MANAJEMEN KEAMANAN SISTEM INFORMASI

PERUSAHAAN MANUFAKTUR BERSEKALA

ENTERPRISE
(STUDI KASUS CV. GRAHA MESIN GLOBALINDO)

Ujian Akhir Semester Keamanan Sistem Informasi

Oleh:
Santoso Yohanes Chirstanto / 320910023
Jackobus Albertus Lerebulan / 320910010

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS MA CHUNG
MALANG
2015

UCAPAN TERIMA KASIH

Selama pengerjaan UAS ini kami menyadari sepenuhnya bahwa begitu
banyak pihak yang telah turut membantu dalam penyelesaian program ini, melalui
kesempatan ini dengan segala kerendahan hati, sebagai rasa penghargaan atas
bimbingan dan dorongan yang telah diberikan, maka perkenankanlah kami
mengucapkan terima kasih kepada :
1. Allah SWT yang telah memberikan kemudahan dan kelancaran dalam
menyelesaikan laporan ini.
2. Kedua orang tua yang telah memberikan dukungan secara moral dan
material.
3. Bapak Yudhi Kurniawan, S.Kom. M.MT. selaku dosen pengampu yang
telah meluangkan ilmu dan waktunya demi kesempurnaan dan kelancaran
laporan ini.
4. Semua pihak yang tidak dapat disebutkan satu-persatu yang membantu
pengerjaan laporan ini.

KATA PENGANTAR
Puji syukur kami panjatkan kepada Tuhan Yang Maha Esa atas limpahan
rahmat dan kuasa-Nya, laporan dengan judul Manajemen Keamanan Sistem
Informasi Perusahaan Manufaktur (Studi Kasus CV. GRAHA MESIN
GLOBALINDO).
Laporan ini berisi tentang standar yang mengatur tentang aktivitas dan rule
dalam bidang keamanan IT/IS untuk seluruh layanan yang ada diorganisasi CV.
GRAHA MESIN GLOBALINDO dan menggunakan Information Security
Management System (ISO/EIC 27001:2005) sebagai referensi .
Kami menyadari bahwa laporan ini masih memiliki banyak kekurangan
dalam isi informasi yang disediakan, oleh karena itu kami membutuhkan kritik
dan saran untuk evaluasi dan perbaikan kami agar bermanfaat bagi pengulasan
lanjutan sehingga kajian yang diberikan akan lebih informatif dan tepat sasaran
kepada setiap pembaca.
Akhir kata, kami ucapkan terima kasih kepada semua pihak yang terlibat
dalam pembuatan makalah ini. Dan semoga laporan ini dapat bermanfaat bagi
pembaca.

Malang, 18 Desember 2015

Penulis

ii

DAFTAR ISI

UCAPAN TERIMA KASIH...................................................................................i

KATA PENGANTAR.............................................................................................ii
BAB I PENDAHULUAN.......................................................................................1
1.1

PENDAHULUAN........................................................................................1

1.2

LATAR BELAKANG.................................................................................1

1.3

RUMUSAN MASALAH.............................................................................2

1.4

TUJUAN DAN MANFAAT IMPLEMENTASI ISO20071......................3

1.5

METODOLOGI PENGERJAAN..............................................................4

1.6

DESKRIPSI UMUM...................................................................................4

BAB II PROFIL PERUSAHAAN.........................................................................5

2.1

SEJARAH SINGKAT.................................................................................5

2.2

DEPARTEMEN PERUSAHAAN..............................................................6

2.3

ALAMAT DAN PETA LOKASI................................................................6

2.4

PROSES BISNIS.........................................................................................7

BAB III TINJAUAN PUSTAKA..........................................................................8

3.1

SECURITY MANAGEMENT...................................................................8

3.2

KEAMANAN SISTEM INFORMASI......................................................9

3.3

SECURITY PLANNING..........................................................................11

3.4

RISK ASSSESSMENT.............................................................................12

3.5

FRAMEWORK.........................................................................................12

BAB IV MANAJEMEN KEAMANAN SISTEM INFORMASI.....................13

4.1

IMPLEMENTASI PDCA.........................................................................13

4.1.1.
4.1.2.
4.1.3.
4.1.4.
4.2.

PLAN....................................................................................................13
DO........................................................................................................15
CHECK..................................................................................................15
ACT......................................................................................................16

SECURITY PLANNING............................................................................16

4.2.1.
4.2.2.

OBJECTIVES...........................................................................................16
SCOPE...................................................................................................16
iii

4.2.3.
4.3.

SECURITY MANAGEMENT...................................................................21

4.3.1.
4.3.2.
4.3.3.
4.4.

RISK IDENTIFICATION............................................................................30
THREAT AND VULNERABILITY.................................................................35
MITIGATION PLAN.................................................................................36

PROCEDURE / POLICY / STANDARD................................................37

4.5.1.
4.5.2.
4.5.3.
4.6.

IRP (INCIDENT RESPONSE PLAN)..........................................................25

DRP (DISASTER RECOVERY PLAN)........................................................26
BCP (BUSINESS CONTINNUITY PLAN)....................................................28

SECURITY RISK AND ASSESSMENT...................................................30

4.4.1.
4.4.2.
4.4.3.
4.5.

CIA TRIANGLE.......................................................................................16

EISP (ENHANCED INFORMATION SUPPORT PLAN)...............................37

ISSP (INFORMATION SYSTEM SECURITY PROFESSIONAL)...................38
SSP (SYSTEM SECURITY PLAN)...........................................................40

REVIEW AND MONITORING..............................................................41

DAFTAR PUSTAKA...........................................................................................50

iv

Bab I
Pendahuluan

1.1

Pendahuluan
Keamanan pada suatu data perusahaan harus dapat dipertanggung jawabkan oleh
setiap departemen yang ada didalam suatu perusahaan. Keamanan data secara tidak
langsung dapat memastikan kontinuitas bisnis, mengurangi resiko dan mencari
kesempatan bisnis. Semakin banyak informasi yang tersimpan dalam perusahaan,
dikelola dan dibagi, maka semakin besar pula resiko terjadinya kerusakan, kehilangan
atau bahkan tereksposnya data ke pihak external yang mungkin tidak bersangkutan atau
tidak berkepentingan.
Maka dari itu sebuah perencana keamanan system informasi terdiri atas strategi dan
pembagian tanggung jawab, yang bertujuan utama untuk menurunkan risiko yang
berpotensi menjadi ancaman terhadap operasional perusahaan. Jika penyusunan rencana
keamanan tidak berdasarkan hasil analisis risiko, maka dapat menyebabkan lemahnya
strategi dalam mengantisipasi ancaman gangguan dan serangan terhadap aset
perusahaan.
Lemahnya strategi tersebut, disebabkan oleh proses identifikasi kelemahan dan
kerawanan teknologi informasi yang tidak dilakukan dengan baik. Sebaliknya dalam
penyusunan rencana keamanan seharusnya didasari oleh hasil analisis dan mitigasi
risiko teknologi informasi, agar strategi keamanan yang diusulkan dapat secara efektif
menurunkan risiko yang telah diidentifikasi melalui analisis dan mitigasi risiko.

1.2

Latar belakang
Sejalan dengan perkembangan sistem informasi yang selalu mengikuti perubahan
proses bisnis dan fungsi bisnis, maka sistem informasi yang dulunya masih terpisah
berdasarkan modulnya seperti dibagian keuangan, pergudangan, penjualan, dan
produksi. Masing-masing modul aplikasi tersebut berbeda, sehingga sulit untuk
berkomunikasi atau mengintegrasikan data dan tidak real time. Dampak dari modul
yang terpisah dan data yang dibutuhkan harus bersifat real time maka terjadi
keterlambatan dalam integrasi dan penyesuain data.
Sehingga diperlukan suatu sistem yang dapat dipercaya untuk memfasilitasi proses
perputaran data antara departemen dalam perusahaan yang dilakukan secara online
1

tanpa memandang jarak yang berjauhan sebagai suatu permasalahan tertutama apabila
perusahaan yang memiliki kantor cabang diluar kota.
Proses pertukaran data antara department yang dimaksud sering disebut dengan
sistem Enterprise, dimana didalamnya terdapat bermacam-macam departement yang
terlibat secara langsung bahkan bersamaan dalam pengolahan datanya. Dengan sistem
bersekala enterprise pada perusahaan manufaktur maka pertukaran data lintas
department dapat dilakukan tanpa harus saling menunggu data secara fisik.
Dikarenakan tingginya mobilitas pihak-pihak dalam setiap department khususnya maka
sistem tersebut harus dapat diakses dimana saja dan kapan saja dengan menggunakan
berbagai perangkat seperti mobile, laptop dan PC. Sistem tersebut kemudian dikenal
dengan nama Enterprise Sistem.
Permasalahan utama dalam perusahaan bersekalaa enterprise adalah keamanan
transaksi data yang dilakukan baik lintas department maupun lintas cabang perusahaan.
Pada laporan ini akan dibuat suatu rancangan sistem manajemen keamanan informasi
yang berguna untuk menangani perputaran data atau transaksi data dalam perusahaan.
1.3

Rumusan Masalah
Rumusan permasalahan yang dapat diambil berdasarkan latar belakang diatas,
adalah :
Information Security Management System (ISMS) merupakan sebuah kesatuan sistem
yang

disusun

berdasarkan

pendekatan

resiko

bisnis

untuk

pengembangan,

implementasi, pengoperasian, pengawasan, pemeliharaan serta peningkatan keamaan

informasi perusahaan.
Sebagai sebuah sistem, keamanan informasi harus didukung oleh keberadaan dari halhal berikut yang menjadi objek yang diteliti, antara lain:

Perancangan Keamanan (Security Planning)

Manajemen Keamanan (Security Management)
Kebijakan Keamanan (Security Policy)
Prosedur dan proses (Standard Procedures)
Analisa Resiko Keamanan (Security Risk)

Masalah yang ingin diteliti pada objek penelitian ini, adalah

Tindakan preventif dan kepedulian pengguna jaringan yang memanfaatkan
informasi. Apakah semua permasalahan jaringan dan kejadian pelanggaran
keamanan atas setiap kelemahan sistem informasi telahsegera dilaporkan
2

sehingga administrator (jaringan maupun database perusahaan) dapat segera

mengambil langkah-langkah keamanan yang dianggap perlu.
Apakah akses terhadap sumber daya pada sistem sudah dikendalikan secara
ketat untuk mencegah akses dari yang tidak berhak.
Apakah semua prosedur serta proses-proses yang terkait dengan usaha-usaha
pengimplementasian keamanan informasi sudah dijalankan dengan benar
1.4

Tujuan dan Manfaat Implementasi ISO20071

Implementasi ISO/IEC 27001:2005 ini bertujuan untuk memberikan gambaran
implementasi sistem manajemen keamanan informasi berstandar internasional kepada
perusahaan, organisasi nirlaba, instansi atau publik agar dapat mempelajari dan
mencoba mengimplementasikannya dilingkungan sendiri.
Implementasi ISO/IEC 27001:2005 pada kegiatannya juga mencoba melakukan
kegiatan audit terhadap semua aspek terkait, seperti: kondisi jaringan komputer lokal,
policy, manajemen SDM, organisasi keamanan informasi, dan lain-lain.
Tujuan Audit dan Manfaat Penetapan ISO/IEC 27001:2005:

Audit ISMS memberi pemahaman yang lebih baik mengenai aset informasi dan

proses manajemen keamanan informasi yang diperlukan.

Membantu memberikan pemahaman pentingnya keamanan informasi pada

karyawan, stakeholder dan masyarakat umum.

Membantu mengarahkan implementasi sistem manajemen keamanan informasi
berdasarkan kepada pertimbangan manajemen risiko.

1.5

Metodologi Pengerjaan
Dalam penyelesaian makalah ini ada beberapa metodologi kerja yang dijalankan,
antara lain tersusun sebagai berikut:
1. Mempelajari materi Sistem Informasi Keamanan yang telah didapat dikelas,
dan dengan mencari sumber lain seperti website, buku sebagai tambahan
informasi yang dibutuhkan dalam penyusunanan laporan.
2. Analisis Sistem
a. Mempelajari keamanan sistem perusahaan.
b. Menganalisa management plan untuk kemanan sistem mulai
3. Desain sistem informasi keamanan yaitu merancang usulan mulai dari
securtity plan, security management & security risk, dan security assement.

1.6

Deskripsi Umum
Penulisan dokumen ISMS ini dibagi menjadi beberapa bab, sebagai berikut:
Bab 1 Berisi pendahuluan, menjelaskan mengenai tujuan pembuatan dokumen ISMS,
ruang lingkup, latar belakang, rumusan masalah, tujuan implementasi dan metodologi
kerja serta deskripsi /gambaran umum dokumen.
Bab 2 Berisi tentang landasan-landasan teori yang mencakup isi dari dokumen ini.
Bab 3 Deskripsi umum menjelaskan keseluruhan deskripsi tentang studi kasus CV.
GRAHA MESIN GLOBALINDO. Deskripsi umum tersebut memberikan gambaran
lengkap mengenai proses bisnis perusahaan dan department yang terlibat didalamnya.
Bab 4 Berisi penjelasan detail dari Manajemen Keamanan Sistem Informasi yang
meliputi Implementasi DPCA, Security Planning sistem, Security Management, dan
Security Risk & Assessment.

Bab II
Profil Perusahaan
2.1

Sejarah Singkat
CV. Graha Mesin Globalindo merupakan perusahaan yang bergerak dalam bidang

produksi alat dan mesin teknologi yang tepat guna, serta penjualan mesin impor yang
bersertifikasi dan bergaransi. Spesialisasi yang dimiliki dalam produksi mesin teknologi
tepat guna pertanian, alat dan mesin pengolahan makanan, serta supplier mesin
pengemasan (Agriculture equipment, food processor & packing machinery). CV. Graha
Mesin Globalindo bekerjasama dengan banyak vendor hal ini dapat dibuktikan dengan
melihat dari banyaknya kategori dan produk mesin yang disediakan. Jumlah varian dari
produk yang dihasilkan tidak lepas dari kebutuhan konsumen yang meningkat dan semakin
banyak, jumlah konsumen yang tidak sedikit dan bukan hanya berasal dari luar kota
Malang saja, melainkan sudah meluas hingga luar kota, antar pulau seluruh Indonesia
hingga mencapai manca negara.
CV Graha Mesin Globalindo spesialis untuk memproduksi mesin teknologi tepat
guna pertanian, alat dan mesin pengolah makanan, serta supplier mesin pengemasan
(Agriculture equipment, food processor & packaging machinery). Letak lokasi CV Graha
Mesin Globalindo berpusat di Malang, Jawa Timur, Indonesia.
CV Graha Mesin Globalindo menyediakan alat dan mesin kebutuhan usaha yang
terbagi menjadi dua, yaitu buatan lokal yang bergaransi dan buatan impor yang sudah
bersertifikasi.

Alat dan mesin tersebut di kelompokan menjadi beberapa kategori, di antaranya:

1.
2.
3.
4.
5.
6.
7.
8.
2.2

Mesin produksi
Mesin industri
Mesin pengolah makanan (Food Processing)
Mesin pengemas (Packaging)
Mesin pertanian
Mesin perikanan
Mesin peternakan
Mesin perkebunan
Departemen Perusahaan
CV Graha Mesin Globalindo memiliki beberapa departement yang terlibat

didalam kemajuan perusahaan, antara lain:

1. Departement Keuangan
2. Departement Produksi
3. Departement Delivery
4. Departement Marketing dan Sales.
2.3

Alamat dan Peta Lokasi

CV. Graha Mesin Globalindo merupakan suatu perusahaan manufaktur yang
terletak di Kawasan X, Malang Jawa Timur.

Gambar 2.1 CV.Graha Mesin Globalindo

Berikut ini merupakan peta lokasi CV. Graha Mesin Globalindo berada yang
dapat diakses dengan menggunakan Google Map.

Gambar 2.2 Denah Lokasi CV. Graha Mesin Globalindo

2.4

Proses Bisnis
Proses bisnis pada CV Graha Mesin Globalindo meliputi penjualan dan
produksi alat pertanian, penyedia alat dan mesin kebutuhan usaha. Dan tererbagi
menjadi dua, yaitu buatan lokal yang bergaransi dan buatan impor yang sudah
bersertifikasi. Alat dan mesin tersebut di kelompokan berdasarkan kategori seperti
pada penjelasan sebalumnya. Bagian marketing and sales yang bertugas dalam
mencari calon pembeli kemudian data konsumen yang berminat pada produk yang
ditawarkan tersebut akan diserahkan pada bagian keuangan, yang nantinya bagian
keuangan akan memproses pembayaran produk yang dibeli oleh konsumen dan setelah
proses pembayaran telah selesai dilakukan maka bagian keuangan akan menyerahkan
laporan pengiriman barang pada department pengiriman hingga produk sampai ke
tempat konsumen.

Bab III
Tinjauan Pustaka

3.1

Security Management
Berikut adalah masing- masing bagian dari security management yang termasuk
dalam contingency planning. Contingency planning adalah sebuah rencana untuk
membuat suatu panduan dan dokumentasi atas suatu kejadian yang tidak terduga, dan
sebagai dokumentasi dasar terhadap tanggap darurat dalam upaya pemulihan
perencanaa. Tujuan utama dari contingency planning adalah untuk mengembalikan
proses bisnis secara normal dengan biaya operasional tidak membengkak secara
signifikan, dan yang bertanggungjawan atas proses ini adalah manajer proses bisnis dan
eksekutif. Contingency planning itu berlangsung terus menerus untuk menyediakan
sumbe daya yang dibutuhkan untuk:

Melatih karyawan
Mengembangkan dan merevisi kebijakan dan standar dalam perubakan

departemen
Latihan stratgei , prosedur, tim dan sumber daya persyaratan
Laporan perencanaan secara kontinu kepada manajemen senior
Proses penelitian dan teknologi untuk meningkatkan efisiensi pemulihan dan

kembalinya
Melakukan kegiatan pemeliharaan

Gambar 3.1 Security Management

3.2.1

IRP (Incident Response Plan)

Incident Response Plan adalah suatu pendekatan yang terorganisis, untuk
mengatasi dan mengelola setelah proses yang tidak diduga terjadi. Tujuannya untuk
8

menangani situasi dengan cara membatasai kerusakan dan mengurangi waktu dan
biaya pemullihan. Dalam proses ini, dibuat satu set proses secara rinci dan suatu
prosedur untuk mengantisipasi, mendeteksi dan mengurangi dampak dari suatu
peristiwa yang tidak terduga uang mungkin membahayakan sumber daya informasi.
Proses ini dilakukan oleh tim yang dibuat khusus dan dipilih dengan cermat.
3.1.4

DRP (Disaster Recovery Plan)

Disaater Recovery Plan merupakan sutau proses yang didokumentasikan, atau
serangkaian prosedur yang digunakan untuk memulihkan atau mengembalikan dan
melindungi infrastruktur IT bisnis dalam kejaian yang tidak terduga. Rencana atau
proses ini biasa didokumentasikan dalam bentuk tertulis dan menjadi suatu pedman
jika terjadi keadaan yang tidak terduga di dalam bisnis. Keuntungan dari DRP
antara lain:

3.1.5

Memberikan rasa aman

Meminimalkan resiko keterlambatan
Meminimalkan pengambilan keputusan saat bencana

BCP (Business Continuity Plan)

Business Continuity Plan mengidentifikasi pemaparan organisasi terhadap ancaman
internal dan eksternal dan mensintesis hard dan soft asset untuk memberikan
penceghan yang efektif dan memberikan pemulihan bagi organisasi dengan tetap
menjaga eunggulan kompetitif dan integritas sistem nilai.

3.2
Keamanan Sistem Informasi
3.2.1 Definisi Sistem
Sistem adalah sekelompok komponen dan elemen yang digabungkan menjadi satu
untuk mencapai tujuan tertentu. Berikut adalah beberapa definisi dari sistem oleh
beberapa ahli.
Menurut Jogianto (2005:2), Sistem adalah kumpulan dari elemen-elemen yang
berinteraksi untuk mencapai suatu tujuan tertentu. Sistem ini menggambarkan suatu
kejadian-kejadian dan kesatuan yang nyata, seperti tempat, benda dan orang-orang yang
betul-betul ada dan terjadi.
Menurut Indrajit (2001:2), Sistem adalah kumpulan kumpulan dari komponen
komponen yang memiliki unsur keterkaitan antara satu dengan lainnya.
Menurut Murdick, R. G (1991:27), Sistem adalah seperangkat elemen yang
membentuk kumpulan atau prosedur-prosedur atau bagan-bagan pengelolahan yang
9

mencari suatu bagian atau tujuan bersama dengan mengoperasikan data dan/atau barang
pada waktu rujukan tertentu untuk menghasilkan informasi dan/atau energy dan/atau
barang.
3.2.2

Definisi Sistem Informasi

Definisi sistem informasi menurut beberapa ahli antara lain:
Menurut Jogiyanto (2005:11) dalam buku yang berjudul Analisis dan Desain Sistem

Informasi, menyebutkan bahwa sistem informasi adalah suatu sistem di dalam suatu
organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung
operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan
pihak luar tertentu dengan laporan-laporan yang diperlukan.
Menurut Al-Bahra bin Ladjamudin (2005:13) dalam bukunya yang berjudul
Analisis dan Desain Sistem Informasi mendefinisikan bahwa sistem informasi adalah
sekumpulan prosedur organisasi yang pada saat dilaksanakan akan memberikan
informasi bagi pengambilan keputusan dan atau untuk mengendalikan organisasi.
3.2.3

Definisi Keamanan Sistem Informasi

Pengertian keamanan sistem informasi menurut G.J Simons adalah bagaimana kita

dapat mencegah penipuan (cheating) atau paling tidak mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti
fisik.
Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat
keras dan kunak komputer, jaringan komputer, dan data. Selain itu keamanan sistem
informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukurannteknis yang
digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau
kerusakan fisik terhadap sistem informasi.
3.3

Security Planning
Keamanan informasi berkaitan dengan perlindungan aset berharga terhadap
kehilangan, pengungkapan penyalahgunaan atau kerusakan. Dalam konteks ini, aset
berharga adalah informasi yang direka, diproses, disimpan, dikirim atau diambil baik
dari media elektronik ataupun non elektronik. Upaya perindungan tersebut
dimaksudkan untuk memastikan keberlanjutan bisnis, meminimalkan risiko yang

10

mungkin terjadi dan memaksimalkan keuntungan yang didapat dari investasi dan
kesempatan bisnis.
Organisasi keamanan informasi memiliki tiga aspek yang harus dipahami untuk bisa
menreapkannya, aspek tersebut biasa disebut dengan CIA Triad Mode, yang antara lain
adalah:

Confidentiality (kerahasiaan) yaitu aspek yang memastikan bahwa informasi

hanya dapat diakses oleh orang yang berwenang.

Integrity (integritas) yaitu aspek yang menjamin tidak adanya pengubaan data
tanpa seijin pihak yang berwenang, menjaga keakuratan dan keutuhan

informasi.
Availability (ketersediaan) yaitu aspek yang memberikan jaminan atas
ketersediaan data saat dibutuhkan, kapapun dan dimanapun.

Selain aspek diatas, keamanan informasi dapat juga diklasifikasian sesuai berikut:

Physical security yaitu strategi untuk mengamankan pekerja atau anggota

organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya

kebakaran, akses tanpa otorisasi dan bencana alam.

Personal security adalah bagian dari keamanan fisik yang melindungi sumber
daya manusia dalam organisasi atau pengguna yang memiliki akses terhadap

informasi.
Operation security adalah yang memfokuskan strategi untuk mengamankan

kemapuan organisasi atau perusahaan untuk bekerja tanpa gangguan.

Communication security yaitu bertujuan mengamankan media komunikasi,
teknologi komunikasi dan isinya, serta kemapuan untuk memanfaatkan alat ini

untuk mencapai tujuan organisasi.

Network security yaitu memfokuskan pada pengamanan peralatan jaringan data
organisasi, jaringannya dan isinya, serta kemapuan untuk menggunakan
jaringan tersebut dalam memebuhi fungsi komunikasi data organisasi.

3.4

Risk Asssessment
Risk Assessment adalah metode yang sistematis untuk menentukan apakan suatu
kegiatan mempunyai resiko yang dapat diterima atau tidak. Langkah awal pada risk
assessment adalah identifikasi dari bahaya dari hazard dan efek dari hazard tersebut dan
siapa/apa yang akan terkena dampaknya. Langkah selanjutnya adalah menentukan
besarnya frekuensi atau probability dari kejadianm karena risk adalah kombinasi dari
consequency dan probability.

3.5

Framework
11

Framework adalah kumpulan dari fungsi-fungsi / prosedur-prosedur dan class-class

untuk tujuan tertentu yang sudah siap digunakan. Sehingga bisa mempermudah dan
mempercepat pekerjaan seorang programmer maupun analis, tanpa harus membuat
fungsi atau class dari awal. Jadi dengan adanya framework, pekerjaan akan lebih tertata
dan teroraginir. Sehingga dalam pencarian kesalahan dalam pembuatan sistem akan
lebih mudah terdeksi.
Intinya framework merupakan modal awal kita sebelum melakukan pembuatan
sistem.

12

Bab IV
Manajemen Keamanan Sistem Informasi
4.1 Implementasi PDCA
Dalam implementasinya, keamanan sistem informasi perusahaan
akan menggunakan standar model PDCA yaitu Plan, Do, Check, Act
4.1.1. Plan
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan
antara lain:
4.1.1.1.

Ruang Lingkup Keamanan pada perusahaan

Pemetaan ruang lingkup keamaan SI agar sesuai dengan

kebutuhan keamanan informasi perusahaan seperti pemetaan
terhadap proses-proses bisnis yang ada, fungsi-fungsi yang
berjalan dalam sistem informasi dan aspek-aspek teknologi yang
diterapakan.
4.1.1.2.

Pendekatan Metodologi Bebasis Resiko

Pendekatan metodologi berbasis risiko ini disesuaiakan

dengan kriteria perusahaan atau dapat menggunakan standard
atau framework yang paling sesuai diterapkan.
4.1.1.3.

Analisa Resiko

Dalam tahap ini terdapat beberapa aktivitas seperti asesmen

risiko seperti indentifikasi threat, vurnerablity, karakterisktik
sistem, likelyhood, analisa dampak/menghitung BIA dan lainlain. Tujuan dari tahap ini untuk memeperoleh gambaran detail
dari

13

4.1.1.4.

Risk Mitigation

Pemilihan terhadap mitigasi risiko yang akan digunakan,

strategi mitigasi risiko, cost benefit analysis dan lain-lain.
Pemilihan kontrol dan metrik terhadap ISMS yang bertujuan
untuk memperoleh suatu nilai berdasarkan gambaran kondisi
ISMS dan target pencapaian dari penerapan
4.1.1.5.

Risk Evaluation and Monitoring

Monitoring dan evaluasi terhadap risiko yang ada

4.1.1.6.

Penentuan Kebijakan ISMS

Merupakan pernyataan resmi perusahaan terkait keamanan SI

yang dapat berupa Policy, procedure, standard, guideline dan
work instruction pada setiap department yang terlibat dalam
perusahaan

khususnya

pertukaran

informasi

atau

data

perusahaan.
Berikut ini adalah kebijakan yang dilakukan CV Graha
Mesin Globalindo di dalam menjaga dan memelihara privasi
dan keamanan data perusahaan. Kebijakan tersebut adalah
kebijakan privasi, setiap pegawai dalam setiap departement
memiliki hak akses sendiri-sendiri untuk dapat login ke dalam
system perusahaan sesuai dengan jabatan dan jobs desc masingmasing.
Perusahaan dapat melacak situs atau IP pengguna sistem
dimana koneksi user berasal untuk kebutuhan investigasi. Akses
ke situs perusahaan hanya dapat dilakukan melalui login user
yang telah ditetapkan. Selama pengguna login ke situs
perusahaan, perusahaan akan menggunakan cookie yang akan
terakhir pada saat anda logout. Semua informasi atas transaksi
data di situs perusahaan yang pengguna lakukan akan dicatat.

14

4.1.1.7.

SOA (Statement of Applicability)

Dokumentasi analisis terkait apa dan mengapa kontrol atau

kebijakan keamanan SI tersebut dipilih dan akan diterapkan.
SOA dapat dilakukan setelah melakukan metodologi berbasis
risiko.
4.1.2. Do
Pada tahap ini terdapat kumpulan aktivitas-aktivitas hasil
implementasi dari Plan yang sudah dirancang.

Mengelola semua pengoperasian resources yang mungkin

terlibat dalam keamanan Perusahaan mencakup: Registrasi,
Aktivasi, keuangan, data konsumen, data proses produksi dan
data perusahaan rekananan
Pengawasan implementasi dari keamanan perusahaan
Pengembangan kebijakan yang disesuaian dengan kerangka

yang dihasilkan dalam tahap plan

4.1.3. Check
Keamanan sistem informasi perusahaan memerlukan adanya
pengukuran dalam tahap perencanaan dan implementasi untuk
memberikan gambaran antara perencanaan dengan implementasi dan
dalam rangka menuju langkah improvement keamanan perusahaan
terebut. Dalam tahap ini aktivitas yang dapat dilakukan antara lain:

Pengukuran hasil kinerja dari keseluruhan keamanan

perusahaan mecakup pencatatan dan pengumpulan bukti-

bukti baik fisik maupun logik sebagai sarana audit.

Pengukuran efektifitas dari transaksi data pada setiap

depatement dan antar department hingga ke kantor cabang.

Melakukan audit internal pada keamanan perusahaan pada

setiap departementnya
Mengeksekusi prosedur - prosedur pengawasan

15

4.1.4. Act
Seluruh control yang ditetapkan dan telah diterapkan dalam
perusahaan tidak akan memberikan hasil yang efektif tanpa adanya
improvement atau semua itu hanya akan menjadi tumpukan
dokumen atau kumpulan file-file tanpa arti. Tahap Act mencakup
point penting antara lain:

Menerapkan perbaikan yang diidentifikasikan.

Memastikan kegagalan tidak terulang kembali.
Tahap penanggulangan dan perbaikan saat ancaman dan

serangan terdeteksi.
Mengkomunikasikan hasilnya kepada seluruh pihak yang
terkait

4.2. Security Planning

4.2.1. Objectives
Pemanfaatan keamanan sistem informasi perusahaan atau lebih
mengglobal dengan istilah teamwork dapat mengurangi resiko.
4.2.2. Scope
Perencanaan keamanan informasi yang akan dibuat adalah
keamanan sistem informasi perusahaan manufaktur.
4.2.3. Stakeholder
Pihak-pihak/siapa saja yang ikut terlibat dalam business case
perusahaan adalah :
Internal :
Owner/ Pemilik perusahaan
Manager
Employees/Karyawan

16

Eksternal :
Financial service providers (FSPs)
Payment service providers (PSPs)
Network service providers (NSPs)
Device manufacturers
Regulators
Application/Software developers
Supplier
Shareholder
Customer

4.2.4. CIA Triangle

Sistem pengamanan pada Perusahaan ada 2 lapis akses, yaitu :
a. Password
b. Pengamanan htacsess yang dihasilkan oleh sistem perusahaan.
Htacsess adalah sebuah file konfigurasi yang ditaruh pada
directori root sistem aplikasi web.
Htaccess dapat dipakai untuk konfigurasi khuses apalikasi
web, contoh redirect ke halaman tertentu, untuk membati akses
halaman atau untuk merestrict (membatasi) pengaksesan
folder-foldertertentu di dalam sistem.
Pada 3 aspek keamanan dan didukung oleh beberapa aspek
keamanan informasi untuk sistem perusahaan dapat disimpulkan
sebagai berikut:

17

1. Confidentiality
Yaitu pencegahan terhadap pengungkapan informasi
kepada individu atau sistem yang tidak sah. Confidentiality
ditujukan kepada suatu pihak untuk hal tertentu dan hanya
diperbolehkan untuk hal itu saja. Confidentiality hanya bisa
diakses

oleh

mengaksesnya.

orang-orang

yang

mendapatkan

ijin

Dalam kasus ini ada beberapa security

planning pada aspek confidentiality antara lain:

Merahasiakan informasi penting yang merupakan aset

untuk perusahaan (di dalam database, file,backup,
penerima dicetak, dsb) dan dengan membatasai akses

ke tempat-tempat di mana disimpan.

Strategy Plan (perencanaan strategis perusahaan)
Merahasiakan rencana strategis yang meliputi target
pelanggan,area penjualan dan hal-hal yang berkaitan

dengan marketing.
Data User (informasi personal)
Kerahaisaan semua data pribadi pelanggan oleh
pihak-pihak yang dilarang mengakses.

18

2. Integrity
Yaitu aspek yang mengutamakan data atau informasi
tidak boleh diakses tanpa seijin perusahaan. Dalam studi
kasus ini ada beberapa aspek integrity, yaitu :

Menjaga kevalidan data saat proses transmisi, bisa

pada proses penggunaaan dan pengolahan bahan baku
dalam pembuatan produk, data keuangan perusahaan,

dsb.
Modifikasi sumber daya sistem komputer hanya bisa
oleh pihak-pihak yang sudah terotorisasi.

3. Availability
Yaitu aspek yang berhubungan dengan ketersediaan
informasi ketika dibutuhkan. Sebuah sistem informasi yang
diserang dapat menghambat ketersediaan informasi yang
diberikan. Ada beberapa aspek availability pada studi kasus
ini, antara lain :

Adanya sistem komputerisasi yang digunakan untk

menyimpan dan memproses informasi.

Adanya control security, yang digunakan untuk

melindungi informasi.
Adanya jaringan informasi yang digunakan untuk

mengakses informasi dengan benar.

Backup data secara berkala yang dapat meminimalisir

dampak yang timbul.

Adanya server cadangan atau schema proteksi lainnya
untuk data-data dan informasi yang dirasa sangat
penting, agar tetap bisa diakses ketika ada ganggguan,

Adapun tujuan dari aspek availability ini adalah untuk

tetap tersedia setiap saat, mencegah ganggguan layanan

19

akibat listrik padam, kegagalan hardware, dan upgrade

sistem.
4. Privacy
Usaha untuk menjaga data dan informasi dari pihak yang
tidak diperbolehkan mengaksesnya, data dan informasi
tersebut bersifat privat, yaitu :
Email dan Password karyawan dan user yang tidak
boleh tidak boleh di sebar luaskan kepada pihak
manapun baik di dalam perusahaan maupun di luar
perusahaan.
1. Data Penting User yaitu no. rekening bank, data
transaksi user,data no. telp/handpone yang tidak boleh
disebarluaskan baik oleh admin,karyawan maupun
user sendiri.
2. Data Hasil Penjualan,Hasil produksi dan Data
Penggunaan bahan yang hanya boleh diketahui oleh
pihak tertentu dalam perusahaan.
5. Identification
Pada aspek ini adalah mengenali individu pengguna,
yaitu langkah pertama dalam memperoleh hak akses

ke

informasi yang diamankan. aspek identifikasi atara lain

adalah sebagai berikut yaitu :
1. Mengenali email/username

dan

password

user

(pembeli) saat ingin melakukan login pada tempat

tertentu.

20

2. Mengenali email/username dan password karyawan

saat login menggunakan komputer kantor/laptop
karyawan

yang

sudah

diregistrasi

oleh

pihak

keaslian

suatu

perusahaan.
6. Authentication
Aspek ini

menekankan

mengenai

data/informasi , termasuk pihak yang memberi atau

mengkasesnya termasuk pihak yang dimaksud atau bukan.
Contohnya yaitu :
Penggunaan pin atau password
1. Alamat email jika melakukan login tidak dengan
username atau pendataan no.telp pembeli regular.
2. Akses untuk pihak admin,karyawan dan pembeli.
7. Authorization
Aspek dimana memberikan jaminan bahwa pengguna
(manusia ataupun komputer) telah mendapatkan autorisasi
secara spesifik dan jelas untuk mengakses, mengubah, atau
menghapus isi dari aset informasi.
Salah satu cara memberi otorisasi adalah dengan
memberi hak akses yang berbeda untuk tiap golongan
pengguna(admin,karyawan sesuai dengan departmentnya dan
pembeli.
8. Accountability
Karakteristik ini dipenuhi jika sebuah sistem dapat
menyajikan data semua aktifitas terhadap aset informasi yang
telah dilakukan dan siapa saja yang terlibat dan yang melakukan
aktifitas itu.
4.3. Security Management
Pada dasarnya sistem yang dingunakan oleh perusahaan ini
masih belum optimal dilihat segi keamanan data di dalam
perusahan,keamanan website dan lainnya. Kondisi pengamanan

21

masih lebih berfokuskan pada keamanan hardware dan alatalat/mesin yang digunakan untuk proses produksi yang selalu
dipantau dan ditingkatkan sejalan dengan perkembangan teknologi
dan ancaman yang ada.
Ancaman juga sering dialami oleh pengguna internet
termasuk pembeli dimana data pribadi dan no. rekening banknya
terregistrasi saat melakukan pembayaran via website perusahaan.
Oleh karena itu pihak perusahaan meminta perhatian kita semua
baik yang terlibat dalam perusahaan sendiri maupun pembeli
produk untuk lebih meningkatkan self-awarness terhadap ancaman
yang ada. Dengan itu kasus beserta cara pengamanan yang dapat
dilakukan selama proses bisnis adalah sebagai berikut :
1. Phishing
Phishing adalah cara-cara penipuan yang dilakukan oleh
pihak-pihak
informasi

tertentu
rahasia

untuk

mendapatkan

pengguna

seperti

informasi-

alamat

email,

Password dan Kode Transaksi. Ada beberapa cara yang

digunakan antara lain:
a. Membuat situs palsu yang memiliki alamat dan
tampilan mirip dengan situs resmi perusahaan atau
atau

page

khusus

di

social

media

yang

mengatasnamakan perusahaan.
b. Mengirim email atau pesan yang berisi URL link
dan meminta Anda melakukan login dengan
memasukkan alamat email, Password dan Kode
Transaksi kedalam alamat link yang diberikan.
c. Mengaku sebagai salah satu karyawan perusahaan
dan meminta data Anda dengan alasan-alasan
tertentu.
Cara pengamanan:
a. Pastikan Anda mengakses website perusahaan
melalui

alamat

22

resmi

situs

yang

diberikan

perusahaan

di

www.grahamesin.com

Untuk

menghindari kesalahan penulisan alamat situs. Atau

dengan melakukan bookmark pada situs perusahaan.
b. Melakukan cross-check jika ada karyawan yang
mengatasnamakan perusahaan untuk mengisi form
tertentu dengan melalui layanan customer care
perusahaan dengan no. telp 085212070999/034121999.
c. Pastikan

bahwa

Anda

telah

logout

saat

meninggalkan komputer Anda meskipun hanya

sesaat.
d. Sebaiknya Anda tidak mengakses website dan
melakukan login ke account anda pada koneksi
internet yang tersambung di jaringan umum seperti
wifi dan warnet.
2. Virus / Worm

Virus komputer adalah program-program komputer yang

dibuat dengan tujuan-tujuan tertentu. Pada umumnya virus
merusak sistem operasi, aplikasi dan data di komputer
yang terinfeksi. Virus dapat menyebar melalui banyak
media, antara lain : e-mail, disket, CD, USB drive, flash
memory,

program

dari

internet,

maupun

jaringan.

Beberapa contoh dampak dari infeksi virus:

a. Komputer menjadi tidak stabil dan sering 'hang'
(macet).
b. Komputer manjadi lambat.
c. Data di harddisk terhapus.
d. Program software tidak dapat dijalankan/tidak
berfungsi dengan semestinya.
Yang mirip dengan virus adalah worm yang dibuat untuk
dapat menyebar dengan cepat ke banyak komputer.

23

Walaupun umumnya worm tidak menimbulkan kerusakan

seperti virus, namun worm dapat digunakan untuk
membawa berbagai macam muatan/attachment berbahaya.
Cara pengamanan:
a. Gunakan anti virus ter-update di komputer Anda,
dan pastikan bahwa komputer Anda di-scan secara
real time.
b. Banyak virus yang masuk melalui email yang
diterima, sehingga Anda harus lebih hati-hati pada
waktu menggunakan email. Hapus e-mail yang
mencurigakan atau yang datang dari pengirim yang
tidak dikenal, dan scan attachment e-mail sebelum
dibuka.
c. Gunakan firewall pada sistem operasi di komputer
Anda atau install personal firewall dan pastikan
bahwa pengaturan firewall yang terpasang dapat
mengamankan Personal Computer (PC) Anda.
d. Sebaiknya Anda tidak mengakses atau bahkan mendownload file/program-program di internet dari situs
yang

tidak

dikenal/tidak

dapat

dipastikan

keamananannya.
e. Scan file-file yang berasal dari disket, CD maupun
USB drive yang Anda terima.
f. Pastikan bahwa sistem operasi maupun aplikasi di
komputer Anda sudah dilindungi dengan sistem
proteksi terkini.
4. Malware / Spyware
Malware/spyware adalah sejenis program komputer yang
diprogram

untuk

penting/pribadi

'mencuri'

informasi-informasi

dari komputer yang

24

terinfeksi dan

mengirimnya ke lokasi tertentu di internet untuk kemudian

diambil oleh pembuatnya. Informasi yang menjadi target
utama contohnya User ID dan password, nomor rekening,
e-mail.
Malware/spyware dapat ter-install melalui attachment
email atau program yang di-install dari sumber-sumber
yang tidak jelas, ataupun oleh situs yang 'jahat'.
Virus

dapat

diprogram

untuk

menyebarkan

malware/spyware. Namun, berbeda dengan virus yang

sifatnya lebih merusak, spyware bekerja secara diam-diam
agar tidak terlacak sehingga lebih mudah mengumpulkan
informasi

yang

diinginkan

sang

pembuat/penyebar

malware/spyware.
Cara pengamanan:
Pengamanan terhadap malware/spyware sama dengan
pengamanan terhadap virus/worm.
5. Social Engineering
Merupakan salah satu cara

mendapatkan data pribadi

tanpa harus tersambung dengan internet.

Hal ini dapat dilakukan oleh siapa saja disekitar kita
(Teman,Keluarga atau kesalahan dari pihak pengguna
sendiri.)
Cara pengamanan:
a. Jangan

pernah

menggunakan

komputer/hp

teman/keluarga saat melakukan sebuah kegiatan

seperti pembelian dan pembayaran atau hal-hal lain
yang memiliki data privasi pengguna.
b. Jangan

Menyimpan

Data

Pribadi

pada

HP/Komputer/Buku seperti ID dan password.jika

terjadi kehilangan maka data-data tersebut akan
tersebar dan dapat disalahgunakan.

25

c. Pastikan anda tidak memberitahukan data pribadi

ada kepada pihak perusahaan maupun pihak yang
mengatasnamakan

perusahaan

karena

pihak

perusahaan tidak akan menanyakan hal tersebut dan

hanya membuthkan no. transaksi/bukti pembayaran
untuk konfirmasi pembayaran.
4.3.1. IRP (Incident Response Plan)
N
O

Risk Factors

1.

Kelemahan
Hardware

2.

Recommend
ed Controls

Pengajuan
Pemebelian
Unit Baru
Spek
yang sesuai
tidak
Standart
mamp Adanya
u
Maintenece
Jaringa Terhadap
n
Jaringan
Terput
Secara
us
Berkala
(Kabel Menggunaka
Rusak) n SAAS atau
Slow
Tools
(Berat) Software
Lemot
yang Sesuai
Mesin
dan
Produk Developt
si
Sendiri
Rusak
Sesuai
Kebutuhan

Kejadian tak
Terduga
(Alam)
Banjir
Gempa Bumi

Memiliki
Bakcup
Server di
Beberapa
Tempat /
Daerah

Cost
Justifica
tion

Ty
pe

Control
Method

Action
Metho
d

>
5.000.00
0

Tactical

Manual

Tactical

Manual

>
1.000.00
0

Tactical

Manual

Tactical

Manual

Tactical

Manual

>
3.000.00
0

10.000.0
00

26

Tanah
Longsor
Mesin
Malfunction
Termakan
oleh Pengerat

Terbakar
/Mesin
Overheat
3.

Kelemahan
Sistem
Gagal Login
Lupa
Password

Salah Input
Data

Adanya
Maintenance

2.000.00
0

Adanya
Secondary
Device untuk
Pengganti
Secara
Berkala

5.000.00
0

Fasilitas
Forgot
Password

Case Input
Sesuai
Kebutuhan

Tactical

Manual

Tactical

Manual

Administ
ratif

Autom
atic

Administ
ratif

Autom
atic

4.3.2. DRP (Disaster Recovery Plan)

DRP atau Disaster Recovery Plan adalah rencana pemulihan
dari kemungkinan kerusakan-kerusakan yang terjadi. Aspek yang
terkandung di dalam suatu rencana bisnis yang berkesinambungan
yaitu rencana pemulihan dari kemungkinan kerusakan-kerusakan
yang terjadi.
RPO (recovery point objective): target titik waktu dimana
transaksi-transaksi terbaru dapat diselamatkan.
RTO (recovery time objective): target waktu pemulihan layanan
dari gangguan.

27

N
O

Critical System

RTO/R Threat
PO

Preventi Respo
on
n
Strategy Strate
gy

Recover
y
Strategy

Transaksi
Pembayaran,Peng
imputan data
penjualan dan
data penggunaan
bahan baku.

2 Hours Server
/2
Failure
Hours

Backup
Server,
Secure
Room
Equipme
nt

Switch
Over
to The
Backu
p
Server
or
Second
ary
Server.
and
Runnin
g UPS

Fix/Repla
ce
Primary
Server

Login System

2
Securit
Hours/ y Fail,
2 Hours Hackin
g,
Virus

Instal
Protectio
n and
Antiviru
s, Use
Security
or Equip
with
Security
tools

Deploy
Guard
System
at
Strateg
ic
Point,
Use
Firewa
ll and
Close
Public
Port

Obtain.In
stall
replacem
ent Unit,
Sensor
and
Login
Page

3.

Operational
3
Fail in
System(Data- data Hours/ Softwa
operational
3 Hours re and
perusashaan)
Hardw
are

Instal
Antiviru
s and
Check
Update
and
Mainten
ce for
Software
.

repair
the
Softwa
re or
Reinstall
Softwa
re. Use
Second
aru
device

rest for
primary
hardware
or device.
fix and
resolve
the bug
of
software.

Cause
Virus ,
Error
and
Malfuc

28

Use
Backup
Data

tion

Mainten
ance on
machine
s for
product
creation.

or
Hardw
are.

There is
Backup
Hardwar
e and
Time for
Rest

4.3.3. BCP (Business Continnuity Plan)

BCP atau Business Continuity Plan adalah rencana bisnis yang
berkesinambungan antara Pengguna, pihak Perusahaan dan Supplier.
Critical
Business
Activity

Description

Priori
ty

Impact of loss

RTO

Akses
Layanan
sharing
data

Gangguan tidak
disengaja :
Serangan virus,
Trojan, Worm

Customer
Complain
Cannot
Access
Update and
Add Data
not
Realtime
Loss Data
Transaction
Cannot
Save
Transaction
to Database

Akses
Layanan
Informas
i dengan
Internet

Gangguan
disengaja :
Cyber crime
(kejahatan internet,
seperti SQL

Data
1 Day-3
Manipulatio Days
n
Stollen Data
Server
Down

29

1 Day~3
Days

Injection,
Spoofing,hacking,D
DOS dsb.)

Aktivitas
Di
Gedung
Perusaha
an

Gangguan Bencana
Alam (Banjir,
Tanah Longsor,
Gempa Bumi,
Tsunami, dll)

Aktivitas
2
Keseluruha Weeks~4Wee
n Sistem
ks
Database
Fisik(Server
)
Kerusakan
Hardware,S
oftware
Berhentinya
Proses
Bisnis
Lumpuhnya
Aktivitas
secara
Global

Jalur
Koneksi
Jaringan

Gangguan Alam
Perusakan Kabel
akibat Hewan
Penggerat

Berhentinya
Sharing
Data
Koneksi
Terputus
Tidak
Realtime
Aktivitas
Transaksi
Terganggu
Akses
Berhenti

12 Hours~24
Hours

Notes : Priority Level (1 Low | 2 Low-Medium | 3 Medium | 4

Medium-High | 5 High)

30

4.4. Security Risk and Assessment

4.4.1. Risk Identification
Identifikasi Resiko
Business Process Risk And Website
Target
Type

Vulnerability

Threat

Risk

Countermeasu
res

User

Saat
menggunakan
Internet

Gangguan
Cyber Crime

Pencurian
data

Enskripsi dan
Trusted
platform
module(TPM).

User

Menggunakan
komputer
umum/smartp
hone

Pencurian Hacked
data,Keylogger
Hp dicuri.

Menggunakan
komputer/pera
ngkat
yang
terpercaya.
Clean
cache
and
history/tidak
menyimpan id
password.

Karyaw Menggunakan
an
komputer
umum

Pencurian
data,Keylogger

Karyaw Mesin
an
produksi
Operational
Machine

Malfunction,ove Machine
rheat
error.

31

Data
Perusahaan
dicuri.

Menggunakan
PC
Kantor/Laptop
yang
sudah
diregistrasi
oleh kantor.
Regular
maintenance
and check.

Karyaw User Access Access

dapat
an
authentication dilakukan oleh
karyawan lain
Login area.
yg
bukan
department yang
dituju.

Manag
er

Manag
er
Admin

32

Pencurian
data.

Membuat
2
layer session
untuk login.

Penyalahgu
naan
hak Auto-log
akses.
off(session
over) setiap 30
menit inactive.

No

Resiko

Risk
Level

Risiko kehilangan
Critica
keamanan informasi l
(confidentiality,
integrity,
availability), jika
informasi yang
berada didalam
perusahaan, tidak
terklasifikasi dengan
baik berdasar

Recommended Control

Preventive

Detective

Policy &
Procedure

Pembagian dan
pengklasifikasian
informasi
sensitis

Policy &
Procedure

Policy &
Procedure

kan aspek
kerahasiaannya,
maka dapat
berpotensi informasi
rahasia dapat
terbuka
2

Risiko terhentinya
bisnis perusahaan,
karena tidak
memiliki rencana
penanggulangan
bencana, sehingga
ketika terjadi
bencana tidak
mampu
mempertahankan
dukungan IT
terhadap jalannya
bisnis, secara
sistematis

Critica
l

33

Kerusakan/bencana High
alam di lokasi server
yang tergolong
intensitasnya cukup
besar sehingga dapat
berpotensi merusak
server dan perangkat
jaringan.

Policy &
Policy &
Procedure, anti
Procedure
petir dan grounded

Risiko hilangnya
data master dan
backup berpotensi
terjadi, jika ruang
DRC berada pada
ruang yang sama
dengan ruang data
center atau server
yang saat
mengalami bencana

Critica
l

Policy &
Procedure,
Penyimpanan data
backup di tempat
aman, mirroring

Risiko penggunaan
sistem operasi yang
rentan dengan
gangguan virus,
tanpa didukung oleh
perangkat anti virus
yang cukup handal,
berpotensi
menimbulkan
kerusakan file, dan
kehilangan data

High

Pelatihan security Violation reports

awarness,
pemasangan
antivirus, scanning
virus rutin

Firewall diletakkan
di sisi luar DMZ
terhadap jaringan
luas internet, dan
tidak memiliki
firewall lainnya
disisi dalam DMZ

High

Policy &
Procedure,
Firewall

34

Policy &
Procedure

Intrussion
detection system,
alert software /
protection

terhadap jaringan
lokal internal,
sehingga berpotensi
server menjadi
terbuka dari
serangan yang
berasal dari jaringan
internal.
7

File system backup

Critica
gagal saat direstore, l
maka berpotensi jika
terjadi kehilangan
data pada sistem
utama, maka hasil
backup tidak dapat
direstore, sehingga
harus meng-entry
ulang berdasarkan
form manual

Policy &
Procedure,
Penyimpanan data
backup di tempat
aman, mirroring

Sharing
Responsibilities

Resiko kebocoran
data saat melakukan
transaksi di sisi
penyedia layanan
jaringan seluler

High

Policy &
Procedure

Proteksi
bertingkat pada
protokol

10

35

4.4.2. Threat and Vulnerability

No

Target

Vulnerability

Department
Keuangan

Informasi data keuangan yang meliputi

pendapatan perusahaan, pengeluaran,kas
perusahaan dan yang berkaitan di dalamnya
yang merupakan asset perusahan.

Department
Produksi

Informasi
data
penggunaan
bahan,standarisasi bahan,jumlah produksi
yang siap dijual,dsb yang merupakan data
penting dalam pengambilan keputusan bagi
manager perusahaan.

Department
Delivery

Petir di lokasi server baik di sisi Bank atau

Provider, intensitasnya cukup besar an
peralatan penangkal petir (anti petir dan
grounding) belum mampu meredamnya

Department
Marketing
Sales

Informasi Strategy pemasaran, target

and pembeli, data penjualan per daerah dsb
yang tidak boleh sampai bocor ke
perusahan pesaingnya.

Website
Perusahaan

Website yang dapat di serang sewaktuwaktu

yang
mengakibatkan
resiko
kebocoran informasi perusahaan dan data
privasi pembeli di dalamnya.

Kayawan dan Staff

Karyawan/staff yang membocorkan rahasia

perusahaan dari dalam.
ID/Pass diketahui pihak lain.
Kemasukan
virus
pada
pc/laptop
perusahaan lewat USB/email pishing yang
di klik.

Pembeli/User

Salah

36

input

data,

kehilangan

ID/Pass,account user disalahgunakan oleh

hacker.
8

Service Provider

Resiko kebocoran data saat melakukan

transaksi di sisi Provider / penyedia layanan
jaringan seluler.

Satpam

Resiko pencurian mesin produksi, hardware

perusahaan.

4.4.3. Mitigation Plan

N
O

Risk Factor

Most
Likely
Impact

Potentia
l Impact
on
Project
Success

Likelihood
of
Occurrenc
e

"Mitigation
Plan
(Strongly
Recommended)
"

Akses Layanan Mediu

sharing data
m

High

Medium

Backup server

Human Error

High

Medium

High

Manual Guide,
Validasi Input,
Session expired

Penyalahgunaa High
n
akses
(Broken
Access
Controls)

Medium

Medium

Monitoring 24/7,
Pembagian Hak
Akses
sesuai
Role
(Authorization)

Akses Layanan Mediu

Informasi
m
dengan
Telepon
dan
Internet

High

Medium

Monitoring and
cross-check I/O
data dari internet
dan telepon.

4.5. Procedure / Policy / Standard

4.5.1. EISP (Enhanced Information Support Plan)

37

Menentukan kebijakan departemen keamanan informasi dan

menciptakkan kondisi keamanan informasi di setiap bagian
organisasi. EISP menentukan arah strategi suatu organisasi, dan
cakupan dalam upaya keamanan. EISP juga memberikan tanggung
jawab, panduan pengembangan, implementasi, dan persyaratan
pengelolaan program untuk berbagai bidang tentang keamanan.
Tujuan dari kebihakan program ini berhubungan dengan
keamanan (integritas) ketersediaan dan kerahasiaan yang digunakan
dalam sebuah organisasi. Keamanan ini digunakan dalam sebuah
organisasi

untuk

menanggulangi

terjadinya

kesalahan

yang

mengakibatkan rusakanya database, hilangnya data secara tidak

sengan, rusaknya data dan megurangi kesalahan yang terjadi.
Dokumen EISP harus menyediakan :

Gambaran dari filosofi perusahaan pada keamanan

Informasi tentang organisasi infosec dan peran
infosec :
Tanggung jawab untuk keamanan bersama
oleh semua anggota organisasi
Tanggung
jawab
untuk

menyediakan

keamanan yang berbeda untuk masing-masing

peran organisasi

38

Komponen EISP antara lain :

Pernyataan Tujuan akan What the policy for

Teknologi
Informasi
Keamanan
Elemen

Mendefinisikan infosec
Teknologi Informasi Keamanan :
Membenarkan pentingnya

infosec

dalam

organisasi
Teknologi Informasi Keamanan Tanggung Jawab dan

Peran
Mendefinisikan struktur organisasi
Referensi Teknologi Informasi standar

dan

berpedoman

4.5.2. ISSP (Information System Security Professional)

Dalam keamanan ini menyediakan rincian yang ditargetkan
untuk menginstruksikan organisasi dalam penggunaan sistem
teknologi secara aman. Dimulai dari pengenalan filsafat teknologi
dasar organisasi. Keamanan ini berfungsi untuk melindungi
karyawan dan organisasi dari kesalahan. ISSP juga mempunyai
dokumen bagaimana sistem berbasis teknologi dapat dikendalikan
untuk mengidentifikasi proses dan otoritas yang diberikan pada
ISSP. Dengan adanya ISSP, suatu organisasi dapat mencegah
terjadinya penggantian kerugian terhadap kewajiban yang tidak
pantas / ilegal dalam menggunakan sistem. ISSP harus mengandung
alamat sistem yang berbasis teknologi secara spesifik, selain itu juga
harus sering melakukan update.

39

Cakupan ISSP yaitu :

Email
Penggunaan Internet dan World Wide Web
Konfigutasi minimum pada komputer untuk terlindungi dari

serangan malware
Larangan terhadap hacking atau organisasi dalam pengujian

kontrol keamanan
Penggunaan peralatan komputer milik perusahaan
Penggunaan peralatan pribadi di jaringan perusahaan
Penggunaan teknologi telekomunikasi
Penggunaan peralatan fotokopi
Komponen pada ISSP
Statement of Purpose
Ruang Lingkup dan berlakunya
Definisi Tujuan Teknologi
Responsibilities
Hak Akses dan Penggunaan Peralatan
Hak akses pengguna
Adil dan Penggunaan yang bertanggung jawab
Perlindungan privasi
Larangan Penggunaan Peralatan
Penggunaan alat pengganggu atau Penyalahgunaan
Digunakan untuk tindak kriminal
Serangan atau sebagai bahan untuk melecehkan
Hak cipta, ijin, atau kekayaan intelektual lainnya
Pembatasan lain
Sistem Manajemen
Pengelolaan Bahan Baku
Memonitor karyawan
Perlindungan virus
Physical Security
Enkripsi
Pelangganan Policy/Kebijakan
Prosedur untuk pelaporan pelanggaran
Hukuman untuk pelanggaran
Tinjauan Kebijakan dan Modifikasi
Dijadwalkan ulasan kebijakan dan prosedur untuk
modifikasi
Batasan Tanggung Jawab

40

 Pernyataan tanggung jawab atau penyangkalan

Pendekatan umum untuk menerapkan ISSP
Jumlah dokumen ISSP harus independen
Satu dokumen ISSP yang komprehensif
Dokumen ISSP modular yang menyatukan pembuatan dan
administrasi kebijakan
Pendekatan yang disarankan adalah kebijakan modular, yang
menyediakan keseimbangan antara masalah orientasi dan
manajemen kebijakan
4.5.3. SSP (System Security Plan)
SSP biasa digunakan untuk berfungsi sebagai standar atau
prosedur yang kaan digunakan ketika mengkonfigurasi atau
perbaikan sistem. SSP dibagi menjadi :
1. Management Guidance
2. Technical Specifications
3. Combined in a single pocily document

41

Management Guidance
Dibuat oleh manajemen untuk memandu pelaksanaan dan

konfigurasi teknologi
Digunakan pada setiap

kerahasiaan, integritas atau ketersediaan informasi

Menginformasikan teknologi manajemen secara

teknologi

yang

mempunyai
terus

menerus
Technical Specifications
Sistem administrator dilaksanakan pada kebijakan manajerial
Setiap jenis peralatan kebijakan masing-masing
Dua metode umum dalam menerapkan technical controls :
Daftar akses kontrol
Configuration rules
Access Control Lists (ACL)
Hak akes pada ACL Administrator
Read
Write
Create
Modify
Delete
Compare
Copy
4.6. Review And Monitoring
Untuk melakukan tinjauan manajemen, ISO / IEC 27001
memerlukan input berikut :
hasil ISMS audit internal dan eksternal dan ulasan
umpan balik dari pihak yang berkepentingan
teknik, produk, atau prosedur yang dapat digunakan dalam
organisasi untuk meningkatkan efektivitas SMKI
tindakan pencegahan dan korektif (termasuk yang mungkin
telah diidentifikasi dalam ulasan sebelumnya atau audit)
laporan kejadian, misalnya, jika telah terjadi kegagalan
keamanan, laporan yang mengidentifikasi sebuah Kegagalan
adalah, ketika terjadi, dan bagaimana hal itu ditangani dan
mungkin dikoreksi.

42

 kerentanan atau ancaman tidak cukup dibahas dalam

penilaian risiko sebelumnya
tindak lanjut dari tinjauan sebelumnya
setiap perubahan organisasi yang dapat mempengaruhi
ISMS
rekomendasi untuk perbaikan
Hasil dari tinjauan manajemen harus mencakup
keputusan dan tindakan yang berkaitan dengan:
Perbaikan pada ISMS
Modifikasi prosedur yang keamanan informasi efek di
semua tingkatan dalam organisasi
kebutuhan Sumber Daya
Dalam Penijauan untuk perusahaan ini diperlukan beberapa
perbaikan dalam sistem management yang ada dan dengan
mengikuti program ISMS yang ada maka dapat diterapkan
beberapa hal baru untuk perusahaan yaitu :

Penambahan Software pembantu untuk melaporkan

kerusakan pada mesin produksi.

Adanya report yang berkelanjutan dari pihak
karyawan ke kepala bagian dan dari kepala bagian ke

manager dan dari manager ke direktur.

Adanya pengawas khusus untuk informasi penting

bagi perusahaan
Adanya pengawas informasi (standard CIA) yang
dilaporkan dari karyawan sampai ke direktur
sehingga tidak ada penggelapan dana dan kesalahan
informasi.

Proses audit yang akan digunakan perusahaan ini adalah dengan

menggunakan General Internal Audit Process :

43

Tahap 1: Pre-Audit Intern

Sebelum melaksanakan audit internal; sebuah organisasi harus
mengembangkan audit Program yang mendefinisikan frekuensi, metode,
tanggung jawab, perencanaan persyaratan dan pelaporan. Audit tujuan,
ruang lingkup dan kriteria audit harus juga akan didirikan, diikuti oleh
pembentukan tim audit dan rencana audit.

44

a) Tentukan tujuan audit dan lingkup

Sebuah organisasi harus mendefinisikan ruang lingkup audit untuk
memastikan bahwa tujuan dari audit dapat memenuhi persyaratan dari
ISMS. Ruang lingkup audit meliputi deskripsi dari lokasi fisik, unit
organisasi, kegiatan dan proses, serta periode waktu yang dicakup oleh
audit. Untuk organisasi dengan beberapa situs, yang audit internal harus
mencakup semua situs dalam lingkup ISMS.
b) Pilih kriteria audit
Sebuah kriteria audit meliputi ISO / IEC 27001 persyaratan, berlaku
kebijakan organisasi dan prosedur, persyaratan hukum (undang-undang,
peraturan atau badan industri), persyaratan sistem manajemen, persyaratan
kontrak,
Kode sektor etik atau pengaturan yang direncanakan lainnya. Kriteria audit
digunakan sebagai referensi terhadap yang sesuai ditentukan.
c) Menetapkan tim audit
Organisasi dapat membentuk tim audit mereka sendiri atau menunjuk pihak
eksternal untuk melakukan audit internal. Ukuran, komposisi tim audit
ditentukan oleh kompetensi secara keseluruhan tim, kompleksitas audit,
metode pemeriksaan dan hukum dan kontrak persyaratan. Manajemen harus
menyetujui dipilih anggota tim audit dan janji mereka harus diformalkan.
Berikut ini diterapkan untuk membangun tim audit internal:

45

i) Anggota tim audit

Para anggota tim audit harus mencakup pemimpin tim audit, auditor (s) dan
ahli teknis (s) (jika ada). Seorang pemimpin tim audit harus mampu
mengidentifikasi kompetensi masing-masing auditor; dan memastikan
bahwa setiap auditor memiliki kompetensi yang diperlukan untuk mencapai
tujuan dalam lingkup dan garis waktu. Teknisi Ahli mungkin diperlukan
selama audit. Teknisi Ahli akan menyarankan auditor mengenai hal-hal yang
berkaitan dengan keahlian mereka saja.
ii) Kompetensi dan keterampilan yang dibutuhkan oleh anggota tim audit
Para anggota tim audit harus menunjukkan kompetensi dan ketrampilan
berikut yaitu :
[1] Pengetahuan tentang ISO / IEC 27001 ISMS;
[2] Pemahaman keamanan informasi;
[3] Pemahaman penilaian risiko dan manajemen risiko dari bisnis
perspektif;
[4] pengetahuan teknis kegiatan yang akan diaudit;
[5] Pengetahuan umum tentang persyaratan peraturan yang relevan untuk
ISMS;
[6] Pengetahuan tentang sistem manajemen;
[7] Pemahaman prinsip-prinsip audit berdasarkan ISO 19011;
[8] Pengetahuan tentang ISMS efektivitas review dan pengukuran kontrol
efektivitas.
iii) keterampilan lain yang dibutuhkan oleh anggota tim audit
Para anggota tim audit diharapkan untuk mendemonstrasikan kemampuan
berikut, Tapi tidak terbatas pada:
[1] Mengidentifikasi dan memecahkan masalah;
[2] Melakukan penelitian teknis yang sesuai;
[3] Kemampuan untuk bekerja dalam tim dalam proses konsultasi;

46

[4] Terapkan scepticism23 profesional dalam mengumpulkan,

mengevaluasi dan meninjau bukti yang diberikan oleh auditee; Hadir,
mendiskusikan, dan pada kali membela dilihat secara efektif melalui
komunikasi formal, informal, tertulis, dan lisan;
[5] Perlakukan informasi sensitif dan rahasia tepat;
[6] Kemampuan untuk menerapkan standar audit yang relevan dan
bimbingan;
[7] Kapasitas untuk penyelidikan, pemikiran logis abstrak, dan analisis
kritis; dan
[8] Perhatikan etika dan kode etik dalam melaksanakan audit.
d) Mengembangkan rencana audit
Rencana audit disiapkan oleh ketua tim audit dan berikut ini harus
dipertimbangkan :
- Efek dari kegiatan audit pada proses auditee 'dan memberikan dasar
perjanjian antara tim audit dan auditee mengenai pelaksanaan audit
- Penjadwalan yang efisien dan koordinasi kegiatan audit dalam rangka
mencapai tujuan secara efektif
- Rincian yang diberikan dalam rencana audit harus mencerminkan ruang
lingkup dan kompleksitas audit, serta efek ketidakpastian dalam mencapai
tujuan.
Rencana audit harus didokumentasikan dan dikomunikasikan kepada
auditee dan mestinya menutupi atau membuat referensi untuk :
a) tujuan Audit
b) lingkup Audit, termasuk identifikasi organisasi dan fungsional
unit, serta proses yang akan diaudit
c) Kriteria Audit dan dokumen referensi
d) metode Audit yang akan digunakan, termasuk sejauh mana sampling
audit adalah dibutuhkan untuk memperoleh bukti audit yang cukup dan
desain sampling Rencananya, jika berlaku

47

e) Peran dan tanggung jawab anggota tim audit, serta panduan dan
pengamat
f) Alokasi sumber daya yang tepat untuk daerah-daerah kritis yang akan
diaudit misalnya itu perlu melibatkan ahli teknis ketika audit melibatkan
daerah-daerah kritis
g) Lokasi, tanggal, waktu dan durasi yang diharapkan dari kegiatan audit
menjadi dilakukan, termasuk pertemuan penjadwalan dengan individu dicharge.
Tahap 2: Selama Internal Audit
Selama proses audit internal, rapat pembukaan harus dilakukan sebelum
untuk melakukan kegiatan audit; dan diakhiri dengan penutupan untuk
menyajikan temuan audit.
a) pertemuan Pembukaan
Tujuan dari pertemuan ini adalah untuk membuka memimpin latihan audit
internal.
Pertemuan akan dipimpin oleh CISO atau siapa pun dari posisi yang sama
sebaiknyadari manajemen puncak dan dihadiri oleh auditor dan pemilik
bisnis. Selama membuka pertemuan, ketua tim audit akan memperkenalkan
anggota tim ke manajemen dan auditee masing lainnya. Ketua tim audit
harus memastikanbahwa semua kegiatan audit yang direncanakan dapat
dilakukan.

48

b) Melakukan Audit
Latihan Audit akan dilakukan sebagaimana ditentukan dalam rencana.
Auditee yang diharapkan akan disiapkan sepanjang audit.
c) pertemuan Penutupan
Tujuan dari pertemuan penutupan adalah untuk secara resmi menutup
latihan audit. Ini penutupan pertemuan akan dipimpin oleh CISO atau siapa
pun dari posisi yang sama disukai dari manajemen puncak dan dihadiri oleh
auditor dan pemilik bisnis.
Ketua tim audit menyajikan temuan audit dan kesimpulan. Audit
Temuan harus mencakup sebagai berikut:
- Daftar ketidaksesuaian
- Daftar peluang untuk perbaikan
- Pengamatan dan umpan balik yang konstruktif
Semua pihak (auditee dan tim audit yang) harus menyepakati kerangka
waktu untuk menghasilkan rencana aksi dalam mengatasi temuan mereka.
Pertemuan ini juga berfungsi sebagai platform untuk diskusi pada setiap
pendapat divergen mengenai temuan atau kesimpulan, antara tim audit dan
auditee.
Tahap 3: Post-Audit Intern
Persiapan dan distribusi laporan audit dan rencana tindak lanjut yang
dilakukan selama proses audit pasca internal.
a) Siapkan laporan audit
Laporan audit akan disiapkan setelah latihan audit menyimpulkan. Laporan
harus mencakup sebagai berikut:
- Kriteria audit, ruang lingkup, metode dan tujuan
- Tanggal dan tempat di mana kegiatan audit dilakukan
- Ringkasan temuan

49

- Laporan pada poin positif, ketidaksesuaian, kelemahan, dan / atau

peluang untuk perbaikan
- Rencana Tindak Lanjut

b) Mendistribusikan laporan audit

Laporan audit harus siap dalam waktu yang tepat atau periode waktu
disepakati setelah pertemuan penutupan. Laporan tersebut harus disetujui
oleh bagian atas manajemen dan didistribusikan ke penerima.
c) Audit tindak lanjut
Sebelum melakukan tindak lanjut, berikut ini harus disepakati antara
auditor dan auditee:
- Tergantung pada tujuan audit, kesimpulan audit dapat menunjukkan
kebutuhan untuk perbaikan, atau tindakan perbaikan
- Perbaikan kerangka waktu
- Tindakan yang harus diambil adalah sebuah tindak lanjut yang perlu
dilakukan setelah auditor dan auditee disetujui atasan. Semua temuan perlu
diverifikasi untuk memastikan bahwa tindakan perbaikan atau peningkatan
telah diambil dan masalah telah ditangani.

50

DAFTAR PUSTAKA
[1] http://www.atsec-information-security.cn/downloads/documents/ISMS-ImplementationGuide-and-Examples.pdf ,

Diakses pada 27 Januari 2015

[2] http://hescssls-riau.blogspot.com/2009/03/apa-itu-risk-assessment.html ,
Diakses pada 27 Desember 2015
[3] http://elsa-suryana-fisip12.web.unair.ac.id/artikel_detail-79306-UmumKeamanan%20Sistem%20Informasi.html .
Diakses pada tanggal 28 Desember 2015
[4] Nugtoho Arif Widodo, R.Rizal Isnanto dan Adian Fatchur Rochim,
Perencanaan dan Implementasi Sistem Majamenen Keamanan
Informasi Berdasarkan Standar ISO/IEC 27001:2005 (Studi Kasus Pada
Sebuah Bank Swasta Nasional), Universitas Diponegoro, Semarang.
[5] http://www.kompasiana.com/ariessyamsuddin/arsitektur-keamanan-enterprise-untukpengembangan-inteligensia-bisnis_552e092c6ea8348d258b4576 ,

Diakses pada 28 Desember 2015

[6] http://marcellinalina.blogspot.com/2013/03/information-system-security.html ,
Diakses pada 2 Januari 2016
[7] http://www.cybersecurity.my/data/content_files/11/1170.pdf?.diff=1375349394 ,
Diakses pada 2 Januari 2016

51