PERANCANGAN ENTERPRISE SECURITY ARCHITEC pdf
PERANCANGAN ENTERPRISE SECURITY ARCHITECTURE MELALUI
INTEGRASI ARSITEKTUR KEAMANAN INFORMASI DENGAN
ENTERPRISE ARCHITECTURE (SABSA DAN TOGAF 9.1)
Disusun Dalam Rangka memenuhi Tugas Akhir
Mata Kuliah II5166 Keamanan Informasi Lanjut
Oleh:
NOVIANTO BUDI KURNIAWAN
NIM: 23512176
Program Studi Pasca Sarjana Informatika
Sekolah Teknik Elektro dan Informasi
Institut Teknologi Bandung
2013
DAFTAR ISI
DAFTAR ISI .......................................................................................................................... i
DAFTAR TABEL ................................................................................................................. ii
DAFTAR GAMBAR ............................................................................................................ iii
I.
PENDAHULUAN ........................................................................................................... 1
II.
KAJIAN ARSITEKTUR ............................................................................................... 2
A. ENTERPRISE ARCHITECTURE ............................................................................. 2
B. ARSITEKTUR KEAMANAN (SABSA) .................................................................. 3
1. SABSA Model – Lapisan Arsitektur SABSA......................................................... 3
2. SABSA Lifecycle .................................................................................................... 3
C. INTEGRASI SABSA-TOGAF................................................................................... 4
1. Aturan Integrasi ...................................................................................................... 4
2. Pilar Integrasi TOGAF-SABSA ............................................................................. 4
3. Integrasi SABSA Lifecycle dengan TOGAF-ADM................................................ 5
III.
STUDI KASUS INTEGRASI ...................................................................................... 5
A. STUDI KASUS .......................................................................................................... 5
B. TAHAPAN PENGINTEGRASIAN........................................................................... 5
C. PERMODELAN ENTERPRISE SECURITY ARCHITECTURE (ESA) .................... 8
IV. KESIMPULAN DAN SARAN .................................................................................. 12
DAFTAR PUSTAKA .......................................................................................................... 13
i
DAFTAR TABEL
Tabel 1. Sudut Pandang Arsitektur Keamanan (Security Architecture) ................................ 3
Tabel 2. Matriks Mapping SABSA Lifecycle dengan TOGAF ADM ................................... 6
Tabel 3.1. Output Hasil Mapping pada Fase Strategy & Planning (P1) ............................... 7
Tabel 3.2. Output Hasil Mapping pada Fase Design (P2) ..................................................... 7
Tabel 3.3. Output Hasil Mapping pada Fase Implement (P3) ............................................... 8
Tabel 3.4. Output Hasil Mapping pada Fase Manage and Measure (P4) ............................. 8
Tabel 4.1. Deskripsi Aktifitas untuk Komponen Artefak Security (Contextual Layer) ........ 9
Tabel 4.2. Deskripsi Aktifitas untuk Komponen Artefak Security (Conceptual Layer) ..... 10
Tabel 4.3. Deskripsi Aktifitas untuk Komponen Artefak Security (Logical Layer) ........... 11
ii
DAFTAR GAMBAR
Gambar 1. SABSA Lifecycle (John Sherwood, 2009)........................................................... 4
Gambar 2. Integrasi SABSA Lifecycle kedalam TOGAF-ADM (John Sherwood, 2009) .... 5
Gambar 3. Format Enterprise Security Architecture Direktorat Diseminasi Statistik .......... 9
Gambar 4. Model Integrasi ISMS dengan Enterprise Architecture .................................... 11
Gambar 5. Model Akhir Integrasi Proses ISMS .................................................................. 12
iii
PERANCANGAN ENTERPRISE SECURITY ARCHITECTURE MELALUI
INTEGRASI ARSITEKTUR KEAMANAN INFORMASI DENGAN
ENTERPRISE ARCHITECTURE (SABSA DAN TOGAF 9.1)
Studi Kasus : Direktorat Diseminasi Badan Pusat Statistik
Novianto Budi Kurniawan (NIM. 23512176)
Program Studi Pasca Sarjana Informatika STEI Institut Teknologi Bandung (ITB)
Abstraksi - Keamanan merupakan faktor pertimbangan yang sangat penting dalam
arsitektur organisasi pemerintahan saat ini. Pada level perusahaan/organisasi (enterprise),
keamanan informasi memegang peranan yang sangat penting untuk mendukung tahapan
pengembangan dan penyelarasan arsitektur keamanan sistem dan teknologi informasi
dengan arsitektur proses bisnis. Paper ini membahas perancangan Enterprise Security
Architecture melalui pengintegrasian arsitektur keamanan informasi kedalam Enterprise
Architecture secara sinergis untuk meningkatkan keamanan data dan informasi. Untuk
implementasi dari Enterprise Architecture akan menggunakan TOGAF Versi 9.1,
sedangkan untuk arsitektur keamanan informasi akan menggunakan framework SABSA.
I.
PENDAHULUAN
Keamanan merupakan faktor pertimbangan yang sangat penting dalam arsitektur
organisasi pemerintahan saat ini. Para pemangku kebijakan organisasi (stakeholder) harus
responsif
terhadap
isu-isu
keamanan
yang
ada
seiring
dengan
meningkatnya
ketergantungan arsitektur bisnis organisasi terhadap Teknologi Informasi (TI) [6]. Isu-isu
keamanan tersebut dapat mempengaruhi perencanaan TI, desain sistem informasi,
operasional kegiatan, dan tata kelola TI itu sendiri. Kegagalan dalam mengatasi ancaman
keamanan tersebut akan mengganggu kemampuan organisasi pemerintah untuk
menjalankan visi dan misinya.
Badan Pusat Statistik (BPS) selaku organisasi pemerintahan yang menghasilkan
produk berupa data dan informasi statistik memiliki banyak aset yang digunakan untuk
mencapai tujuan bisnisnya [2], mulai dari sumber daya manusia, data dan informasi,
aplikasi, sampai pada arsitektur teknologi komputer (hardware dan software), dimana
masing-masing aset tersebut membutuhkan pengamanan (security requirement) yang
handal dari berbagai resiko dan ancaman. Pada level enterprise, keamanan informasi
memegang peranan yang sangat penting untuk mendukung tahapan pengembangan serta
penyelarasan arsitektur keamanan sistem dan teknologi informasi dengan arsitektur proses
bisnis di organisasi BPS demi meningkatkan keamanan data dan informasi statistik.
1
Sebagai sebuah enterprise yang sangat bergantung pada teknologi informasi
dengan pengembangan kinerja proses bisnis yang cepat (agile), maka BPS perlu membuat
cetak biru (blueprint) pengembangan dan pengelolaan teknologi informasi sebagai acuan,
panduan dan rencana yang jelas bagi perencanaan serta pengembangan arsitektur BPS
secara keseluruhan, yaitu melalui perancangan sebuah Enterprise Architecture. Menurut
Gartner [2], implementasi dari EA lebih memfokuskan pada penyelarasan antara strategi
bisnis dengan teknologi informasi, sehingga terkadang (bahkan seringkali) melupakan
tingkat keamanan (security) dari arsitektur itu sendiri.
Paper ini membahas konsep perancangan Enterprise Security Architecture (ESA)
Badan Pusat Statistik melalui pengintegrasian arsitektur keamanan informasi kedalam
Enterprise Architecture secara sinergis untuk meningkatkan keamanan data dan informasi
statistik, sehingga tujuan bisnis BPS dapat tercapai. Untuk implementasi dari Enterprise
Architecture akan menggunakan The Open Group Architecture Framework (TOGAF)
Versi 9.1, sedangkan untuk arsitektur keamanan informasi akan menggunakan framework
dari SABSA (Sherwood Applied Business Security Architecture). Hasil dari paper ini
adalah matriks pemetaan (mapping) antara artefak keamanan informasi SABSA dengan
arsitektur TOGAF serta rancangan model konseptual ESA hasil integrasi SABSA dengan
TOGAF.
II.
KAJIAN ARSITEKTUR
A. ENTERPRISE ARCHITECTURE
Enterprise Architecture (EA) adalah sebuah cara untuk membuat tampilan abstrak
dari sebuah perusahaan (enterprise) atau organisasi yang membantu dalam membuat
perencanaan dan keputusan yang lebih baik [3]. Menurut IBM [5], ruang lingkup dari EA
itu tidak hanya terpaku pada perencanaan strategis bisnis perusahaan saja, melainkan
bagaimana menyelaraskan strategi bisnis dengan IT perusahaan tersebut. Lingkup EA tidak
hanya sebatas pada perencanaan teknologi saja, melainkan mencakup perencanaan
strategis sebagai pendorong utama bagi perusahaan dan perencanaan bisnis kebutuhan
sumber daya perusahaan [1]. Berdasarkan definisi tersebut, maka dapat dihasilkan formula
sederhana dari EA, yang melibatkan Strategi (S), Bisnis (B) dan Teknologi (T) :
EA = S + B + T
TOGAF (The Open Group’s Architecture Framework) merupakan sebuah
framework EA yang dikembangkan oleh The Open Group sejak tahun 1995 sampai
2
sekarang [12]. TOGAF ini menyediakan metode dan tools yang digunakan untuk
membangun, mengelola dan mengimplementasikan serta pengembangan dan pemeliharaan
Enterprise Architecture. TOGAF memberikan metode yang detail bagaimana membangun,
mengelola serta mengimplementasikan Enterprise Architecture dengan menggunakan
Architecture Development Method (ADM). Metode ADM ini digunakan sebagai panduan
untuk merencanakan, merancang, mengembangkan dan mengimplementasikan EA.
B. ARSITEKTUR KEAMANAN (SABSA)
SABSA (Sherwood Applied Business Security Architecture) merupakan sebuah
metodologi untuk mengembangkan kerangka keamanan informasi (information security)
yang memberikan jaminan dan solusi infrastruktur keamanan dalam mendukung inisiatif
bisnis pada perusahaan [9]. SABSA adalah arsitektur bisnis yang berorientasi pada solusi
keamanan informasi dengan ide dasar bahwa arsitektur keamanan dirancang untuk
memfasilitasi strategi bisnis tersebut [10]. Hal ini sejalan dengan konsep dari EA TOGAF
dimana strategi bisnis merupakan fokus utama didalam perencanaan arsitektur dan
penyelerasan strategi bisnis dengan tujuan perusahaan [11].
1. SABSA Model – Lapisan Arsitektur SABSA
Model SABSA memiliki 6 (enam) lapisan (layer) yang merepresentasikan sudut
pandang (view) masing-masing peran struktur organisasi saat di-mapping ke dalam lapisan
arsitektur security. Tabel 1 memperlihatkan arsitektur security yang dapat diaplikasikan
kemasing-masing sudut pandang (view) layer tersebut [10].
Tabel 1. Sudut Pandang Arsitektur Keamanan (Security Architecture)
Layer
View
Layer Architecture View
Layer 1
Business View
Contextual Security Architecture
Layer 2
Architect’s View
Conceptual Security Architecture
Layer 3
Designer’s View
Logical Security Architecture
Layer 4
Builder’s View
Physical Security Architecture
Layer 5
Tradesman’s View
Component Security Architecture
Layer 6
Service Manager’s View
Security Service Management Architecture
2. SABSA Lifecycle
Dalam SABSA Lifecycle (Gambar 1), pengembangan arsitektur security pada
lapisan contextual dan conceptual dikelompokkan dalam tahapan Strategi & Perencanaan
(Strategy & Planning). Selanjutnya, tahapan Desain (Design) mencakup lapisan logical,
physical, component, dan security service management. Tahapan ketiga dan keempat
adalah Impelentasi (Implement) serta Pengelolaan & Pengukuran (Manage & Measure).
3
Gambar 1. SABSA Lifecycle (John Sherwood, 2009)
C. INTEGRASI SABSA-TOGAF
1. Aturan Integrasi
SABSA dan TOGAF secara filosofis memiliki persamaan prinsip yang sangat
mirip, yaitu dari sisi pemfokusan bisnis dan memiliki visi arsitektur sebagai sebuah cetak
biru perusahaan (enterprise blueprint). Pada penulisan paper ini, proses integrasi kedua
framework ini dibatasi pada beberapa aturan sebagai berikut [4]:
1. Ketika artefak yang sama muncul pada level arsitektur yang berbeda, level abstraksi
yang digunakan untuk pemetaan (mapping) adalah level arsitektur yang tertinggi.
Melalui cara ini, proses integrasi akan terus fokus pada level perusahaan (enterprise)
sehingga dapat sejalan dengan arsitektur SABSA.
2. Proses mapping dibuat secara praktis dan terstruktur dalam bentuk matriks tabel,
sehingga hasilnya dapat dipahami secara jelas oleh unit organisasi yang akan
menggunakan desain arsitektur tersebut.
3. Ruang lingkup integrasi terbatas pada elemen dan konsep artefak yang paling penting
dan berguna.
2. Pilar Integrasi TOGAF-SABSA
Integrasi TOGAF-SABSA didasarkan pada tiga pilar :
1. Pemilihan
langkah-langkah
keamanan
(security measures)
didasarkan
pada
manajemen resiko dimana pendekatan SABSA dalam implementasi manajemen resiko
didasarkan pada perspektif kebutuhan bisnis (business need).
2. Requirement Management memegang peran sentral dalam pengembangan arsitektur
TOGAF. TOGAF mengintegrasikan pendekatan kebutuhan atribut bisnis SABSA
untuk menyediakan teknik yang kuat dalam membangun arsitektur security [11].
3. Proses integrasi dalam paper ini adalah dengan melakukan proses pemetaan (mapping)
dan permodelan artefak arsitektur security SABSA yang relevan dengan setiap fase
dari TOGAF-ADM.
4
3. Integrasi SABSA Lifecycle dengan TOGAF-ADM
Gambar 2 memperlihatkan ilustrasi integrasi SABSA lifecycle kedalam TOGAFADM, dimana masing-masing fase pada ADM dikelompokkan kedalam masing-masing
tahapan lifecycle pada SABSA. ADM mencakup komponen-komponen artefak (block dan
buliding) yang dihasilkan pada setiap fase, sedangkan SABSA mencakup artefak security
yang secara relevan akan dipetakan (mapping) sesuai dengan fase-fase ADM tersebut [10].
SABSA
Manage
&
Measure
SABSA
Strategy
&
Planning
Phase
SABSA
Implement
Phase
SABSA
Design
Phase
Figure 13: SABSA Lifecycle Phases Mapped to the TOGAF ADM
Gambar 2. Integrasi SABSA Lifecycle kedalam TOGAF-ADM (John Sherwood, 2009)
III.
STUDI KASUS INTEGRASI
A. STUDI KASUS
–
– yang dilakukan pada penulisan paper ini adalah Direktorat Diseminasi
Studi Kasus
Statistik BPS, merupakan unit organisasi BPS dibawah Deputi Bidang Metodologi dan
Informasi Statistik yang mempunyai tugas, fungsi dan peran sebagai pelaksana teknis
utama dalam pelaksanaan Pilar Reformasi Birokrasi Peningkatan Kualitas Pelayanan
Publik [2]. Diseminasi Statistik merupakan unit kerja BPS yang berperan sebagai “pintu
gerbang” keluar masuknya data dan informasi statistik yang mencerminkan perwajahan
produk dan pelayanan Badan Pusat Statistik.
B. TAHAPAN PENGINTEGRASIAN
Berikut ini langkah-langkah (steps) yang dilakukan untuk mengintegrasikan
SABSA kedalam TOGAF-ADM :
•
Step 1 : Mendefinisikan artefak security SABSA yang diintegrasikan ke fase ADM.
•
Step 2 : Melakukan pemetaan (mapping) SABSA Lifecycle dengan TOGAF ADM
5
untuk setiap artefak security SABSA terhadap setiap fase ADM (Tabel 2).
•
Step 3 : Mendefinisikan detail output mapping dari artefak security yang dibutuhkan
oleh setiap fase ADM (Tabel 3.1, Tabel 3.2, Tabel 3.3. dan Tabel 3.4).
•
Step 4 : Mengintegrasikan hasil mapping kedalam model format Enterprise Security
Architecture (Gambar 3).
•
Step 5 : Membuat model integrasi ISMS (Information Security Management System)
ke dalam EA (Gambar 4).
•
Step 6 : Membuat model akhir ESA : integrasi proses ISMS (Gambar 5).
Tabel 2. Matriks Mapping SABSA Lifecycle dengan TOGAF ADM
Fase TOGAF-ADM
Artefak Security SABSA
Strategy & Planning
Preliminary (Pr)
Pr1. Business Drivers
Phase (P1)
(Pr1+Pr2+Pr3+Pr4+Pr5)
Pr2. Security Principles
(P1=P+A)
Pr3. Key Risk Areas
Pr4. Risk Appetite
Pr5. Security Resource Plan
A. Architecture Vision (A1)
A1. Securtity Stakeholders
Design Phase(P2)
B. Business Architecture
B1. Business Risk Model
(P2= B+C+D)
(B1+B2+B3+B4+B5+B6+B7+B8)
B2. Law and Regulation
B3. Control Frameworks
B4. Security Domain Model
B5. Trust Framework
SABSA Lifecycle
B6. Security Organization
B7. Security Policy Architecture
C. Information System Architecture
C1. Security Services Catalog
(C1+C2+C3)
C2. Classification of Services
C3. Security Rules, Practices and
Procedures
D. Technology Architecture
D1. Security Rules, Practices and
(D1+D2)
Procedures
D2. Security Standards
Implement Phase (P3)
E. Opportunities and Solutions
E1. Treatment Risk Assestments
(P3 = E+F+G)
F. Migration Planning
F1. Security Risk Assestments
G. Implementation Governance
G1. Security Managements
(G1+G2+G3)
G2. Security Audits
G3. Security Awareness
Manage & Measure
H. Architecture Change Development
H1. Risk Managements
Phase (P4)
(H1+H2)
H2. Security Architecture
(P4 = H)
Governances
6
Tabel 3.1. Output Hasil Mapping pada Fase Strategy & Planning (P1)
Artefak
Strategy and Planning (P1)
Pr1
Pr2
Output hasil mapping
1.
Taxonomy of Business Assets (Visi, Misi, Strategi dan Tujuan BPS).
2.
Inventory of Operational Processes (SOP Kegiatan Direktorat Diseminasi Statistik BPS).
3.
Organisational Structure (Struktur Organisasi BPS & Direktorat Diseminasi Statistik BPS).
4.
Business Dependences (Tujuan Bisnis dan Relasinya dengan Direktorat Lainnya).
5.
Inventory of Building, Sites and Territories (Gedung, Ruangan dan Peta Lokasi Organisasi).
1.
Prinsip-prinsip security diimplementasikan ke dalam Enterprise Architecture dengan
menggunakan ISO 27001 ISMS (Information Security Management System).
Pr3
Pr4
2.
Menggunakan standar information security : control based standards (ISO 17779).
1.
Opportunities and Threats Inventory (Daftar ancaman dan resiko keamanan).
2.
Arsitektur manajemen resiko keamanan di masing-masing unit organisasi (Diseminasi).
Control Objectives and Policy Architecture (Kebijakan strategis dalam mengantisipasi resiko
keamanan pada arsitektur perusahaan).
Pr5
Daftar sumber daya keamanan (security-resources) yang diperlukan untuk memberikan unsur
keamanan terhadap arsitektur perusahaan.
A1
Daftar semua stakeholder (termasuk yang berhubungan dengan keamanan) untuk menyetujui
arsitektur keamanan (Kepala BPS, Deputi MIS, Direktur Diseminasi Statistik dan Kasubdit).
Tabel 3.2. Output Hasil Mapping pada Fase Design (P2)
Artefak
Output hasil mapping
B1
Model Resiko Bisnis Perusahaan : memperlihatkan daftar resiko keamanan informasi yang
selaras dengan resiko bisnis perusahaan (enterprise).
B2
B3
Design (P2)
B4
1.
Risk Management Rules and Procedures (SOP dan aturan dalam manajemen resiko).
2.
Peraturan Kepala BPS mengenai arsitektur bisnis perusahaan.
1.
Process Mapping Framework (Pemetaan proses monitoring dan evaluasi kegiatan).
2.
Enablement & Control Objectives.
1.
Kerangka dan konsep dari Security Domain.
2.
Domain Maps (Definisi domain security untuk internal dan eksternal perusahaan).
B5
Entity & Trust Framework (Kerangka model security yang dipercaya dengan skema entitas).
B6
Struktur organisasi keamanan perusahaan yang bertanggung jawab dalam menangani
manajemen resiko keamanan dan information security (security risks).
B7
Mencakup beberapa aspek security : physical & information security serta business continuity.
B8
Daftar katalog layanan business yang berelasi dengan keamanan arsitektur perusahaan.
C1
Daftar katalog layanan arsitektur SI yang berelasi dengan keamanan arsitektur (ICT).
C2
Information Assets & Services, Host Platforms, Layout & Networks, dan Access Control System.
C3
Dokumentasi panduan dan petunjuk mengenai prosedur (SOP) dan peraturan keamanan.
D1
Dokumentasi panduan dan petunjuk mengenai prosedur (SOP) dan peraturan keamanan,
khususnya yang berkaitan dengan arsitektur teknologi.
D2
Standar keamanan umum (general), TLS dan SAML.
7
Tabel 3.3. Output Hasil Mapping pada Fase Implement (P3)
Implement (P3)
Artefak
Output hasil mapping
E1
STAT-QAF : kerangka jaminan kualitas implementasi desain arsitektur melalui tools statistik.
F1
SIX SIGMA : kerangka jaminan kualitas implementasi desain security architecture.
G1
1.
Implementasi tata kelola keamanan (security roles and responsibilities).
2.
Penetapan indikator kinerja keamanan dan manajemen resiko (security key performance and
risk indicators).
G2
1.
Review konfigurasi sistem keamanan untuk melihat keselarasan dengan desain perencanaan.
2.
Laporan hasil pemeriksaan (audit) desain, pengembangan, dan pelaksanaan arsitektur
keamanan terhadap tujuan bisnis, kebijakan keamanan, dan tujuan pengendalian.
3.
G3
Functional & non-functional testing, termasuk testing keamanan, kinerja, dan pemeliharaan.
Pelatihan (trainning) kepada para pegawai di unit organisasi BPS mengenai kesadaran dan
pemahaman terhadap komponen dan subsistem arsitektur keamanan yang akan diterapkan.
Tabel 3.4. Output Hasil Mapping pada Fase Manage and Measure (P4)
Artefak
Manage and Measure (P4)
H1
Output hasil mapping
1.
Risk Management Tools & Standards, meliputi tool analisis resiko, daftar resiko yang telah
didaftar, monitoring resiko dan tools laporan manajemen resiko.
2.
Operational Risk Management, meliputi jaminan antisipasi resiko, monitoring antisipasi
resiko dan manajemen resiko serta laporan kegiatan perlakuan (treatment) terhadap resiko
yang dihadapi oleh Direktorat Diseminasi Statistik BPS.
H2
1.
Keputusan mengenai perubahan-perubahan yang harus dilakukan dalam lingkup arsitektur
perusahaan/organisasi sekarang sebagai akibat dari implementasi arsitektur keamanan
2.
Perubahan kebutuhan organisasi (requirement) untuk memenuhi standar keamanan yang
diintegrasikan kedalam arsitektur enterprise (EA).
C. PERMODELAN ENTERPRISE SECURITY ARCHITECTURE (ESA)
Langkah selanjutnya adalah membuat model format arsitektur keamanan organisasi
Direktorat Diseminasi Statistik BPS berdasarkan poin-point (output) hasil mapping antara
artefak security SABSA dengan komponen-komponen dalam TOGAF-ADM. Dalam paper
ini, penulis membatasi model format Enterprise Security Architecture (ESA) tersebut
hanya dalam 3 (tiga) layer teratas, yaitu Contextual Layer, Conceptual Layer dan Logical
Layer (Gambar 6). Struktur layout rancangan model format ESA adalah sebagai berikut :
•
Contextual Layer => Viewpoints AND Business Driver
•
Conceptual Layer => Business Attribute AND Control Objectives
•
Logical Layer => Measures
•
Conceptual AND Logical Layer => [People, Data, Application, Network, Platform,
Physical & Organization]
8
Contextual Layer
Viewpoints
Customer Data
Business owner
Unit ICT
Business assets
Struktur Organisasi
SOP
Business Driver
Business Risk Model
Business Process Analysis
Access-controlled
Available
Authenticated
Confidential
Integrity-Assured
Trustworthy
Maintainability
Usability
Authorised
Measured
Flexibly Secure
Auditable
Security Architecture Lifecycle
Conceptual Layer
Business Attribute
Control Objectives
Data Quality
Risk Management
Policy Architecture
Information Security
Hight Trust
Baseline : Information Security Assurance
Measures
Security Strategies
Security Standards
Logical Layer
Security Patterns, Blueprints, Design Rules, Templates
Security Services & Generic Services
Security Products and Tools
People
Data
Application
Network
Platform
Physical
Organization
Gambar 3. Format Enterprise Security Architecture Direktorat Diseminasi Statistik
Berikut ini penjelasan ringkas mengenai artefak security, komponen dan deskripsi
aktifitas pada format Enterprise Security Architecture Direktorat Diseminasi Statistik BPS
untuk setiap layer tersebut (Tabel 4.1, Tabel 4.2 dan Tabel 4.3).
1. Contextual Layer
Tabel 4.1. Deskripsi Aktifitas untuk Komponen Artefak Security (Contextual Layer)
Artefak Security
Business Viewpoint
Komponen Artefak
Business Assets
Deskripsi Aktifitas
1.
(=>Security Requirement)
Identifikasi
kebutuhan
bisnis
untuk
keamanan informasi.
2.
Memanfaatkan aset bisnis sebagai value
untuk mendukung kebutuhan bisnis terhadap
keamanan informasi.
3.
Identifikasi persyaratan keamanan untuk
menjamin kontinuitas operasional bisnis.
9
4.
Identifikasi persyaratan keamanan untuk
system assurance.
Business Driver
Business Risk Model
Penilaian risiko harus dilakukan oleh organisasi
(=>Risk Assessment)
saat menghadapi resiko bisnis dan memiliki
respon
keamanan
terhadap
berbagai
kemungkinan resiko keamanan yang ditemui,
meliputi beberapa area : brand protection, fraud
protection, loss prevention, business continuity,
confidence of stakeholders dan operational risk.
Business Process Analysis
Melakukan analisis dan identifikasi terhadap
(=>Security for business
persyaratan keamanan yang didorong (driven)
process)
oleh business process, meliputi :
1.
Interaksi business, memerlukan identifikasi
dan otentikasi entitas dari business process.
2.
Komunikasi business antar process.
2. Conceptual Layer
Tabel 4.2. Deskripsi Aktifitas untuk Komponen Artefak Security (Conceptual Layer)
Artefak Security
Komponen Artefak
Deskripsi Aktifitas
Business Attribut
Atribut security yang harus 1.
Identifikasi
Profile
diimplementasikan
membutuhkan proteksi keamanan.
(BAP)
kedalam business assets
2.
business
assets
yang
Mapping atribut security (SABSA) kedalam
business drivers, meliputi :
Control Objectives
•
Access-control
•
Maintainability
•
Availability
•
Usability
•
Authenticated
•
Authorised
•
Confidential
•
Measured
•
Integrity
•
Flexible Secure
•
Trustworthy
•
Auditable
Security Audits dan
Menggunakan tujuan pengendalian (control
Assurance Level
objectives) untuk mengkonseptualkan strategi
(=>Information Security
mitigasi dalam upaya mengatasi resiko business
Assurance)
yang muncul.
Control objectives yang didefinisikan disini
adalah :
10
•
Data Quality
•
Policy
•
Risk Management
•
High
•
Information Security
Trust
3. Logical Layer
Tabel 4.3. Deskripsi Aktifitas untuk Komponen Artefak Security (Logical Layer)
Artefak Security
Measures
Komponen Artefak
Security Strategies
Deskripsi Aktifitas
1.
Security Standards
Identifikasi
strategi
untuk
kebijakan
keamanan dan arsitekturnya.
Security Patterns
2.
Identifikasi pengukuran standar keamanan
Security Services
arsitektur
Security Products & Tools
kematangan arsitektur.
3.
dengan
melihat
tingkat
Identifikasi pengukuran layanan security
pada seluruh entitas yang terlibat pada
arsitektur keamanan organisasi.
Langkah selanjutnya (Step 5) adalah membuat model konseptual integrasi
Information Security Management System (ISMS) kedalam ADM TOGAF (Gambar 4)
berdasarkan artefak-artefak hasil identifikasi yang dilakukan pada step sebelumnya. Pada
tahapan ini, penulis membatasi integrasi tersebut hanya pada 4 (empat) fase ADM saja,
yaitu Strategy, Business, Information System dan Technology.
Gambar 4. Model Integrasi ISMS dengan Enterprise Architecture
11
Langkah terakhir (Step 6) adalah membuat model konseptual akhir dari integrasi
proses ISMS kedalam EA sebagai satu kesatuan proses bisnis yang saling mendukung
(Gambar 5). Pada tahapan ini, penulis mengintegrasikan artefak security (ISMS) sebagai
core business didalam EA Direktorat Diseminasi Statistik BPS.
Gambar 5. Model Akhir Integrasi Proses ISMS
IV.
KESIMPULAN DAN SARAN
Enterprise Security Architecture mengintegrasikan arsitektur keamanan (security)
kedalam
semua
lapisan
arsitektur
perusahaan
(Enterprise
Architecture)
untuk
menyelaraskan arsitektur antara bisnis dengan keamanan. Paper ini mengidentifikasikan
artefak-artefak dari arsitektur keamanan yang bisa dipetakan (mapping) kedalam setiap
komponen EA (Fase ADM) untuk menghasilkan sebuah model konseptual integrasi ISMS
yang dapat menjamin keselarasan tujuan bisnis organisasi (enterprise) dengan arsitektur
keamanan. Dalam paper ini penulis menunjukkan bagaimana ISMS dapat diintegrasikan
pada setiap layer untuk menjamin keselarasan dengan tujuan bisnis organisasi.
Studi kasus pada Direktorat Diseminasi Statistik BPS memperlihatkan bahwa
arsitektur keamanan SABSA dapat diintegrasikan secara sinergis dengan arsitektur
organisasi (EA TOGAF) untuk menghasilkan sebuah Enterprise Security Architecture
yang baik. Untuk meningkatkan arsitektur tersebut, penulis menyarankan kepada pimpinan
BPS untuk berpartisipasi dalam pengembangan ESA sehingga informasi mengenai proses
bisnis dan komponen-komponen yang ada didalamnya dapat digali lebih mendalam.
12
DAFTAR PUSTAKA
[1]
Bernard, Scott A, An Introduction to Enterprise Architecture, Second Edition,
Blomington, USA, Author House, May 2005.
[2]
BPS, Peraturan Kepala Badan Pusat Statistik Nomor 7 Tahun 2008 tentang
Organisasi dan Tata Kerja Badan Pusat Statistik, 2008.
[3]
Gartner, “Enterprise Architecture (EA) ,” Defining IT-Glossary [Online]. Available
: (http://www.gartner.com/it-glossary/enterprise-architecture-ea/). Diakses pada
tanggal 17 Mei 2013.
[4]
Hensel, V., Lemke-Rust, K., "On an Integration of an Information Security
Management System into an Enterprise Architecture," Database and Expert
Systems Applications (DEXA), 2010 Workshop on, pp.354,358, Aug. 30, 2010-Sept.
3, 2010.
[5]
Jensen, Claus T., Ian Charters, Jim Amsden, et all., “Leveraging SOA, BPM and
EA for Strategic Business and IT Alignment,” United States : IBM, December
2008.
[6]
John, D., Robert Crosslin, Debra Dennie, A Practical Approach to Integrating
Information Security into Federal Enterprise Architecture, United States : Logistics
Management Institute, October 2002.
[7]
Naidoo, Chinthal K., Fitting an Information Security Architecture To An Enterprise
Architecture, Johannesburg, South Africa : The University Of Johannesburg,
November 2007.
[8]
Oda, S.M., Huirong Fu, Ye Zhu, "Enterprise information security architecture a
review of frameworks, methodology, and case studies," Computer Science and
Information Technology, 2009. ICCSIT 2009. 2nd IEEE International Conference
on, pp.333,337, 8-11 Aug. 2009.
[9]
SABSA, “SABSA Framework for Security Service Management,“ [Online].
Available : (http://www.sabsa.org/the-sabsa-method/sabsa-ssm.aspx). Diakses pada
tanggal 18 Mei 2013.
[10]
Sherwood, John, Andrew Clark, David Lynas, Enterprise Security Architecture,
London, UK : SABSA Institute, 2009.
[11]
The Open Group, TOGAF® and SABSA® Integration : How SABSA and TOGAF
complement each other to create better architectures, San Fransisco, United States :
The Open Group and SABSA Institute, October 2011.
[12]
The Open Group, 2013, “The Open Group Architecture Framework (TOGAF)
Version 9.1,“ [Online]. Available : (http://www.opengroup.org/togaf/). Diakses
pada tanggal 17 Mei 2013.
13
INTEGRASI ARSITEKTUR KEAMANAN INFORMASI DENGAN
ENTERPRISE ARCHITECTURE (SABSA DAN TOGAF 9.1)
Disusun Dalam Rangka memenuhi Tugas Akhir
Mata Kuliah II5166 Keamanan Informasi Lanjut
Oleh:
NOVIANTO BUDI KURNIAWAN
NIM: 23512176
Program Studi Pasca Sarjana Informatika
Sekolah Teknik Elektro dan Informasi
Institut Teknologi Bandung
2013
DAFTAR ISI
DAFTAR ISI .......................................................................................................................... i
DAFTAR TABEL ................................................................................................................. ii
DAFTAR GAMBAR ............................................................................................................ iii
I.
PENDAHULUAN ........................................................................................................... 1
II.
KAJIAN ARSITEKTUR ............................................................................................... 2
A. ENTERPRISE ARCHITECTURE ............................................................................. 2
B. ARSITEKTUR KEAMANAN (SABSA) .................................................................. 3
1. SABSA Model – Lapisan Arsitektur SABSA......................................................... 3
2. SABSA Lifecycle .................................................................................................... 3
C. INTEGRASI SABSA-TOGAF................................................................................... 4
1. Aturan Integrasi ...................................................................................................... 4
2. Pilar Integrasi TOGAF-SABSA ............................................................................. 4
3. Integrasi SABSA Lifecycle dengan TOGAF-ADM................................................ 5
III.
STUDI KASUS INTEGRASI ...................................................................................... 5
A. STUDI KASUS .......................................................................................................... 5
B. TAHAPAN PENGINTEGRASIAN........................................................................... 5
C. PERMODELAN ENTERPRISE SECURITY ARCHITECTURE (ESA) .................... 8
IV. KESIMPULAN DAN SARAN .................................................................................. 12
DAFTAR PUSTAKA .......................................................................................................... 13
i
DAFTAR TABEL
Tabel 1. Sudut Pandang Arsitektur Keamanan (Security Architecture) ................................ 3
Tabel 2. Matriks Mapping SABSA Lifecycle dengan TOGAF ADM ................................... 6
Tabel 3.1. Output Hasil Mapping pada Fase Strategy & Planning (P1) ............................... 7
Tabel 3.2. Output Hasil Mapping pada Fase Design (P2) ..................................................... 7
Tabel 3.3. Output Hasil Mapping pada Fase Implement (P3) ............................................... 8
Tabel 3.4. Output Hasil Mapping pada Fase Manage and Measure (P4) ............................. 8
Tabel 4.1. Deskripsi Aktifitas untuk Komponen Artefak Security (Contextual Layer) ........ 9
Tabel 4.2. Deskripsi Aktifitas untuk Komponen Artefak Security (Conceptual Layer) ..... 10
Tabel 4.3. Deskripsi Aktifitas untuk Komponen Artefak Security (Logical Layer) ........... 11
ii
DAFTAR GAMBAR
Gambar 1. SABSA Lifecycle (John Sherwood, 2009)........................................................... 4
Gambar 2. Integrasi SABSA Lifecycle kedalam TOGAF-ADM (John Sherwood, 2009) .... 5
Gambar 3. Format Enterprise Security Architecture Direktorat Diseminasi Statistik .......... 9
Gambar 4. Model Integrasi ISMS dengan Enterprise Architecture .................................... 11
Gambar 5. Model Akhir Integrasi Proses ISMS .................................................................. 12
iii
PERANCANGAN ENTERPRISE SECURITY ARCHITECTURE MELALUI
INTEGRASI ARSITEKTUR KEAMANAN INFORMASI DENGAN
ENTERPRISE ARCHITECTURE (SABSA DAN TOGAF 9.1)
Studi Kasus : Direktorat Diseminasi Badan Pusat Statistik
Novianto Budi Kurniawan (NIM. 23512176)
Program Studi Pasca Sarjana Informatika STEI Institut Teknologi Bandung (ITB)
Abstraksi - Keamanan merupakan faktor pertimbangan yang sangat penting dalam
arsitektur organisasi pemerintahan saat ini. Pada level perusahaan/organisasi (enterprise),
keamanan informasi memegang peranan yang sangat penting untuk mendukung tahapan
pengembangan dan penyelarasan arsitektur keamanan sistem dan teknologi informasi
dengan arsitektur proses bisnis. Paper ini membahas perancangan Enterprise Security
Architecture melalui pengintegrasian arsitektur keamanan informasi kedalam Enterprise
Architecture secara sinergis untuk meningkatkan keamanan data dan informasi. Untuk
implementasi dari Enterprise Architecture akan menggunakan TOGAF Versi 9.1,
sedangkan untuk arsitektur keamanan informasi akan menggunakan framework SABSA.
I.
PENDAHULUAN
Keamanan merupakan faktor pertimbangan yang sangat penting dalam arsitektur
organisasi pemerintahan saat ini. Para pemangku kebijakan organisasi (stakeholder) harus
responsif
terhadap
isu-isu
keamanan
yang
ada
seiring
dengan
meningkatnya
ketergantungan arsitektur bisnis organisasi terhadap Teknologi Informasi (TI) [6]. Isu-isu
keamanan tersebut dapat mempengaruhi perencanaan TI, desain sistem informasi,
operasional kegiatan, dan tata kelola TI itu sendiri. Kegagalan dalam mengatasi ancaman
keamanan tersebut akan mengganggu kemampuan organisasi pemerintah untuk
menjalankan visi dan misinya.
Badan Pusat Statistik (BPS) selaku organisasi pemerintahan yang menghasilkan
produk berupa data dan informasi statistik memiliki banyak aset yang digunakan untuk
mencapai tujuan bisnisnya [2], mulai dari sumber daya manusia, data dan informasi,
aplikasi, sampai pada arsitektur teknologi komputer (hardware dan software), dimana
masing-masing aset tersebut membutuhkan pengamanan (security requirement) yang
handal dari berbagai resiko dan ancaman. Pada level enterprise, keamanan informasi
memegang peranan yang sangat penting untuk mendukung tahapan pengembangan serta
penyelarasan arsitektur keamanan sistem dan teknologi informasi dengan arsitektur proses
bisnis di organisasi BPS demi meningkatkan keamanan data dan informasi statistik.
1
Sebagai sebuah enterprise yang sangat bergantung pada teknologi informasi
dengan pengembangan kinerja proses bisnis yang cepat (agile), maka BPS perlu membuat
cetak biru (blueprint) pengembangan dan pengelolaan teknologi informasi sebagai acuan,
panduan dan rencana yang jelas bagi perencanaan serta pengembangan arsitektur BPS
secara keseluruhan, yaitu melalui perancangan sebuah Enterprise Architecture. Menurut
Gartner [2], implementasi dari EA lebih memfokuskan pada penyelarasan antara strategi
bisnis dengan teknologi informasi, sehingga terkadang (bahkan seringkali) melupakan
tingkat keamanan (security) dari arsitektur itu sendiri.
Paper ini membahas konsep perancangan Enterprise Security Architecture (ESA)
Badan Pusat Statistik melalui pengintegrasian arsitektur keamanan informasi kedalam
Enterprise Architecture secara sinergis untuk meningkatkan keamanan data dan informasi
statistik, sehingga tujuan bisnis BPS dapat tercapai. Untuk implementasi dari Enterprise
Architecture akan menggunakan The Open Group Architecture Framework (TOGAF)
Versi 9.1, sedangkan untuk arsitektur keamanan informasi akan menggunakan framework
dari SABSA (Sherwood Applied Business Security Architecture). Hasil dari paper ini
adalah matriks pemetaan (mapping) antara artefak keamanan informasi SABSA dengan
arsitektur TOGAF serta rancangan model konseptual ESA hasil integrasi SABSA dengan
TOGAF.
II.
KAJIAN ARSITEKTUR
A. ENTERPRISE ARCHITECTURE
Enterprise Architecture (EA) adalah sebuah cara untuk membuat tampilan abstrak
dari sebuah perusahaan (enterprise) atau organisasi yang membantu dalam membuat
perencanaan dan keputusan yang lebih baik [3]. Menurut IBM [5], ruang lingkup dari EA
itu tidak hanya terpaku pada perencanaan strategis bisnis perusahaan saja, melainkan
bagaimana menyelaraskan strategi bisnis dengan IT perusahaan tersebut. Lingkup EA tidak
hanya sebatas pada perencanaan teknologi saja, melainkan mencakup perencanaan
strategis sebagai pendorong utama bagi perusahaan dan perencanaan bisnis kebutuhan
sumber daya perusahaan [1]. Berdasarkan definisi tersebut, maka dapat dihasilkan formula
sederhana dari EA, yang melibatkan Strategi (S), Bisnis (B) dan Teknologi (T) :
EA = S + B + T
TOGAF (The Open Group’s Architecture Framework) merupakan sebuah
framework EA yang dikembangkan oleh The Open Group sejak tahun 1995 sampai
2
sekarang [12]. TOGAF ini menyediakan metode dan tools yang digunakan untuk
membangun, mengelola dan mengimplementasikan serta pengembangan dan pemeliharaan
Enterprise Architecture. TOGAF memberikan metode yang detail bagaimana membangun,
mengelola serta mengimplementasikan Enterprise Architecture dengan menggunakan
Architecture Development Method (ADM). Metode ADM ini digunakan sebagai panduan
untuk merencanakan, merancang, mengembangkan dan mengimplementasikan EA.
B. ARSITEKTUR KEAMANAN (SABSA)
SABSA (Sherwood Applied Business Security Architecture) merupakan sebuah
metodologi untuk mengembangkan kerangka keamanan informasi (information security)
yang memberikan jaminan dan solusi infrastruktur keamanan dalam mendukung inisiatif
bisnis pada perusahaan [9]. SABSA adalah arsitektur bisnis yang berorientasi pada solusi
keamanan informasi dengan ide dasar bahwa arsitektur keamanan dirancang untuk
memfasilitasi strategi bisnis tersebut [10]. Hal ini sejalan dengan konsep dari EA TOGAF
dimana strategi bisnis merupakan fokus utama didalam perencanaan arsitektur dan
penyelerasan strategi bisnis dengan tujuan perusahaan [11].
1. SABSA Model – Lapisan Arsitektur SABSA
Model SABSA memiliki 6 (enam) lapisan (layer) yang merepresentasikan sudut
pandang (view) masing-masing peran struktur organisasi saat di-mapping ke dalam lapisan
arsitektur security. Tabel 1 memperlihatkan arsitektur security yang dapat diaplikasikan
kemasing-masing sudut pandang (view) layer tersebut [10].
Tabel 1. Sudut Pandang Arsitektur Keamanan (Security Architecture)
Layer
View
Layer Architecture View
Layer 1
Business View
Contextual Security Architecture
Layer 2
Architect’s View
Conceptual Security Architecture
Layer 3
Designer’s View
Logical Security Architecture
Layer 4
Builder’s View
Physical Security Architecture
Layer 5
Tradesman’s View
Component Security Architecture
Layer 6
Service Manager’s View
Security Service Management Architecture
2. SABSA Lifecycle
Dalam SABSA Lifecycle (Gambar 1), pengembangan arsitektur security pada
lapisan contextual dan conceptual dikelompokkan dalam tahapan Strategi & Perencanaan
(Strategy & Planning). Selanjutnya, tahapan Desain (Design) mencakup lapisan logical,
physical, component, dan security service management. Tahapan ketiga dan keempat
adalah Impelentasi (Implement) serta Pengelolaan & Pengukuran (Manage & Measure).
3
Gambar 1. SABSA Lifecycle (John Sherwood, 2009)
C. INTEGRASI SABSA-TOGAF
1. Aturan Integrasi
SABSA dan TOGAF secara filosofis memiliki persamaan prinsip yang sangat
mirip, yaitu dari sisi pemfokusan bisnis dan memiliki visi arsitektur sebagai sebuah cetak
biru perusahaan (enterprise blueprint). Pada penulisan paper ini, proses integrasi kedua
framework ini dibatasi pada beberapa aturan sebagai berikut [4]:
1. Ketika artefak yang sama muncul pada level arsitektur yang berbeda, level abstraksi
yang digunakan untuk pemetaan (mapping) adalah level arsitektur yang tertinggi.
Melalui cara ini, proses integrasi akan terus fokus pada level perusahaan (enterprise)
sehingga dapat sejalan dengan arsitektur SABSA.
2. Proses mapping dibuat secara praktis dan terstruktur dalam bentuk matriks tabel,
sehingga hasilnya dapat dipahami secara jelas oleh unit organisasi yang akan
menggunakan desain arsitektur tersebut.
3. Ruang lingkup integrasi terbatas pada elemen dan konsep artefak yang paling penting
dan berguna.
2. Pilar Integrasi TOGAF-SABSA
Integrasi TOGAF-SABSA didasarkan pada tiga pilar :
1. Pemilihan
langkah-langkah
keamanan
(security measures)
didasarkan
pada
manajemen resiko dimana pendekatan SABSA dalam implementasi manajemen resiko
didasarkan pada perspektif kebutuhan bisnis (business need).
2. Requirement Management memegang peran sentral dalam pengembangan arsitektur
TOGAF. TOGAF mengintegrasikan pendekatan kebutuhan atribut bisnis SABSA
untuk menyediakan teknik yang kuat dalam membangun arsitektur security [11].
3. Proses integrasi dalam paper ini adalah dengan melakukan proses pemetaan (mapping)
dan permodelan artefak arsitektur security SABSA yang relevan dengan setiap fase
dari TOGAF-ADM.
4
3. Integrasi SABSA Lifecycle dengan TOGAF-ADM
Gambar 2 memperlihatkan ilustrasi integrasi SABSA lifecycle kedalam TOGAFADM, dimana masing-masing fase pada ADM dikelompokkan kedalam masing-masing
tahapan lifecycle pada SABSA. ADM mencakup komponen-komponen artefak (block dan
buliding) yang dihasilkan pada setiap fase, sedangkan SABSA mencakup artefak security
yang secara relevan akan dipetakan (mapping) sesuai dengan fase-fase ADM tersebut [10].
SABSA
Manage
&
Measure
SABSA
Strategy
&
Planning
Phase
SABSA
Implement
Phase
SABSA
Design
Phase
Figure 13: SABSA Lifecycle Phases Mapped to the TOGAF ADM
Gambar 2. Integrasi SABSA Lifecycle kedalam TOGAF-ADM (John Sherwood, 2009)
III.
STUDI KASUS INTEGRASI
A. STUDI KASUS
–
– yang dilakukan pada penulisan paper ini adalah Direktorat Diseminasi
Studi Kasus
Statistik BPS, merupakan unit organisasi BPS dibawah Deputi Bidang Metodologi dan
Informasi Statistik yang mempunyai tugas, fungsi dan peran sebagai pelaksana teknis
utama dalam pelaksanaan Pilar Reformasi Birokrasi Peningkatan Kualitas Pelayanan
Publik [2]. Diseminasi Statistik merupakan unit kerja BPS yang berperan sebagai “pintu
gerbang” keluar masuknya data dan informasi statistik yang mencerminkan perwajahan
produk dan pelayanan Badan Pusat Statistik.
B. TAHAPAN PENGINTEGRASIAN
Berikut ini langkah-langkah (steps) yang dilakukan untuk mengintegrasikan
SABSA kedalam TOGAF-ADM :
•
Step 1 : Mendefinisikan artefak security SABSA yang diintegrasikan ke fase ADM.
•
Step 2 : Melakukan pemetaan (mapping) SABSA Lifecycle dengan TOGAF ADM
5
untuk setiap artefak security SABSA terhadap setiap fase ADM (Tabel 2).
•
Step 3 : Mendefinisikan detail output mapping dari artefak security yang dibutuhkan
oleh setiap fase ADM (Tabel 3.1, Tabel 3.2, Tabel 3.3. dan Tabel 3.4).
•
Step 4 : Mengintegrasikan hasil mapping kedalam model format Enterprise Security
Architecture (Gambar 3).
•
Step 5 : Membuat model integrasi ISMS (Information Security Management System)
ke dalam EA (Gambar 4).
•
Step 6 : Membuat model akhir ESA : integrasi proses ISMS (Gambar 5).
Tabel 2. Matriks Mapping SABSA Lifecycle dengan TOGAF ADM
Fase TOGAF-ADM
Artefak Security SABSA
Strategy & Planning
Preliminary (Pr)
Pr1. Business Drivers
Phase (P1)
(Pr1+Pr2+Pr3+Pr4+Pr5)
Pr2. Security Principles
(P1=P+A)
Pr3. Key Risk Areas
Pr4. Risk Appetite
Pr5. Security Resource Plan
A. Architecture Vision (A1)
A1. Securtity Stakeholders
Design Phase(P2)
B. Business Architecture
B1. Business Risk Model
(P2= B+C+D)
(B1+B2+B3+B4+B5+B6+B7+B8)
B2. Law and Regulation
B3. Control Frameworks
B4. Security Domain Model
B5. Trust Framework
SABSA Lifecycle
B6. Security Organization
B7. Security Policy Architecture
C. Information System Architecture
C1. Security Services Catalog
(C1+C2+C3)
C2. Classification of Services
C3. Security Rules, Practices and
Procedures
D. Technology Architecture
D1. Security Rules, Practices and
(D1+D2)
Procedures
D2. Security Standards
Implement Phase (P3)
E. Opportunities and Solutions
E1. Treatment Risk Assestments
(P3 = E+F+G)
F. Migration Planning
F1. Security Risk Assestments
G. Implementation Governance
G1. Security Managements
(G1+G2+G3)
G2. Security Audits
G3. Security Awareness
Manage & Measure
H. Architecture Change Development
H1. Risk Managements
Phase (P4)
(H1+H2)
H2. Security Architecture
(P4 = H)
Governances
6
Tabel 3.1. Output Hasil Mapping pada Fase Strategy & Planning (P1)
Artefak
Strategy and Planning (P1)
Pr1
Pr2
Output hasil mapping
1.
Taxonomy of Business Assets (Visi, Misi, Strategi dan Tujuan BPS).
2.
Inventory of Operational Processes (SOP Kegiatan Direktorat Diseminasi Statistik BPS).
3.
Organisational Structure (Struktur Organisasi BPS & Direktorat Diseminasi Statistik BPS).
4.
Business Dependences (Tujuan Bisnis dan Relasinya dengan Direktorat Lainnya).
5.
Inventory of Building, Sites and Territories (Gedung, Ruangan dan Peta Lokasi Organisasi).
1.
Prinsip-prinsip security diimplementasikan ke dalam Enterprise Architecture dengan
menggunakan ISO 27001 ISMS (Information Security Management System).
Pr3
Pr4
2.
Menggunakan standar information security : control based standards (ISO 17779).
1.
Opportunities and Threats Inventory (Daftar ancaman dan resiko keamanan).
2.
Arsitektur manajemen resiko keamanan di masing-masing unit organisasi (Diseminasi).
Control Objectives and Policy Architecture (Kebijakan strategis dalam mengantisipasi resiko
keamanan pada arsitektur perusahaan).
Pr5
Daftar sumber daya keamanan (security-resources) yang diperlukan untuk memberikan unsur
keamanan terhadap arsitektur perusahaan.
A1
Daftar semua stakeholder (termasuk yang berhubungan dengan keamanan) untuk menyetujui
arsitektur keamanan (Kepala BPS, Deputi MIS, Direktur Diseminasi Statistik dan Kasubdit).
Tabel 3.2. Output Hasil Mapping pada Fase Design (P2)
Artefak
Output hasil mapping
B1
Model Resiko Bisnis Perusahaan : memperlihatkan daftar resiko keamanan informasi yang
selaras dengan resiko bisnis perusahaan (enterprise).
B2
B3
Design (P2)
B4
1.
Risk Management Rules and Procedures (SOP dan aturan dalam manajemen resiko).
2.
Peraturan Kepala BPS mengenai arsitektur bisnis perusahaan.
1.
Process Mapping Framework (Pemetaan proses monitoring dan evaluasi kegiatan).
2.
Enablement & Control Objectives.
1.
Kerangka dan konsep dari Security Domain.
2.
Domain Maps (Definisi domain security untuk internal dan eksternal perusahaan).
B5
Entity & Trust Framework (Kerangka model security yang dipercaya dengan skema entitas).
B6
Struktur organisasi keamanan perusahaan yang bertanggung jawab dalam menangani
manajemen resiko keamanan dan information security (security risks).
B7
Mencakup beberapa aspek security : physical & information security serta business continuity.
B8
Daftar katalog layanan business yang berelasi dengan keamanan arsitektur perusahaan.
C1
Daftar katalog layanan arsitektur SI yang berelasi dengan keamanan arsitektur (ICT).
C2
Information Assets & Services, Host Platforms, Layout & Networks, dan Access Control System.
C3
Dokumentasi panduan dan petunjuk mengenai prosedur (SOP) dan peraturan keamanan.
D1
Dokumentasi panduan dan petunjuk mengenai prosedur (SOP) dan peraturan keamanan,
khususnya yang berkaitan dengan arsitektur teknologi.
D2
Standar keamanan umum (general), TLS dan SAML.
7
Tabel 3.3. Output Hasil Mapping pada Fase Implement (P3)
Implement (P3)
Artefak
Output hasil mapping
E1
STAT-QAF : kerangka jaminan kualitas implementasi desain arsitektur melalui tools statistik.
F1
SIX SIGMA : kerangka jaminan kualitas implementasi desain security architecture.
G1
1.
Implementasi tata kelola keamanan (security roles and responsibilities).
2.
Penetapan indikator kinerja keamanan dan manajemen resiko (security key performance and
risk indicators).
G2
1.
Review konfigurasi sistem keamanan untuk melihat keselarasan dengan desain perencanaan.
2.
Laporan hasil pemeriksaan (audit) desain, pengembangan, dan pelaksanaan arsitektur
keamanan terhadap tujuan bisnis, kebijakan keamanan, dan tujuan pengendalian.
3.
G3
Functional & non-functional testing, termasuk testing keamanan, kinerja, dan pemeliharaan.
Pelatihan (trainning) kepada para pegawai di unit organisasi BPS mengenai kesadaran dan
pemahaman terhadap komponen dan subsistem arsitektur keamanan yang akan diterapkan.
Tabel 3.4. Output Hasil Mapping pada Fase Manage and Measure (P4)
Artefak
Manage and Measure (P4)
H1
Output hasil mapping
1.
Risk Management Tools & Standards, meliputi tool analisis resiko, daftar resiko yang telah
didaftar, monitoring resiko dan tools laporan manajemen resiko.
2.
Operational Risk Management, meliputi jaminan antisipasi resiko, monitoring antisipasi
resiko dan manajemen resiko serta laporan kegiatan perlakuan (treatment) terhadap resiko
yang dihadapi oleh Direktorat Diseminasi Statistik BPS.
H2
1.
Keputusan mengenai perubahan-perubahan yang harus dilakukan dalam lingkup arsitektur
perusahaan/organisasi sekarang sebagai akibat dari implementasi arsitektur keamanan
2.
Perubahan kebutuhan organisasi (requirement) untuk memenuhi standar keamanan yang
diintegrasikan kedalam arsitektur enterprise (EA).
C. PERMODELAN ENTERPRISE SECURITY ARCHITECTURE (ESA)
Langkah selanjutnya adalah membuat model format arsitektur keamanan organisasi
Direktorat Diseminasi Statistik BPS berdasarkan poin-point (output) hasil mapping antara
artefak security SABSA dengan komponen-komponen dalam TOGAF-ADM. Dalam paper
ini, penulis membatasi model format Enterprise Security Architecture (ESA) tersebut
hanya dalam 3 (tiga) layer teratas, yaitu Contextual Layer, Conceptual Layer dan Logical
Layer (Gambar 6). Struktur layout rancangan model format ESA adalah sebagai berikut :
•
Contextual Layer => Viewpoints AND Business Driver
•
Conceptual Layer => Business Attribute AND Control Objectives
•
Logical Layer => Measures
•
Conceptual AND Logical Layer => [People, Data, Application, Network, Platform,
Physical & Organization]
8
Contextual Layer
Viewpoints
Customer Data
Business owner
Unit ICT
Business assets
Struktur Organisasi
SOP
Business Driver
Business Risk Model
Business Process Analysis
Access-controlled
Available
Authenticated
Confidential
Integrity-Assured
Trustworthy
Maintainability
Usability
Authorised
Measured
Flexibly Secure
Auditable
Security Architecture Lifecycle
Conceptual Layer
Business Attribute
Control Objectives
Data Quality
Risk Management
Policy Architecture
Information Security
Hight Trust
Baseline : Information Security Assurance
Measures
Security Strategies
Security Standards
Logical Layer
Security Patterns, Blueprints, Design Rules, Templates
Security Services & Generic Services
Security Products and Tools
People
Data
Application
Network
Platform
Physical
Organization
Gambar 3. Format Enterprise Security Architecture Direktorat Diseminasi Statistik
Berikut ini penjelasan ringkas mengenai artefak security, komponen dan deskripsi
aktifitas pada format Enterprise Security Architecture Direktorat Diseminasi Statistik BPS
untuk setiap layer tersebut (Tabel 4.1, Tabel 4.2 dan Tabel 4.3).
1. Contextual Layer
Tabel 4.1. Deskripsi Aktifitas untuk Komponen Artefak Security (Contextual Layer)
Artefak Security
Business Viewpoint
Komponen Artefak
Business Assets
Deskripsi Aktifitas
1.
(=>Security Requirement)
Identifikasi
kebutuhan
bisnis
untuk
keamanan informasi.
2.
Memanfaatkan aset bisnis sebagai value
untuk mendukung kebutuhan bisnis terhadap
keamanan informasi.
3.
Identifikasi persyaratan keamanan untuk
menjamin kontinuitas operasional bisnis.
9
4.
Identifikasi persyaratan keamanan untuk
system assurance.
Business Driver
Business Risk Model
Penilaian risiko harus dilakukan oleh organisasi
(=>Risk Assessment)
saat menghadapi resiko bisnis dan memiliki
respon
keamanan
terhadap
berbagai
kemungkinan resiko keamanan yang ditemui,
meliputi beberapa area : brand protection, fraud
protection, loss prevention, business continuity,
confidence of stakeholders dan operational risk.
Business Process Analysis
Melakukan analisis dan identifikasi terhadap
(=>Security for business
persyaratan keamanan yang didorong (driven)
process)
oleh business process, meliputi :
1.
Interaksi business, memerlukan identifikasi
dan otentikasi entitas dari business process.
2.
Komunikasi business antar process.
2. Conceptual Layer
Tabel 4.2. Deskripsi Aktifitas untuk Komponen Artefak Security (Conceptual Layer)
Artefak Security
Komponen Artefak
Deskripsi Aktifitas
Business Attribut
Atribut security yang harus 1.
Identifikasi
Profile
diimplementasikan
membutuhkan proteksi keamanan.
(BAP)
kedalam business assets
2.
business
assets
yang
Mapping atribut security (SABSA) kedalam
business drivers, meliputi :
Control Objectives
•
Access-control
•
Maintainability
•
Availability
•
Usability
•
Authenticated
•
Authorised
•
Confidential
•
Measured
•
Integrity
•
Flexible Secure
•
Trustworthy
•
Auditable
Security Audits dan
Menggunakan tujuan pengendalian (control
Assurance Level
objectives) untuk mengkonseptualkan strategi
(=>Information Security
mitigasi dalam upaya mengatasi resiko business
Assurance)
yang muncul.
Control objectives yang didefinisikan disini
adalah :
10
•
Data Quality
•
Policy
•
Risk Management
•
High
•
Information Security
Trust
3. Logical Layer
Tabel 4.3. Deskripsi Aktifitas untuk Komponen Artefak Security (Logical Layer)
Artefak Security
Measures
Komponen Artefak
Security Strategies
Deskripsi Aktifitas
1.
Security Standards
Identifikasi
strategi
untuk
kebijakan
keamanan dan arsitekturnya.
Security Patterns
2.
Identifikasi pengukuran standar keamanan
Security Services
arsitektur
Security Products & Tools
kematangan arsitektur.
3.
dengan
melihat
tingkat
Identifikasi pengukuran layanan security
pada seluruh entitas yang terlibat pada
arsitektur keamanan organisasi.
Langkah selanjutnya (Step 5) adalah membuat model konseptual integrasi
Information Security Management System (ISMS) kedalam ADM TOGAF (Gambar 4)
berdasarkan artefak-artefak hasil identifikasi yang dilakukan pada step sebelumnya. Pada
tahapan ini, penulis membatasi integrasi tersebut hanya pada 4 (empat) fase ADM saja,
yaitu Strategy, Business, Information System dan Technology.
Gambar 4. Model Integrasi ISMS dengan Enterprise Architecture
11
Langkah terakhir (Step 6) adalah membuat model konseptual akhir dari integrasi
proses ISMS kedalam EA sebagai satu kesatuan proses bisnis yang saling mendukung
(Gambar 5). Pada tahapan ini, penulis mengintegrasikan artefak security (ISMS) sebagai
core business didalam EA Direktorat Diseminasi Statistik BPS.
Gambar 5. Model Akhir Integrasi Proses ISMS
IV.
KESIMPULAN DAN SARAN
Enterprise Security Architecture mengintegrasikan arsitektur keamanan (security)
kedalam
semua
lapisan
arsitektur
perusahaan
(Enterprise
Architecture)
untuk
menyelaraskan arsitektur antara bisnis dengan keamanan. Paper ini mengidentifikasikan
artefak-artefak dari arsitektur keamanan yang bisa dipetakan (mapping) kedalam setiap
komponen EA (Fase ADM) untuk menghasilkan sebuah model konseptual integrasi ISMS
yang dapat menjamin keselarasan tujuan bisnis organisasi (enterprise) dengan arsitektur
keamanan. Dalam paper ini penulis menunjukkan bagaimana ISMS dapat diintegrasikan
pada setiap layer untuk menjamin keselarasan dengan tujuan bisnis organisasi.
Studi kasus pada Direktorat Diseminasi Statistik BPS memperlihatkan bahwa
arsitektur keamanan SABSA dapat diintegrasikan secara sinergis dengan arsitektur
organisasi (EA TOGAF) untuk menghasilkan sebuah Enterprise Security Architecture
yang baik. Untuk meningkatkan arsitektur tersebut, penulis menyarankan kepada pimpinan
BPS untuk berpartisipasi dalam pengembangan ESA sehingga informasi mengenai proses
bisnis dan komponen-komponen yang ada didalamnya dapat digali lebih mendalam.
12
DAFTAR PUSTAKA
[1]
Bernard, Scott A, An Introduction to Enterprise Architecture, Second Edition,
Blomington, USA, Author House, May 2005.
[2]
BPS, Peraturan Kepala Badan Pusat Statistik Nomor 7 Tahun 2008 tentang
Organisasi dan Tata Kerja Badan Pusat Statistik, 2008.
[3]
Gartner, “Enterprise Architecture (EA) ,” Defining IT-Glossary [Online]. Available
: (http://www.gartner.com/it-glossary/enterprise-architecture-ea/). Diakses pada
tanggal 17 Mei 2013.
[4]
Hensel, V., Lemke-Rust, K., "On an Integration of an Information Security
Management System into an Enterprise Architecture," Database and Expert
Systems Applications (DEXA), 2010 Workshop on, pp.354,358, Aug. 30, 2010-Sept.
3, 2010.
[5]
Jensen, Claus T., Ian Charters, Jim Amsden, et all., “Leveraging SOA, BPM and
EA for Strategic Business and IT Alignment,” United States : IBM, December
2008.
[6]
John, D., Robert Crosslin, Debra Dennie, A Practical Approach to Integrating
Information Security into Federal Enterprise Architecture, United States : Logistics
Management Institute, October 2002.
[7]
Naidoo, Chinthal K., Fitting an Information Security Architecture To An Enterprise
Architecture, Johannesburg, South Africa : The University Of Johannesburg,
November 2007.
[8]
Oda, S.M., Huirong Fu, Ye Zhu, "Enterprise information security architecture a
review of frameworks, methodology, and case studies," Computer Science and
Information Technology, 2009. ICCSIT 2009. 2nd IEEE International Conference
on, pp.333,337, 8-11 Aug. 2009.
[9]
SABSA, “SABSA Framework for Security Service Management,“ [Online].
Available : (http://www.sabsa.org/the-sabsa-method/sabsa-ssm.aspx). Diakses pada
tanggal 18 Mei 2013.
[10]
Sherwood, John, Andrew Clark, David Lynas, Enterprise Security Architecture,
London, UK : SABSA Institute, 2009.
[11]
The Open Group, TOGAF® and SABSA® Integration : How SABSA and TOGAF
complement each other to create better architectures, San Fransisco, United States :
The Open Group and SABSA Institute, October 2011.
[12]
The Open Group, 2013, “The Open Group Architecture Framework (TOGAF)
Version 9.1,“ [Online]. Available : (http://www.opengroup.org/togaf/). Diakses
pada tanggal 17 Mei 2013.
13