Evaluasi Tata Kelola Sistem Keamanan Teknologi Informasi Menggunakan Framework COBIT 5 Fokus Proses APO13 dan DSS05 (Studi Pada PT Martina Berto Tbk)
Vol. 1, No. 12, Desember 2017, hlm. 1622-1631 http://j-ptiik.ub.ac.id Evaluasi Tata Kelola Sistem Keamanan Teknologi Informasi Menggunakan Framework COBIT 5 Fokus Proses APO13 dan DSS05 (Studi Pada PT Martina Berto Tbk) 1 2 3 Raja Gantino Mufti , Suprapto , Yusi Tyroni Mursityo
Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya 1 2 3 Email: rajagantinomufti@gmail.com, spttif@ub.ac.id, yusi_tyro@ub.ac.id
Abstrak
PT Martina Berto Tbk adalah perusahaan manufaktur, pemasaran, penelitian dan pengembangan yang ada di Martha Tilaar Group. Saat ini perusahaan telah menerapkan sistem dan teknologi informasi dalam mendukung operasional perusahaan yang dilaksanakan oleh departemen Corporate IT. Tetapi, terdapat beberapa kekurangan dalam penerapan tersebut khususnya dalam hal keamanan seperti
security incident yang kerap muncul serta serangan ke server perusahaan. Untuk mencegah hal-hal
tersebut terjadi lagi, maka perlu diketahui sejauh mana tata kelola sistem keamanan teknologi informasi perusahaan dengan cara melakukan evaluasi, karena dengan adanya evaluasi dapat dihasilkan rekomendasi berupa tindakan-tindakan apa yang harus dilakukan agar hal-hal tersebut tidak terjadi lagi. Sehingga penelitian dilakukan untuk mengetahui Capability Level pada tata kelola sistem keamanan teknologi informasi PT Martina Berto Tbk dengan menggunakan framework COBIT 5 domain proses APO13 dan DSS05. Data pada penelitian didapatkan dari wawancara, kuesioner dan observasi. Hasil penelitian menunjukan Capability Level pada domain proses APO13 dan DSS05 berada pada level 1, sedangkan Capability Level yang diinginkan pada kedua domain proses adalah level 2, sehingga menyisakan gap sebesar 1. Setelah mengetahui Capability Level saat ini dan yang diinginkan, maka dibuatkan rekomendasi berdasarkan analisis SWOT. Rekomendasi yang diberikan seperti pembentukan unit khusus keamanan informasi, membuat dokumen terkait pengelolaan dan peningkatan keamanan informasi dan penaganan risiko keamanan informasi, membuat dokumen standar operasional layanan keamanan serta melakukan pembaruan teknis teknologi informasi dan pemantauan secara rutin.
Kata kunci: keamanan, framework COBIT 5, evaluasi tata kelola, PT Martina Berto Tbk Abstract PT Martina Berto Tbk is a manufacturing, marketing, research and development company within the Martha Tilaar Group. Currently, the company has implemented systems and information technology in support of corporate operations carried out by the Corporate IT department. However, there are some deficiencies in the application, especially in terms of security, such as security incidents that often arise and attacks to the corporate servers. To prevent these things from happening again, it is necessary to know how far the governance of the company's information technology security system by conducting an evaluation, because with the evaluation, recommendations in the form of what actions should be done can be generated, so that security incidents won't happen again. The research was conducted to determine the Capability Level on governance of information technology security systems in PT Martina Berto Tbk using COBIT 5 framework process domain APO13 and DSS05. The research data were obtained from interviews, questionnaires and observations. The results show the Capability Level on the process domain APO13 and DSS05 are at level 1, while the desired Capability Level in both process domains is level 2, leaving a gap of 1. After knowing the current a nd desired Capability Level, then made a recommendation based on SWOT analysis. Recommendations are given such as the establishment of a special unit of information security, making documents related to the management and enhancement of information security and information security risk plotting, making operational standard documentation of security services as well as updating technical information technology and monitoring on a regular basis.
Fakultas Ilmu Komputer Universitas Brawijaya 1622
Keywords: security, framework COBIT 5, evaluation of governance, PT Martina Berto Tbk 1.
IT PT Martina Berto Tbk belum pernah melakukan evaluasi menggunakan framework COBIT 5. Oleh karena itu, departemen
2.1. Landasan Kepustakaan
2. LANDASAN KEPUSTAKAAN
analysis dan analisis SWOT dari hasil evaluasi tersebut.
Penelitian ini bertujuan untuk menilai sejauh mana tingkat kemampuan atau Capability Level teknologi informasi fokus keamanan informasi departemen Corporate IT di PT Martina Berto Tbk dengan judul “Evaluasi Tata Kelola Sistem Keamanan Teknologi Informasi Menggunakan Framework COBIT 5 Fokus Proses APO13 dan DSS05 (Studi Pada PT Martina Berto Tbk)”. Diharapkan dengan penerapan evaluasi keamanan teknologi informasi tersebut dapat mengukur Capability Level dan memberikan rekomendasi untuk perbaikan teknologi informasi dari analisis kesenjangan atau gap
IT PT Martina Berto Tbk perlu diukur dan dievaluasi untuk mengetahui sejauh mana departemen Corporate IT PT Martina Berto Tbk dalam mengelola keamanan informasi perusahaan. Kegiatan tersebut juga digunakan untuk menghasilkan rekomendasi dalam pencapaian tingkat kemampuan yang optimal, sehingga dapat membantu mencapai visi dan misi perusahaan.
Corporate
IT PT Martina Berto Tbk belum memiliki unit khusus yang berfokus pada aktivitas pengamanan informasi, security incident juga kerap muncul berupa broadcast dari salah satu web server perusahaan serta ‘serangan’ yang mengarah ke server perusahaan. Kondisi server perusahaan saat ini berada dalam posisi ip public karena belum diimplementasikannya vpn (virtual private network) bagi yang ingin mengakses server. Perusahaan pernah menggunakan jasa freelancer audit security, tetapi kegiatan tersebut sudah tidak dilanjutkan oleh manajemen, serta departemen Corporate
PENDAHULUAN
Departemen Corporate IT PT Martina Berto Tbk perlu dievaluasi karena mekanisme pengamanan tersebut belum tertuang kedalam Standar Operasional Prosedur (SOP) perusahaan. Selain itu, departemen Corporate
Serta mekanisme keamanan dari sisi software berupa penggunaan sistem operasi open source, kewajiban menggunakan antivirus untuk sistem operasi Windows, pembatasan hak akses informasi berdasarkan departemen masing- masing, menggunakan spamfilter dan menggunakan dua mekanisme firewall dari Linux dan Mikrotik.
fingerprint , memasang cctv, dan melakukan body check di tempat penyimpanan informasi.
Martina Berto Tbk yang dilampirkan dalam Lampiran A, mengatakan bahwa keamanan informasi merupakan prioritas penting bagi perusahaan. Oleh sebab itu perusahaan selalu melakukan backup data berdasarkan ISO 9001 yang berfokus pada mutu IT, menyimpan data dalam bentuk fisik di Mandiri Safe Deposit Box (SDB), menggunakan jasa hosting Dreamhost dan menggunakan jasa Indonesia Internet Exchange sebagai provider data center. Perusahaan juga mengimplementasikan mekanisme keamanan dari sisi physical berupa membatasi hak akses, menggunakan
Manager dan Bapak Arief Rama Syarif selaku Infrastructure Solution Manager perusahaan PT
PT Martina Berto Tbk adalah perusahaan manufaktur, pemasaran, penelitian dan pengembangan yang ada di Martha Tilaar Group (Martha Tilaar, 2010a). Sebagai salah satu produsen kosmetik terbesar di Indonesia, PT Martina Berto Tbk dituntut untuk mengikuti perkembangan teknologi yang ada. Salah satunya adalah Information Technology (IT) sebagai penunjang aktivitas perusahaan. Oleh sebab itu, PT Martina Berto Tbk sudah membentuk sebuah departemen Corporate IT untuk mengelola aktivitas IT baik di PT Martina Berto Tbk maupun di sister company dalam Martha Tilaar Group. Semakin besar aktivitas IT yang dilakukan perusahaan, maka semakin besar pula tantangan keamanan informasi yang dihadapi perusahaan, tak terkecuali perusahaan PT Martina Berto Tbk. Berdasarkan hasil wawancara dengan Bapak Vincent Darmawan selaku Corporate IT
Penelitian sebelumnya yang dilakukan oleh Suryo, Fitroh dan Ratnawati pada Badan Tenaga Nuklir Nasional (BATAN) adalah mengaudit Pusat Pendayagunaan Informatika dan Kawasan Strategis Nuklir (PPIKSN) BATAN menggunakan framework COBIT 5 dengan domain APO proses APO13 dan domain DSS proses DSS05. Hasil Capability Level yang didapatkan dari domain proses APO13 dan DSS05 adalah 2 yaitu managed
process
DSS05.06
b.
DSS05.02 Manage network and connectivity security.
c.
DSS05.03 Manage endpoint security.
d.
DSS05.04 Manage user identity and logical address .
e.
DSS05.05 Manage physical access to IT assets .
f.
Manage sensitive documents and output devices .
a.
g. DSS05.07 Monitor the infrastructure for security-related events .
2.4. Capability Level Capability Level setiap proses yang dinilai
dinyatakan dalam level 0 sampai 5. Level 0 adalah incomplete, level 1 adalah performed, level 2 adalah managed, level 3 adalah
established , level 4 adalah predictable, level 5
adalah optimizing. Setiap atribut dinilai menggunakan skala penilaian standard yang terdefinisi dalam standard ISO/IEC 15504 (ISACA, 2013). Gambar 1 menjelaskan skala yang digunakan penilai selama penilaian untuk membantu penilaian mereka terhadap pencapaian saat ini.
N Not Achieved 0 - 15% achievement P Partially Achieved
>15% - 50% achievement L Largely Achieved >50% - 85% achievement F Fully Achieved >85% - 100% achievement
Gambar 1. Capability Level COBIT 5
2.5. Analisis Gap
DSS05.01 Protect against malware.
Melindungi informasi perusahaan untuk mempertahankan tingkat risiko keamanan informasi yang dapat diterima oleh perusahaan sesuai dengan kebijakan keamanan. Membangun dan memelihara peran keamanan informasi dan hak akses serta melakukan monitoring keamanan. Tujuan proses ini adalah memperkecil dampak bisnis dari kerentanan keamanan informasi operasional dan insiden terkait.
yang menandakan bahwa proses berhasil diimplementasikan dan produk kejanya sudah terbentuk, terkendali dan terpelihara. Level target yang ingin dicapai adalah 3 yaitu
APO13 – Manage Security.
established process (Suryo, Fitroh, dan Ratnawati, 2014).
2.2. Cobit 5
Framework COBIT 5 merupakan IT Governance framework versi terbaru yang dikeluarkan oleh
ISACA. COBIT
5 menyediakan kerangka kerja komprehensif yang membantu perusahaan mencapai tujuannya dalam hal tata kelola dan manajemen teknologi informasi perusahaan. Dengan kata lain COBIT
5 membantu perusahaan menciptakan nilai yang optimal dari IT dengan menjaga keseimbangan antara mewujudkan manfaat dan mengoptimalkan tingkat risiko dan penggunaan sumber daya (ISACA, 2012b). COBIT 5 terdiri dari 5 domain (Evaluate,
Direct and Monitor ; Align, Plan and Organise; Build, Acquire and Implement ; Deliver, Service and Support ; Monitor, Evaluate and Assess) dengan total proses sebanyak 37 proses.
2.3. Fokus Proses
Fokus pada penelitian ini adalah dalam hal keamanan informasi sehingga domain APO pada proses APO13 dengan jumlah tiga sub- proses dan domain DSS pada proses DSS05 dengan jumlah tujuh sub-proses, proses-proses tersebut dipilih karena menangani masalah keamanan (ISACA, 2012a) : 1.
Mendefinisikan, mengoperasikan dan memantau sistem untuk manajemen keamanan informasi. Tujuan proses ini adalah menjaga dampak dan kejadian
2. DSS05 – Manage Security Services.
information security incident didalam
tingkat risiko yang dapat diterima perusahaan. APO13 memiliki tiga sub- proses, yaitu : a.
APO13.01 Establish and maintain an
information security management system (ISMS).
b.
APO13.02 Define and manage an
information security risk treatment plan .
c.
APO13.03 Monitor and review the ISMS.
Dalam bisnis analisis gap digunakan untuk menentukan langkah-langkah apa yang perlu diambil untuk berpindah dari kondisi saat ini ke kondisi yang diinginkan atau keadaan masa depan yang diinginkan. Analisis gap dapat juga diartikan sebagai perbandingan kinerja aktual dengan kinerja potensial atau yang diharapkan. Sebagai metoda, analisis gap digunakan sebagai alat evaluasi bisnis yang menitikberatkan pada kesenjangan kinerja perusahaan saat ini dengan kinerja yang sudah ditargetkan sebelumnya.
Analisis Capability Level
Analisis ini juga mengidentifikasi tindakan- tindakan apa saja yang diperlukan untuk mengurangi kesenjangan atau mencapai kinerja
Analisis Gap yang diharapkan pada masa datang (Adi, 2015).
2.6. Analisis SWOT
Analisis SWOT
Menurut Rangkuti (2004) analisis SWOT adalah identifikasi berbagai faktor secara sistematis untuk merumuskan strategi Membuat Rekomendasi perusahaan. Analisis ini didasarkan pada logika yang dapat memaksimalkan kekuatan
Kesimpulan
(Strengths) dan peluang (Opportunities), namun secara bersamaan dapat meminimalkan kelemahan (Weaknesses) dan ancaman
Selesai
(Threats). SWOT adalah singkatan dari lingkungan internal Strengths dan Weaknesses
Gambar 2. Alur Kerja Penelitian
serta lingkungan eksternal Opportunities dan Threats yang dihadapi dunia bisnis. Analisis 1.
Melakukan studi literatur tentang COBIT 5 SWOT membandingkanantara faktor eksternal terutama domain APO pada proses APO13 peluang (Opportunities) dan ancaman (Threats) dan domain DSS pada proses DSS05, dengan faktor internal kekuatan (Strengths) dan sejarah dan profil perusahaan PT Martina kelemahan (Weaknesses).
Berto Tbk dan departemen Corporate IT.
2. Menentukan subjek dan objek penelitian di 3.
METODOLOGI PT Martina Berto Tbk.
Pada Gambar 2 dibawah ini adalah alur 3.
Menentukan responden yang akan mengisi kerja penelitian evaluasi. Dimulai dari studi kuesioner berdasarkan RACI Chart.
4. literatur sampai pengumpulan dan analisis data Melakukan wawancara dan observasi di serta pemberian kesimpulan. departemen Corporate IT dan pengambilan data dengan menggunakan kuesioner kepada responden yang sudah ditentukan.
Mulai kuesioner yang delah diisi.
5. Mengevaluasi dan menganalisis data dari
6. Membuat analis gap dan analisis SWOT
Studi Literatur dari hasil kuesioner yang telah diisi.
7. Membuat rekomendasi dari hasil Evaluasi
Tata Kelola Sistem Keamanan Teknologi
Analisis RACI Chart Informasi.
4. HASIL Pengumpulan Data
4.1. Analisis RACI Chart Wawancara Kuesioner dan
Tabel 1. RACI Chart APO13
Berdasarkan dari Tabel 1 di atas Chief
Information Security Officer memiliki nilai
Accountable
2.1 PA
5.1 PA
4.2 PA
4.1 PA
3.2 PA
3.1 PA
2.2 PA
1.1 PA
1 Responden 2 didapatkan nilai Capability Level pada domain APO proses APO13 dan
1 Level 2 Level 3 Level 4 Level 5 PA
1 Proses DSS05 Level
5.2 L L P P N P N N N
5.1 PA
4.2 PA
4.1 PA
5.2 F L P F P N N N N
domain DSS proses DSS05 adalah level 1. Pada proses APO13 pencapaian level 1 adalah
3.1 PA
APO13 dan domain DSS proses DSS05 adalah level 1. Pada proses APO13 pencapaian level 1 adalah Largely Achieved, pencapaian level 2 adalah Partially Achieved dan Not Achieved, pencapaian level 3 adalah Partially Achieved, pencapaian level 4 adalah Partially Achieved dan Not Achieved, pencapaian level 5 adalah
Wawancara dan observasi dilakukan untuk memverifikasi hasil kuesioner apakah sudah
4.3. Hasil Wawancara dan Observasi
pencapaian level 4 dan 5 adalah Not Achieved.
Partially Achieved, pencapaian level 3 adalah Partially Achieved dan Not Achieved ,
pencapaian level 1 adalah Fully Achieved, pencapaian level 2 adalah Largely Achieved dan
Not Achieved . Sedangkan pada proses DSS05
Capability Level pada domain APO proses
Largely Achieved , pencapaian level 2 adalah Largely Achieved dan Partially Achieved,
Sedangkan responden 3 didapatkan nilai
adalah Partially Achieved, pencapaian level 5 adalah Not Achieved.
Partially Achieved, pencapaian level 3 dan 4
pencapaian level 1 adalah Fully Achieved, pencapaian level 2 adalah Largely Achieved dan
Achieved , pencapaian level 5 adalah Not Achieved . Sedangkan pada proses DSS05
pencapaian level 3 dan 4 adalah Partially
3.2 PA
2.2 PA
tertinggi dengan jumlah 3, Chief
Manager . Sehingga dapat disimpulkan bahwa Manager departemen Corporate IT, Head Programmer dan Supervisor Infrastructure
Security Manager dengan jumlah 6, sedangkan Chief Information Security Officer memiliki
dengan jumlah 7 diikuti oleh Information
Operations memiliki nilai Responsible tertinggi
Berdasarkan dari Tabel 2 di atas Head IT
Tabel 2. RACI Chart DSS05
berkompeten menjadi responden dalam pengisian kuesioner pada domain APO proses APO13.
berperan sebagai Information Security
Chief Information Security Officer , Head Programmer berperan sebagai Head
IT Administration dan Supervisor Infrastructure
Officer dan Chief Information Officer, Head Programmer berperan sebagai Head
berperan sebagai Chief Information Security
Chart , Manager departemen Corporate IT
dan Information Security Manager memiliki nilai Responsible tertinggi dengan jumlah masing-masing 3. Berdasarkan fungsi RACI
Information Officer , Head IT Administration
nilai Accountable tertinggi dengan jumlah 6. Berdasarkan fungsi RACI Chart, Manager departemen Corporate IT berperan sebagai
IT Operations dan Supervisor Infrastructure
2.1 PA
Partially Achieved, pencapaian level 3 adalah Fully Achieved
1.1 PA
1 Level 2 Level 3 Level 4 Level 5 PA
Tabel 3. Hasil Kuesioner Responden 1 Proses APO13 Level
, pencapaian level 4 dan 5 adalah Not Achieved.
Partially Achieved
dan
pencapaian level 1 adalah Fully Achieved, pencapaian level 2 adalah Largely Achieved dan
berperan sebagai Information Security
Achieved , pencapaian level 5 adalah Not Achieved . Sedangkan pada proses DSS05
level 3 dan 4 adalah Partially Achieved dan Not
Achieved , pencapaian level 2 adalah Largely Achieved dan Partially Achieved, pencapaian
Berdasarkan Tabel 3 dibawah dari responden 1 didapatkan nilai Capability Level pada domain APO proses APO13 dan domain DSS proses DSS05 adalah level 1. Pada proses APO13 pencapaian level 1 adalah Largely
berkompeten menjadi responden dalam pengisian kuesioner pada domain DSS proses DSS05.
Manager . Sehingga dapat disimpulkan bahwa Manager departemen Corporate IT, Head Programmer dan Supervisor Infrastructure
4.2. Hasil Kuesioner
sesuai dengan keadaan perusahaan saat ini dan untuk menggali informasi yang lebih mendalam selain data dari kuesioner. Wawancara dilakukan kepada
Mandiri safe deposit box. Kegiatan tersebut telah diatur dalam dokumen Prosedur Kerja Baku ISO serta menggunakan penghancur kertas untuk menghancurkan dokumen penting yang berkaitan dengan keamanan informasi perusahaan.
2. Tidak adanya unit khusus untuk menangani keamanan informasi.
1. Belum adanya dokumen yang membahas pendekatan perusahaan untuk mengelola keamanan informasi, menjalankan teknologi dan bisnis proses yang aman dan sejalan dengan manajemen perusahaan.
Sesuai dengan hasil dari kuesioner dan wawancara serta observasi yang dilakukan kepada pihak PT Martina Berto Tbk, didapatkan temuan sebagai berikut :
4.5. Temuan Hasil Evaluasi
pada level 1 yaitu Performed dan proses DSS05 berada pada level 1 yaitu Performed.
Capability Level untuk proses APO13 berada
dari penilaian Capability Level yang didapatkan dari jawaban kuesioner oleh 3 responden yang telah dipilih sebelumnya. Didapatkan hasil
Tabel 4. Ringkasan Penilaian Capability Level Nama Proses Responden Capability Level APO13 1 1 2 1 3 1 DSS05 1 1 2 1 3 1 Tabel 4 di atas menampilkan ringkasan
pada level 1 telah sesuai dengan keadaan yang sebenarnya di departemen Corporate IT PT Martina Berto Tbk.
security services ) yang masing-masing berada
Berdasarkan hasil dari kuesioner yang telah diisi oleh 3 responden dan wawancara serta observasi yang dilakukan, maka dapat disimpulkan bahwa hasil dari Capability Level domain APO proses APO13 (manage security) dan domain DSS proses DSS05 (manage
4.4. Hasil Capability Level
IT dalam memantau akses ke infrastruktur adalah dengan memasang CCTV dan perangkat fingerprint guna mengawasi akses yang tidak sah. Dalam mengelola dokumen sensitif, perusahaan menyimpan data berharga termasuk physical backup ke dalam
Manager
Corporate
Tindakan yang dilakukan departemen
konfigurasi keamanan dalam aplikasi filtering jaringan. Departemen Corporate IT juga telah memastikan bahwa setiap pengguna memiliki hak akses yang sesuai dengan kebutuhan unit bisnisnya. Belum ada dokumen yang membahas hal tersebut, namun kegiatan tersebut sudah diterapkan pada aplikasi perusahaan.
source , meletakan data center di Indonesia Internet Excange (IIX) dan menggunakan
Dalam mengelola keamanan endpoint departemen Corporate IT telah melakukan tindakan seperti membangun ruang server yang sesuai dengan tujuan keamanan informasi, menggunakan sistem operasi berbasis open
IT telah membuat instalasi jaringan yang tertata untuk konektivitas setiap endpoint sesuai kebutuhan perusahaan. Serta mengkonfigurasi peralatan jaringan dengan cara yang aman.
Dalam hal tindakan pencegahan dan penanggulangan sistem informasi dan teknologi dari Malware, departemen Corporate IT belum memiliki SOP yang membahas hal tersebut, namun kegiatan tersebut sudah terlaksana dengan baik antara lain komputer menggunakan sistem operasi open source yaitu openSuse, penggunaan antivirus pada komputer berbasis Windows, dan penggunaan firewall untuk mengamankan informasi. Dalam hal mengelola keamanan konektivitas, departemen Corporate
sangat diperhatikan, termasuk saran untuk tindakan keamanan (update patches, dll).
hosting services , dimana aspek keamanan
Dari hasil wawancara dan observasi, didapati bahwa departemen Corporate IT telah menjalankan pendekatan untuk mengelola keamanan informasi, menjalankan teknologi dan bisnis proses yang aman dan sejalan dengan manajemen perusahaan. Namun kegiatan tersebut belum terdokumentasi kedalam sebuah dokumen perusahaan. Salah satu tindakan departemen Corporate IT dalam mengelola risiko keamanan informasi adalah dengan melakukan “risk switching” ke perusahaan
Corporate IT PT Martina Berto Tbk.
departemen
3. Dokumentasi pengelolaan risiko keamanan informasi baru dalam hal layanan hosting dengan pihak ketiga saja, sedangkan pengelolaan risiko keamanan informasi yang lain belum ada dokumennya.
4. Penilaian atau pengukuran untuk mengetahui sejauh mana keberhasilan usaha peningkatan keamanan informasi tidak dilanjutkan perusahaan.
5. Belum selesainya dokumen SOP yang mendefinisikan, mengatur dan memberikan pedoman kegiatan dalam prosedur perlindungan sistem informasi dan teknologi dari malware , prosedur pengelolaan keamanan konektivitas, prosedur pengelolaan keamanan endpoint serta prosedur pengelolaan akses ke infrastruktur.
5. Memiliki dokumen SOP yang mendefinisikan, mengatur dan memberikan pedoman kegiatan dalam prosedur perlindungan sistem informasi dan teknologi dari malware , prosedur pengelolaan keamanan konektivitas, prosedur pengelolaan keamanan endpoint serta prosedur pengelolaan akses ke
4. Memiliki dokumen tertulis yang berisi pembahasan pembagian hak akses pengguna sesuai dengan kebutuhan unit bisnisnya.
3. Memiliki dokumen kebijakan keamanan perangkat endpoint sebagai prinsip dasar kegiatan mengelola keamanan endpoint.
2. Memiliki dokumen kebijakan keamanan konektivitas sebagai prinsip dasar kegiatan mengelola keamanan konektivitas. Serta melakukan penetration test secara berkala untuk menilai kecukupan keamanan jaringan dan hasilnya didokumentasikan dengan baik.
1. Memiliki dokumen kebijakan pencegahan perangkat lunak berbahaya sebagai prinsip dasar kegiatan perlindungan dari malware. Serta melakukan evaluasi potensi ancaman di masa mendatang.
5. Memiliki program audit internal keamanan, sebagai salah satu usaha untuk memantau dan menilai apakah peningkatkan efektivitas prosedur dan kebijakan keamanan informasi yang secara berkelanjutan sudah sesuai atau belum. Sedangkan kesenjangan atau gap DSS05 yang dihasilkan antara level saat ini dan level yang ingin dicapai adalah sebesar 1, maka yang perlu dilakukan departemen Corporate IT PT Martina Berto Tbk untuk mencapai target yang diinginkan adalah :
4. Setiap aktivitas pengimplementasian peningkatan keamanan harus memiliki dokumen business case keamanan informasi yang telah disetujui oleh manajemen.
3. Memiliki dokumen tertulis yang berisi rencana penanganan risiko keamanan informasi yang menjelaskan bagaimana risiko keamanan informasi dikelola dan pengelolaan tersebut sejalan dengan strategi perusahaan, serta penanganan risiko keamanan informasi tersebut dapat menjangkau seluruh aspek teknologi informasi.
2. Memiliki dokumen tertulis yang berisi perancangan, penerapan dan pemeliharaan suatu rangkaian prosedur terpadu dan kebijakan-kebijakan dalam mengelola keamanan informasi, menjalankan teknologi dan proses bisnis yang aman serta sejalan dengan manajemen perusahaan.
1. Memiliki suatu unit khusus yang memiliki tugas untuk merencanakan, memantau dan mengatur hal-hal yang berkaitan dengan manajemen keamanan informasi.
Berdasakan Tabel 5 diatas menunjukan bahwa kesenjangan atau gap APO13 yang dihasilkan antara level saat ini dan level yang ingin dicapai adalah sebesar 1, maka yang perlu dilakukan departemen Corporate IT PT Martina Berto Tbk untuk mencapai target yang diinginkan adalah :
Gap APO13 1 2 1 DSS05 1 2 1
Tabel 5. Analisis Gap Keseluruhan Domain Proses Proses Level saat ini Level Target
Berdasakan hasil wawancara didapati bahwa level yang ingin dicapai PT Martina Berto Tbk adalah naik satu tingkat dari nilai yang sudah ada pada setiap domain prosesnya. Tabel 5 menunjukan bahwa hasil Capability Level pada proses APO13 dan DSS05 adalah bernilai 1 dan level yang ingin dicapai kedua proses tersebut adalah 2 sehingga menghasilkan gap masing-masing sebesar 1.
6. Belum ada dokumen yang membahas hak akses pengguna yang sesuai dengan kebutuhan unit bisnisnya. Baru mengacu pada setiap aplikasi yang ada.
5. PEMBAHASAN
5.1. Analisis Gap
5.2. Analisis Capability Level
infrastruktur, dan memantau kegiatan tersebut secara rutin.
Telah melakukan beberapa tindakan untuk melindungi sistem informasi dan teknologi dari malware. Telah membuat instalasi jaringan yang tertata dalam rangka pengamanan konektivitas perusahaan. Telah melakukan beberapa tindakan dalam rangka pengamanan perangkat endpoint. Telah ada pembagian hak akses pengguna pada aplikasi-aplikasi perusahaan yang sesuai dengan kebutuhan unit bisnisnya.
1. Membentuk suatu unit khusus yang memiliki tugas untuk merencanakan, memantau dan mengatur hal-hal yang berkaitan dengan manajemen keamanan informasi.
5.4. Rekomendasi Rekomendasi berdasarkan domain APO13.
Serangan dari luar kearah server perusahaan dengan tujuan memperoleh data dan informasi perusahaan atau membawa perangkat lunak yang bersifat merusak.
Threats Perangkat lunak berbahaya yang semakin modern banyak tersebar.
Terdapat undang-undang yang mengatur tentang akses ilegal sebagai tanda dukungan dari pemerintah dalam usaha keamanan informasi.
Opportunities Banyaknya vendor perangkat lunak seperti anti- malware dan yang lainnya yang tersedia saat ini yang memberikan pembaruan secara berkala dan harganya terjangkau bagi perusahaan.
Terdapat beberapa kelemahan pada teknis teknologi informasi yang menyangkut keamanan.
Belum ada dokumen tertulis yang membahas tentang pembagian hak akses pengguna yang sesuai dengan kebutuhan unit bisnisnya. Belum ada dokumen SOP yang mendefinisikan, mengatur dan memberikan pedoman kegiatan dalam prosedur perlindungan sistem informasi dan teknologi dari malware, pengelolaan keamanan konektivitas, pengelolaan keamanan endpoint serta pengelolaan akses ke infrastruktur.
Weakness Belum ada dokumen tertulis yang membahas kebijakan pencegahan perangkat lunak berbahaya sebagai prinsip dasar dalam usaha perlindungan dari malware, kebijakan keamanan konektivitas sebagai prinsip dasar dalam usaha mengelola keamanan konektivitas, kebijakan keamanan perangkat endpoint sebagai prinsip dasar dalam usaha mengelola keamanan endpoint.
Telah menggunakan beberapa perangkat pengamanan untuk mengelola akses ke infrastruktur. Telah melakukan beberapa tindakan dalam mengelola dokumen sensitif dan output devices. Telah melakukan beberapa tindakan pemantauan infrastruktur seperti memasang perangkat otentifikasi dan pengawasan, serta memanfaatkan pemantauan infrastruktur dari pihak ketiga.
Tabel 7. Analisis SWOT DSS05 Strengths
6. Dari sisi teknis teknologi informasi, memiliki antivirus yang bukan free edition dan memiliki aplikasi antimalware pendukung, memiliki detektor suhu ruang sever yang memberikan data real time, memiliki CCTV digital yang lebih baik.
5.3. Analisis SWOT
Tabel 7 dibawah adalah hasil analisis SWOT pada domain DSS05.
Perusahaan kompetitor yang memiliki tata kelola keamanan informasi yang lebih memadai.
Threats Masih kurangnya tenaga ahli teknologi informasi pada bidang keamanan di Indonesia.
Banyaknya perusahaan konsultan teknologi informasi sebagai tempat untuk mengkonsultasikan usaha pengelolaan keamanan informasi perusahaan.
Opportunities Tersedianya berbagai macam framework atau kerangka kerja tata kelola keamanan teknologi informasi yang bisa digunakan perusahaan dalam merencanakan pengelolaan keamanan informasinya.
Belum ada dokumen tertulis yang membahas rencana penanganan risiko keamanan informasi yang dapat menjangkau seluruh aspek teknologi informasi perusahaan. Tidak adanya kegiatan perusahaan untuk memantau dan menilai peningkatan efektivitas pengelolaan keamanan informasi.
Belum ada dokumen tertulis yang membahas perancangan, penerapan dan pemeliharaan prosedur terpadu dan kebijakan terkait pengelolaan keamanan informasi, menjalankan teknologi dan proses bisnis yang aman serta sejalan dengan manajemen perusahaan.
Weakness Belum ada unit khusus yang bertugas merencanakan, memantau dan mengatur hal-hal yang berkaitan dengan manajemen keamanan informasi.
Memiliki kesadaran untuk menjalankan pendekatan dalam mengelola keamanan informasi, menjalankan teknologi dan proses bisnis yang aman dan sejalan dengan manajemen perusahaan. Pengelolaan resiko keamanan informasi sudah dimulai perusahaan dengan melakukan risk switching dalam hal hosting service dengan perusahaan pihak ketiga. Adanya komunikasi tentang kebutuhan dan manfaat dari peningkatan keamanan informasi dalam internal meeting perusahaan.
Tabel 6. Analisis SWOT APO13 Strengths
Tabel 6 dibawah adalah hasil analisis SWOT pada domain APO13.
2. pengelolaan keamanan konektivitas,
Membuat dokumen tertulis yang berisi perancangan, penerapan dan prosedur pengelolaan keamanan endpoint pemeliharaan suatu rangkaian prosedur serta prosedur pengelolaan akses ke terpadu dan kebijakan-kebijakan dalam infrastruktur, dan memantau kegiatan mengelola keamanan informasi, tersebut secara rutin. menjalankan teknologi dan proses 6.
Membeli antivirus bertipe full edition dan bisnis yang aman serta sejalan dengan membeli aplikasi antimalware pendukung, manajemen perusahaan. memperbarui detektor suhu ruang sever 3. menjadi digital yang dapat memberikan
Membuat dokumen tertulis yang berisi rencana penanganan risiko keamanan alarm perubahan suhu, memperbarui informasi yang menjelaskan bagaimana resolusi CCTV menjadi digital dan risiko keamanan informasi dikelola dan menaikan tingkat warna sehingga citra pengelolaan tersebut sejalan dengan ruang aset IT terlihat lebih jelas. strategi perusahaan, serta penanganan 6. risiko keamanan informasi tersebut KESIMPULAN dapat menjangkau seluruh aspek
Berdasarkan dari hasil penelitian dan teknologi informasi. analisis yang sudah dilakukan pada tata kelola 4. Membuat dan menyetujui dokumen sistem keamanan teknologi informasi di
business case keamanan informasi pada
departemen Corporate IT PT Martina Berto setiap aktivitas pengimplementasian Tbk, maka dapat diambil kesimpulan sebagai peningkatan keamanan serta hasilnya berikut : harus terdokumentasi.
1. dilakukan menggunakan Evaluasi 5.
Menjalankan program audit internal
framework COBIT 5 domain APO (Align,
keamanan, sebagai salah satu usaha
Plan and Organize ) pada proses APO13
untuk memantau dan menilai apakah yaitu manage security dan domain DSS peningkatkan efektivitas prosedur dan
(Deliver, Service and Support) pada proses kebijakan keamanan informasi yang DSS05 yaitu manage security services. secara berkelanjutan sudah sesuai atau
Evaluasi dilakukan dengan melakukan belum. penyebaran kuesioner kepada 3 orang
Rekomendasi berdasarkan domain DSS05. responden sebagai hasil analisis RACI
chart yang kemudian hasilnya divalidasi 1.
Membuat dokumen kebijakan pencegahan dengan observasi dan wawancara. perangkat lunak berbahaya sebagai prinsip dasar kegiatan perlindungan dari malware.
2. Tingkat kemampuan atau Capability Level dari hasil evaluasi tata kelola sistem Serta melakukan evaluasi potensi ancaman keamanan teknologi informasi di di masa mendatang.
2. departemen Corporate IT PT Martina
Membuat dokumen kebijakan keamanan Berto Tbk adalah sebagai berikut : konektivitas sebagai prinsip dasar kegiatan a. mengelola keamanan konektivitas. Serta Tingkat kemampuan atau Capability melakukan penetration test secara berkala Level domain APO pada proses
APO13 (manage security) berada untuk menilai kecukupan keamanan pada level 1 yaitu performed process. jaringan dan hasilnya didokumentasikan dengan baik.
Hasil tersebut menunjukan bahwa proses yang terimplementasi telah
3. Membuat dokumen kebijakan keamanan mencapai tujuan prosesnya, dilakukan perangkat endpoint sebagai prinsip dasar kegiatan mengelola keamanan endpoint. tetapi belum ada manajemennya.
b.
Membuat dokumen tertulis yang berisi
4. Tingkat kemampuan atau Capability
Level domain DSS pada proses
pembahasan pembagian hak akses pengguna sesuai dengan kebutuhan unit DSS05 (manage security services) berada pada level 1 yaitu performed bisnisnya. 5. dokumen SOP yang process . Hasil tersebut menunjukan
Membuat bahwa proses yang terimplementasi mendefinisikan, mengatur dan memberikan telah mencapai tujuan prosesnya, pedoman kegiatan dalam prosedur perlindungan sistem informasi dan dilakukan tetapi belum ada manajemennya. teknologi dari malware , prosedur
3. Framework for the Governance and Setelah mengetahui hasil evaluasi yang menyatakan bahwa departemen Corporate Management of Enterprise IT. Rolling
IT PT Martina Berto Tbk berada pada level Meadows: ISACA. [ebook] 1 untuk proses APO13 dan DSS05,
ISACA (2013) Self-assessment Guide: Using instansi terkait ingin meningkatkan nilai COBIT 5. Rolling Meadows: ISACA.
Capability Level menjadi naik 1 level dari
Martha Tilaar, G. (2010a) Sejarah PT Martina hasil yang telah dicapai saat ini pada kedua Berto TBK. [Online] Tersedia di : prosesnya. Untuk mencapai nilai <http://www.martinaberto.co.id/compa
Capability Level yang diinginkan, maka
ny.php?page=history&lang=id> diberikan rekomendasi sebagai berikut : [Diakses 4 Februari 2017].
a.
Capability Level domain APO pada Rangkuti, F. (2004) ANALISIS SWOT : proses APO13 adalah level 1,
Teknik Membedah Kasus Bisnis. sedangkan Capability Level yang Jakarta: PT Gramedia Pustaka Utama. ingin dicapai adalah level 2, dengan
Suryo, S., Fitroh dan Ratnawati, S. (2014) hasil analisis gap bernilai 1. Untuk mencapai nilai Capability Level yang 'Evaluation of Information Technology
Governance using COBIT
5 diinginkan, maka diperlukan Framework Focus APO13 and DSS05 pembentukan unit khusus yang memanajemeni keamanan informasi, in PPIKSN-BATAN',
IEEE 2014 International Conference on Cyber and membuat dokumen terkait
IT Service Management (CITSM), pp. pengelolaan dan peningkatan keamanan informasi dan penaganan
13 –16.. risiko keamanan informasi, serta menjalankan program audit keamanan untuk memantau dan menilai peningkatan evektivitas manajemen keamanan informasi.
b.
Capability Level domain DSS pada proses DSS05 adalah level 1, sedangkan Capability Level yang ingin dicapai adalah level 2, dengan hasil analisis gap bernilai 1. Untuk mencapai nilai Capability Level yang diinginkan, maka diperlukan pembuatan dokumen terkait pembagian hak akses pengguna, pembuatan dokumen yang berisi kebijakan dan SOP dalam hal perlindungan dari malware, keamanan konektivitas, keamanan perangkat
endpoint dan pengelolaan akses ke
insfrastruktur, serta melakukan pembaruan teknis teknologi informasi dan pemantauan secara rutin.
DAFTAR PUSTAKA
Adi, S. (2015) Gap Analysis (Analisa Kesenjangan) [Online] Tersedia di : <http://sis.binus.ac.id/2015/07/28/gap- analysis-analisa-kesenjangan/> [Diakses 17 Februari 2017].
ISACA (2012a) COBIT 5 Enabling Processes.
Rolling Meadows: ISACA. [ebook]
ISACA (2012b) COBIT 5 A Business