Felix nugraha k 08.41010.0048 Latar Belakang Pengelolaan inventori, transaksi, data pelanggan, dan data supplier, serta keseluruhan pelaporan dan analisa keuangan ditangani dalam sistem operasional yang terintegrasi Software Development for Cyberinfrastructure (SDCI) Latar Belakang Masalah keamanan = salah satu aspek penting dari sebuah sistem informasi. Pentingnya nilai sebuah informasi menyebabkan informasi seringkali ingin diakses oleh orang-orang tertentu secara ilegal. Hal-hal lain juga dapat menimbulkan kerugian bagi perusahaan misalnya kerugian apabila sistem informasi tidak bekerja selama kurun waktu tertentu, kerugian apabila ada kesalahan data atau informasi dan kehilangan data (Rahardjo, 2005: 1) . Latar Belakang Selama penerapan aplikasi SDCI ini telah terjadi beberapa kendala antara lain: • Ditemukannya beberapa kasus penyalahgunaan password yang dapat mengancam kerahasiaan perusahaan. Selain itu dikhawatirkan dapat berdampak pada terjadinya penyalahgunaan informasi yang merugikan PT. KKAI dalam persaingan dengan para kompetitor. • Kendala lain yang ditemukan adalah kurangnya pemeliharaan terhadap fasilitas pemrosesan informasi yang dapat menyebabkan sistem menjadi sering hang, jaringan down, hingga terbakarnya harddisk yang menyebabkan hilangnya data perusahaan. • PT. KKAI juga belum memiliki aturan dan prosedur terhadap ancaman virus. Ancaman virus itu dapat menimbulkan gangguan kinerja sistem informasi bahkan dapat mengacau keberlangsungan operasional PT. KKAI. Latar Belakang Selama ini PT. KKAI belum pernah melakukan analisa penyebab terjadinya permasalahan tersebut dan PT. KKAI tidak mengetahui sampai di mana tingkat keamanan sistem informasi yang milikinya. Oleh karena itu perlu mengevaluasi keamanan sistem informasi menjaga keamanan sistem informasi yang dimiliki audit keamanan sistem informasi (Asmuni dan Firdaus, 2005:23). Keamanan informasi untuk menjaga aspek kerahasiaan (Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability) dari Informasi (ISO/IEC 27002, 2005:1) Latar Belakang Audit keamanan sistem informasi perlu suatu standar (Tanuwijaya dan Sarno, 2010:80). Standar yang dipilih ISO 27002 Pertimbangan : Fleksibel dikembangkan tergantung pada - kebutuhan organisasi, - tujuan organisasi, - persyaratan keamanan, - proses bisnis, - jumlah pegawai dan ukuran struktur organisasi. Sertifikat implementasi Sistem Manajemen Keamanan Informasi (SMKI) Information Security Management System (ISMS) certification (Sarno dan Iffano, 2009: 59-60). Latar Belakang Audit keamanan sistem informasi pada PT. KKAI mengukur tingkat keamanan teknologi informasi Menghasilkan rekomendasi untuk meningkatkan keamanan informasi pada perusahaan acuan memperoleh ISMS certification dgn standar ISO 27002 menambah nilai tambah dan kepercayaan terhadap PT. KKAI. Perumusan Masalah Bagaimana membuat perencanaan audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 Bagaimana melaksanakan audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 Bagaimana menyusun hasil audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 Batasan Masalah Semua klausul ISO 27002 yang digunakan, telah disesuaikan dengan keadaan yang ada pada PT. KKAI. Klausul ISO 27002 yang digunakan adalah: Klausul 6: Organisasi Keamanan Informasi Klausul 7: Manajemen Aset Klausul 8: Manajemen SDM Klausul 9: Keamanan Fisik dan Lingkungan Klausul 10: Manajemen Komunikasi dan Operasi Klausul 11: Kontrol Akses Klausul 13: Manajemen Kejadian Keamanan Informasi Sistem Informasi yang di audit Software Development for Cyberinfrastructure (SDCI) Audit hanya dilakukan PT. KKAI yang terletak Jl. Raya Pabean No.77, Sedati – Sidoarjo Tujuan Melakukan dan membuat perancangan audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 untuk menentukan dokumen perencanaan, ruang lingkup, pengumpulan data dan langkah-langkah pelaksanaan audit. Melakukan audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 dengan wawancara berdasarkan RACI, mengisi penilaian masing-masing klausul, mengukur dan menganalisis maturity level sampai ditemukannya temuan-temuan audit. Menyusun hasil audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 dengan melakukan evaluasi dari bukti-bukti yang ada, mendokumentasikan temuan audit dan didapat laporan hasil audit yang berupa temuan, kesimpulan dan rekomendasi. Landasan Teori AUDIT = proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan. Tujuan dari audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi (ISACA, 2006). Landasan Teori AUDIT SISTEM INFORMASI (Weber, 1999) = proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif. KEAMANAN INFORMASI = penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasir resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (ISO/IEC 27001, 2005). Landasan Teori ISO 27002 = panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan di dalam ISO/IEC 27001. Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan berdasarkan ISO/IEC 27001 terdiri dari 11 klausul kontrol keamanan (security control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol keamanan/ kontrol (controls) Metodologi Penelitian Hasil dan Pembahasan Temuan Peraturan perusahaan kurang tegas dan kurang spesififk untuk kerahasiaan password, belum adanya perjanjian atau pernyataan tertulis yang ditandatangani untuk benar-benar menjaga kerahasiaan password masing-masing, kurangnya kesadaran serta pengetahuan karyawan terhadap pentingnya merahasiakan password. Terdapat banyak kebijakan dan prosedur yang belum terdokumentasi, bahkan ada beberapa tindakan dalam perusahaan yang dilakukan berdasarkan spontanitas dan tanpa ada aturan baku yang bersifat formal. Tidak terdapat pelatihan apapun mengenai keamanan informasi, baik terhadap ancaman virus, penggunaan password yang baik, pemeliharaan fasilitas pemrosesan informasi, dan lain-lain. Hasil dan Pembahasan Rekomendasi Menjabarkan perjanjian kerahasiaan secara detail dan spesifik termasuk menjaga kerahasiaan password. Menerapkan prosedur perjanjian antara perusahaan dengan pegawai untuk menandatangani perjanjian khusus untuk menjaga kerahasiaan informasi perusahaan Di dalam perjanjian tersebut sebaiknya terdapat pasal yang harus dipatuhi mengenai penjagaan kerahasiaan informasi, termasuk rincian tanggung jawab, dan sanksi terhadap pelanggaran kerahasiaan dan keamanan informasi perusahaan. Mengadakan seminar atau pelatihan tentang pentingnya menjaga kerahasiaan password ataupun bagaimana pemilihan dan penggunaan password yang baik agar karyawan memilliki pengetahuan yang cukup serta kesadaran untuk menjaga kerahasiaan password masing-masing Hasil dan Pembahasan Rekomendasi Melakukan observasi atau pemetaan terhadap proses kerja yang sudah berjalan atau akan berjalan. Melakukan benchmarking bila diperlukan dengan perusahaan sejenis. Mendesain kebijakan dan prosedur sesuai dengan hasil observasi dan hasil referensi untuk menambah ketajaman dari desain prosedur. Melakukan review prosedur agar prosedur yang sudah dibuat bisa berjalan tanpa hambatan. Menetapkan sanksi atas pelanggaran kebijakan atau prosedur yang telah diberlakukan, mendokumentasikan kebijakan dan prosedur sesuai dengan persetujuan manajemen, dan mengumumkannya. Hasil dan Pembahasan Rekomendasi Membuat modul pelatihan baik tentang penggunaan aplikasi maupun tentang keamanan informasi, antisipasi terhadap serangan virus, pemeliharaan fasilitas pemrosesan informasi yang benar, kebijakan, maupun prosedur organisasi. Mengadakan pelatihan tentang penggunaan aplikasi maupun tentang keamanan informasi, antisipasi terhadap serangan virus, prosedur keamanan informasi dan penggunaan fasilitas pemrosesan informasi yang benar. Melakukan evaluasi dan pemantauan terhadap penerapan hasil pelatihan yang telah dilakukan. Kesimpulan Perancangan audit keamanan sistem informasi pada PT. KKAI berdasarkan standar ISO 27002 yang dilakukan pada Klausul 6 hingga Klausul 13, pengumpulan data, dan langkah-langkah pelaksanaan audit hingga pelaporan hasil audit keamanan sistem informasi telah berhasil dilakukan. 2. Nilai maturity level yang dihasilkan oleh PT. Karya karang Asem Indonesia yaitu 3.18 yang masuk pada kategori level 3 yaitu defined. Hal tersebut menandakan proses keamanan sistem informasi pada PT. Karya karang Asem Indonesia telah dilakukan secara rutin sesuai dengan standar prosedur yang ada. 3. Berdasarkan temuan-temuan dari hasil audit keamanan sistem informasi berdasarkan standar ISO 27002 pada PT. KKAI terdapat beberapa kelemahankelemahan aturan dan prosedur keamanan sistem informasi mengakibatkan PT. KKAI rentan terhadap ancaman keamanan informasi yang dapat menyebabkan timbulnya resiko-resiko, antara lain: penyalahgunaan informasi dan hilangnya data perusahaan yang akan dapat memberi dampak kerugian besar pada PT. KKAI. 1. Saran Audit keamanan sistem informasi ini masih belum menerapkan seluruh kontrol keamanan yang telah dipetakan di karenakan keterbatasan auditor untuk mengakses data perusahaan. Sehingga diharapkan setelah seluruh sistem perusahaan telah berjalan sesuai dengam proses bisnis yang ada atau setelah membuat prosedur sistem manajemen keamanan informasi yang baru maka perlu dilakukan audit keamanan sistem informasi kembali untuk menentukan maturity level yang baru setelah perusahaan sudah melakukan perbaikan pada sistem keamanan informasinya. 2. Diharapkan PT. KKAI dapat melakukan perbaikan manajemen keamanan sistem informasi dan aturan prosedur keamanan sistem informasi agar ancaman-ancaman terkait keamanan informasi dapat diminimalisir. 1. TERIMA KASIH