PENILAIAN RISIKO
TEKNOLOGI INFORMASI
CCTV (Closed Circuit Television)
PADA PT. ASTRA GRAPHIA
INFORMATION TECHNOLOGY
Tria Yulita
1, Lusy Adesiany
2, Dessy Liana
3, Siti Elda Hiererra
4 1234Jurusan Komputerisasi Akuntansi, Fakultas Ilmu Komputer, Universitas Bina Nusantara Jl. K. H. Syahdan No. 9, Kelurahan Kemanggisan, Kecamatan Palmerah Jakarta Barat 11480
Telp. : (62 – 21) 534 5830 ext. 2169 / 53 69 69 39
[email protected], [email protected], [email protected], [email protected]
Abstract
The purpose of this research is to assess the management of information security risks and determine the level of information technology in The Installation Project of CCTV at XYZ Bank, conducted by PT. Astra Graphia Information Technology and also to help deliver the best recommendations to the risks found. Our research methodology for collecting the data and information are study literature and field studies consist of observations, interviews, checklists, and documentation as well as the method of analysis used is an ISO/IEC 27001:2005 and Probability–Impact Matrix. The results achieved in the valuation of 133 information security management security controls are 72,18% already met the requirements, 12,78% does not met the requirements and 15,04% which does not apply to the project. Based on the risk assessment of information technology valuation, of all the 53 threats there are 35,85% ‘high’ risk level, 37,74% ‘medium’ risk level, 11,32% ‘low’ risk level, and 15,10% risk which does not apply to the project. The conclusion of the research is PT. Astra Graphia Information Technology has not met the requirements of ISO/IEC 27001:2005, they still need to improve the management of information security against threats and risks and to obtain the certification of ISO/IEC 27001:2005.
Key Words : Risk Assessment, Information Technology, ISO/IEC 27001:2005, Probability–Impact
Matrix.
Abstrak
Tujuan penelitian ialah untuk menilai manajemen keamanan informasi dan risiko teknologi informasi pada Proyek Pemasangan CCTV pada Bank XYZ yang dijalankan oleh PT. Astra Graphia Information Technology serta membantu dalam memberikan saran rekomendasi terbaik terhadap risiko yang ditemukan. Metodologi penelitian yang dilakukan tim penulis untuk mengumpulkan data dan informasi yang dibutuhkan adalah studi kepustakaan dan studi lapangan yang terdiri dari observasi, wawancara, checklist, dan dokumentasi serta metode analisis yang digunakan adalah ISO/IEC 27001:2005 dan Probability–Impact Matrix. Hasil yang dicapai dalam penilaian manajemen keamanan informasi dari 133 kontrol keamanan terdapat 72,18% yang sudah terpenuhi, 12,78% yang belum terpenuhi, dan 15,04% yang tidak berlaku pada proyek. Dalam penilaian risiko teknologi informasi dari 53 ancaman terdapat 35,85% tingkat risiko ‘high’, 37,74% tingkat risiko ‘medium’, 11,32% tingkat risiko ‘low’, dan 15,10% risiko yang tidak berlaku pada proyek. Simpulan hasil penelitian yang telah dilakukan adalah PT. Astra Graphia Information Technology belum memenuhi seluruh persyaratan kontrol keamanan pada ISO/IEC 27001:2005 sehingga masih perlu memperbaiki manajemen keamanan informasi dalam menghadapi ancaman dan risiko serta untuk memperoleh sertifikasi ISO/IEC 27001:2005.
Kata Kunci : Penilaian Risiko, Teknologi Informasi, ISO/IEC 27001:2005, Probability–Impact Matrix.
Pendahuluan
PT. Astra Graphia Information Technology yang selanjutnya akan tim penulis sebut sebagai PT. AGIT sedang menjalankan sebuah proyek teknologi informasi yaitu Proyek CCTV Pada Bank XYZ. Pada Proyek CCTV Pada Bank XYZ terdapat proses implementasi dan operasional yang dijalankan. Manusia menjadi peran utama pada kedua proses tersebut sehingga faktor Human Threat menjadi sangat penting dalam menimbulkan risiko pada proyek ini. “Risiko adalah ketidakpastian yang dapat memiliki dampak negatif atau positif dalam memenuhi tujuan proyek.” (Schwalbe, 2011:425). Hal tersebut mendorong perusahaan untuk menghadapi risiko yang dapat terjadi dengan mengurangi dampak yang ditimbulkan. “Manajemen risiko merupakan disiplin ilmu yang ada untuk menghadapi risiko yang tidak spekulatif, risiko-risiko tersebut hanya dari kerugian yang dapat terjadi.” (Calder & Watkins, 2008:81). Oleh karena itu, perlu adanya penilaian risiko yang dilakukan pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ. “Penilaian risiko adalah proses kedua dalam siklus hidup manajemen risiko. Organisasi menggunakan penilaian risiko untuk menentukan apa ancaman yang ada untuk suatu aset dan tingkat risiko yang terkait ancaman itu.” (Peltier, 2005:16). Penilaian dilakukan untuk mengetahui ancaman apa saja yang timbul, seberapa besar tingkat risiko yang dihadapi terkait dengan ancaman tersebut, dan pengendalian apa yang harus dilakukan untuk mengendalikan ancaman dan mengurangi tingkat risikonya sehingga proses implementasi dan operasional Proyek CCTV Pada Bank XYZ dapat terus berjalan tanpa mengurangi keefektifannya dalam mencapai tujuan proyek.
Dengan adanya latar belakang di atas, maka tim penulis perlu melakukan penelitian pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ dengan merumuskan masalah sebagai berikut :
1. Apakah manajemen keamanan informasi pada Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT sudah memenuhi persyaratan pada ISO/IEC 2700:2005?
2. Apa saja ancaman yang timbul dan seberapa besar tingkat risiko yang dihadapi oleh PT. AGIT dalam menjalankan Proyek CCTV Pada Bank XYZ?
3. Bagaimana pengendalian yang efektif berdasarkan kontrol keamanan pada ISO/IEC 27001:2005 yang dapat digunakan untuk mengendalikan ancaman dan mengurangi tingkat risiko di dalam Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT?
Berdasarkan latar belakang dan rumusan masalah di atas, maka tujuan dalam penyusunan dan penulisan skripsi ini, yaitu untuk melakukan penilaian manajemen keamanan informasi dengan menganalisa hasil temuan audit dan memberikan saran rekomendasi untuk perbaikan berdasarkan kontrol keamanan pada ISO/IEC 27001:2005 serta untuk melakukan penilaian risiko dengan menentukan tingkat risiko pada setiap ancaman berdasarkan Probability - Impact Matrix dan memberikan saran pengendalian ancaman berdasarkan kontrol keamanan pada ISO/IEC 27001:2005. Kedua penilaian tersebut dilakukan pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT.
Metode Penelitian
Dalam penelitian ini dan untuk mencapai tujuannya digunakan beberapa metodologi yang mendukung diantaranya yaitu :
1. Studi kepustakaan
Metodologi penelitian dengan mempelajari buku-buku maupun bahan-bahan tertulis lainnya yang terkait dengan ISO/IEC 27001:2005 dan Penilaian Risiko dengan menggunakan Probability-Impact Matrix.
2. Studi lapangan
Metodologi penelitian dengan mengadakan peninjauan langsung pada perusahaan yang bersangkutan. Metodologi penelitian yang digunakan antara lain:
a. Pengamatan (Observation)
Pengumpulan data dilakukan dengan cara mendatangi secara langsung perusahaan dan melakukan penilaian risiko pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ.
b. Wawancara (Interview)
Dilakukan dengan mengadakan tanya jawab secara langsung dengan pihak-pihak yang terkait untuk memperoleh gambaran secara umum tentang perusahaan dan masalah-masalah yang berkaitan dengan penulisan skripsi ini.
c. Ceklis (Check-List)
Dilakukan dengan memberikan daftar pertanyaan yang digunakan untuk menilai manajemen keamanan informasi berdasarkan standar internasional untuk SMKI yaitu ISO/IEC 27001:2005 dan menilai risiko dengan menggunakan Probability - Impact Matrix pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ. d. Dokumentasi (Documentation)
Dilakukan dengan mengumpulkan dokumentasi, baik secara tertulis maupun gambar yang berkaitan dengan proses implementasi dan operasional Proyek CCTV Pada Bank XYZ.
Hasil dan Bahasan
Penilaian Manajemen Keamanan Informasi
Dalam penilaian manajemen keamanan informasi, kami menggunakan suatu standar internasional yaitu ISO 27001. Menurut Arnanson & Willet (2008:5), ISO 27001 adalah sebagai berikut : “ISO 27001 menyediakan model umum untuk melaksanakan dan mengoperasikan SMKI, dan memantau dan meningkatkan operasi SMKI. Standar 27001 memberikan petunjuk untuk menerapkan SMKI, serta untuk memperoleh sertifikat internasional pihak ketiga untuk membuktikan bahwa kontrol keamanan ada dan beroperasi sesuai dengan persyaratan dari standar.”
Utomo, Ali, Affandi (2012) membagi struktur organisasi ISO/IEC 27001 : 2005 menjadi dua bagian besar yaitu :
1) Klausul : Mandatory Process
Klausul (pasal) adalah persyaratan yang harus dipenuhi jika organisasi menerapkan SMKI dengan menggunakan standard ISO/IEC 27001 : 2005.
2) Annex A : Security Control
Annex A adalah dokumen referensi yang disediakan dan dapat dijadikan rujukan untuk menentukan kontrol keamanan apa (security control) yang perlu diterapkan dalam SMKI, yang terdiri dari 11 klausul kontrol keamanan, 39 kontrol objektif dan 133 kontrol.
Analisis Temuan Audit Manajemen Keamanan Informasi Berdasarkan ISO/IEC 27001:2005 Audit dilakukan pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT dengan menggunakan ISO/IEC 27001:2005. Berikut merupakan beberapa analisa hasil temuan audit berdasarkan kategori temuan audit yang diperoleh :
A.9 Keamanan Fisik Dan Lingkungan A.9.1 Wilayah Aman
A.9.1.2 Pengendalian Masuk Secara Fisik
Tabel 1 - Analisa Temuan Audit Pada A.9.1.4 Analisa Hasil Audit:
Berdasarkan audit yang dilakukan, perlindungan terhadap bencana alam sudah dilakukan oleh perusahaan dengan menyediakan alat perlindungan bencana alam seperti fire extinguisher, fire alarm, smoke detector, dan hydran di setiap area-area operasional pemantauan CCTV dan penyimpanan data rekaman CCTV (i.e ruang pemantauan, data center, helpdesk). Persyaratan ISO/IEC 27001: 2005 : A.9.1.4 Kategori Temuan: Comply Analisa Penyebab :
Tidak terdapat analisa penyebab pada hasil audit ini. Saran Tindakan Perbaikan :
Tidak ada saran yang diajukan untuk tindakan perbaikan karena proses operasional Proyek Pemasangan CCTV yang dilakukan sudah memenuhi persyaratan pada A.9.1.4.
Target Selesai :
A.11 Pengendalian Akses
A.11.3 Tanggung Jawab Pengguna
A.11.3.3 Kebijakan Clear Desk Dan Clear Screen
Tabel 2 - Analisa Temuan Audit Pada A.11.3.3 Analisa Hasil Audit:
Berdasarkan audit yang dilakukan, PT. AGIT belum membuat dan mengimplementasikan kebijakan mengenai clear screen dan desk policy. Hasil audit pada annex ini termasuk kategori temuan major karena tidak ada dokumen secara tertulis maupun aktivitas yang dilaksanakan mengenai clear screen dan desk policy.
Persyaratan ISO/IEC 27001: 2005 : A.11.3.3 Kategori Temuan: Not Comply (Major) Analisa Penyebab :
PT. AGIT belum berfokus pada SMKI untuk Proyek Pemasangan CCTV yang dijalankan sehingga belum terdapat kebijakan mengenai clear screen dan desk policy pada setiap karyawannya.
Saran Tindakan Perbaikan : Manajemen PT. AGIT seharusnya membuat kebijakan yang tertulis mengenai clear screen dan desk policy. Setelah itu, setiap karyawan harus mengimplementasikan kebijakan tersebut agar dokumen-dokumen penting yang ada pada computer/desktop dan juga meja kerja tidak disalahgunakan oleh orang lain yang tidak berkepentingan.
Target Selesai :
Minggu ke 3, bulan Maret 2014
A.10 Manajemen Komunikasi Dan Operasi A.10.8 Pertukaran Informasi
A.10.8.4 Pesan Elektornik
Tabel 3 - Analisa Temuan Audit Pada A.10.8.4 Analisa Hasil Audit:
Berdasarkan audit yang dilakukan, pada Proyek Pemasangan CCTV tidak terdapat kesepakatan untuk melakukan pertukaran data rekaman CCTV melalui e-mail atau instant messenger, melainkan menggunakan Flash Disk. Hal tersebut untuk mengurangi risiko data ilegal, kode berbahaya, dan akses ilegal yang mungkin timbul pada saat pertukaran data terjadi.
Persyaratan ISO/IEC 27001: 2005 : A.10.8.4 Kategori Temuan: NA Analisa Penyebab :
Kapasitas yang ada pada e-mail atau instant messenger tidak menunjang kapasitas data rekaman CCTV yang akan dikirimkan.
Saran Tindakan Perbaikan :
Tidak ada saran yang diajukan untuk tindakan perbaikan pada hasil audit ini karena persyaratan pada A.10.8.4 tidak berlaku pada Proyek Pemasangan CCTV.
Target Selesai :
Hasil yang diperoleh dari penilaian manajemen keamanan informasi terkait dengan 133 kontrol keamanan berdasarkan hasil temuan audit pada Proyek CCTV pada Bank XYZ dengan menggunakan ISO/IEC 27001:2005 dan ditampilkan dengan menggunakan grafik pie chart berikut:
Gambar 1 Hasil Penilaian Manajemen Keamanan Informasi Pada Proyek CCTV Pada Bank XYZ
Penilaian Risiko
Penilaian risiko yang dilakukan oleh kami merupakan proses penilaian tingkat risiko terkait dengan ancaman yang muncul pada proses implementasi dan operasional Proyek CCTV yang dijalankan oleh PT. AGIT. Dalam melakukan penilaian risiko, kami melakukan enam langkah penilaian risiko. Langkah-langkah penilaian risiko yang harus dilakukan adalah sebagai berikut:
1. Definisi Aset;
Tabel 4 - Aset Yang Digunakan Pada Proyek CCTV Pada Bank XYZ
2. Identifikasi Ancaman;
Natural Threat : Angin topan, angin kencang (70+ mph), badai tropis, banjir musiman, banjir lokal, aktivitas gunung merapi, Gempa bumi (2-4 skala Richter), Gempa bumi (5 skala Richter atau lebih) dan petir.
Human Threat : ancaman bom, bom, pembakaran, perusakan, kerusuhan / kekacauan sipil, pencurian data, penggandaan data, penyebaran data secara ilegal, penyalahgunaan hak akses, kesalahan penghapusan data, kesalahan menghilangkan data, serangan virus komputer, keterlambatan penanggulangan masalah, dan kegagalan sistem.
Jenis Aset Hardware
Network Video Recorder (NVR)
Network Video Recorder (NVR) Fail Over Control Management System (CMS) Network Attached Storage (NAS) Network Switch
Kamera CCTV
Power Over Ethernet (POE) Injector Power Over Ethernet (POE) Switch PC (Personal Computer) Desktop Software
Microsoft Windows XP Microsoft Windows 7 CMS Monitoring
LANDesk Service Desk (Sistem Helpdesk) Manage Enggine-Operation Manager
Environmental Threat : Kelebihan voltase listrik, kekurangan voltase listrik, pemadaman listrik, kebocoran air, tikus, cicak, kecoa, dan laba-laba.
3. Menentukan Probabilitas Kejadian;
High probability : Sangat mungkin bahwa ancaman akan terjadi dalam tahun berikutnya.
Medium probability : Kemungkinan bahwa ancaman mungkin terjadi selama tahun berikutnya.
Low probability : Sangat tidak mungkin bahwa ancaman akan terjadi selama tahun berikutnya.
4. Menentukan Dampak Dari Ancaman;
High Impact : penutupan pada unit bisnis yang bersifat penting. Dampak ini mengarah pada kerugian yang signifikan pada bisnis, perusahaan, atau keuntungan.
Medium Impact : gangguan jangka pendek pada proses bisnis atau sistem yang menyebabkan kerugian pada sebagian bidang keuangan pada unit bisnis tunggal. Low Impact : tidak menyebabkan kehilangan atau kerugian pada bidang keuangan.
Tabel 5 - Probability-Impact Matrix I M P A C T
High
High Medium Low
High High Medium
Medium High High Medium
Low Medium Medium Low
Keterangan :
High : Tindakan korektif harus diterapkan. Medium : Tindakan korektif sebaiknya diterapkan. Low : Tidak ada tindakan yang diperlukan. 5. Kontrol Yang Direkomendasikan;
Tabel 6 - Kontrol Menggunakan Klausul 9
Klausul Kontrol Objektif Kontrol Keamanan Klausul 9 : Keamanan Fisik dan Lingkungan A.9.1 : Wilayah Aman A.9.1.4 : Perlindungan terhadap ancaman eksternal dan lingkungan.
Deskripsi Kontrol : Perlindungan fisik terhadap bahaya kebakaran, banjir, gempa bumi, ledakan, kerusuhan sipil, dan bentuk bencana alam atau buatan manusia lainnya harus dirancang dan diaplikasikan. Ancaman Yang Dikontrol :
Angin Topan
Angin kencang (70 + mph) Badai tropis
Banjir musiman Banjir lokal
Aktivitas gunung merapi P R O B A B I L I T Y
Gempa bumi (2-4 skala Richter) Gempa bumi (5 skala Richter atau lebih) Petir
Ancaman bom Pembakaran area kerja Perusakan area kerja Kerusuhan / kekacauan sipil
A.9.2 : Keamanan Peralatan A.9.1.2 : Penempatan dan perlindungan terhadap peralatan. Deskripsi Kontrol : Peralatan harus ditempatkan atau dilindungi untuk mengurangi risiko ancaman dan bahaya, dan kesempatan akses ilegal. Ancaman Yang Dikontrol :
Kelebihan Voltase Listrik Kekurangan Voltase Listrik Kebocoran Air
Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai
Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai
Tabel 7 - Kontrol Menggunakan Klausul 11 Klausul Kontrol Objektif Kontrol Keamanan Klausul 11 : Pengendalian Akses A.11.3 : Tanggung Jawab Pengguna A.11.3.3 :
Kebijakan clear desk dan clear screen
Deskripsi kontrol : Kebijakan clear desk dari kertas dan media pemindah data dan kebijakan clear screen dari fasilitas pengolahan informasi harus diadopsi. Ancaman Yang Dikontrol :
Pencurian data Penggandaan data
Penyebaran data secara ilegal Penyalahgunaan hak akses Kesalahan penghapusan data Kesalahan menghilangkan data Serangan virus komputer
Tabel 8 - Kontrol Menggunakan Klausul 14 Klausul Kontrol Objektif Kontrol Keamanan Klausul 14 : Manajemen Kelangsungan Bisnis A.14.1 : Aspek Keamanan Informasi Pada Manajemen Kelangsungan Bisnis A.14.1.1 : Memasukkan keamanan informasi ke dalam proses manajemen kelangsungan bisnis. Deskripsi kontrol : Proses yang teratur pada kelangsungan bisnis harus dikembangkan dan dipelihara melalui organisasi yang mencantumkan kebutuhan keamanan informasi pada kontinuitas bisnis organisasi.
Ancaman Yang Dikontrol :
Keterlambatan penanggulangan masalah Kegagalan sistem
Pemadaman listrik
6. Dokumentasi.
Tabel 9 - Penilaian Risiko
Threat Probability Impact Risk Level 1 = Low 1 = Low 2 = Medium 2 = Medium 3 = High 3 = High Natural Threat
Banjir lokal 1 1 Low
Human Threat
Tindakan Disengaja Penyalahgunaan
hak akses 2 3 High
Tindakan Tidak Disengaja Serangan Virus komputer 2 3 High Environmental Threat Pemadaman Listrik 3 1 Medium Binatang Tikus : mengerat, sarang, urine, kotoran, bangkai 2 2 High
Hasil yang diperoleh dari penilaian risiko berdasarkan tingkat risiko yang diakibatkan oleh ancaman-ancaman yang muncul pada Proyek CCTV Pada Bank XYZ dengan menggunakan Probability-Impact Matrix dan ditampilkan dengan menggunakan grafik pie chart berikut:
Gambar 2 Hasil Penilaian Risiko Pada Proses Implementasi dan Operasional Proyek Pemasangan CCTV Pada Bank XYZ
Simpulan dan Saran
Simpulan
Dari hasil analisis yang dilakukan terhadap Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT, maka diperoleh beberapa kesimpulan dari hasil analisis, yaitu :
1. Dari 133 kontrol keamanan yang terdapat pada ISO/IEC 27001 : 2005, PT. AGIT memenuhi 96 persyaratan, tidak memenuhi 17 persyaratan dan 20 persyaratan lainnya tidak berlaku pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dijalankan. 2. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah mencapai
dan memelihara perlindungan terhadap aset dan informasi yang terdapat pada organisasi dengan tepat. Hal ini dapat dilihat bahwa sudah terdapat dokumen CMDB (Configuration Management Database) dan Rencana Penyusunan Layanan yang mendukung seluruh kontrol keamanan pada 0Klausul 7 mengenai Manajemen Aset.
3. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah mencegah akses fisik, bahaya, dan gangguan ilegal terhadap lokasi dan informasi organisasi serta telah mencegah kehilangan, bahaya, pencurian aset, dan gangguan terhadap aktivitas organisasi dengan perlindungan yang tepat. Hal ini dapat dilihat bahwa sudah terdapat dokumen Rencana Penyusunan Layanan dan BAKT (Berita Acara Kunjungan Teknisi), database CAR (Company Asset Request) dan alat-alat perlindungan bencana alam yang mendukung seluruh kontrol keamanan pada Klausul 9 mengenai Keamanan Fisik dan Lingkungan.
4. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah melakukan pelaporan dan penanganan terhadap setiap peristiwa dan kelemahan pada sistem informasi dengan tepat waktu. Hal ini dapat dilihat bahwa sudah terdapat dokumen KPI (Key Performance Indicator) dan AG World yang mendukung seluruh kontrol keamanan pada Klausul 13 mengenai Manajemen Insiden Keamanan Informasi.
5. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah melakukan perlindungan dan merancang penanggulangan terhadap risiko yang mungkin terjadi berdasarkan SCP (Service Continuity Plan) yang telah dibuat oleh Tim Proyek CCTV dari PT. AGIT yang sudah di sah kan berdasarkan standar ISO 20000. Sehingga SCP tersebut telah mendukung seluruh kontrol keamanan pada Klausul 14 mengenai Manajemen Kelangsungan Bisnis.
6. Dari 53 ancaman yang terdapat pada Tabel Penilaian Risiko Terhadap Klasifikasi Ancaman Berdasarkan Sumber Ancaman Pada Proses Implementasi dan Operasional, Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT memiliki 19 ancaman pada
15.10% 11.32%
37.74% 35.85%
tingkat risiko High, 20 ancaman pada tingkat risiko Medium, 6 ancaman pada tingkat risiko Low, dan 8 ancaman lainnya tidak berlaku di dalam proyek.
7. Dari seluruh ancaman yang sudah diidentifikasi, faktor Human Threat merupakan sumber ancaman yang paling berpengaruh terhadap terjadinya risiko, baik dengan tindakan yang disengaja maupun tidak disengaja.
Saran
Berdasarkan kesimpulan yang ada, penulis memberikan saran yang dapat dijadikan bahan masukan bagi Tim Proyek PT.AGIT terkait dengan Proyek CCTV Pada Bank XYZ, antara lain :
1. Tim Proyek CCTV dari PT. AGIT perlu memperhatikan dan memenuhi setiap persyaratan kontrol keamanan pada 8 klausul lainnya yaitu :
Klausul 5 mengenai Kebijakan Keamanan Informasi. Klausul 6 mengenai Organisasi Keamanan Informasi. Klausul 8 mengenai Keamanan Sumber Daya Manusia. Klausul 10 mengenai Manajemen Komunikasi dan Operasi. Klausul 11 mengenai Pengendalian Akses.
Klausul 12 mengenai Perolehan, Perkembangan dan Pemeliharaan Sistem Informasi. Klausul 14 mengenai Manajemen Kelangsungan Bisnis.
Klausul 15 mengenai Kepatuhan.
Dimana pemenuhan setiap persyaratan kontrol keamanan yang perlu dilakukan oleh PT. AGIT memliki tujuan untuk memperoleh sertifikasi ISO/IEC 27001:2005 pada Proyek CCTV pada Bank XYZ yang dijalankan.
2. Tim Proyek CCTV dari PT. AGIT dianjurkan untuk menggunakan siklus PDCA dalam membangun SMKI di dalam Proyek CCTV Pada Bank XYZ agar dapat memperoleh sertifikasi ISO/IEC 27001:2005.
3. Tim Proyek CCTV dari PT. AGIT sebaiknya menggunakan pengendalian berdasarkan kontrol keamanan yang terdapat pada ISO/IEC 27001:2005 yang telah direkomendasikan oleh penulis agar dapat mengurangi tingkat risiko yang dihadapi dalam Proyek CCTV pada Bank XYZ.
4. Tim Proyek CCTV dari PT. AGIT harus lebih memprioritaskan pengendalian terhadap ancaman yang memiliki tingkat risiko High untuk mencegah kemungkinan terjadinya ancaman dan mengurangi dampak dari risiko yang menyebabkan kerugian yang signifikan di tahun berikutnya.
Referensi
Ikhwansyah, A. I. (2011). Makalah Pencegahan Pencemaran “International Organization for Standarization (ISO)”, Fakultas Teknik Universitas Riau, Riau. Diakses pada 27 Desember 2014 dari :http://www.scribd.com/doc/92575563/Makalah-Tentang-ISO
Lussianty, Setyawati, Tantono. (2013). PENGUKURAN RISIKO INFORMASI TEKNOLOGI PADA PT. STREET DIRECTORY INDONESIA DENGAN MENGGUNAKAN ISO/IEC 27001/2, Universitas Bina Nusantara, Jakarta. Diakses pada 27 Desember 2014 dari :
http://www.library.binus.ac.id
Utomo, Ali, Affandi. (2012). Pembuatan Tata Kelola Keamanan Informasi Kontrol Akses Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan Perbendaharaan Surabaya I. Jurnal Teknik ITS (Online), Vol. 1, No. 1. Diakses pada 26 Desember 2013 dari : http://www.ejurnal.its.ac.id
Arnanson, Sigurjon T., Willet, Keith D. (2008). How to Achieve 27001 Certification. USA : Auerbach Publications Taylor & Francis Group.
Brown, Carol V., DeHayes, Daniel W., Hoffer, Jeffrey A., Martin, E.Wainright., Perkins, William C. (2012). Managing Information Technology. New Jersey : Pearson Education, Inc.
Calder, A., Watkins, S. (2008). IT Governance A Manager’s Guide to Data Security and ISO 27001/ISO 27002. London, Philadelphia, New Delhi : Kogan Page Limited.
Hall, James A. (2011) :
a. Information Technology Auditing. USA : South-Western, Cengage Learning.
b. Introduction to Accounting Information Systems. Canada : South-Western Cengage Learning.
O’Brien, James A., Marakas, George M. (2010). Introduction To Information Systems. New York : The McGraw-Hill Companies,Inc.
Peltier, Thomas R. (2005). Information Security Risk Analysis. USA : Auerbach Publications Taylor & Francis Group.
Rainer, R. K., Cegielski, Casey G. (2013). Introduction to Information Systems. Singapore : John Wiley & Sons, Inc.
Satzinger, John W., Jackson, Robert B., Burd, Stephen D. (2009). System Analysis and Design In a Changing World. Boston : Course Technology, Cengage Learning.
Schwalbe, K. (2011). Managing Information Technology Projects. Canada : Course Technology, Cengage Learning.
Turban, E., Volonino, L. (2012). Information Technology for Management. Asia : John Willey & Sons, Inc.
Whitman, Michael E., Mattord, Herbet J. (2010). Management of Information Security. USA : Course Technology, Cengage Learning.
Riwayat Penulis
Tria Yulita lahir di kota Jakarta pada 9 Juli 1991. Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Ilmu Komputer Jurusan Komputerisasi Akuntansi pada tahun 2014. Lusy Adesiany lahir di kota Bekasi pada 1 Desember 1992. Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Ilmu Komputer Jurusan Komputerisasi Akuntansi pada tahun 2014.
Dessy Liana lahir di kota Bekasi pada 31 Desember 1991. Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Ilmu Komputer Jurusan Komputerisasi Akuntansi pada tahun 2014.
