 Masalah keamanan = salah satu aspek penting dari sebuah sistem informasi.

 Pentingnya nilai sebuah informasi menyebabkan informasi seringkali ingin

diakses oleh orang-orang tertentu secara ilegal. Hal-hal lain juga dapat
menimbulkan kerugian bagi perusahaan misalnya kerugian apabila sistem
informasi tidak bekerja selama kurun waktu tertentu, kerugian apabila ada
kesalahan data atau informasi dan kehilangan data (Rahardjo, 2005: 1) .
Kasus Yang Sering Terjadi
Selama penerapan aplikasi SDCI ini telah terjadi beberapa kendala antara lain:

• Ditemukannya beberapa kasus penyalahgunaan password yang dapat

mengancam kerahasiaan perusahaan. Selain itu dikhawatirkan dapat
berdampak pada terjadinya penyalahgunaan informasi yang merugikan
Perusahaan/Lembaga dalam persaingan dengan para kompetitor.

• Kendala lain yang ditemukan adalah kurangnya pemeliharaan terhadap

fasilitas pemrosesan informasi yang dapat menyebabkan sistem menjadi sering
hang, jaringan down, hingga terbakarnya harddisk yang menyebabkan
hilangnya data perusahaan.

• Perusahaan/Lembaga belum memiliki aturan dan prosedur terhadap ancaman

virus. Ancaman virus itu dapat menimbulkan gangguan kinerja sistem
informasi bahkan dapat mengacau keberlangsungan operasional
Perusahaan/Lembaga.
 Selama ini Perusahaan/Lembaga belum pernah melakukan analisa
penyebab terjadinya permasalahan tersebut dan Perusahaan/Lembaga
tidak mengetahui sampai di mana tingkat keamanan sistem informasi
yang milikinya.

 Oleh karena itu  perlu mengevaluasi keamanan sistem informasi

menjaga keamanan sistem informasi yang dimiliki  audit keamanan
sistem informasi (Asmuni dan Firdaus, 2005:23).

 Keamanan informasi untuk menjaga aspek kerahasiaan

(Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability)
dari Informasi (ISO/IEC 27002, 2005:1)
Latar Belakang
 Audit keamanan sistem informasi perlu suatu standar
(Tanuwijaya dan Sarno, 2010:80).

 Standar yang dipilih  ISO 27002

 Pertimbangan :
Fleksibel dikembangkan tergantung pada
- kebutuhan organisasi,
- tujuan organisasi,
- persyaratan keamanan,
- proses bisnis,
- jumlah pegawai dan ukuran struktur organisasi.

Sertifikat implementasi Sistem Manajemen Keamanan Informasi (SMKI)

 Information Security Management System (ISMS) certification
(Sarno dan Iffano, 2009: 59-60).
Latar Belakang

 Audit keamanan sistem informasi pada Perusahaan/Lembaga 

mengukur tingkat keamanan teknologi informasi

 Menghasilkan rekomendasi
untuk meningkatkan keamanan informasi pada perusahaan
 acuan memperoleh ISMS certification dgn standar ISO 27002
menambah nilai tambah dan kepercayaan terhadap
Perusahaan/Lembaga.
 Bagaimana membuat perencanaan audit keamanan sistem informasi
pada Perusahaan/Lembaga berdasarkan standar ISO 27002

 Bagaimana melaksanakan audit keamanan sistem informasi pada

berdasarkan standar ISO 27002

 Bagaimana menyusun hasil audit keamanan sistem informasi pada

berdasarkan standar ISO 27002
 Semua klausul ISO 27002 yang digunakan,
harus disesuaikan dengan keadaan yang ada pada Perusahaan/Lembaga.

 Klausul ISO 27002 yang digunakan adalah:

 Klausul 6: Organisasi Keamanan Informasi
 Klausul 7: Manajemen Aset
 Klausul 8: Manajemen SDM
 Klausul 9: Keamanan Fisik dan Lingkungan
 Klausul 10: Manajemen Komunikasi dan Operasi
 Klausul 11: Kontrol Akses
 Klausul 13: Manajemen Kejadian Keamanan Informasi

 Sistem Informasi yang di audit  Software Development for Cyberinfrastructure (SDCI)

Tujuan
 Melakukan dan membuat perancangan audit keamanan sistem informasi pada
Perusahaan/Lembaga berdasarkan standar ISO 27002 untuk menentukan
dokumen perencanaan, ruang lingkup, pengumpulan data dan langkah-langkah
pelaksanaan audit.

 Melakukan audit keamanan sistem informasi pada berdasarkan standar ISO

27002 dengan wawancara berdasarkan RACI, mengisi penilaian masing-masing
klausul, mengukur dan menganalisis maturity level sampai ditemukannya
temuan-temuan audit.

 Menyusun hasil audit keamanan sistem informasi pada berdasarkan standar

ISO 27002 dengan melakukan evaluasi dari bukti-bukti yang ada,
mendokumentasikan temuan audit dan didapat laporan hasil audit yang
berupa temuan, kesimpulan dan rekomendasi.
Landasan Teori
 AUDIT
= proses atau aktivitas yang sistematik, independen dan
terdokumentasi untuk menemukan suatu bukti-bukti (audit
evidence) dan dievaluasi secara obyektif untuk menentukan apakah
telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan.
Tujuan dari audit adalah untuk memberikan gambaran kondisi
tertentu yang berlangsung di perusahaan dan pelaporan mengenai
pemenuhan terhadap sekumpulan standar yang terdefinisi (ISACA,
2006).
Landasan Teori  AUDIT SISTEM INFORMASI
(Weber, 1999)
= proses pengumpulan dan pengevaluasian bukti
(evidence) untuk menentukan apakah sistem
informasi dapat melindungi aset, serta apakah
teknologi informasi yang ada telah memelihara
integritas data sehingga keduanya dapat
diarahkan kepada pencapaian tujuan bisnis
secara efektif dengan menggunakan sumber daya
secara efektif.
KEAMANAN INFORMASI
= penjagaan informasi dari seluruh ancaman
yang mungkin terjadi dalam upaya untuk
memastikan atau menjamin kelangsungan bisnis
(business continuity), meminimasir resiko bisnis
(reduce business risk) dan memaksimalkan atau
mempercepat pengembalian investasi dan
peluang bisnis (ISO/IEC 27001, 2005).
Landasan Teori
 ISO 27002
= panduan yang menjelaskan contoh penerapan keamanan informasi
dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai
sasaran kontrol yang ditetapkan.

 Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 area

pengamanan sebagaimana ditetapkan di dalam ISO/IEC 27001.

 Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan

berdasarkan ISO/IEC 27001 terdiri dari 11 klausul kontrol keamanan
(security control clauses), 39 objektif kontrol (control objectives) dan
133 kontrol keamanan/ kontrol (controls)
Temuan
 Peraturan perusahaan kurang tegas dan kurang spesififk untuk
kerahasiaan password, belum adanya perjanjian atau pernyataan
tertulis yang ditandatangani untuk benar-benar menjaga kerahasiaan
password masing-masing, kurangnya kesadaran serta pengetahuan
karyawan terhadap pentingnya merahasiakan password.
 Terdapat banyak kebijakan dan prosedur yang belum terdokumentasi,
bahkan ada beberapa tindakan dalam perusahaan yang dilakukan
berdasarkan spontanitas dan tanpa ada aturan baku yang bersifat
formal.
 Tidak terdapat pelatihan apapun mengenai keamanan informasi, baik
terhadap ancaman virus, penggunaan password yang baik,
pemeliharaan fasilitas pemrosesan informasi, dan lain-lain.
 Rekomendasi
 Menjabarkan perjanjian kerahasiaan secara detail dan spesifik
termasuk menjaga kerahasiaan password.
 Menerapkan prosedur perjanjian antara perusahaan dengan pegawai
untuk menandatangani perjanjian khusus untuk menjaga kerahasiaan
informasi perusahaan
 Di dalam perjanjian tersebut sebaiknya terdapat pasal yang harus
dipatuhi mengenai penjagaan kerahasiaan informasi, termasuk rincian
tanggung jawab, dan sanksi terhadap pelanggaran kerahasiaan dan
keamanan informasi perusahaan.
 Mengadakan seminar atau pelatihan tentang pentingnya menjaga
kerahasiaan password ataupun bagaimana pemilihan dan penggunaan
password yang baik agar karyawan memilliki pengetahuan yang cukup
serta kesadaran untuk menjaga kerahasiaan password masing-masing
Rekomendasi
 Melakukan observasi atau pemetaan terhadap proses kerja yang sudah
berjalan atau akan berjalan.
 Melakukan benchmarking bila diperlukan dengan perusahaan sejenis.
 Mendesain kebijakan dan prosedur sesuai dengan hasil observasi dan
hasil referensi untuk menambah ketajaman dari desain prosedur.
 Melakukan review prosedur agar prosedur yang sudah dibuat bisa
berjalan tanpa hambatan.
 Menetapkan sanksi atas pelanggaran kebijakan atau prosedur yang
telah diberlakukan, mendokumentasikan kebijakan dan prosedur
sesuai dengan persetujuan manajemen, dan mengumumkannya.
 Rekomendasi
 Membuat modul pelatihan baik tentang penggunaan
aplikasi maupun tentang keamanan informasi, antisipasi
terhadap serangan virus, pemeliharaan fasilitas
pemrosesan informasi yang benar, kebijakan, maupun
prosedur organisasi.
 Mengadakan pelatihan tentang penggunaan aplikasi
maupun tentang keamanan informasi, antisipasi terhadap
serangan virus, prosedur keamanan informasi dan
penggunaan fasilitas pemrosesan informasi yang benar.
 Melakukan evaluasi dan pemantauan terhadap penerapan
hasil pelatihan yang telah dilakukan.
Kesimpulan
1. Perancangan audit keamanan sistem informasi pada Perusahaan/Lembaga
berdasarkan standar ISO 27002 yang dilakukan pada Klausul 6 hingga Klausul
13, pengumpulan data, dan langkah-langkah pelaksanaan audit hingga
pelaporan hasil audit keamanan sistem informasi telah berhasil dilakukan.
2. Berdasarkan temuan-temuan dari hasil audit keamanan sistem informasi
berdasarkan standar ISO 27002 pada Perusahaan/Lembaga terdapat beberapa
kelemahan-kelemahan aturan dan prosedur keamanan sistem informasi
mengakibatkan Perusahaan/Lembaga rentan terhadap ancaman keamanan
informasi yang dapat menyebabkan timbulnya resiko-resiko, antara lain:
penyalahgunaan informasi dan hilangnya data perusahaan yang akan dapat
memberi dampak kerugian besar pada Perusahaan/Lembaga.
TERIMA KASIH