BAB 4

MANAJEMEN RISIKO SISTEM INFORMASI

4.1 Latar Belakang Pembahasan

Untuk mengumpulkan data-data yang berhubungan dengan manajemen risiko

sistem informasi.Wawancara dilakukan langsung kepada Manajer IT dan karyawan pada

bagian sistem development PT Mandala Multifinance Tbk. Pendekatan yang dibahas

pada Bab 2 sebelumnyamenggunakan pendekatan OCTAVE-S yang terdiri dari 3 tahap,

yaitu:

1. Membangun aset berbasis profile ancaman (Built asset-based Threat

Profiles) yang terdiri dari 2 proses, 6 aktifitas dan 16 langkah dimana proses

pertamanya yaitu mengidentifikasi informasi organisasi (identify

organizational information) yang memiliki 3 aktifitas yaitu membangun dari

kriteria evaluasi (Establish Impact Evaluation Criteria), mengidentifikasi

asset organisasi (Identify Organizational Assets), dan mengevaluasi praktek

keamanan organisasi (Evaluate Organizational Security Practices) serta 4

langkah dan proses ke-duanya, membuat profil ancaman (Create threat

profiles) yang memiliki 3 aktifitas yaitu memilih aset kritis (Select Critical

Assets), identifikasi kebutuhan keamanan untuk aset kritis (Identify Security

Requirements for Critical Assets) dan identifikasi ancaman pada aset kritis

(Identify Threats to Critical Assets) serta 12 langkah.

2. Mengidentifikasi kerentanan infrastruktur (Identify Infrastructure

Vulnerabilities) yang terdiri dari 1 proses, 2 aktifitas dan 5 langkah,

prosesnya yaitu memeriksa perhitungan infrastruktur yang berhubungan

dengan aset kritis (Examine Computing Infrastructure in Relation to Critical

Assets) dan memiliki 2 aktifitas yaitu memeriksa jalur akses (Examine

Access Paths) dan menganalisa proses yang terkait dengan teknologi

(Analyze Technology-Related Processes) serta 5 langkah.

3. Mengembangkan strategi keamanan dan perencanaan (Develop Security

Strategy and Plans) yang terdiri dari 2 proses, 8 aktifitas dan 9 langkah

dimana proses pertamanya yaitu identifikasi dan analisis risiko (Identify

and Analyze Risks) yang terdiri dari 3 aktifitas yaitu mengevaluasi dampak

ancaman (Evaluate Impacts of Threats), membangun kemungkinan kriteria

evaluasi (Establish Probability Evaluation Criteria) dan mengevaluasi

kemungkinan ancaman (Evaluate Probabilities of Threats) serta 3 langkah

dan proses ke-duanya yaitu mengembangkan strategi perlindungan dan

rencana mitigasi (Develop Protection Strategy and Mitigation Plans dan

memiliki 5 aktifitas yaitu menggambar kan strategi perlindungan saat ini

(Describe Current Protection Strategy), Memilih pendekatan mitigasi (Select

Mitigation Approaches), mengembang-kan rencana mitigasi risiko (Develop

Risk Mitigation Plans), identifikasi perubahan untuk strategi perlindungan

(Identify Changes to Protection Strategy) dan Identifikasi langkah

selanjutnya (Identify Next Steps) serta 6 langkah.

Dengan metode OCTAVE-S yang terdiri dari 3 fase, 5 proses, 16 aktifitas dan 30

langkah tersebut diharapkantujuan penelitian terjawab, dan membantu dalam penilaian

dan pengukuran risiko penggunaan teknologi informasi, serta mendukung tercapai nya

visi danmisi perusahaan.

4.2 Fase 1 Membangun aset berbasis profil ancam

Proses 1 Identifikasi Informasi Perusahaan

1.2.1 Kriteria Evaluasi Dampak(Langkah 1)

PT Mandala Multifinance Tbk saat ini mempunyai kategori reputasi yang

baik, terbukti pada tahun 2011 pendapatan usaha meningkat 37% dibandingkan

dengan pendapatan usaha pada tahun 2010, Pertumbuhan ekonomi Indonesia di

tahun 2011semakin membaik dengan didukung oleh beberapaindikator ekonomi

yang menunjukkan peningkatansignifikan. Secara keseluruhan kondisi

makroekonomi berada dalam keadaan yang positifdan stabil di sepanjang

tahun.Hal ini membawadampak baik terhadap pertumbuhan Perusahaanyang

secara keseluruhan menunjukkan peningkatancukup baik dengan pencapaian laba

bersihmeningkat 36%.Meski begitu Perusahaan tetapmemperhatikan faktor risiko

global dan domestic dalam menjalankan strategi usahanya.

1.2.2 Aset Sistem Development(Langkah 2)

PT Mandala Multifinance Tbk mempunyai aset aset yang penting dalam

sistem development berupa spesifikasi program, source code program, dan

Standard Operating Procedure(SOP) development. Spesifikasi program berisi

tentang rancanganprogram yang akan dibuat dalam proses pengembangan sistem

dalam perusahaan dengan cara memahami dan menyeleksi keadaan dan proses

yang dilakukan pengguna untuk dapat mendukung kebutuhan pengguna. Sumber

data awal dari pengguna yang dijadikan acuan dalam perencanaan, analisa,

perancangan dan implementasi.Penggunaan acuan ini dimaksudkan agar sistem

yang dibangun bisa menjembatani kebutuhan pengguna dari permasalahan yang

dihadapinya.Source code berisi tentangkumpulan kode bahasa pemrograman

tertentu yang membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh

komputer dan untuk menjalankan source code tersebut membutuhkan sebuah

penterjemah dalam hal ini adalah software tertentu.SOP atau Standard Operating

Procedure berisikan tentang sistem atau prosedur yang disusun untuk

memudahkan,merapihkan dan menertibkan pekerjaan. Sistem ini berisi urutan

prosesmelakukan pekerjaan dari awal sampai akhir. Perusahaan membuat SOP

agar para karyawan dapat memahami dan melakukan tugasnya sesuai standar

yang digariskan perusahaan.

4.2.3 Evaluasi Praktek Keamanan Organisasi(Langkah 3-4)

1. Kesadaran Keamanan dan Pelatihan

Kesadaran keamanan dan pelatihan di PT.Mandala Multifinance Tbk

tergolong kurang baik. Karyawan tidak mempunyai kesadaran keamanan

yang baik untuk dilakukan saat praktek langsung, serta pelatihan hanya

diberikan pada saat penerimaan karyawan baru.

2. Strategi Keamanan

Perusahaan memiliki strategi keamanan dan kebijakan dengan

mempertimbangkan tujuan perusahaan dan keamanan informasi dalam

menjalani proses bisnis. Strategi dan tujuan keamanan perusahaan telah

mengalami pengkajian secara rutin dan didokumentasikan dengan baik oleh

perusahaan.

3. Manajemen Keamanan

PT.Mandala Multifinance Tbk telah menjelaskan peran keamanan bagi

karyawan-karyawannya, agar setiap karyawan mengerti dan memahami apa

arti peran dan tanggung jawab yang akan diberikan kepada tiap-tiap individu.

Dalam pengelolaannya, PT.Mandala MultiFinance Tbk telah melakukan

alokasi dana yang cukup besar untuk praktik keamanan di perusahaan,

sehingga tingkat keamanan pada perusahaan bisa terbilang cukup aman.

4. Peraturan dan Kebijakan Keamanan

PT Mandala Multifinance Tbk sudah memperhatikan keamanan informasi

terhadap peraturan dan kebijakan keamanan. Peraturan dan kebijakan

keamanan yang sudah ada sudah terdokumentasi dengan baik.

5. Manajemen Keamanan dan Kolaborasi

PT.Mandala Multifinance Tbk sangat menjaga hubungan baik dengan

perusahaan lain karena perusahaan lain atau relasi merupakan aset perusahaan

yang sangat berharga untuk menjaganya, perusahaan membuat berbagai

kebijakan-kebijakan dan prosedur-prosedur untuk bekerja sama dengan

perusahaan lain.

6. Rencana contigency

Pada tahap contigency PT Mandala Multifinance Tbk sudah melakukan

perencanaan bila terjadi bencana alam dan pemulihan dari bencana alam.

Serta rencana kontinuitas bisnis perusahaan sudah terkontrol dengan baik

dengan banyaknya cabang yang ada diseluruh indonesia perusahaan sudah

mempertimbangkan dengan baik kebutuhan akses serta elektronik. Kesadaran

dan pemahaman karyawan akan kemungkinan rencana pemulihan bencana

cukup baik dikarenakan karyawan sudah diberikan pelatihan pada saat dini

atau pada saat mereka sebelum menjadi karyawan PT Mandala Multifinance

Tbk, yang membuat mereka sadar akan tanggung jawab mereka dalam

menghadapi kemungkinan pemulihan bencana.

7. Kontrol Akses Fisik

PT Mandala Multifinance Tbksudah mempunyai prosedur dan kebijakan

dalam menjaga akses fisik.Mengendalikan akses fisik serta menjaga informasi

yang sensitif agar tidak dapat diakses oleh pihak yang tidak

berwenang.Adanya pembatasan terhadap pengguna yang dapat mengakses

ruang server (terbatas hanya oleh orang-orang yang berkepentingan langsung).

8. Pemantauan dan audit keamanan fisik

Pemantauan dan audit untuk keamanan fisik pada PT Mandala

Multifinance Tbk sudah cukup baik dilakukan. Pemantauan dan audit yang

dilakukan untuk keamanan fisik sudah baik dilakukan. Dalam pengotrolan

akses fisik, karyawan ikut berpartisipasi dalam mengontrol akses

fisik.Perusahaan memiliki catatan pemeliharaan guna dokumentasi perbaikan

dan modifikasi dari komponen fisik fasilitas.Tindakan individu yang terkait

dikendalikan secara fisik dan dapat dipertanggungjawabkan.Setiap orang yang

hendak mendekati ruang server dipantau dan diawasi apakah ada akses yang

tidak sah didalamnya.Pemantau keamanan fisik sudah dapat diverifikasi oleh

perusahaan.

9. Manajemen dan Sistem Jaringan

Perusahaan sudah memiliki rencana keamanan untuk menjaga sistem dan

jaringan yang ada dalam perusahaan.Backup atas informasi yang sensitif

disimpan dengan baik.

Pihak TI melakukan revisi software dan patch terhadap sistem informasi

sesuai rekomendasi dari bagian keamanan. Karyawan cukup baik dalam

mengikuti prosedur dan kebijakan-kebijakan yang diterapkan dalam

perusahaan.

10. Pemantauan dan Audit Keamanan TI

Pada PT Mandala Multifinance Tbk sudah terdapat kebijakan keamanan

dari perusahaan, Pemantauan keamanan TI dilakukan secara rutin oleh

manager TI.

11. Pengesahan dan Otorisasi

Karyawan perusahaan memahami tanggung jawabnya dalam hal control

akses. Ada kebijakan dari perusahaan yang membatasi akses pengguna ke

informasi, sistem sensitif, aplikasi dan layanan tertentu.Terdapat juga

kebijakan dan prosedur terdokumentasi untuk mendirikan dan mengakhiri hak

akses atas informasi.

12. Manajemen Kerentanan

Pengelolaan kerentanan cukup baik dilakukan ini ditunjukkan dengan

adanya evaluasi untuk menjaga kerentanan dari semua ancaman yang terjadi

secara up to date.

13. Enkripsi

PT Mandala Multifinance sendiri melakukan enskripsi yang digunakan

untuk melindungi informasi sensitif selama dalam penyimpanan .Praktek ini

hanya dilakukan oleh bagian internal perusahaan tanpa melibatkan bagian

eksternal.

14. Perancangan dan arsitektur keamanan

Desain dan arsitektur keamanan perusahaan masih terus direvisi dengan

mempertimbangkan keamanan strategi, kebijakan, prosedur, dan hasil

penilaian risiko agar perkembangan perusahaan dapat berjalan dengan lebih

baik.Perusahaan tidak memiliki diagram up-to-date yang menunjukkan

keamanan arsitektur dari perusahaan.

15. Manajemen Insiden

Perusahaan memiliki prosedur resmi untuk mengidentifikasi, melaporkan,

dan menanggapi dugaan pelanggaran dan insiden .seluruh prosedur sudah

didokumentasikan dengan baik dan dilakukan pengevaluasian secara berkala

oleh divisi-divisi terkait.

Fase 1, Proses 2: Membuat Profil Ancaman

4.3 Profil Ancaman

4.3.1 Aset Kritis(Langkah 5-9)

Penilaian utama dalam aset-aset perusahaan adalah dampak yang

diberikan aset dalam perusahaan.Berdasarkan wawancara yang dilakukan kepada

manager IT yang dilakukan di kantor pusat PT Mandala Multifinance Tbk. Dalam

PT Mandala Multifinance Tbk yang menjadi aset kritis yaitu :

1. Source Code Program

Berisi tentang kumpulan kode bahasa pemrograman tertentu yang

membentuk sebuah deklarasi atau perintah yang dapat dibaca oleh

komputer dan untuk menjalankan source code tersebut membutuhkan

sebuah penterjemah dalam hal ini adalah software tertentu.

2. SOP Development

Berisikan tentang sistem atau prosedur yang disusun untuk

memudahkan, merapihkan dan menertibkan pekerjaan. Sistem ini berisi

urutan proses melakukan pekerjaan dari awal sampai akhir. Perusahaan

membuat SOP agar para karyawan dapat memahami dan melakukan

tugasnya sesuai standar yang digariskan perusahaan.

4.3.2 Kebutuhan Keamanan untuk Aset Kritikal

(Langkah 10-11)

Berdasarkan hasil wawancara dengan manager IT ,Kebutuhan

keamanan untuk keseluruhan aset perusahaanyaitu kerahasian informasi,

integritas data, ketersediaan informasi, dan pengevaluasian secara

menyeluruh. Bagi PT.Mandala Multifinance kebutuhan keamanan yang

paling penting adalah ketersediaan informasi, karena tanpa ketersediaan

informasi yang baik, maka proses bisnis perusahaan tidak dapat berjalan

dengan baik.

4.3.3 Ancaman Terhadap Aset Kritis(Langkah 12-16)

Terjadinya ancaman terhadap aset kritis dalam perusahaan tidak

dapat diabaikan begitu saja. Kemungkinan ancaman yang dapat terjadi

terhadap aset kritis bisa terjadi melalui 2 faktor yaitu faktor internal dan

eksternal.Bagian internal biasanya berasal dari karyawan sendiri yang

menyalahgunakan kewenangan yang diberikan oleh perusahaan.Bila

bagian eksternal ada orang yang sengaja mau menghancurkan atau

memodifikasi aset kritis yang ada pada perusahaan.Tujuan mereka

melakukan tindakan tersebut biasanya dilakukan untuk mengganggu

kinerja dari perusahaan sendiri.

Ancaman yang dapat terjadi pada akses jaringan perusahaan

biasanya terjadi kesalahan penginputan data ke dalam sistem atau human

error dan virus.Ancaman untuk virus tidak terlalu bermasalah dalam

perusahaan karena perusahaan mengupdate secara rutin anti virus yang

dipunya serta perusahaan menggunakan operating sistem linux agar tidak

mudahnya virus masuk ke dalam jaringan.

Untuk ancaman berupa bencana alam sendiri perusahaan tidak

dapat menghindari dari ancaman tersebut, ancaman tersebut menimbulkan

kerugian finansial bagi perusahaan karena perusahaan harus menggantinya

apabila terjadi kehilangan atau kerusakan

Fase 2,Proses 3:Memeriksa perhitungan infrastruktur yang berhubungan dengan

aset kritis

4.4 Infrastruktur yang berhubungan dengan Aset Kritis

4.4.1 Jalur Aset(Langkah 17-18)

Jalur aset berkaitan langsung dengan sistem dengan database.

Database sendiri perusahaan menggunakan Oracle.dan menggunkan

operating sistem linux.

1.4.2 Keterkaitan Tekhnologi(Langkah 19-21)

Komponen penting yang terkait dengan sistem penting perusahaan

terdiri dari server, laptop, internal server, on-site workstation, dan storage

device.Yang bertanggung jawab untuk menjaga dan mengkonfigurasi

server, laptop, internal server, on-site workstation, dan storage device

adalah divisi IT PT. Mandala Multifinance Tbk.

Fase 3,Proses 4: Identifikasi dan Analisis Resiko

4.5 Hasil Indentifikasi dan Analisa Risiko

4.5.1 Hasil Evaluasi dan dampak ancaman(Langkah 22)

1.Dampak ancaman pada aset kritikal(SOP) melalui akses jaringan Oleh

pihak dalam perusahaan yang tidak di sengaja .

A. Dampak ancaman Reputasi bernilai Medium untuk semua

hasil ancaman karena reputasi perusahaan cukup baik , serta

sedikit nya pengurangan pelanggan arena kehilangan

percayaan. Perusahaan memiliki reputasi yang baik.

B. Dampak terhadap Finance bernilai Medium untuk semua

hasil ancaman. Secara keuangan dinilai medium dikarenakan

biaya Operasional yang digunakan perusahaan tidak meningkat

melebihi 15% dari setiap tahun nya ,serta perusahaan

kehilangan pendapatan pertahun tidak lebih dari 20 %

C. Dampak terhadap Produktifitas bernilai Low untuk

penyingkapan dan bernilai medium modifikasi, penghancuran

dan interupsi. Jam kerja karyawan meningkat hanya lebih

kecil dari 10%-20% waktu produktivitas dikarenakan harus

bekerja sesuai dengan yang ditetapkan.

D. Dampak terhadap Denda bernilai Low untuk penyingkapan dan

interupsi,dan bernilai Medium untuk modifikasi dan

penghancuran. Dampak terhadap denda dinilai kurang dari Rp

100.000.000,- dan penuntutan perkara serius kurang dari Rp

200.000.000,- digolongkan kategori low.

E. Dampak terhadap Kesehatan bernilai Low untuk semua hasil

ancaman. Tidak adanya ancaman kehilangan yang signifikan

pada kehidupan, kesehatan pelanggan atau karyawan organisasi

dapat ditanggulangi dengan baik

4.5.2 Kriteria Kemungkinan

Frekuensi terjadinya ancaman pada perusahaan ini masih tergolong

sedang karena ancaman yang terjadi masih dibawah empat kali dalam

setahun.Sejauh ini ancaman yang terjadi pada perusahaan masih dapat

diatasi karena perusahaan melalukan evaluasi secara berkala.

4.5.3 Peluang dari Ancaman (Langkah 24)

A. Peluang terjadinya ancaman yang secara tidak di sengaja disebabkan

oleh pihak dalam perusahaan melalui akses jaringan.

Untuk ancaman terjadinya penyingkapan berpeluang sedang dengan

tingkat keyakinan sedang terhadap perkiraan kemungkinan yang ada.

Peluang terjadinya modifikasi bernilai rendah dengan tingkat

keyakinan kecil, peluang terjadinya penghancuran dan interupsi sama-

sama bernilai rendah dengan tingkat keyakinan kecil.

B. Peluang terjadinya ancaman melalui akses jaringan dalam internal

perusahaan secara sengaja.

Ancaman terjadinya penyingkapan dan modifikasi berpeluang sedang

dengan tingkat keyakinan kecil, sedangkan untuk ancaman

penghancuran dan interupsi berpeluang sedang dengan tingkat

keyakinan kecil.

C. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal

perusahaan secara tidak sengaja.

Peluang terjadinya penyingkapan, modifikasi, penghancuran dan

interupsi bernilai rendah dengan tingkat keyakinan rendah untuk

semua ancaman.

D. Peluang terjadinya ancaman melalui akses jaringan dalam eksternal

perusahaan secara sengaja.

Terjadinya ancaman penyingkapan, modifikasi, penghancuran, dan

interupsi berpeluang kecil dengan keyakinan kecil untuk semua

ancaman.

Proses 5 Mengembangkan Strategi Perlindungan dan Rencana Mitigasi

4.6 Strategi Perlindungan dan Rencana Mitigasi

4.6.1 Strategi Perlindungan(Langkah 25)

Berdasarkan kertas kerja profil risiko yang terdapat pada lampiran terdapat

beberapa area memiliki stoplightstatus merah. Pada PT Mandala Multifinance Tbk

memiliki praktik keamanan yang berstatus merah, yaitu:

1. Kesadaran keamanan dan pelatihan

Saat ini perusahaan sudah mempunyai strategi pelatihan yang

diberikan secara tidak formal dan tidak didokumentasikan. Pelatihan

kesadaran keamanan hanya diberikan untuk anggota karyawan baru

sebagai bagian dari orientasi mereka dan selanjutnya karyawan belajar

tentang masalah keamanan dengan sendirinya. Disamping itu, perusahaan

tidak memiliki mekanisme untuk menyediakan anggota karyawan dengan

pembaruan berkala tentang masalah keamanan.

4.6.2 Pendekatan Mitigasi(Langkah26-27)

Berdasarkan kertas kerja profil risiko yang terdapat pada hasil

wawancara.Diketahui bahwa stoplight pada area kesadaran dan keamanan

pelatihan berwarna merah. Perusahaan memutuskan area ini berwarna

merah.

4.6.3 Rencana Mitigasi Risiko(Langkah 28)

Berdasarkan pengisian lampiran diketahui area yang perlu

dimitigasi oleh perusahaan. Rencana mitigasi risiko yang harus dibuat

untuk setiap praktek keamanan :

1. Menyediakan pelatihan kesadaran keamanan pada seluruh

karyawan perusahaan. Dimaksudkan agar dapat membantu

perusahaan dalam meminimalkan risiko yang akan terjadi.

Agar lebih efektif diperlukan pelatihan kesadaran keamanan

secara berkala agar penerapaan keamanan akan lebih berfungsi

secara baik.

2. Menyediakan pelatihan pendukung TI secara periodik pada

karyawan TI karena perangkat TI selalu berkembang dan perlu

adanya pelatihan dalam karyawan TI agar penerapan dalam

organisasi lebih baik.

4.6.4 Perubahan Strategi Perlindungan(Langkah 29)

Bagian ini menjelaskan mengenai aktivitas mitigasi yang

direkomendasikan tim analisis untuk setiap bidang praktik keamanan yang

telah dibahas yaitu: Kesadaran Keamanan dan Pelatihan Perubahan

strategi perlindungan yang ingin dilakukan perusahaan dalam area ini

adalah:

A. Melakukan sistem pembaruan keamanan secara periodik agar

keamanan data perusahaan dapat terus diawasi dengan baik.

B. Memberikan kesempatan bagi karyawan teknologi informasi

untuk mengikuti pelatihan yang terkait keamanan yang didukung

teknologi secara periodik sehingga karyawan lebih handal dalam

menjalankan keamanan yang disesuaikan dengan kemajuan

teknologi.

4.6.5 Identifikasi Langkah Selanjutnya(Langkah 30)

Dalam pengimplementasi hasil dari evaluasi dan sikap keamanan,

ada beberapa hal yang menjadi pertimbangan perusahaan, antara

lain:

1. Manajemen harus mengutamakan keamanan informasi

dalam strategi bisnis perusahaan dalam mendukung

pelaksanaan hasil dari OCTAVE-S.

2. Menerapkan kegiatan keamanan informasi dengan baik

pada karyawan perusahaan.

3. Merencanakan proses mitigiasi yang matang

4. Jika kegiatan mitigasi yang ada sekarang belum

diterapkan secara menyeluruh, maka perusahaan tidak akan

melakukan evaluasi penambahan aset-aset penting.

Ancaman Pengendalian Manajemen Resiko Resiko

Perencana

an

Implement

asi

Evaluasi Besaran

Resiko

Tidak

Lanjut

Petir Pengendalian jangka

pendek : mematikan

Direncakan

setiap

Akan

dilaksanaka

Dievaluasi

setiap 3

Menggang

u 25% dari

Mematikan

sebagian alat

beberapa komputer atau

alat eletronik yang tidak

berguna.

Pengendalian jangka

panjang :

Memasang alat anti petir

di atas bangunaan

perusahaan.

terjadinya

petir yang

sering kali

menyambar

, setiap

karyawan

dapat

mematikan

alat

eletronik

yang tidak

dipakai.

Alat anti

petir

direncakan

akan di

pasang

sejumlah 4

buah,

diletakan

disetiap sisi

bangunaan

perusahaan

.

n disetiap

bagian

divisi

perusahaan

.

Alat anti

petir akan

dipantau

secara terus

menerus

oleh

petugas

pengelola

gedung.

bulan sekali

secara

berkala

Alat anti

petir ini akan

dievaluasi

setiap 6

bulan sekali

secara

berkala oleh

petugas

pengelola

gedung

perusahaan.

kegiatan

perusahaan

.

yang

mungkin

tergangu

akibat dari

petir.

Banjir

Kebakaran

- pelatihan penyelamatan

diri dari bencana Banjir.

-Membangun tangga

darurat.

- Menempelkan denah

bangunan perusahaan dan

tata cara penyelamatan

diri.

- Menyediakan alat

Dilakukan

diperusaha

an dan di

ikuti oleh

semua staff

perusahaan

Akan

dibangun

disetiap

lantai

bangunan

perusahaan

.

Direncanak

an akan

ditempel

disetiap

lantai dan

ruangan

perusahaa

Akan

Dilaksanak

an setiap 1

tahun

sekali

secara

berkala.

Setiap

lantai

perusahaan

dibangun

tangga

darurat

untuk

penyelamat

an diri saat

gempa

terjadi.

ditempel

disetiap

lantai dan

ruangan

perusahaan

.

Setiap

Akan

dievaluasi

secara 1

tahun sekali

secara

berkala.

Tangga

darurat

bangunaan

akan di

evaluasi

setiap 6

bulan sekali

secara

berkala.

Akan di

evaluasi

setiap 3

bulan sekali

secara

bekala

Akan

Akan

menggang

u aktivitas

perusahaan

sebanyak

40%.

Akan

Bekerja sama

dengan pihak

ketiga seperti

pemadam

kebakaran

ataupun

pihak yang

berwajib atau

kepolisian.

Bekerja sama

pemadan kebakaran diberikan

alat

pemadam

kebakaran

di setiap

lantai

perusahaan

lantai

perusahaan

diberikan

alat

pemadam

kebakaran

dievaluasi

setiap 6

bulan sekali

secara

berkala.

menggang

u aktivitas

perusahaan

sebanyak

70%.

dengan pihak

ketiga seperti

pemadam

kebakaran

ataupun

pihak yang

berwajib atau

kepolisian.

Tabel Ancaman Resiko

Tabel 4.1

Seberapa Efektif Perusahaan mengimplementasikanpelatihan di area ini ?

Red Yellow Green

1. Kesadaran Keamanan dan Pelatihan X

2. Strategi Keamanan X

3. Manajemen keamanan X

4. Kebijakan Keamanan dan Peraturan X

5. Manajemen Keamanan Kolaboratif X

6. Perencanaan Contingency X

7. Pengendalian Akses Fisik X

8. Pemantauan dan Audit Keamanan Fisik X

9. Sistemdan Manajemen Jaringan X

10.Pemantauan dan Audit Keamanan TI X

11.Pengesahan dan Otorisasi X

12.Manajemen Kerentanan X

13.Enkripsi X

14.Desain dan Arsitektur Keamanan X

15.Manajemen Insiden X

Tabel Manajemen Resiko

Tabel 4.2