Satu yang terkenal diantaranya adalah metode OCTAVE.

(1)

BAB 4

HASIL DAN PEMBAHASAN PENG UKURAN RES IKO TI

4.1 Latar Belakang Pembahasan

Saat ini, Teknologi informasi menjadi hal yang berharga bagi kebanyakan perusahaan. Karena bagaimanapun, banyak perusahaan yang menjalankan strategi keamanan dengan memfokuskan diri pada kelemahan infrastrukt ur, dan perusahaan gagal menetapkan akibat terhadap aset informasi yang paling penting milik mereka. Hal ini menimbulkan kesenjangan antara operasional perusahaan dengan persyaratan teknologi informasi sehingga menempatkan aset dalam resiko. Banyak pendekatan manajemen resiko keamanan informasi yang tidak lengkap, sehingga perusahaan gagal mencakup seluruh komponen resiko. Banyak perusahaan kemudian menyewa konsultan untuk mengevaluasi resiko keamanan informasi dalam perusahaan. Hasilnya mungkin tidak sesuai dengan perspektif perusahaan tersebut. Perkiraan risiko yang dilakukan sendiri oleh perusahaan yang bersangkutan memberikan pengetahuan untuk memahami resiko dan membuat keputusan yang tepat.

Sebagaimana telah dibahas pada bab sebelumnya, perkiraan risiko memegang peranan penting dalam penerapan sistem manajemen keamanan informasi. Ada banyak metode yang dapat digunakan untuk melaksanakan perkiraan risiko karena banyaknya pendekatan metode untuk melakukan pengukuran risiko keamanan teknologi informasi. Satu yang terkenal diantaranya adalah metode OCTAVE.

(2)

Untuk mengumpulkan data-data yang dibut uhkan pada penelitian ini, maka penulis melakukan wawancara dengan pihak HRD dan pihak TI dengan upaya unt uk mengetahui risiko-risiko apa saja yang terjadi atau kem ungkinan terjadi pada perusahaan. Metode OCTAVE tersebut terdiri dari 3 tahap, yaitu: (1) Mem bangun aset berbasis profil ancaman; (2) Mengidentifikasi kerentanan infrastrukt ur; (3) Mengem bangkan strategi keamanan dan perencanaan. Dari ketiga tahap tersebut didalamnya terdapat 5 proses yang terdiri dari 16 aktifitas dan 30 langkah.

Lima proses tersebut yaitu: (1) Mengidentifikasi informasi organisasi, yang terdiri dari 3 aktifitas dan 4 langkah; (2) Membuat profil ancaman, yang terdiri dari 3 aktifitas dan 12 langkah; (3) Memeriksa perhit ungan infrastruktur yang berhubungan dengan aset kritis, yang terdiri dari 2 aktifitas dan 5 langkah; (4) Identifikasi dan analisis risiko, yang terdiri dari 3 aktifitas dan 3 langkah; (5) Mengem bangkan strategi perlindungan dan rencana mitigasi, yang terdiri dari 5 aktifitas dan 6 langkah.

4.2 Praktek Keamanan Perusahaan

Hasil analisis praktek keamanan pada PT Esham Dima Mandiri, yait u: 1. Kesadaran Keamanan dan Pelatihan

Saat ini, kesadaran keamanan dan pelatihan di PT Esham Dima Mandiri masih kurang baik, dikarenakan kurangnya pelatihan mengenai keamanan karyawan secara rutin, karena pelatihan hanya adakan unt uk karyawan baru saja. Dan walaupun karyawan

(3)

telah memahami peran keamanan dan tanggung jawab masing-masing namun hal tersebut tidak didokumentasikan dan diverifikasi secara jelas.

2. Strategi Keamanan

Strategi bisnis yang dimiliki oleh PT Esham Dima Mandiri selalu mempertimbangkan segi keamanan, segi tujuan dan sasaran perusahaan. Strategi keamanan, tujuan dan sasaran perusahaan tersebut telah didokumentasikan dan dikaji serta diperbaharui sekaligus dikomunikasikan. Namun, hal tersebut tidak dilakukan secara rutin karena pembahasan mengenai strategi keamanan akan dibahas secara detail pada saat periodik tertentu saja.

3. Manajemen Keamanan

Perusahaan sudah memiliki pengalokasikan dana dan sumberdaya yang cukup untuk aktivitas keamanan informasi perusahaan. Dan peran keamanan dan tanggung jawab sudah dijelaskan kepada sem ua karyawan. Sebagian karyawan telah melaksanakan dengan baik tugas dan tanggung jawab yang berkaitan dengan keamanan informasi.

Pengawasan dilakukan untuk semua karyawan dalam menyajikan informasi, dimana pengawasan tersebut memiliki prosedur otorisasi yang telah didokumentasikan dan ditetapkan oleh perusahaan. Perusahaan telah memiliki kebijakan dan prosedur penghentian kerja terhadap pihak karyawan yang terlibat dalam permasalahan keamanan informasi. Nam un, sejauh ini perusahaan belum melakukan penilaian risiko terhadap

(4)

keamanan informasi. dan apabila terjadi risiko maka divisi IT yang akan langsung mengambil langkah-langkah dalam meminimalkan risiko keamanan informasi tersebut. 4. Peraturan dan Kebijakan Keamanan

Perusahaan telah mendokumentasikan peraturan dan kebijakan keamanan, dimana peraturan dan kebijakan ini selalu ditinjau dan diperbaharui secara berkala, tetapi tidak dikaji secara menyeluruh. Sebagian perat uran dan kebijakan keamanan hanya dikomunikasikan tetapi tidak didokumentasikan. Kebijakan dan peraturan keamanan informasi yang ada diperusahaan telah dievaluasi sesuai dengan penerapan hukum dan perat uran serta kebutuhan asuransi, nam un hasil evaluasi tersebut tidak didokumentasikan. Dan sejauh ini, perusahaan juga telah menyeragamkan penyelenggaraan kebijakan keamanan dan pemberlakuan peraturan diperusahaan dengan baik.

5. Kolaborasi Manajemen Keamanan

Perusahaan telah memiliki kebijakan dan prosedur dalam bekerja sama dengan perusahaan lain, misalnya: melindungi informasi milik perusahaan lain, memahami kebijakan keamanan dan prosedur perusahaan lain serta membatasi akses bagi pihak yang tidak berkepentingan. Perusahaan juga mempunyai mekanisme formal unt uk diverifikasi ke semua pihak dalam perusahaan mengenai persyaratan kerja sama dengan pihak perusahaan lain.

Dokumen informasi didalam perusahaan digunakan unt uk melindungi kebut uhan-kebut uhan dan untuk diberitahukan kepada aspek-aspek tertentu yang

(5)

berkaitan dengan dokumen tersebut. Perusahaan juga mempunyai kebijakan dan prosedur sebagai persyaratan untuk bekerja sama dengan perusahaan yang lain yang hanya sebatas memberikan kesadaran keamanan dan pelatihan service dan mengembangkan rencana-rencana yang mungkin akan dilakukan untuk perusahaan.

6. Rencana Kem ungkinan

Saat ini perusahaan telah melakukan analisa terhadap hal-hal yang berkaitan dengan kegiatan operasional, aplikasi-aplikasi dan data penting yang ada diperusahaan. Perusahaan memiliki dokumentasi atas peninjauan dan pengujian terhadap kontinuitas bisnis atau rencana operasi darurat untuk menanggulangi keadaan darurat. Dari segi rencana pem ulihan bencana, perusahaan belum memiliki perencanaan yang maksimal, dikarenakan perusahaan akan mengambil tindakan langsung ketika risiko dan bencana terjadi. Oleh karena itu, kesadaran serta pemahaman karyawan akan rencana kemungkinan pemulihan bencana belum cukup baik, hal ini menyebabkan karyawan belum dapat menjalankan tanggung jawab mereka dalam menghadapi kemungkinan pemulihan bencana secara maksimal.

7. Pengendalian Akses Fisik

Perusahaan telah memiliki pengendalian akses fisik yang cukup baik, yang disertai adanya prosedur dan kebijakan serta fasilitas keamanan yang disediakan oleh perusahaan dalam menjaga lokasi, bangunan dan mengendalikan akses fisik di tempat kerja, tetapi perusahaan belum memiliki dokumentasi dan prosedur untuk mengelola pengunjung. Tindakan perusahaan sudah sangat baik dalam menjaga informasi yang

(6)

sensitif agar tidak di akses oleh pihak yang tidak berwenang, contohnya pada penggunaan password dalam mengakses informasi serta pembatasan terhadap penggunaan informasi sensitive yang hanya dapat diakses oleh pihak-pihak tertentu. 8. Pemantauan dan Audit Keamanan Fisik

Saat ini perusahaan belum melakukan tindakan pemantauan dan pemeriksaan yang berkaitan dengan keamanan fisik secara rutin serta belum dilakukannya pemeriksaaan terhadap kejanggalan-kejanggalan yang ada. Beberapa karyawan di dalam perusahaan masih belum dapat mempertanggung jawabkan tindakannya yang berkaitan dengan media yang dikontrol secara fisik, sebagai contoh adanya kecurangan dalam penggunaan ”pass card” sebagai fasilitas absensi.

9. Manajemen jaringan dan sistem

Perusahaan telah mengelola sistem dan jaringan dengan baik, hal tersebut dapat dilihat dari adanya rencana uji keamanan dalam menjaga sistem dan jaringan perusahaan. Perusahaan telah melindungi informasi sensitif di tempat yang aman. Dan seluruh sistem yang telah diperbarui akan selalu direvisi dan disertai tambahan-tambahan yang signifikan. Namun, dalam memberikan rekomendasi yang berkaitan dengan laporan keamanan tidak dilakukan setiap saat. Peralatan dan mekanisme unt uk keamanan sistem dan jaringan yang ada dalam perusahaan telah ditinjau secara rutin dan akan diperbaharui jika diperlukan.

Perencanaan, pengontrolan dan pendokumentasian terhadap perubahan hardware dan software juga sudah dilakukan dengan baik. Intergritas dari software yang diinstall

(7)

juga telah diverifikasi secara teratur serta dilakukannya dokumentasi dan rencana yang teruji untuk memback-up software dan data. Dari segi software, hanya software yang penting saja yang ada di sistem komputer sedangkan software yang tidak penting akan dihapus dari sistem komputer perusahaan, nam un terkadang divisi TI masih lalai terhadap software yang tidak penting.

10. Pemantauan dan Audit Keamanan TI

Perusahaan telah melakukan pemantauan dan mengaudit sistem dan jaringan perusahaan secara rutin, salah sat unya dengan penggunaan firewall dan komponen keamanan lainnya yang digunakan untuk mematuhi kebijakan serta di update secara rutin. Jika ada aktivitas yang tidak biasa, maka akan ditangani sesuai dengan kebijakan atau prosedur yang tepat.

11. Pengesahan dan Otorisasi

Perusahaan telah melakukan pengontrolan yang baik sesuai dengan akses yang tepat dan pengesahan yang konsisten (misalnya perizinan file dan konfigurasi jaringan) dengan kebijakan yang ada. Pengesahan dan otorisasi digunakan untuk membatasi akses pengguna informasi, sistem sensitif, aplikasi, layanan tertentu dan koneksi jaringan.

Perusahaan memiliki dokumentasi terhadap kebijakan dan prosedur dalam hak akses terhadap informasi baik itu secara individu maupun kelompok. Perusahaan juga memiliki metode dan mekanisme yang disediakan untuk memastikan bahwa informasi yang sensitif tidak diakses, diubah, ataupun sesuatu dalam bentuk yang dilarang, hanya

(8)

saja metode dan mekanisme ini tidak selalu ditinjau dan diverifikasi secara berkala dan dilakukan pada saat-saat tertentu saja.

12. Manajemen Kerentanan

Perusahaan telah mengelola kerentanan dengan cukup baik, karena telah adanya dokumentasi dari prosedur pengelolaan kerentanan, seperti meminimumkan serangan dengan memiliki pengetahuan tentang kerentanan secara up to date dan dilakukan identifikasi terhadap komponen yang berkaitan dengan infrastruktur unt uk dievaluasi dan juga melakukan pengelolaan tempat penyimpanan yang aman untuk menjaga kerentanan data serta memberikan penafsiran dan menanggapi hasil dari identifikasi tersebut. Dan saat ini perusahaan tidak melakukan peninjauan terhadap sumber informasi mengenai kerentanan informasi dan peringatan keamanan informasi.

13. Enkripsi

Perusahaan telah melakukan pengendalian keamanan yang sesuai dengan kebut uhan perusahaan untuk melindungi informasi yang sensitif, selama dalam penyimpanan dan transmisi data. Protokol enkripsi juga digunakan ketika mengelola sistem, router dan firewall.

14. Desain dan Arsitektur Keamanan

Perusahaan sudah mempunyai sistem desain dan arsitektur keamanan yang baik terhadap sistem yang akan digunakan diperusahaan dan sistem tersebut akan direvisi dengan mempertimbangan hal-hal seperti: strategi keamanan, kebijakan dan prosedur, sejarah keamanan, serta hasil penilaian risiko keamanan. Perusahaan juga telah

(9)

mempunyai aplikasi update, hanya saja dalam melakukan update yang berkaitan dengan arsitektur keamanan dan topologi jaringan masih jarang dilakukan.

15. Manajemen Insiden

Adanya suatu prosedur yang didokumentasikan oleh perusahaan dengan tujuan untuk mengidentifikasi, melaporkan, dan menanggapi dugaan terhadap pelanggaran keamanan dan insiden, dimana hal tersebut menjadi prosedur manajemen insiden unt uk dinilai, diverifikasi dan di perbaharui secara periodik. Akan tetapi, kebijakan dan prosedur untuk bekerja dengan lembaga penegak hukum tidak semuanya didokumentasi oleh perusahaan.

4.3 Profil Ancaman 4.3.1 Aset kritis

Adapun aset-aset kritis yang terdapat di PT Esham Dima Mandiri, yaitu: 1. Bosnet

Bosnet menjadi salah satu asset kritis bagi perusahaan karena bosnet merupakan sistem inti perusahaan yang digunakan dalam proses bisnis untuk mempermudah dalam melakukan semua transaksi baik dalam penjualan, pencatatan piutang, persediaan, pembelian, utang dagang serta melihat data-data yang ada diperusahaan.

2. Database Server

Database juga menjadi salah satu aset kritis perusahaan karena database server merupakan tempat penyimpanan keseluruhan data dan transaksi yang terjadi pada

(10)

perusahaan. Database yang digunakan oleh perusahaan yaitu dengan menggunakan SQL 2005.

3. Jaringan

Salah sat u aset kritis bagi perusahaan yait u jaringan, dimana jaringan merupakaan interkoneksi antar dua komputer atau lebih yang terhubung dengan media transmisi kabel atau tanpa kabel. Jaringan yang digunakan oleh perusahaan, yaitu: LAN (Local Area Net work), VP N (Virtual Privae Net work) dan Mikrotik Internal. LAN digunakan unt uk menghubungkan pemrosesan transaksi antar P C di dalam perusahaan dan VPN digunakan unt uk menghubungkan sistem antara pusat dan cabang.

4. Hardware (Personal Komputer, PDA)

Perangkat keras juga termasuk salah satu aset kritis bagi perusahaan yang digunakan oleh seluruh karyawan dalam menjalankan kegiatan operasional perusahaan.

4.3.2 Kebutuhan Keamanan pada Aset Kritis

Kebutuhan keamanan terhadap seluruh aset-aset penting yang ada di PT Esham Dima Mandiri terdiri dari 3 hal, yaitu: kerahasiaan informasi, integritas data, dan adanya ketersediaaan data dan informasi saat dibutuhkan. Kebutuhan keamanan yang paling penting dalam perusahaan terletak pada ketersediaan data atau informasi, karena jika data atau informasi yang dibutuhkan tidak tersedia maka aktivitas proses bisnis perusahaan tidak dapat berjalan dengan lancar.

(11)

4.3.3 Ancaman pada Aset Kritis

Ancaman pada aset kritis perusahaan dapat terjadi melalui 2 akses, yaitu: akses fisik maupun akses jaringan, dan setiap akses mempunyai 2 aktor, yaitu: aktor yang berasal dari dalam perusahaan dan aktor yang berasal dari luar perusahaan. Motif pelaku dalam melakukan ancaman dibagi menjadi 2, yaitu: ancaman yang dilakukan dengan sengaja dan ancaman yang dilakukan dengan tidak sengaja. Dari motif pelaku tersebut, mengakibatkan kemungkinan terjadinya penyingkapan, modifikasi, penghancuran dan gangguan.

Tindakan aktor yang menyebabkan ancaman melalui akses jaringan dilihat dari 2 sisi, yait u: tindakan ancaman yang dilakukan secara sengaja maupun tidak sengaja. Dan tindakan ancaman aktor yang ada didalam perusahaan yang dilakukan secara tidak sengaja ialah kelalaian karyawan dalam mengentri data dan tindakan karyawan yang tidak melakukan log out pada sistem sehingga dapat diakses oleh karyawan lain. Tindakan yang tidak sengaja dilakukan oleh aktor didalam perusahaan dikategorikan sebagai ancaman yang rendah karena ancaman masih dapat diatasi oleh staf TI. Sedangkan, tindakan aktor dalam perusahaan yang dilakukan dengan sengaja ialah mengakses informasi yang bukan merupakan hak akses miliknya. Dan tindakan ini dikategorikan sebagai ancaman yang sedang karena akan menyebabkan error pada menu lain, nam un masih dapat diatasi dengan baik oleh staf TI perusahaan.

Tindakan ancaman pihak luar perusahaan yang dilakukan secara tidak sengaja ialah adanya virus yang disebarkan sehingga menyerang server perusahaan. Tindakan

(12)

yang tidak sengaja dilakukan oleh pihak diluar perusahaan dikategorikan sebagai ancaman yang cukup tinggi karena dapat mengganggu kemanan data pada server. Sedangkan, tindakan ancaman pihak luar perusahaan yang dilakukan secara sengaja ialah pencurian data yang dilakukan oleh competitor untuk dapat memperoleh data yang bersifat rahasia dan merusak sistem jaringan perusahaan melalui hacking. Tindakan yang secara sengaja dilakukan oleh pihak diluar perusahaan dikategorikan sebagai ancaman yang juga cukup tinggi karena dapat mengganggu jalannya proses bisnis perusahaan.

Tindakan aktor yang menyebabkan ancaman melalui akses fisik juga dilihat dari 2 sisi, yait u: tindakan ancaman yang dilakukan secara sengaja maupun tidak sengaja. Tindakan ancaman pihak dalam perusahaan yang dilakukan secara tidak sengaja ialah kelalaian karyawan yang tidak melakukan update antivirus secara rutin. Tindakan yang tidak sengaja dilakukan oleh pihak dalam perusahaan dikategorikan sebagai ancaman yang cukup tinggi karena dapat menyebabkan komputer mudah terserang virus dan mengalami kerusakan. Sedangkan, tindakan ancaman pihak dalam perusahaan yang dilakukan secara sengaja ialah karyawan yang melakukan pencurian terhadap hardware dan soft ware milik perusahaan. Tindakan yang secara sengaja dilakukan oleh pihak diluar perusahaan dikategorikan sebagai ancaman yang cukup tinggi karena perusahaan akan mengalami kerugian, baik secara materil maupun imateril.

Tindakan ancaman pihak luar perusahaan yang dilakukan secara tidak sengaja ialah terjadinya banjir dilokasi perusahaan. Hal ini dikategorikan sebagai ancaman yang cukup tinggi karena menyebabkan gangguan jaringan dan kerusakan pada hardware

(13)

perusahaan. Sedangkan, tindakan ancaman pihak luar perusahaan yang dilakukan secara sengaja ialah pihak luar yang secara sengaja membocorkan informasi penting kepada perusahaan competitor lainnya. Tindakan yang secara sengaja dilakukan oleh pihak diluar perusahaan dikategorikan sebagai ancaman yang cukup tinggi karena informasi perusahaan menjadi tidak rahasia lagi .

4.4 Infrastruktur yang berhubungan dengan Aset Kritis

Sistem dan komponen yang berkaitan dengan aset kritikal perusahaan (bosnet) yaitu P C, laptop, PDA, jaringan dan database server. PC, laptop dan PDA sangat berkaitan dengan bosnet karena untuk menjalankan sistem bosnet yang ada dalam perusahaan dibutuhkan perangkat keras tersebut. Jaringan juga sangat berkaitan dengan bosnet karena tanpa jaringan, sistem bosnet tidak dapat di akses. Selain itu, database juga sangat berkaitan dengan bosnet karena database merupakan tempat penyimpanan informasi-informasi atau data-data perusahaan yang di input ke dalam bosnet.

Komponen-komponen yang merupakan bagian dari system of interest PT Esham Dima Mandiri yaitu server, jaringan internal, jaringan eksternal, on-site workstation. Komponen-komponen yang digunakan untuk mengirim data-data atau informasi perusahaan kepada karyawan, yait u: jaringan internal dan jaringan eksternal.

(14)

4.5 Hasil Identifikasi dan Analisa Risiko 4.5.1 Hasil Evaluasi Dampak Ancaman

a. Dampak ancaman pada asset kritikal (bosnet) melalui akses jaringan yang dilakukan oleh pihak dalam perusahaan secara tidak sengaja.

- Dampak terhadap reputasi bernilai sedang untuk penyingkapan, modifikasi, gangguan dan penghancuran.

- Dampak terhadap keuangan bernilai sedang unt uk penyingkapan, modifikasi, gangguan dan bernilai tinggi untuk penghancuran.

- Dampak terhadap produktivitas bernilai rendah untuk penghancuran, bernilai sedang unt uk penyingkapan, modifikasi dan bernilai tinggi unt uk gangguan.

- Dampak terhadap denda bernilai sedang unt uk penyingkapan, modifikasi, penghancuran, dan gangguan.

- Dampak terhadap keamanan bernilai rendah untuk penyingkapan, modifikasi, penghancuran dan gangguan.

b. Dampak ancaman pada asset kritikal (bosnet) melalui akses jaringan yang dilakukan oleh pihak dalam perusahaan secara sengaja.

- Dampak terhadap reputasi bernilai sedang untuk penyingkapan, modifikasi, penghancuran dan gangguan.

- Dampak terhadap keuangan bernilai sedang untuk penyingkapan, gangguan dan bernilai tinggi untuk modifikasi, penghancuran.

(15)

- Dampak terhadap produktivitas bernilai sedang untuk penyingkapan dan modifikasi dan bernilai tinggi unt uk gangguan dan penghancuran.

- Dampak terhadap denda bernilai sedang unt uk penyingkapan, modifikasi, penghancuran dan gangguan.

- Dampak terhadap keamanan bernilai rendah untuk penyingkapan, modifikasi, penghancuran dan bernilai sedang untuk gangguan.

c. Dampak ancaman pada asset kritikal (bosnet) melalui akses jaringan yang dilakukan oleh pihak luar perusahaan secara tidak sengaja

- Dampak terhadap reputasi bernilai rendah unt uk penghancuran, gangguan dan bernilai sedang untuk penyingkapan, modifikasi.

- Dampak terhadap keuangan bernilai tinggi unt uk penyingkapan, penghancuran, gangguan dan bernilai sedang untuk modifikasi.

- Dampak terhadap produktivitas bernilai sedang untuk penyingkapan, modifikasi dan bernilai tinggi untuk penghancuran, gangguan.

- Dampak terhadap keamanan bernilai rendah untuk penyingkapan, modifikasi, dan penghancuran dan bernilai sedang untuk gangguan.

(16)

d. Dampak ancaman pada asset kritikal (bosnet melalui akses jaringan yang dilakukan oleh pihak luar perusahaan secara sengaja

- Dampak terhadap reputasi bernilai rendah untuk penyingkapan dan bernilai sedang unt uk modifikasi, penghancuran, gangguan.

- Dampak terhadap keuangan bernilai tinggi untuk penyingkapan, modifikasi, penghancuran dan bernilai sedang untuk gangguan.

- Dampak terhadap produktivitas bernilai sedang untuk penyingkapan dan bernilai tinggi untuk modifikasi, penghancuran, gangguan.

- Dampak terhadap denda bernilai sedang unt uk penyingkapan, modifikasi, gangguan dan bernilai tinggi untuk penghancuran.

- Dampak terhadap keamanan bernilai sedang untuk penyingkapan, modifikasi, gangguan dan bernilai rendah unt uk penghancuran.

e. Dampak ancaman pada asset kritikal (bosnet) melalui akses fisik yang dilakukan oleh pihak dalam perusahaan secara tidak sengaja

- Dampak terhadap reputasi bernilai rendah untuk penyingkapan, modifikasi, penghancuran dan gangguan.

- Dampak terhadap keuangan bernilai sedang unt uk penyingkapan, modifikasi, gangguan bernilai tinggi unt uk penghancuran.

(17)

- Dampak terhadap keamanan bernilai sedang untuk penyingkapan, modifikasi dan bernilai rendah unt uk penghancuran dan gangguan.

f. Dampak ancaman pada asset kritikal (bosnet) melalui akses fisik yang dilakukan oleh pihak dalam perusahaan secara sengaja

- Dampak terhadap reputasi bernilai sedang untuk penyingkapan, modifikasi, penghancuran dan gangguan.

- Dampak terhadap keuangan bernilai sedang untuk penyingkapan, penghancuran dan bernilai tinggi untuk modifikasi, gangguan.

- Dampak terhadap produktivitas bernilai sedang unt uk modifikasi, penghancuran dan bernilai tinggi untuk penyingkapan, gangguan.

- Dampak terhadap keamanan bernilai rendah unt uk modifikasi, penghancuran dan bernilai sedang untuk penyingkapan, gangguan.

g. Dampak ancaman pada asset kritikal (bosnet) melalui akses fisik yang dilakukan oleh pihak luar perusahaan secara tidak sengaja

- Dampak terhadap reputasi bernilai sedang untuk penyingkapan, gangguan dan bernilai rendah unt uk modifikasi, penghancuran.

(18)

- Dampak terhadap keuangan bernilai sedang untuk penyingkapan, modifikasi dan bernilai tinggi untuk penghancuran, gangguan.

h. Dampak ancaman pada asset kritikal (bosnet) melalui akses fisik yang dilakukan oleh pihak luar perusahaan secara sengaja

- Dampak terhadap reputasi bernilai rendah unt uk penyingkapan, modifikasi dan bernilai sedang untuk penghancuran, gangguan.

- Dampak terhadap keuangan bernilai sedang unt uk penyingkapan, modifikasi, penghancuran dan gangguan.

- Dampak terhadap produktivitas bernilai sedang unt uk penyingkapan, modifikasi dan bernilai tinggi untuk penghancuran, gangguan.

(19)

4.5.2 Kriteria Kemungkinan

Frekuensi terjadinya ancaman pada perusahaan masih tergolong sedang karena ancaman yang terjadi masih dibawah empat kali dalam setahun. Saat ini, ancaman-ancaman yang terjadi pada perusahaan masih dapat diatasi oleh pihak dalam perusahaan. Pengukuran ini berlaku untuk semua ancaman pada aset penting, baik yang disengaja maupun yang tidak sengaja.

4.5.3 Peluang dari Ancaman

a. Peluang terjadinya ancaman yang secara tidak sengaja disebabkan oleh pihak dalam perusahaan melalui akses jaringan.

Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan penyingkapan tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan modifikasi tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan penghancuran tergolong rendah dengan tingkat keyakinan sedang. Dan besarnya motif pihak dalam perusahaan yang secara tidak sengaja menyebabkan gangguan tergolong rendah dengan tingkat keyakinan sedang.

b. Peluang terjadinya ancaman yang secara sengaja disebabkan oleh pihak dalam perusahaan melalui akses jaringan.

Besarnya motif pihak dalam perusahaan yang secara sengaja melakukan penyingkapan tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak

(20)

dalam perusahaan yang secara sengaja melakukan modifikasi tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara sengaja melakukan penghancuran tergolong rendah dengan tingkat keyakinan sedang. Dan besarnya motif pihak dalam perusahaan yang secara sengaja menyebabkan gangguan tergolong tinggi dengan tingkat keyakinan tinggi.

c. Peluang terjadinya ancaman yang secara tidak sengaja disebabkan oleh pihak luar perusahaan melalui akses jaringan.

Besarnya motif pihak luar perusahaan yang secara tidak sengaja melakukan penyingkapan tergolong rendah dengan tingkat keyakinan sedang. Besarnya motif pihak luar perusahaan yang secara tidak sengaja melakukan modifikasi tergolong rendah dengan tingkat keyakinan sedang. Besarnya motif pihak luar perusahaan yang secara tidak sengaja melakukan penghancuran tergolong sedang dengan tingkat keyakinan sedang. Dan besarnya motif pihak dalam perusahaan yang secara tidak sengaja menyebabkan gangguan tergolong sedang dengan tingkat keyakinan sedang.

d. Peluang terjadinya ancaman yang secara sengaja disebabkan oleh pihak luar perusahaan melalui akses jaringan.

Besarnya motif pihak luar perusahaan yang secara sengaja melakukan penyingkapan tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak luar perusahaan yang secara sengaja melakukan modifikasi tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak luar perusahaan yang secara sengaja melakukan penghancuran tergolong tinggi dengan tingkat keyakinan tinggi. Dan

(21)

besarnya motif pihak luar perusahaan yang secara sengaja menyebabkan gangguan tergolong tinggi dengan tingkat keyakinan tinggi.

e. Peluang terjadinya ancaman yang secara tidak sengaja disebabkan oleh pihak dalam perusahaan melalui akses fisik.

Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan penyingkapan melalui akses fisik tergolong rendah dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan modifikasi tergolong rendah dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara tidak sengaja melakukan penghancuran tergolong rendah dengan tingkat keyakinan sedang. Dan besarnya motif pihak dalam perusahaan yang secara tidak sengaja menyebabkan gangguan tergolong rendah dengan tingkat keyakinan sedang.

f. Peluang terjadinya ancaman yang secara sengaja disebabkan oleh pihak dalam perusahaan melalui akses fisik.

Besarnya motif pihak dalam perusahaan yang secara sengaja melakukan penyingkapan melalui akses fisik tergolong tinggi dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara sengaja melakukan modifikasi tergolong tinggi dengan tingkat keyakinan sedang. Besarnya motif pihak dalam perusahaan yang secara sengaja melakukan penghancuran tergolong sedang dengan tingkat keyakinan sedang. Dan besarnya motif pihak dalam perusahaan yang secara sengaja menyebabkan gangguan tergolong tinggi dengan tingkat keyakinan tinggi.

(22)

g. Peluang terjadinya ancaman yang secara sengaja disebabkan oleh pihak luar perusahaan melalui akses fisik.

Besarnya motif pihak luar perusahaan yang secara sengaja melakukan penyingkapan melalui akses fisk tergolong tinggi dengan tingkat keyakinan tinggi. Besarnya motif pihak luar perusahaan yang secara sengaja melakukan modifikasi tergolong sedang dengan tingkat keyakinan sedang. Besarnya motif pihak luar perusahaan yang secara sengaja melakukan penghancuran tergolong tinggi dengan tingkat keyakinan sedang. Dan besarnya motif pihak luar perusahaan yang secara sengaja menyebabkan gangguan tergolong tinggi dengan tingkat keyakinan tinggi.

4.6 Strategi Perlindungan dan Rencana Mitigasi 4.6.1 Strategi Perlindungan

Dari penelitian yang dilakukan pada PT Esham Dima Mandiri dengan menggunakan pendekatan OCTAVE, ditemukan beberapa risiko dari penerapan teknologi informasi yang berkaitan dengan praktek keamanan yang ada pada perusahaan. Risiko-risiko yang ditemukan berfokus pada kesadaran keamanan dan pelatihan, manajemen keamanan, serta pemantauan dan audit akses fisik. Strategi perlindungan yang akan direncanakan dalam perusahaan, yait u:

1. Kesadaran Keamanan dan Pelatihan

Saat ini perusahaan masih memiliki strategi pelatihan yang bersifat informal dan tidak didokumentasikan. Pelatihan atas kesadaran keamanan hanya diberikan unt uk

(23)

karyawan baru selama masa pelatihan, sehingga pelatihan mengenai kesadaran keamanan hanya diadakan pada periodik tertentu. Perusahaan tidak mengadakan pelatihan khusus untuk divisi TI dalam mengatasi masalah-masalah yang berkaitan dengan kesadaran keamanan teknologi informasi yang terjadi di perusahaan.

2. Manajemen Keamanan

Saat ini perusahaan belum melakukan penilaian risiko terhadap keamanan informasi, dikarenakan perusahaan belum memiliki suatu divisi yang mengelola manajemen resiko secara khusus, apabila terjadi risiko maka divisi IT akan mengambil langkah-langkah yang tepat dalam mengurangi risiko keamanan informasi tersebut. Perusahaan tidak mempunyai mekanisme formal yang didokumentasikan berupa laporan mengenai pentingnya informasi yang berhubungan dengan keamanan yang disediakan untuk manager.

3. Pemantauan dan Audit Keamanan Fisik

Saat ini perusahaan telah memiliki catatan pemeliharaan sebagai dokumen perbaikan dan modifikasi dari komponen fasilitas fisik, hanya saja saat ini perusahaan belum melakukan tindakan pemantauan dan pemeriksaan secara rutin pada akses fisik TI dan catatan pemeliharaan tersebut. Pemantauan akses fisik TI tersebut tidak memiliki prosedur dan pengesahaan yang didokumentasi secara formal. Selain it u, tidak adanya pemberitahuan yang diberikan kepada karyawan untuk memantau akses fisik ke lokasi dan bangunan, tempat kerja, hardware, soft ware dan media, sehingga menyebabkan

(24)

karyawan tidak dapat mempertanggung jawabkan tindakannya yang berkaitan dengan media yang dikontrol secara fisik.

Dari hasil penelitian, dapat dijelaskan bahwa PT Esham Dima Mandiri memiliki tingkat keamanan yang masih kurang memadai yaitu sebesar 20%, dan yang cukup memadai sebesar 80%.

Gambar 4.1 Diagram Presentase Status Spotlight

Keterangan:

Merah (20%) : Kurang Memadai Kuning (50%) : Cukup Memadai

(25)

4.6.2 Pendekatan Mitigasi

Berdasarkan kertas kerja profil risiko yang terdapat pada langkah OCTAVE. Ada pendekatan mitigasi yang dilakukan oleh perusahaan atas ancaman yang terjadi diperusahaan, baik ancaman yang bermotif sengaja maupun yang tidak disengaja pada pihak internal perusahaan dan pihak eksternal perusahaan melalui akses jaringan dan akses fisik.

Perusahaan akan mengambil tindakan mitigasi risiko pada praktek keamanan melalui akses jaringan yang dilakukan oleh pihak dalam perusahaan. Kegiatan mitigasi berfokus pada dua aktifitas praktek keamanan, yaitu : (1) Kesadaran Keamanan dan pelatihan, (2) Manajemen Keamanan. Sedangkan untuk pihak luar, perusahaan belum melakukan mitigasi. Dan tindakan mitigasi risiko pada akses fisik yang diakibatkan oleh pihak dalam dan pihak luar perusahaan berfokus pada (3) Pemantauan dan audit keamanan fisik.

4.6.3 Rencana Mitigasi Risiko

1. Rencana mitigasi risiko yang berkaitan dengan kesadaran keamanan dan pelatihan untuk praktek keamanan, meliputi:

a. Disediakan pelatihan-pelatihan yang berkaitan dengan kesadaran kemanan kepada seluruh karyawan, sehingga pelatihan tidak hanya diadakan untuk karyawan baru saja, tetapi juga diadakan secara rutin.

(26)

b. Diadakannya pelatihan pendukung TI secara rutin pada staf TI, hal tersebut dikarenakan teknologi informasi yang selalu berkem bang sehingga perlu adanya pelatihan pendukung dalam karyawan TI agar penerapan TI perusahaan menjadi lebih baik lagi.

c. Adanya pembaharuan dan pengembangan terhadap sistem keamanan secara periodik, hal tersebut dilakukan unt uk memastikan bahwa keamanan data perusahaan terjamin setiap saat.

2. Rencana mitigasi risiko yang berkaitan dengan manajemen keamanan unt uk praktek keamanan, meliputi:

a. Dibent uknya suatu divisi manajemen risiko serta melakukan penilaian risiko terhadap keamanan teknologi informasi perusahaan.

b. Adanya laporan yang didokumentasi dari hasil evaluasi penilaian risiko yang berkaitan dengan aktivitas keamanan.

3. Rencana mitigasi risiko yang berkaitan dengan pemantauan dan audit keamanan fisik unt uk praktek keamanan, meliputi:

a. Adanya prosedur dan pengesahan yang didokumentasi secara formal dan rutin untuk memantau akses fisik ke lokasi dan bangunan, tempat kerja, hardware,

software dan media. Hal tersebut dilakukan agar aset-aset penting perusahaan akan

lebih terjaga.

b. Adanya pemberitahuan khusus unt uk karyawan dalam melakukan pemantauan akses fisik ke lokasi dan bangunan, tempat kerja, hardware, software dan media.

(27)

Hal tersebut dilakukan agar karyawan akan dapat lebih mempertanggung jawabkan tindakannya yang berkaitan dengan akses fisik perusahaan.

4.6.4 Perubahan Strategi Perlindungan

1. Perubahan strategi perlindungan yang berkaitan dengan kesadaran keamanan dan pelatihan untuk praktek keamanan, meliputi :

a. Mendatangkan tenaga ahli training dengan t ujuan meningkatkan mut u dari pelatihan kesadaran dan keamanan.

b. Adanya dukungan yang diberikan kepada staf TI dengan mengijinkan staf TI mengikuti setiap pelatihan yang berm utu untuk keberlangsungan perusahaan. c. Mendokumentasikan setiap pembaharuan secara rutin dan memberikan laporan

untuk setiap pengembangan sistem yang akan dilakukan diperusahaan.

2. Perubahan strategi perlindungan yang berkaitan dengan manajemen keamanan untuk praktek keamanan, meliputi :

a. Melakukan penilaian risiko dilakukan secara rutin.

b. Dilakukan peninjauan kembali terhadap hasil laporan dari penilaian risiko.

3. Perubahan strategi perlindungan yang berkaitan dengan pemantauan dan audit keamanan fisik untuk praktek keamanan, meliputi :

(28)

a. Setiap karyawan memiliki kesadaran dalam memantau akses fisik ke lokasi dan bangunan, tempat kerja, hardware, soft ware dan media sehingga prosedur yang ditetapkan akan lebih optimal.

b. Mendatangkan tenaga ahli training dengan tujuan meningkatkan mutu.

4.6.5 Perbandingan dengan Penelitian Sebelumnya

Agar penelitian lebih kompeten, maka penulis melakukan studi banding terhadap perusahaan yang bergerak dalam bidang distribusi elektronik yang juga menggunakan pendekatan OCTAVE, Adapun risiko-risiko yang ditemukan pada perusahaan PT KDK Indonesia, yait u:

1. Kesadaran Keamanan dan Pelatihan

Pada PT KDK Indonesia menunjukkan bahwa kesadaran perusahaan terhadap keamanan dan pelatihan masih kurang baik. Hal tersebut dilihat pada kurangnya kesadaran akan pelatihan karyawan secara berkala. Meskipun para karyawan telah memahami peran keamanan dan tanggung jawab namun mereka tidak terlalu memperhatikan dan mengimplementasikan keamanan tersebut sehingga risiko mungkin akan terjadi sekalipun sistem yang ada diperusahaan dipelihara dengan baik oleh pihak TI.

2. Strategi Keamanan

Dalam menjalankan strategi bisnis, perusahaan PT KDK Indonesia selalu mempertimbangkan segi keamanan, segi bisnis dan t ujuan perusahaan. Strategi

(29)

keamanan didokumentasikan dan dikaji secara rutin, diperbaharui dan dikom unikasikan oleh manajemen kepada seluruh staff. Hanya saja, strategi keamanan yang telah diterapkan, perusahaan belum mempertimbangkan dampak risiko yang akan terjadi dari segi keamanan.

3. Rencana Contingency

PT KDK Indonesia dalam melakukan analisa dari operasional, aplikasi-aplikasi dan data penting masih kurang baik. Dan dalam melakukan dokumentasi, peninjauan kembali dan pengujian terhadap kontinuitas bisnis atau rencana operasi darurat, pemulihan bencana, dan kemungkinan rencana unt uk menanggapi keadaan darurat sudah dilakukan oleh perusahaan di dalam mempertimbangkan kebutuhan akses serta kontrol elektronik. Hanya saja kesadaran dan pemahaman karyawan akan rencana kemungkinan pemulihan bencana masih kurang, yang mengakibatkan karyawan belum dapat menjalankan tanggung jawab mereka dalam menghadapi kem ungkinan pem ulihan bencana. Dan saat ini, PT KDK Indonesia juga memiliki rencana cadangan nam un belum pernah dilakukan pengujiannya, sehingga perusahaan tidak tahu apakah rencana cadangan tersebut efektif untuk memulihkan bencana.

4. Manajemen Kerentanan

PT KDK Indonesia belum memiliki dokumentasi prosedur kerentanan, seperti: memilih alat evaluasi kerentanan, meninjau sumber informasi tentang kerentanan peringatan keamanan, dan mengidentifikasi komponen infrastruktur unt uk dievaluasi, serta mengelola tempat penyimpanan dan menjaga kerentanan data. Serta belum adanya

(30)

penilaian terhadap kerentanan keamanan teknologi yang dilakukan secara periodik dan menerapkan adanya perbaikan terhadap alat-alat yang diperlukan untuk pencegahan risiko teknologi informasi.

5. Enkripsi

Perusahaan tidak memiliki kontrol terhadap keamanan informasi yang sensitif selama dalam penyimpanan dan transmisi. Serta tidak memakai protokol enkripsi secara baik atau optimal unt uk mengelola sistem, router dan firewall.

4.6.6 Hasil Perbandingan

Dari hasil pengukuran risiko terhadap dua perusahaan yang sama-sama bergerak dalam bidang distributor, maka dapat dikatakan bahwa masing-masing perusahaan memiliki tingkat dan jenis risiko yang berbeda-beda. Hal tersebut dikarenakan kondisi dari masing-masing perusahaan berbeda dan kebutuhan akan penerapan teknologi informasi yang juga berbeda.

(31)

4.6.7 Identifikasi Langkah Selanjutnya

Dalam mendukung pelaksanaan hasil pengukuran risiko teknologi informasi OCTAVE, maka ada beberapa hal yang menjadi pertimbangan perusahaan, dimana Manajemen perusahaan harus membuat suat u strategi bisnis sebagai prioritas bagi keamanan perusahaan dan melakukan evaluasi secara berkala agar dapat disusun rencana stategi untuk penangulangan risiko. Serta perusahaan dapat mempertimbangan apakah metode OCTAVE merupakan metode terbaik dalam melakukan pengukuran risiko guna menjaga asset-aset perusahaan.