mereka dinyatakan berhenti atau dipindahkan menurut perjanjian/pakta yang ditandatangani pegawai sebelumnya.

8.2.3 Penghapusan . Kontrol :

Hak akses pegawai terhadap Informasi dan fasilitas peemrosesan Informasi harus dihapus sejak mereka dinyatakan berhenti atau dipindahkan.