AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN

advertisement
Felix nugraha k
08.41010.0048
Latar Belakang
 Pengelolaan inventori, transaksi, data pelanggan, dan data
supplier, serta keseluruhan pelaporan dan analisa keuangan
ditangani dalam sistem operasional yang terintegrasi 
Software Development for Cyberinfrastructure (SDCI)
Latar Belakang
 Masalah keamanan = salah satu aspek penting dari sebuah sistem informasi.
 Pentingnya nilai sebuah informasi menyebabkan informasi seringkali ingin
diakses oleh orang-orang tertentu secara ilegal. Hal-hal lain juga dapat
menimbulkan kerugian bagi perusahaan misalnya kerugian apabila sistem
informasi tidak bekerja selama kurun waktu tertentu, kerugian apabila ada
kesalahan data atau informasi dan kehilangan data (Rahardjo, 2005: 1) .
Latar Belakang
Selama penerapan aplikasi SDCI ini telah terjadi beberapa kendala antara lain:
• Ditemukannya beberapa kasus penyalahgunaan password yang dapat
mengancam kerahasiaan perusahaan. Selain itu dikhawatirkan dapat
berdampak pada terjadinya penyalahgunaan informasi yang merugikan PT.
KKAI dalam persaingan dengan para kompetitor.
• Kendala lain yang ditemukan adalah kurangnya pemeliharaan terhadap
fasilitas pemrosesan informasi yang dapat menyebabkan sistem menjadi sering
hang, jaringan down, hingga terbakarnya harddisk yang menyebabkan
hilangnya data perusahaan.
• PT. KKAI juga belum memiliki aturan dan prosedur terhadap ancaman virus.
Ancaman virus itu dapat menimbulkan gangguan kinerja sistem informasi
bahkan dapat mengacau keberlangsungan operasional PT. KKAI.
Latar Belakang
 Selama ini PT. KKAI belum pernah melakukan analisa penyebab
terjadinya permasalahan tersebut dan PT. KKAI tidak mengetahui
sampai di mana tingkat keamanan sistem informasi yang milikinya.
 Oleh karena itu  perlu mengevaluasi keamanan sistem informasi
menjaga keamanan sistem informasi yang dimiliki  audit keamanan
sistem informasi (Asmuni dan Firdaus, 2005:23).
 Keamanan informasi untuk menjaga aspek kerahasiaan
(Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability)
dari Informasi (ISO/IEC 27002, 2005:1)
Latar Belakang
 Audit keamanan sistem informasi perlu suatu standar
(Tanuwijaya dan Sarno, 2010:80).
 Standar yang dipilih  ISO 27002
 Pertimbangan :
Fleksibel dikembangkan tergantung pada
- kebutuhan organisasi,
- tujuan organisasi,
- persyaratan keamanan,
- proses bisnis,
- jumlah pegawai dan ukuran struktur organisasi.
Sertifikat implementasi Sistem Manajemen Keamanan Informasi (SMKI)
 Information Security Management System (ISMS) certification
(Sarno dan Iffano, 2009: 59-60).
Latar Belakang
 Audit keamanan sistem informasi pada PT. KKAI 
mengukur tingkat keamanan teknologi informasi
 Menghasilkan rekomendasi
untuk meningkatkan keamanan informasi pada perusahaan
 acuan memperoleh ISMS certification dgn standar ISO 27002
menambah nilai tambah dan kepercayaan terhadap PT. KKAI.
Perumusan Masalah
 Bagaimana membuat perencanaan audit keamanan sistem informasi
pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002
 Bagaimana melaksanakan audit keamanan sistem informasi pada PT.
Karya Karang Asem Indonesia berdasarkan standar ISO 27002
 Bagaimana menyusun hasil audit keamanan sistem informasi pada PT.
Karya Karang Asem Indonesia berdasarkan standar ISO 27002
Batasan Masalah
 Semua klausul ISO 27002 yang digunakan,
telah disesuaikan dengan keadaan yang ada
pada PT. KKAI.








Klausul ISO 27002 yang digunakan adalah:
Klausul 6: Organisasi Keamanan Informasi
Klausul 7: Manajemen Aset
Klausul 8: Manajemen SDM
Klausul 9: Keamanan Fisik dan Lingkungan
Klausul 10: Manajemen Komunikasi dan Operasi
Klausul 11: Kontrol Akses
Klausul 13: Manajemen Kejadian Keamanan Informasi
 Sistem Informasi yang di audit  Software Development for Cyberinfrastructure (SDCI)
 Audit hanya dilakukan PT. KKAI yang terletak Jl. Raya Pabean No.77, Sedati – Sidoarjo
Tujuan
 Melakukan dan membuat perancangan audit keamanan sistem informasi pada
PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 untuk
menentukan dokumen perencanaan, ruang lingkup, pengumpulan data dan
langkah-langkah pelaksanaan audit.
 Melakukan audit keamanan sistem informasi pada PT. Karya Karang Asem
Indonesia berdasarkan standar ISO 27002 dengan wawancara berdasarkan
RACI, mengisi penilaian masing-masing klausul, mengukur dan menganalisis
maturity level sampai ditemukannya temuan-temuan audit.
 Menyusun hasil audit keamanan sistem informasi pada PT. Karya Karang Asem
Indonesia berdasarkan standar ISO 27002 dengan melakukan evaluasi dari
bukti-bukti yang ada, mendokumentasikan temuan audit dan didapat laporan
hasil audit yang berupa temuan, kesimpulan dan rekomendasi.
Landasan Teori
 AUDIT
= proses atau aktivitas yang sistematik, independen dan
terdokumentasi untuk menemukan suatu bukti-bukti (audit
evidence) dan dievaluasi secara obyektif untuk menentukan apakah
telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan.
Tujuan dari audit adalah untuk memberikan gambaran kondisi
tertentu yang berlangsung di perusahaan dan pelaporan mengenai
pemenuhan terhadap sekumpulan standar yang terdefinisi (ISACA,
2006).
Landasan Teori
 AUDIT SISTEM INFORMASI
(Weber, 1999)
= proses pengumpulan dan pengevaluasian bukti
(evidence) untuk menentukan apakah sistem
informasi dapat melindungi aset, serta apakah
teknologi informasi yang ada telah memelihara
integritas data sehingga keduanya dapat
diarahkan kepada pencapaian tujuan bisnis
secara efektif dengan menggunakan sumber daya
secara efektif.
KEAMANAN INFORMASI
= penjagaan informasi dari seluruh ancaman
yang mungkin terjadi dalam upaya untuk
memastikan atau menjamin kelangsungan bisnis
(business continuity), meminimasir resiko bisnis
(reduce business risk) dan memaksimalkan atau
mempercepat pengembalian investasi dan
peluang bisnis (ISO/IEC 27001, 2005).
Landasan Teori
 ISO 27002
= panduan yang menjelaskan contoh penerapan keamanan informasi
dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai
sasaran kontrol yang ditetapkan.
 Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 area
pengamanan sebagaimana ditetapkan di dalam ISO/IEC 27001.
 Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan
berdasarkan ISO/IEC 27001 terdiri dari 11 klausul kontrol keamanan
(security control clauses), 39 objektif kontrol (control objectives) dan
133 kontrol keamanan/ kontrol (controls)
Metodologi
Penelitian
Hasil dan Pembahasan
Temuan
 Peraturan perusahaan kurang tegas dan kurang spesififk untuk
kerahasiaan password, belum adanya perjanjian atau pernyataan
tertulis yang ditandatangani untuk benar-benar menjaga kerahasiaan
password masing-masing, kurangnya kesadaran serta pengetahuan
karyawan terhadap pentingnya merahasiakan password.
 Terdapat banyak kebijakan dan prosedur yang belum terdokumentasi,
bahkan ada beberapa tindakan dalam perusahaan yang dilakukan
berdasarkan spontanitas dan tanpa ada aturan baku yang bersifat
formal.
 Tidak terdapat pelatihan apapun mengenai keamanan informasi, baik
terhadap ancaman virus, penggunaan password yang baik,
pemeliharaan fasilitas pemrosesan informasi, dan lain-lain.
Hasil dan Pembahasan
Rekomendasi
 Menjabarkan perjanjian kerahasiaan secara detail dan spesifik
termasuk menjaga kerahasiaan password.
 Menerapkan prosedur perjanjian antara perusahaan dengan pegawai
untuk menandatangani perjanjian khusus untuk menjaga kerahasiaan
informasi perusahaan
 Di dalam perjanjian tersebut sebaiknya terdapat pasal yang harus
dipatuhi mengenai penjagaan kerahasiaan informasi, termasuk rincian
tanggung jawab, dan sanksi terhadap pelanggaran kerahasiaan dan
keamanan informasi perusahaan.
 Mengadakan seminar atau pelatihan tentang pentingnya menjaga
kerahasiaan password ataupun bagaimana pemilihan dan penggunaan
password yang baik agar karyawan memilliki pengetahuan yang cukup
serta kesadaran untuk menjaga kerahasiaan password masing-masing
Hasil dan Pembahasan
Rekomendasi
 Melakukan observasi atau pemetaan terhadap proses kerja yang sudah




berjalan atau akan berjalan.
Melakukan benchmarking bila diperlukan dengan perusahaan sejenis.
Mendesain kebijakan dan prosedur sesuai dengan hasil observasi dan
hasil referensi untuk menambah ketajaman dari desain prosedur.
Melakukan review prosedur agar prosedur yang sudah dibuat bisa
berjalan tanpa hambatan.
Menetapkan sanksi atas pelanggaran kebijakan atau prosedur yang
telah diberlakukan, mendokumentasikan kebijakan dan prosedur
sesuai dengan persetujuan manajemen, dan mengumumkannya.
Hasil dan Pembahasan
Rekomendasi
 Membuat modul pelatihan baik tentang penggunaan
aplikasi maupun tentang keamanan informasi, antisipasi
terhadap serangan virus, pemeliharaan fasilitas
pemrosesan informasi yang benar, kebijakan, maupun
prosedur organisasi.
 Mengadakan pelatihan tentang penggunaan aplikasi
maupun tentang keamanan informasi, antisipasi terhadap
serangan virus, prosedur keamanan informasi dan
penggunaan fasilitas pemrosesan informasi yang benar.
 Melakukan evaluasi dan pemantauan terhadap penerapan
hasil pelatihan yang telah dilakukan.
Kesimpulan
Perancangan audit keamanan sistem informasi pada PT. KKAI berdasarkan
standar ISO 27002 yang dilakukan pada Klausul 6 hingga Klausul 13,
pengumpulan data, dan langkah-langkah pelaksanaan audit hingga pelaporan
hasil audit keamanan sistem informasi telah berhasil dilakukan.
2. Nilai maturity level yang dihasilkan oleh PT. Karya karang Asem Indonesia
yaitu 3.18 yang masuk pada kategori level 3 yaitu defined. Hal tersebut
menandakan proses keamanan sistem informasi pada PT. Karya karang Asem
Indonesia telah dilakukan secara rutin sesuai dengan standar prosedur yang
ada.
3. Berdasarkan temuan-temuan dari hasil audit keamanan sistem informasi
berdasarkan standar ISO 27002 pada PT. KKAI terdapat beberapa kelemahankelemahan aturan dan prosedur keamanan sistem informasi mengakibatkan
PT. KKAI rentan terhadap ancaman keamanan informasi yang dapat
menyebabkan timbulnya resiko-resiko, antara lain: penyalahgunaan informasi
dan hilangnya data perusahaan yang akan dapat memberi dampak kerugian
besar pada PT. KKAI.
1.
Saran
Audit keamanan sistem informasi ini masih belum menerapkan seluruh
kontrol keamanan yang telah dipetakan di karenakan keterbatasan auditor
untuk mengakses data perusahaan. Sehingga diharapkan setelah seluruh
sistem perusahaan telah berjalan sesuai dengam proses bisnis yang ada atau
setelah membuat prosedur sistem manajemen keamanan informasi yang baru
maka perlu dilakukan audit keamanan sistem informasi kembali untuk
menentukan maturity level yang baru setelah perusahaan sudah melakukan
perbaikan pada sistem keamanan informasinya.
2. Diharapkan PT. KKAI dapat melakukan perbaikan manajemen keamanan
sistem informasi dan aturan prosedur keamanan sistem informasi agar
ancaman-ancaman terkait keamanan informasi dapat diminimalisir.
1.
TERIMA KASIH
Download