AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27002 (Studi Kasus: PT.Karya karang asem indonesia) Felix nugraha k 08.41010.0048.

Slides:



Advertisements
Presentasi serupa
Audit Keamanan Sistem Informasi pada BAGIAN sistem informasi management (Perguruan Tinggi ) BERDASARKAN standar iso
Advertisements

Audit Keamanan Sistem Informasi pada INSTaLASI sistem informasi management (sim-rs) BERDASARKAN standar iso (Studi Kasus: Rumah Sakit Umum Haji.
SISTEM MANAJEMEN KESELAMATAN DAN KESEHATAN KERJA
Pemahaman Struktur Pengendalian Intern
Audit Sistem Informasi
PEMERIKSAAN MENAJEMEN
AUDIT SISTEM INFORMASI MANAJEMEN ASET BERDASARKAN PERSPEKTIF PROSES BISNIS INTERNAL BALANCED SCORECARD DAN STANDAR COBIT 4.1 (Studi Kasus: PT. Pertamina.
Audit Sumber Daya Manusia
(Studi Kasus: Rumah Sakit Umum Haji Surabaya)
Tatakelola dan Audit TI Indri Sudanawati Rozas
Audit Produksi dan Operasi
Audit Sistem Informasi Berbasis Komputer
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO PADA PT
PERENCANAAN MANAJEMEN MUTU
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO (Studi Kasus: PT. ANEKA JAYA BAUT SEJAHTERA) Marliana Halim
Sejarah & Pemahaman Audit Sistem/Teknologi Informasi
Mengaudit Sistem/ Teknologi Informasi
AUDIT KEPASTIAN MUTU.
TUJUAN AUDIT SI/TI Pertemuan 2.
PENGENDALIAN INTERNAL
AUDIT SISTEM KEPASTIAN MUTU
AUDIT MANAJEMEN.
SEJARAH DAN PEMAHAMAN AUDIT SISTEM/TEKNOLOGI INFORMASI
Konsep Risiko & Sistem Pengendalian Intern
SISTEM MUTU LABORATORIUM SESUAI ISO/IEC : 2005.
AUDIT SISTEM INFORMASI
AUDIT MANAJEMEN Yulazri M.Ak., CPA Universitas Esa Unggul.
SOP dan Audit Keamanan Keamanan Jaringan Pertemuan 12
Interpretasi Klausul 4 ISO Sistem Manajemen Mutu
Mengamankan Sistem Informasi
Pengenalan Kertas Kerja
AUDIT SISTEM INFORMASI dan TUJUANNYA
SISTEM PENGENDALIAN MANAJEMEN
KEAMANAN DAN PENGENDALIAN SISTEM
Metodologi Audit Sistem Informasi
Audit Sistem Informasi berbasis Komputer
Materi – 03 Sistem Kantor.
Langkah-Langkah Audit Manajemen
TESTING DAN IMPLEMENTASI SISTEM
AUDIT MUTU INTERNAL TIM GAMA SOLUTION.
Audit Internal K3 By : Wahyuni, S.Psi, M.Kes.
Sistem Manajemen Mutu.
Keamanan Sistem Informasi
Implementasi Kerangka Kerja COBIT
Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi Tujuan: membahas domain-domain keamanan yang ada pada perusahaan asuransi. PRODUK:
AUDIT SISTEM INFORMASI BERBASIS KOMPUTER
ANALISA KINERJA SISTEM
Nur fisabilillah, S.Kom, MMSI | UNIVERSITAS GUNADARMA
Keamanan Sistem Informasi
Danastri Rasmona Windriya
AUDIT MANAJEMEN.
AUDIT SISTEM KEPASTIAN MUTU
Audit Produksi dan Operasi
KEAMANAN INFORMASI INFORMATION SECURITY
Keamanan Sistem Informasi
AUDIT TEKNOLOGI SISTEM INFORMASI BANK XYZ
KONSEP DAN MEKANISME 2.1 Threats (Ancaman)
ETIKA PROFESI Sesi 7.
Manajemen Resiko Dalam Pengembangan SI
AUDIT SISTEM KEPASTIAN KUALITAS
PROGRAM KAMPANYE PENDIDIKAN KEAMANAN INFORMASI 25 Maret, 2017.
Sistem Manajemen Keselamatan dan Kesehatan Kerja (SMK3)
Siklus Hidup System.
Pentingnya Audit Sistem Informasi
Devinisi Audit Internal
UNIVERSITAS SARJANAWIYATA TAMANSISWA
Pemahaman Struktur pengendalian intern
AUDIT SISTEM INFORMASI (Studi Kasus: PT. ANEKA JAYA BAUT SEJAHTERA)
PENGENDALIAN INTERN Suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan personalia lain, yang dirancang untuk memberikan jaminan tentang.
1. Pokok Bahasan Pengertian audit Pengertian audit Jenis audit Jenis audit Pengertian audit internal Pengertian audit internal Manfaat audit internal.
Transcript presentasi:

AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27002 (Studi Kasus: PT.Karya karang asem indonesia) Felix nugraha k 08.41010.0048

Latar Belakang Pengelolaan inventori, transaksi, data pelanggan, dan data supplier, serta keseluruhan pelaporan dan analisa keuangan ditangani dalam sistem operasional yang terintegrasi  Software Development for Cyberinfrastructure (SDCI)

Latar Belakang Masalah keamanan = salah satu aspek penting dari sebuah sistem informasi. Pentingnya nilai sebuah informasi menyebabkan informasi seringkali ingin diakses oleh orang-orang tertentu secara ilegal. Hal-hal lain juga dapat menimbulkan kerugian bagi perusahaan misalnya kerugian apabila sistem informasi tidak bekerja selama kurun waktu tertentu, kerugian apabila ada kesalahan data atau informasi dan kehilangan data (Rahardjo, 2005: 1) .

Latar Belakang Selama penerapan aplikasi SDCI ini telah terjadi beberapa kendala antara lain: Ditemukannya beberapa kasus penyalahgunaan password yang dapat mengancam kerahasiaan perusahaan. Selain itu dikhawatirkan dapat berdampak pada terjadinya penyalahgunaan informasi yang merugikan PT. KKAI dalam persaingan dengan para kompetitor. Kendala lain yang ditemukan adalah kurangnya pemeliharaan terhadap fasilitas pemrosesan informasi yang dapat menyebabkan sistem menjadi sering hang, jaringan down, hingga terbakarnya harddisk yang menyebabkan hilangnya data perusahaan. PT. KKAI juga belum memiliki aturan dan prosedur terhadap ancaman virus. Ancaman virus itu dapat menimbulkan gangguan kinerja sistem informasi bahkan dapat mengacau keberlangsungan operasional PT. KKAI.

Latar Belakang Selama ini PT. KKAI belum pernah melakukan analisa penyebab terjadinya permasalahan tersebut dan PT. KKAI tidak mengetahui sampai di mana tingkat keamanan sistem informasi yang milikinya. Oleh karena itu  perlu mengevaluasi keamanan sistem informasi menjaga keamanan sistem informasi yang dimiliki  audit keamanan sistem informasi (Asmuni dan Firdaus, 2005:23). Keamanan informasi untuk menjaga aspek kerahasiaan (Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability) dari Informasi (ISO/IEC 27002, 2005:1)

Latar Belakang Audit keamanan sistem informasi perlu suatu standar (Tanuwijaya dan Sarno, 2010:80). Standar yang dipilih  ISO 27002 Pertimbangan : Fleksibel dikembangkan tergantung pada - kebutuhan organisasi, - tujuan organisasi, - persyaratan keamanan, - proses bisnis, - jumlah pegawai dan ukuran struktur organisasi. Sertifikat implementasi Sistem Manajemen Keamanan Informasi (SMKI)  Information Security Management System (ISMS) certification (Sarno dan Iffano, 2009: 59-60).

Latar Belakang Audit keamanan sistem informasi pada PT. KKAI  mengukur tingkat keamanan teknologi informasi Menghasilkan rekomendasi untuk meningkatkan keamanan informasi pada perusahaan  acuan memperoleh ISMS certification dgn standar ISO 27002 menambah nilai tambah dan kepercayaan terhadap PT. KKAI.

Perumusan Masalah Bagaimana membuat perencanaan audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 Bagaimana melaksanakan audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 Bagaimana menyusun hasil audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002

Batasan Masalah Semua klausul ISO 27002 yang digunakan, telah disesuaikan dengan keadaan yang ada pada PT. KKAI. Klausul ISO 27002 yang digunakan adalah: Klausul 6: Organisasi Keamanan Informasi Klausul 7: Manajemen Aset Klausul 8: Manajemen SDM Klausul 9: Keamanan Fisik dan Lingkungan Klausul 10: Manajemen Komunikasi dan Operasi Klausul 11: Kontrol Akses Klausul 13: Manajemen Kejadian Keamanan Informasi Sistem Informasi yang di audit  Software Development for Cyberinfrastructure (SDCI) Audit hanya dilakukan PT. KKAI yang terletak Jl. Raya Pabean No.77, Sedati – Sidoarjo

Tujuan Melakukan dan membuat perancangan audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 untuk menentukan dokumen perencanaan, ruang lingkup, pengumpulan data dan langkah-langkah pelaksanaan audit. Melakukan audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 dengan wawancara berdasarkan RACI, mengisi penilaian masing-masing klausul, mengukur dan menganalisis maturity level sampai ditemukannya temuan-temuan audit. Menyusun hasil audit keamanan sistem informasi pada PT. Karya Karang Asem Indonesia berdasarkan standar ISO 27002 dengan melakukan evaluasi dari bukti-bukti yang ada, mendokumentasikan temuan audit dan didapat laporan hasil audit yang berupa temuan, kesimpulan dan rekomendasi.

Landasan Teori AUDIT = proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan. Tujuan dari audit adalah untuk memberikan gambaran kondisi tertentu yang berlangsung di perusahaan dan pelaporan mengenai pemenuhan terhadap sekumpulan standar yang terdefinisi (ISACA, 2006).

Landasan Teori KEAMANAN INFORMASI AUDIT SISTEM INFORMASI (Weber, 1999) = proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif. KEAMANAN INFORMASI = penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasir resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (ISO/IEC 27001, 2005).

Landasan Teori ISO 27002 = panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan di dalam ISO/IEC 27001. Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan berdasarkan ISO/IEC 27001 terdiri dari 11 klausul kontrol keamanan (security control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol keamanan/ kontrol (controls)

Metodologi Penelitian

Hasil dan Pembahasan Temuan Peraturan perusahaan kurang tegas dan kurang spesififk untuk kerahasiaan password, belum adanya perjanjian atau pernyataan tertulis yang ditandatangani untuk benar-benar menjaga kerahasiaan password masing-masing, kurangnya kesadaran serta pengetahuan karyawan terhadap pentingnya merahasiakan password. Terdapat banyak kebijakan dan prosedur yang belum terdokumentasi, bahkan ada beberapa tindakan dalam perusahaan yang dilakukan berdasarkan spontanitas dan tanpa ada aturan baku yang bersifat formal. Tidak terdapat pelatihan apapun mengenai keamanan informasi, baik terhadap ancaman virus, penggunaan password yang baik, pemeliharaan fasilitas pemrosesan informasi, dan lain-lain.

Hasil dan Pembahasan Rekomendasi Menjabarkan perjanjian kerahasiaan secara detail dan spesifik termasuk menjaga kerahasiaan password. Menerapkan prosedur perjanjian antara perusahaan dengan pegawai untuk menandatangani perjanjian khusus untuk menjaga kerahasiaan informasi perusahaan Di dalam perjanjian tersebut sebaiknya terdapat pasal yang harus dipatuhi mengenai penjagaan kerahasiaan informasi, termasuk rincian tanggung jawab, dan sanksi terhadap pelanggaran kerahasiaan dan keamanan informasi perusahaan. Mengadakan seminar atau pelatihan tentang pentingnya menjaga kerahasiaan password ataupun bagaimana pemilihan dan penggunaan password yang baik agar karyawan memilliki pengetahuan yang cukup serta kesadaran untuk menjaga kerahasiaan password masing-masing

Hasil dan Pembahasan Rekomendasi Melakukan observasi atau pemetaan terhadap proses kerja yang sudah berjalan atau akan berjalan. Melakukan benchmarking bila diperlukan dengan perusahaan sejenis. Mendesain kebijakan dan prosedur sesuai dengan hasil observasi dan hasil referensi untuk menambah ketajaman dari desain prosedur. Melakukan review prosedur agar prosedur yang sudah dibuat bisa berjalan tanpa hambatan. Menetapkan sanksi atas pelanggaran kebijakan atau prosedur yang telah diberlakukan, mendokumentasikan kebijakan dan prosedur sesuai dengan persetujuan manajemen, dan mengumumkannya.

Hasil dan Pembahasan Rekomendasi Membuat modul pelatihan baik tentang penggunaan aplikasi maupun tentang keamanan informasi, antisipasi terhadap serangan virus, pemeliharaan fasilitas pemrosesan informasi yang benar, kebijakan, maupun prosedur organisasi. Mengadakan pelatihan tentang penggunaan aplikasi maupun tentang keamanan informasi, antisipasi terhadap serangan virus, prosedur keamanan informasi dan penggunaan fasilitas pemrosesan informasi yang benar. Melakukan evaluasi dan pemantauan terhadap penerapan hasil pelatihan yang telah dilakukan.

Kesimpulan Perancangan audit keamanan sistem informasi pada PT. KKAI berdasarkan standar ISO 27002 yang dilakukan pada Klausul 6 hingga Klausul 13, pengumpulan data, dan langkah-langkah pelaksanaan audit hingga pelaporan hasil audit keamanan sistem informasi telah berhasil dilakukan. Nilai maturity level yang dihasilkan oleh PT. Karya karang Asem Indonesia yaitu 3.18 yang masuk pada kategori level 3 yaitu defined. Hal tersebut menandakan proses keamanan sistem informasi pada PT. Karya karang Asem Indonesia telah dilakukan secara rutin sesuai dengan standar prosedur yang ada. Berdasarkan temuan-temuan dari hasil audit keamanan sistem informasi berdasarkan standar ISO 27002 pada PT. KKAI terdapat beberapa kelemahan-kelemahan aturan dan prosedur keamanan sistem informasi mengakibatkan PT. KKAI rentan terhadap ancaman keamanan informasi yang dapat menyebabkan timbulnya resiko-resiko, antara lain: penyalahgunaan informasi dan hilangnya data perusahaan yang akan dapat memberi dampak kerugian besar pada PT. KKAI.

Saran Audit keamanan sistem informasi ini masih belum menerapkan seluruh kontrol keamanan yang telah dipetakan di karenakan keterbatasan auditor untuk mengakses data perusahaan. Sehingga diharapkan setelah seluruh sistem perusahaan telah berjalan sesuai dengam proses bisnis yang ada atau setelah membuat prosedur sistem manajemen keamanan informasi yang baru maka perlu dilakukan audit keamanan sistem informasi kembali untuk menentukan maturity level yang baru setelah perusahaan sudah melakukan perbaikan pada sistem keamanan informasinya. Diharapkan PT. KKAI dapat melakukan perbaikan manajemen keamanan sistem informasi dan aturan prosedur keamanan sistem informasi agar ancaman-ancaman terkait keamanan informasi dapat diminimalisir.

TERIMA KASIH