Undergraduate Theses
Undergraduate Theses
Dosen Pembimbing
Dr. Apol Pribadi Subriadi, S.T, M.T
Anisah Herdiayanti, S.Kom, M.Sc., ITIL
Dosen Pembimbing
Dr. Apol Pribadi Subriadi, S.T, M.T
Anisah Herdiayanti, S.Kom, M.Sc., ITIL
Academic Promotors
Dr. Apol Pribadi Subriadi, S.T, M.T
Anisah Herdiyanti, S.Kom, M.Sc., ITIL
ABSTRAK
vi
DESIGNING A RISK BASED AUDIT GUIDELINE FOR
PHYSICAL AND ENVIRONMENTAL INFORMATION
TECHNOLOGY SECURITY BASED ON ISO/IEC
27002:2013 AT SERVER ROOM OF STIE PERBANAS
SURABAYA
ABSTRACT
viii
KATA PENGANTAR
ix
menjadi dosen penguji dan memberikan banyak masukan
kepada penulis.
4. Ketua Jurusan Sistem Informasi ITS, Bapak Dr. Ir. Aris
Tjahyanto, M.Kom.
5. Bapak Arif Wibisono, S.Kom., M.Kom., selaku dosen wali
penulis yang senantiasa memberikan arahan serta motivasi
selama penulis menempuh masa perkuliahan.
6. Ni Luh Komang Mariasih yang senantiasa memberikan
semangat dan dukungan kepada penulis untuk
menyelesaikan Tugas Akhir ini.
7. Bapak Hermono, selaku laboran dari laboratorium
Manajemen Sistem Informasi yang banyaj membantu
penulis dalam hal administrasi untuk penyelesaian Tugas
Akhir
8. Teman teman mahasiswa Jurusan Sistem Informasi
angkatan 2012 yang sudah memberikan semangat dan
dukungan untuk segera menyelesaikan Tugas Akhir.
9. Teman teman anggota TPKH-ITS yang senantiasa
memberikan dukungan dan semangat selama masa
perkuliahan.
10. Pihak lainnya yang telah mendukung dan membantu
penulis dalam kelancaran penyelesaian Tugas Akhir ini.
Penulis
x
DAFTAR ISI
ABSTRAK ............................................................................... v
ABSTRACT ........................................................................... vii
KATA PENGANTAR ............................................................ ix
DAFTAR ISI ........................................................................... xi
DAFTAR GAMBAR ............................................................. xv
DAFTAR TABEL ................................................................ xvii
BAB I ................................................................................. 1
PENDAHULUAN.................................................................... 1
1.1 Latar Belakang Masalah ........................................... 1
1.2 Perumusan Masalah.................................................. 4
1.3 Batasan Masalah....................................................... 4
1.4 Tujuan Tugas Akhir ................................................. 5
1.5 Manfaat Tugas Akhir ............................................... 5
1.6 Relevansi .................................................................. 6
BAB II ................................................................................. 7
TINJAUAN PUSTAKA........................................................... 7
2.1 Penelitian Sebelumnya ............................................. 7
2.2 Dasar Teori ............................................................. 12
2.2.1 Pengertian Audit .................................................... 12
2.2.2 Pengertian Audit SI/TI ........................................... 13
2.2.3 Audit Keamanan Informasi .................................... 14
2.2.4 Proses Audit ........................................................... 15
2.2.5 Audit Berbasis Risiko ........................................... 21
2.2.6 Panduan Audit........................................................ 21
2.2.7 Aset Informasi........................................................ 24
2.2.8 Risiko SI/TI............................................................ 25
2.2.9 Manajemen Risiko SI/TI ........................................ 25
2.2.10 FMEA (Failure Mode and Effects Analysis) ......... 26
2.2.11 ISO 31000 Risk Management ................................ 27
2.2.12 ISO/IEC 27002:2013 Klausul Keamanan Fisik dan
Lingkungan ............................................................ 30
BAB III ............................................................................... 37
METODOLOGI PENELITIAN ............................................. 37
3.1 Gambar Metodologi Penelitian .............................. 37
3.2 Tahapan Pelaksanaan Penelitian ............................ 39
xi
3.2.1 Tahap Persiapan .....................................................39
3.2.2 Tahap Penyusunan Dokumen Panduan Audit ........40
3.2.3 Tahap Hasil dan Pembahasan .................................46
BAB IV ................................................................................47
PERANCANGAN ..................................................................47
4.1 Penentuan Template ...............................................47
4.2 Persiapan Penggalian Data .....................................48
4.2.1 Teknik Pengumpulan Data .....................................49
4.2.2 Informasi yang Diperlukan.....................................49
4.3 Pengolahan Data .....................................................50
4.4 Pendekatan Analisis................................................54
BAB V ................................................................................57
IMPLEMENTASI ..................................................................57
5.1 Penyusunan Dokumen Audit Plan Bagian TIK STIE
Perbanas Surabaya .................................................57
5.1.1 Penyusunan Bagian Informasi Umum....................57
5.1.2 Penyusunan Bagian Proses Audit ...........................58
5.1.3 Penyusunan Bagian Evaluasi .................................59
5.2 Verifikasi Dokumen Audit Plan .............................59
5.3 Identifikasi Aset Ruang Server STIE Perbanas
Surabaya .................................................................61
5.4 Analisa dan Penilaian Risiko ..................................61
5.4.1 Identifikasi Ancaman .............................................62
5.4.2 Identifikasi Kerentanan ..........................................64
5.4.3 Identifikasi Risiko ..................................................65
5.4.4 Penilaian Risiko .....................................................71
5.5 Pemetaan Risiko dengan Kontrol ISO/IEC
27002:2013 Klausul Keamanan Fisik dan
Lingkungan ............................................................85
5.6 Penyusunan Dokumen Audit Program ...................92
5.6.1 Kerangka Dokumen ...............................................92
5.6.2 Pembuatan Perangkat Audit ...................................93
5.6.3 Pembuatan Formulir Pelaksanaan Tindak Lanjut 102
5.6.4 Pembuatan Panduan Penggunaan Perangkat Audit
..............................................................................104
5.7 Verfikasi Dokumen Audit Program ......................106
BAB VI ..............................................................................109
xii
HASIL DAN PEMBAHASAN ............................................ 109
6.1 Hasil Penyusunan Dokumen Audit Plan .............. 109
6.2 Hasil Penyusunan Dokumen Audit Program........ 115
6.3 Peretujuan Dokumen Panduan Audit TI .............. 118
6.3.1 Perencanaan Proses Persetujuan .......................... 118
6.3.2 Hasil Persetujuan Panduan Audit......................... 119
6.4 Contoh Pengisian Dokumen Prosedur Audit........ 120
BAB VII ............................................................................. 123
KESIMPULAN DAN SARAN ............................................ 123
7.1 Kesimpulan .......................................................... 123
7.2 Saran..................................................................... 124
DAFTAR PUSTAKA .......................................................... 125
BIODATA PENULIS .......................................................... 129
LAMPIRAN A ..................................................................... A-1
LAMPIRAN B ..................................................................... B-1
LAMPIRAN C ..................................................................... C-1
xiii
(halaman ini sengaja dikosongkan)
xiv
DAFTAR GAMBAR
xv
Halaman ini sengaja dikosongkan
xvi
DAFTAR TABEL
xviii
BAB I
PENDAHULUAN
1.6 Relevansi
Preventive Detective
Locks and keys Motion detectors
Backup power Smoke and fire
Physical
Encryption Automated
Access control configuration
Vulnerabilities monitoring
assessment Penetration testing
Diagnostic reviews
Employment Security reviews
procedures and audits
Supervision Performance
Administrative
Dari semua proses audit yang ada pada ISO 19011 (proses 1
6), dalam pengerjaan Tugas Akhir ini, yang akan digunakan
hanyalah proses 1 dan 2 yaitu Initiating the Audit dan Preparing
Audit Activities dimana fokus dari kedua proses ini adalah
persiapan (planning) dari kegiatan audit. Proses 3 samapai
dengan proses 6 tidak akan dilaksanakan karena penulis tidak
sampai pada tahapan melakukan proses audit.
Prosedur audit,
Dokumen atau formulir kerja audit.
b. Avoid
Organisasi memutuskan untuk tidak melakukan suatu
aktivitas atau memilih alternatif aktivitas lain yang
menghasilkan output yang sama untuk menghindari
terjadinya risiko.
c. Mitigate
Organisasi memutuskan untuk mengurangi dampak
maupun kemungkinan terjadinya risiko.
d. Transfer
Organisasi memutuskan untuk mengalihkan seluruh
atau sebagian tanggun jawab pelaksanaan suatu proses
kepada pihak ketiga.
Untuk mencegah
akses secara fisik
oleh pihak tidak
berwenang,
kerusakan dan
interferensi
terhadap lokasi
serta informasi dari
organisasi.
11.1.1 Physical Perimeter
security keamanan (batasan
perimeter seperti dinding,
pintu masuk yang
dikendalikan
dengan kartu akses
atau meja
resepsionis yang
11.1 Secure
dijaga) harus
area
digunakan untuk
melindungi area
yang berisi
informasi dan
fasilitas
pengolahan
informasi.
11.1.2 Physical entry Area yang aman
controls harus dilindungi
dengan
pengendalian entri
yang sesuai untuk
memastikan bahwa
hanya personel
yang berwenang
yang
diperbolehkan
32
untuk
mengaksesnya.
11.1.3 Securing Keamanan fisik
office, rooms untuk kantor,
and facilities ruangan serta
fasilitas harus
dirancang dan
diimplementasikan
.
11.1.4 Protecting Perlindungan fisik
against terhadap kerusakan
external and akibat dari
envirounmenta kebakaran, banjir,
l threats gempa bumi,
ledakan, kerusuhan
dan bentuk lain
bencana alam atau
buatan manusia
harus dirancang
dan
diimplementasikan
.
11.1.5 Working in Perlindungan fisik
secure areas dan pedoman kerja
dalam area yang
aman harus
dirancang dan
diimplementasikan
.
11.1.6 Public access, Titik akses seperti
delivery and area bongkar muat
loading areas dan titik lainnya
dimana orang yang
tidak berwenang
dapat masuk
kedalam lokasi
harus dikendalikan,
dan jika mungkin,
33
dipisahkan dari
fasilitas
pengolahan
informasi untuk
mencegah akses
tidak berwenang.
Untuk mencegah
kehilangan,
kerusakan,
pencurian atau
gangguan aset dan
interupsi terhadap
kegiatan organisasi
11.2.1 Equipment Peralatan harus
sitting and ditempatkan atau
protection dilindungi untuk
mengurangi risiko
dari ancaman dan
bahaya lingkungan
dan peluang untuk
akses oleh pihak
11.2 Equipment
yang tidak
security
berwenang.
11.2.2 Supporting Peralatan harus
utilities dilindungi dari
kegagalan catu
daya dan gangguan
lain yang
disebabkan oleh
kegagalan sarana
pendukung.
11.2.3 Cabling Kabel serta
security telekomunikasi
yang membawa
data atau jasa
informasi
pendukung harus
34
dilindungi dari
kerusakan.
11.2.4 Equipment Peralatan harus
maintenance dipelihara dengan
benar untuk
memastikan
ketersediaan dan
integritasnya.
11.2.5 Removal of Peralatan,
property informasi atau
perangkat lunak
tidak boleh dibawa
keluar lokasi tanpa
ijin pihak
berwenang.
11.2.6 Security of Keamanan harus
equipment off diterapkan pada
premises peralatan di luar
lokasi dengan
mempertimbangka
n risiko yang
berbeda pada saat
bekerja di luar
lokasi organisasi.
11.2.7 Secure Seluruh item atau
disposal or re- peralatan yang
use of memuat media
equipment penyimpanan harus
diperiksa untuk
memastikan bahwa
setiap data sensitif
dan perangkat
lunak berlisensi
telah dihapus atau
ditimpa
(overwritten)
secara aman
sebelum dibuang.
35
37
38
47
48
5 1 kali / bulan
57
58
Susunan Dokumen
Check Keterangan
Poin Proses
Perbaikan pada bagian
1. Informasi Umum Akronim dan singkatan
serta Kontak
2. Proses Audit -
3. Evaluasi -
Tahap awal pada proses analisa dan penilaian risiko ini adalah
identifikasi ancaman terhadap aset TI pada raung server yang
dimiliki oleh STIE Perbanas Surabaya. Proses identifikasi
ancaman ini dilakukan dengan menggabungkan informasi yang
diperoleh ketika observasi langsung dengan studi literatur yang
dilakukan oleh penulis. Di bawah ini adalah hasil analisa
ancaman yang dapat di lihat pada Tabel 5.4.
Aset Ancaman
Hilangnya pasokan daya atau listrik
Voltase listrik yang tidak stabil
Kesalahan konfigurasi dan perawatan server
Server
Temperature ruangan server terlalu tinggi
Kebocoran air AC pada ruang server
Debu, kotoran, dan korosi pada hardware
Proses perawatan tidak dilakukan dengan
benar
Monitor
Kesalahan dan kelalaian dalam melaksanakan
prosedur kerja
Proses perawatan aset tidak dilakukan dengan
Flash System
benar
Detector
Debu dan kotoran pada hardware
Modem Kesalahan konfigurasi modem
63
Aset Ancaman
Proses perawatan tidak dilakukan denga
benar
Hilangnya pasokan daya atau listrik
Kualitas jaringan yang buruk
Kesalahan dan kelalaian dalam melaksanakan
DVR1 prosedur kerja
Hilangnya pasokan daya atau listrik
Proses perawatan tidak dilakukan dengan
benar
Proses perawatan aset tidak dilakukan dengan
Pendingin benar
ruangan (AC) Hilangnya pasokan daya atau listrik
Debu dan kotoran pada hardware
Debu dan kotoran pada hardware
Proses perawatan aset tidak dilakukan dengan
UPS benar
Kebutuhan daya yang lebih besar dari
kapasitas UPS
Proses perawatan aset tidak dilakukan dengan
CCTV
benar
Hilangnya pasokan daya atau listrik
Kesalahan konfigurasi router
Router Kualitas jaringan yang kurang bagus
Proses perawatan tidak dilakukan dengan
benar
Proses perawatan aset tidak dilakukan dengan
Telepon Kabel benar
Kualitas jaringan telepon yang kurang bagus
Kerusakan akibat kurang perlindungan
Kabel Fiber Optik
Kesalahan penempatan kabel
Proses perawatan aset tidak dilakukan dengan
PABX benar
Kualitas jaringan telepon yang kurang bagus
Penggunaan peralatan tidak sah dalam
Pengelola (Staff) pelaksanaan prosedur kerja
Keterbatasan jumlah tenaga kerja
64
Aset Kerentanan
Kebutuhan akan daya listrik yang stabil
Server
RAM mengalami overload
Monitor Mengalami dead pixel
Flash System Sensor tidak dapat berfungsi sebagai mana
Detector mestinya
Modem Mengalami overheat
DVR1 Kebutuhan akan daya listrik yang stabil
Tidak dapat menghasilkan temperature yang
Pendingin sesuai dengan kebutuhan yang telah
ruangan (AC) ditetapkan
Mengalami kebocoran akibat kinerja berlebih
Kapasitas UPS lebih kecil dari power outage
UPS
Baterai UPS tidak bertahan lama
Kualitas gambar yang kurang tajam
CCTV
Sudut rekam gambar sempit
Jangkauan signal terbatas atau kecil
Router
Mengalami overheat
Durabilitas alat rendah
Telepon Kabel
Kabel tetepon mengalami korosi
Kualitas kabel yang mudah rusak atau
Kabel Fiber Optik terputus
Kabel mengalami korosi
65
Aset Kerentanan
PABX Korosi pada hardware
Kesadaran akan keamanan yang masih
Pengelola (Staff) kurang
Keterbatasan kemampuan staff
67
68
69
70
O S Dampak D
Kategori Nama Risk Dampak
Penyebab Risiko c e Terhadap e Kontrol Terkini
Aset Aset ID Langsung
c v Bisnis t
Hilangnya Kerusakan Proses bisnis Penyediaan UPS
R-01 pasokan daya 4 pada asset 6 yang 2 dan Genset
atau listrik Server down bergantung
Temperatur Kehilangan dengan server Pendingin
ruangan terlalu Data terkait Ruangan (AC) 2
R-02 4 6 2
tinggi Mengancam terganggu buah
(Overheat) keselamatan atau bahkan
Kerusakan
Hardware Server Kesalahan terhenti Prosedur
Hardware
konfigurasi dan hingga server perawatan aset
R-03 3 7 dapat pulih 3
perawatan
hardware kembali
Bencana alam Pemasangan
(petir, gempa penagkal petir
R-04 3 6 7
bumi, angina
kencang)
Proses Kerusakan Kerusakan Kerugian Prosedur
Hardware Monitor R-05 3 4 3
perawatan aset Hardware pada hardware finansial perawatan aset
O S Dampak D
Kategori Nama Risk Dampak
Penyebab Risiko c e Terhadap e Kontrol Terkini
Aset Aset ID Langsung
c v Bisnis t
tidak dilakukan Aktivitas yang untuk
dengan benar bergantung perbaikan
Kesalahan dan dengan atau -
kelalaian dalam monitor pengadaan
R-06 3 5 3
melaksanakan terkait ulang
prosedur kerja terganggu
Hardware Flash Proses Kerusakan Hardware Proses bisnis Prosedur
System pearawatan aset Hardware tidak dapat terhenti jika perawatan aset
Detector tidak dilakukan berfungsi terjadi
R-07 dengan benar 2 5 kebakaran dan 4
tidak bisa
terdeteksi
lebih dini
Temperatur Kerusakan Jaringan Proses bisis Penyediaan
R-08 hardware terlalu Hardware 4 internet 5 yang 3 pendingin
tinggi (overheat) terganggu membutuhkan ruangan (AC)
Hardware Modem
Kesalahan pada Gangguan Jaringan koneksi -
R-09 saat konfigurasi Jaringan 3 menjadi lemot 6 internet 3
modem
73
74
O S Dampak D
Kategori Nama Risk Dampak
Penyebab Risiko c e Terhadap e Kontrol Terkini
Aset Aset ID Langsung
c v Bisnis t
Jaringan tidak (online)
tersedia terganggu
Hilangnya Pemantauan Proses bisnis Penyediaan
R-10 pasokan daya 3 keamanan 5 yang 2 Genset dan UPS
atau listrik terganggu bergantung
Kerusakan
Hardware DVR1 Kesalahan dan dengan DVR -
Hardware
kelalaian dalam menjadi
R-11 2 4 3
melaksanakan terganggu
prosedur kerja
Proses Kerusakan Temperatur Kerugian Prosedur
perawatan aset Hardware ruangan finansial perawatan aset
R-12 3 5 3
tidak dilakukan menjadi naik untuk
dengan benar atau tinggi dan perbaikan
Pendingin
Pemantauan Human dapat atau
Hardware Ruangan
atau monitoring Error mengganggu pengadaan
(AC)
temperatur tidak kinerja server
R-13 4 6 3
dilakukan dan perangkat
dengan lain
maksimal
O S Dampak D
Kategori Nama Risk Dampak
Penyebab Risiko c e Terhadap e Kontrol Terkini
Aset Aset ID Langsung
c v Bisnis t
Hardware Genset Genset tidak Server down Proses bisnis Prosedur
berfungsi Jaringan yang perawatan aset
sebagaimana internet tidak berhubungan
mestinya pada tersedia langsung
saat listrik Kegagalan dengan server
R-14 4 7 5
padam Daya dan
membutuhkan
koneksi
internet
terganggu
Batrai UPS Kebakaran Kerusakan Proses bisnis Pemasangan
terbakar pada aset terhenti Flash System
Kehilangan sampai batas Detector
R-15 2 9 4
data waktu yang
Jaringan tidak belum
Hardware UPS
tersedia ditentukan
Kesalahan Kegagalan Kerusakan -
konfigurasi Daya pada aset
R-16 3 6 5
sehingga UPS Server down
tidak berfungsi
75
76
O S Dampak D
Kategori Nama Risk Dampak
Penyebab Risiko c e Terhadap e Kontrol Terkini
Aset Aset ID Langsung
c v Bisnis t
sebagaimana Proses yang
mestinya bergantung
dengan server
terkait
terganggu
Hardware CCTV Proses Kerusakan Monitoring Keruggian Prosedur
perawatan aset Hardware keamanan finansial perawatan aset
tidak dilakukan melalui cctv untuk
R-17 3 6 3
dengan benar terganggu perbaikan
atau
pengadaan
Hubungan arus Kebakaran Kehilangan Proses bisnis Pemasangan
pendek aset berupa terhenti smoke detectore
hardware sampai batas
Panel Kehilangan waktu yang
Hardware R-18 2 10 3
Listrik data belum
Mengancam ditentukan
keselamatan
SDM
O S Dampak D
Kategori Nama Risk Dampak
Penyebab Risiko c e Terhadap e Kontrol Terkini
Aset Aset ID Langsung
c v Bisnis t
Gangguan pada Kegagalan Perangkat Penyediaan
panel listrik Daya yang Genset
terhubung
dengan panel
listrik tersebut
R-19 3 7 4
mati
Layanan dari
perangkat
tertentu tidak
tersedia
Kesalahan pada Gangguan Jaringan Proses bisnis -
R-20 saat konfigurasi Jaringan 3 internet tidak 5 yang 3
hardware tersedia membutuhkan
Network Router
Temperatur Kerusakan koneksi Penyediaan
R-21 hardware terlalu Hardware 3 5 internet 3 pendingin
tinggi (overheat) terganggu ruangan (AC)
Network Telepon Kesalahan dan Gangguan Jaringan Layanan -
6
Kabel R-22 kelalaian dalam Jaringan 3 telepon melalui 3
terganggu
77
78
O S Dampak D
Kategori Nama Risk Dampak
Penyebab Risiko c e Terhadap e Kontrol Terkini
Aset Aset ID Langsung
c v Bisnis t
melaksanakan telepon
prosedur kerja terganggu
Penempatan Server down Proses yang Ditempatkan di
R-23 kabel yang 3 6 berkaitan 3 bawah lantai
Kabel kurang baik dengan server
Kerusakan
Network Fiber Perlindungan terganggu Kabel dilapisi
Hardware
Optik terhadap kabel dengan pipa
R-24 3 6 4
yang kurang
baik
Network PABX Proses Gangguan Jaringan Layanan Prosedur
perawatan aset Jaringan telepon melalui perawatan aset
R-25 2 5 3
tidak dilakukan terganggu telepon
dengan benar terganggu
Kurangnya Down time Reputasi yang -
pengetahuan server menjadi kurang baik
untuk prosedur Human lama dari client.
People Staff R-26 3 6 3
penanganan Error Proses yang
gangguan pada berkaitan
server dengan server
O S Dampak D
Kategori Nama Risk Dampak
Penyebab Risiko c e Terhadap e Kontrol Terkini
Aset Aset ID Langsung
c v Bisnis t
Kesalahan terkait -
R-27 3 7 3
prosedur kerja terganggu
Penyalahgunaan Akses oleh Pemasangan
hak akses pihak yang kamera
R-28 5 6 4
terhadap ruang tidak pengawas
server berwenang Kunci ruangan
Pencurian
Meninggalkan Kehilangan Pemasangan
ruangan dalam data kamera
R-29 4 6 3
keadaan tidak Kehilangan pengawas
terkunci hardware
Pemberian hak Manipulasi Pemasangan
akses yang tidak data kamera
Pelanggaran
R-30 sesuai dengan 3 5 4 pengawas
Regulasi
prosedur kepada Kunci ruangan
pihak tertentu
79
80
O S D R
Kategori Nama Risk Level
Penyebab Risiko c e e P
Aset Aset ID RPN
c v t N
Hilangnya pasokan daya Low
R-01 4 6 2 48
atau listrik
Temperatur ruangan Low
R-02 4 6 2 48
terlalu tinggi (Overheat)
Kerusakan
Hardware Server Kesalahan konfigurasi dan Low
R-03 Hardware 3 7 3 63
perawatan hardware
Bencana alam (petir, High
R-04 gempa bumi, angina 3 6 7 126
kencang)
Proses perawatan aset Low
R-05 tidak dilakukan dengan 3 4 3 36
benar Kerusakan
Hardware Monitor
Kesalahan dan kelalaian Hardware Low
R-06 dalam melaksanakan 3 5 3 45
prosedur kerja
Hardware Flash Proses pearawatan aset Kerusakan Low
System R-07 tidak dilakukan dengan Hardware 2 5 4 40
Detector benar
O S D R
Kategori Nama Risk Level
Penyebab Risiko c e e P
Aset Aset ID RPN
c v t N
Temperatur hardware Kerusakan Low
R-08 4 5 3 60
terlalu tinggi (overheat) Hardware
Hardware Modem
Kesalahan pada saat Gangguan Low
R-09 3 6 3 54
konfigurasi modem Jaringan
Hilangnya pasokan daya Low
R-10 3 5 2 30
atau listrik
Kerusakan
Hardware DVR1 Kesalahan dan kelalaian Low
Hardware
R-11 dalam melaksanakan 2 4 3 24
prosedur kerja
Proses perawatan aset Kerusakan Low
R-12 tidak dilakukan dengan Hardware 3 5 3 45
Pendingin benar
Hardware Ruangan Pemantauan atau Human Low
(AC) monitoring temperatur Error
R-13 4 6 3 72
tidak dilakukan dengan
maksimal
Hardware Genset Genset tidak berfungsi Kegagalan High
R-14 4 7 5 140
sebagaimana mestinya Daya
81
82
O S D R
Kategori Nama Risk Level
Penyebab Risiko c e e P
Aset Aset ID RPN
c v t N
pada saat terjadi listrik
padam
R-15 Batrai UPS terbakar Kebakaran 2 9 4 72 Low
Kesalahan konfigurasi Kegagalan Medium
Hardware UPS sehingga UPS tidak Daya
R-16 3 6 5 90
berfungsi sebagaimana
mestinya
Hardware CCTV Proses perawatan aset Kerusakan Low
R-17 tidak dilakukan dengan Hardware 3 6 3 54
benar
R-18 Hubungan arus pendek Kebakaran 2 10 3 60 Low
Panel
Hardware Gangguan pada panel Kegagalan Medium
Listrik R-19 3 7 4 84
listrik Daya
Kesalahan pada saat Gangguan Low
R-20 3 5 3 45
konfigurasi hardware Jaringan
Network Router
Temperatur hardware Kerusakan Low
R-21 3 5 3 45
terlalu tinggi (overheat) Hardware
O S D R
Kategori Nama Risk Level
Penyebab Risiko c e e P
Aset Aset ID RPN
c v t N
Network Telepon Kesalahan dan kelalaian Gangguan Low
Kabel R-22 dalam melaksanakan Jaringan 3 6 3 54
prosedur kerja
Penempatan kabel yang Low
Kabel R-23 3 6 3 54
kurang baik Kerusakan
Network Fiber
Perlindungan terhadap Hardware Low
Optik R-24 3 6 4 72
kabel yang kurang baik
Network PABX Proses perawatan aset Gangguan Low
R-25 tidak dilakukan dengan Jaringan 2 5 3 30
benar
Kurangnya pengetahuan Low
untuk prosedur
R-26 Human 3 6 3 54
penanganan gangguan
Error
People Staff pada server
R-27 Kesalahan prosedur kerja 3 7 3 63 Low
Penyalahgunaan hak akses High
R-28 Pencurian 5 6 4 120
terhadap ruang server
83
84
O S D R
Kategori Nama Risk Level
Penyebab Risiko c e e P
Aset Aset ID RPN
c v t N
Meninggalkan ruangan Low
R-29 dalam keadaan tidak 4 6 3 72
terkunci
Pemberian hak akses yang Low
tidak sesuai dengan Pelanggaran
R-30 3 5 4 60
prosedur kepada pihak Regulasi
tertentu
85
Tabel 5.9 Pemetaan Risiko dengan Kontrol ISO/IEC 27002:2013 Klausul Keamanan Fisik dan Lingkungan
87
88
melaksanakan
prosedur kerja
Proses perawatan Kerusakan 11.2.4 Equipment maintenance
aset tidak Hardware
R-12
dilakukan dengan
Pendingin benar
Hardware Ruangan Pemantauan atau Human Error 11.2.1 Equipment siting and protection
(AC) monitoring
R-13 temperatur tidak
dilakukan dengan
maksimal
Hardware Genset Genset tidak Kegagalan 11.2.2 Supporting Utilities
berfungsi Daya
sebagaimana
R-14
mestinya pada saat
terjadi listrik
padam
Batrai UPS Kebakaran 11.1.4 Protecting against external and
Hardware UPS R-15
terbakar environmental threats
Kategori Nama Risk
Penyebab Risiko Kontrol ISO/IEC 27002:2013
Aset Aset ID
89
90
penanganan
gangguan pada
server
Kesalahan 11.1.5 Working in secure areas
R-27
prosedur kerja
Penyalahgunaan 11.1.2 Physical entry controls
R-28 hak akses terhadap
ruang server
Meninggalkan Pencurian 11.1.2 Physical entry controls
ruangan dalam
R-29
keadaan tidak
terkunci
Pemberian hak 11.1.2 Physical entry controls
akses yang tidak
Pelanggaran
R-30 sesuai dengan
Regulasi
prosedur kepada
pihak tertentu
91
92
ID
No. Nama Dokumen
Dokumen
ID
No. Nama Dokumen
Dokumen
b. Audit Checklist
Untuk setiap prosedur audit yang ada akan
dijabarkan lagi ke dalam beberapa langkah langkah
pemeriksaan yang tersusun di dalam audit checklist.
Audit checklist berisikan daftar pertanyaan yang
dibagi menjadi 2 yaitu pertanyaan compliance dan
substantive. Pertanyaan compliance berisikan
pertanyaan tentang ketersediaan akan sesuatu baik itu
berupa dokumen, barang, informasi dan lainnya,
sedangkan jenis substantive menanyakan kesesuaian
akan suatu hal yang dapat berupa peraturan,
kebijakan, ataupun prosedur yang ada.
99
berwenang hanya
dengan menerapkan
kontrol akses yang
sesuai, misalnya
dengan menerapkan
mekanisme otentikasi
dua faktor seperti kartu
akses dan PIN rahasia
Buku log fisik atau 1 d
audit trail elektronik
dari semua akses harus
aman dijaga dan
dipantau
Seluruh karyawan, 4 a, b, c
kontraktor dan pihak
eksternal harus
diminta untuk
memakai beberapa
bentuk identifikasi
terlihat dan harus
segera
memberitahukan
petugas keamanan jika
mereka menghadapi
pengunjung tidak
dikawal dan siapa pun
yang tidak memakai
identifikasi terlihat
Tenaga pendukung 3 c
layanan dari pihak
eksternal harus
diberikan akses
terbatas untuk
mengamankan daerah
atau fasilitas
pengolahan informasi
rahasia hanya ketika
diperlukan; akses ini
harus disahkan dan
dipantau.
108
Keterangan:
Kolom No Kontrol menunjukkann nomor control
objective yang ada pada ISO/IEC 27002:2013 untuk
klausul keamanan fisik dan lingkungan.
Kolom Control Objective merupakan nama dari
kendali tujuan yang ada pada ISO/IEC 27002:2013
Kolom Implementation Guidance diisi berdasarkan
ISO/IEC 27002:2013 yang sesuai dengan control
objective yang dipakai.
Kolom No. Prosedur merupakan penamaan untuk
no prosedur yang ada pada perangkat audit yang
berhubungan dengan implementation guidance
Kolom Daftar Cek berisikan daftar cek yang mana
saja yang telah sesuai dengan control objective dan
implementation guidance.
Untuk hasil verifikasi perangkat audit yang disajikan dalam
betuk tabel, lebih lengkapnya ada pada bagian Lampiran B.
Berdasarkan tebel tersebut dapat ditarik kesimpulan bahwa
ketujuh kontrol yang didapat dari hasil pemetaan terhadap
analisa risiko telah tercantum dalam prosedur audit yang dibuat.
BAB VI
HASIL DAN PEMBAHASAN
Pada bab ini akan dijelaskan mengenai hasil yang diperoleh dari
tahap penyusunan dokumen panduan audit serta proses validasi
atau persetujuan dokumen panduan audit TI untuk keamanan
fisik dan lingkungan ruang server STIE Perbanas Surabaya.
109
110
3. Gambaran Sistem
Berikut ini adalah penjelasan mengenai gambaran umum
terkait dengan system yang akan menjadi focus selama
pelaksanaan internal audit :
Nama Organisasi : STIE Perbanas
Surabaya
Nama Sistem : Keamanan fisik dan
lingkungan teknologi
informasi pada ruang
server
111
1. Risk Assesment
a. Tujuan Manajemen Risiko
Agar dapat melaksanakan proses audit dengan lebih
baik dan untuk mengurangi kesalahan selama pelaksaan
kegiatan audit, maka perlu dibuatkan sebuah rencana
manajemen risiko untuk mengantisipasi kesalahan dan
kesulitan yang dihadapi selama pelaksaan audit.
Tujuannya adalah untuk membantu pihak auditor dalam
membangun dan mengembangkan sebuah strategi yang
dapat diimplementasikan untuk menghadapi berbagai
macam risiko yang mungkin terjadi. Rencana
manajemen risiko ini dapat dibuat dengan melihat
kemungkinan risiko dan bagaimana mengelola serta
mengantisipasi risiko tersebut.
b. Identifikasi Risiko Selama Proses Audit
Berikut ini merupakan daftar risiko dalam bentuk tabel
yang mungkin bisa terjadi selama proses pelaksanaan
audit berlangsung.
114
Bagian evaluasi yang lebih detail dan lengkap dapat dilihat pada
Dokumen Audit Plan pada halaman 19 sampai dengan 21.
ID
No. Nama Dokumen
Dokumen
Untuk isi dari dokumen audit program yang lebih lengkap dapat
dilihat pada buku produk Dokumen Audit Program.
118
7.1 Kesimpulan
Dari proses dan juga tahapan yang telah dilalui dalam
pengerjaan tugas akhir ini, maka dapat diambil beberapa
kesimpulan yang dapat menjawab rumusan masalah yang telah
ditentukan, yaitu :
1. Berdasarkan hasil identifikasi risiko yang telah dilakukan
didapatkan 30 risiko yang dikembangkan dari identifikasi
ancaman dan kerentanan terhadap setiap aset di ruang
server. Semua risiko yang berhasil diidentifikasi termasuk
ke dalam kontrol keamanan fisik dan lingkungan.
2. Dari hasil pemetaan risiko dengan kontrol ISO/IEC
27002:2013 klausul 11 yaitu Keamanan Fisik dan
Lingkungan, didapatkan bahwa terdapat 7 kontrol yang
digunakan dalam pembuatan perangkat audit, diantaranya ;
a. 11.1.2 Physical entry controls
b. 11.1.4 Protecting against external and environmental
threats
c. 11.1.5 Working in secure areas
d. 11.2.1 Equipment sitting and protection
e. 11.2.2 Supporting Utilities
f. 11.2.2 Supporting Utilities
g. 11.2.4 Equipment maintenance
3. Pada dokumen Audit Plan, terdapat jadwal audit yang
mengadopsi proses audit pada ISO 19011 yang terdiri dari
123
124
7.2 Saran
Saran yang bisa penulis sampaikan kepada peneliti selanjutnya
yang akan melakukan penelitian serupa adalah sebagai berikut
:
1. Pada penelitian ini, identifikasi risiko dilakukan dengan
melihat ancaman dan kerenatanan dari setiap aset terlebih
dahulu untuk mendapatkan risiko dari setiap asetnya.
Peneliti tidak menggunakan referensi mengenai identifikasi
risiko yang sudah pernah dilakukan pada Bagian TIK STIE
Perbanas Surabaya. Penelitian selanjutnya dapat
memadukan hasil identifikasi risiko dengan mengacu dari
hasil identifikasi risiko yang sudah pernah dilakukan,
sehingga proses ini tidak akan memakan waktu yang lama
dan mengahasilkan identifikasi yang lebih baik.
2. Dalam pembuatan perangkat audit pada penelitian ini masih
menggunakan acuan penelitian serupa sebelumnya yang
juga menghasilkan perangkat audit. Untuk selanjutnya,
format perangkat audit yang dibuat sebaiknya juga
menyesuaikan dengan format pendokumentasian terkait
dengan proses audit yang diterapkan oleh organisasi.
DAFTAR PUSTAKA
125
126
129
130
Pertanyaan Jawaban
Selamat siang mas, nanti saya Siang dek. Kalau senin aja
bisa menemui mas dimana ya? gimana dek, di kampus 2
Terima kasih
Kalau siang ini gak bisa mas? Saya sedang di luar dek.
Mau tanya tanya sedikit saja Mungkin bisa diskusi di wad ulu
sih dek. Kira kira apa yang mau
dikerjakan
A-1
A-2
Pertanyaan Jawaban
Oalah, iya mas. Maaf Gimana gimana dek
mengganggu
Apa jauh berbeda mas dengan Iya, jauh dek. Banyak yang
yang sekarang? Daftar asetnya dirombak. Tapi tetep basic nya
maksud saya pakai mikrotik semua. Tapi dari
segi tatanan infrastruktur
dirombak.
Saya ingin melihat langsung Daftar aset di ruangan server
sebenarnya mas, dan sekalian gak ada dek. Habis dimakan si
membuat dokumen daftar aset jago merah.
yang ada di ruang tersebut.
Apakah memungkinkan mas?
Nah itu mas, maunya sekalian Ok dek.
saya bikinkan
A-3
Pertanyaan Jawaban
Tapi saya perlu liat dokumen Formatnya tabel biasa dek.
aset yang lama mas, untuk Cuman ditempelkan di dinding.
referensi formatnya. Biar tidak
jauh berbeda dengan standar
yang diapakai di sana.
Oke mas. Senin nanti kira kira Iya, bisa dek. Jam 12 ya dek.
saya bisa menemui mas tidak? Tapi di kampus 2.
Pertanyaan Jawaban
Siang mas. Jadi gini mas, saya Iya siang dek, mau tanya
ingin menanyakan terkait tentang apanya ?
dengan ruang server nya mas.
Jadi yang bertanggung jawab Untuk tanggung jawab
untuk ruang server nya itu siapa sebenernya itu bersama bagian
mas? umum dek. Tapi untuk
pengelolaan aset dan
A-4
Pertanyaan Jawaban
perlindungannya diberikan ke
Bagian TIK.
Jadi pihak umum juga punya Punya, tapi hanya beberapa
akses ke ruang server nya mas? orang tertentu yang sudah
disetujui dek. Dan orng-orang
itu sudah punya kunci ruangan
nya.
Pengamanan akses masuknya Iya, untuk sekarang ini baru
kunci itu saja mas. kunci saja. Soalnya ini kan
habis kebakaran dan baru
pindahan juga ke ruangan ini.
Oalah, kok bisa kebakaran mas? Waktu itu belum ada dek. Cuma
Memangnya tidak ada smoke ada tabung pemadam saja, dan
detector atau alarm gitu? itu juga bukan khusus buat
ruang server sebenernya.
Jadi ini semua peralatannya Iya, soalnya yang dulu habis
baru berarti mas? dimakan si jago merah.
Pertanyaan Jawaban
Untuk daftar aset yang ada di Kalau sekarang ini belum ada
ruangan gitu ada mas? dek, dulu ada sebelum
kebakaran.
Kalau saya ingin melihat Oiya bisa dek. Saya ambilkan
ruangan servernya bisa gak kuncinya dulu.
mas? Saya ingin melihat
langsung aset yang ada di sana
apa saja mas, mau saya catat
sekalian.
Untuk standar keamanan yang Maksudnya dek?
diapakai sendiri itu ada tidak
mas?
Kayak standar keamanan Ohh, kalau untuk keamanan
informasi dari ISO, atau COBIT informasi sih kita ngacu ISO
gitu mas. dek. Cuman ya penerapannya
masih secara umum saja.
Oalah, kalau untuk keamanan Kalau itu kita masih secara
fisik dan lingkungan itu umum juga dek. Pengamanan
bagaimana mas? yang standar secara umumlah,
yang sering dipakai untuk
mengamankan ruang tertentu
kayak ruang server.
Oalah, ini kalau nanti saya Iya gpp dek, sekalian kita mau
mengacu ke standar ISO/IEC perbaiki pengamanan nya juga.
27002:2013 bisa gak mas? Kan baru habis kebakaran juga.
Kalau audit gitu pernah Itu pasti dek. Dari yayasan
dilakukan tidak mas? selalu melakukan audit setiap
awal semester.
Itu bulan apa mas biasanya? Bulan maret sama agustus kalau
Dan berapa lama pelaksanaan tidak salah. Itu paling Cuma
audit nya? seminggu biasanya dek.
Itu yang di audit terkait dengan Biasanya lebih ke arah
apa biasanya mas? ketersediaan dari layanan
seperti down time server gitu
dek.
A-6
Pertanyaan Jawaban
Baiklah mas. Untuk saat ini Iya dek, nanti WA saya saja
kayaknya itu aja yang saya kalau mau ketemu.
tanyakan. Nanti kalau ada perlu
lagi saya hubungi mas.
Pertanyaan Jawaban
Selamat pagi mas, mohon maaf Pagi. Ya dek
menggangu. Saya bisa minta
waktunya sebentar tidak mas?
Ada beberapa hal yang ingin
A-7
Pertanyaan Jawaban
saya tanyakan untuk tugas akhir
saya.
Pertanyaan Jawaban
Selamat sore mas. Maaf Sore. Oke.
mengganggu. Saya sudah kirim
email yang berisikan hasil
identifikasi risiko dan
penilaiannya tadi mas, mohon di
cek ya mas. Terima kasih
Pertanyaan Jawaban
Selamat pagi mas. Ini dokumen Oh ini ya hasilnya.
audit plan yang saya buat.
Tolong di review, barang kali
ada yang perlu diperbaiki atau
ditambahkan mas
Iya mas, tapi ini baru audit plan Saya baca dulu sekilas ya dek.
nya saja. Jadi ini nanti proses auditnya ya
dek.
Iya mas, disitu juga ada Oh iya dek. Sudah bagus ini
penjadwalannya. Saya saya lihat. Ini ada daftar
sesuaikan sama informasi yang aktivitasnya juga ya. Ini nanti
mas berikan terkait dengan sampai melakukan auditnya
jadwal audit di sini. dek?
Enggak mas, saya cuma Oh iya-iya. Jadi ini yang dipakai
membuat panduan untuk auditornya gitu ya. Ini SPI ini
pelaksanaan audit mas. Jadi diganti saja, soalnya yang
nanti bisa dipakai acuan kalau melakukan pemeriksaan atau
malu mengaudit terkait audit di sini itu PPM namanya
keamanan fisik dan lingkungan dek. Pusat Penjaminan Mutu
ruang server nya. kalau di sini.
A-10
Pertanyaan Jawaban
Oh iya mas. Saya itu lihat Iya dek diganti aja.
referensi tugas akhir senior,
saya kira namanya juga sama
kalau disni. Nanti saya ganti
kalau begitu.
Kalau untuk lama pelaksanaan Kayaknya sudah bagus. Kan ini
auditnya bagaimana mas? masih perencanaannya ya. Jadi
tidak masalah menurut saya.
Baiklah mas. Jadi ada yang Kayak nya sih itu aja dek.
perlu diperbaiki lagi tidak mas?
Pertanyaan Jawaban
Selamat pagi mas. Ini dokumen Oh iya dek. Saya baca yang
audit program yang sudah saya audir porgam saja ya. Yang
buat mas. Sama dokumen audit kemarin kayaknya gak ada
plan yang sudah saya perbaiki tambahan lagi kalau dari saya.
juga.
Pertanyaan Jawaban
Iya mas, kalau mungkin mau Iya dek, ini saya bawa dulu ya.
dibaca baca dulu lagi silahkan.
Nanti kalau ada yang perlu
diperbaiki atau ditambahkan
tolong kabarin saya secepatnya
mas.
Sekalian ini mas, saya butuh Oh iya dek. Taruh sini saja dulu.
validasi untuk dokumen yang Nanti kalau sudah selesai saya
sudah saya buat, untuk baca saya kabarin lagi. Sekalian
keperluan di tugas akhir. saya validasi semuanya ini.
Baik mas, terima kasih banyak. Iya, sama sama dek.
C-1
C-2