Slide Sample - Information Security Group Project

AGENDA

Profil Profil Profil Profil Perusahaan Perusahaan Perusahaan Perusahaan

Menjadi perusahaan logistik terdepan di regional dan

terkemuka di Asia

Visi

Memberikan layanan logistik yang berkualitas tinggi

bagi pelanggan berkualitas

LayananLayananLayananLayanan PerusahaanPerusahaanPerusahaanPerusahaan

Risk Management Process in chart

Manajemen

Risiko

Manajemen

RisikoRisikoRisikoProses BisnisProses Bisnis

IT EnablerIT Enabler

1) Gangguan Core Business

Systems “IBC System”

2) Hilangnya Data Pelanggan,

Data Job Order & Data

Keuangan Akuntansi

3) Bencana Alam

1) Gangguan Core Business

Systems “IBC System”

2) Hilangnya Data Pelanggan,

Data Job Order & Data

Keuangan Akuntansi

3) Bencana Alam

Risks

Identification

Risks

Identification

Risks AnalysisRisks Analysis

Risks

Assessment

Risks

Assessment

Risks ResponseRisks Response

Roles and Responsibility

Direktur Utama

Menetapkan dan menyetujui kebijakan

serta mengkoordinasikan tugas masing-

masing direktur

Memberi laporan kepada pemegang

saham

Direktur Keuangandan Administrasi

Menyetujui dan menetapkan

kebijakan keuangan perusahaan

Merancang dan menyusunstrategi keuangan perusahaan

Direktur Operasional

Melakukan fungsi planning,

organization, actuating dan

controling operasional

perusahaan

Direktur marketing dan business

Melakukan fungsi planning,

organization, actuating dan

controling pada bidang bisnis

dan marketing perusahaan

Manajer TIBertanggung jawab terhadap

segala aspek ketersediaan

layanan TI

Risk Analysis/Assessment

1. Asset

Identification

1. Asset

Identification

2. Thread &

Vulnerability

Identification

2. Thread &

Vulnerability

Identification

3. Risk

Prioritization

3. Risk

Prioritization

4. Develop

Controls

4. Develop

Controls

5.

Monitoring

5.

Monitoring

Asset & Threat IdentificationAsset & Threat IdentificationAsset & Threat IdentificationAsset & Threat IdentificationAsset Category Asset Listing Highly Probable Probable Possible, but

Unlikely

Vital

1. Perangkat Server IBC1.Pemutusan aliran listrik

2.Bencana alam

2. IBC System

1.Virus

2.Hacker

3. Fraud

3. Data Pelanggan

1.Virus

2.hacker

3.Fraud

4. Data Keuangan dan

Akuntansi

1. Virus

2. Fraud

3. Hacker

5. Infrastruktur

1. Bencana alam

2. Pemutusan aliran listrik

3. Network attack

4. Hacker

6. Data Job Order

1. Virus

2. Fraud

3. Hacker

Important

1. Staff TI 1. Resign

2. Koneksi Internet 1. Sambungan

putus

2. Hacker

3. Virus

Secondary

1. Web Perusahaan 1. Hacker

2. Email System

1. Virus

2. Spam

3. Hacker

3. Voip 1. Sambungan

putus

Threat & Vulnerability Correlation

Risk Risk Risk Risk PriorizationPriorizationPriorizationPriorization & Develop Control& Develop Control& Develop Control& Develop ControlAset Informasi

Penanggung

Jawab AsetRisiko

Kerawanan terhadap Aset

(Vulnerabilities)Ancaman

Inheren

Kontrol yang AdaDampak Kecenderungan

Nilai Risiko

Dasar

1 2 3 4 5 6 7 8

Perangkat Server

IBCIT Section Availibility

Ketersediaan listrik tidak

mencukupi,Bencana Alam,

Major Possible High

Disediakan genset

Jumlah UPS yang terbatas Pemutusan aliran listrik Asuransi

Kerusakan pada perangkat

Disediakan

perangkat

cadangan

Aplikasi IBC IT Section

Confidentiality Access Control Fraud

Major Possible High

Firewall Internal

AvailabilityCode program yang tidak

memenuhi prinsip keamananHacker

Prosedur keamanan

dalam coding

process (security)

IntegritySystem yang belum di-patch

VirusProses single sign-

on

Pegawai yang tidak puas

Data PelangganDepartemen

Marketing

Confidentiality Access Control Fraud

Major Possible High

Firewall Internal

Availability Proses back-up data per 6 bulanHacker

Proses single sign-

on

Input data yang salah Pegawai yang tidak puas

Data Keuangan dan

Akuntansi

Departemen

Keuangan

Confidentiality Access Control Fraud

Catastrophic Likely High

Firewall Internal

IntegrityProses back-up data per 6 bulan

HackerProses single sign-

on

Availability Input data yang salah Pegawai yang tidak puas

Data Job OrderDepartemen

Operational

Confidentiality, Access Control Fraud

Major Likely High

Firewall Internal

Availability Proses back-up data per 6 bulan HackerProses single sign-

on

Integrity Input data yang salah Pegawai yang tidak puas

Infrastruktur IT Section

Integrity

Access Control Bencana alam

Catastrophic Likely High

user passwordKetersediaan listrik yang tidak

mencukupiNetwork Attack

AuthenticationHacker Firewall Internal

Availability Peletakan perangkat yang tidak

pada tempatnya

Pemutusan aliran listrikDisediakan genset

Monitoring• Perusahaan berencana melakukan proses monitoring dan audit internal setiap

6 bulan, tetapi hingga saat ini belum pernah dilaksanakan.

Mitigasi Risiko

Risiko

Kecenderungan

Rare Unlikely Moderate Likely Certain

Dampak

Catastrophic High High High High High

Major Moderate Moderate High High High

Moderate Low Moderate Moderate High High

Minor Low Low Moderate Moderate High

Insignificant Low Low Low Moderate Moderate

Proses mitigasi risiko, dilakukan dengan 3 cara :

• Avoidance/Ignore : Menghindari atau menghilangkan kondisi yang memungkinkan risiko

untuk hadir sama sekali, biasanya dilakukan untuk risiko yang berdampak sangat besar

terhadap aset perusahaan.

• Acceptance : Menerima risiko atau mengakui keberadaan risiko dan kemudian berusaha

untuk meminimalisir dampak yang terjadi terhadap aset perusahaan.

• Deflection/Transfer : Mentransfer risiko, secara sebagian ataupun keseluruhan kepada

entitas, organisasi atau individu yang lain.

Aset InformasiPenanggung

Jawab AsetRisiko

Kerawanan

terhadap Aset

(Vulnerabilities)

Ancaman

InherenKontrol yang

Ada

Residual

Strategi MitigasiDampak

Kecenderungan

Nilai Risiko

DasarDampak

Kecenderungan

Nilai Risiko

Akhir

1 2 3 4 5 6 7 8 9 10 11 13

Perangkat Server

IBCDivisi TI Availibility

Ketersediaan

listrik tidak

mencukupi,

Bencana Alam,

Major Possible High

Disediakan

genset

Moderate Unlikely Moderate

Pembuatan DRC

(Data Recovery

Center)

Jumlah UPS yang

terbatas

Pemutusan

aliran listrikAsuransi

Kerusakan pada

perangkat

Disediakan

perangkat

cadangan

Aplikasi IBC Divisi TI

Confidentiality Access Control Fraud

Major Possible High

Firewall

Internal

Moderate Unlikely Moderate

Melakukan

update service

pack

Availability

Code program

yang tidak

memenuhi

prinsip

keamanan

Hacker

Prosedur

keamanan

dalam coding

process

(security)

IntegritySystem yang

belum di-patchVirus

Proses single

sign-on

Pegawai yang

tidak puas

Data PelangganDivisi

Marketing

Confidentiality Access Control Fraud

Major Possible High

Firewall

Internal

Moderate Unlikely Moderate

Melakukan

proses back-up

(mirroring,

archiving) secara

teraturAvailability

Proses back-up

data per 6 bulanHacker

Proses single

sign-on

Input data yang

salah

Pegawai yang

tidak puas

Data Keuangan

dan Akuntansi

Divisi

Keuangan

Confidentiality Access Control Fraud

Catastrophic Likely High

Firewall

Internal

Moderate Unlikely Moderate

Melakukan

proses back-up

(mirroring,

archiving) secara

teratur

IntegrityProses back-up

data per 6 bulanHacker

Proses single

sign-on

AvailabilityInput data yang

salah

Pegawai yang

tidak puas

Data Job OrderDivisi

Operational

Confidentiality, Access Control Fraud

Major Likely High

Firewall

Internal

Moderate Unlikely Moderate

Melakukan

proses back-up

(mirroring,

archiving) secara

teratur

AvailabilityProses back-up

data per 6 bulanHacker

Proses single

sign-on

IntegrityInput data yang

salah

Pegawai yang

tidak puas

Infrastruktur Divisi TI

Integrity

Access Control Bencana alam

Catastrophic Likely High

user password

Moderate Unlikely Moderate

Pembuatan

Redudancy

perangkat

infrastruktur

Ketersediaan

listrik yang tidak

mencukupi

Koneksi hilang

Availability

Peletakan

perangkat yang

tidak pada

tempatnya

Network

Attack Disediakan

gensetHacker

Specific Trends (Current) & Future TrendsSpecific Trends (Current) & Future TrendsSpecific Trends (Current) & Future TrendsSpecific Trends (Current) & Future Trends

Specific Trends (Current)

• PT Silkargo belum memiliki departemen manajemen pengendalian risiko

• Penanganan terhadap risiko yang muncul pada layanan TI sepenuhnya menjadi

tanggung jawab IT Section perusahaan.

• Apabila terjadi gangguan terhadap layanan TI, maka staff TI akan melakukan kontrol

terhadap gangguan tersebut secara ad-hoc, sesuai dengan kontrol yang yang telah

ditetapkan.

• Namun apabila staff TI perusahaan tidak dapat menyelesaikan masalah / gangguan

tersebut, maka langkah yang dilakukan melakukan eskalasi kepada Divisi Corporate IT

dalam hal ini divisi TI PT Samudera Indonesia Tbk (Holding Co) ataupun kepada vendor

yang terkait.

Future Trends

• Membangun departemen manajemen pengendalian risiko untuk melakukan kegiatan

manajemen risiko dengan menggunakan framework berdasarkan ISO/IEC 27001.

• Melakukan beberapa prosedur yang sesuai dengan framework ISO/IEC 27001 yang

dilakukan sebagai dasar pelaksanaan manajemen risiko yang disesuaikan dengan kondisi

serta proses bisnis yang ada di PT Silkargo Indonesia.

• Perlunya dibangun BCP (Business Continuity Plan) serta DRP (Disaster Recovery Plan)

pada perusahaan.

No Lingkup Prosedur yang dapat dilakukan oleh perusahaan

1. Security Policy Membuat kebijakan mengenai information security berdasarkan proses bisnis yang dikaitkan dengan aset pada pihak

internal dan pihak eksternal perusahaan.

2. Organization of Information Secuity Adanya komitmen dari pihak manajemen, pegawai serta pihak ketiga untuk menerapkan manajemen risiko baik aset fisik

maupun aset informasi.

3. Asset Management Melakukan pendataan seluruh aset di semua divisi/unit di perusahaan yang terkait dengan proses bisnis.

4. Human Resource Security Melakukan pelatihan terhadap kesadaran keamanan TI, screening terhadap karyawan baru, pemberian pembatasan hak

akses pegawai, memberikan peran dan tanggung jawab yang jelas kepada masing-masing individu terhadap keamanan

TI.

5. Physical dan Enviroment Security Melakukan pengamanan terhadap asset-aset fisik terutama yang terkait dengan aset fisik jaringan / infrastruktur

telekomunikasi, perancangan gedung fisik untuk datacenter yang disesuaikan dengan kondisi geografis yang ada.

6. Communication and Operations Melakukan monitoring terhadap keamanan proses bisnis yang terjadi, melakukan pengawasan terhadap kinerja IT,

membuat cadangan (back-up) serta enkripsi terhadap aset yang dianggap penting.

7. Access Control Melakukan pembatasan hak akses pada sistem serta pengamanan yang terhadap akses suatu lokasi.

8. Information System Aquition,

Development and Maintenance

Melakukan assurance terhadap aplikasi dan sistem baru, atau pada aplikasi dan sistem yang mengalami perubahan baik

dari sistem dan aplikasi dari pihak internal dan pihak eksternal.

9. Information Security Incident

Management

Melakukan pelaporan setiap terjadi insiden secara rutin dan melakukan rapat secara rutin

10. Business Continuity Melakukan kesiapan terhadap pusat data(datacenter) serta aset fisik yang berhubungan dengan jaringan/infrastruktur

apabila terjadi insiden

11. Complience Memastikan seluruh level dari manajemen patuh kepada pelaksanaan manajemen risiko TI yang ada serta memastikan

proses bisnis yang berhubungan dengan pihak-pihak ketiga terlaksana sesuai dengan peraturan dan perundangan yang

ada.

Future TrendsFuture TrendsFuture TrendsFuture Trends

Simpulan

• Manajemen pengendalian risiko keamanan informasi diperlukan oleh perusahaanuntuk melindungi jaringan maupun aset informasi yang ada pada perusahaanberdasarkan kebutuhan bisnis.

• Ruang lingkup manajemen risiko keamanan informasi meliputi people, process dantechnology yang ada didalam perusahaan. Serta berprinsip pada confidentiality,

integrity dan availability.

• Dukungan serta komitmen dari manajemen, seluruh staff TI, serta awareness dankerja sama dari seluruh pihak yang ada didalam perusahaan menjadi faktorpenting dalam terciptanya manajemen pengendalian risiko yang tepat dan handal.

Saran

• Perlunya diterapkan manajemen pengendalian risiko terhadap pengamanan informasi di PT Silkargo Indonesia dengan mengadopsi standard compliancy

ISMS/ISO 27001.

• Proses manajemen pengendalian risiko dapat mengikuti setiap tahapan dalam ISO tersebut, mulai dari risk assessment, risk mitigation strategy hingga prosedur dan kebijakan dalam mekanisme pelaksanaan manajemen resiko di setiap lapisan perusahaan.

• Dukungan manajemen dan kebijakan yang dibangun bersama-sama menjadi faktor penting dalam terciptanya lingkungan dan suasana kerja yang aman dan teratur (sadar pengamanan informasi), mencegah kebocoran informasi dan meningkatkan kepercayaan antar karyawan dan stakeholder.

Simpulan Simpulan Simpulan Simpulan dandandandan SaranSaranSaranSaran