Pembuatan Perangkat Audit Internal TI Berbasis

Resiko menggunakan ISO/IEC 27002:2007 pada

Proses Pengelolaan Data Studi Kasus Digital Library

Institut Teknologi Sepuluh Nopember Surabaya

Seminar Tugas Akhir

Dipresentasikan oleh :

Mochammad Arief Ramadhana 5207100002

Abstrak

Banyaknya akses ke Digital library Institut Teknologi Sepuluh Nopember Surabaya (ITS)

menunjukkan bahwa Digital library ITS sebagai institutional repository yang relatif

sangat sibuk dan faktor keamanan merupakan faktor yang krusial. Memperhatikan

pentingnya peranan Fungsi Audit Internal TI, khususnya dalam pelaksanaan

manajemen resiko maka sudah seharusnya audit dilakukan sedangkan pihak

perpustakaan ITS belum pernah melakukan audit pada Digital library.

•

Pada Tahap awal, proses penilaian resiko (risk-assessment) akan dilakukan

berdasarkan dari domain yang dipilih dari ISO/IEC 27002:2007 lalu prioritas dari hasil

assessment akan dibuat sebuah perangkat audit.

•

Hasil tugas akhir berupa sebuah perangkat audit yang dapat digunakan untuk

melakukan audit TI yang bertujuan memperbaiki setiap permasalahan yang

berhubungan dengan proses pengelolaan data pada Digital library ITS

Pendekatan dalam audit berbasis risiko

No

Audit konvensional

Audit berbasis risiko

1

Perhatian auditor dititikberatkan pada risiko manajemen dalam kaitannya dengan pencapaian tujuan audit. Auditor akan melakukan analisis atas risiko manajemen yang mempengaruhi tujuan auditnya. Semakin memadai pengendalian intern maka pengujian dan pembuktian audit (besarnya sample pengujian) yang harus dilakukan akan berkurang.

Perhatian auditor lebih jauh lagi dititikberatkan pada penaksiran atas risiko (risk assessment). Auditor melakukan penaksiran risiko bukan hanya semata-mata untuk audit namun lebih difokuskan pada risiko atas kelangsungan dan perkembangan aktivitas dalam rangka pencapaian tujuan manajemen.

2

Auditor berfokus pada kejadian dan kondisi masa lalu yang berdampak pada tujuan audit yang telah ditetapkan dengan tujuan untuk menilai tingkat kewajarannya.

Auditor mencoba membuat skenario risiko di masa kini dan di masa depan yang akan berdampak pada pencapaian tujuan organisasi. Sehingga dalam memberikan rekomendasi audit, lebih dititikberatkan pada pengelolaan risiko (risk management) selain pengelolaan pengendalian (management control).

3

Laporan audit merupakan informasi yang disampaikan kepada pihak-pihak yang berkepentingan dan pengguna laporan sesuai tujuan audit yang sudah ditetapkan, terutama mengenai berfungsi atau tidaknya pengendalian.

Dalam laporan audit, auditor lebih menitikberatkan pada pengungkapan proses yang memiliki risiko dibandingkan pengungkapan berfungsi atau tidaknya suatu pengendalian.

4

Pendekatan proses auditnya berbasis sistem (system based audit). Audit berbasis sistem dilaksanakan atas dasar keberadaan suatu sistem yang sesungguhnya ada dan pengendalian yang dijalankan terkait dengan sistem tersebut. Oleh karena itu dengan sistem yang ada, dianggap akan mampu mengatasi semua risiko. Biasanya pengujian dilakukan dengan ”kuesioner internal kontrol”, yaitu dokumen standar yang digunakan dalam setiap penugasan audit.

Pendekatan proses auditnya berbasis risiko (risk based audit). Audit berbasis risiko dilaksanakan atas dasar risiko-risiko dan melaporkan kepada pihak manajemen apakah risiko-risiko tersebut telah dapat dikelola dengan baik atau sebaliknya. Dalam hal ini proses ABR dilaksanakan untuk mengelompokkan sejumlah risiko-risiko, dan proses menggambarkan ”sesuatu yang logis” dan bukan kondisi aktual. Jika terdapat suatu risiko tetapi tidak termasuk di dalam proses yang dipetakan maka harus dipecahkan melalui proses yang baru.

Proses implementasi ISO/IEC 27002

Memperoleh Dukungan

Manajemen Tingkat Atas

Definisikan Batasan

Keamanan

Membuat Kebijakan

Keamanan Informasi

Membuat Sistem

Manajemen

Keamanan

Keamanan Informasi

Melakukan Penilaian

Risiko

Pilih dan

Implementasi

Kontrol

Laporan

Dokumen

Akuntabilitas

Audit

Data penelitian: Tugas Akhir, Tesis, Disertasi dan referensi buku yang ada di perpustakaan ITS.

Persiapan

Studi literatur dan survey pada studi kasus

---Observasi Wawancara

Proses bisnis yang dikelola Pengumpulan

Data

---Penilaian terhadap

risiko Membuat dokumen statement of applicability

Risiko teridentifikasi Analisa informasi teridentifikasi

---klausul kontrol teridentifik asi Identifikasi komponen penyusun perangkat audit Menyusun perangkat audit

Uji coba Revisi

Pembuatan Perangkat Audit

Perangkat/Pedoman Audit

---Penyusunan buku tugas akhir

Kelemahan sistem yang dapat menimbulkan ancaman di Digilib ITS

Pihak terlibat: Sub-koordinator bidang TI dan tim Digital Library ITS

Output: Hasil penilaian risiko Output: Pedoman Audit

Struktur Organisasi

Kepala UPT Perpustakaan Koordinator IT, Kerjasama dan Pelatihan Koordinator Jasa teknis Koordinator jasa pengguna

Kasubag tata usaha Sub koordinator, kepegawaian,

kerumahtanggaan dan umum

Sub Koordinator IT dan Digital Library Sub koordinator kerjasama dan pelatihan Sub koordinator penambahan koleksi Sub koordinator klasifikasi dan katagolisasi Sub koordinator pasca klasifikasi, katagolisasi dan pemelihaan pustaka Sub koordinator jasa pengguna I (Lantai 3) Sub koordinator jasa pengguna II (Lantai 4) Sub koordinator jasa pengguna III

Proses bisnis Sub koordinator bidang TI dan Digital

Library

Sub koordinator IT dan Digital Library mempunyai rincian tugas sebagai berikut:

•

Mengkoordinasi, melaksanakan, membangun, mengembangkan dan melakukan

pengawasan semua pekerjaan yang berhubungan dengan automasi Perpustakaan,

termasuk jaringan, digital library dan lainnya.

•

Membatu melaksanakan pekerjaan-pekerjaan yang menjadi tanggung jawab

koordinator bagian IT, pemasaran dan pelatihan, termasuk perbaikan dan

perawatannya.

•

Melakukan bimbingan dan pelatihan peserta magang di perpustakaan.

•

Melaksankan tugas Perpustakaan lainnya bila diperlukan.

•

Bersenergi, mengamalkan, dan membagi ilmunya kepada siapa saja yang

membutuhkan dan yang dikehendaki.

•

Mengatur dan melaksanakan tata ruang, tata letak ruang bagiannya sehingga

nampak nyaman.

•

Memberi layanan sesuai dengan motto ITS-CAK kepada semua pemustaka dan

pustakawan lainnya.

Proses bisnis Sub koordinator bidang TI dan Digital

Library

Staf IT dan Digital Library mempunyai rincian tugas sebagai berikut:

•

Melaksanakan pemeliharaan hardware dan jaringan komputer.

•

Melakukan alihmedia koleksi cetak karya ilmiah ITS menjadi bentuk digital.

•

Mengolah koleksi ilmiah digital, yang meliputi proses pemecahan, pemberian

password dan watermark.

•

Mengupload dan mempublikasi karya ilmiah civitas ITS ke system digital library.

•

Melakukan aplikasi calon pemustaka yang mendaftar melalui Online.

•

Melayani pemustaka online yang berkunjung ke situs Perpustakaan dan Digital

Library.

•

Melakukan pekerjaan yang berhubungan dengan aktifitas Jasa Pemasaran dan

Pelatihan.

•

Melakukan jaga kontrol sesuai jadwal yang ditentukan.

•

Membantu urusan bidang pelayanan yang berhubungan dengan kegiatan ruang

komputer seperti Layanan Mandiri dan Upload Mandiri.

Proses bisnis Sub koordinator bidang TI dan

Digital Library

Untuk memperlancar dalam menjalankan tugasnya sehari-hari maka bidang

TI dan Digital Library membagi dirinya menjadi beberapa bagian atau tim,

bagian-bagian tersebut yaitu:



_{Bagian TI, yang terdiri dari:}

•

Hardware dan jaringan.

•

Software.

•

Implementasi dan support IT.



_{Digital Library, yang terdiri dari:}

•

Support pengguna.

•

Pengolahan Data.

Proses bisnis Sub koordinator bidang TI dan

Digital Library

Sedangkan Aset informasi yang dikelola oleh bidang ini yaitu:

•

SPITS (Sistem informasi perpustakaan), adalah program sistem

perpustakaan ITS yang berbasis komputer. Program ini terdiri dari

modul-modul yang mempresentasikan proses bisnis perpustakaan ITS seperti

meminjam buku dan mengembalikan buku.

•

OPAC, adalah katalog online perpustakaan. Dapat digunakan untuk

mencari koleksi buku secara cepat di perpustakaan ITS.

•

Digital Library ITS, adalah Digital Library atau perpustakaan digital

merupakan etalase karya ilmiah sivitas akademika ITS dan dapat diakses

pemustaka melalui dunia maya/internet dari seluruh penjuru dunia.

Value chain Proses bisnis bidang TI yang

berhubungan dengan Digital library

Mapping Proses bisnis dan Klausul dalam ISO

27002

Proses bisnis Penyediaan informasi, layanan dan bimbingan yang efektif Implementasi digital library Pengembangan perangkat lunak upload mandiri Pengembangan software watermark di digilib dan cantuman digilib yang corrupt Pelatihan karyawan penyedia layanan TI Pengawasan kinerja di tiap tiap entitas di bidang TI Meningkatkan implentasi digital library Klausul dalam ISO 27002 Clause 1 security policy Clause 7 access control Clause 3 asset management Clause 3 asset management Clause 4 human resource security Clause 6 communication and operation management Clause 7 access control Clause 2 organization of information system Clause 3 asset management Clause 5 physical and environmental security Clause 5 physical and environmental security Clause 6 communication and operation management Clause 9 information security incident management Clause 3 asset management Clause 10 business continuity management Clause 9 information security incident management Clause 8 information system acquisition, development and maintenance Clause 8 information system acquisition, development and maintenance Clause 11 compliance Clause 10 business continuity management

Mapping Proses bisnis dan Klausul dalam ISO

27002

-

Klausul yang dipilih

-Proses bisnis Penyediaan informasi, layanan dan bimbingan yang efektif Implementasi digital library Pengembangan perangkat lunak upload mandiri Pengembangan software watermark di digilib dan cantuman digilib yang corrupt Pelatihan karyawan penyedia layanan TI Pengawasan kinerja di tiap tiap entitas di bidang TI Meningkatkan implentasi digital library Klausul dalam ISO 27002 Clause 3 asset management Clause 3 asset management Clause 3 asset management Clause 3 asset management

Perkembangan Digital Library

Karya yang diupload ke Digital Library

-No Jenis koleksi 2007 2008 2009 2010 Jumlah judul saat ini 1 Tugas Akhir (S1) 904 2562 5005 8471 2 Tesis (S2) 1500 121 493 861 2975 3 Disertasi (S3) 5 30 35 4 Non Degree 765 765 5 Clipping 6 Discussion materials 7 Book 8 Image 9 Proceedings 2 11 1 14 10 Research Report 245 149 394 11 Scientific Oration 4 1 5

12 Scientific journal articles 62 102 164

13 Course material 14 Distance learning 15 Journal 12 11 23 16 Multimedia 17 Publication 18 Software 19 Inaguration Speech 16 14 30 20 ITS heritage 1 1

21 Student paper and presentation

22 Brochure and Documentation

Perkembangan Digital Library

indikator kinerja

-Bulan per tahun

2007

2008

2009

2010

Januari

27.078

217.124

612.519

2.789.198

Februari

19.457

240.051

594.997

6.063.566

Maret

20.513

199.523

401.372

3.367.713

April

25.956

300.569

465.761

1.583.274

Mei

44.710

279.677

1.386.996

1.470.106

Juni

48.279

270.382

1.273.530

1.571.512

Juli

38.514

203.026

1.914.463

2.241.224

Agustus

37.769

266.187

1.313.195

1.319.922

September

33.774

436.981

2.609.129

2.641.809

Oktober

44.285

387.653

1.328.202

2.837.263

Nopember

118.078

471.832

2.404.897

2.753.115

Desember

122.869

505.185

2.751.527

3.742.287

Total

592.282

3.778.190

17.056.588

32.380.989

Kontrol Administrasi

Prosedur

Definisi

Ruang lingkup

Penanggung jawab

status

Koordinasi

bidang

komputerisasi

(administrasi

website

Digital Library)

Prosedur

yang

digunakan

sebagai

acuan perpustakaan

untuk

mengelola

administrasi website

digital library

Front-end Digital

Library

Administrator

dijalankan

Koordinasi

layanan

koleksi tugas akhir dan

karya ITS

Prosedur

yang

digunakan

sebagai

acuan perpustakaan

untuk

melayani

pengadaan

dan

peminjaman koleksi

Koleksi karya ITS

Petugas layanan

Ada dan

dijalankan

Kontrol Teknis dan Operasi

Prosedur Definisi Ruang lingkup Penanggung jawab status Koordinasi bidang

klasifikasi & katalogisasi Jasa Teknis

Prosedur yang digunakan sebagai acuan perpustakaan untuk melakukan klasifikasi dan katagolisasi buku

Bidang klasifikasi dan

katalogisasi Petugas layanan dijalankanAda dan

Koordinasi bidang komputerisasi (klasifikasi & katalogisasi)

Prosedur yang digunakan sebagai acuan perpustakaan untuk melakukan klasifikasi dan katagolisasi buku. khusus buku yang akan diupload ke Digilib

Digital Library Koordinator dan Sub

koordinator TI dijalankan Koordinasi bidang pascaklasifikasi & katalogisasi (termasuk perawatan dan penjilidan)

Prosedur yang digunakan sebagai acuan perpustakaan untuk merawat koleksi

Bidang klasifikasi dan

katalogisasi Petugas layanan dijalankanAda dan

Koordinasi bidang pengembangan

koleksi/pengadaan

Prosedur yang digunakan sebagai acuan perpustakaan untuk melakukan pengadaan koleksi

Bidang pengolahan dan

pengembangan koleksi Koordinatorkasubag perpustakaandan ITS Ada dan dijalankan Koordinasi bidang komputerisasi (entri data)

Prosedur yang digunakan sebagai acuan perpustakaan untuk melakukan entri data dan upload ke digital library

Digital library Koordinator dan sub

Kontrol Fisik

Prosedur

Definisi

Ruang lingkup

Penanggung jawab

status

Koordinasi

bidang

komputerisasi (jaringan

dan perawatan)

Prosedur

yang

digunakan

sebagai

acuan

perpustakaan

untuk

mengelola

jaringan

Digital Library

Koordinator dan sub

koordinator IT

dijalankan

Koordinasi

bidang

komputerisasi (server)

Prosedur

digunakan

sebagai

yang

acuan

perpustakaan

untuk mengelola server

Digital Library

Digital Library

Koordinator dan sub

Identifikasi risiko

Berkaitan

dengan

hasil

wawancara

yang

dilakukan oleh penulis, maka selanjutnya dapat

dilakukan analisis identifikasi risiko sesuai dengan

tahapan awal proses penilaian risiko yang terjadi

dan ditemukan di Digital library Perpustakaan ITS

dengan langkah sebagai berikut:

•

Melakukan

identifikasi

ancaman

(threat)

terhadap Digital Library sebagai aset instansi

dan dampak bisnis terkait dengan ancaman

tersebut.

•

Melakukan identifikasi terhadap kelemahan

(vulnerability) yang dapat memicu terjadinya

ancaman (threat).

Identifikasi aset yang berkaitan

kategori

Sumberdaya

Jaringan

Jaringan intranet, jaringan internet, teknologi

wireless

Perangkat lunak

Digital Library

Perangkat keras

Komputer server dan client, printer, scanner,

keyboard, mouse, switch, router, kabel LAN

Manusia

Koordinator dan sub koordinator bidang TI

termasuk

didalamnya

kepala,

staff,

administrator sistem, petugas teknis yang

setiap hari mengecek dan merawat digital

library

Data

Data koleksi tugas akhir, tesis, disertasi,

Risiko kesalahan

Tipe Risiko Risiko Kesalahan

No.

01

Risiko

Kesalahan klasifikasi data

Aset

Manusia, Data

Penyebab

Kesalahan klasifkasi dalam melakukan proses pengolahan data terjadi dikarenakan adanya

kesalahan atas individu yang melakukan pekerjaan itu sendiri (human error)

Dampak

jika data tidak berada pada cluster yang benar maka tidak menjamin data tersebut akan

mendapatkan proteksi yang sesuai

Kelemahan

Ketidaktelitian pegawai dalam melakukan proses pengolahan data

No.

02

Risiko

Kesalahan entri dan metadata

Aset

Manusia, Data

Penyebab

Kesalahan entri dalam melakukan proses pengolahan data terjadi dikarenakan adanya kesalahan

atas individu yang melakukan pekerjaan itu sendiri (human error)

Dampak

-Data menjadi available untuk di download

-

Integritas data terganggu

Kelemahan

Risiko Pengembangan

Tipe Risiko

Risiko Pengembangan

No.

03

Risiko

SQL injection

Aset

Software, Data

Penyebab

Tidak ada mekanisme validasi

data masukanpengguna.

Tidak ada batasan hak akses (priveleges) setiap pengguna.

Tidak ada mekanisme peringatan ketika terjadi kegagalan pada sistem.

Dampak

Kehilangan data, Perubahan data, Penghapusan data, Kegagalan sistem sementara, Proses

bisnis terganggu.

Kelemahan

Mekanisme validasi data masukan oleh sistem.

Mekanismepembatasan privelege pengguna.

Mekanisme pembatasan input karakter untuk login form.

No.

04

Risiko

Virus atau malware

Aset

Software, jaringan,

data

Penyebab

Tidak ada software keamanan yang dipasang dan tidak diupdate untuk melindungi database.

Dampak

Kerusakan data, kehilangan data, data tidak dapat diakses

Kelemahan

Risiko Pengungkapan Informasi

Tipe Risiko

Pengungkapan Informasi

No.

05

Risiko

Hacking

Aset

Software,

jaringan,

data

Penyebab

Hacking terjadi diakrenakan adanya celah keamanan yang bisa dimanfaatkan para hacker untuk

mencuri data, merusak data dan memindah data ke tempat lain.

Dampak

kehilangan data, data berubah, proses bisnis terganggu

Kelemahan

Sistem perlindungan server, source code, port yang terbuka

No.

06

Risiko

Social engineering

Aset

Software, data

Penyebab

Mekanisme otentikasi login tidak dienkripsi atau diberi perlindungan.

Tidak ada pembatasan waktu kepada pengguna yang telah masuk ke sistem.

Dampak

Pencurian data oleh orang lain, Hilangnya hak akses karyawan ke dalam sistem, Hilangnya

informasi penting ke orang lain.

Kelemahan

Penetapan tipe risiko

Untuk setiap tipe risiko, ancaman, kelemahan

sistem, dampak diberi skor/skala tinggi, cukup,

rendah, atau tidak ada

Hitung skor risiko:

(Menggunakan metode dari ISO 27002)

Urutkan risiko berdasarkan skor

Kaji ulang dan penyesuaian jika diperlukan

Buat rencana audit dengan prioritas risiko

Kaji ulang rencana dan penyesuaiannya

Laksanakan Audit

P

en

y

eg

a

ra

n

P

eri

o

d

ik

Informasi

dari luar

Informasi

dari organisasi

risiko terurut

hubungan dengan

manajemen

Rencana audit

prioritas

hubungan dengan

manajemen

A kum ul a si b as is pe n ge tah ua n audi to r

Metode penilaian probabilitas risiko

ISO/IEC 27002

Probabilitas

kejadian

Frekuensi

Nilai

Tidak pernah terjadi

Tidak pernah

0

Sangat rendah

2-3 kali setiap 5

tahun

1

Rendah

<= 1 kali per tahun

2

Sedang

<= 1 kali setiap 6

bulan

3

Tinggi

<= 1 kali setiap

bulan

4

Sangat tinggi

>=1 kali setiap

bulan

5

Metode penilaian dampak risiko ISO/IEC

27002

Dampak kejadian

Derajat dampak

Nilai

Tidak berpengaruh

Tidak mempunyai

dampak.

0

Minor

Tidak perlu usaha

lebih untuk memperbaiki.

1

Signifikan

Dampak dapat

diukur, perlu usaha lebih untuk

memperbaiki.

2

Merusak

Merusak reputasi

dan keyakinan perusahaan.

Memerlukan sumber daya lebih

untuk memperbaiki

3

Serius

Kehilangan

konektivitas. Kehilangan banyak data

atau layanan.

4

Parah

Kegagalan sistem

Estimasi risiko dengan cara scoring,

ISO/IEC 27002

Perhitungan risiko

(Probabilitas x Dampak)

Nilai

0

Tidak

berpengaruh

1-3

Rendah

4-7

Sedang

8-14

Tinggi

15-19

Kritis

20-30

Ekstrim

Menilai risiko

Risiko Kesalahan klasifikasi data Probabilitas kejadian 3 Dampak kejadian 1

Nilai risiko 3

Kategori risiko: Rendah

Risiko Kesalahan entri

dan metadata Probabilitas kejadian 4

Dampak kejadian 1

Nilai risiko 4

Menilai risiko

Risiko SQL Injection Probabilitas kejadian 2

Dampak kejadian 3

Nilai risiko 6

Kategori risiko: Sedang

Risiko Virus atau

malware

Probabilitas kejadian 1

Dampak kejadian 2

Nilai risiko 2

Menilai risiko

Risiko Hacking Probabilitas kejadian 2

Dampak kejadian 4

Nilai risiko 8

Kategori risiko: Tinggi

Risiko Social

engineering

Probabilitas kejadian 1

Dampak kejadian 4

Nilai risiko 4

Penilaian risiko

Kesimpulan

-Setelah dilakukan penilian terhadap risiko-risiko yang ada di Digital Library Perpustakaan ITS maka

kesimpulan yang didapat dari hasil penilaian risiko diatas adalah sebagai berikut:

•

Risiko tersebut ada karena terdapat kelemahan di dalam prosedur keamanan sistem, rancangan

sistem, implementasi, pengendalian internal, dan sebagainya, yang bisa dieksploitasi untuk

melanggar kebijakan keamanan system. Sebagai bukti, tidak adanya kontrol keamanan tertulis

atau SOP yang dibuat untuk menangani hal ini. Upaya untuk mengatasi masalah spontan

dilakukan jika tiba-tiba terjadi sesuatu berkaitan dengan risiko tersebut.

•

Banyak terdapat risiko dengan kategori sedang bahkan tinggi yang dapat memberikan dampak

negatif bagi institusi.

•

Risiko dengan kategori tinggi mengindikasikan bahwa Sistem sangat lemah karena tidak

menerapkan semua teknik pengendalian. Risiko dengan kategori sedang juga dapat

menimbulkan ancaman serius jika tidak ditangani segera atau dibiarkan. Dibutuhkan penanganan

lebih untuk mengatasi risiko tersebut. Maka dari itu risiko dengan kategori sedang hingga

ekstrim dalam hal ini akan menjadi prioritas pemeriksaan untuk dilaksanakan pada tahap

selanjutnya.

•

Semakin tinggi risiko akan semakin menjadi fokus audit dan dengan kedalaman pengujian yang

Dokumen Statement of

Dokumen SOA

Dokumen SOA dibuat bertujuan untuk mengendalikan dan mengontrol

keamanan yang akan diimplementasikan dalam sebuah organisasi. SOA bisa

menjadi bagian dari dokumen penilaian risiko (risk assesment), tetapi

biasanya ini merupakan dokumen yang berdiri sendiri. Elemen yang

terdapat dalam SOA dapat dilihat pada tabel 4.16 berikut ini:

•

Nama dan nomor kontrol keamanan ISO/IEC 27002.

•

Deskripsi kontrol keamanan ISO/IEC 27002.

•

Adopsi dari klausul kontrol ISO/IEC 27002 ke organisasi

•

Justifikasi dalam implementasi kontrol keamanan yang ada.

•

Referensi yang digunakan dalam dokumen SOA.

Kontrol Deskripsi persetujuan justifikasi Prosedur atau Pedoman

3.1 Responsibility for Assets

3.1.1 Inventory of assets tidak Proses inventarisasi dilakukan dengan cara

melakukan upload ke Digital Library namun tidak ada prosedur terdokumentasi pada Bidang TI dalam melakukan inventarisasi terhadap aset dengan cara tersebut.

Tidak ada

3.1.2 Ownership of assets tidak Bidang TI memang melakukan tugasnya

namun tidak ada prosedur

tertulis/terdokumentasi yang menjelaskan mengenai tata cara melakukan hal tersebut, aktifitas tersebut dilakukan sebatas rutinitas sehari-hari. Misalnya seperti backup dan maintenance.

Tidak ada

3.1.3 Acceptable use of assets ya Terdapat panduan mengenai cara

melakukan upload secara mandiri untuk mahasiswa yang akan mengupload tugas akhir/tesisnya ke Digital library. Panduan tersebut terdapat pada Website Digital Library Digilib.its.ac.id.

Panduan upload mandiri tugas akhir/tesis/disertasi

3.2 Information classification

3.2.1 Classification guidelines _{ya Bidang TI dan bidang pengolahan data}

berkoordinasi untuk melakukan katagolisasi atau pengklasifikasian terhadap semua aset yang berhubungan proses bisnis Digital Library. Keduanya melakukan klasifikasi terhadap aset yang dikelolanya.

SOP jasa teknis, koordinasi bidang klasifikasi dan katagolisasi

3.2.2 Information labeling and handling tidak Pelabelan terhadap aset dilakukan sebagai bagian dari proses klasifikasi. Pelabelan dilakukan untuk tujuan kelengkapan pustaka. Pelabelan yang dilakukan pada bidang TI dilakukan dengan memberikan metadata dan watermark namun tidak prosedur tertulis mengenai hal tersebut. Aktifitas tersebut dilakukan sebatas rutinitas mereka sehari hari

Menyusun perangkat / pedoman

audit

Komponen perangkat audit

Elemen Kriteria unjuk kerja

1. Klausul kontrol ISO 27002 1. Klausul kontrol yang ditetapkan adalah parameter dalam melakukan proses audit

2. Klausul kontrol dipetakan dengan proses bisnis utama untuk mengetahui proses yang paling kritis (butuh perhatian lebih)

3. Klausul terpilih relevan terhadap masalah

2. Mengidentifikasi dan menilai risiko

terkait 1.2. Risiko potensial dinilai dan menjadi prioritasRisiko diidentifikasi untuk merefleksikan ruang lingkup risiko

3. Dokumen SOA 1. Dokumen kerja dibutuhkan untuk membuat perangkat audit dikembangkan sesuai dengan kebutuhan dan keinginan organisasi

2. Dokumentasi yang ada diperiksa untuk memastikan keamanan berada dalam pengendalian yang seharusnya

4. Standart Operational Procedure

perpustakaan ITS 1. Legislasi yang relevan dari level pemerintah yang memperngaruhi aktivitasoperasional bisnis, khusunya yang berhubungan dengan masalah perpustakaan

Syarat membuat perangkat audit

Dalam menyusun sebuah perangkat audit terdapat beberapa persyaratan

didalamnya yang harus dipenuhi. Perangkat audit yang dibuat harus memiliki

informasi yang meliputi:

•

Alur Proses kerja yang akan ditelusuri.

•

Persyaratan yang akan diteliti pemenuhannya.

•

Hal – hal yang akan diverifikasi.

•

Penanggung jawab kerja yang akan diwawancara.

•

Catatan yang akan dicari sebagai bukti pendukung pelaksanaan

operasional kerja.

Pembuatan perangkat audit (1)

Namun Jika kasusnya adalah di mana sebuah organisasi memilih untuk tidak

mengoperasikan atau tidak mempunyai prosedur terdokumentasi, langkah

pertama yang harus dilakukan adalah menetapkan metode apa yang ada

pada organisasi yang digunakan untuk mengontrol proses. Dari sana,

auditor dapat mengevaluasi efektivitas proses dengan melakukan pengujian

untuk memastikan itu dilakukan secara konsisten dan dengan

membandingkannya dengan pasal-pasal yang sesuai pada ISO.

Pembuatan perangkat audit (2)

Cara membuat perangkat audit berbentuk checklist:

•

Pilih klausul kontrol yang spesifik pada ISO untuk proses yang diaudit ditambah

yang lebih umum lalu verifikasi kedua efektivitas proses tersebut dan juga

kepatuhannya terhadap standar.

•

Membuat daftar pertanyaan (checklist) dari klausul kontrol. Bentuk dari daftar

pertanyaan dapat meliputi 5W (what, who, why, where dan when) dan 1H (how)

atau Diagram alir proses yang dilengkapi dengan checkpoint.

•

Cara membuat pertanyaan dapat dilakukan dengan merubah kalimat positif

dalam prosedur menjadi kalimat pertanyaan, misalnya dalam prosedur tertulis

“Masukan dalam rapat tinjauan adalah: 1. Status hasil rapat tinjauan manajemen

terdahulu, 2. Dan seterusnya”. Maka pertanyaan yang bisa dibuat adalah seperti

ini: “Apakah agenda mencakup status dari apa yang sudah diputuskan dalam

laporan tinjauan manajemen terdahulu?”.

Pembuatan perangkat audit (3)

•

Membuat instruksi kerja sebagai bagian dari aktifitas audit, instruksi

yang harus dibuat spesifik mungkin untuk tiap pertanyaan (satu

pertanyaan memuat satu instruksi yang spesifik). Misal jika pertanyaan

yang diajukan adalah adalah “Apakah agenda mencakup status dari apa

yang sudah diputuskan dalam laporan tinjauan manajemen terdahulu?”.

Maka instruksi yang dapat dibuat adalah sebagai berikut: “check agenda

rapat tinjauan manajemen terakhir. Bandingkan dengan laporan tinjauan

terdahulu”. Dengan instruksi seperti ini, pada proses audit, auditor akan

langsung meminta auditee menunjukkan agenda rapat tinjauan terakhir

dan laporan rapat tinjauan terdahulu lalu membandingkan keduanya.

Contoh perangkat audit yang dibuat

Referensi Ruang lingkup, tujuan dan pertanyaan audit Hasil

Standart

Poin pertanyaan

Pertanyaan

Contoh jawaban instruksi

3.1

Responsibility for assets

Apakah

tiap aset

yang

diidentifikasi

telah ditempatkan di

lokasi yang benar?

Cek

secara

detail SOP jasa

teknis

yang

terkait

penempatan

aset

yang

dilakukan oleh

organisasi,

pastikan

penempatan

yang dilakukan

melindungi

aset

Uji coba perangkat audit

Klausul kontrol ISO 27002

Mengidentifikasi dan menilai resiko terkait

Dokumen SOA

Revisi Perangkat audit

Revisi terhadap hasil uji coba perangkat audit

dilakukan setelah pelaksanaan uji coba perangkat

audit. Revisi dilakukan karena:



Auditee susah memahami pertanyaan.



jawaban kurang sesuai (termasuk penggunaan

kata yang kurang tepat).



_{instruksi kurang spesifik}

Kesimpulan

Simpulan yang dapat diambil dari pengerjaan tugas akhir ini adalah sebagai berikut:

•

Penilaian resiko dilakukan pada area dimana resiko teridentifikasi. Area yang

dimaksud adalah aset-aset yang berkaitan dengan sistem secara langsung,

terutama data karena proses yang dipilih adalah proses pengelolaan data.

Dengan dilakukan penilaian resiko berdasarkan derajat pengukuran tertentu

maka didapatkan resiko yang direpresentasikan dalam kategori yang telah

ditentukan.

•

Perangkat audit dibuat berbentuk checklist dengan beberapa acuan seperti hasil

pemetaan klausul kontrol pada ISO/IEC 27002, yang didalamnya sudah terdapat

standar pengelolaan keamanan terutama untuk manajemen aset serta metode

dalam melakukan pendekatan berbasis resiko.

•

Berdasarkan hasil uji coba yang telah dilakukan, beberapa revisi diperlukan

terkait perbaikan dari beberapa pertanyaan dan instruksi yang telah dibuat, yaitu

meliputi mudah atau tidaknya pengelola menjawab pertanyaan yang dibuat serta

efektifitas dalam melakukan proses audit.

Saran

Beberapa saran yang diharapkan dapat dilakukan perbaikan dalam pengembangan

penelitian ini antara lain:

•

Perlu adanya prosedur kontrol terdokumentasi yang nantinya dapat membantu

menjadi acuan dalam menangani setiap masalah yang terkait dengan Digital

Library, sehingga mempermudah dalam mencari solusi jika terlibat

permasalahan, dan mempermudah pelaksanaan proses audit dan pemantauan

terhadap aktivitas pengelolaan data.

•

Perangkat audit ini hanya mencakup proses pengelolaan data Digital library saja,

untuk itu kedepannya pengembangan dapat dilakukan hingga end user point

pada Digital Library dan dimungkinkan pada sistem informasi lainnya yang ada di

perpustakaan ITS.

•

Pertanyaan dibuat lebih banyak dan detail untuk setiap kalimat yang ada pada

klausul dalam pedoman yang digunakan sehingga jawaban yang diperoleh

semakin rinci.

•

Perangkat audit ini dibuat berdasarkan ISO/IEC 27002. Untuk kedepannya

perangkat audit yang dibuat dapat dipetakan dengan pedoman lain sesuai

dengan kelebihan yang dimilikinya.