viii

ABSTRACT

Nowadays, information system security is very important for companies, private companies and also corporate governance. Every security in information system influences security problems, because if there is no security system to secure data or important documents, then there will be a lot of information that came out with is not good and true. Therefore, security is very important to maintain integrity and the data and documents of a company's performance for the entire process in a company that is better and also avoid the various problems and risks that might occur. DISKOMINFO is one government-owned company that works to provide information to the Indonesian people, especially in areas West Java. So, it needs to be audited against DISKOMINFO in order to obtain the best solution and also assess the performance of employees, the problem will be lack of awareness for the security aspect. Audit conducted pursuant to COBIT framework. Writer use conducted data collecting method by interview, observation, application analysis and of survey field. Besides, writer will give some input and solution from result of audit, so it can help the company to improve performance of application to reach the target of which is expected.

ix

ABSTRAK

Sekarang ini kemanan sistem informasi sangat penting sekali bagi perusahaan, perusahaan swasta dan juga perusahaan pemerintahan. Semuanya itu sangat berpengaruh untuk masalah kemanan, karena jika tidak ada sistem keamanan untuk mengamankan data atau dokumen yang penting, maka akan ada banyak sekali informasi yang keluar dengan tidak baik dan benar. Oleh karena itu kemanan sangant penting untuk menjaga intergritas dan juga data serta dokumen suatu perusahaan agar seluruh proses kinerja di dalam sebuah perusahaan itu menjadi lebih baik dan juga terhindar dari berbagai masalah serta resiko yang mungkin bisa terjadi. DISKOMINFO adalah salah satu perusahaan milik pemerintah yang bekerja untuk memberikan informasi kepada masyarakat Indonesia khususnya di daerah jabar. Untuk itu, perlu dilakukan audit terhadap DISKOMINFO agar bisa mendapatkan solusi yang terbaik dan juga menilai kinerja para pegawai, masalah akan kurangnya kesadaran untuk segi keamanan. Pengauditan dilakukan berdasarkan framework COBIT. Penulis menggunakan metode pengumpulan data yang dilakukan dengan cara wawancara, observasi, analisis aplikasi dan survey lapangan. Selain itu penulis juga memberikan beberapa solusi dan masukan dari hasil audit, agar diharapkan dapat membantu perusahaan meningkatkan kinerja dari aplikasi untuk mencapai tujuan yang diharapkan.

x

DAFTAR ISI

LEMBAR PENGESAHAN ... i

PRAKATA ... iii

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... v

PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... vii

ABSTRACT ... viii

ABSTRAK ... ix

DAFTAR ISI ... x

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang Masalah ... 1

1.2 Rumusan Masalah ... 3

1.3 Tujuan Pembahasan ... 3

1.4 Ruang Lingkup Pengajian ... 4

1.5 Sumber Data……...4

1.6 Sistematika Penulisan ... 4

BAB II Kajian TEORI ... 7

2.1 Audit ... 9

2.1.1 COBIT ... 9

2.2 Ensure Security System………13 2.2.1 Control Objective……….14

2.2.2 Maturity Model……….17

2.3 Manage Data………21

2.3.1 Control Objective……….21

2.3.2 Maturity Model……….23

2.4 Manage the Physical Environment………..26

2.4.1 Control Objective……….26

2.4.2 Maturity Model……….28

2.5 Manage IT Human Resource……….……….………..32

2.5.1 Control Objective……….33

2.5.2 Maturity Model……….35

2.6 Educate and Train Uuser………..………..37

2.6.1 Control Objective……….38

2.6.2 Maturity Model……….39

2.7 Manage Problem…………..………..42

2.7.1 Control Objective……….43

2.7.2 Maturity Model……….44

2.8 Manage Operation………..47

2.8.1 Control Objective……….48

2.8.2 Maturity Model……….49

2.4 Monitor and Evaluate IT Performance………..52

2.4.1 Control Objective……….53

2.4.2 Maturity Model……….55

BAB III ANALISIS dan EVALUASI 3.1 Ensure Security System………68

xi

3.1.1 Control Objective……….69

3.1.2 Maturity Model……….72

3.2 Manage Data………73 3.2.1 Control Objective……….73

3.2.2 Maturity Model……….75

3.3 Manage the Physical Environtment.………...………76

3.3.1 Control Objective……….77

3.3.2 Maturity Model……….79

3.4 Manage IT Human Resource.………81

3.4.1 Control Objective……….82

3.4.2 Maturity Model……….86

3.5 Educate and Train User………87

3.5.1 Control Objective……….88

3.5.2 Maturity Model……….90

3.6 Manage Problem………91

3.6.1 Control Objective……….91

3.1.2 Maturity Model……….92

3.7 Manage Operation……..………94

3.7.1 Control Objective……….95

3.7.2 Maturity Model……….96

3.8 Monitoring and Evaluete IT Performance………97

3.8.1 Control Objective……….97

3.1.2 Maturity Model……….99

BAB IV SIMPULAN DAN SARAN 4.1 SIMPULAN……….………103

4.2 SARAN………...……….103

DAFTAR PUSTAKA………..………..……106

1

BAB I

PENDAHULUAN

1.1 Latar Belakang Masalah

DISKOMINFO adalah salah satu perusahaan BUMN dengan salah satu misi untuk meningkatkan kualitas dan kuantitas dan SDM di bidang teknologi informasi. Adapun tugas pokok DISKOMINFO Provinsi Jawa Barat adalah melaksanakan sebagian tugas umum Pemerintahan Provinsi Jawa Barat dalam merumuskan kebijakan teknis dalam melaksanakan kewewenangan di bidang Sitel sesuai kebutuhan Daerah dan Kewenangan yang dilimpahkan kepada Gubernur. Untuk melaksanakan tugas tersebut, DISKOMINFO mempunyai fungsi untuk melakukan perumusan kebijakan teknis di bidang Sitel dan pelaksanaan penunjang Pemerintah Daerah di bidang Sitel. Oleh karena itu dibutuhkan keamanan yang terjamin untuk melakukan segala aktifitas dan dalam pengelolaan software maupun hardware yang akan dikerjakan oleh DISKOMINFO, dan juga untuk data – data yang ada harus bisa digunakan dengan sebaik – baiknya.

Di dalam DISKOMINFO ada beberapa kelemahan dalam segi keamanan, baik software, hardware dan juga SDM. Di tiap divisi ada banyak data yang bisa diakses, tetapi untuk mengakses data tersebut perlu sebuah username dan password, dan para pegawai DISKOMINFO memberikan username dan password sesuai dengan nama tiap divisi, dan ini merupakan salah satu kelemahan dalam segi keamanan. Oleh karena itu penulis ingin membantu DISKOMINFO dalam segi keamanan sistem infomasi dengan mengaudit DISKOMINFO menggunakan Cobit Guideliness 4.1 yang akan dipilih 8 proses (DS5, DS11, DS12, PO7, DS7, DS10, DS13, ME1) yang berhubungan dengan masalah keamanan,

2

baik dalam segi keamanan hardware, software dan SDM. 8 proses itu dipilih karena semuanya berhubungan 1 sama lain dengan keamanan dalam segi hardware dan software dan juga untuk SDM. Berikut ini adalah beberapa alasan kenapa memilih 8 proses tersebut dan beberapa masalah DISKOMINFO yang berhubungan dengan 8 proses yang dipilih : 1. Ensure Systems Security (DS5) karena didalam DISKOMINFO, masih terdapat beberapa kelemahan dalam segi keamanan sistem informasinya contohnya adalah tidak memasang antivirus untuk server.

2. Manage Data (DS11) karena keamanan data tidak terjaga dengan baik dan masih kurangnya kesadaran para pegawai untuk melakukan backup data serta untuk menjaga data yang ada.

3. Manage the Physical Environment (DS12) karena masih kurangnya batasan untuk mengakses ruangan server dan kurangnya keamanan di dalam ruangan server, karena jika ada masalah di dalam server, baru server diperhatikan. JIka tidak ada masalah dibiarkan berjalan serperti itu dan maintenance yang bisa dikatakan kurang baik

4. Manage IT Human Resources (PO7) karena kurangnya kesadaran dari segi SDM akan pentingnya keamanan data, serta ada beberapa pegawai yang kurang menguasai software yang ada dan para pegawai kurang mematuhi peraturan yang ada dan tidak terlalu diterapkan di DISKOMINFO.

5. Educate and Train User (DS7) karena masih kurangnnya pelatihan yang diberikan kepada para pegawai, dan juga masih ada beberapa pegawai yang kurang menguasi software yang ada didalam DISKOMINFO, serta jenjang karir yang kurang jelas.

3

6. Manage Problems (DS10) karena tidak ada manajemen untuk mengatasi masalah yang ada, walaupun sudah melakukan identifikasi masalah dan pengelompokan masalah dalam segi

software dan hardware.

7. Manage Operations (DS13) karena masih kurangnya keahlian para pegawai jika terjadi masalah dan juga peraturan yang kurang dipatuhi oleh beberapa pegawai walaupun suda ada peraturan yang jelas.

8. Monitor and Evaluate IT Performance (ME1) karena belum ada monitoring method untuk memonitor dan mengevaluasi kinerja dari proses bisnis yang terjadi, terutama di dalam bagian Telematika

1.2 Rumusan Masalah

Berdasarkan uraian permasalahan tersebut, maka dapat dirumuskan sebagai berikut :

1. Apakah solusi terbaik untuk masalah keamanan hardware dan

software di dalam DISKOMINFO agar kinerja IT bisa lebih baik? 2. Bagaimana cara untuk meningkatkan kesadaran para pegawai IT

akan pentingnya menjaga kemanan sistem informasi didalam DIKSOMINFO?

3. Apakah server dan data yang ada sudah terjaga dengan baik dari berbagai masalah yang ada ?

1.3 Tujuan Pembahasan

Tujuan yang ingin dicapai oleh penulis adalah sebagai berikut :

1. Memberikan solusi yang terbaik untuk masalah keamanan dalam segi hardware dan software di DISKOMINFO.

4

2. Memberikan seluruh hasil dokumentasi dan observasi kepada DISKOMINFO sebagai bahan referensi untuk bahan pertimbangan maupun informasi yang berguna untuk segi keamanan.

3. Belum terjaga dengan baik, oleh karena itu penulis memberi tahukan dampak yang mungkin terjadi jika para pegawai tidak memiliki kesadaran yang tinggi akan pentingnya menjaga keamanan system informasi yang ada di dalam DISKOMINFO

1.4 Ruang Lingkup Kajian

1. Hanya menangani masalah keamanan data dan SDM yang berhubungan dengan sekuritas.

2. Menganalisis dan riset dengan menggunakan COBIT 4.1

3. Proses analisis dan evaluasi proses DS5, DS11, DS12, PO7, DS7, DS10, DS13, ME1 menggunakan COBIT 4.1.

1.5 Sumber Data

Sumber data yang digunakan untuk mendapatkan data yang diperlukan oleh penulis adalah sebagai berikut :

1. Observasi di DISKOMINFO

2. Wawancara dengan pimpinan , staff yang berada dalam divisi tersebut

3. Studi pustaka, buku ataupun internet

1.6 Sistematika Penulisan

Adapun sistematika penulisan laporan tugas akhir sebagai berikut :

BAB I Pendahuluan

5

Yaitu profil perusahaan dan hal-hal yang melatarbelakangi penulis melakukan tugas akhir

2.

Perumusan Masalah

Yaitu proses-proses yang akan diaudit oleh penulis

3.

Tujuan

Yaitu tujuan dari tugas akhir ini

4.

Batasan Masalah

Yaitu hal-hal yang membatasi penulis melakukan penelitian dan pengauditan di perusahaan.

5.

Sistematika Penulisan

Yaitu berisi kerangka laporan tugas akhir

6.

Metode dan Teknik Penelitian

Yaitu hal hal yang dilakukan oleh penulis dalam pelaksanaan penelitian tugas akhir ini, yakni meliputi metode metode dan teknik teknik penelitiannya.

BAB II Kajian Teori

Teori-teori yang menjadi dasar bagi penulis dalam melakukan tugas akhir ini. Yaitu teori mengenai COBIT framework dan penjelasan mengenai proses-proses yang akan diaudit.

BAB III Analisis

Proses pengauditan berdasarkan COBIT 4.1 guideline. Menjelaskan bagaimana proses yang dilakukan untuk menilai kepatuhan terhadap kontrol yang sudah ditetapkan. Apakah sistem yang telah diterapkan saat ini sudah sesuai dengan standar dari COBIT

6

Berisi tentang hasil yang didapatkan dari proses analisis berdasarkan COBIT 4.1 guideline.

BAB V Simpulan dan Saran

Kesimpulan dari seluruh hasil tugas akhir dan saran bagi perusahaan berdasarkan hasil audit.

103

BAB IV

SIMPULAN DAN SARAN

4.1 SIMPULAN

Kesimpulan dari semua ini adalah, bahwa sebenarnya DISKOMINFO sudah cukup baik organisasinya karena milik pemerintah, akan tetapi masih kurangnnya kesadaran dari sumber daya manusia di dalam DISKOMINFO itu sendiri. Masih banyak para pegawai yang kinerjanya kurang baik dan juga masalah jam kerja serta peraturan yang tidak diikuti dengan baik, dan juga sanksi yang diberikan tidak nyata dan tidak bisa menjadi contoh bagi para pegawai lainnya. Untuk keamanan dalam segi hardware sudah bisa dikatakan baik karena sudah menggunakan hardware yang memiliki kualitas yang bagus dan juga proses untuk melestarikan dan menjaga hardware yang ada sudah dilakukan dengan baik dan memiliki kesadaran akan pentingnya menjaga kinerja hardware. Untuk segi software sudah baik karena menggunakan software yang memadai untuk proses kinerja yang terjadi di dalam DISKOMINFO, akan tetapi masih sedikit sekali kesadaran para pegawai dalam menjaga dan memahami software yang ada. Dalam segi SDM masih banyak kekurangan karena masih banyak para pegawai yang kurang menyadari segala dampak yang bisa terjadi dalam menjaga keamanan data serta lemahnya kesadaran untuk menjaga password yang ada dalam tiap divisi

4.2 SARAN

Dari hasil penilaian yang sudah di jelaskan penulis dapat memberikan sedikit saran untuk tiap prosesnya, yaitu :

104

i. Memasang antivirus didalam server

ii. Memasang antivirus untuk tiap PC pegawai dan juga selalu melakukan update secara berkala

iii. Menggunakan antivirus asli dan tidak bajakan, karena para pegawai merasa kesulitan untuk mencari licenses key jika diperlukan.

2. Untuk Manage Data (DS11)

i. Memberikan kesadaran kepada para pegawai akan pentingnnya back up data

ii. Memberikan kesadaran agar para pegawai memproteksi data – data penting.

3. Untuk Educate and Train User (DS7)

i. Memberikan pelatihan bukan hanya kepada para pegawai yang mempunyai jabatan, tetapi memberikan pelatihan kepada para pegawai yang dianggap bisa memberikan kontribusi yang baik untuk perusahaan dengan menilai dan mengevaluasi hasil kerja para pegawai setiap tahunnya. ii. Memberikan pelatihan – pelatihan bagi pegawai yang

105 4. Untuk Manage Problems (DS10)

i. Melakukan evaluasi dan mereview ulang jika hasil kurang memuaskan.

ii. Sebaiknya segala masalah yang terjadi didokumentasikan serta mengadakan rapat secara intensive terhadap masalah yang ada

5. Untuk Manage Operations(DS13)

i. Lebih memperhatikan akan masalah peraturan dan jam kerja yang ada

ii. Absensi pegawai diperhatikan dengan baik dan benar

iii. Memberikan sanksi yang berat bagi para pelanggar peraturan dan memberikan sanksi yang nyata bukan hanya sekedar teguran saja.

Untuk audit opininya, berdasarkan hasil observasi dan data – data yang didapatkan, maka penulis mengatakan bahwa DISKOMINFO masih QUALIFIED karena masih banyak kekurangan yang harus diperbaiki dan juga masih banyak yang harus diperhatikan bagi untuk SDM dan juga untuk kesadaran para pegawai tentang pentingnya keamanan system informasi yang harus di jaga.

DAFTAR PUSTAKA

1. Cobit 3 Audit Guidelines, COBIT Steering Committee and the IT Governance InstituteTM

www.isaca.org/cobitonline

2. Cobit 4.1 Audit Guideliness, Framework Control Objectives Management Guidelines Maturity Model

www.isaca.org/cobitonline

3. Artikel Beranda Idrianita, Pengertian COBIT

http://idrianita.wordpress.com/2007/04/27/audit-siti/

4. Weber, Ron (1999), Information Systems Control and Audit, The University of Queensland, Prentice Hall

5. Alvin A, Arens, James K.Loebbecke, Auditing, Edisi Indonesia, Jakarta, 2003.

6. Calder, Alan and Watkins, Steve. (2008). ITGOVERNANCE - A

Manager’s Guide to Data Security and ISO27001/ISO 27002. Kogan Page. United States.

7. IT Governance Institute (2000), Audit Guidelines, COBIT 3rd Edition,

http://www.isaca.org

8. IT Governance Institute (2000), Management Guidelines, COBIT 3rd Edition, http://www.isaca.org.

9. IT Governance Institute (2000), Implemetation Tool Set, COBIT 3rd Edition, http://www.isaca.org.

10. IT Governance Institute (2000), Executive Summary, COBIT 3rd Edition.

http://www.isaca.org.

11. Information System Audit and Control Association (ISACA). (2003), IS Standards,Guidelines and Procedures for Auditing and Control

12. Audit IT

http://indra.chaidir.info/2009/08/audit-it-%E2%80%93-standar-cobit/ 13. COBIT 4.0

http://www.itgi.org/Template.cfm?Section=Home&CONTENTID=24554&T EMPLATE=/ContentManagement/ContentDisplay.cfm

14. Audit menggunakan cobit framework.

http://janeman.wordpress.com/2008/03/26/audit-menggunakan-framework-cobit/

15. Standar Cobit

Berisi tentang hasil yang didapatkan dari proses analisis berdasarkan COBIT 4.1 guideline.

BAB V Simpulan dan Saran

Kesimpulan dari seluruh hasil tugas akhir dan saran bagi perusahaan berdasarkan hasil audit.

Universitas Kristen Maranatha 103

BAB IV

SIMPULAN DAN SARAN

4.1 SIMPULAN

Kesimpulan dari semua ini adalah, bahwa sebenarnya DISKOMINFO sudah cukup baik organisasinya karena milik pemerintah, akan tetapi masih kurangnnya kesadaran dari sumber daya manusia di dalam DISKOMINFO itu sendiri. Masih banyak para pegawai yang kinerjanya kurang baik dan juga masalah jam kerja serta peraturan yang tidak diikuti dengan baik, dan juga sanksi yang diberikan tidak nyata dan tidak bisa menjadi contoh bagi para pegawai lainnya. Untuk keamanan dalam segi hardware sudah bisa dikatakan baik karena sudah menggunakan hardware yang memiliki kualitas yang bagus dan juga proses untuk melestarikan dan menjaga hardware yang ada sudah dilakukan dengan baik dan memiliki kesadaran akan pentingnya menjaga kinerja hardware. Untuk segi software sudah baik karena menggunakan software yang memadai untuk proses kinerja yang terjadi di dalam DISKOMINFO, akan tetapi masih sedikit sekali kesadaran para pegawai dalam menjaga dan memahami software yang ada. Dalam segi SDM masih banyak kekurangan karena masih banyak para pegawai yang kurang menyadari segala dampak yang bisa terjadi dalam menjaga keamanan data serta lemahnya kesadaran untuk menjaga password yang ada dalam tiap divisi

4.2 SARAN

Dari hasil penilaian yang sudah di jelaskan penulis dapat memberikan sedikit saran untuk tiap prosesnya, yaitu :

i. Memasang antivirus didalam server

ii. Memasang antivirus untuk tiap PC pegawai dan juga selalu melakukan update secara berkala

iii. Menggunakan antivirus asli dan tidak bajakan, karena para pegawai merasa kesulitan untuk mencari licenses key jika diperlukan.

2. Untuk Manage Data (DS11)

i. Memberikan kesadaran kepada para pegawai akan pentingnnya back up data

ii. Memberikan kesadaran agar para pegawai memproteksi data – data penting.

3. Untuk Educate and Train User (DS7)

i. Memberikan pelatihan bukan hanya kepada para pegawai yang mempunyai jabatan, tetapi memberikan pelatihan kepada para pegawai yang dianggap bisa memberikan kontribusi yang baik untuk perusahaan dengan menilai dan mengevaluasi hasil kerja para pegawai setiap tahunnya. ii. Memberikan pelatihan – pelatihan bagi pegawai yang

Universitas Kristen Maranatha 105

4. Untuk Manage Problems (DS10)

i. Melakukan evaluasi dan mereview ulang jika hasil kurang memuaskan.

ii. Sebaiknya segala masalah yang terjadi didokumentasikan serta mengadakan rapat secara intensive terhadap masalah yang ada

5. Untuk Manage Operations(DS13)

i. Lebih memperhatikan akan masalah peraturan dan jam kerja yang ada

ii. Absensi pegawai diperhatikan dengan baik dan benar

iii. Memberikan sanksi yang berat bagi para pelanggar peraturan dan memberikan sanksi yang nyata bukan hanya sekedar teguran saja.

Untuk audit opininya, berdasarkan hasil observasi dan data – data yang didapatkan, maka penulis mengatakan bahwa DISKOMINFO masih QUALIFIED karena masih banyak kekurangan yang harus diperbaiki dan juga masih banyak yang harus diperhatikan bagi untuk SDM dan juga untuk kesadaran para pegawai tentang pentingnya keamanan system informasi yang harus di jaga.

DAFTAR PUSTAKA

1. Cobit 3 Audit Guidelines, COBIT Steering Committee and the IT Governance InstituteTM

www.isaca.org/cobitonline

2. Cobit 4.1 Audit Guideliness, Framework Control Objectives Management Guidelines Maturity Model

www.isaca.org/cobitonline

3. Artikel Beranda Idrianita, Pengertian COBIT

http://idrianita.wordpress.com/2007/04/27/audit-siti/

4. Weber, Ron (1999), Information Systems Control and Audit, The University of Queensland, Prentice Hall

5. Alvin A, Arens, James K.Loebbecke, Auditing, Edisi Indonesia, Jakarta, 2003.

6. Calder, Alan and Watkins, Steve. (2008). ITGOVERNANCE - A

Manager’s Guide to Data Security and ISO27001/ISO 27002. Kogan

Page. United States.

7. IT Governance Institute (2000), Audit Guidelines, COBIT 3rd Edition, http://www.isaca.org

8. IT Governance Institute (2000), Management Guidelines, COBIT 3rd Edition, http://www.isaca.org.

9. IT Governance Institute (2000), Implemetation Tool Set, COBIT 3rd Edition, http://www.isaca.org.

10. IT Governance Institute (2000), Executive Summary, COBIT 3rd Edition. http://www.isaca.org.

11. Information System Audit and Control Association (ISACA). (2003), IS Standards, Guidelines and Procedures for Auditing and Control

Universitas Krisrten Maranatha

107

12. Audit IT

http://indra.chaidir.info/2009/08/audit-it-%E2%80%93-standar-cobit/

13. COBIT 4.0

http://www.itgi.org/Template.cfm?Section=Home&CONTENTID=24554&T EMPLATE=/ContentManagement/ContentDisplay.cfm

14. Audit menggunakan cobit framework.

http://janeman.wordpress.com/2008/03/26/audit-menggunakan-framework-cobit/

15. Standar Cobit