Flipbook Skripsi_Lusi Rahmi_11170930000036

Lampiran 4. Surat Izin Penelitian
158

LAMPIRAN B

Daftar Wawancara

Judul Penelitian:
Analisis Manajemen Risiko Keamanan Sistem Informasi Kepegawaian (SIMPEG)
Menggunakan Metode Failure mode and Effects Analysis (FMEA) dan Mitigasi
Menggunakan Standar ISO/IEC 27002:2013. (Studi Kasus: Badan Kepegawaian dan
Pengembangan Sumber Daya Manusia Kabupaten Dharmasraya)

Oleh: Lusi Rahmi
(Jurusan Sistem Informasi, Fakultas Sains dan Teknologi, Universitas Islam Negeri
Syarif Hidayatullah Jakarta)

Profil Informan 1
Nama Informan: Afid
Jabatan: Sekretaris BKPSDM
Nama Instansi: Badan Kepegawaian dan Pengembangan Sumber Daya Manusia
Waktu dan Tanggal Interview: 19 Agustus 2021
Lama Kerja: 3 Tahun

Profil Informan2
Nama Informan: Nani
Jabatan: Operasional Sistem Informasi Kepegawaian (SIMPEG)
Nama Instansi: Badan Kepegawaian dan Pengembangan Sumber Daya Manusia
Waktu dan Tanggal Interview: 19 Agustus 2021
Lama Kerja: 3 Tahun

Profil Informan3:
Nama Informan: Roni
Jabatan: Pengelola Server Sistem Informasi Kepegawaian (SIMPEG)
Nama Instansi: Badan Kepegawaian dan Pengembangan Sumber Daya Manusia
Waktu dan Tanggal Interview: 19 Agustus 2021
Lama Kerja: 4 Tahun

Objektif 1. Identifikasi Perusahaan dan Proses Bisnis
1. Sekilas tentang BKPSDM
Jawab: Berupa file
2. Visi dan Misi BKPSDM
Jawab: Berupa file
3. Struktur Organisasi BKPSDM
Jawab: Berupa file
4. Sekilas tentang Sistem Informasi Kepegawaian (SIMPEG)?

159

Jawab: Ada di Buku Petunjuk Manual Aplikasi SIMPEG
5. Bagaimana proses bisnis yang ada pada bidang ini?

Jawab: Ada di Buku Petunjuk Manual Aplikasi SIMPEG

Objektif 2. Aset Teknologi Informasi
1. Apa saja aset yang mendukung berjalannya sistem informasi yang ada
pada bidang ini?
Jawab: Ada di Buku Petunjuk Manual Aplikasi SIMPEG
2. Bagaimana proses implementasi sistem informasi yang ada pada bidang
ini?
Jawab: Aplikasi SIMPEG hanya bisa dikelola oleh penanggung jawab
aplikasi/admin
3. Apakah ada prosedur yang memberikan penjelasan mengenai
implementasi sistem informasi?
Jawab: Ada di Buku Petunjuk Manual Aplikasi SIMPEG
4. Siapa saja yang memiliki wewenang dalam menggunakan sistem
informasi?
Jawab: Admin
5. Seberapa pentingkah data ataupun informasi yang terdapat pada sistem
ini?
Jawab: Sangat penting
6. Apakah sudah pernah dilakukan identifikasi ancaman yang mungkin
terjadi?
Jawab: Belum pernah
7. Apakah ada kendala selama penggunaan teknologi informasi dalam proses
bisnis?
Jawab: karena SIMPEG sudah dibuat sejak tahun 2013 dan belum pernah
dikembangkan sampai sekarang, dan juga masih menggunakan java dan php
versi lama, jadi apabila dimungkinkan untuk mengintegrasi sistem
menggunakan database SIMPEG, akan memiliki kesulitan untuk proses
integrasinya.
8. Jika terjadi permasalahan dalam menggunakan sistem informasi, siapakah
yang memiliki tanggung jawab terkait permasalahan tersebut?
Jawab: Badan Kepegawaian dan Pengembangan Sumber Daya Manusia
(BKPSDM) Kabupaten Dharmasraya
9. Bagaimana kerugian finansial yang didapatkan jika terjadi risiko teknologi
informasi?
Jawab: karena sistem dapat diakses secara online, jadi kerugian finansial
didapatkan dari kerusakan server dan bisaanya tergantung pada server apa yang
rusak

Objektif 3. Mengidentifikasi Kebutuhan Keamanan Aset
1. Teknologi informasi apa saja yang digunakan untuk melakukan proteksi
pada keamanan aset sistem informasi yang digunakan?

160

Jawab: Antivirus
2. Apakah ada prosedur/aturan tata cara yang telah ditetapkan mengenai

proteksi keamanan aset sistem informasi yang digunakan?
Jawab: Belum ada
3. Apakah telah diterapkan penjadwalan untuk melakukan pemeriksaan
pada keamanan?
Jawab: Setiap 2 atau 3 bulan BKPSDM memeriksa aplikasi dan Sistem Operasi
di Server secara langsung ke Ruang Server yang terletak di Dinas Komunikasi
dan Informatika.
4. Adakah pembatasan hak akses pengguna berkaitan dengan penjagaan aset
TI ?
Jawab: Sebagai sebuah sistem informasi berbasis web, SIMPEG sangat mudah
diakses oleh siapapun dan dimanapun secara data dan informasinya yang
tersedia. Namun hak akses terkait sistem operasi, perubahan data dan informasi
hanya dimiliki oleh BKPSDM dan tidak ada yang lain selain BKPSDM yang
bisa/ boleh merubah, menambah dan mengurangi informasi yang ada.
5. Apakah telah dibuat mitigasi ketika terjadi permasalahan pada keamanan
aset TI yang diterapkan?
Jawab: Mitigasi resiko terkait keamanan sistem/ aplikasi ada dibuat dengan
adanya backup database secara berkala, terkait hardware server sendiri belum
ada kegiatan atau persiapan terkait mitigasi resiko atau yang lainnya

Objektif 4. Identifikasi Ancaman Aset
1. Apakah pernah terjadi kegagalan atau pengalaman terjadinya risiko yang
disebabkan oleh ancaman?
Jawab: Pernah, terjadinya kerusakan software dan hardware yang disebabkan
oleh cuaca buruk sehingga mengakibatkan kerugian dan kehilangan data, selain
itu apabila terjadi pemadaman listrik maka sistem tidak dapat beroperasi dan
proses bisnis tidak dapat dijalankan
2. Apakah pernah dilakukan identifikasi mengenai ancaman yang mungkin
terjadi terhadap aset TI yang diterapkan?
Jawab: Belum pernah
3. Apakah telah dilakukan antisipasi pada ancaman yang mungkin terjadi
terhadap aset TI yang diterapkan?
Jawab: Untuk data yang tersimpan di SIMPEG akan dilakukan back up setiap
bulan
4. Bagaimana performa aset TI yang diterapkan jika akses jaringan tidak
berjalan dengan baik?
Jawab: Sistem tidak dapat beroperasi dan proses bisnis tidak dapat dijalankan
seperti biasanya
5. Apakah ada panduan bagi karyawan (pengguna) mengenai ancaman yang
mungkin terjadi pada penggunaan TI?
Jawab: Tidak ada panduan

161

6. Bagaimana persiapan mitigasi apabila terjadi bencana alam terkait aset TI
yang ada?
Jawab: Dilakukan back up data setiap akhir bulan

7. Apakah sistem informasi yang diterapkan dapat diakses dari luar?
Jawab: Bisa diakses dari luar tetapi untuk mengupdate data yang memiliki hak
akses hanya tim yang bertanggung jawab

8. Dampak apakah yang mungkin timbul jika ancaman-ancaman tersebut
benar-benar terjadi?
Jawab: Sistem tidak dapat diakses, tidak bisa melakukan update data, informasi
tidak dapat didapatkan.

Objektif 5. Identifikasi Keamanan yang sudah diterapkan
1. Praktik apa saja yang telah dilakukan dalam melakukan proteksi
keamanan aset TI?
Jawab: Tidak login dengan menggunakan sembarang perangkat dan apabila
terjadi tidak akan melakukan simpan password
2. Adakah panduan bagi karyawan terkait dengan penerapan praktek
keamanan aset TI?
Jawab: Tidak ada panduan
3. Bagaimana karyawan menyikapi dengan adanya penerapan keamanan
pada aset TI yang digunakan?
Jawab: Aman-aman saja
4. Adakah prosedur yang mengatur kebijakan keamanan yang digunakan?
Jawab: Tidak ada, karena pemimpin yang ada di BKPSDM selalu berganti dan
apabila ada orang baru tidak dijelaskan bagaimana cara kerja sistem, jadi apabila
ada yang menanyakan mengenai proses bisnis SIMPEG hanya berdasarkan
pengalaman penggunaan data SIMPEG dan tidak melakukan pengembangan
atau peremajaan SIMPEG
5. Apakah ada standard keamanan yang digunakan untuk melindungi aset
teknologi informasi? (ex. ISO 270001)
Jawab: Tidak ada

Objektif 6. Identifikasi Kelemahan Organisasi
1. Bagaimana kondisi ruangan yang terdapat aset teknologi informasi?
Jawab: Ruang server yang cukup memadai di Dinas Kominfo dengan
pengaturan suhu dan temperatur yang cukup.
2. Apakah terdapat tempat proteksi khusus pada tempat aset teknologi
informasi?
Jawab: Aset ditempatkan diruangan server dengan sistem pengamanan pintu
menggunakan akses finger print, di dalam ruang server aset juga di letakkan di
dalam rak server yang memadai dan memenuhi standar
3. Adakah kebijakan khusus dari instansi demi mengatur kondisi pada
ruangan terkait dengan keamanan atau hak akses?

162

Jawab: Akses ke ruangan server di Dinas Kominfo sangat terbatas pada
pengelola sistem dan jaringan di Dinas tersebut, BKPSDM pun harus
menginformasikan dan didampingi ketika membutuhkan akses ke dalam
ruangan server tersebut
4. Adakah sistem yang mampu mendeteksi masalah yang mungkin timbul
sebelum masalah tersebut terjadi?
Jawab: Tidak ada
5. Apakah seluruh sistem informasi terhubung dengan BKPSDM?
Bagaimana jika terjadi gangguan jaringan?
Jawab: seluruh sistem informasi dengan domain dharmasrayakab.co,id berada
dibawah DISKOMINFO dan apabila terjadi gangguan jaringan maka sistem
tidak dapat dioperasikan dan DISKOMINFO hanya sebagai penyedia layanan
jaringan bukan sebagai pengelola SIMPEG

Objektif 7. Identifikasi Kelemahan Infrastruktur
1. Apa saja komponen TI yang digunakan?
Jawab: Server HP Proliant
2. Apakah jaringan tersambung ke seluruh kantor cabang atau hanya ke
kantor pusat?
Jawab: Hanya ke kantor pusat
3. Apakah kantor BKPSDM telah memiliki genset jika terjadi pemadaman
listrik?
Jawab: Kantor BKPSDM belum memiliki genset sementara server
4. Bagaimanan langkah yang dilakukan jika terjadi gangguan pada jaringan?
Jawab: Penanggung jawab sistem akan menghubungi pihak DISKOMINFO
untuk meminta bantuan
5. Bagaimana kontrol terhadap aset-aset teknologi informasi yang ada?
Jawab: Untuk sistem selama bisa diakses maka tidak dilakukan kontrol
6. Bagaimana kondisi jaringan pada sistem informasi yang diterapkan?
Jawab: Selama domain yang digunakan selalu dibayar makan aman-aman saja,
jaringan server menggunakan internet dedicated ASTINET dari Telkom dengan
jaminan operabilitas sangat tinggi sehingga sangat jarang rusak.
7. Bagaimana jika terjadi gangguan pada jaringan atau terjadi pemadaman
listrik? Berapa lama waktu yang dibutuhkan untuk memulihkan kondisi?
Jawab: tergantung, apabila pemadaman listrik hanya terjadi di KOMINFO maka
bisa dihidupkan kembali, tetapi apabila pemadaman listrik langsung dari PLN
jika terjadi perbaikan maka sistem tidak dapat diakses dan proses bisnis tidak
berjalan.
8. Pernahkan terjadi gangguan pada server? Bagaimana tindakan cepat yang
dilakukan?
Jawab: Pernah terjadi yaitu saat hujan deras yang mengakibatkan atap ruangan
tempat penyimpanan server ambruk dan membasahi semua server, tindakan
yang dilakukan adalah menjemur server dan memakan waktu untuk recovery
selama kurang lebih satu bulan

163

9. Bagaimana kondisi penerangan pada ruangan, apakah telah sesuai dengan
prosedur?
Jawab: Ruangan server diberikan sistem penerangan yang cukup memadai

10. Bagaimana kondisi suhu ruangan apakah telah sesuai dengan penggunaan
aset TI sehingga tidak menimbulkan ancaman hardware TI menjadi
panas/terbakar?
Jawab: suhu ruangan server selalu terjaga dalam rentang 20-24 oC

Objektif 8. Mengembangkan Strategi dan Perencanaan Keamanan
1. Apakah pegawai mengikuti praktek proteksi keamanan yang berlaku di
organisasi?
Jawab: Belum ada praktek proteksi keamanan di organisasi
2. Bagaimana pegawai melakukan kontrol terhadap TI yang mereka
gunakan?
Jawab: Pegawai tidak melakukan control terhadap TI yang digunakan selama
tidak terjadi gangguan atau kerusakan
3. Adakah pegawai yang menyalahgunakan hak akses yng didapatkan?
Jawab: Sampai saat ini belum ada
4. Apakah kantor BKPSDM memiliki prosedur atau kebijakan terkait
pemetaan risiko aset-aset kritis?
Jawab: Tidak ada
5. Apakah terdapat identifikasi otorisasi terhadap aset informasi
perusahaan?
Jawab: Tidak ada
6. Adakah serangan dari pihak luar terkait pencurian informasi, pembobolan
sistem, ataupun penyerangan virus?
Jawab: Belum ada

Objektif 9. Pengukuran Risiko
1. Apakah terdapat standard pengukuran risiko?
Jawab: Tidak ada
2. Apakah terdapat prosedur dokumentasi otorisasi dan pengaawasan
karyawan dalam penyediaan informasi?
Jawab: Tidak ada
3. Apakah standard operasional sesuai dengan standard yang berlaku dengan
yang diterapkan oleh kantor BKPSDM?
Jawab: Tidak ada standard operasional yang diterapkan oleh kantor BKPSDM
dan sistem yang ada hanya SIMPEG dan website BKPSDM

Objektif 10. Strategi Proteksi
1. Apakah strategi bisnis instansi mempertimbangkan keamanan informasi?
Jawab: Tidak
2. Apakah strategi keamanan didokumentasikan dan ditinjau secara rutin?
Jawab: Untuk strategi keamanan sistem, data selalu di back up setiap akhir bulan

164

3. Apakah strategi keamanan diperbaharui secara berkala dalam instansi?
Jawab: Tidak

Objektif 11. Rencana Mitigasi Risiko
1. Apakah terdapat pendokumentasian terkait penanggulangan dan
pencegahan risiko?
Jawab: Berbentuk laporan dan telaah staf ke pimpinan
2. Bagaimana proses menanggapi pelanggaran keamanan?
Jawab: Belum ada
3. Bagaimana proses monitoring terhadap keamanan TI?
Jawab: Monitoring aplikasi secara langsung/ online dan pemeriksaan sistem
operasi berkala ke ruang server di DISKOMINFO
4. Apakah terdapat back up data yang berhubungan dengan operasional
instansi?
Jawab: Ada back up data yang dilakukan setiap bulan
5. Bagaimana proses pemantauan kerusakan sistem?
Jawab: Tidak ada pemantauan atau kontrol khusus terhadap sistem kecuali
terjadi error kemudian admin SIMPEG akan menghubungi bagian KOMINFO
untuk solusi kerusakan sistem

165

LAMPIRAN C

Kondisi Ruangan Server

166

LAMPIRAN D

Kuesioner

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

Proses Pengisian Kuesioner
182

LAMPIRAN E
183

184