Team 2 Presentation on Information System Quality Assurance and Control

1. TK1 – Team 2
Wawan Ari Anggara - 1322201656
Hendri Satria -1322201920
Mulianto - 1322202072

2. Resiko saat ini:
 Lisensi layanan keamanan internet (cyber) akan
berakhir
 Biaya layanan keamanan internet ini tidak
berhubungan dengan keuntungan usahanya.
 Keputusan penggunaan layanan keamanan ini
kemungkinan bisa berubah saat Jashopper akan IPO
beberapa tahun kedepan.
 Adanya kekawatiran pencurian data yang seperti yang
disampaikan oleh surat kabar Nikkei.
 IT team yang dimiliki tidak memiliki capabilitas yang
memadai, sehingga membutuhkan biaya dan waktu
untuk meningkatkan pengetahuan dan ketrampilannya.

3. Resiko masa depan:
 Biaya layanan keamanan internet makin naik
 Sekine lebih kawatir terhadap pencurian data
dari pihak internal
 Pengamanan terhadap data kartu kredit dari
para pelanggan Jashopper.
 Pengamanan informasi dari pihak luar sudah
dirasa cukup.
 Peningkatan pengamanan informasi dari
pihak internal.

4. No Langkah-langkah Kondisi saat ini Kemungkinan kejadian di
masa yang akan datang
1 Layanan
Monitoring and
Protection:
Menggunakan
layanan IPS
Saat ini belum
menggunakan
Layanan atau
sistem ini.
Dengan menggunakan layanan
IPS ini, maka kejadian pencurian
data di masa datang dapat
dicegah lebih dini.
2 Menggunakan
layanan sistem
Identifikasi dan
akses kontrol
Saat ini belum
menggunakan
layanan atau
sistem ini.
Dengan adanya ID Card yang
mencatat kegiatan yang
dilakukan oleh pemegangnya,
maka tingkat keamanan internal
dapat lebih meningkat. Apabila
ada kejadian, maka akan lebih
mudah untuk menelusurinya.

5. No Langkah-langkah Kondisi saat ini Kemungkinan kejadian di
masa yang akan datang
3 Peningkatan layanan
“Security Guard”
Saat ini sudah
menggunakan layanan
ini
Peningkatan security guard dapat
membantu melakukan pengecekan secara
fisik terhadap kemungkinan kejadian
pencurian
data yang tersimpan di media
penyimpanan fisik. Security Guard dapat
melakukan
interview dan pengecekan lebih detail.
4 Digital Certification
Service
Belum digunakan Adanya sertifikasi ini, maka pc/client yang
akses akan lebih aman dan terpercaya.
Sehingga tidak muncul hal-hal yang tidak
diinginkan.
5 Audit Belum dilakukan Layanan audit dapat membuat IT
Team lebih waspada akan adanya
penyusup, hacker, virus, dan lubang-
lubang keamanan yang muncul. Dan audit
ini harus dilaksanakan secara rutin.

6. Tujuan dari mengamankan sistem adalah
agar terjaganya integritas data dan
kerahasiaan data.

7.  Jasopper harus mempertimbangkan alternatif yang menyediakan
keamanan dan sesuai dengan kapasitasnya
 Jashopper adalah sebuah perusahaan kecil, oleh karena itu
Jashopper sebaiknya mempertimbangkan biaya alternative dari yang
terkecil
 Sebagai penyedia toko virtual online, Jashopper.com adalah sebagai
perantara antara penjual dan pelanggan. Informasi bersifat privasi
yang membutuhkan perlindungan terletak pada interaksi antara
pelanggan dan Jashopper.com, agar tetap mendapatkan
kepercayaan dari para pelanggan.
 Investasi keamanan harus dapat disesuaikan dengan kondisi bisnis
Jashopper, efektifitas, dan efisiensi tanpa membebani Jashopper
secara capital expenses dan bisnis proses. Kualitas keamanan
secara advance dan mempunyai tingkatan tinggi tidak akan menjadi
keharusan jika sistem keamanan tersebut tidak mempunyai nilai
tambah kepada core bisnis Jashopper

8. Solusi:
Berlangganan Advance housing service cocok dengan
karakterisktik dari organisasi Jashopper. Paket solusi Advance
housing service yang ditawarkan Secom tersebut adalah sebuah all-in-
one paket yang menawarkan keamanan dari sisi physical dan
cyber. Paket tersebut akan meningkatkan sistem dengan dapat
mengurangi jumlah hacker dan ancaman terhadap virus-virus
(Penerapan IDS yang sudah termasuk didalam paket Advance housing
service). Kemudian selain itu, Advance housing service juga
menawarkan lingkungan struktur data center anti-gempa serta
menawarkan redundancy kepada jaringan. Jika dibandingkan
dengan biaya dan penawaran proposal lainnya, Advance house
service adalah yang termurah, yang sesuai dengan kemampuan serta
kebutuhan sistem keamanan yang diperlukan oleh Jashopper.

9. Dikelola Internal
Pro:
1. Kerahasiaan data-data organisasi akan terjaga
2. Biaya Capex dan Opex untuk staff IT akan jauh lebih kecildari paket Outsourcing
3. Organisasi dapat mengontrol sistem keamanannya sendiri, dan dapat melakukan compliance sesuai dengan
standar keamanan yang tepat
4. Kemudahan kolaborasi antara staff sistem keamanan dengan bisnis proses, untuk menentukan scope dan
kriteria didalam pengamanan flow bisnis dan aset yang terkait
Kontra:
1. Dibutuhkan kontrol dan pengawasan terhadap staff sistem keamanan Internal agar tidak membocorkan data-
data rahasia organisasi
2. Tidak adanya jaminan untuk skill dan kecepatan update tentang sistem keamanan untuk para staff internal
3. Tidak adanya jaminan untuk para staff internal untuk terus loyal kepada organisasi, sehingga skill secara
tacit knowledge akan dibawa staff yang akan resign tersebut
4. Biaya Capex akan terasa sangat besar untuk investasi sistem keamanan dengan biaya Opex yang relatif
kecil. Biaya investasi yang besar tersebut untuk membangun sistem keamanan tidak memberikan dukungan
kepada core organisasi secara kompetitif
5. Organisasi membutuhkan staff yang handal yang mempunyai expertise dibidang keamanan, semakin
kompleks sistem keamanan, maka akan semakin mahal biaya salary staff tersebut, dan mungkin mencari
staff dengan level skill expertise di sistem keamanan akan tidak mudah didapatkan

10. Dikelola jasa outsourcing
Pro:
1. Dengan menggunakan jasa outsourcing, akan adanya pemindahan fungsi pengawasan sistem keamanan,
sehingga organisasi dapat lebih fokus kepada core bisnis proses
2. Dengan menggunakan jasa outsourcing, organisasi akan mendapatkan pengalaman dan pembelajaran
untuk update teknologi informasi, khususnya kepada IT team
3. Dengan menggunakan Jasa outsourcing, aset-aset yang dipindahkan fungsinya kepada jasa outsourcing,
maka akan hilang pada neraca arus kas, dan arusk kas akan menjadi lebih stabil
4. Organisasi dapat memilih jasa outsourcing yang mempunyai kemampuan sistem dan skill security yang
handal 5. Resource operation internal yang tergantikan dengan jasa outsourcing dapat difungsikan kepada
core proses organisasi
Kontra:
1. Adanya switching cost jika organisasi ingin pindah kepada penyedia jasa outsourcing lainnya, jika service
yang dijalankan oleh penyedia jasa sebelumnya, maka akan tidak mudah mendapatkan penyedia jasa
dengan kualitas yang sama atau lebih (Vendor lock-in)
2. Biaya Capex akan relatif kecil pada saat pertama kali pembayaran, namun untuk Opex, jika vendor jasa
outsourcing mempunyai brand terkenal dengan kemampuannya, maka biaya akan relatif besar setiap
periodiknya
3. Lost of control over costs, hal tersebut dapat disebabkan oleh vendor-lock in efek dimana, adanya kenaikan
harga yang tidak dapat ditolak oleh organisasi, kemudian ketika organisasi expand infrastruktur maka akan
membutuhkan didalam penambahan entity dan fitur-fitur didalam schema outsourcing yang ditawarkan.
4. Loss of expertise, kehilangan pengetahuan dan keterampilan yang untuk meningkatkan daya saing secara
jangka panjang organisasi
5. Penyedia jasa outsourcing dapat mengambil informasi penting, sistem, aset karena memiliki akses kepada
informasi yang bersifat kritikal dan rahasia.

11. Proposal Penjelasan Evaluasi Rekomendasi
Pertama Biaya paling murah
All in one paket
termasuk keamanan
fisik dan internet
Improve security EC
site
Minimisasi ancaman
virus dan hacker
Menyediakan
lingkungan fault-
tolerant dengan
struktur anti gempa
Jaringan yang
redundan
Initial cost : 300.000,-
Monthly : 300.000,-
Karena bisnis EC adalah
bersifat online dan
customer langsung
mengakses layanan,
maka di perlukan
ketersedian sistem yang
tinggi, 24x7 selama 365
hari. Selain itu perlu ada
redundancy dari network
dan power serta fasilitas
cooling, dan Infrastruktur
lainnya seperti Firwal,
IPS/IDs, anti gempa dan
juga faktor untuk
Business Continuity.
Basically bisnis online
yang dijalankan EC
memerlukan tingkat
Confidentiality yang
tinggi, Availability yang
tinggi dan Integrity data
yang harus dijaga.
Sebaiknya EC menggunakan fasilitas yang
sudah ada di EC, karena beberapa faktor :
1. Pengalaman SECOM di bidang security
services.
2. Customer besar lain seperti farmasi juga
mempercayai SECOM untuk infrastrukturnya.
3. SDM yang dibutuhkan sudah disediakan
oleh SECOM dan EC bisa fokus ke SDM untuk
core bisnisnya.
4. Biaya investasi infrastruktur dan operation
bisa di alihkan untuk user training internal dan
keperluan bisnis lain yang lebih penting.
5. SECOM memiliki standard security yang
tinggi dan EC bisa mendapatkan leverage dari
keunggulan SECOM.
6. Tersedianya fasilitas IPS/IDS yang
mencegah incindent terjadi, terutama di bisnis
online yang rentan penyerangan dan perlu
pengawasan 24x7 setiap hari.
7. EC mendapakan bisnis leverage karena
mendapatkan sertifikasi sistem keamanan
yang di kenal oleh warga Jepang sebagai
suatu standard yang tinggi dalam level
security.

12. Proposal Penjelasan Evaluasi Rekomendasi
Kedua Menambahkan identifikasi dan
sistem akses kontrol Secom’s ID
One Card untuk akses pintu masuk,
PC dan jaringan.
Kunci elektronik TR2 untuk
mengontrol akses pintu masuk dan
mencatat id orang yang masuk. TR2
akan menutup akses untuk orang tak
dikenal dan menghalangi kejahatan
oleh karyawan.
SmartOn untuk mengontrol akses ke
PC, memberi lisensi pada aplikasi
yang ditentukan untuk masing-
masing orang, dan mengenkripsi
seluruh file yang disimpan.
Harga untuk 20 pegawai:
ID card : 120.000,-
TR2 : 1,3 juta
SmarOn: 1,1 juta
Seluruh biaya akan muncul pada
awalnya.
Dalam hal kontrol
internal, hal ini bisa di
lakukan secara
internal dengan
sumber daya yang di
control dan di training
agar security
Awareness
terbangun.
Sistem security lebih
ke prosedur dan
control, bisa mencari
solusi yang lebih
efisien.
Dalam hal ini, EC lebih baik
mencari seorang IT Security
Officer, yang membantu
dalam control dan evaluasi
internal security agar lebih
baik secara jangka panjang.
Dengan demikian SDM yang
dimiliki juga dapat di upgrade
melalui pelatihan dan
pembuatan policy yang lebih
baik. Alat-alat yang
dibutuhkan bisa
menggunakan solusi lain,
yang berharga tinggi adalah
skill dari SECOM untuk
engineering terhadap
security device yang mereka
gunakan.
Jadi solusi ini bisa
menggunakan vendor lain
yang lebih efisien dan hemat
biaya.

13. Proposal Penjelasan Evaluasi Rekomendasi
Ketiga Menambahkan layanan
penilaian kerentanan
keamanan fisik dan
internet.
Secom Total Security
Assessment
Service: melakukan analisa
level
keamanan dari 4 sudut
pandang:
1.
Organisasi/sistem/kebijaka
n
2. Keamanan fisik
3. Kontrol akses data
4. Keamanan jaringan
Biaya Audit (selama 2
minggu):
500.000,-
EC sudah lama
tidak melakukan
control dan
evaluasi secara
Berkala terhadap
keamanan
sistem.
Secom memiliki
pengalaman
Dan
mempercepat
waktu proses
audit, dan EC
akan mendapat
hasil yang
independen.
EC bisa menggunakan solusi yang
ditawarkan untuk dilakukan security
assessment di internal organisasi. Hal ini
juga dapat memberikan baseline terhadap
level security protection yang sudah
berjalan, dan dari hasil temuan tersebut
dapat dilanjutkan untuk pengambilan
keputusan apa yang akan dilakukan dan
strategi apa yang sebaiknya di ambil.
Dengan memiliki informasi tersebut, dan
juga tentunya rekomendasi dari
tim SECOM, EC dapat mempertimbangkan
langkah yang paling efektif dan memiliki
prioritas paling tinggi bagi organisasi,
sehingga nilai investasi yang di keluarkan
bisa di lihat value nya dari bisnis.
Dengan adanya hasil audit dari SECOM,
pihak internal IT bisa lebih meningkatkan
proses pengamanan internalnya, dan
Mempertimbangkan menggunakan CISO ,
yang
bermanfaat nantinya saat EC akan
melakukan IPO di publik.

14. 1. Frederick Gallegos and Sandra Senft.
(2009). Information Technology Control and
Audit. 3rd edition, Auerbach Publication. ISBN
: 978-1-4200-6550-3.
2. Faisal Yahya. Lecture Notes: The Audit
Process. Binus University Online Learning.
3. Faisal Yahya. Lecture Notes: Managing IT
Audit. Binus University Online Learning.
4. Faisal Yahya. Lecture Notes: Risk
Management. Binus University Online
Learning.