Evaluasi Proses Optimasi Risiko, Pengelolaan Keamanan, dan Pengelolaan Layanan Keamanan Menggunakan Kerangka Kerja COBIT 5 Pada PT Tirta Investama (AQUA) Pandaan
Vol. 2, No. 11, November 2018, hlm. 5437-5445 http://j-ptiik.ub.ac.id
Evaluasi Proses Optimasi Risiko, Pengelolaan Keamanan, dan Pengelolaan
Layanan Keamanan Menggunakan Kerangka Kerja COBIT 5 Pada
PT Tirta Investama (AQUA) Pandaan
1 2 3 Vicky Nur Ardianto , Suprapto , Admaja Dwi HerlambangProgram Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya 1 2 3 Email: vickynurardianto@gmail.com, spttif@ub.ac.id, herlambang@ub.ac.id
Abstrak
PT Tirta Investama (AQUA) Pandaan merupakan salah satu perusahaan yang telah memanfaatkan teknologi informasi (TI) sebagai penunjang proses bisnisnya. Segala aktivitas dikelola langsung oleh divisi Danone Information Systems
(DAN’IS) selaku penanggung jawab atas penyediaan serta pengembangan fasilitas teknologi dan sistem informasi perusahaan. Adanya pemanfaatan teknologi, tentu menimbulkan bahan evaluasi guna menjaga fungsionalitas teknologi agar terus stabil. Penelitian ini bertujuan untuk mengevaluasi proses optimasi risiko, pengelolaan keamanan, dan pengelolaan layanan keamanan. Dua dari tiga proses yang ada merupakan contoh proses yang berkaitan dengan keamanan informasi. Keamanan informasi dipilih sebagai objek audit, karena perusahaan memiliki kebijakan pada dokumen IS Security Policy yang dikelola oleh bidang DAN’IS Security Analyst. Penelitian ini menggunakan kerangka kerja COBIT 5 sebagai referensi utama. Metode penelitian dilakukan dengan cara observasi, wawancara, dan analisis melalui lembar penilaian guna mendeskripsikan kondisi Base Practices (BP), Work Product (WP), Generic Practices (GP), dan
Generic Work Product (GWP) dari proses EDM03 (Ensure Risk Optimization), APO13 (Manage
Security ), dan DSS05 (Manage Security Services). Sehingga diketahui tingkat kapabilitas dari ketiga
proses berada pada level 3. Setiap proses memiliki tingkat kesenjangan yang berbeda-beda. Oleh karena itu, diberikan rekomendasi sebagai pedoman dalam memperbaiki dan meningkatkan kualitas optimasi risiko dan keamanan perusahaan sehingga meraih tingkat pencapaian yang diharapkan.
Kata kunci: evaluasi, optimasi risiko, pengelolaan keamanan, pengelolaan layanan keamanan,
COBIT 5
Abstract
PT Tirta Investama (AQUA) Pandaan is one company that has been utilizing information technology
(IT) to support its business process. All activities are managed directly by the division of Danone
Information Systems (DAN’IS) as the responsible for the provision and development of technology
facilities and corporate information systems. The existence of such utilization, certainly raises the
evaluation material in order to maintain the functionality of technology to keep stable. This study aims
to evaluate the process of ensure risk optimization, manage security, and manage security services.
Two of the three processes are examples of processes related to information security. Information
security is selected as an audit object, since the company has a policy on the IS Security Policy
document managed by the DAN'IS Security Analyst. This study uses the COBIT 5 framework as the
main reference. The research method is doing by observation, interview, and analysis through
assessment sheet to describe the condition of Base Practices (BP), Work Product (WP), Generic
Practices (GP), and Generic Work Product (GWP) of EDM03 (Ensure Risk Optimization), APO13
(Manage Security), and DSS05 (Manage Security Services). So it is known the capability level of the
three processes are at level 3. Each process has different gap levels. Therefore, a recommendation is
given as a guide improving the quality of risk optimization and information security so as to reach the
targeted level of achievement.
Keywords: evaluation, ensure risk optimization, manage security, manage security services, COBIT 5
Fakultas Ilmu Komputer Universitas Brawijaya
5437
1. PENDAHULUAN
proses optimasi risiko, pengelolaan keamanan, dan pengelolaan layanan keamanan menggunakan kerangka kerja COBIT 5 guna menanggulangi permasalahan saat ini.
Oleh karena itu, penelitian ini ditujukan untuk mengetahui tingkat kapabilitas (capability level) dari setiap proses yang dipilih berdasarkan kerangka kerja COBIT 5. Setelah itu, menghitung tingkat kesenjangan (gap level) yang diperoleh dari selisih tingkat pencapaian (targeted level) dengan tingkat kapabilitas (capability level ) yang telah diketahui. Sehingga diciptakan rekomendasi sebagai pedoman dalam memperbaiki dan meningkatkan kualitas proses optimasi risiko, pengelolaan keamanan, dan pengelolaan layanan kemanan perusahaan seperti yang diharapkan.
Sehingga berguna bagi perusahaan dalam menjaga dan meningkatkan kondisi seperti yang mereka inginkan.
level ) guna menghasilkan rekomendasi perbaikan atas masalah yang ditemukan.
Penelitian ini berfokus pada tiga proses yang telah disesuaikan berdasarkan masalah yang ditemukan. Tiga proses yang dimaksud antara lain EDM03 yang berfungsi untuk memastikan optimisasi risiko. Kemudian, APO13 berfungsi untuk pengelolaan keamanan. Terakhir, DSS05 berfungsi untuk pengelolaan terhadap layanan keamanan (ISACA, 2013). Selain itu, juga dilakukan Self Assessment sebagai langkah dalam melakukan analisis dan perhitungan tingkat kapabilitas (capability
Terkait penelitian sekarang, keamanan informasi merupakan proteksi peralatan teknologi informasi, baik secara komputer maupun non-komputer dari segala ancaman dan penyalahgunaan dari pihak luar. Hal ini menjadikan keamanan informasi secara tidak langsung menjamin kelangsungan bisnis, mengurangi berbagai risiko yang terjadi, dan mengoptimalkan pengembalian investasi. Menurut Sarno & Iffano (2009), semakin banyak informasi yang disimpan, dikelola, dan dibagikan maka semakin besar pula risiko terjadi kerusakan, kehilangan atau tereksposnya data ke pihak yang tidak diinginkan.
Pada penelitian sebelumnya, dilakukan studi pustaka terhadap beberapa penelitian dengan topik yang sama. Salah satu penelitian yang dimaksud berasal dari jurnal ilmiah milik Fitrianah pada tahun 2008. Masalah yang ditemukan pada penelitian penulis adalah sering terjadinya kehilangan data, kesalahan dalam pengambilan keputusan, kebocoran data, penyalahgunaan komputer, dan nilai investigasi teknologi informasi yang tinggi tetapi tidak diimbangi dengan pengembalian nilai yang sesuai. Hal ini yang menjadi alasan penulis untuk mengevaluasi teknologi informasi pada objek penelitiannya. Metode yang digunakan penulis dalam penelitiannya terdiri dari empat alur, antara lain penelaahan dokumentasi, observasi, wawancara, serta analisis basis data dan jaringan. Semua metode yang dimaksud didasarkan atas kerangka kerja COBIT 5 dengan hasil akhir berupa rekomendasi perbaikan atas masalah yang ditemukan.
PT Tirta Investama (AQUA) Pandaan merupakan salah satu perusahaan yang telah memanfaatkan teknologi informasi (TI) sebagai pendukung kegiatan bisnis dan operasionalnya. Pemanfaatan ini dikelola langsung oleh divisi
Danone Information Systems
beberapa perusahaan Danone, termasuk PT Tirta Investama (AQUA) Pandaan. Kemudian, beberapa aset pernah mengalami kerusakan hingga kehilangan data akibat serangan
Enterprise Resources Planing (ERP) untuk
Sebab, divisi DAN’IS telah menerapkan sistem informasi berbasis
Selain permasalahan mendasar, ditemukan pula permasalahan lain seperti menurunnya performa sistem karena kurangnya manajamen data. Hal ini akan berimbas terhadap seluruh aktivitas lain yang berkaitan dengan teknologi informasi.
bahwa Danone telah memiliki dua puluh jenis perusahaan air mineral di seluruh Indonesia. Sehingga disimpulkan bahwa, jenis perusahaan ini merupakan salah satu yang terbesar untuk saat ini. Pertukaran informasi menjadi hal wajar dari setiap aktivitas perusahaan. Risiko terjadinya kerusakan, kehilangan hingga tercurinya informasi akan selalu berpotensi. Oleh karena itu, keamanan informasi sangat dibutuhkan dalam aktivitas perusahaan.
DAN’IS Network Analyst pada tanggal 1 Februari 2018, diketahui
(DAN’IS) secara terpusat. DAN’IS merupakan divisi besar yang bertanggung jawab atas semua penyediaan dan pengembangan teknologi informasi untuk seluruh perusahaan Danone. Berdasarkan hasil wawancara dengan pihak
malware seperti virus, worm spyware dan spam . Oleh karena itu, perlu dilakukan evaluasi
2. METODOLOGI
A Board - C o Chief
pada RACI Chart. Sedangkan pada tiga komponen terakhir tidak diketahui jabatan perusahaan yang memiliki tugas relevan dengan peran pada RACI Chart.
Executive dan Strategy Executive Committee
memiliki tugas relevan dengan Business
DAN’IS Network Analyst dan DAN’IS Asset and Server Management sebagai jabatan perusahaan yang
Enterprise Risk Committee
Value Management officer o
Architecture
Human Resources o Compliance o Auditor o Head
Operating Officer o Business
Financial Officer o Chief
DAN’IS Asset and Server Management
Pada bagian ini dijelaskan bagaimana tahapan penelitian dilakukan.
DAN’IS Network Analyst o
Chief Information Officer o
Chief Risk Officer o
Tabel 1. RACI Chart EDM03 Komponen Tugas Jabatan R o
Accountable , Consulted, dan Informed.
RACI Chart merupakan diagram yang disediakan oleh kerangka kerja COBIT 5 sebagai acuan dalam penentuan jenis responden berdasarkan proses yang dipilih dalam penelitian. Jenis responden dibedakan menjadi empat komponen, antara lain Responsible,
3. HASIL Analisis dan Pemetaan RACI Chart
Terakhir, diperoleh kesimpulan dari keseluruhan isi penelitian dan diberikan saran yang ditujukan pada peneliti selanjutnya untuk mengembangkan penelitian menggunakan metode lain. Sehingga memperkaya kajian keilmuan tentang optimasi risiko, pengelolaan keamanan, dan pengelolaan layanan keamanan.
Pada Gambar 1, ditunjukkan tahap penelitian yang mengacu pada kerangka kerja COBIT 5. Terdapat delapan tahapan pada penelitian ini, antara lain yang pertama studi literatur dan pustaka sebagai dasar perolehan referensi untuk penelitian ini. Kedua, analisis profil perusahaan dan RACI Chart sebagai dasar dalam mengetahui gambaran perusahaan dan menentukan responden wawancara berdasarkan struktur organisasi perusahaan. Ketiga, pembuatan pedoman pengumpulan data sebagai dasar untuk mempersiapkan bahan dalam melakukan observasi dan wawancara. Keempat, pengumpulan data yang dilakukan dengan cara observasi, wawancara, dan menganalisis lembar penilaian. Kelima, triangulasi data sebagai proses dalam menguji validitas data dari hasil observasi dan wawancara. Keenam, Self Assessment sebagai langkah untuk mengetahui nilai sementara dari hasil observasi dan wawancara, kemudian dilakukan penilaian formal dengan melibatkan responden secara langsung. Ketujuh, pembuatan rekomendasi berdasarkan hasil observasi, wawancara, dan analisis lembar penilaian.
Gambar 1. Tahap penelitian
- I o
- Berdasarkan Tabel 1, diketahui bahwa komponen Responsible (R) terpilih
Menurut
ISACA (2012:39), EDM03
Komponen Tugas Jabatan
(Ensure Risk Optimization) merupakan salah
Information DAN’IS Security
satu proses dari kerangka kerja COBIT 5 yang
R Security Analyst Manager
berfungsi memastikan bahwa risiko perusahaan
Chief
yang berkaitan dengan penggunaan teknologi
DAN’IS Security A Information
Analyst informasi tidak melampaui risk appetite yang Security Officer o telah ditetapkan. Risk appetite merupakan suatu Business
keadaan dimana perusahaan memutuskan untuk o Executive menerima, memantau, mempertahankan diri,
Strategy C - Executive
atau memaksimalkan diri melalui peluang-
Committee o peluang yang ada. Berdasarkan hasil Compliance o wawancara dengan pihak
DAN’IS Network
o Analyst , diketahui bahwa divisi
AuditorDAN’IS telah
Steering (Programme
menerapkan ketiga Base Practices dari proses
s/Projects )
EDM03 (Ensure Risk Optimization) dengan
I Committee - o menghasilkan beberapa Work Product pada Project level 1, antara lain dokumen IS Security pada
Management
bab Controlling Access to Information serta
Office
dokumen Danone Government (DanGo) pada Berdasarkan Tabel 2, diketahui bahwa
bab IT Operations Control dan Archiving komponen Responsible (R) dan Accountable
Procedures .
(A) terpilih
DAN’IS Security Analyst sebagai
Sedangkan pada level selanjutnya, divisi jabatan perusahaan yang memiliki tugas relevan dengan Information Security Manager dan DAN’IS hanya mampu menerapkan Generic
Practices hingga level 4 pada atribut proses Chief Information Security Officer pada RACI
pertama (PA 4.1) dengan menghasilkan
Chart . Sedangkan pada dua komponen terakhir
beberapa Generic Work Product, antara lain tidak diketahui jabatan perusahaan yang dokumen IS Security Policy pada bab Business memiliki tugas relevan dengan peran pada
Continuity Plan , Global Information Policy, RACI Chart. Asset Management and Data Classification ,
Tabel 3. RACI Chart DSS05 Human Resources Security , dan Controlling Access to Information serta dokumen Danone
Komponen Tugas Jabatan Government (DanGo) pada bab
IS Head IT
R
IT Onsite Interconnection Authorization , Production
Operations Systems Management , dan Critical IS-IT Asset. Chief DAN’IS Security Sehingga disimpulkan bahwa tingkat
A Information Analyst
kapabilitas (capability level) dari proses ini
Security Officer o berada pada level 3 (established process).
Compliance C - o
Auditor o Manage Security (APO13) Head Architect
Menurut ISACA (2012:113), APO13
- I o
Service
(Manage Security) merupakan salah satu proses
Manager
dari kerangka kerja COBIT 5 yang Berdasarkan Tabel 3, diketahui bahwa mendefinisikan, mengoperasikan, dan komponen Responsible (R) dan Accountable mengawasi sistem untuk manajemen keamanan (A) terpilih IT Onsite dan
DAN’IS Security
informasi. Selain itu, fungsi dari proses ini
Analyst sebagai jabatan perusahaan yang
adalah menjaga agar dampak dan kejadian dari memiliki tugas relevan dengan Head IT insiden keamanan informasi tetap berada pada
Operations dan Chief Information Security level risiko yang dapat diterima oleh Officer pada RACI Chart. Sedangkan pada dua
perusahaan. Berdasarkan hasil wawancara komponen terakhir tidak diketahui jabatan dengan pihak
DAN’IS Network Analyst,
perusahaan yang memiliki tugas relevan dengan diketahui bahwa divisi DAN’IS telah peran pada RACI Chart. menerapkan ketiga Base Practices dari proses APO13 (Manage Security ) dengan menghasilkan beberapa Work Product pada
level 1, antara lain dokumen IS Security Policy
3
Sehingga disimpulkan bahwa tingkat kapabilitas (capability level) dari proses ini berada pada level 3 (established process).
Analisis Kesenjangan (Gap Analysis) Tabel 4. Hasil analisis kesenjangan
Proses Targeted Level
Capability Level Gap Level
EDM03
4
3
1 APO13
5
2 DSS05
(DanGo) pada bab
5
3
2 Berdasarkan Tabel 4, diketahui bahwa
ketiga proses memiliki tingkat kesenjangan (gap level) masing-masing 1 level. Targeted
level diketahui berdasarkan hasil wawancara dengan responden yang mewakili setiap proses.
Oleh karena itu, dibutuhkan beberapa rekomendasi guna membantu setiap proses agar dapat meraih targeted level yang diinginkan perusahaan.
Hasil Temuan
Diketahui beberapa hasil temuan dalam pelaksanaan observasi dan wawancara dari penelitian ini. Jenis temuan dibedakan menjadi temuan positif dan negatif, yang antara lain divisi DAN’IS telah memiliki dan menggunakan acuan resmi dalam pelaksanaan setiap prosedur maupun kebijakan perusahaan, yaitu dokumen Danone Government (DanGo) dan
DAN’IS Policy. Kemudian, telah terjalinnya
IS Interconnection Authorization , Production Systems Management , dan Critical IS-IT Asset.
Human Resources Security , dan Controlling Access to Information serta dokumen Danone Government
pada bab Data Center Security dan Controlling
Manage Security Services (DSS05)
Access to Information
serta dokumen Danone
Government (DanGo) pada bab Archiving Procedures .
Sedangkan pada level selanjutnya, divisi DAN’IS hanya mampu menerapkan Generic
Practices hingga level 4 pada atribut proses
pertama (PA 4.1) dengan menghasilkan beberapa Generic Work Product, antara lain dokumen IS Security Policy pada bab Business
Continuity Plan , Global Information Policy, Asset Management and Data Classification , Human Resources Security , dan Controlling Access to Information serta dokumen Danone Government (DanGo) pada bab
IS Interconnection Authorization , Production Systems Management , dan Critical IS-IT Asset.
Sehingga disimpulkan bahwa tingkat kapabilitas (capability level) dari proses ini berada pada level 3 (established process).
Menurut ISACA (2012:191), DSS05 (Manage Security Services) merupakan salah satu proses dari kerangka kerja COBIT 5 yang melindungi informasi perusahaan untuk mempertahankan tingkatan dari keamanan informasi yang dapat diterima oleh perusahaan sesuai dengan kebijaksanaan keamanan.
,
Menetapkan dan mempertahankan peran keamanan informasi dan hak akses serta melakukan pengawasan. Selain itu, fungsi dari proses ini adalah meminimalisasikan dampak bisnis dari kerentanan dan insiden dari keamanan informasi operasional. Berdasarkan hasil wawancara dengan pihak IT Onsite, diketahui bahwa divisi
DAN’IS telah menerapkan ketujuh Base Practices dari proses DSS05 (Manage Security ) dengan menghasilkan beberapa Work Product pada
level 1, antara lain dokumen IS Security Policy
pada bab VMWare Security Guidelines,
Controlling Access to Information , Endpoints Policy serta dokumen Danone Government
(DanGo) pada bab Archiving Procedures.
Sedangkan pada level selanjutnya, divisi DAN’IS hanya mampu menerapkan Generic
Practices hingga level 4 pada atribut proses
pertama (PA 4.1) dengan menghasilkan beberapa Generic Work Product, antara lain dokumen IS Security Policy pada bab Business
Continuity Plan , Global Information Policy, Asset Management and Data Classification
kerja sama dengan dua provider besar Indonesia yaitu Indosat Ooredoo dan Telkomsel sebagai penyedia layanan jaringan pada seluruh perusahaan Danone serta dengan salah satu media sosial besar dunia yaitu Facebook sebagai media komunikasi internal dan sharing data antar staf-staf perusahaan Danone. Beberapa hal itu merupakan temuan positif karena memberi dampak kemajuan bagi divisi DAN’IS. Selain itu, juga ditemukan minimnya staf utama yang bertanggung jawab pada masing- masing bidang dari sub divisi DAN’IS. Setiap bidang hanya memiliki satu orang yang bekerja untuk satu bidang dengan area kerja yang begitu luas. Hal itu merupakan temuan negatif karena minimnya efektivitas dan efisiensi kerja sehingga berpotensi pada kesalahan dalam mengambil keputusan.
Risiko merupakan bagian yang tidak terpisahkan dari kehidupan. Dalam mengatasi risiko tentu dilakukan pengelolaan yang tepat. Jenis pengelolaan didasarkan atas hasil analisis dari suatu masalah yang muncul. Menurut Kerzner (Yasa, 2013:32), pengelolaan risiko merupakan seperangkat kabijakan untuk, mengelola, mengawasi, dan mengendalikan risiko yang muncul. Sebelum melakukan pengelolaan risiko, tentu dilakukan identifikasi dahulu guna mengenali risiko secara komprehensif. Menurut Godfrey (Yasa, 2013:32), dalam mengidentifikasi risiko, dilakukan penentuan sumber risiko secara komprehensif.
Setelah melakukan identifikasi, dilakukan proses klasifikasi risiko. Menurut Flanagan & Norman (Yasa, 2013:32), terdapat tiga cara untuk mengklasifikasikan identifikasi risiko, antara lain dengan mengidentifikasi risiko berdasarkan konsekuensi risiko, jenis, dan pengaruh risiko. Kegiatan selanjutnya adalah melakukan analisis risiko. Terakhir, melakukan penganganan risiko (risk mitigation). Menurut Flanagan & Norman (Yasa, 2013:33), risk
response merupakan tanggapan berdasarkan
risiko yang dilakukan oleh setiap individu atau kelompok dalam pengambilan keputusan, yang dipengaruhi oleh pendekatan risiko (risk attitude ) dari pengambil keputusan.
Berdasarkan hasil evaluasi proses optimasi risiko menggunakan kerangka kerja COBIT 5, diberikan beberapa rekomendasi sebagai langkah dalam memperbaiki dan meningkatkan kualitas keamanan informasi perusahaan. Pada proses ini, terdapat tiga rekomendasi yang disarankan, antara lain melakukan pengelolaan data secara kontinuitas agar meminimalisir penurunan performa sistem yang masih terjadi. Alasan rekomendasi didasarkan atas kurangnya pengelolaan data sehingga menyebabkan penurunan performa sistem. Hal ini tentu berimbas terhadap seluruh aktivitas perusahaan yang berkaitan dengan teknologi informasi, sebab divisi DAN’IS telah menerapkan sistem informasi berbasis Enterprise Resources
Planing (ERP) pada beberapa perusahaan
Danone, tak terkecuali PT Tirta Investama (AQUA) Pandaan.
Rekomendasi kedua adalah membuat dokumen tertulis yang berisi kebijakan atau prosedur tentang risk appetitte perusahaan. Hal ini bertujuan agar risiko perusahaan yang berkaitan dengan teknologi informasi tidak melebihi risk appetite beserta toleransinya. Selain itu, mengidentifikasi dan mengelola dampak risiko teknologi informasi terhadap nilai perusahaan dan meminimalisir potensi kegagalannya. Rekomendasi kedua ini merupakan langkah yang diberikan guna meningkatkan tingkat kapabilitas (capability
4. PEMBAHASAN Ensure Risk Optimization (EDM03)
level ) perusahaan dari kondisi sekarang menuju
kondisi yang diharapkan. Rekomendasi terakhir adalah membentuk team management yang bertanggung jawab penuh atas pengelolaan risiko teknologi informasi pada divisi DAN’IS. Sebab, pengelolaan risiko cenderung dilimpahkan kepada sub divisi IT Support sehingga pengambilan keputusan terkesan kurang efektif.
Manage Security (APO13)
Terdapat perbedaan terhadap dua istilah yang berkaitan dengan dunia teknologi mengenai keamanan teknologi informasi dan keamanan informasi. Menurut Ibrahim & Koswara (2010), keamanan teknologi informasi mengacu pada setiap usaha untuk mengamankan infrastruktur informasi dari setiap gangguan berupa akses ilegal seperti penggunaan jaringan yang tidak diizinkan. Sedangkan keamanan informasi mengacu pada setiap usaha untuk fokus terhadap pengamanan data dan informasi dari sebuah instansi.
Dalam menjamin keamanan operasional tidak hanya terkait teknologi pelindungnya, namun kebijakan yang jelas dalam melakukan keamanan operasional sangat penting karena ancaman sebenarnya adalah berasal dari sumber daya internal instansi. Untuk meminimalisasi ancaman, keamanan operasional harus distandarisasi dan melakukan prosedural yang tepat guna meminimalisir ancaman risiko.
Terdapat delapan rekomendasi yang disarankan sebagai langkah dalam memperbaiki dan meningkatkan kualitas keamanan informasi perusahaan berdasarkan proses APO13 (Manage Security). Rekomendasi pertama adalah memberikan edukasi terhadap seluruh pengguna terkait bagaimana cara untuk membuat password agar mudah diingat. Rekomendasi kedua adalah mengingatkan dan menyarankan para pengguna untuk senantiasa mengganti password dalam rentang waktu yang wajar seperti satu bulan sekali. Rekomendasi ketiga adalah mencegah usaha login ilegal yang dilakukan oleh orang yang tidak dikenali dengan cara meningkatkan tingkat keamanan aplikasi. Rekomendasi keempat adalah mendokumentasikan usaha login yang tidak berhasil dan setiap transaksi yang dilakukan oleh pengguna agar mudah diseleksi berdasarkan data pengguna resmi aplikasi perusahaan.
Rekomendasi kelima adalah melakukan
VMWare Security Guidelines . Rekomendasi
IS Interconnection Authorization . Rekomendasi
Government (DanGo) pada bab
Rekomendasi keempat adalah meninjau ulang tentang kelengkapan dokumen yang berisi pembagian hak akses pengguna sesuai dengan kebutuhan bisnis perusahan sehingga dapat direvisi bilamana ada pengguna baru yang belum terdaftar pada dokumen yang dimaksud. Kebijakan ini tercantum pada dokumen Danone
kecukupan keamanan jaringan yang hasilnya didokumentasikan dengan baik. Kebijakan ini tercantum pada dokumen IS Security Policy pada bab Controlling Access to Information. Rekomendasi ketiga adalah menerapkan kebijakan keamanan dari perangkat akhir (endpoint) seperti laptop, desktop, dan server secara rutin. Kebijakan ini tercantum pada dokumen IS Security Policy pada bab Endpoints Security Policy .
penetration test secara berkala untuk menilai
kedua adalah meningkatkan intensitas pelaksanaan kebijakan keamanan konektivitas sebagai prinsip dasar kegiatan mengelola keamanan konektivitas. Setelah itu, melakukan
Terdapat enam rekomendasi yang disarankan sebagai langkat dalam memperbaiki dan meningkatkan kualitas keamanan informasi perusahaan berdasarkan proses DSS05 (Manage Security Services). Rekomendasi pertama adalah meningkatkan intensitas penerapan kebijakan terhadap penggunaan perangkat lunak (software) yang belum sepenuhnya dikenali guna meminimalisir serangan malware. Kebijakan ini tercantum pada dokumen IS Security Policy pada bab
backup data dan informasi secara berkala seperti 8 atau 12 jam sekali dalam sehari.
Di sisi lain, banyak organisasi yang masih dihadapkan oleh kurangnya sumber daya dalam menjalankan dua peran. Oleh karena itu, kebijakan dalam penentuan staf ini harus direncanakan sedini mungkin sebagai pondasi awal organisasi untuk berinvestasi mengenai kemajuan keamanan teknologi informasi, khusunya keamanan informasi.
upgrade dan sebagai pengajar mengenai kesadaran akan keamanan teknologi informasi.
Dalam melakukan evaluasi keamanan, dibutuhkan ketahanan terhadap keamanan organisasi. Menurut Ibrahim & Koswara (2010), setiap staf keamanan teknologi informasi harus mengerti dan menerapkan kontrol manajemen, operasional, dan teknikal. Bentuk penerapan terhadap semua kontrol tentu membutuhkan staf keamanan yang kompeten. Para staf memiliki dua fungsi utama, antara lain sebagai spesialis pengadaan barang yang meninjau spesifikasi dari sebuah system
Manage Security Services (DSS05)
level ) perusahaan dari kondisi sekarang menuju kondisi yang diharapkan.
Rekomendasi keenam adalah menerapkan program audit internal keamanan guna mengetahui tingkat kualitas keamanan perusahaan dalam tiap waktu sehingga akan dilakukan perbaikan bilamana terjadi permasalahan di dalamnya. Rekomendasi ketujuh adalah membuat dokumen tertulis yang berisi kebijakan atau prosedur tentang pengelolaan terhadap manfaat peningkatan keamanan informasi dan efektivitas manajemen keamanan informasi. Rekomendasi terakhir adalah mendefinisikan hasil tiap proses yang telah dilakukan dengan cara mendokumentasikan kegiatan manajemen keamanan informasi serta mengawasi dan menerapkan manfaat yang diperoleh. Kedua rekomendasi terakhir yang dimaksud merupakan langkah yang diberikan guna meningkatkan tingkat kapabilitas (capability
kelima adalah mengganti atau menambah jenis antivirus dan anti malware bertipe full edition. Rekomendasi terakhir adalah membuat dokumen tertulis yang berisi kebijakan atau prosedur tentang pengelolaan jalannya proses kinerja yang digunakan sebagai prosedur atau panduan dalam mengoperasikan kegiatan layanan keamanan informasi. Rekomendasi terakhir ini merupakan langkah yang diberikan guna meningkatkan tingkat kapabilitas (capability level) perusahaan dari kondisi sekarang menuju kondisi yang diharapkan. kapabilitas (capability level) pada level 3 5.
KESIMPULAN
(established process) sedangkan untuk Berdasarkan hasil evaluasi proses optimasi
targeted level berada pada level 5
risiko, pengelolaan keamanan, dan pengelolaan (optimizing ). Seluruh tingkat
process
layanan keamanan menggunakan kerangka kesenjangan (gap level) diperoleh dari kerja COBIT 5 pada PT Tirta Investama selisih antara targeted level dengan tingkat (AQUA) Pandaan, dipaparkan kesimpulan kapabilitas (capability level) yang telah sebagai berikut. diraih.
1. Diketahui bahwa proses EDM03 (Ensure 3.
Diberikan tiga rekomendasi pada proses
Risk Optimization ) memperoleh tingkat
EDM03 (Ensure Risk Optimization ), kapabilitas (capability level) pada level 3 delapan rekomendasi pada proses APO13
(established process) dengan berhasil (Manage Security), dan enam rekomendasi menerapkan ketiga Base Practices dari pada proses DSS05 (Manage Security proses ini. Selain itu, telah menerapkan
Services ) sebagai saran untuk memperbaiki Generic Practices berdasarkan kriteria
dan meningkatkan kualitas keamanan setiap kondisi hingga level 4 (predictable informasi perusahaan sehingga meraih
process ) pada atribut proses pertama (PA tingkat pencapaian yang diinginkan.
4.1). Kemudian, pada proses APO13 Setelah dipaparkan kesimpulan dari hasil
(Manage Security) diketahui memperoleh penelitian, diberikan saran sebagai penunjang tingkat kapabilitas (capability level) pada evaluasi proses optimasi risiko, pengelolaan
level 3 (established process) pula dengan
keamanan, dan pengelolaan layanan keamanan berhasil menerapkan ketiga Base Practices di kemudian hari. Saran ini ditujukan kepada dari proses ini. Selain itu, juga menerapkan peneliti selanjutnya untuk menggunakan
Generic Practices berdasarkan kriteria
metode lain, seperti indeks Keamanan setiap kondisi hingga level 4 (predictable Informasi (KAMI), ISO 27001, Information
process ) pada atribut proses pertama (PA Technology Infrastructure Library (ITIL), dan
4.1). Terakhir, pada proses DSS05 (Manage metode lainnya. Sehingga memperkaya kajian
Security Services ) diketahui memperoleh
keilmuan tentang optimasi risiko, pengelolaan tingkat kapabilitas (capability level) pada keamanan, dan pengelolaan layanan keamanan.
level 3 (established process) pula dengan
berhasil menerapkan tujuh Base Practices
DAFTAR PUSTAKA
dari proses ini. Selain itu, juga menerapkan Adi, Suroto. 2015. Gap Analysis (Analisa
Generic Practices berdasarkan kriteria
setiap kondisi hingga level 4 (predictable Kesenjangan), [online]. Tersedia di: <https://sis.binus.ac.id/2015/07/28/gap-
process ) pada atribut proses pertama (PA
analysis-analisa-kesenjangan/> 4.1).
2.
[Diakses 5 Maret 2018] Tingkat kesenjangan (gap level) pada
Afrianto, Budi. 2013. Pengertian Risk Appetite, proses EDM03 (Ensure Risk Optimization) Risk Tolerance, dan Risk Attitude, diketahui berada pada 1 level. Hal ini disebabkan proses ini memiliki tingkat [online]. Tersedia di:
<http://www.akademiasuransi.org/2013 kapabilitas (capability level) pada level 3 /05/pengertian-risk-appetite-risk-
(established process) sedangkan untuk
targeted level berada pada level 4 tolerance.html> [Diakses 2 Februari
2018] (predictable process). Kemudian, tingkat Fitrianah, Devi. 2018. Jurnal Sistem Informasi. kesenjangan (gap level) pada proses APO13 (Manage Security) diketahui berada pada 2 Audit Sistem Informasi/Teknologi
Informasi Dengan Kerangka Kerja level . Hal ini disebabkan proses ini COBIT Untuk Evaluasi Manajemen
memiliki tingkat kapabilitas (capability
level ) pada level 3 (established process) Teknologi Informasi Di Universitas XYZ ,
[e-journal]. Tersedia melalui: sedangkan untuk targeted level berada pada
level 5 (optimizing process). Terakhir, <http://jsi.cs.ui.ac.id/index.php/jsi/article/
view/243> [Diakses 9 April 2018] tingkat kesenjangan (gap level) pada proses Ibrahim, R.N., & Hadi Koswara. 2010. Jurnal
DSS05 (Manage Security Services ) diketahui berada pada 2 level. Hal ini Computech & Bisnis. Kerangka Kerja
Manajemen Keamanan Berdasar ISO
disebabkan proses ini memiliki tingkat
27000 Beserta Turunannya Untuk Sistem Pada E
- – Government, [e-
journal] 4(1). Tersedia melalui: <http://jurnal.stmik- mi.ac.id/index.php/jcb/article/view/45> [Diakses 9 April 2018] ISACA. 2012a.
COBIT
5 A Business Framework for the Governance and Management of Enterprise IT . USA: IT Governance Institute.
ISACA. 2012b. COBIT 5 Enabling Processes.
USA: IT Governance Institute.
ISACA. 2012c. COBIT 5 for Information
Security . USA:
IT Governance Institute.
ISACA. 2013a. COBIT 5 for Risk. USA: IT Governance Institute.
ISACA. 2013b. COBIT
5 Processes Assessment . USA: IT Governance
Institute.
ISACA. 2013c. COBIT 5 Self-Assessment
Guide: Using COBIT 5 . USA: IT Governance Institute.
PT TIRTA INVESTAMA. AQUA. DANONE, [online]. Tersedia di: <http://aqua.com/tentang_aqua> [Diakses
1 Februari 2018] Sarno, Ritanarto. Iffano. Irsyat. 2009. Sistem
Manajemen Keamanan Informasi Berbasis ISO 27001 . Surabaya: ITS
Press. Yasa, I.W.W., I.G. B Sila Dharma, dan I Gst.
Ketut Sudipta. 2013. Manajemen Risiko
Operasional Dan Pemeliharaan Tempat Pembuangan Akhir (TPA) Regional Bangli Di Kabupaten Bangli , [e-journal]
1(2). Tersedia melalui: < https://ojs.unud.ac.id/index.php/jsn/article /view/5795> [Diakses 9 April 2018]