TUGAS AKHIR
ii
LEMBAR PENGESAHAN
iii
BERITA ACARA TUGAS AKHIR
iv
KATA PENGANTAR
Puji dan syukur penulis panjatkan kehadapan Ida Sang Hyang Widhi
Wasa/Tuhan Yang Maha Esa, karena atas Asung Kerta Wara Nugraha-Nya,
penulis dapat menyelesaikan tugas akhir dengan judul “Evaluasi Manajemen
Risiko Keamanan Informasi Dengan Menggunakan Metode NIST 800-30”.
Selama pelaksanaan tugas akhir ini penulis mendapat banyak masukan dan
bimbingan dari berbagai pihak. Untuk itu, penulis ingin mengucapkan rasa terima
kasih kepada:
1. Bapak Prof. Ir. Ngakan Putu Gede Suardana, M.T., Ph.D., selaku Dekan
Fakultas Teknik Universitas Udayana.
2. Bapak Dr. I Made Oka Widyantara, ST., MT., selaku Program Studi
Teknologi Informasi Universitas Udayana.
3. Bapak Gusti Made Arya Sasmita, ST., MT., selaku Dosen Pembimbing I
dan Bapak Anak Agung Ketut Agung Cahyawan Wiranatha, ST, MT.,
selaku Dosen Pembimbing II yang telah banyak memberikan masukan dan
bimbingan kepada penulis dalam penyelesaian Tugas Akhir.
4. Bapak Prof. Dr. I Ketut Gede Darma Putra, S.Kom., M.T., selaku dosen
pembimbing akademik, yang telah memberikan bimbingan selama
menempuh pendidikan di Jurusan Teknologi Informasi Fakultas Teknik
Universitas Udayana.
5. Kedua orang tua dan keluarga yang telah memberikan dukungan dan
motivasi dalam pembuatan Tugas Akhir ini
6. Semua pihak yang tidak dapat disebutkan namanya satu per satu yang
telah membantu memperlancar penyusunan laporan ini.
Penulis menyadari bahwa tugas akhir ini masih jauh dari sempurna. Akhir
kata penulis memohon maaf jika ada kesalahan dalam penulisan tugas akhir ini..
v
Putra Eryawan
vi
ABSTRAK
vii
ABSTRACT
viii
DAFTAR ISI
HALAMAN SAMPUL............................................................................................i
PERNYATAAN......................................................................................................ii
LEMBAR PENGESAHAN..................................................................................iii
BERITA ACARA TUGAS AKHIR.....................................................................iv
KATA PENGANTAR............................................................................................v
ABSTRAK.............................................................................................................vi
ABSTRACT..........................................................................................................vii
DAFTAR ISI.......................................................................................................viii
DAFTAR GAMBAR..............................................................................................x
DAFTAR TABEL.................................................................................................xi
BAB I PENDAHULUAN.......................................................................................1
1.1 Latar Belakang..................................................................................................1
1.2 Rumusan Masalah.............................................................................................3
1.3 Tujuan...............................................................................................................3
1.4 Manfaat.............................................................................................................3
1.5 Batasan Masalah...............................................................................................4
1.6 Sistematika Penulisan.......................................................................................4
BAB II TINJAUAN PUSTAKA............................................................................6
2.1 State Of The Art...............................................................................................6
2.2 Profil dan Sejarah Perusahaan........................................................................10
2.2.1 Visi dan Misi Perusahaan.....................................................................10
2.2.2 Struktur Organisasi Perusahaan...........................................................11
2.2.3 Pembagian Tugas.................................................................................12
2.3 Risiko..............................................................................................................13
2.4 Manajemen Risiko..........................................................................................14
2.3.1 Risk Assessment....................................................................................15
2.3.2 Identifikasi Risiko................................................................................15
2.3.3 Pemilihan Kontrol................................................................................15
2.3.4 Implementasi Testing...........................................................................15
2.3.5 Evaluasi Kontrol..................................................................................16
2.5 Identifikasi Ancaman......................................................................................16
2.5.1 Natural Threat......................................................................................16
2.5.2 Human Error........................................................................................16
2.6 Informasi.........................................................................................................16
2.7 Keamanan Informasi.......................................................................................17
2.8 Manajemen Risiko Keamanan Informasi........................................................18
2.9 Framework Manajemen Risiko.......................................................................18
2.9.1 NIST SP 800-30...................................................................................18
2.9.2 Perbandingan Metode Manajemen Risiko...........................................24
BAB III METODELOGI.....................................................................................26
3.1 Metodologi Penelitian.....................................................................................26
3.2 Studi Kepustakaan..........................................................................................28
3.3 Teoretis Framework........................................................................................28
3.4 Pola Tahapan Metode NIST SP 800-30..........................................................28
ix
3.4.1 Penilaian Risiko (Risk Assessment)......................................................29
3.4.2 Mitigasi Risiko (Risk Mitigation)........................................................35
3.4.3 Laporan Akhir Manajemen Risiko.......................................................37
3.5 Jadwal Kegiatan Penelitian.............................................................................38
BAB IV PEMBAHASAN.....................................................................................39
4.1 Identifikasi Kondisi Existing Organisasi........................................................39
4.2 Penilaian Risiko..............................................................................................41
4.2.1 Karakterisasi Sistem (System Characterization)..................................41
4.2.2 Identifikasi Ancaman (Threat Identification)......................................47
4.2.3 Identifikasi Kerentanan (Vulnerability Identification).........................49
4.2.4 Analisis Kontrol (Control Analysis)....................................................54
4.2.5 Penentuan Kecenderungan (Likelihood)..............................................59
4.2.6 Penentuan Analisis Dampak (Impact Analysis)...................................63
4.2.7 Penentuan Risiko (Risk Determination)...............................................66
4.2.8 Rekomendasi Kontrol (Control Recommendations)............................70
4.3 Mitigasi Risiko................................................................................................74
4.1 Prioritas Aksi dan Pemilihan Opsi Kontrol..........................................74
4.2 Analisis Cost Benefit dan Penanggung Jawab.....................................77
4.3 Rencana Implementasi Keamanan.......................................................77
4.4 Laporan Akhir Manajemen Risiko..................................................................93
BAB V PENUTUP................................................................................................94
5.1 Kesimpulan.....................................................................................................94
5.2 Saran...............................................................................................................95
DAFTAR PUSTAKA...........................................................................................96
LAMPIRAN..........................................................................................................98
x
DAFTAR GAMBAR
YTabel 2. 1 Topik rencana dan prosedur penilaian NIST SP 800-53A Rev. 4.........
Tabel 2. 2 Katalog Topik Kontrol NIST SP 800-53 Rev. 4..................................22
Tabel 2. 4 Perbandingan Metode Manajemen Risiko Keamanan 24
1.3 Tujuan
Tujuan yang hendak dicapai dalam pelaksanaan penelitian ini adalah
sebagai berikut.
1. Melakukan proses evaluasi manajemen risiko keamanan informasi di
perusahaan PT. X menggunakan metode kerangka kerja NIST SP 800-30.
2. Mengetahui penilaian level risiko pada temuan dari keamanan sistem
informasi di perusahaan PT. X.
3. Menyusun temuan-temuan pada proses manajemen risiko menjadi laporan
hasil manajemen risiko yang berupa kesimpulan dan rekomendasi.
1.4 Manfaat
Penelitian ini diharapkan dapat memberi manfaat bagi pihak yang
berkepentingan, adapun manfaat yang diharapkan diantara lain.
1. Bagi penulis, penelitian ini dapat menambah pengetahuan dan pengalaman
secara praktik dalam bidang analisis IT Security Audit keamanan
informasi, serta sesuatu tantangan untuk menyelesaikan ujian dari ilmu
yang diperoleh selama masa perkuliahan.
2. Bagi akademik, penelitian dapat digunakan sebagai salah satu acuan dalam
keberhasilan proses belajar mengajar pada perkuliahan sehingga dapat
digunakan sebagai referensi penelitian lebih lanjut yang berkaitan dengan
studi IT Security Audit yang dibahas pada laporan ini.
3. Bagi perusahaan, penelitian dapat dijadikan sebagai referensi
pertimbangan untuk menerapkan model keamanan informasi yang baik
pada perusahaan PT. X sehingga dapat sebagai acuan evaluasi
pengembangan dan perbaikan ke depannya dari segi sistem dan
implementasi terhadap ancaman risiko.
Director
Manager
e. Operating Manager
Operating manager di bawahi oleh admin supervisor bertugas melakukan
konsolidasi dan inventaris kasus-kasus logistik dan administrasi penjualan dari
penemuan internal audit dan mengikuti penyelesaian kasus-kasus yang terjadi di
wilayah perusahaan.
f. Sales Manager
Sales manager dibagi menjadi tiga yaitu sales manager ABC PI yang di
bawahi oleh sales supervisor ABC PI, sales manager Bintang di bawahi oleh
assistant sales manager MT, assistant supervisor GT, sedangkan sales Mayora di
bawahi oleh sales supervisor Mayora. Bagian tugas tiap sales manager ini yaitu
memastikan pencapaian target harian, membina SDM, membuat rencana
kebutuhan barang, melakukan perawatan dan perbaikan produk.
g. Sales & Operating Manager Frisian Flag
Sales & operating manager Frisian Flag di bawahi oleh sales supervisor
Frisian Flag yang bertugas untuk efektifitas dan efisiensi operasional perusahaan.
2.3 Risiko
Risiko adalah kemungkinan akan terjadinya suatu kehilangan. Kehilangan
tersebut dapat berupa yang tampak (tangible) seperti kehilangan aset informasi
maupun yang tidak tampak (intangible) seperti potensi kehilangan pelanggan
dalam suatu organisasi bisnis. Kehilangan dapat terjadi akibat dari ancaman
eksploitasi maupun pemanfaatan sisi kerentanan (vulnerability) dalam suatu
sistem pada organisasi untuk tujuan tertentu. Organisasi bidang apapun dengan
skala besar maupun kecil memiliki potensi risiko masing-masing yang dapat
menggagalkan tujuan bisnis itu sendiri. (Pradana, 2017)
Risiko mengandung tiga unsur pembentuk yaitu kemungkinan kejadian
atau peristiwa, dampak atau konsekuensi, dan kemungkinan kejadian (Febriyanti
Aulia Cahyo, 2012). Risiko dapat dikategorikan dari risiko besar atau risiko kecil
yang berdampak bagi perusahaan. Hal ini sebagai antisipasi, untuk pengelolaan
risiko tersebut dibutuhkan manajemen risiko untuk mengidentifikasi dan
mengelompokkan serta menghindari dari potensi ancaman yang memiliki dampak
risiko besar maupun risiko kecil.
2.6 Informasi
Informasi adalah sekumpulan data atau fakta yang telah diproses dan
dikelola sedemikian rupa sehingga menjadi sesuatu yang mudah dimengerti dan
bermanfaat bagi penerimanya, hal ini merupakan aset yang penting yang harus
dilindungi. Informasi semakin penting jika telah berhubungan dengan keterkaitan
dengan hal lain. Bisnis lingkungan saat ini semakin berhubungan satu dengan
lainnya, sehingga informasi tumbuh akan menimbulkan jumlah ancaman dan
kerentanan terhadap informasi tersebut.
Informasi dapat berupa berbagai bentuk, seperti cetak dokumen maupun
tertulis (hardcopy), disimpan pada media elektronik, pengiriman secara pos
ataupun menggunakan media elektronik, ditampilkan pada film atau melakukan
percakapan. Bentuk apapun informasi yang diambil atau dibagi maupun disimpan,
hal ini seharusnya selalu diperhatikan aspek keamanannya.
Studi Literatur
Tahap Analisis
Metode
NIST SP 800-30
Penilaian Risiko (Risk Assessment)
1. Karakteristik Sistem
2. Identifikasi Ancaman
3. Identifikasi Kerentanan
4. Analisis Kontrol
5. Penentuan Kecenderungan
6. Analisis Dampak
7. Penentuan Risiko
8. Rekomendasi Kontrol
Tahap Penyelesaian
Gambar 3. Tahapan Metodologi
Gambar 3.1 merupakan bentuk alur analisis penelitian yang tahap awal
dilakukan perencanaan dengan perumusan masalah dalam mendefinisikan
masalah, mengumpulkan dan mempelajari melalui studi literatur dengan
pengamatan langsung. Tahap kedua dilakukan pengumpulan data melalui
wawancara pendekatan dan observasi. Tahapan tersebut dilanjutkan dengan tahap
analisis dan penyelesaian dengan metode NIST SP 800-30 yang terbagi 3 yaitu
penilaian risiko, mitigasi risiko, dan evaluasi risiko. Rincian teoritis metodologi
dijelaskan lebih lanjut dibawah.
3.2 Studi Kepustakaan
Studi kepustakaan adalah teknik pengumpulan data dengan mengadakan
studi penelaahan terhadap buku-buku, literatur, catatan-catatan, dan laporan-
laporan yang ada hubungannya dengan masalah yang dipecahkan (Nazir,1988).
Studi kepustakaan dapat diartikan sebagai suatu langkah di dalam penelitian untuk
memperoleh data dan informasi dari penelitian yang terdahulu khususnya
penelitian tentang manajemen risiko dan framework NIST SP 800-30, dimana
data dan informasi bisa didapatkan dari berbagai sumber seperti buku terkait
penelitian, jurnal ilmiah, maupun karya ilmiah, sehingga data dan informasi yang
telah dikumpulkan memperkuat dasar teori yang digunakan dalam penelitian,
yang juga memberikan dasar dan acuan bagi arah penelitian.
1. Kecenderungan ancaman
2. Dampak pengaruh 7. Penentuan Risiko 1. Nilai, tingkat risiko dan rencana tindakan
3. Analisis tindakan rencana kontrol
8. Rekomendasi
1. Rekomendasi Kontrol
Kontrol
Level risiko dari laporan penilaian risiko 1. Prioritas Aksi Peringkat aksi dari tinggi ke rendah
2. Evaluasi
Daftar pemilihan kontrol dan opsi
Rekomendasi Opsi
kontrol
Kontrol
5. Penugasan
Penugasan tanggung jawab terlibat
Tanggung Jawab
Gambar 3.3 merupakan bentuk analisis pola dari kerangka kerja NIST SP
800-30 bagian tahapan mitigasi manajemen keamanan informasi dengan uraian
rincian tahapan penjelasan sebagai berikut.
3.4.2.1 Prioritas Aksi (Prioritize Action)
Tingkat risiko yang telah dipaparkan pada laporan penilaian risiko, maka
prioritas aksi dapat dilaksanakan. Prioritas aksi mengurutkan level risiko dari
tertinggi ke rendah dari hasil penilaian risiko. Alokasikan penentuan melalui
aspek aset, kerentanan, dampak ancaman, level risiko, rekomendasi kontrol NIST
SP 800-53 Revision 4 dan dapat menentukan pemilihan rekomendasi kontrol dan
opsi kontrol mitigasi sehingga tidak terlepas dari evaluasi rekomendasi opsi
kontrol.
Saat ini divisi Supervisor IT yang tergabung dalam perusahaan PT. X telah
memiliki dua buah sistem informasi yaitu sistem informasi Navision DIS, dan
sistem informasi Zeta. Sistem informasi Zeta merupakan aplikasi inti dari proses
bisnis yang dijalankan oleh perusahaan PT. X secara internal, namun yang
didukung oleh sistem informasi Navision Dis sebagai sistem informasi
operasional kendali utama yang dikendalikan oleh perusahaan manufaktur
principle atas sinergi mitra dengan PT. X melalui distribusi logistik bisnis yang
berhubungan dengan regulasi dan kebijakan bisnis produknya.
ZETA
Toko
Tradisional
PT. X Order BALI-LOMBOK
Pemesanan - Retail Besar
Principle (Distributor) - Retail Menengah Konsumen
- PT. Multi Bintang Indonesia - Cabang Sempidi - Retail Kecil
Staff - Cabang Unggasan
- PT. Mayora Indah Tbk. - Mini-market
- PT. Frisian Flag Indonesia - Cabang Klungkung Kecil/Medium
- PT. Sari Agrotama Persada - Cabang Singaraja - Grosir
- PT. ABC President Indonesia - Cabang Lombok
Pengiriman
Pengiriman
Gudang
b. Topologi Jaringan
Topologi jaringan yang dibangun pada perusahaan PT. X melalui
implementasi perusahaan dengan data yang diperoleh dari wawancara dengan
Supervisor IT. Kemudahan antar komunikasi lintas jaringan melalui sumber daya
yang dioptimalkan demi mewujudkan visi, misi dan tujuan perusahaan PT. X.
Topologi jaringan yang berada di Kota Denpasar dengan infrastruktur data center
dan operasional bisnis. Topologi jaringan kantor perusahaan PT. X dapat dilihat
pada Gambar 4.3.
LANTAI 2 Keterangan
Internet
Telkom &
DATA CENTER CBN
Firewall
Modem
Server/
Client PC Super
Client PC
Lantai 1 Lantai 2 Computer
Personal
Computer
Wirelless
Kabel LAN
c. Alokasi Internet
Akses internet menggunakan layanan dari PT. Telekomunikasi Indonesia
dengan kapasitas bandwidth sebesar 50 Mbps melalui produk Indihome sebagai
penyokong utama akses internet dan menggunakan layanan produk provider CBN
dari PT Cyberindo Aditama dengan kapasitas bandwidth 25 Mbps sebagai
pendukung dari layanan akses internet. Layanan akses kedua internet ini dibagi
secara merata sesuai tingkat pemangku kepentingan dan layanan sistem.
d. Perangkat Keamanan
Perangkat keamanan yang diterapkan dalam dikategorikan menjadi dua
yaitu fisik dan sistem. Perangkat keamanan fisik yaitu diletakkan-nya data center
dalam ruangan dengan dilengkapi keamanan fisik berupa kunci pintu yang hanya
dikendalikan oleh Pimpinan Operasional perusahaan dan Supervisor IT.
Sedangkan keamanan sistem dilengkapi-nya keamanan CCTV pemantauan data
center selama 24 jam yang disimpan di dalam data center serta dilengkapi akses
firewall umum melalui model untuk membatasi akses tidak sah dari sisi internal
perusahaan maupun eksternal.
Opsi mitigasi
Jumlah Risk Risk
No. Aspek Aset Level risiko Risk Risk
risiko Assum Trans
Avoidanc Limitatio
p ferenc
e n
tion e
1. Infrastruktur High 3 - 1 2 -
TI Medium 3 - 1 2 -
Low 6 - 3 3 -
2. Sistem High 0 - - - -
Informasi Zeta Medium 5 2 3 -
Low 5 - 1 3 1
3. PC User High 0 - - - -
Medium 4 - 1 3 -
Low 0 - - - -
4. Infrastruktur High 1 - 1 - -
jaringan Medium 0 - - - -
Low 3 - 3 - -
Jumlah 30 13 16 1
Tabel 4.19 berisi nilai pemetaan opsi mitigasi dari level risiko setiap aset.
Penyataan risiko sebanyak 30 risiko dengan tingkatan level risiko tiga skala
melalui empat opsi kontrol mitigasi yang dilakukan sebagai opsi pernyataan
penerimaan risiko terhadap penilaian risiko. Dominasi yang tertinggi pada opsi
risk limitation dengan jumlah 16, dilanjutkan risk avoidance sebanyak 13, dan
risk transfer sebanyak 1. Rincian daftar prioritas aksi dengan penyesuaian
pemilihan kontrol dan model opsi kontrol yang dipilih dapat dilihat pada
Lampiran 8. Hasil keempat aspek aset risk ini dalam menentukan opsi mitigasi
dapat divisualisasikan pada Gambar 4.10.
27. Sistem Tidak terdapat Tidak Low Perusahaan Pelaksanaan Peran white Risk Supervisor IT
Informasi dokumentasi ketersediaan mendokumentasikan pengujian hat : ± Rp. Limitation
Zeta penilaian informasi, penilaian sistem sistem berkala 25.000.000.000
sistem kegagalan sistem dengan melakukan oleh white hat Aplikasi pihak
informasi informasi, pengujian sistem didamping oleh ketiga : ± Rp.
ketika terlambat secara independen pegawai bidang 2.000.000
diterapkan recovery system, dengan menggunakan TI dan (Lampiran 9-No.
Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
oleh rekam aktivitas pihak white hat secara penggunaan
perusahaan tidak memiliki statis dan dinamis aplikasi pihak
pengembangan maupun dengan ketiga
16)
peningkatan membeli lisensi digunakan oleh
sistem aplikasi pihak ketiga pegawai bidang
terhadap sistem. TI
28. Infrastruktu Tidak terdapat Terdapat Perusahaan Pelaksanaan
r Jaringan pemantauan malware, botnet membangun sistem review berkala
jarak jauh masuk ke dalam perangkat honeypots terhadap rule
sebagai sistem, remote maupun review firewall,
perlindungan access Trojan berkala terhadap rule update event Rp. 8.000.000
Risk
untuk Low firewall, update event log system dan (Lampiran 9-No. Supervisor IT
Limitation
memastikan log system dan terhadap 12)
potensi terhadap koneksi lokal koneksi lokal
serangan pada dalam mendeteksi serta oleh
sistem pemicu serangan pegawai bidang
informasi IT
29. Infrastruktu Tidak terdapat Tidak Perusahaan mengatur Pelaksanaan
r Jaringan pengelolaan ketersediaan bandwidth control configuration
besaran layanan, rule terbagi dalam bandwidth
pengolahan kegagalan sistem tiap koneksi dan control rule
penggunaan informasi, membagi dan limits oleh
bandwidth keterlambatan mengatur mekanisme pegawai bidang Rp. 0
Risk
komunikasi Low jenis saluran IT (Lampiran 9- Supervisor IT
Avoidance
sistem, komunikasi, seperti No.17)
kegagalan pada Wi-Fi dan
recovery system, jaringan LAN.
perangkat sistem
informasi tidak
terkontrol
30. Infrastruktu Konfigurasi Tidak Low Perusahaan Penggunaan Rp. 15.000.000 Risk Supervisor IT
Level Cost-Benefit Opsi Penanggung
No Aset Kerentanan Ancaman Pemilihan Kontrol
Risk Item Biaya Mitigasi Jawab
r Jaringan sistem yang ketersediaan mengembangkan pengembangan
lama dan siap layanan, sistem teknis back-up sistem save
dipakai keterlambatan konfigurasi atau configuration
(rollback komunikasi system checkpoint application
system) bila sistem, dimana bila ada suatu oleh konsultan
(Lampiran 9-No.
terjadi suatu kegagalan kesalahan konfigurasi didampingi Avoidance
15)
kegagalan recovery system atau insiden dapat pegawai bidang
informasi segera melakukan IT
(reset) rollback ke posisi
system sebelum error
tersebut
Tabel 4.19 merupakan rincian rencana implementasi keamanan dalam
pengendalian risiko melalui mengurangi risiko, menghilangkan risiko yang
sedang berlangsung, bahkan menerima risiko. Rencana implementasi keamanan
terdiri dari 30 kontrol dari pernyataan masing-masing 30 risiko yang berisi aset,
kerentanan, dampak, level risk, pilihan kontrol, cost-benefit, opsi mitigasi dan
penugasan tanggung jawab. Pelaksanaan yang berdasarkan prioritas aksi dengan
kontrol level sebanyak high 4, medium 12, low 14. Jadwal pelaksanaan yang
dilakukan melalui penyesuaian keputusan dari pimpinan dengan dukungan
pegawai bidang IT.
5.2 Saran
Adapun saran yang dapat penulis berikan pada penelitian ini adalah
sebagai berikut.
1. Manajemen risiko keamanan informasi menggunakan metode NIST SP
800-30 di PT. X mengikuti pedoman sesuai persyaratan dalam
penyelarasan dengan pendukung pedoman yang mengikutinya, diharapkan
pengembangan dengan kombinasi metode lain untuk pembanding dari
penelitian ini dan dikembangkan secara luas terhadap sistem lainnya.
2. Rekomendasi kontrol keamanan yang telah diberikan dari hasil
manajemen risiko yang dilakukan diharapkan dapat digunakan sebagai
salah satu bahan referensi untuk peningkatan kualitas sistem TI untuk
mencapai hal yang diharapkan
DAFTAR PUSTAKA
98
LAMPIRAN 1
Pertanyaan Pendekatan
Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
1. Karakteristik a. Sejarah PT. X merupakan distributor terkemuka di Bali, dengan menjadi Controller
Perusahaan perusahaan ? pelopor distribusi minuman bermerek nasional dan internasional sejak
b. Profil 10 Oktober 1978, dimulai dari Kota Denpasar. PT. X terus
perusahaan ? memperluas pasar sampai ke Nusa Tenggara Barat untuk memenuhi
c. Gambaran permintaan beverages tourist mancanegara.
perusahaan ? Perusahaan yang dirintis pada PT. X saat ini sebagai kantor pusat
d. Visi dan misi yang berada di Kota Denpasar yang memiliki pasar penjualan daerah
perusahaan ? Bali dan Nusa Tenggara. Mitra principle sebagai pemasok produk
e. Tujuan dan dengan PT. X saling berkesinambungan dalam mengembangkan
sasaran distribusi dan pemasaran produk.
perusahaan ? Produk utama Bir Bintang sebagai aset dagang utama dalam bisnis
f. Struktur juga terdapat aset produk lainnya yaitu diantaranya Heineken, Bintang
organisasi Zero, Green Sand dan Recharge. Penguatan usaha di Bali dengan
perusahaan ? bekerja sama dengan produsen lain yaitu PT. Mayora Indah
g. Tugas wewenang (Bengbeng, Biskuit Roma, Kopiko), PT Frisian Flag Indonesia (Susu
sumber daya Bendera), PT. ABC President (Nu Green Tea dan Mie ABC), PT.
organisasi dan SATP (Minyak Sovia), Air Mineral Oasis,Teh Bandulan dan Pronas.
khususnya Bagian PT. X merupakan perusahaan lokal dengan mitra skala nasional
IT ? dengan suasana cita rasa budaya lokal.
99
Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
2. Karakteristik Apa saja aplikasi a. Navision DIS yaitu Aplikasi sistem informasi penjualan dan Supervisor
sistem sistem tersedia dan principle yang dimiliki oleh Multi Bintang Indonesia (MBI) yang IT
informasi dan konsep layanan layanan utama mencangkup ;
jaringan gambaran aplikasi Manajemen gudang
sistemnya ? Pricing
Diskon
Reporting untuk keperluan internal perusahaan dan principle,
dll.
b. Zeta yaitu aplikasi sistem informasi pengembangan bagian dari
Enterprise Resource Planning (ERP) untuk keperluan internal
perusahaan distributor yang mencangkup
Manajemen Piutang
Manajemen Pelunasan Piutang
Finance dan Accounting
Manajemen penjualan (master outlet, master produk)
Laporan keuangan (Neraca, Laba/Rugi)
100
Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
Informasi apa yang a. Sistem aplikasi informasi Navision DIS yaitu aplikasi yang
dihasilkan (input, dikelola oleh principle yang mempunyai kewenangan memantau
proses, dan output) stok penjualan terhadap sistem internal perusahaan (sistem
oleh sistem ? aplikasi informasi Zeta) sebagai pengendalian harga dan produksi
principle pabrik sendiri. Sistem layanan utama input yaitu nominal
harga dan stok produksi pengiriman, output-nya dari ini kendali
harga dan stok sesuai market produknya untuk perusahaan internal
b. Sistem aplikasi informasi zeta yaitu aplikasi yang dikelola oleh Supervisor
perusahaan internal PT. X sebagai sistem ERP dalam segi bisnis IT
penjualan ke toko/retail melalui harga dan stok barang yang sudah
ditentukan oleh sistem aplikasi Navision DIS (principle/pabrik).
Sistem layanan utama input yaitu harga dan produk yang sudah
ditentukan untuk dipasarkan ke retail toko, prosesnya melalui
manajemen gudang, finansial, delivery, order sales. layanan utama
output-nya menghasilkan laporan penjualan internal bisnis
penjualan market produk
Apakah aplikasi Iya, di aplikasi internal. Zeta memiliki seperti history log sistem apa
sistem menggunakan yang dilakukan oleh user. Tetapi tidak pada Navision DIS sebab
fitur internal clock aplikasi tersebut dikelola seluruhnya oleh principle MBI
Supervisor
untuk menyalakan
IT
sistem auto
record/log system ?
Apakah sistem ada Untuk perawatan berkala sistem dalam menerapkan perkembangan Controller
perubahan berkala teknologi sesuai zaman belum ada. Bergantung pada kerusakan saja, dan
(evolusi)/perawatan dan masih belum ada pencatatan. Supervisor
berkala sistem dan IT
apakah ada
pencatatan/dokument
asi internal dan
berapa periode kali 101
perawatan sistem ?
Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
Lokasi server Lokasi server (data center) pusatnya ada dikantor Kota Denpasar
pangkalan data
aplikasi sistem yang
tersedia terletak Supervisor
dilokasi mana ? IT
102
Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
Bagaimana bentuk
konsep infrastruktur
jaringan dan LANTAI 2 Keterangan
mekanisme-nya yang Internet
Router
Supervisor
Wireless
IT
Server/
Client PC Super
Client PC
Lantai 1 Lantai 2 Computer
Personal
Computer
Wirelless
Kabel LAN
103
Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
105
Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
Model password Model keamanan digunakan yaitu model password variasi (alfabetis,
pengguna akun numeric, huruf kapitalisasi)
menggunakan model
apa (fingerprint/ Supervisor
captcha/ password) IT
atau variasi ?
Supervisor
IT
Apakah ada Hingga saat ini serangan belum ada, karena sistem kami lebih di
semacam jenis peruntukan sisi penggunaan internal, tanpa pemakaian dari
Supervisor
serangan dari luar/eksternal Wawancara Lisan
IT
eksternal ke dalam
sistem ?
Berapa banyak Downtime yang pernah terjadi 1 kali terhitung hingga saat ini dengan Supervisor Wawancara Lisan
downtime sistem rentang 6 jam paling lama yang terjadi tahun 2014, karena ada IT
yang dapat kerusakan untuk diganti komponen
ditoleransi organisasi 107
dan kejadian telah
Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
berapa kali ?
Apabila sistem ada Rata-rata sering terjadinya gangguan skala rendah itu 1 atau 2 kali ke
gangguan/kerusakan, bawah, medium-nya antara 3-5 kali kejadian, dan untuk skala tinggi
bagaimana nilai lebih 6 kali kejadian itu untuk satu peristiwa kejadian yang sama
Supervisor
parameter rata-rata ditempat yang sama, seperti kendala virus, input kesalahan, gangguan Wawancara Lisan
IT
peristiwa terjadinya perangkat printer, dan lain-lain
dengan skala high,
medium, low ?
Penilaian dampak Biaya dampaknya kerugian yang dihasilkan gangguan hanya
kerugian dari mengenai nominal kerusakan komponen tidak sampai mendapatkan
perusahaan untuk kerugian yang besar dari pendapatan, kecuali kegagalan sistem server
gangguan/kerusakan keseluruhan dan kegagalan sistem saat ini belum terjadi yang tidak
Supervisor
nilai untuk kerugian kami harapkan pula. Jadi dampak yang berpotensi paling berpengaruh Wawancara Lisan
IT
biaya apakah dari sistem ini jangan sampai menghambat penyaluran dari principle,
signifikan tinggi ? ke perusahaan kami ke retail atau toko hingga konsumen yang berarti
jangan membuat klien toko/retail hingga konsumen kecewa dari tidak
ketersediaan produk di pasaran.
Apakah ada ancaman Ada, risiko yang berpotensial tegangan daya listrik karena kita
yang berisiko yang bekerja bidang IT berurusan dengan perangkat listrik juga dan jatuh
menyebabkan dari ketinggian terkait kerusakan atau gangguan kabel
kecelakaan individu Supervisor
terhadap pegawai ? IT
Sistem atau data apa Data paling kritis adalah database dari aplikasi principle Navision
yang paling DIS dan data aplikasi internal sistem informasi Zeta, dimana data
kritis/sensitif yang terkait penjualan, toko serta akun pengguna
Supervisor
dimiliki yang perlu
IT
dijaga dari berbagai
macam risiko atau
ancaman sistem ? 108
Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
5. Prosedur Informasi apa yang Informasi yang boleh diinformasikan publik mengenai produk dan
ditangani oleh atau harga market yang dijual cara pembelian barang, namun yang tidak
tentang sistem tidak dapat diakses bahkan dari pegawai, kecuali memiliki kewenangan Supervisor
boleh diungkapkan penanggung jawab yang ditentukan untuk laporan harga produk IT
dan kepada siapa ? pabrik, stok, laporan penjualan, akun pengguna, sistem manajemen
perusahaan, yang berkaitan sisi internal perusahaan
Apakah ada Saat ini belum ada prioritas aksi, hanya saling koordinasi sesuai
perencanaan darurat keadaan lapangan
yang harus dilakukan
jika berlangsung Supervisor
Wawancara Lisan
ancaman/akan IT
berlangsungnya
ancaman ? (Prioritas
Aksi)
Apakah ada prosedur Belum ada. Untuk saat ini hanya ada kerusakan dilakukan
permasalahan penanganan untuk diperbaiki dan biaya sudah ada sesuai operasional
infrastruktur TI oleh controller Supervisor
Wawancara Lisan
dicatat dalam bentuk IT
pembukuan/pencatat
an ?
Apakah ada Untuk saat ini belum, karena belum ada pembaruan, dan umumnya
pelatihan prosedur pembaruan cukup mudah dimengerti, tanpa perlu lagi pelatihan.
keamanan TI secara Tergantung lagi jika pembaruan mencangkup operasional perusahaan Supervisor
Wawancara Lisan
berkala dan sesuai principle dari MBI IT
bagaimana apabila
ada pembaruan ?
Apakah ada Untuk saat ini belum ada, karena aplikasi sistem informasi yang
pelatihan dalam disediakan sudah siap pakai dari perusahaan principle MBI dan dari Supervisor
Wawancara Lisan
menguji sistem pihak internal yang memiliki konsultan sendiri dulu IT
aplikasi ?
Apakah ada Ada, pelatihan ketika pertama kali pemakaian aplikasi diluncurkan, Supervisor Wawancara Lisan 109
Pertanyaan
No Hasil Jawab Responden Responden Dokumentasi
Kelompok Rincian
pelatihan awal dan mengenai pegawai baru akan diajarkan oleh pegawai yang resign
sebelum dari pekerjaan sesuai tanggung jawabnya.
IT
menggunakan
aplikasi sistem ?
Apakah memiliki Ada, untuk jumlah tidak terlalu banyak hanya disesuaikan tempat
alat antisipasi tertentu yang dapat potensial timbul ancaman kebakaran, namun Supervisor
pemadam kebakaran untuk deteksi belum ada. IT
atau deteksi ?
110
LAMPIRAN 2
Data Assessment NIST SP 800-53A Revision 4
Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi
A. Access Control
1. Kebijakan Dan Apakah perusahaan Sudah Perusahaan sudah mengembangkan
Prosedur mengembangkan dan akses kontrol peran dan tugas pada
Pengendalian Akses mendokumentasikan secara sistem dengan otorisasi yang
AC-1(a)(1)[1] tertulis mengenai akses dilakukan dengan kewenangan
kontrol peran dan tugas pada
sistem ?
Supervisor IT
2. Manajemen Akun Apakah perusahaan dalam Sudah Sistem telah menerapkan user access
AC-2(a)[2] mengakses sistem telah privileges yang sudah sesuai tugas
dipetakan user (access dan tanggung jawabnya sejak awal
Supervisor IT
privileges) sesuai dengan dimulai kerja, jika pun perubahan
peran dan tugas ? posisi akan diatur sesuai peran
tugasnya 111
3. Penegakan Akses Apakah sistem informasi Belum Sistem saat ini belum dapat otorisasi Supervisor IT Wawancara Lisan
Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi
AC-3 menerapkan otorisasi otomatis ketika dengan aplikasi
otomatis sesuai peran dan pihak ketiga, dan belum dibutuhkan
tugas terhadap ketika akses saat ini. Karena otorisasi akun hanya
kontrol logis terhadap untuk mengerjakan tugas di sistem
aplikasi pihak ketiga ? internal
4. Penegakan arus Apakah perusahaan sudah Sudah Rules sistem sudah ada ketentuan
informasi memberi batasan atau mengenai batasan kriteria
AC-4 kriteria parameter tipe data mengunggah parameter tipe data.
tertentu saja yang boleh di Karena kriteria entry file dan batasan
unggah ke sistem ? entri data telah sesuai prosedur yang
ditetapkan Supervisor IT
5. Upaya masuk yang Apakah sistem informasi Sudah Aplikasi sistem telah menerapkan
gagal memberlakukan batas jumlah batas gagal login sebanyak 5 kali
AC-7(a)[3] upaya log-on tidak sah yang jarang terjadi dan pemutusan
berturut-turut selama periode sesi waktu tidak digunakan selama
waktu dan pemutusan sesi 30 menit.
batasan lama koneksi tidak
ada aktivitas yang dilakukan Supervisor IT
oleh user ?
112
Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi
6. Pemberitahuan Apakah sistem informasi Mekanisme pencatatan aktivitas di
masuk (akses) memberi tahu pengguna, server internal terdapat sudah ada,
sebelumnya setelah berhasil masuk sedangkan di eksternal tidak ada
AC-9 (akses) ke sistem, tercatat pada perusahaan karena dikelola oleh Supervisor IT
tanggal dan waktu akses ? perusahaan pabrik.
115
Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi
5. Menanggapi Apakah sistem informasi Belum Sistem belum memiliki pengaturan Supervisor IT Wawancara Lisan
kegagalan memberlakukan ambang pengolahan bandwidth, yang saat ini
pemrosesan audit pengelolaan besaran semua rata-rata memiliki besaran 116
AU-5(a)[1] penggunaan bandwidth yang sama.
Kontrol
Keamana Keterangan Subjek
Urut Metode Penilaian Dokumentasi
n dan (Comments / Recommendations) wawancara
Privasi
Klausa : berdasarkan volume
Ambang batas monitoring network traffic
volume lalu lintas pada kebutuhan ?
konfigurasi
AU-5(3)[1]
6. Perangko waktu Apakah sistem informasi Sudah Sistem telah diatur secara manual
AU-8.1 menggunakan internal clock kebutuhan time stamp untuk log time
untuk menjalankan time record dan mem-backup ke media
stamp untuk log time record yang berbeda namun tetap satu Supervisor IT
dan mem-backup ke media media server.
yang berbeda ?
7. Audit Sesi Apakah sistem informasi Sudah Sistem monitoring maupun merekam
AU-14 menyediakan kemampuan aktivitas pengguna setiap waktu
untuk menangkap/merekam sudah diterapkan oleh aplikasi
dan mencatat semua konten internal, sedangkan untuk sistem
Supervisor IT
yang berhubungan dengan eksternal dilakukan oleh pabrik
sesi pengguna dengan setiap (principle) dengan pihak internal
catatan waktu ? memantau melalui menggunakan
remote desktop.
2. Penilaian keamanan Apakah perusahaan memiliki Belum Organisasi belum memiliki bentuk
CA-2 bentuk penilaian keamanan model sistem keamanan khusus
Klausa : khusus sebagai kontrol selain kontrol akses username dan
Penilaian khusus keamanan sistem ? password Supervisor IT
CA-2(2)[1]
H. Incident Response
1. Penanganan insiden Apakah perusahaan Sudah Personel pegawai TI masih
IR-4(1) menggunakan kemampuan mengandalkan satu orang yang sudah
Klausa : penanganan insiden dari mengetahui sejak sistem dibentuk.
Ancaman orang pihak internal yang Supervisor IT Wawancara Lisan
dalam - koordinasi ditentukan sesuai peran dan
intra-organisasi tanggung jawab terhadap
IR-4(7) insiden respon ?
2. Bantuan respons Apakah perusahaan Sudah Rekomendasi memperhatikan situasi Supervisor IT
insiden menyediakan sumber pengguna dalam memahami insiden
IR-7[1] dukungan respon insiden problem untuk pelaporan keamanan
yang menawarkan saran dan sistem informasi. Penanganannya
bantuan kepada pengguna terkait sistem jika masih dilakukan 122
sistem informasi untuk jarak jauh menggunakan remote
penanganan dan pelaporan desktop, namun turun kelapangan
insiden keamanan ? mengenai kerusakan komponen
I. Maintenance
1. Kebijakan dan Apakah perusahaan Belum Perusahaan menerapkan
prosedur mengembangkan dan secara dokumentasi kebijakan pemeliharaan
pemeliharaan sistem formal mendokumentasikan sistem dengan memperhatikan
MA-1(a)(1)[1] kebijakan pemeliharaan pemeliharaan kerusakan seketika Supervisor IT
sistem dengan frekuensi terjadi maupun pembaruan otomatis
waktu ditentukan sesuai melalui pegawai TI internal terlebih
petunjuk spesifikasi/vendor? dahulu.
2. Personel Apakah perusahaan Sudah Pembatasan dalam
pemeliharaan memastikan/membatasi pemeliharaan/perawatan sistem
MA-5 personel/perusahaan yang informasi dicek oleh pegawai TI
Klausa : melakukan pemeliharaan internal terlebih dahulu bilamana
Izin keamanan perawatan terhadap sistem rekomendasi pemeliharaan dari
Supervisor IT Wawancara Lisan
untuk sistem rahasia informasi yang memproses, pihak perusahaan lain dibutuhkan
MA-5(2) menyimpan, atau dengan masalah cukup besar
mentransmisikan informasi diperlukan izin pimpinan perusahaan
rahasia memiliki izin sesuai dan sebaliknya jika permasalahan
peran wewenang ? kecil.
3. Perawatan tepat Apakah perusahaan Belum Pergantian suku cadang dilihat dari
waktu menerapkan periode waktu situasi keadaan komponen, bukan
MA-6[2] untuk dukungan pergantian waktu. Apabila kerusakan dampak
Supervisor IT Wawancara Lisan
suku cadang komponen ? yang ditimbulkan tinggi, segera
dilakukan pergantian. Karena
meminimalkan biaya keluar.
J. Media Protection
1. Kebijakan dan Apakah perusahaan memiliki Belum Kebijakan pembatasan pelindungan Controller dan Wawancara Lisan
prosedur kebijakan formal atau aturan media terhadap personel masih Supervisor IT
perlindungan media fisik perlindungan media secara situasional secara
MP-1(a)(1)[3] (batasan penggunaan media) komunikatif, seperti larangan
kepada personel atau peran penggunaan media di luar ketentuan
yang telah ditetapkan ? 123
2. Penggunaan media Apakah perusahaan Sudah Perusahaan telah melarang
MP-7 melarang penggunaan penyimpanan portable untuk sistem
Melarang perangkat penyimpanan informasi bahkan untuk komputer
penggunaan tanpa portabel dalam sistem pegawai, sebab perusahaan telah Supervisor IT
pemilik informasi perusahaan hingga menyediakan media penyimpanan
MP-7(1) pemiliknya tidak ketahui ? portable sendiri untuk keperluan
perusahaan.
K. Physical and Protection Environment
1. Kebijakan dan Apakah perusahaan Sudah Perusahaan telah mengembangkan
prosedur mengembangkan kebijakan kebijakan dalam perlindungan fisik
perlindungan fisik perlindungan fisik dan dalam strategi mitigasi risiko, seperti
dan lingkungan lingkungan dari strategi akses data center yang telah Supervisor IT
PE-1(a)(1)[1] mitigasi risikonya ? ditentukan dengan kunci pintu,
perlindungan data center
menggunakan CCTV.
2. Kontrol akses fisik Apakah perusahaan memiliki Sudah Ruangan telah diawasi CCTV
PE-3 alarm ataupun pemantau termasuk data center selama 24 jam.
Klausa : fasilitas setiap jalur akses
Penjaga/pemantauan fisik dengan pengawasan 24 Supervisor IT
berkelanjutan jam per hari, 7 hari per
PE-3(3) minggu ?
3. Catatan akses Apakah perusahaan Sudah Ruang data center telah dilindungi
pengunjung menerapkan catatan akses dengan kunci ruangan yang hanya
PE-8(a)[2] pengunjung ke fasilitas dipegang oleh pimpinan perusahaan
sistem informasi (kecuali dan Pegawai TI, serta dengan
area di dalam fasilitas yang perlindungan CCTV 24 jam melalui Supervisor IT
secara resmi ditetapkan persetujuan bidang IT berwenang di
sebagai dapat diakses publik) posisinya.
secara tertulis maupun tidak
(CCTV) ?
124
4. Peralatan listrik dan Apakah perusahaan Belum Secara khusus untuk jalur khusus
kabel melindungi peralatan listrik catu daya maupun jaringan masih
PE-9 dan pemasangan kabel daya menggunakan standar umum yang
dari kerusakan dan dilindungi oleh pipa sesuai fungsinya
Supervisor IT
kehancuran serta penyediaan dan tempat tanpa jalur yang ada dan
catu daya tak terputus dalam tidak memiliki penyediaan listrik
jangka panjang untuk sistem cadangan.
informasi ?
5. Lampu darurat Apakah perusahaan Belum Perusahaan belum memiliki
PE-12 menggunakan pencahayaan percahayaan darurat atau lampu
darurat otomatis untuk baterai maupun penyediaan listrik
Supervisor IT Wawancara Lisan
perangkat sistem informasi cadangan seperti genset.
jika terjadi pemadaman
listrik atau gangguan ?
6. Proteksi kebakaran Apakah perusahaan Belum Perusahaan belum memiliki
PE-13 menggunakan perangkat dan perangkat deteksi kebakaran/suhu
Sistem deteksi sistem deteksi kebakaran dan maupun kontrol mitigasi kebakaran,
PE-13[1] kontrol suhu maupun tetapi memiliki peralatan antisipasi
Supervisor IT Wawancara Lisan
kelembapan mencegah tabung pemadam kebakaran sesuai
ancaman terhadap sistem ? tempat yang rawan serta suhu
kelembapan diatur oleh AC dalam
menyelaraskan suhu ruangan
7. Pemantauan dan Apakah perusahaan telah Sudah Pemantauan hanya
pelacakan aset menerapkan pengendalian kendala/hambatan oleh pengguna
PE-20(a)[3] melacak dan memantau aset dengan Microsoft Remote Desktop Supervisor IT
yang ditentukan perusahaan dan data center menggunakan
dalam jarak jauh ? remote desktop dengan VPN.
L. Planning
1. Kebijakan dan Apakah perusahaan Belum Perusahaan belum mengembangkan Supervisor IT Wawancara Lisan
prosedur mengembangkan dan dokumen kebijakan perencanaan
perencanaan mendokumentasikan terkait keamanan.
keamanan kebijakan perencanaan
PL-1(a)(1)[ 1 ] keamanan secara 125
berkelanjutan ?
2. Aturan perilaku Apakah perusahaan Sudah Perusahaan membatasi eksplisit
PL-4 menerapkan aturan perilaku tentang penggunaan situs media
Klausa Pembatasan pembatasan eksplisit tentang sosial terhadap sistem informasi
Controller dan
media sosial dan penggunaan situs media apabila menyalahi aturan dalam Wawancara Lisan
Supervisor IT
jejaring sosial terhadap sistem privasi perusahaan yang disampaikan
PL-4(1) informasi ? secara komunikatif/teguran atas
kesadaran individu.
3. Arsitektur Apakah perusahaan Belum Komponen sistem telah melengkapi
keamanan informasi mengembangkan arsitektur dalam melindungi data sesuai
PL-8(a)(1) keamanan (komponen dibutuhkan perusahaan, karena
sistem) dengan relevansi sistem berhubungan atas susunan
update penyusun sistem serta secara internal tanpa adanya
informasi untuk sistem publikasi untuk umum. Berhubungan
informasi yang pengembangan keamanan mengikuti
Supervisor IT Wawancara Lisan
menggambarkan keseluruhan jaman masih belum ada, perlu
filosofi, persyaratan, dan menyesuaikan dari pihak pabrik
pendekatan yang harus (principle) meskipun dari pihak kami
diambil sehubungan dengan sepihak sistem seharusnya seperti
melindungi kerahasiaan, demikian
integritas, dan ketersediaan
informasi perusahaan?
M. Program Management
1. Rencana Apakah perusahaan Belum Pengembangan maupun perbarui
infrastruktur kritis menangani masalah keamanan masih belum, hanya
PM-8 keamanan informasi dalam secara lingkup kecil dan disesuaikan
pengembangan, kebutuhan gangguan berpotensi di
mendokumentasi, masa mendatang Supervisor IT Wawancara Lisan
memperbarui infrastruktur
rencana perlindungan
sumber daya utama ?
2. Strategi manajemen Apakah perusahaan memiliki Belum Dokumen pengembangan belum ada, Supervisor IT Wawancara Lisan 126
risiko dokumentasi formal pada namun hanya sebatas pengembangan
PM-9(a) pengembangan strategi strategi komprehensif risiko terhadap
komprehensif untuk aset dokumentasi telah dilakukan
mengelola risiko terhadap dengan memperhatikan ketentuan
operasi dan aset perusahaan, kebijakan umum lisan serta
individu, perusahaan lain, situasional. Seperti otorisasi user,
yang terkait dengan operasi pelatihan, aturan penggunaan
dan penggunaan sistem komputer, kerusakan krusial lebih
informasi ? ditindak dahulukan.
3. Pengujian, Apakah perusahaan Belum Pemantauan ancaman dalam
pelatihan, dan menerapkan proses pengujian tidak dilakukan, hanya
pemantauan memastikan atau kesadaran dilakukan proses aktivitas
PM-14 ancaman bahwa dalam berlangsung. Apabila terjadi
Supervisor IT Wawancara Lisan
melakukan pengujian dampaknya, sehingga langsung
keamanan, pelatihan, dan ditindak.
pemantauan terkait terhadap
sistem informasi ?
N. Personel Security
1. Pemutusan Apakah perusahaan Sudah Penghentian akun akses pegawai
hubungan kerja menghentikan akses sistem yang telah resign menerapkan
PS-4(a)[1] informasi untuk pegawai suspend, dengan ditahan akun
yang telah resign ? pengguna tersebut. Tidak dengan
menghapus, sebab suatu saat data
dapat dibutuhkan oleh perusahaan Supervisor IT
127
2. Keamanan personel Apakah perusahaan Sudah Persyaratan keamanan sistem
PS-7(a) menetapkan persyaratan informasi masih menggunakan
keamanan personel, pegawai TI hanya satu orang dalam
Controller dan
termasuk peran dan bidang TI yang mempunyai
Supervisor IT
tanggung jawab keamanan ? kemampuan tanggung jawab dengan
peran otorisasi tertinggi.
131
LAMPIRAN 3
Control Analysis Self-Assessment NIST 800-53A Revision 4
Tidak terdapat pemeriksaan Individu atau kelompok di dalam Pelanggaran hak akses dari user yang tidak
Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST 800-30 R. 1)
kepatuhan aspek standar perusahaan memahami aspek keamanan informasi dengan
keamanan yang baku pada Infrastruktur Pemprosesan ketidakdisiplinan yang dapat merugikan sistem
pegawai
Tidak terdapat dokumentasi Individu atau kelompok di luar Tidak ketersediaan layanan, terlambat recovery
manajemen rencana darurat atau perusahaan system, kegagalan sistem rasio antisipasi waktu
insiden pada sistem informasi Individu atau kelompok di dalam tidak terjamin, Sistem mati
dalam contingency plan. perusahaan
Operasional Infrastruktur TI
Belum memiliki penjadwalan Individu atau kelompok di dalam Tidak ketersediaan layanan, terlambat recovery
yang rutin terhadap perusahaan system, kegagalan sistem rasio antisipasi waktu
maintenance sistem hanya Operasional Infrastruktur TI tidak terjamin
terhadap insiden
Tidak memiliki perlindungan Infrastruktur TI Tidak ketersediaan layanan, kegagalan aktivitas
atau pencadangan atau Lingkungan Operasional Infrastruktur TI sistem
perlengkapan dini daya listrik
Tidak memiliki percahayaan Infrastruktur TI Terganggunya aktivitas manajemen, kerusakan
darurat dan perlengkapan dini Lingkungan Operasional Infrastruktur TI komponen
percahayaan
Tidak memiliki deteksi dan Infrastruktur TI Tidak ketersediaan layanan, kegagalan sistem
perlengkapan dini kebakaran Lingkungan Operasional Infrastruktur TI informasi, terlambat recovery system, data crash,
sistem aplikasi crash
Tidak terdapat kebijakan Individu atau kelompok di dalam Keterlambatan recovery system, kegagalan sistem
perencanaan keamanan perusahaan informasi, perangkat sistem informasi tidak
berkelanjutan Operasional Infrastruktur TI terkontrol, rekam aktivitas tidak memiliki
pengembangan peningkatan sistem
Belum menangani manajemen Individu atau kelompok di dalam keterlambatan recovery system, kegagalan sistem
pengembangan rencana perusahaan informasi, perangkat sistem informasi tidak
keamanan informasi dalam Operasional Infrastruktur TI terkontrol, rekam aktivitas tidak memiliki
infrastruktur yang berkelanjutan pengembangan peningkatan sistem
Tidak terdapat teknologi Individu atau kelompok di luar Kebocoran informasi, kerusakan sistem, kegagalan 133
keamanan dalam sistem sistem informasi, terlambat recovery system
Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST 800-30 R. 1)
informasi maupun pencegahan perusahaan
pendeteksian atau membelokkan Individu atau kelompok di dalam
serangan perusahaan
Infrastruktur TI
2. Sistem Informasi Sistem tidak menerapkan modul Individu atau kelompok di luar Kebocoran informasi dan data informasi tidak
Zeta keamanan khusus/ perusahaan terkontrol
alternatif/kritis (kriptografi) Individu atau kelompok di dalam
perusahaan
Infrastruktur TI
Tidak terdapat pelatihan awal Individu atau kelompok di dalam Pelanggaran hak akses dari user yang tidak
kepada pegawai untuk bekerja perusahaan memahami aspek keamanan informasi dengan
sesuai peran dan tugas serta Operasional Infrastruktur TI ketidakdisiplinan yang dapat merugikan
pelatihan security awareness perusahaan
terhadap sistem informasi
Tidak memiliki alternatif Individu atau kelompok di dalam Database crash, data informasi tidak terkontrol,
storage site terpisah dalam perusahaan Tidak ketersediaan informasi dan layanan,
mekanisme backup storage Infrastruktur Penyimpanan dan kegagalan sistem informasi
pemprosesan
Konfigurasi sistem yang lama Individu atau kelompok di dalam Tidak ketersediaan layanan, kerusakan sistem,
dan siap dipakai (rollback perusahaan kegagalan sistem informasi, terlambat recovery
system) bila terjadi suatu Infrastruktur Penyimpanan dan system
kegagalan informasi (reset) pemprosesan
Tidak memiliki dokumen Individu atau kelompok di dalam Tidak ketersediaan informasi, kegagalan sistem
manajemen maintenance perusahaan informasi, terlambat recovery system, rekam
pemeliharaan sistem baku sesuai Operasional Infrastruktur TI aktivitas tidak memiliki pengembangan
standar peningkatan sistem
Belum memiliki penjadwalan Individu atau kelompok di dalam Tidak ketersediaan layanan, terlambat recovery
yang rutin terhadap perusahaan system, kegagalan sistem rasio antisipasi waktu
maintenance sistem hanya Operasional Infrastruktur TI tidak terjamin
terhadap insiden
134
Tidak memiliki dokumentasi Individu atau kelompok di dalam Tidak ketersediaan informasi, kegagalan sistem
Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST 800-30 R. 1)
strategi risiko mengelola operasi perusahaan informasi, terlambat recovery system, rekam
dan aset pembentuk Operasional Infrastruktur TI aktivitas tidak memiliki pengembangan
infrastruktur TI peningkatan sistem
Tidak terdapat manajemen Individu atau kelompok di dalam Tidak ketersediaan informasi, kegagalan sistem
pengujian, pelatihan, dan perusahaan informasi, sistem tidak berkesinambungan, rekam
pemantauan terdapat sistem Operasional Infrastruktur TI aktivitas tidak memiliki pengembangan
informasi yang diterapkan peningkatan sistem
Dokumentasi sistem informasi Individu atau kelompok di dalam Sistem informasi tidak terkontrol, tidak
tidak terintegrasi dengan baik perusahaan ketersediaan informasi, kegagalan sistem
melalui dokumentasi input Infrastruktur Penyimpanan dan informasi, terlambat recovery system
terpisah satu sama lain pemprosesan
Tidak terdapat dokumentasi Individu atau kelompok di dalam Tidak ketersediaan informasi, kegagalan sistem
penilaian sistem informasi perusahaan informasi, sistem tidak berkesinambungan, rekam
ketika diterapkan oleh Operasional Infrastruktur TI aktivitas tidak memiliki pengembangan
perusahaan peningkatan sistem
3. PC User Belum memiliki kebijakan Individu atau kelompok di dalam Terciptanya serangan virus, malware, kerusakan
batasan penggunaan program perusahaan sistem, terganggu-nya aktivitas sistem, kebocoran
perangkat lunak terhadap sistem Operasional Infrastruktur TI informasi
Tidak memiliki dokumen Individu atau kelompok di dalam Kerusakan komponen, kebocoran data, kegagalan
kebijakan perlindungan media perusahaan sistem informasi, terlambat recovery system, tidak
batasan penggunaan terhadap Operasional Infrastruktur TI ketersediaan layanan
pegawai
Belum memiliki penjadwalan Individu atau kelompok di dalam Tidak ketersediaan layanan, terlambat recovery
yang rutin terhadap perusahaan system, kegagalan sistem rasio antisipasi waktu
maintenance sistem hanya Operasional Infrastruktur TI tidak terjamin
terhadap insiden
Baterai UPS hanya bertahan Individu atau kelompok di dalam Tidak ketersediaan layanan, keterlambatan
beberapa saat atau terkadang perusahaan recovery system, data crash, perangkat sistem
tidak berfungsi sama sekali Infrastruktur TI informasi tidak terkontrol 135
4. Infrastruktur Tidak terdapat pemantauan Individu atau kelompok di luar Terdapat malware, botnet masuk ke dalam sistem,
Kerentanan Sumber Ancaman
No Aset Deskripsi Ancaman
(NIST 800-53A R. 4) (NIST 800-30 R. 1)
Jaringan jarak jauh sebagai perlindungan perusahaan remote access desktop atau trojan
untuk memastikan potensi Individu atau kelompok di dalam
serangan pada sistem informasi perusahaan
Infrastruktur TI
Tidak menetapkan personel atau Individu atau kelompok di dalam Tidak ketersediaan layanan, kerusakan sistem,
peran yang akan disiagakan jika perusahaan kegagalan sistem informasi, terlambat recovery
terjadi kegagalan pemrosesan Operasional Infrastruktur TI dan system
komunikasi
Tidak terdapat pengelolaan Individu atau kelompok di dalam Tidak ketersediaan layanan, kegagalan sistem
besaran pengolahan penggunaan perusahaan informasi, keterlambatan komunikasi sistem,
bandwidth Infrastruktur Komunikasi kegagalan recovery system, perangkat sistem
informasi tidak terkontrol
Konfigurasi sistem yang lama Individu atau kelompok di dalam Tidak ketersediaan layanan, keterlambatan
dan siap dipakai (rollback perusahaan komunikasi sistem, kegagalan recovery system
system) bila terjadi suatu Infrastruktur Penyimpanan dan
kegagalan informasi (reset) pemprosesan
136
LAMPIRAN 4
Penentuan Kecenderungan (Likelihood)
No Aset Kerentanan Dampak Ancaman Nilai Kecenderungan Nilai Skala Level Likelihood
1. Infrastruktur TI Belum memiliki pemantauan Kebocoran informasi, kerusakan Aktivitas hingga saat ini,
jarak jauh sebagai perlindungan sistem, kegagalan sistem setiap tahun jarang terjadi
0,1 Low
untuk memastikan potensi informasi, terlambat recovery dan tidak pernah
serangan pada sistem informasi system
Tidak memiliki kebijakan audit Tidak ketersediaan informasi, Aktivitas hingga saat ini,
TI dan akuntabilitas TI dalam kegagalan sistem informasi, kegagalan layanan paling
frekuensi waktu tertentu terlambat recovery system, signifikan terjadi 1 kali
0,1 Low
rekam aktivitas tidak memiliki dalam setahun dengan tahun
pengembangan peningkatan tertentu mengenai kerusakan
sistem komponen
Tidak menetapkan personel atau Tidak ketersediaan layanan, Aktivitas hingga saat ini,
peran yang akan disiagakan jika kerusakan sistem, kegagalan kebutuhan service dalam
terjadi kegagalan pemrosesan sistem informasi, terlambat personel secara langsung 1,0 High
recovery system (tiba-tiba) hingga lebih dari 6
kali kejadian dalam setahun
Tidak terdapat pemeriksaan Pelanggaran hak akses dari user Aktivitas hingga saat ini,
kepatuhan aspek standar yang tidak memahami aspek pengguna tidak sah sesuai
keamanan yang baku pada keamanan informasi dengan peran masuk ke sistem, 0,5 Medium
pegawai ketidakdisiplinan yang dapat paling kecil 3-5 kali kejadian
merugikan sistem
Tidak terdapat dokumentasi Tidak ketersediaan layanan, Aktivitas hingga saat ini,
manajemen rencana darurat atau terlambat recovery system, kebutuhan service dalam
insiden pada sistem informasi kegagalan sistem rasio personel secara langsung
1,0 High
dalam contingency plan antisipasi waktu tidak terjamin hanya terhadap insiden
langsung hingga lebih dari 6
kali kejadian dalam setahun
Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
No Aset Kerentanan Dampak Ancaman Nilai Kecenderungan Nilai Skala Level Likelihood
Belum memiliki penjadwalan Tidak ketersediaan layanan, Aktivitas hingga saat ini,
yang rutin terhadap terlambat recovery system, kebutuhan service tanpa
maintenance sistem hanya kegagalan sistem rasio penjadwalan rutin
1,0 High
terhadap insiden antisipasi waktu tidak terjamin mengandalkan insiden
langsung hingga lebih dari 6
kali kejadian dalam setahun
Tidak memiliki perlindungan Tidak ketersediaan layanan, Aktivitas hingga saat ini,
atau pencadangan atau kegagalan aktivitas sistem Setiap tahun jarang terjadi, 0,5 Medium
perlengkapan dini daya listrik paling kecil 1-5 kali kejadian
Tidak memiliki percahayaan Terganggunya aktivitas Aktivitas hingga saat ini,
darurat dan perlengkapan dini manajemen setiap tahun jarang terjadi 0,1 Low
percahayaan dan tidak pernah
Tidak memiliki deteksi dan Tidak ketersediaan layanan, Aktivitas hingga saat ini,
perlengkapan dini kebakaran kegagalan sistem informasi, setiap tahun jarang terjadi
0,1 Low
terlambat recovery system, data dan tidak pernah
crash, sistem aplikasi crash
Tidak terdapat kebijakan keterlambatan recovery system, Aktivitas hingga saat ini,
perencanaan keamanan kegagalan sistem informasi, tidak terlalu signifikan
berkelanjutan perangkat sistem informasi terjadi 1-2 kali dalam
tidak terkontrol, rekam aktivitas setahun dengan tahun 0,1 Low
tidak memiliki pengembangan tertentu mengenai kerusakan
peningkatan sistem terhadap perbaikan
keamanan
Belum menangani manajemen keterlambatan recovery system, Aktivitas hingga saat ini,
pengembangan rencana kegagalan sistem informasi, hanya mengikuti arahan dari
keamanan informasi dalam perangkat sistem informasi principle dan mengikuti
infrastruktur yang berkelanjutan tidak terkontrol, rekam aktivitas pendukung perbaikan
tidak memiliki pengembangan penyesuaian saat 0,5 Medium
peningkatan sistem berlangsung dengan kejadian
awal 3-4 kali ketika
menerapkan teknologi sisi
keamanan tersebut 138
Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
No Aset Kerentanan Dampak Ancaman Nilai Kecenderungan Nilai Skala Level Likelihood
Tidak terdapat teknologi Kebocoran informasi, kerusakan Aktivitas hingga saat ini,
keamanan dalam sistem sistem, kegagalan sistem setiap tahun jarang terjadi
informasi maupun pencegahan informasi, terlambat recovery dan tidak pernah 0,1 Low
pendeteksian atau membelokkan system
serangan
2. Sistem Informasi Sistem tidak menerapkan modul Kebocoran informasi dan data Aktivitas hingga saat ini,
Zeta keamanan khusus/ informasi tidak terkontrol setiap tahun jarang terjadi 0,1 Low
alternatif/kritis (kriptografi) dan tidak pernah
Tidak terdapat pelatihan awal Pelanggaran hak akses dari user Aktivitas hingga saat ini,
kepada pegawai untuk bekerja yang tidak memahami aspek pelanggaran pengguna tidak
sesuai peran dan tugas serta keamanan informasi dengan sah sesuai peran dan aspek
0,5 Medium
pelatihan security awareness ketidakdisiplinan yang dapat keamanan sistem, dengan
terhadap sistem informasi merugikan perusahaan rentang 1-4 kali kejadian
Tidak memiliki alternatif Database crash, data informasi Aktivitas hingga saat ini,
storage site terpisah dalam tidak terkontrol, tidak Setiap tahun jarang terjadi
mekanisme backup storage ketersediaan informasi dan kegagalan signifikan, paling 0,1 Low
layanan, kegagalan sistem kecil 1-2 kali kejadian
informasi
Konfigurasi sistem yang lama Tidak ketersediaan layanan, Aktivitas hingga saat ini,
dan siap dipakai (rollback kerusakan sistem, kegagalan setiap tahun jarang terjadi
0,1 Low
system) bila terjadi suatu sistem informasi, terlambat dan tidak pernah
kegagalan informasi (reset) recovery system
Tidak memiliki dokumen Tidak ketersediaan informasi, Aktivitas hingga saat ini 0,5 Medium
manajemen maintenance kegagalan sistem informasi, pada sistem informasi Zeta.
pemeliharaan sistem baku sesuai terlambat recovery system, Manajemen service kejadian
standar rekam aktivitas tidak memiliki yang cukup sering terjadi,
pengembangan peningkatan maksimal 5 kali service
sistem maintenance dengan
kerusakan tidak signifikan 139
Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
dan tanpa dokumentasi.
No Aset Kerentanan Dampak Ancaman Nilai Kecenderungan Nilai Skala Level Likelihood
Belum memiliki penjadwalan Tidak ketersediaan informasi, Aktivitas hingga saat ini
yang rutin terhadap kegagalan sistem informasi, pada sistem informasi Zeta,
maintenance sistem hanya terlambat recovery system, kebutuhan lebih dari 6 kali
terhadap insiden rekam aktivitas tidak memiliki service dengan 1,0 High
pengembangan peningkatan membutuhkan dokumentasi
sistem sebelumnya pada
dokumentasi tidak baku
Tidak memiliki dokumentasi Tidak ketersediaan informasi, Aktivitas hingga saat ini,
strategi risiko mengelola operasi kebocoran informasi, kegagalan kebutuhan rentang 2-3 kali
dan aset pembentuk sistem dengan rasio antisipasi service dengan
0,5 Medium
infrastruktur TI waktu tidak terjamin, perangkat membutuhkan dokumentasi
sistem informasi tidak sebelumnya pada
terkontrol dokumentasi tidak baku
Tidak terdapat manajemen Tidak ketersediaan informasi, Aktivitas hingga saat ini,
pengujian, pelatihan, dan kegagalan sistem informasi, setiap tahun jarang terjadi
pemantauan terdapat sistem terlambat recovery system, dan tidak pernah
0,1 Low
informasi yang diterapkan rekam aktivitas tidak memiliki
pengembangan peningkatan
sistem
Dokumentasi sistem informasi Sistem informasi tidak Aktivitas hingga saat ini,
tidak terintegrasi dengan baik terkontrol, tidak ketersediaan pengisian beberapa manual
melalui dokumentasi input informasi, kegagalan sistem berulang akibat tidak
terpisah satu sama lain informasi, terlambat recovery tersinkronisasi secara baik. 1,0 High
system Tanpa terintegrasi refresh
yang kejadiannya dari 6 kali
kejadian setiap tahunnya
Tidak terdapat dokumentasi Tidak ketersediaan informasi, Aktivitas hingga saat ini, 1,0 Low
penilaian sistem informasi kegagalan sistem informasi, kebutuhan rentang 1-2 kali
ketika diterapkan oleh terlambat recovery system, service dengan
perusahaan rekam aktivitas tidak memiliki membutuhkan dokumentasi 140
pengembangan peningkatan sebelumnya pada
Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
sistem dokumentasi tidak baku
No Aset Kerentanan Dampak Ancaman Nilai Kecenderungan Nilai Skala Level Likelihood
3. PC User Belum memiliki kebijakan Terciptanya serangan virus, Aktivitas hingga saat ini,
batasan penggunaan program malware, kerusakan sistem, gangguan PC pengguna
perangkat lunak terhadap sistem terganggunya aktivitas sistem, akibat batasan kepatuhan
kebocoran informasi software dengan service 0,5 Medium
lebih dari 6 kali kejadian
dalam setahun di semua
komputer
Tidak memiliki dokumen Kerusakan komponen, Aktivitas hingga saat ini,
kebijakan perlindungan media kebocoran data, kegagalan gangguan PC pengguna
batasan penggunaan terhadap sistem informasi, terlambat akibat batasan kepatuhan
pegawai recovery system, tidak media perangkat dengan 0,5 Medium
ketersediaan layanan, service lebih dari 2-5 kali
kejadian dalam setahun di
semua komputer
Belum memiliki penjadwalan Tidak ketersediaan layanan, Aktivitas hingga saat ini,
yang rutin terhadap terlambat recovery system, kebutuhan service tanpa
maintenance sistem hanya kegagalan sistem rasio penjadwalan rutin
1,0 High
terhadap insiden antisipasi waktu tidak terjamin mengandalkan insiden
langsung hingga lebih dari 6
kali kejadian dalam setahun
Baterai UPS hanya bertahan Tidak ketersediaan layanan, Aktivitas hingga saat ini,
beberapa saat atau terkadang keterlambatan recovery system, gangguan mengenai
tidak berfungsi sama sekali data crash, perangkat sistem bergantung catu ketersediaan
0,5 Medium
informasi tidak terkontrol daya listrik secara tidak
langsung kejadian
berdampak 2-4 kali kejadian
4. Infrastruktur Tidak terdapat pemantauan Terdapat malware, botnet Aktivitas hingga saat ini,
Jaringan jarak jauh sebagai perlindungan masuk ke dalam sistem, remote setiap tahun jarang terjadi
0,1 Low
untuk memastikan potensi access trojan dan tidak pernah
serangan pada sistem informasi 141
Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
No Aset Kerentanan Dampak Ancaman Nilai Kecenderungan Nilai Skala Level Likelihood
Tidak menetapkan personel atau Tidak ketersediaan layanan, Aktivitas hingga saat ini,
peran yang akan disiagakan jika kerusakan sistem, kegagalan kebutuhan service dalam
terjadi kegagalan pemrosesan sistem informasi, terlambat personel secara langsung 1,0 High
recovery system (tiba-tiba) hingga lebih dari 6
kali kejadian dalam setahun
Tidak terdapat pengelolaan Tidak ketersediaan layanan, Aktivitas hingga saat ini,
besaran penggunaan bandwidth kegagalan sistem informasi, setiap tahun jarang terjadi
keterlambatan komunikasi dan tidak pernah
0,1 Low
sistem, kegagalan recovery
system, perangkat sistem
informasi tidak terkontrol
Konfigurasi sistem yang lama Tidak ketersediaan layanan, Aktivitas hingga saat ini,
dan siap dipakai (rollback keterlambatan komunikasi setiap tahun jarang terjadi
system) bila terjadi suatu sistem, kegagalan recovery dan tidak pernah terdampak 0,1 Low
kegagalan informasi (reset) system signifikan
142
Ket : Penentuan penilaian level likelihood, Hal. 59-Tabel 4.7, Nilai level likelihood (low 0,1; medium 0,5; high 1,0)
LAMPIRAN 5
Penentuan Analisis Dampak (Impact Analysis)
No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact
1. Infrastruktur TI Belum memiliki pemantauan Kebocoran informasi, Gangguan operasi internal,
jarak jauh sebagai kerusakan sistem, kegagalan kerusakan aset (data informasi)
perlindungan untuk sistem informasi, terlambat 50 Medium
memastikan potensi serangan recovery system
pada sistem informasi
Tidak memiliki kebijakan Tidak ketersediaan informasi, Gangguan operasi internal,
audit TI dan akuntabilitas TI kegagalan sistem informasi, kerusakan aset (data informasi
dalam frekuensi waktu terlambat recovery system, dan komponen), buruk reputasi
100 High
tertentu rekam aktivitas tidak memiliki terhadap pengaruh eksternal
pengembangan peningkatan
sistem
Tidak menetapkan personel Tidak ketersediaan layanan, Gangguan operasi internal,
atau peran yang akan kerusakan sistem, kegagalan kerusakan aset (data informasi
100 High
disiagakan jika terjadi sistem informasi, terlambat dan komponen), bahaya pada
kegagalan pemrosesan recovery system individu
Tidak terdapat pemeriksaan Pelanggaran hak akses dari Gangguan operasi internal,
kepatuhan aspek standar user yang tidak memahami kerusakan aset (data informasi
keamanan yang baku pada aspek keamanan informasi dan komponen), bahaya pada 100 High
pegawai dengan ketidakdisiplinan yang individu
dapat merugikan sistem
Tidak terdapat dokumentasi Tidak ketersediaan layanan, Gangguan operasi internal,
manajemen rencana darurat terlambat recovery system, kerusakan aset (data informasi
atau insiden pada sistem kegagalan sistem rasio dan komponen), buruk reputasi 100 High
informasi dalam contingency antisipasi waktu tidak terjamin terhadap pengaruh eksternal dan
plan. bahaya pada individu pegawai
Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact
Belum memiliki penjadwalan Tidak ketersediaan layanan, Gangguan operasi internal,
yang rutin terhadap terlambat recovery system, kerusakan aset (data informasi
100 High
maintenance sistem hanya kegagalan sistem rasio dan komponen), buruk reputasi
terhadap insiden antisipasi waktu tidak terjamin terhadap pengaruh eksternal
Tidak memiliki perlindungan Tidak ketersediaan layanan, Gangguan operasi internal,
atau pencadangan atau kegagalan aktivitas sistem kerusakan aset, buruk reputasi 100 High
perlengkapan dini daya listrik terhadap pengaruh eksternal
Tidak memiliki percahayaan Terganggunya aktivitas Gangguan operasi internal
darurat dan perlengkapan dini manajemen 10 Low
percahayaan
Tidak memiliki deteksi dan Tidak ketersediaan layanan, Gangguan operasi internal,
perlengkapan dini kebakaran kegagalan sistem informasi, kerusakan aset, buruk reputasi
terlambat recovery system, terhadap pengaruh eksternal dan 100 High
data crash, sistem aplikasi bahaya pada individu pegawai
crash
Tidak terdapat kebijakan keterlambatan recovery Gangguan operasi internal,
perencanaan keamanan system, kegagalan sistem kerusakan aset (data informasi
berkelanjutan informasi, perangkat sistem dan komponen), buruk reputasi
informasi tidak terkontrol, terhadap pengaruh eksternal dan 100 High
rekam aktivitas tidak memiliki bahaya pada individu pegawai
pengembangan peningkatan
sistem
Belum menangani manajemen keterlambatan recovery Gangguan operasi internal,
pengembangan rencana system, kegagalan sistem kerusakan aset (arus data
keamanan informasi dalam informasi, perangkat sistem informasi dan komponen), buruk
infrastruktur yang informasi tidak terkontrol, reputasi terhadap pengaruh 100 High
berkelanjutan rekam aktivitas tidak memiliki eksternal dan bahaya pada
pengembangan peningkatan individu pegawai
sistem
144
Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact
Tidak terdapat teknologi Kebocoran informasi, Gangguan operasi internal,
keamanan dalam sistem kerusakan sistem, kegagalan kerusakan aset (arus data
informasi maupun pencegahan sistem informasi, terlambat informasi) 50 Medium
pendeteksian atau recovery system
membelokkan serangan
2. Sistem Sistem tidak menerapkan Kebocoran informasi, data Gangguan operasi internal,
Informasi Zeta modul keamanan khusus/ informasi tidak terkontrol kerusakan aset (data informasi),
100 High
alternatif/kritis (kriptografi) buruk reputasi terhadap pengaruh
eksternal
Tidak terdapat pelatihan awal Pelanggaran hak akses dari Gangguan operasi internal,
kepada pegawai untuk bekerja user yang tidak memahami kerusakan aset (arus data
sesuai peran dan tugas serta aspek keamanan informasi informasi dan komponen), 100 High
pelatihan security awareness dengan ketidakdisiplinan yang bahaya pada individu pegawai
terhadap sistem informasi dapat merugikan perusahaan
Tidak memiliki alternatif Database crash, data Gangguan operasi internal,
storage site terpisah dalam informasi tidak terkontrol, kerusakan aset (arus data
mekanisme backup storage tidak ketersediaan informasi informasi dan komponen), buruk
dan layanan, kegagalan sistem reputasi terhadap pengaruh 100 High
informasi eksternal
Konfigurasi sistem yang lama Tidak ketersediaan layanan, Gangguan operasi internal,
dan siap dipakai (rollback kerusakan sistem, kegagalan Gangguan terhadap arus
50 Medium
system) bila terjadi suatu sistem informasi, terlambat informasi dengan perusahaan
kegagalan informasi (reset) recovery system lain
Tidak memiliki dokumen Tidak ketersediaan informasi, Gangguan operasi internal,
manajemen maintenance kegagalan sistem informasi, kerusakan aset (arus data
pemeliharaan sistem baku terlambat recovery system, informasi dan komponen), buruk
100 High
sesuai standar rekam aktivitas tidak memiliki reputasi terhadap pengaruh
pengembangan peningkatan eksternal
sistem
145
No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact
Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
Belum memiliki penjadwalan Pelanggaran hak akses dari Gangguan operasi internal,
yang rutin terhadap user yang tidak memahami kerusakan aset (arus data
maintenance sistem hanya aspek keamanan informasi informasi dan komponen) 50 Medium
terhadap insiden dengan ketidakdisiplinan yang
dapat merugikan sistem
Tidak memiliki dokumentasi Tidak ketersediaan informasi, Gangguan operasi internal,
strategi risiko mengelola kebocoran informasi, kerusakan aset (data informasi
operasi dan aset pembentuk kegagalan sistem dengan rasio dan komponen), buruk reputasi
100 High
infrastruktur TI antisipasi waktu tidak terhadap pengaruh eksternal
terjamin, perangkat sistem
informasi tidak terkontrol
Tidak terdapat manajemen Tidak ketersediaan informasi, Gangguan operasi internal,
pengujian, pelatihan, dan kegagalan sistem informasi, kerusakan aset (data informasi
pemantauan terdapat sistem terlambat recovery system, dan komponen), buruk reputasi
100 High
informasi yang diterapkan rekam aktivitas tidak memiliki terhadap pengaruh eksternal, dan
pengembangan peningkatan personel pegawai
sistem
Dokumentasi sistem informasi Sistem informasi tidak Gangguan operasi internal,
tidak terintegrasi dengan baik terkontrol, tidak ketersediaan kerusakan aset (arus data
melalui dokumentasi input informasi, kegagalan sistem informasi) 50 Medium
terpisah satu sama lain informasi, terlambat recovery
system
Tidak terdapat dokumentasi Tidak ketersediaan informasi, Gangguan operasi internal,
penilaian sistem informasi kegagalan sistem informasi, kerusakan aset (data informasi
ketika diterapkan oleh terlambat recovery system, dan komponen), buruk reputasi 100 High
perusahaan rekam aktivitas tidak terdapat terhadap pengaruh eksternal, dan
peningkatan sistem personel pegawai
146
No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact
Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
3. PC User Belum memiliki kebijakan Terciptanya serangan virus, Gangguan operasi internal,
batasan penggunaan program malware, kerusakan sistem, kerusakan aset (data informasi
50 Medium
perangkat lunak terhadap terganggunya aktivitas sistem, dan komponen)
sistem kebocoran informasi
Tidak memiliki dokumen Kerusakan komponen, Gangguan operasi internal,
50
kebijakan perlindungan media kebocoran data, kegagalan kerusakan aset (data informasi
batasan penggunaan terhadap sistem informasi, terlambat dan komponen). Medium
pegawai recovery system, tidak
ketersediaan layanan
Belum memiliki penjadwalan Tidak ketersediaan layanan, Gangguan operasi internal,
yang rutin terhadap terlambat recovery system, kerusakan aset komponen
50 Medium
maintenance sistem hanya kegagalan sistem rasio perangkat
terhadap insiden antisipasi waktu tidak terjamin
Baterai UPS hanya bertahan Tidak ketersediaan layanan, Gangguan operasi internal,
beberapa saat atau terkadang keterlambatan recovery kerusakan aset komponen
tidak berfungsi sama sekali system, data crash, perangkat perangkat 50 Medium
sistem informasi tidak
terkontrol
4. Infrastruktur Tidak terdapat pemantauan Terdapat malware, botnet Gangguan operasi internal,
Jaringan jarak jauh sebagai masuk ke dalam sistem, pencurian data aset (data
perlindungan untuk remote access trojan informasi), dan buruk reputasi 100 High
memastikan potensi serangan terhadap pengaruh eksternal
pada sistem informasi
Tidak menetapkan personel Tidak ketersediaan layanan, Gangguan operasi internal,
atau peran yang akan kerusakan sistem, kegagalan kerusakan aset (data informasi
disiagakan jika terjadi sistem informasi, terlambat dan komponen), bahaya pada 100 High
kegagalan pemrosesan recovery system individu dan buruk reputasi
terhadap pengaruh eksternal
No Aset Kerentanan Dampak Ancaman Pengaruh Dampak Bahaya Nilai Skala Level Impact 147
Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
Tidak terdapat pengelolaan Tidak ketersediaan layanan, Gangguan operasi internal,
besaran pengolahan kegagalan sistem informasi, Gangguan terhadap arus
penggunaan bandwidth keterlambatan komunikasi informasi dengan perusahaan
50 Medium
sistem, kegagalan recovery lain
system, perangkat sistem
informasi tidak terkontrol
Konfigurasi sistem yang lama Tidak ketersediaan layanan, Gangguan operasi internal,
dan siap dipakai (rollback keterlambatan komunikasi Gangguan terhadap arus
50 Medium
system) bila terjadi suatu sistem, kegagalan recovery informasi dengan perusahaan
kegagalan informasi (reset) system lain
148
Ket : Penentuan penilaian level impact, Hal. 63-Tabel 4.10, Nilai level impact (low 10; medium 50; high 100)
LAMPIRAN 6
Penentuan Risiko (Risk Determination)
No Aset Kerentanan Dampak Ancaman Nilai Level Nilai Level Nilai Level Tindakan Korektif 151
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
Skala Likelihoo Skala Skala
Likelihoo d
Impact Risk Risiko
d
Impact Risk
Belum menangani keterlambatan Tindakan korektif
manajemen recovery system, untuk dikembangkan
pengembangan kegagalan sistem dalam tindakan
rencana keamanan informasi, perangkat rencana berjangka
informasi dalam sistem informasi waktu tertentu
0,5 Medium 100 High 50 Medium
infrastruktur yang tidak terkontrol,
berkelanjutan rekam aktivitas tidak
memiliki
pengembangan
peningkatan sistem
Tidak terdapat Kebocoran Tindakan dapat
teknologi informasi, kerusakan ditangguhkan
keamanan dalam sistem, kegagalan dengan keputusan
sistem informasi sistem informasi, dalam menerima
maupun terlambat recovery 0,1 Low 50 Medium 5 Low risiko untuk
pencegahan system dikembangkan
pendeteksian atau
membelokkan
serangan
3. Sistem Sistem tidak Kebocoran informasi Tindakan dapat
Informasi menerapkan modul dan data informasi ditangguhkan
Zeta keamanan khusus/ tidak terkontrol dengan keputusan
0,1 Low 100 High 10 Low
alternatif/kritis dalam menerima
(kriptografi) risiko untuk
dikembangkan
152
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
No Aset Kerentanan Dampak Ancaman Nilai Level Nilai Level Nilai Level Tindakan Korektif
Skala Likelihoo Skala Impact Skala Risk Risiko
Likelihoo d Impact Risk
d
Tidak terdapat Pelanggaran hak Tindakan korektif
pelatihan awal akses dari user yang untuk dikembangkan
kepada pegawai tidak memahami dalam tindakan
untuk bekerja aspek keamanan rencana berjangka
sesuai peran dan informasi dengan 0,5 Medium 100 High 50 Medium waktu tertentu
tugas serta ketidakdisiplinan
pelatihan security yang dapat
awareness terhadap merugikan
sistem informasi perusahaan
Tidak memiliki Database crash, data Tindakan dapat
alternatif storage informasi tidak ditangguhkan
site terpisah dalam terkontrol, tidak dengan keputusan
mekanisme backup ketersediaan 0,1 Low 100 High 10 Low dalam menerima
storage informasi dan risiko untuk
layanan, kegagalan dikembangkan
sistem informasi
Konfigurasi sistem Tidak ketersediaan Tindakan dapat
yang lama dan siap layanan, kerusakan ditangguhkan
dipakai (rollback sistem, kegagalan dengan keputusan
0,1 Low 50 Medium 5 Low
system) bila terjadi sistem informasi, dalam menerima
suatu kegagalan terlambat recovery risiko untuk
informasi (reset) system dikembangkan
153
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
Nilai Nilai Nilai
Level Level Level Tindakan Korektif
No Aset Kerentanan Dampak Ancaman Skala Likelihoo Skala Skala
Likelihoo
d
Impact Risk Risiko
d
Impact Risk
Tidak memiliki Tidak ketersediaan Tindakan korektif
dokumen informasi, kegagalan untuk dikembangkan
manajemen sistem informasi, dalam tindakan
maintenance terlambat recovery rencana berjangka
pemeliharaan system, rekam 0,5 Medium 100 High 50 Medium waktu tertentu
sistem baku sesuai aktivitas tidak
standar memiliki
pengembangan
peningkatan sistem
Belum memiliki Pelanggaran hak Tindakan korektif
penjadwalan yang akses dari user yang untuk dikembangkan
rutin terhadap tidak memahami dalam tindakan
maintenance sistem aspek keamanan rencana berjangka
1,0 High 50 Medium 50 Medium
hanya terhadap informasi dengan waktu tertentu
insiden ketidakdisiplinan
yang dapat
merugikan sistem
Tidak memiliki Tidak ketersediaan Tindakan korektif
dokumentasi informasi, kebocoran untuk dikembangkan
strategi risiko informasi, kegagalan dalam tindakan
mengelolah operasi sistem dengan rasio rencana berjangka
dan aset pembentuk antisipasi waktu 0,5 Medium 100 High 50 Medium waktu tertentu
infrastukrur TI tidak terjamin,
perangkat sistem
informasi tidak
terkontrol
154
No Aset Kerentanan Dampak Ancaman Nilai Level Nilai Level Nilai Level Tindakan Korektif
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
Skala Likelihoo Skala Skala
Likelihoo d
Impact Risk Risiko
d
Impact Risk
Tidak terdapat Tidak ketersediaan Tindakan dapat
manajemen informasi, kegagalan ditangguhkan
pengujian, sistem informasi, dengan keputusan
pelatihan, dan terlambat recovery dalam menerima
pemantauan system, rekam 0,1 Low 100 High 10 Low risiko untuk
terdapat sistem aktivitas tidak dikembangkan
informasi yang memiliki
diterapkan pengembangan
peningkatan sistem
Dokumentasi Sistem informasi Tindakan korektif
sistem informasi tidak terkontrol, untuk dikembangkan
tidak terintegrasi. tidak ketersediaan dalam tindakan
Update informasi, kegagalan 1,0 High 50 Medium 50 Medium rencana berjangka
dokumentasi sistem informasi, waktu tertentu
terpisah satu sama terlambat recovery
lain system
Tidak terdapat Tidak ketersediaan Tindakan dapat
dokumentasi informasi, kegagalan ditangguhkan
penilaian sistem sistem informasi, dengan keputusan
informasi ketika terlambat recovery dalam menerima
diterapkan oleh system, rekam 0,1 Low 100 High 10 Low risiko untuk
perusahaan aktivitas tidak dikembangkan
memiliki
pengembangan
peningkatan sistem
No Aset Kerentanan Dampak Ancaman Nilai Level Nilai Level Nilai Level Tindakan Korektif
Skala Likelihoo Skala Impact Skala Risk Risiko 155
Likelihoo d Impact Risk
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
d
4. PC User Belum memiliki Terciptanya serangan Tindakan korektif
kebijakan batasan virus, malware, untuk dikembangkan
penggunaan kerusakan sistem, dalam tindakan
0,5 Medium 50 Medium 25 Medium
program perangkat terganggunya rencana berjangka
lunak terhadap aktivitas sistem, waktu tertentu
sistem kebocoran informasi
Tidak memiliki Kerusakan Tindakan korektif
dokumen kebijakan komponen, untuk dikembangkan
perlindungan media kebocoran data, dalam tindakan
batasan kegagalan sistem rencana berjangka
0,5 Medium 50 Medium 25 Medium
penggunaan informasi, terlambat waktu tertentu
terhadap pegawai recovery system,
tidak ketersediaan
layanan,
Belum memiliki Tidak ketersediaan Tindakan korektif
penjadwalan yang layanan, terlambat untuk dikembangkan
rutin terhadap recovery system, dalam tindakan
1,0 High 50 Medium 50 Medium
maintenance sistem kegagalan sistem rencana berjangka
hanya terhadap rasio antisipasi waktu tertentu
insiden waktu tidak terjamin
Baterai UPS hanya Tidak ketersediaan Tindakan korektif
bertahan beberapa layanan, untuk dikembangkan
saat atau terkadang keterlambatan dalam tindakan
tidak berfungsi recovery system, rencana berjangka
0,5 Medium 50 Medium 25 Medium
sama sekali data crash, waktu tertentu
perangkat sistem
informasi tidak
terkontrol
Level 156
No Aset Kerentanan Dampak Ancaman Nilai Nilai Level Nilai Level Tindakan Korektif
Likelihoo
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
Skala Skala Skala
Likelihoo d Impact Risk Risiko
d
Impact Risk
5. Infrastruktur Tidak terdapat Terdapat malware, Tindakan dapat
Jaringan pemantauan jarak botnet masuk ke ditangguhkan
jauh sebagai dalam sistem, remote dengan keputusan
perlindungan untuk access trojan 0,1 Low 100 High 10 Low dalam menerima
memastikan potensi risiko untuk
serangan pada dikembangkan
sistem informasi
Tidak menetapkan Tidak ketersediaan Tindakan perbaikan
personel atau peran layanan, kerusakan segera dengan
yang akan sistem, kegagalan implementasi
1,0 High 100 High 100 High
disiagakan jika sistem informasi, korektif
terjadi kegagalan terlambat recovery
pemrosesan system
Tidak terdapat Tidak ketersediaan Tindakan dapat
pengelolaan layanan, kegagalan ditangguhkan
besaran pengolahan sistem informasi, dengan keputusan
penggunaan keterlambatan dalam menerima
bandwidth komunikasi sistem, 0,1 Low 50 Medium 5 Low risiko untuk
kegagalan recovery dikembangkan
system, perangkat
sistem informasi
tidak terkontrol
Konfigurasi sistem Tidak ketersediaan Tindakan dapat
yang lama dan siap layanan, ditangguhkan
dipakai (rollback keterlambatan dengan keputusan
0,1 Low 50 Medium 5 Low
system) bila terjadi komunikasi sistem, dalam menerima
suatu kegagalan kegagalan recovery risiko untuk
informasi (reset) system dikembangkan
157
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
● Penentuan tindakan korektif, Hal. 67-Tabel 4.14
LAMPIRAN 7
Rekomendasi Kontrol (Control Recommendations)
171
Ket :
● Matriks penilaian level risk, Hal. 66-Tabel 4.13, (level likelihood x level impact = level risk), Nilai level risk (low 1-10; medium >10-50; high >50-100).
LAMPIRAN 8
Prioritas Aksi dan Pemilihan Opsi Kontrol
Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
1. Infrastruktur Tidak Tidak ketersediaan MA-5 Maintenance Perusahaan menentukan kebijakan tugas
TI menetapkan layanan, kerusakan Personnel peran tanggung jawab tiap sektor individu
personel atau sistem, kegagalan AU-5 Response To yang terbagi tiap sub-divisi dengan
peran yang sistem informasi, Audit Processing kemampuan individu. Seperti penanggung
Risk
akan terlambat recovery High Failures jawab IT Support terbagi dalam jaringan
Avoidance
disiagakan jika system komunikasi, pengembangan aplikasi,
terjadi pengembangan data aset
kegagalan
pemrosesan
2. Infrastruktur Tidak terdapat Tidak ketersediaan CP-1 Contingency Perusahaan menentukan skenario dengan
TI dokumentasi layanan, terlambat Planning Policy And dokumentasi kebijakan/SOP maintenance
manajemen recovery system, Procedures TI secara formal yang berisi perihal
rencana darurat kegagalan sistem CP-2 Contingency pemeliharaan sistem, penugasan tanggung
atau insiden rasio antisipasi Plan jawab peran, rencana darurat yang Risk
High
pada sistem waktu tidak terjamin dikelola secara berkala berdasarkan Limitation
informasi dokumen manajemen risiko yang
dalam ditetapkan sebagai prosedur yang valid
contingency dalam suatu insiden.
plan.
3. Infrastruktur Belum Tidak ketersediaan High MA-2 Controlled Perusahaan menentukan skenario dengan Risk
TI memiliki layanan, terlambat Maintenance dokumentasi kebijakan/SOP maintenance Limitation
penjadwalan recovery system, MA-6 Timely TI secara formal yang berisi perihal
yang rutin kegagalan sistem Maintenance pemeliharaan sistem, penugasan tanggung
terhadap rasio antisipasi jawab peran, rencana darurat yang
Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
maintenance waktu tidak terjamin dikelola secara berkala berdasarkan
sistem hanya dokumen manajemen risiko yang
terhadap ditetapkan sebagai prosedur yang valid
insiden dalam suatu insiden.
4. Infrastruktur Tidak Tidak ketersediaan MA-5 Maintenance Perusahaan menentukan kebijakan tugas
Jaringan menetapkan layanan, kerusakan Personnel peran tanggung jawab tiap sektor individu
personel atau sistem, kegagalan AU-5 Response To yang terbagi tiap sub-divisi dengan
peran yang sistem informasi, Audit Processing kemampuan individu. Seperti penanggung
Risk
akan terlambat recovery High Failures jawab IT Support terbagi dalam jaringan
Avoidance
disiagakan jika system komunikasi, pengembangan aplikasi,
terjadi pengembangan data aset
kegagalan
pemrosesan
5. Infrastruktur Tidak terdapat Pelanggaran hak PS-1 Personnel Perusahaan membuat pemberitahuan
TI pemeriksaan akses dari user yang Security Policy And informasi aturan di setiap sudut diketahui
kepatuhan tidak memahami Procedures oleh pegawai dan sanksi disipliner
aspek standar aspek keamanan Medium PS-8 Personnel ditegakkan. Seperti dilarang masuk Risk
keamanan yang informasi dengan Sanctions kecuali petugas, aturan penggunaan Limitation
baku pada ketidakdisiplinan CA-9 Internal System komputer di setiap komputer.
pegawai yang dapat Connections
merugikan sistem
6. Infrastruktur Tidak memiliki Tidak ketersediaan PE-9 Power Perusahaan menyiapkan voltase cadangan
TI perlindungan layanan, kegagalan Equipment And listrik yaitu genset dan pemeliharaan UPS
atau aktivitas sistem Cabling secara berkala.
Medium Risk
pencadangan PE-11 Emergency Avoidance
atau Power
perlengkapan
dini daya listrik
7. Infrastruktur Belum Keterlambatan Medium PM-8 Critical Perusahaan menentukan dan menetapkan Risk
TI menangani recovery system, Infrastructure Plan kebijakan program masterplan secara Limitation
manajemen kegagalan sistem PM-1 Information periode 5 tahun sebagai pengembangan 173
pengembangan informasi, perangkat infrastruktur yang update sesuai jaman
Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
rencana sistem informasi Security Program Plan secara independen dan sebagai
keamanan tidak terkontrol, PM-9 Risk pembanding dengan rujukan sistem dari
informasi rekam aktivitas tidak Management Strategy pusat.
dalam memiliki RA-3 Risk Assessment
infrastruktur pengembangan
yang peningkatan sistem
berkelanjutan
8. Sistem Tidak terdapat Pelanggaran hak AT-1 Security Perusahaan menetapkan pelatihan
Informasi pelatihan awal akses dari user yang Awareness And pengembangan secara formal terhadap
Zeta kepada tidak memahami Training Policy And pembaruan sistem teknologi informasi
pegawai untuk aspek keamanan Procedures serta koordinasi sharing discussion antar
bekerja sesuai informasi dengan AT-3 Security divisi atau individu lainnya
Risk
peran dan tugas ketidakdisiplinan Medium Awareness Training Avoidance
serta pelatihan yang dapat
security merugikan
awareness perusahaan
terhadap sistem
informasi
9. Sistem Tidak memiliki Tidak ketersediaan MA-1 System Perusahaan menentukan skenario dengan
Informasi dokumen informasi, kegagalan Maintenance Policy dokumentasi kebijakan/SOP maintenance
Zeta manajemen sistem informasi, And Procedures TI secara formal yang berisi perihal
maintenance terlambat recovery PM-9 Risk pemeliharaan sistem, penugasan tanggung
Risk
pemeliharaan system, rekam Medium Management Strategy jawab peran, rencana darurat yang
Limitation
sistem baku aktivitas tidak dikelola secara berkala berdasarkan
sesuai standar memiliki dokumen manajemen risiko yang
pengembangan ditetapkan sebagai prosedur yang valid
peningkatan sistem dalam suatu insiden.
10. Sistem Belum Pelanggaran hak Medium MA-2 Controlled Perusahaan menentukan skenario dengan Risk
Informasi memiliki akses dari user yang Maintenance dokumentasi kebijakan/SOP maintenance Limitation
Zeta penjadwalan tidak memahami MA-6 Timely TI secara formal yang berisi perihal
yang rutin aspek keamanan Maintenance pemeliharaan sistem, penugasan tanggung 174
terhadap informasi dengan jawab peran, rencana darurat yang
Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
maintenance ketidakdisiplinan dikelola secara berkala berdasarkan
sistem hanya yang dapat dokumen manajemen risiko yang
terhadap merugikan sistem ditetapkan sebagai prosedur yang valid
insiden dalam suatu insiden.
11. Sistem Tidak memiliki Tidak ketersediaan RA-2 Security Perusahaan mengembang dan menetapkan
Informasi dokumentasi informasi, Categorization dokumentasi manajemen risiko secara
Zeta strategi risiko kebocoran PM-9 Risk formal yang diperoleh dari kebijakan
mengelola informasi, kegagalan Management Strategy audit TI
operasi dan sistem dengan rasio Risk
Medium
aset pembentuk antisipasi waktu Limitation
infrastruktur TI tidak terjamin,
perangkat sistem
informasi tidak
terkontrol
12. Sistem Dokumentasi Sistem informasi PL-8 Information Perusahaan menetapkan dan mengkaji
Informasi sistem tidak terkontrol, Security Architecture penggunaan aplikasi Enterprise Resource
Zeta informasi tidak tidak ketersediaan CM-1 Configuration Planning (ERP) dengan layanan One Stop
terintegrasi. informasi, kegagalan Management Policy Service (OSS) secara optimal, diantaranya
Risk
Update sistem informasi, Medium And Procedures mencangkup area fungsional supplier
Avoidance
dokumentasi terlambat recovery SA-3 System management, inventory management,
terpisah satu system Development Life production, engineering, finance, human
sama lain Cycle resource management, delivery, sales
marketing dan customer support.
13. PC User Belum Terciptanya CM-7 Least Perusahaan membuat dokumen kebijakan
memiliki serangan virus, Functionality penggunaan PC dan pemberitahuan
kebijakan malware, kerusakan MP-2 Media Access informasi aturan di setiap sudut diketahui
batasan sistem, terganggu MP-1 Media oleh pegawai dan sanksi disipliner
Risk
penggunaan nya aktivitas sistem, Medium Protection Policy And ditegakkan. Seperti dilarang masuk
Limitation
program kebocoran informasi Procedures kecuali petugas, aturan penggunaan
perangkat komputer di setiap komputer.
lunak terhadap 175
sistem
Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
14. PC User Tidak memiliki Kerusakan MP-1 Media Perusahaan membuat dokumen kebijakan
dokumen komponen, Protection Policy And penggunaan PC dan pemberitahuan
kebijakan kebocoran data, Procedures informasi aturan di setiap sudut diketahui
perlindungan kegagalan sistem MP-2 Media Access oleh pegawai dan sanksi disipliner Risk
Medium
media batasan informasi, terlambat ditegakkan. Seperti dilarang masuk Limitation
penggunaan recovery system, kecuali petugas, aturan penggunaan
terhadap tidak ketersediaan komputer di setiap komputer.
pegawai layanan
15. PC User Belum Tidak ketersediaan MA-2 Controlled Perusahaan menentukan skenario dengan
memiliki layanan, terlambat Maintenance dokumentasi kebijakan/SOP maintenance
penjadwalan recovery system, MA-6 Timely TI secara formal yang berisi perihal
yang rutin kegagalan sistem Maintenance pemeliharaan sistem, penugasan tanggung
Risk
terhadap rasio antisipasi Medium jawab peran, rencana darurat yang
Limitation
maintenance waktu tidak terjamin dikelola secara berkala berdasarkan
sistem hanya dokumen manajemen risiko yang
terhadap ditetapkan sebagai prosedur yang valid
insiden dalam suatu insiden.
16. PC User Baterai UPS Tidak ketersediaan PE-11 Emergency Perusahaan menyiapkan voltase cadangan
hanya bertahan layanan, Power listrik yaitu genset dan pemeliharaan UPS
beberapa saat keterlambatan PE-9 Power secara berkala.
atau terkadang recovery system, Equipment And Risk
Medium
tidak berfungsi data crash, Cabling Avoidance
sama sekali perangkat sistem MA-2 Controlled
informasi tidak Maintenance
terkontrol
17. Infrastruktur Belum Kebocoran Low AC-17 Remote Access Perusahaan membangun sistem perangkat Risk
TI memiliki informasi, kerusakan SA-4 Acquisition honeypots maupun review berkala Limitation
pemantauan sistem, kegagalan Process terhadap rule firewall, update event log
jarak jauh sistem informasi, SI-4 Information system dan terhadap koneksi lokal dalam
sebagai terlambat recovery System Monitoring mendeteksi pemicu serangan
perlindungan system 176
untuk
Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
memastikan
potensi
serangan pada
sistem
informasi
18. Infrastruktur Tidak memiliki Tidak ketersediaan AU-1 Audit And Perusahaan mengembang dan menetapkan
TI kebijakan audit informasi, kegagalan Accountability Policy dokumentasi kebijakan audit TI secara
TI dan sistem informasi, And Procedures formal yang berisi perihal strategi
akuntabilitas TI terlambat recovery AU-2 Audit Events kebijakan, prosedur keamanan lingkup
Risk
dalam system, rekam Low AU-15 Alternate Audit peran, tanggung jawab, komitmen
Avoidance
frekuensi aktivitas tidak Capability manajemen, koordinasi antara entitas
waktu tertentu memiliki organisasi, dan kepatuhan pada kebijakan
pengembangan dan kontrol audit TI secara periode pada
peningkatan sistem organisasi internal.
19. Infrastruktur Tidak memiliki Terganggu nya PE-12 Emergency Perusahaan menyiapkan lampu cadangan
TI percahayaan aktivitas manajemen Lighting mekanisme baterai
darurat dan Risk
Low
perlengkapan Avoidance
dini
percahayaan
20. Infrastruktur Tidak memiliki Tidak ketersediaan PE-13 Fire Protection Perusahaan melengkapi alat pemadam
TI deteksi dan layanan, kegagalan kebakaran dengan kebutuhan dan deteksi
perlengkapan sistem informasi, suhu. Risk
Low
dini kebakaran terlambat recovery Avoidance
system, data crash,
sistem aplikasi crash
21. Infrastruktur Tidak terdapat keterlambatan Low PL-1 Security Perusahaan menentukan dan menetapkan Risk
TI kebijakan recovery system, Planning Policy And kebijakan program masterplan secara Limitation
perencanaan kegagalan sistem Procedures periode 5 tahun sebagai pengembangan
keamanan informasi, perangkat PM-9 Risk infrastruktur keamanan yang update
berkelanjutan sistem informasi Management Strategy sesuai jaman secara independen dan 177
tidak terkontrol, sebagai pembanding dengan rujukan
Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
rekam aktivitas tidak sistem dari pusat.
memiliki
pengembangan
peningkatan sistem
22. Infrastruktur Tidak terdapat Kebocoran SC-26 Honeypots Perusahaan membangun sistem perangkat
TI teknologi informasi, kerusakan SC-30 Concealment honeypots maupun review berkala
keamanan sistem, kegagalan And Misdirection terhadap rule firewall, update event log
dalam sistem sistem informasi, SI-3 Malicious Code system dan terhadap koneksi lokal dalam
informasi terlambat recovery Protection mendeteksi pemicu serangan
Risk
maupun system Low SI-4 Information Limitation
pencegahan System Monitoring
pendeteksian
atau
membelokkan
serangan
23. Sistem Sistem tidak Kebocoran informasi CA-2 Security Perusahaan mengembangkan dan
Informasi menerapkan dan data informasi Assessments mengimplementasikan kriptografi pada
Zeta modul tidak terkontrol IA-7 Cryptographic storage database dan pengiriman pesan
keamanan Module Authentication laporan ke pusat
khusus/ Risk
Low SC-12 Cryptographic
alternatif/kritis Limitation
Key Establishment And
(kriptografi) Management
SC-13 Cryptographic
Protection
24. Sistem Tidak memiliki Database crash, data Low CP-6 Alternate Perusahaan membangun pencadangan Risk
Informasi alternatif informasi tidak Storage Site storage dengan mekanisme cloud Transference
Zeta storage site terkontrol, tidak
terpisah dalam ketersediaan
mekanisme informasi dan
backup layanan, kegagalan 178
Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
storage sistem informasi
25. Sistem Konfigurasi Tidak ketersediaan CM-2 Baseline Perusahaan mengembangkan sistem
Informasi sistem yang layanan, kerusakan Configuration teknis back-up konfigurasi atau system
Zeta lama dan siap sistem, kegagalan checkpoint dimana bila ada suatu
dipakai sistem informasi, kesalahan konfigurasi atau insiden dapat
(rollback terlambat recovery segera melakukan rollback ke posisi Risk
Low
system) bila system system sebelum error tersebut Avoidance
terjadi suatu
kegagalan
informasi
(reset)
26. Sistem Tidak terdapat Tidak ketersediaan PM-14 Testing, Perusahaan mendokumentasikan penilaian
Informasi manajemen informasi, kegagalan Training, And sistem dengan melakukan pengujian
Zeta pengujian, sistem informasi, Monitoring sistem secara independen dengan
pelatihan, dan terlambat recovery RA-5 Vulnerability menggunakan pihak white hat secara
Risk
pemantauan system, rekam Low Scanning statis dan dinamis maupun dengan
Limitation
terdapat sistem aktivitas tidak membeli lisensi aplikasi pihak ketiga
informasi yang memiliki terhadap sistem.
diterapkan pengembangan
peningkatan sistem
27. Sistem Tidak terdapat Tidak ketersediaan SA-12 Supply Chain Perusahaan mendokumentasikan penilaian
Informasi dokumentasi informasi, kegagalan Protection sistem dengan melakukan pengujian
Zeta penilaian sistem informasi, sistem secara independen dengan
sistem terlambat recovery menggunakan pihak white hat secara
Risk
informasi system, rekam Low statis dan dinamis maupun dengan
Limitation
ketika aktivitas tidak membeli lisensi aplikasi pihak ketiga
diterapkan oleh memiliki terhadap sistem.
perusahaan pengembangan
peningkatan sistem
28. Infrastruktur Tidak terdapat Terdapat malware, Low AU-2 Audit Events Perusahaan membangun sistem perangkat Risk
Jaringan pemantauan botnet masuk ke honeypots maupun review berkala Avoidance 179
jarak jauh dalam sistem, terhadap rule firewall, update event log
Level Opsi
No Aset Kerentanan Dampak Ancaman Rekomendasi Kontrol Pemilihan Opsi Rekomendasi Kontrol
Risk Mitigasi
sebagai remote access trojan system dan terhadap koneksi lokal dalam
perlindungan mendeteksi pemicu serangan
untuk
memastikan
potensi
serangan pada
sistem
informasi
29. Infrastruktur Tidak terdapat Tidak ketersediaan AU-5 Response To Perusahaan mengatur bandwidth control
Jaringan pengelolaan layanan, kegagalan Audit Processing rule terbagi dalam tiap koneksi dan
besaran sistem informasi, Failures membagi dan mengatur mekanisme jenis
pengolahan keterlambatan SC-5 Denial Of saluran komunikasi, seperti pada Wi-Fi
Risk
penggunaan komunikasi sistem, Low Service Protection dan jaringan LAN.
Avoidance
bandwidth kegagalan recovery
system, perangkat
sistem informasi
tidak terkontrol
30. Infrastruktur Konfigurasi Tidak ketersediaan CM-2 Baseline Perusahaan mengembangkan sistem
Jaringan sistem yang layanan, Configuration teknis back-up konfigurasi atau system
lama dan siap keterlambatan checkpoint dimana bila ada suatu
dipakai komunikasi sistem, kesalahan konfigurasi atau insiden dapat
(rollback kegagalan recovery Low segera melakukan rollback ke posisi Risk
system) bila system system sebelum error tersebut Avoidance
terjadi suatu
kegagalan
informasi
(reset)
180
LAMPIRAN 9
Analisis Cost Benefit, Pemilihan Kontrol dan Penanggung Jawab
Belum memiliki
penjadwalan yang rutin
terhadap maintenance
sistem hanya terhadap = ± Rp.
insiden 125.000
PC User Belum memiliki Lain-lain : ±
penjadwalan yang rutin Rp.
terhadap maintenance 300.000/hari
sistem hanya terhadap Total : Rp.
insiden 125.000 + Rp.
300.000 x
3. Perusahaan membuat Infrastruktur Tidak terdapat Menegakkan Biaya kontrol Risk Supervis
pemberitahuan informasi aturan TI pemeriksaan kepatuhan aturan sanksi item, Menyesuai Limitation or IT
di setiap sudut diketahui oleh aspek standar keamanan disipliner dan diantaranya: kan
pegawai dan sanksi disipliner yang baku pada pegawai pemberitahuan Papan kerusakan
ditegakkan. Seperti dilarang PC User Belum memiliki informasi aturan di: dilarang dan aturan
masuk kecuali petugas, aturan kebijakan batasan Ruangan terbatas masuk : 5 baru
penggunaan komputer di setiap penggunaan program (Dilarang pcs x Rp.
komputer. perangkat lunak terhadap Masuk) 22.000 = ±
sistem Ruangan umum Rp. 110.00
Tidak memiliki dokumen (Tata Papan tata
kebijakan perlindungan tertib/aturan) tertib : 2 x
media batasan Pengumuman Rp. 100.000
penggunaan terhadap info di meja = ± Rp.
pegawai komputer 200.000 182
Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
(Aturan
penggunaan PC)
Kertas aturan
penggunaan
PC : 40 x Rp.
2.000 = ±
Rp. 80.000
Total : ± Rp.
390.000
Link :
4. Perusahaan menyiapkan voltase Infrastruktur Tidak memiliki Genset sebesar Genset
cadangan listrik yaitu genset dan TI perlindungan atau 15Kva dan 15Kva : ±
pemeliharaan UPS secara pencadangan atau pemeliharaan UPS Rp.
berkala. perlengkapan dini daya secara periode 55.000.000 Pimpinan
listrik Review Genset ,
PC User Baterai UPS hanya UPS : 0 menyesuai Risk Controll
bertahan beberapa saat Total : ± Rp. kan dan Avoidance er,
atau terkadang tidak 55.000.000 UPS 5 Supervis
berfungsi sama sekali Link : Tahun or IT
https://www.tok
opedia.com/ener
gidayadiesel/ge
nset-15-kva-
mitsubishi
5. Perusahaan menentukan dan Infrastruktur Belum menangani Pelaksanaan Pelaksanaan Controll
menetapkan kebijakan program TI manajemen kebijakan review review dan Risk
Menyesuai er,
masterplan secara periode 5 pengembangan rencana kajian pengembang dokumentasi Limitation 183
kan dan Supervis
Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
tahun sebagai pengembangan keamanan informasi infrastruktur TI kebijakan
infrastruktur yang update sesuai dalam infrastruktur yang dengan pegawai kajian, dengan
jaman secara independen dan berkelanjutan bidang TI rincian biaya:
sebagai pembanding dengan Tidak terdapat kebijakan Konsumsi :
rujukan sistem dari pusat. perencanaan keamanan Rp.
berkelanjutan 25.000/oran
g x 5 orang
= ± Rp.
125.000 maksimal
or IT
Lain-lain : ± 5 tahun
Rp.
300.000/hari
Total : Rp.
125.000 + Rp.
300.000 x
pelaksanaan 3
hari = ± Rp.
1.275.000
6. Perusahaan menetapkan Sistem Tidak terdapat pelatihan Menetapkan Biaya Risk Controll
pelatihan pengembangan secara Informasi awal kepada pegawai sharing discussion pelaksanaan Menyesuai Avoidance er,
formal terhadap pembaruan Zeta untuk bekerja sesuai koordinasi antar kontrol yaitu: kan dan Supervis
sistem teknologi informasi serta peran dan tugas serta pegawai dan Sharing minimal 5 or IT
koordinasi sharing discussion pelatihan security pelatihan berkala discussion : tahun
antar divisi atau individu lainnya awareness terhadap terkait kepatuhan Rp. 0
sistem informasi keamanan disiplin Pelatihan
Kepatuhan
disiplin
keamanan,
dengan
rincian biaya 184
Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
- Konsumsi :
Rp.
25.000/oran
g x 25 orang
= ± Rp.
625.000
- Lain-lain : ±
Rp.
300.000/hari
Total : Rp.
625.000 + Rp.
300.000 x
pelaksanaan 3
hari = ± Rp.
2.775.000
7. Perusahaan menetapkan dan Sistem Dokumentasi sistem Optimalisasi sistem Biaya
mengkaji penggunaan aplikasi Informasi informasi tidak ERP dengan OSS pelaksanaan
Enterprise Resource Planning Zeta terintegrasi update oleh konsultan kontrol
(ERP) dengan layanan One Stop dokumentasi terpisah diperhatikan oleh Software
Service (OSS) secara optimal, satu sama lain pegawai bidang IT aplikasi Sistem
diantaranya mencangkup area ERP dengan Risk Supervis
Menyesuai
fungsional supplier management, OSS : biaya Avoidance or IT
kan review
inventory management, disesuaikan
production, engineering, finance, jasa konsultan
human resource management, ± Rp.
delivery, sales marketing dan 50.000.000
customer support.
8. Perusahaan mengembang dan Sistem Tidak memiliki Pelaksanaan dan Pelaksanaan Risk Controll
menetapkan dokumentasi Informasi dokumentasi strategi dokumentasi dan Menyesuai Limitation er,
manajemen risiko secara formal Zeta risiko mengelola operasi manajemen risiko dokumentasi kan dan Supervis 185
yang diperoleh dari kebijakan dan aset pembentuk dilakukan oleh Manajemen minimal 3 or IT
Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
audit TI. infrastruktur TI pegawai bidang TI Risiko, dengan
rincian biaya:
Konsumsi :
Rp.
25.000/oran
g x 5 orang
= ± Rp.
125.000
Lain-lain : ± tahun
Rp.
300.000/hari
Total : Rp.
125.000 + Rp.
300.000 x
pelaksanaan 7
hari = ± Rp.
2.975.000
9. Perusahaan mengembang dan Infrastruktur Tidak memiliki Pelaksanaan dan Pelaksanaan Menyesuai Risk Controll
menetapkan dokumentasi TI kebijakan audit TI dan dokumentasi audit dan kan dan Avoidance er,
kebijakan audit TI secara formal akuntabilitas TI dalam TI oleh pegawai dokumentasi minimal 3 Supervis
yang berisi perihal strategi frekuensi waktu tertentu bidang TI Audit TI, tahun or IT
kebijakan, prosedur keamanan dengan rincian
lingkup peran, tanggung jawab, biaya:
komitmen manajemen, Konsumsi :
koordinasi antara entitas Rp.
organisasi, dan kepatuhan pada 25.000/oran
kebijakan dan kontrol audit TI g x 5 orang
secara periode pada organisasi = ± Rp.
internal. 125.000
Lain-lain : ± 186
Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
Rp.
300.000/hari
Total : Rp.
125.000 + Rp.
300.000 x
pelaksanaan 7
hari = ± Rp.
2.975.000
10. Perusahaan menyiapkan lampu Infrastruktur Tidak memiliki Penggunaan lampu Biaya kontrol
cadangan mekanisme baterai TI percahayaan darurat dan led emergency Lampu Led
perlengkapan dini Emergency 5
percahayaan watt : Rp.
155.000 x 16
pcs = ± Rp Menyesuai
2.480.000 Risk Supervis
kan
Link : Avoidance or IT
pemakaian
https://www.tok
opedia.com/ning
nang/led-
emergency-
model-philips-
5-watt-3-watt-
nyala-saat-
listrik-padam
11. Perusahaan melengkapi alat Infrastruktur Tidak memiliki deteksi Penggunaan alat Biaya kontrol Menyesuai Risk Controll
pemadam kebakaran dengan TI dan perlengkapan dini deteksi kebakaran Smoke kan Avoidance er,
kebutuhan dan deteksi suhu. kebakaran yang rawan Detector review Supervis
Multi : Rp. or IT
450.000 x 6
pcs = ± Rp.
2.700.000
Link :
https://www.tok 187
opedia.com/movi
Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
nsolusindo/hong
-chang-hc-206e-
photoelectric-
smoke-detector
12. Perusahaan membangun sistem Infrastruktur Belum memiliki Pelaksanaan Biaya kontrol,
perangkat honeypots maupun TI pemantauan jarak jauh review berkala dengan rincian,
review berkala terhadap rule sebagai perlindungan terhadap rule yaitu:
firewall, update event log system untuk memastikan firewall, update Review rule
dan terhadap koneksi lokal dalam potensi serangan pada event log system firewall dan
mendeteksi pemicu serangan sistem informasi dan terhadap update event
Tidak terdapat teknologi koneksi lokal serta log system
keamanan dalam sistem oleh pegawai terhadap Menyesuai
informasi maupun bidang IT koneksi kan Risk Supervis
pencegahan pendeteksian lokal : Rp. 0 review Limitation or IT
atau membelokkan Penggunaan 1 Bulan
serangan komputer
Infrastruktur Tidak terdapat honeypots :
Jaringan pemantauan jarak jauh ± Rp.
sebagai perlindungan 8.000.000
untuk memastikan Total Biaya : ±
potensi serangan pada Rp. 8.000.000
sistem informasi
13. Perusahaan mengembangkan dan Sistem Sistem tidak menerapkan Pelaksanaan Biaya kontrol
mengimplementasikan Informasi modul keamanan khusus/ kriptografi di Enkripsi
kriptografi pada storage Zeta alternatif/kritis masing aset krusial MySql : Rp.
database dan pengiriman pesan (kriptografi) Database 0 Menyesuai
laporan ke pusat Storage Aplikasi kan review Risk Supervis
Paket file paket dan Limitation or IT
enkripsi enkripsi penyewaan
business- 1 tahun
axcrypt : ± 188
Rp.
Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
1.350.000/ta
hun
Link :
https://www.ax
crypt.net/pricin
g/
14. Perusahaan membangun Sistem Tidak memiliki alternatif Penggunaan Google cloud
pencadangan storage dengan Informasi storage site terpisah penyimpanan cloud kapasitas 1TB :
mekanisme cloud Zeta dalam mekanisme ± Rp.
Risk
backup storage 2.000.000 Menyesuai Supervis
Transfere
Link : kan or IT
nce
https://cloud.go storage
ogle.com/stora
ge/pricing
15. Perusahaan mengembangkan Sistem Konfigurasi sistem yang Penggunaan Biaya
sistem teknis back-up Informasi lama dan siap dipakai pengembangan pelaksanaan
konfigurasi atau system Zeta (rollback system) bila sistem save kontrol layanan
checkpoint dimana bila ada suatu terjadi suatu kegagalan configuration save
kesalahan konfigurasi atau informasi (reset) application oleh configuration
insiden dapat segera melakukan konsultan application
Menyesuai
rollback ke posisi system didampingi pengembang Risk Supervis
kan review
sebelum error tersebut pegawai bidang IT sistem Avoidance or IT
Infrastruktur Konfigurasi sistem yang disesuaikan
Jaringan lama dan siap dipakai jasa
(rollback system) bila konsultan/peng
terjadi suatu kegagalan embang sistem
informasi (reset) ± Rp.
15.000.000
16. Perusahaan mendokumentasikan Sistem Tidak terdapat Pelaksanaan Biaya
Risk Supervis
penilaian sistem dengan Informasi manajemen pengujian, pengujian sistem pelaksanaan Menyesuai 189
Limitation or IT
melakukan pengujian sistem Zeta pelatihan, dan berkala oleh white kontrol kan review
Cost Benefit Opsi Penangg
Pemilihan Rekomendasi
No Aset Kerentanan Masa Kontrol ung
Kontrol Item Harga
Berlaku Mitigasi Jawab
secara independen dengan pemantauan terdapat hat didamping oleh Peran white
menggunakan pihak white hat sistem informasi yang pegawai bidang TI hat : ± Rp.
secara statis dan dinamis maupun diterapkan dan penggunaan 25.000.000.
dengan membeli lisensi aplikasi Tidak terdapat aplikasi pihak 000
pihak ketiga terhadap sistem. dokumentasi penilaian ketiga digunakan Aplikasi
sistem informasi ketika oleh pegawai pihak
diterapkan oleh bidang TI ketiga : ±
perusahaan Rp.
2.000.000
17. Perusahaan mengatur bandwidth Infrastruktur Tidak terdapat Pelaksanaan Konfigurasi
control rule terbagi dalam tiap Jaringan pengelolaan besaran configuration bandwidth
Menyesuai
koneksi dan membagi dan pengolahan penggunaan bandwidth control control rule Risk Supervis
kan
mengatur mekanisme jenis bandwidth rule limits oleh limits oleh Avoidance or IT
review
saluran komunikasi, seperti pada pegawai bidang IT bidang TI : Rp.
Wi-Fi dan jaringan LAN. 0
190
LAMPIRAN 10
Dokumentasi Observasi
191
192