Professional Documents
Culture Documents
TEKNOLOGI INFORMASI
CCTV (Closed Circuit Television)
PADA PT. ASTRA GRAPHIA
INFORMATION TECHNOLOGY
Tria Yulita1, Lusy Adesiany2, Dessy Liana3, Siti Elda Hiererra4
1234
Jurusan Komputerisasi Akuntansi, Fakultas Ilmu Komputer, Universitas Bina Nusantara
Jl. K. H. Syahdan No. 9, Kelurahan Kemanggisan, Kecamatan Palmerah Jakarta Barat 11480
Telp. : (62 21) 534 5830 ext. 2169 / 53 69 69 39
triayulita@yahoo.com, lusy.syarifah@yahoo.com, dessylianalee@gmail.com, elda.siti@gmail.com
Abstract
The purpose of this research is to assess the management of information security risks and determine
the level of information technology in The Installation Project of CCTV at XYZ Bank, conducted by
PT. Astra Graphia Information Technology and also to help deliver the best recommendations to the
risks found. Our research methodology for collecting the data and information are study literature
and field studies consist of observations, interviews, checklists, and documentation as well as the
method of analysis used is an ISO/IEC 27001:2005 and ProbabilityImpact Matrix. The results
achieved in the valuation of 133 information security management security controls are 72,18%
already met the requirements, 12,78% does not met the requirements and 15,04% which does not
apply to the project. Based on the risk assessment of information technology valuation, of all the 53
threats there are 35,85% high risk level, 37,74% medium risk level, 11,32% low risk level, and
15,10% risk which does not apply to the project. The conclusion of the research is PT. Astra Graphia
Information Technology has not met the requirements of ISO/IEC 27001:2005, they still need to
improve the management of information security against threats and risks and to obtain the
certification of ISO/IEC 27001:2005.
Key Words : Risk Assessment, Information Technology, ISO/IEC 27001:2005, ProbabilityImpact
Matrix.
Abstrak
Tujuan penelitian ialah untuk menilai manajemen keamanan informasi dan risiko teknologi informasi
pada Proyek Pemasangan CCTV pada Bank XYZ yang dijalankan oleh PT. Astra Graphia
Information Technology serta membantu dalam memberikan saran rekomendasi terbaik terhadap
risiko yang ditemukan. Metodologi penelitian yang dilakukan tim penulis untuk mengumpulkan data
dan informasi yang dibutuhkan adalah studi kepustakaan dan studi lapangan yang terdiri dari
observasi, wawancara, checklist, dan dokumentasi serta metode analisis yang digunakan adalah
ISO/IEC 27001:2005 dan ProbabilityImpact Matrix. Hasil yang dicapai dalam penilaian manajemen
keamanan informasi dari 133 kontrol keamanan terdapat 72,18% yang sudah terpenuhi, 12,78% yang
belum terpenuhi, dan 15,04% yang tidak berlaku pada proyek. Dalam penilaian risiko teknologi
informasi dari 53 ancaman terdapat 35,85% tingkat risiko high, 37,74% tingkat risiko medium,
11,32% tingkat risiko low, dan 15,10% risiko yang tidak berlaku pada proyek. Simpulan hasil
penelitian yang telah dilakukan adalah PT. Astra Graphia Information Technology belum memenuhi
seluruh persyaratan kontrol keamanan pada ISO/IEC 27001:2005 sehingga masih perlu memperbaiki
manajemen keamanan informasi dalam menghadapi ancaman dan risiko serta untuk memperoleh
sertifikasi ISO/IEC 27001:2005.
Kata Kunci : Penilaian Risiko, Teknologi Informasi, ISO/IEC 27001:2005, ProbabilityImpact
Matrix.
Pendahuluan
PT. Astra Graphia Information Technology yang selanjutnya akan tim penulis sebut sebagai PT.
AGIT sedang menjalankan sebuah proyek teknologi informasi yaitu Proyek CCTV Pada Bank XYZ.
Pada Proyek CCTV Pada Bank XYZ terdapat proses implementasi dan operasional yang dijalankan.
Manusia menjadi peran utama pada kedua proses tersebut sehingga faktor Human Threat menjadi
sangat penting dalam menimbulkan risiko pada proyek ini. Risiko adalah ketidakpastian yang dapat
memiliki dampak negatif atau positif dalam memenuhi tujuan proyek. (Schwalbe, 2011:425). Hal
tersebut mendorong perusahaan untuk menghadapi risiko yang dapat terjadi dengan mengurangi
dampak yang ditimbulkan. Manajemen risiko merupakan disiplin ilmu yang ada untuk menghadapi
risiko yang tidak spekulatif, risiko-risiko tersebut hanya dari kerugian yang dapat terjadi. (Calder &
Watkins, 2008:81). Oleh karena itu, perlu adanya penilaian risiko yang dilakukan pada proses
implementasi dan operasional Proyek CCTV Pada Bank XYZ. Penilaian risiko adalah proses kedua
dalam siklus hidup manajemen risiko. Organisasi menggunakan penilaian risiko untuk menentukan
apa ancaman yang ada untuk suatu aset dan tingkat risiko yang terkait ancaman itu. (Peltier,
2005:16). Penilaian dilakukan untuk mengetahui ancaman apa saja yang timbul, seberapa besar
tingkat risiko yang dihadapi terkait dengan ancaman tersebut, dan pengendalian apa yang harus
dilakukan untuk mengendalikan ancaman dan mengurangi tingkat risikonya sehingga proses
implementasi dan operasional Proyek CCTV Pada Bank XYZ dapat terus berjalan tanpa mengurangi
keefektifannya dalam mencapai tujuan proyek.
Dengan adanya latar belakang di atas, maka tim penulis perlu melakukan penelitian pada proses
implementasi dan operasional Proyek CCTV Pada Bank XYZ dengan merumuskan masalah sebagai
berikut :
1. Apakah manajemen keamanan informasi pada Proyek CCTV Pada Bank XYZ yang dijalankan
oleh PT. AGIT sudah memenuhi persyaratan pada ISO/IEC 2700:2005?
2. Apa saja ancaman yang timbul dan seberapa besar tingkat risiko yang dihadapi oleh PT. AGIT
dalam menjalankan Proyek CCTV Pada Bank XYZ?
3. Bagaimana pengendalian yang efektif berdasarkan kontrol keamanan pada ISO/IEC 27001:2005
yang dapat digunakan untuk mengendalikan ancaman dan mengurangi tingkat risiko di dalam
Proyek CCTV Pada Bank XYZ yang dijalankan oleh PT. AGIT?
Berdasarkan latar belakang dan rumusan masalah di atas, maka tujuan dalam penyusunan dan
penulisan skripsi ini, yaitu untuk melakukan penilaian manajemen keamanan informasi dengan
menganalisa hasil temuan audit dan memberikan saran rekomendasi untuk perbaikan berdasarkan
kontrol keamanan pada ISO/IEC 27001:2005 serta untuk melakukan penilaian risiko dengan
menentukan tingkat risiko pada setiap ancaman berdasarkan Probability - Impact Matrix dan
memberikan saran pengendalian ancaman berdasarkan kontrol keamanan pada ISO/IEC 27001:2005.
Kedua penilaian tersebut dilakukan pada proses implementasi dan operasional Proyek CCTV Pada
Bank XYZ yang dijalankan oleh PT. AGIT.
Metode Penelitian
Dalam penelitian ini dan untuk mencapai tujuannya digunakan beberapa metodologi yang
mendukung diantaranya yaitu :
1. Studi kepustakaan
Metodologi penelitian dengan mempelajari buku-buku maupun bahan-bahan tertulis lainnya
yang terkait dengan ISO/IEC 27001:2005 dan Penilaian Risiko dengan menggunakan
Probability-Impact Matrix.
2. Studi lapangan
Metodologi penelitian dengan mengadakan peninjauan langsung pada perusahaan yang
bersangkutan. Metodologi penelitian yang digunakan antara lain:
a. Pengamatan (Observation)
Pengumpulan data dilakukan dengan cara mendatangi secara langsung perusahaan dan
melakukan penilaian risiko pada proses implementasi dan operasional Proyek CCTV
Pada Bank XYZ.
b. Wawancara (Interview)
Dilakukan dengan mengadakan tanya jawab secara langsung dengan pihak-pihak yang
terkait untuk memperoleh gambaran secara umum tentang perusahaan dan masalah-
masalah yang berkaitan dengan penulisan skripsi ini.
c. Ceklis (Check-List)
Dilakukan dengan memberikan daftar pertanyaan yang digunakan untuk menilai
manajemen keamanan informasi berdasarkan standar internasional untuk SMKI yaitu
ISO/IEC 27001:2005 dan menilai risiko dengan menggunakan Probability - Impact
Matrix pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ.
d. Dokumentasi (Documentation)
Dilakukan dengan mengumpulkan dokumentasi, baik secara tertulis maupun gambar
yang berkaitan dengan proses implementasi dan operasional Proyek CCTV Pada Bank
XYZ.
Gambar 1 Hasil Penilaian Manajemen Keamanan Informasi Pada Proyek CCTV Pada Bank XYZ
Penilaian Risiko
Penilaian risiko yang dilakukan oleh kami merupakan proses penilaian tingkat risiko terkait
dengan ancaman yang muncul pada proses implementasi dan operasional Proyek CCTV yang
dijalankan oleh PT. AGIT. Dalam melakukan penilaian risiko, kami melakukan enam langkah
penilaian risiko. Langkah-langkah penilaian risiko yang harus dilakukan adalah sebagai berikut:
1. Definisi Aset;
Tabel 4 - Aset Yang Digunakan Pada Proyek CCTV Pada Bank XYZ
Jenis Aset
Hardware
Network Video Recorder (NVR)
Network Video Recorder (NVR) Fail Over
Control Management System (CMS)
Network Attached Storage (NAS)
Network Switch
Kamera CCTV
Power Over Ethernet (POE) Injector
Power Over Ethernet (POE) Switch
PC (Personal Computer) Desktop
Software
Microsoft Windows XP
Microsoft Windows 7
CMS Monitoring
LANDesk Service Desk (Sistem Helpdesk)
Manage Enggine-Operation Manager
2. Identifikasi Ancaman;
Natural Threat : Angin topan, angin kencang (70+ mph), badai tropis, banjir musiman,
banjir lokal, aktivitas gunung merapi, Gempa bumi (2-4 skala Richter), Gempa bumi (5
skala Richter atau lebih) dan petir.
Human Threat : ancaman bom, bom, pembakaran, perusakan, kerusuhan / kekacauan
sipil, pencurian data, penggandaan data, penyebaran data secara ilegal, penyalahgunaan
hak akses, kesalahan penghapusan data, kesalahan menghilangkan data, serangan virus
komputer, keterlambatan penanggulangan masalah, dan kegagalan sistem.
Environmental Threat : Kelebihan voltase listrik, kekurangan voltase listrik,
pemadaman listrik, kebocoran air, tikus, cicak, kecoa, dan laba-laba.
3. Menentukan Probabilitas Kejadian;
High probability : Sangat mungkin bahwa ancaman akan terjadi dalam tahun
berikutnya.
Medium probability : Kemungkinan bahwa ancaman mungkin terjadi selama tahun
berikutnya.
Low probability : Sangat tidak mungkin bahwa ancaman akan terjadi selama tahun
berikutnya.
4. Menentukan Dampak Dari Ancaman;
High Impact : penutupan pada unit bisnis yang bersifat penting. Dampak ini mengarah
pada kerugian yang signifikan pada bisnis, perusahaan, atau keuntungan.
Medium Impact : gangguan jangka pendek pada proses bisnis atau sistem yang
menyebabkan kerugian pada sebagian bidang keuangan pada unit bisnis tunggal.
Low Impact : tidak menyebabkan kehilangan atau kerugian pada bidang keuangan.
Deskripsi Kontrol :
Perlindungan fisik
terhadap bahaya
kebakaran, banjir, gempa
bumi, ledakan, kerusuhan
sipil, dan bentuk bencana
alam atau buatan manusia
lainnya harus dirancang
dan diaplikasikan.
Ancaman Yang Dikontrol :
Angin Topan
Angin kencang (70 + mph)
Badai tropis
Banjir musiman
Banjir lokal
Aktivitas gunung merapi
Gempa bumi (2-4 skala Richter)
Gempa bumi (5 skala Richter atau lebih)
Petir
Ancaman bom
Pembakaran area kerja
Perusakan area kerja
Kerusuhan / kekacauan sipil
A.9.2 : A.9.1.2 :
Keamanan Penempatan dan
Peralatan perlindungan terhadap
peralatan.
Deskripsi Kontrol :
Peralatan harus
ditempatkan atau
dilindungi untuk
mengurangi risiko
ancaman dan bahaya, dan
kesempatan akses ilegal.
Ancaman Yang Dikontrol :
Kelebihan Voltase Listrik
Kekurangan Voltase Listrik
Kebocoran Air
Tikus : mengerat, sarang, urine, kotoran, bangkai
Cicak : telur, urine, kotoran, bangkai
Kecoa : mengerat, telur, urine, kotoran, bangkai
Laba-laba : sarang, telur, urine, kotoran, bangkai
6. Dokumentasi.
Tabel 9 - Penilaian Risiko
Probability Impact
1 = Low 1 = Low
Threat Risk Level
2 = Medium 2 = Medium
3 = High 3 = High
Natural Threat
Banjir lokal 1 1 Low
Human Threat
Tindakan Disengaja
Penyalahgunaan
2 3 High
hak akses
Tindakan Tidak Disengaja
Serangan Virus
2 3 High
komputer
Environmental Threat
Pemadaman
3 1 Medium
Listrik
Binatang
Tikus : mengerat,
sarang, urine, 2 2 High
kotoran, bangkai
Hasil yang diperoleh dari penilaian risiko berdasarkan tingkat risiko yang diakibatkan oleh
ancaman-ancaman yang muncul pada Proyek CCTV Pada Bank XYZ dengan menggunakan
Probability-Impact Matrix dan ditampilkan dengan menggunakan grafik pie chart berikut:
15.10%
11.32% 35.85%
37.74%
Gambar 2 Hasil Penilaian Risiko Pada Proses Implementasi dan Operasional Proyek Pemasangan
CCTV Pada Bank XYZ
Simpulan
Dari hasil analisis yang dilakukan terhadap Proyek CCTV Pada Bank XYZ yang dijalankan oleh
Tim Proyek PT. AGIT, maka diperoleh beberapa kesimpulan dari hasil analisis, yaitu :
1. Dari 133 kontrol keamanan yang terdapat pada ISO/IEC 27001 : 2005, PT. AGIT memenuhi
96 persyaratan, tidak memenuhi 17 persyaratan dan 20 persyaratan lainnya tidak berlaku
pada proses implementasi dan operasional Proyek CCTV Pada Bank XYZ yang dijalankan.
2. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah mencapai
dan memelihara perlindungan terhadap aset dan informasi yang terdapat pada organisasi
dengan tepat. Hal ini dapat dilihat bahwa sudah terdapat dokumen CMDB (Configuration
Management Database) dan Rencana Penyusunan Layanan yang mendukung seluruh kontrol
keamanan pada 0Klausul 7 mengenai Manajemen Aset.
3. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah mencegah
akses fisik, bahaya, dan gangguan ilegal terhadap lokasi dan informasi organisasi serta telah
mencegah kehilangan, bahaya, pencurian aset, dan gangguan terhadap aktivitas organisasi
dengan perlindungan yang tepat. Hal ini dapat dilihat bahwa sudah terdapat dokumen
Rencana Penyusunan Layanan dan BAKT (Berita Acara Kunjungan Teknisi), database CAR
(Company Asset Request) dan alat-alat perlindungan bencana alam yang mendukung seluruh
kontrol keamanan pada Klausul 9 mengenai Keamanan Fisik dan Lingkungan.
4. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah melakukan
pelaporan dan penanganan terhadap setiap peristiwa dan kelemahan pada sistem informasi
dengan tepat waktu. Hal ini dapat dilihat bahwa sudah terdapat dokumen KPI (Key
Performance Indicator) dan AG World yang mendukung seluruh kontrol keamanan pada
Klausul 13 mengenai Manajemen Insiden Keamanan Informasi.
5. Proyek CCTV Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT telah melakukan
perlindungan dan merancang penanggulangan terhadap risiko yang mungkin terjadi
berdasarkan SCP (Service Continuity Plan) yang telah dibuat oleh Tim Proyek CCTV dari
PT. AGIT yang sudah di sah kan berdasarkan standar ISO 20000. Sehingga SCP tersebut
telah mendukung seluruh kontrol keamanan pada Klausul 14 mengenai Manajemen
Kelangsungan Bisnis.
6. Dari 53 ancaman yang terdapat pada Tabel Penilaian Risiko Terhadap Klasifikasi Ancaman
Berdasarkan Sumber Ancaman Pada Proses Implementasi dan Operasional, Proyek CCTV
Pada Bank XYZ yang dijalankan oleh Tim Proyek PT. AGIT memiliki 19 ancaman pada
tingkat risiko High, 20 ancaman pada tingkat risiko Medium, 6 ancaman pada tingkat risiko
Low, dan 8 ancaman lainnya tidak berlaku di dalam proyek.
7. Dari seluruh ancaman yang sudah diidentifikasi, faktor Human Threat merupakan sumber
ancaman yang paling berpengaruh terhadap terjadinya risiko, baik dengan tindakan yang
disengaja maupun tidak disengaja.
Saran
Berdasarkan kesimpulan yang ada, penulis memberikan saran yang dapat dijadikan bahan
masukan bagi Tim Proyek PT.AGIT terkait dengan Proyek CCTV Pada Bank XYZ, antara lain :
1. Tim Proyek CCTV dari PT. AGIT perlu memperhatikan dan memenuhi setiap persyaratan
kontrol keamanan pada 8 klausul lainnya yaitu :
Klausul 5 mengenai Kebijakan Keamanan Informasi.
Klausul 6 mengenai Organisasi Keamanan Informasi.
Klausul 8 mengenai Keamanan Sumber Daya Manusia.
Klausul 10 mengenai Manajemen Komunikasi dan Operasi.
Klausul 11 mengenai Pengendalian Akses.
Klausul 12 mengenai Perolehan, Perkembangan dan Pemeliharaan Sistem Informasi.
Klausul 14 mengenai Manajemen Kelangsungan Bisnis.
Klausul 15 mengenai Kepatuhan.
Dimana pemenuhan setiap persyaratan kontrol keamanan yang perlu dilakukan oleh PT.
AGIT memliki tujuan untuk memperoleh sertifikasi ISO/IEC 27001:2005 pada Proyek
CCTV pada Bank XYZ yang dijalankan.
2. Tim Proyek CCTV dari PT. AGIT dianjurkan untuk menggunakan siklus PDCA dalam
membangun SMKI di dalam Proyek CCTV Pada Bank XYZ agar dapat memperoleh
sertifikasi ISO/IEC 27001:2005.
3. Tim Proyek CCTV dari PT. AGIT sebaiknya menggunakan pengendalian berdasarkan
kontrol keamanan yang terdapat pada ISO/IEC 27001:2005 yang telah direkomendasikan
oleh penulis agar dapat mengurangi tingkat risiko yang dihadapi dalam Proyek CCTV pada
Bank XYZ.
4. Tim Proyek CCTV dari PT. AGIT harus lebih memprioritaskan pengendalian terhadap
ancaman yang memiliki tingkat risiko High untuk mencegah kemungkinan terjadinya
ancaman dan mengurangi dampak dari risiko yang menyebabkan kerugian yang signifikan di
tahun berikutnya.
Referensi
Riwayat Penulis
Tria Yulita lahir di kota Jakarta pada 9 Juli 1991. Penulis menamatkan pendidikan S1 di Universitas
Bina Nusantara dalam bidang Ilmu Komputer Jurusan Komputerisasi Akuntansi pada tahun 2014.
Lusy Adesiany lahir di kota Bekasi pada 1 Desember 1992. Penulis menamatkan pendidikan S1 di
Universitas Bina Nusantara dalam bidang Ilmu Komputer Jurusan Komputerisasi Akuntansi pada
tahun 2014.
Dessy Liana lahir di kota Bekasi pada 31 Desember 1991. Penulis menamatkan pendidikan S1 di
Universitas Bina Nusantara dalam bidang Ilmu Komputer Jurusan Komputerisasi Akuntansi pada
tahun 2014.