Analisis Kematangan Sistem Manajemen Kea
Tugas Makalah
Manajemen Bisnis ICT
Analisis Kematangan Sistem Manajemen
Keamanan Informasi Diukur Menggunakan
Indeks Keamanan Informasi
(Studi Kasus Badan Pendidikan dan Pelatihan Keuangan)
Oleh :
AHMAD FIRDAUSI
55415110007
DOSEN : DR.IR. IWAN KRISNADI, MBA
PROGRAM PASCA SARJANA TEKNIK ELEKTRO
UNIVERSITAS MERCU BUANA
2015
Analisis Kematangan Sistem Manajemen Keamanan Informasi
Diukur Menggunakan Indeks Keamanan Informasi
(Studi kasus Badan Pendidikan Dan Pelatihan Keuangan)
Abstrak
Penelitian ini berisi tentang hasil analisis kematangan Sistem Manajemen
Keamanan Informasi (SMKI) yang ada di Badan Pendidikan dan Pelatihan
Keuangan diukurmenggunakan Indeks Keamanan Informasi (Indeks KAMI).
Analisis yang dilakukan meliputi kelengkapan dan kematangan SMKI sesuai
pedoman penggunaan Indeks Keamanan Informasi.
Hasil analisis kelengkapan dan kematangan SMKI berada pada tingkat
rendah dengan ketergantungan organisasi terhadap teknologi informasi dan
komunikasi di tingkat sedang. Penyebab rendahnya tingkat kematangan SMKI
diantaranya;rendahnya tingkat awareness dari pimpinan dan pegawai terkait
SMKI, lemahnya dokumentasi kegiatan, dan pengembangan aplikasi beserta
infrastruktur yang bersifat reaktif.
Untuk menjawab sejumlah tantangan yang harus dihadapi terkait
penerapan SMKI ini, BPPK perlu meningkatkan awareness pimpinan dan
pegawaiterkait penting SMKI, mengembangkanICT Blueprint BPPKyang
memungkinkan pengembangan aplikasi dan infrastruktur BPPK dapat dilakukan
secara terencana, terintegrasi, dan komprehensif dan menyempurnakan SOP di
lingkungan BPPK untuk mendukung peralihan proses bisnis dari paper-based
menjadi
technology-based
administration
sekaligus
untuk
menumbuhkembangkan budaya pendokumentasian data dan informasi di
lingkungan BPPK.
Keywords : Keamanan Informasi, SMKI, Indeks KAMI, Badan Pendidikan dan
Pelatihan Keuangan
BAB I
PENDAHULUAN
A. Latar Belakang
Informasi merupakan salah satu aset penting yang berharga bagi
kelangsungan hidupsuatu organisasi/bisnis, pertahanan keamanan dan keutuhan
negara, kepercayaan publik ataukonsumen, sehingga harus dijaga ketersediaan,
ketepatan dan keutuhannya. Informasidapat disajikan dalam berbagai format
seperti: teks, gambar, audio, maupun video.
Manajemen keamanan informasi menjadi sangat penting di era modern
saat ini, di manaperkembangan teknologi saat ini telah memudahkan orang
dalam memperoleh informasi. Kemudahan ini terlihat dengan peningkatan jumlah
pengunjung internet dari tahun ke tahun. Hal ini tampakpadagambar 1.1grafik
pengunjung internet Indonesia tahun dari 1998-2012 yang bersumber dari
Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) di bawah ini.
Gambar 1. 1Grafik Pengunjung Internet Indonesia Selama Tahun 1998 - 2012
1
Sumber: http://www.apjii.or.id
1
BAB I PENDAHULUAN
Selain itu, perkembangan teknologi juga miningkatkan ancaman terhadap
pengelolaan informasi. Hal ini tampak pada gambar 1.2 hasil survei yang
dilakukan oleh Information Security Breaches Survey (ISBS)pada tahun 2010
yang berpusat di Inggris.
Gambar 1.2Persentase Ancaman Keamanan Sistem Informasi
Tahun 1998 - 2010
Sumber: Information Security Breaches Survey
Dari Gambar 1.2 di atas dapat jelaskan bahwa pada tahun 1998 - 2004
terjadi peningkatan ancaman terhadap keamanan informasi organisasi dari
18%menjadi 68%. Selanjutnya, ancaman tersebut menurun pada tahun 2004 –
2008 dari 68% menjadi 35%. Ancaman kembali meningkat pada tahun 2010 yaitu
74% untuk organisasi kecil dan 90% untuk organisasi besar.
ISBS juga mempublikasikan hasil surveinya terkait jenis ancaman
keamanan informasi padatahun 2010 dan 2012 untuk organisasi besar dan kecil.
Hasil survei tersebut tampak pada gambar 1.3 berikut:
2
BAB I PENDAHULUAN
Gambar 1.3Persentase Ancaman Keamanan Sistem Informasi
Tahun 2010 dan 2012
Sumber: diolah dari hasil survei Information Security Breaches Survey 2012
Berdasarkan gambar 1.3 di atas, jenis ancaman yang paling tinggi pada
organisasi besar di tahun 2012 adalah insiden ancaman yang dilakukan oleh
pegawai atau staf sebesar 82%. Jenis ancaman di tingkat bawah berikutnya
disebabkan oleh attacker/hacker sebesar 73%, data korup atau kegagalan sistem
sebesar 66%,
virus atau program berbahaya sebesar 59% dan terakhir
disebabkan oleh kecurangan sebesar 53%.
Di tingkat nasional, Indonesia Computer Emergency Response Team(IDCERT) melaporkanbahwa jumlah insiden yang masuk sepanjang tahun 2011
adalah sebanyak 1.057.333. Untuk rata-rata insden yang terjadi per bulan pada
tahun 2010 sebanyak 290.297 laporan dan tahun 2011 sebanyak 88.111
laporan. Dari laporan insiden yang masuk dapat disajikan dalam bentuk grafik
seperti tampakpada gambar berikut:
BAB I PENDAHULUAN
Gambar 1. 4 Persentase Insiden Keamanan Informasi
Spam Komplain
0.00%
0.01%
Respo
0.01%
0.05%
n Spoofing /
0.05%
0.05%
Phishing
Malware
INTELLECTUAL
PROPERTY RIGHTS/
HaKI
1.95%
3.05%
5.41%
9.29
%
90.83%
36.07
%
1.74%
51.48
%
Spam
Network Incident
0%
100%
20%
40%
60%
80%
2010
2011
Sumber: Laporan Indonesia Computer Emergency Response Team Tahun 2012
Berdasarkan gambar 1.4 di atas, jenis insiden yang mendominasi pada
tahun 2010 adalah spam sebesar 90,83%, disusul HaKI sebesar 5.41%, malware
1,95%, nerwork incident sebesar 1,95% dan spoofing 0.05%. Insiden pada tahun
2011 dari yang tertinggi nerwork incident sebesar 51,48%, spam sebesar
36,07%, haki sebesar 9,29%, malware 3,05% dan spoofing 0,05%.
Melihat kenyataan di atas, maka keamanan informasi perlu diperhatikan
oleh setiap organisasi. Badan Pendidikan dan Pelatihan Keuangan (BPPK)
merupakanorganisasi/instansi
pemerintah
di
bawah
Kementerian
Keuangan.Dalam menjalankan tugasnya, BPPK menyediakan akses intranet dan
internet di semua satker BPPK melalui Wide Area Network (WAN) Kementerian
Keuangan.
BAB I PENDAHULUAN
Pengguna intranet dan internet dari lingkungan BPPK meliputi; pegawai,
peserta diklat, pengajar dan tamu. Pengguna dari golongan pegawai BPPK dan
peserta diklat dari tahun 2017 – 2012 dapat dilihat pada gambar berikut:
BAB I PENDAHULUAN
Gambar 1.5Pengguna Dari Gologan Pegawai dan Peserta Diklat
40,000
Pengguna
35,000
30,000
25,000
20,000
15,000
10,000
5,000
2007
2008
2009
2010
2011
2012
Tahun
Sumber: diolah dari data LAKIP, SIM Kepegawaian dan Aplikasi Monitoirng Information System Diklat BPPK
Berdasarkan gambar 1.5 di atas, peningkatan jumlah pengguna dari
golonganpegawai BPPK dan peserta diklat mulai dari 10.000-an pada tahun
2007 sampai dengan 30.000-an pada tahun 2010. Pada tahun 2011 mengalami
penurunan dari tahun sebelumnya dan pada tahun 2012 kembali naik mendekati
angka 35.000.
Peningkatan jumlah pengguna tersebut berpotensi meningkatkan ancaman
terhadap
keamanan
Kementerian
informasi
Keuangan,
BPPK.Bergabungnya
ancamanterhadap
BPPK
keamanan
dalam
informasi
WAN
inijuga
berpotensi menimbulkan ancaman terhadap instansi lain yang tergabung dalam
WAN Kementerian Keuangan.
Untuk mendukung penerapan SMKI di instansi pemerintah, Direktorat
Keamanan Informasi Kementerian Komunikasi dan Informatika telah menerbitkan
buku panduan yang bersifat umum dan dapat digunakan oleh instansi
pemerintah, Badan Usaha Milik Negara/Daerah dan penyelenggara publik
BAB I PENDAHULUAN
lainnya, Salah satu unit di lingkungan Kemenkeu yang telah menggunakan buku
panduan ini dalam pengelolaan keamanan informasinya adalah Direktorat
Jenderal Pajak Kementerian Keuangan.
Buku panduan ini juga memuat Indeks Keamanan Informasi (Indeks KAMI)
dalam lampirannya sebagai alat untuk mengukur dan menganalisis tingkat
kesiapan atau kematangan pengamanan informasi yang ada di suatu instansi.
Sesuai Indeks KAMI, evaluasi dilakukan terhadap berbagai area yang
menjadi
target
penerapan
keamanan
informasi
dengan
ruang
lingkup
pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan
oleh standar ISO 27001:2005.
Indeks KAMI ini telah banyak digunakan di instansi pemerintah seperti;
Kementerian Kebudayaan dan Pariwisata, Kementerian Lingkungan Hidup,
Kementerian Kominfo – PDSI, Kementerian Pekerjaan Umum, Kementerian
Perdagangan,
Kementerian
Perhubungan,
Kementerian
Perindustrian,
Kementerian PPN / BAPPENAS, Kementerian Tenaga Kerja danTransmigrasi,
Sekretariat Negara RI, dan BPKP.
Kementerian Keuangan sendiri juga telah memiliki aturan terkait penerapan
keamanan informasi yaitu, Keputusan Menteri Keuangan (KMK) Nomor
479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan
Informasi di Lingkungan Kementerian Keuangan.
KMK ini mengadopsi 11 sasaran pengendalian yang ada di ISO/IEC
27001:2005 atau Standar Nasional Indonesia (SNI) ISO/IEC 27001:2009. KMK
479 tahun 2010mengamanatkan agar penerapan sistem manajemen keamanan
informasi dilaksanakan secara bertahap dalam jangka waktu paling lambat3
(tiga) tahun sejak ditetapkannya (13 Desember 2010).
BAB I PENDAHULUAN
Berdasarkan uraian di atas, maka peneliti tertarik untuk melakukan
penelitian terhadap SMKI yang ada di BPPK. Judul penelitian yang diambil
peneliti
adalah
“Analisis
Kematangan
Sistem
Manajemen
Keamanan
Informasi Badan Pendidikan dan Pelatihan Keuangan Diukur Menggunakan
Indeks Keamanan Informasi”.
B. Rumusan Masalah
Berdasarkan uraian pada latar belakang sebelumnya, peneliti membuat
rumusan masalah yang termuat dalam pertanyaan berikut:
Bagaimana
tingkat
kesiapan
atau
kematangan
SMKIBPPK
diukur
Menggunakan Indeks Keamanan Informasi?
C. Tujuan Penelitian
Sesuai dengan rumusan masalah sebelumnya, tujuan penelitian ini
adalah untuk mengetahui tingkat kesiapan atau kematangan Sistem Manajemen
Keamanan Informasi BPPK berdasarkan Keputusan Menteri Keuangan Nomor
479 Tahun 2010 diukur menggunakan Indeks Keamanan Informasi.
D. Ruang Lingkup
1.
Ruang lingkup penelitian
Ruang
lingkup
yang
diteliti
terkait
pengelolaan
Sistem
Informasi
Manajemen (SIM) pada server utama dan Infrastruktur Teknologi Informasi dan
Komunikasi (TIK) BPPK. Area-area yang diteliti untuk masing-masing ruang
lingkup adalah:
a. Peran dan Tingkat Kepentingan TIK
b. Tata Kelola Keamanan Informasi
BAB I PENDAHULUAN
c. Pengelolaan Risiko Keamanan Informasi
d. Kerangka Kerja Keamanan Informasi
e. Pengelolaan Aset Keamanan Informasi
f.
2.
Teknologi Keamanan Informasi
Unit analisis
Unit analisis dalam penelitian ini adalah semua Satuan Kerja (20 Satuan
Kerja) di lingkungan BPPK. Satuan kerja tersebut terdiri dari 8 unit eselon II dan
12 unit eselon III yang tersebar di daerah.
E.
Manfaat Penelitian
Penelitian ini akan memberikan banyak manfaat diantaranya:
1. Bagi
Pimpinan,
hasil
penelitian
ini
dapat
digunakan
untuk
bahan
pertimbangan pengambilan keputusan atau kebijakan di bidang keamanan
informasi.
2. Bagi Pegawai, hasil penelitian ini dapat digunakan untuk meningkatkan
pemahaman dan kepedulian terhadap manajemen keamanan informasi
BAB II
LANDASAN TEORI
A. Pengertian Informasi
Menurut kamus besar bahasa Indonesia informasi adalah penerangan atau
pemberitahuan tentang sesuatu. Menurut kamus Wikipedia, informasi adalah
pesan (ucapan atau ekspresi) atau kumpulan pesan yang terdiri dari order
sekuens dari simbol, atau makna yang dapat ditafsirkan dari pesan atau
kumpulan pesan.
Informasi juga berarti data yang telah diolah menjadi sebuah bentuk yang
berarti bagi penerimanya dan bermanfaat bagi pengambilan keputusan saat ini
atau saat mendatang (Kadir, 2003). Informasi merupakan kumpulan data yang
diolah menjadi bentuk yang lebih berguna dan lebih berarti bagi yang menerima
(Kristanto, 2003). Informasi adalah data yang diolah menjadi bentuk yang lebih
berguna dan lebih berarti bagi yang menerimanya (Jogiyanto, 1990).
B. Informasi Sebagai Aset
Informasi merupakan salah satu aset bagi sebuah organisasi.Sebagaimana
aset lainnya, informasi memiliki nilai tertentu bagi organisasi tersebut sehingga
harus dilindungi, untuk menjamin kelangsungan organisasi, meminimalisir
kerusakan karena kebocoran sistem keamanan
informasi, mempercepat
kembalinya investasi dan memperluas peluang usaha. Beragam bentuk informasi
yang mungkin dimiliki oleh sebuah organisasi diantaranya: informasi yang
tersimpan dalam komputer (desktopdanmobile komputer), informasi yang
ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim
BAB II LANDASAN TEORI
melalui fax, tersimpan dalam disket, CD, DVD, flashdisk, atau media
penyimpanan lain, informasi yang dilakukan dalam pembicaraan (termasuk
percakapan melalui telepon), dikirim melalui telex, email, informasi yang
tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP
atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan
untuk menyampaikan informasi dan ide-ide organisasi.
C. Keamanan Informasi
Menurut SNI ISO/IEC 27001:2009 keamanan informasi adalah penjagaan
kerahasiaan, integritas, dan ketersediaan informasi. Keamanan Informasi adalah
terjaganya kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan
(availability) informasi (Tim Direktorat Keamanan Informasi, 2011:24). Orang
mungkin akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan
teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya saling terkait,
namun mengacu pada dua hal yang sama sekali berbeda.
“Keamanan Teknologi Informasi” atau IT Security mengacu pada usahausaha mengamankan infrastruktur teknologi informasi dari gangguan-gangguan
berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan, sementara
“keamanan informasi” fokus pada data dan informasi milik organisasi.
Pada konsep ini, usaha-usaha yang dilakukan adalah merencanakan,
mengembangkan serta mengawasi semua kegiatan yang terkait dengan
bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai
dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke pihakpihak yang tidak berkepentingan.
Berdasarkan
penjelasan
tersebut,
„kemananan
teknologi
informasi‟
merupakan bagian dari keseluruhan aspek „keamanan informasi‟. Karena
10
BAB II LANDASAN TEORI
teknologi informasi merupakan salah satu alat penting yang digunakan untuk
mengamankan akses serta penggunaan dari data dan informasi organisasi. Jadi,
teknologi
informasi
bukanlah
satu-satunya
aspek
yang
memungkinkan
terwujudnya konsep keamanan informasi di organisasi.
D. Ancaman Terhadap Keamanan Informasi
Jenis ancaman terhadap sistem manajeman keamanan informasi terbagi
dalam dua kelompok besar, yaitu:
1.
Ancaman secara non fisik
Jenis ancaman secara non fisik terhadap sistem manajemen keamanan
informasi terdiri dari:
a. Jenis ancaman melalui sistem jaringan komputer
Jenis-jenis ancaman terhadap keamanan informasi melaui sistem jaringan
komputer, diantaranya adalah:
1) DOS/DDOS, yaitu metode serangan untuk menghabiskan sumber daya
sebuah peralatan jaringan komputer, sehingga layanan jaringan komputer
menjadi terganggu.
2) Sniffing, yaitu metode pencurian data dengan cara mendengarkan seluruh
paket yang lewat pada sebuah media komunikasi, baik itu media kabel
maupun radio.
3) IP Spoofing, yaitu metode serangan di mana penyerang menempatkan diri di
antara 2 host yang sedang berkomunikasi. Akibatnya pengiriman paket data
antara 2 host tersebut dikendalikan oleh penyerang.
4) Remote attack
adalah bentuk serangan terhadap suatu mesin dimana
penyerangan dilakukan dari jarak jaruh di luar sistem jaringan atau media
transmisi.
11
BAB II LANDASAN TEORI
b.
Jenis ancaman melalui sistem informasi manajemen
Jenis ancaman melaui sistem informasi manajemen berbasis berbasis web
berdasarkan standar yang dibuat oleh The
Open
Web ApplicationSecurity
Project (OWASP)ada10 ancaman, terdiri dari:
1)
Kelemahan Injeksiseperti injeksi SQL, OS, dan LDAP yang dapat
mengeksekusi perintah yang tidak direncanakan, atau mengakses data yang
tidak terotorisasi
2)
Cross-Site Scripting (XSS) merupakan kelemahan aplikasi ketika mengambil
data yang tidak dapat dipercaya dan mengirimnya ke suatu web browser
tanpa validasi yang memadai.
3)
Otentikasi dan pengelolaan sesi yang buruk seperti lamanya sesi time out
aplikasi yang memungkinkan penyerang mendapatkan password, key, dan
mengeksploitasi cacat implementasi lainnya untuk memperoleh identitas
pengguna yang lain.
4)
Direct object referencemerupakan penggunaan referensi ke suatu objek
implementasi internal, seperti file, direktori, atau kunci database tanpa
adanya suatu pemeriksaan kendali akses atau perlindungan lainnya.
5)
Cross-Site Request Forgery (CSRF)merupakan suatu serangan terhadap
browser korban yang sudah log-on untuk mengirim HTTP request yang
dipalsukan,
sehingga
penyerang
dapat
memaksa
browser
korban
menghasilkan request yang dianggap sah oleh aplikasi.
6)
Kesalahan konfigurasi keamananseperti penggunaan konfigurasi default
suatu perangkat yang telah banyak diketahui kelemahannya.
12
BAB II LANDASAN TEORI
7) Penyimpanan kriptografi yang tidak aman seperti tidak terlindunganya data
kartu kredit dengan enkripsi yang memadai, sehingga penyerang dapat
mencuri atau memodifikasi data.
8) Kegagalan membatasi akses URL merupakan kelemahan, di mana
penyerang dapat memalsukan URL untuk mengakses halaman-halaman
yang tersembunyi.
9) Perlindungan yang tidak cukup pada layer transportsepeti penggunaan
sertifikasi yang tidak valid atau sudah kadaluarsa.
10) Redirect dan forward yang tidak divalidasi seperti pengarahan ke situs
phising atau malwareoleh penyerang dengan menggunakan forward untuk
mengakses halaman yang tidak terotorisasi.
2. Ancaman secara fisik
Ancaman secara fisik terhadap sistem manajemen keamanan informasi
terkait aset informasi adalah:
a. Arus listrik
Arus listrik dapat menimbulkan kerusakan pada aset informasi jika melebihi
batas atau mati secara mendadak. Kelebihan arus listik dapat menimbulakan
terbakarnya aset informasi. Terputusnya arus listrik secara mendadak, arus listrik
tidak stabil danhubungan pendek arus listrik dapat mengakibatkan terganggunya
operasional. Akibat yang mungkin timbul adalah kerusakan komponen komputer,
input data, dan lainnya.
b. Bencana
Bencana banjir, gempa atau kebakaran yang melanda ruangan/bangunan
tempat sistem berada dapat merusak aset informasi sebagian atau keseluruhan.
Potensi kerugiannya besar dan untuk memulihkannya membutuhkan biaya,
13
BAB II LANDASAN TEORI
tenaga dan waktu yang tidak sedikit. Memiliki computer emergency and recovery
system plan akan membantu mereduksi biaya dan waktu yang dibutuhkan dalam
pemulihan.
c. Pencurian
Pencurian terhadap aset informasi mungkin saja terjadi jika pengaman
lemah. Pencurian dapat berasal dari orang dalam atau pun orang luar. Kerugian
yang ditimbulkan dapat besar tergantung jenis aset dan datanya yang hilang.
d. Ancaman fisik lainnya
Ancaman fisik lainnya dapat berupa cuaca buruk misalnya suhu udara
yang terlalu panas, terlalu lembab, tetesan air atau kontaminasi kimia, ledakan
bom, serangan teroris, sabotase, sambaran petir dan lain-lain yang dapat
menimbulakann kerusakan fisik aset informasi. Kerugian yang ditimbulkan
acaman ini dapat besar tergantung jenis aset dan data yang rusak.
E.
Sasaran Pengendalian Keamanan Informasi
Sasaran pengendalian keamanan informasi
berdasarkan Keputusan
Menteri Keuangan Nomor 479 tentang Kebijakan dan Standar Sistem
Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan yang
diadopsi dari ISO 27001:2005 meliputi 11 (sebelas) sasaran pengendalian yaitu;
1.
Pengendalian umum
Sasaran pengedalian umumkeamanan informasi digunakan sebagai
pedoman dalam rangka melindungi aset informasi Kementerian Keuangan dari
berbagai bentuk ancaman baik dari dalam maupun luar lingkungan Kementerian
Keuangan, yang dilakukan secara sengaja maupun tidak sengaja. Pengamanan
dan perlindungan ini diberikan untuk menjamin kerahasiaan (confidentiality),
keutuhan (integrity), dan ketersediaan (availability) aset informasi agar selalu
14
BAB II LANDASAN TEORI
terjaga dan terpelihara dengan baik. Sasaran pengendalian ini meliputi
pengelolaan pengamanan seluruh aset informasi Kementerian Keuangan dan
dilaksanakan oleh seluruh unit kerja, pegawai Kementerian Keuangan baik
sebagai pengguna maupun pengelola Teknologi Informasi dan Komunikasi (TlK),
dan pihak ketiga di lingkungan Kementerian Keuangan. Aset informasi yang perlu
dilindungi dalam bentuk:
a. Data dokumen, meliputi: data ekonomi dan keuangan, data gaji, data
kepegawaian,
dokumen
penawaran
dan
kontrak,
dokumen
perjanjiankerahasiaan, kebijakan kementerian, hasil penelitian, bahan
pelatihan,prosedur operasional, rencana kelangsungan kegiatan (business
continuity plan), dan hasil audit;
b. Perangkat lunak, meliputi: perangkat lunak aplikasi, perangkat lunak
sitem,dan perangkat bantu pengembangan sistem;
c. Aset fisik, meliputi: perangkat komputer, perangkat jaringan dankomunikasi,
removable media, dan perangkat pendukung;
d. Aset tak berwujud (intangible), meliputi: pengetahuan, pengalaman,keahlian,
citra dan reputasi.
2.
Pengendalian organisasi keamanan informasi
Sasaran pengedalian organisasi keamanan informasi bertujuan untuk
memberikan pedoman dalam membentuk organisasi fungsional keamanan
informasi yang bertanggung jawab mengelola keamanan informasi dan
perangkatnya termasuk hubungan dengan pihak luar. Sasaran pengendalian ini
meliputi struktur Tim Keamanan Informasi di Kementerian Keuangan dan unit
eselon I, perjanjian kerahasiaan dan hubungan dengan pihak berwenang,
komunitas keamanan informasi, dan pihakketiga.
15
BAB II LANDASAN TEORI
3.
Pengendalian pengelolaan aset
Sasaran pengedalian pengelolaan aset bertujuan memberikan pedoman
dalam mengelola asetinformasi di lingkungan Kementerian Keuangan untuk
melindungi dan menjaminkeamanan aset informasi. Sasaran pengendalian ini
meliputi tanggung jawab setiap unit eselon I terhadap aset informasi dan
pengklasifikasian aset informasi.
4.
Pengendalian keamanan sumber daya manusia
Sasaran
pengedalian
keamanan
sumber
daya
manusia
bertujuan
memastikan bahwa seluruh pegawai dan pihak ketiga memahami tanggung
jawabnya masing-masing, sadar atas ancaman keamanan informasi, serta
mengetahui proses terkait keamanan informasi sebelum, selama, dan setelah
bertugas. Sasaran pengendalian ini meliputi peran dantanggung jawab seluruh
pegawai dan pihak ketiga di lingkungan KementerianKeuangan yang hams
dipahami dan dilaksanakan. Peran dan tanggung jawabpegawai juga mengacu
pada peraturan perundang-undangan lainnya yang berlaku.
5.
Pengendalian keamanan fisik dan lingkungan
Sasaran pengedalian keamanan fisik dan lingkungan bertujuan untuk
mencegah akses fisik oleh pihak yang tidak berwenang, menghindari terjadinya
kerusakan pada perangkat pengolah informasi serta gangguan pada aktivitas
organisasi.
Sasaran
pengendalian
ini
meliputi
pengamanan
area
dan
pengamanan perangkat seperti;perimeter keamanan fisik, perlindungan terhadap
ancaman eksternal dan lingkungan, penempatan peralatan, sarana pendukung,
keamanan kabel, pemeliharaan, keamanan peralatan di luar kantor, pemindahan
barang dan penghapusan atau penggunaan kembali peralatan secara aman.
6.
Pengendalian pengelolaan komunikasi dan operasi
16
BAB II LANDASAN TEORI
Sasaran pengedalian manajemen komunikasi dan operasi bertujuan untuk
memastikan operasional yang aman dan benar pada perangkat pengolah
informasi,
mengimplementasikan
dan
memelihara
keamanan
informasi,
mengelola layanan yang diberikan pihak ketiga, meminimalkan risiko kegagalan,
melindungi
keutuhan
dan
ketersediaan
informasi
dan
perangkat
lunak,
memastikan keamanan pertukaran informasi dan pemantauan terhadap proses
operasional. Sasaran pengendalian ini meliputi:
a. Prosedur operasional dan tanggung jawab;
b. Pengelolaan layanan oleh pihak ketiga;
c. Perencanaan dan penerimaan sistem;
d. Perlindungan terhadap ancaman program yang membahayakan (malicious
code);
e. Backup;
f.
Pengelolaan keamanan jaringan;
g. Penanganan media penyimpan data;
h. Pertukaran informasi;
i.
7.
Pemantauan.
Pengendalian akses
Sasaran pengedalian akses kontrol bertujuan memastikan otorisasi akses
pengguna dan mencegah akses pihak yang tidak berwenang terhadap aset
informasi khususnya perangkat pengolah informasi. Sasaran pengendalian ini
meliputi persyaratan untuk pengendalian akses, pengelolaan akses pengguna,
tanggung jawab pengguna, pengendalian akses jaringan, pengendalian akses ke
sistem operasi, pengendalian akses ke aplikasi dan sistem informasi, mobile
computing dan teleworking.
17
BAB II LANDASAN TEORI
8.
Pengendalian pengadaan, pengembangan dan pemeliharaan sistem
informasi
Sasaran
pengedalian
pengadaan/akuisisi,
pengembangan
dan
pemeliharaan sistem informasi bertujuan untuk memastikan bahwa keamanan
informasi
merupakan
bagian
yang
terintegrasi
dengan
sisteminformasi,
mencegah terjadinya kesalahan, kehilangan, serta modifikasi oleh pihak yang
tidak berwenang. Sasaran pengendalian ini meliputi pengolahan informasi pada
aplikasi, pengendalian penggunaan kriptografi, keamanan file sistem (system
files), keamanan dalam proses pengembangan dan pendukung (support
proceses) dan pengelolaan kerentanan teknis.
9.
Pengendalian pengelolaan gangguan keamanan informasi
Sasaran
pengedalian
insiden
keamanan informasi
bertujuan
untuk
memastikan kejadian dan kelemahan keamanan informasi yang terhubung
dengan sistem informasi dikomunikasikan untuk dilakukan perbaikan, serta
dilakukan pendekatan yang konsisten dan efektif agar dapat dihindari atau tidak
terulang kembali. Sasaran pengendalian ini meliputi pelaporan kejadian dan
kelemahan keamanan informasi dan pengelolaan gangguan keamanan informasi
dan perbaikannya.
10. Pengendalian pengelolaan kelangsungan kegiatan
Sasaran pengedalian manajemen kelangsungan usaha bertujuan untuk
melindungi sistem informasi, memastikan berlangsungnya kegiatan dan layanan
pada saat keadaan darurat, serta memastikan pemulihan yang tepat. Sasaran
pengendalian ini meliputi proses pengelolaan kelangsungan kegiatan, penilaian
risiko dan analisis dampak bisnis (business impact analysis/BIA), penyusunan
18
BAB II LANDASAN TEORI
dan penerapan rencana kelangsungan kegiatan (business continuity) dan
pengujian, pemeliharaan, dan pengkajian ulang rencana kelangsungan kegiatan.
11. Pengendalian kepatuhan
Sasaran pengedalian kepatuhan bertujuan untuk menghindari pelanggaran
terhadap peraturan perundangan yang terkait keamananinformasi. Sasaran
pengendalian ini meliputi kepatuhan terhadap peraturan perundangan yang
terkait keamanan informasi, kepatuhan teknis dan audit sistem informasi.
F.
Indeks Keamanan Informasi
Indeks KAMI merupakan alat evaluasi untuk menganalisa tingkat kesiapan
atau kematangan SMKI di Instansi pemerintah. Alat evaluasi ini disusun oleh Tim
Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika. Indeks
KAMIdigunakan untuk memberikan gambaran kondisi kesiapan (kelengkapan
dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi.
Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan
keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi
semua aspek keamanan yang didefinisikan oleh standar ISO/IEC 27001:2005.
1.
Area-area evaluasi keamanan informasi
Area yang digunakan dalam indeks KAMI untuk mengevaluasi atau
mengukur tingkat kematangan SMKI instansi merangkum dari 11 sasaran
pengendaliian yang ada di ISO 27001:2005 dan KMK 479 tahun 2010 ke dalam 5
area evaluasi. Untuk lebih detail dapat dilihat dari gambar 2.1 berikut:
19
6. MANAJEMEN PERUBAHAN
a. Bagaimana suatu perubahan akan sukses
BAB II LANDASAN TEORI
b. Jelaskan 8 praktek terbaik (Best practice) untuk
perubahan
c. Apa yang terjadi dalam proses perubahan apabila budaya nya budauya lama
dengan struktur baru dan strategi baru.
Gambar 2. 1 Hubungan 11 Sasaran Pengendalian ISO 27001:2005 dan KMK
479 Tahun 2010 Dengan 5 Area Pada Indeks KAMI versi 2.3
Dari gambar 2.1 di atas dapat dijelaskan sebagai berikut:
a.
Tata Kelola Keamanan Informasi
Area tata kelola merupakan rangkuman penerapan kontrol yang ada pada
KMK 479 tahun 2010 yaitu; sasaran pengendalian umum, organisasi, keamanan
informasi dalam pengelolaan kelangsungan usaha dan kepatuhan.
Penerapan kontrol dalam area ini meliputi kebijakan formal yang
mendefinisikan peran, tanggung-jawab, kewenangan pengelolaan keamanan
informasi, dari pimpinan unit kerja sampai ke pelaksana operasional. Termasuk
dalam area ini juga adalah adanya program kerja yang berkesinambungan,
alokasi anggaran, evaluasi program dan strategi peningkatan kinerja tata kelola
keamanan informasi.
20
BAB II LANDASAN TEORI
b.
Pengelolaan Risiko Keamanan Informasi
Area pengelolaan risiko merupakan rangkuman penerapan kontrol yang
ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian organisasi,
pengelolaan
aset
informasi,
keamanan
informasi
dalam
pengelolaan
kelangsungan usaha dan kepatuhan.
Bentuk penerapan kontrol pada area pengelolaan risiko keamanan
informasi ini sejalandengan strategi penerapan manajemen risiko yang terdapat
pada
Peraturan
Menteri
Keuangan
Nomor:
191/PMK.01/2008
tentang
Penerapan Manajemen Risiko di Lingkungan Departemen Keuangan.Salah satu
strateginyaadalah memastikan bahwaseluruh risiko telah teridentifikasi dan
terdapat mitigasi yang terencana dan terukur untuk menjaga agar risiko tersebut
berada pada tingkat yang sesuai dengan toleransi yang telah ditetapkan.
Adapun proses pengelolaan risiko keamanan informasi dapat dilihat pada
gambar berikut:
Gambar 2.2Proses Pengelolaan Risiko Keamanan Informasi
Metodology Risk
21
BAB II LANDASAN TEORI
Berdasarkan gambar 2.2 di atas dapat dijelaskan bahwa proses
manejemen risiko sistem manajemen keamanan informasi meliputi:
1) Metodology risk assessmentmerupakan metode penilaian risiko aset
informasi berdasarkan dampak dan kemungkinan terjadi risiko terhadap aset
informasi.
2) Indentifikasi aset merupakan proses mengindentifikasi, klasifikasi dan
membuat profil aset informasi.
3) Risk description merupakan proses mengidentifikasi acaman, kelemahan
dan dampak terhadap kerahasiaan, integritas dan ketersediaan aset
informasi.
4) Inherent risk merupakan proses mengevaluasi risikoterkait dampak dan
kemungkinan terjadi pada aset informasi tanpa penerapan pengendalian.
5) Kontrol yang ada merupakan pengendalian yang diterapkan organisasi.
6) Residual risk adalah sisa risiko yang dihasilkan oleh adanya penerapan
kontrol.
7) Penerapan kontrol baru dan risk treatment plan merupakan tindak lanjut dari
risiko yang melebihi ambang batas dan opsi penanganan risiko yang terbaik
yang dilanjutkan dengan pengembangan rencana mitigasi risiko.
8) Expected risk merupakan nilai risiko yang diharapkan dengan penerapan
kontrol baru dan risk treatment plan.
9) Monitoring efektivitas pengamanan merupakan proses memantau efektivitas
pengaman yang diterapkan.
10) Review risk register merupakan proses menelaah dan mengkajipengelolaan
risiko.
22
BAB II LANDASAN TEORI
c.
Kerangka Kerja Keamanan Informasi
Area kerangka kerja merupakan rangkuman penerapan kontrol yang ada
pada KMK 479 tahun 2010 yaitu; sasaran pengendalian umum, organisasi,
keamanan sumber daya manusia, pengelolaan komunikasi dan operasional,
pengelolaan
gangguan
keamanan
informasi,keamanan
informasi
dalam
pengelolaan kelangsungan usaha dan kepatuhan.
Kelengkapan kontrol di area ini adalah kebijakan dan prosedur kerja
operasional, kompetensi sumber daya manusia, termasuk strategi penerapan,
pengukuran efektifitas kontrol dan langkah perbaikan.
d.
Pengelolaan Aset Informasi
Area pengelolaan aset informasi merupakan rangkuman penerapan kontrol
yang ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian pengelolaan
aset informasi, keamanan sumber daya manusia, keamanan fisik dan
lingkungan, pengendalian akses, dan keamanan informasi dalam pengadaan,
pengembangan, dan pemeliharaan sistem informasi.
Kontrol yang diperlukan dalam area ini adalah bentuk pengamanan terkait
keberadaan aset informasi, termasuk keseluruhan proses yang bersifat teknis
maupun administratif dalam siklus penggunaan aset tersebut.
e.
Teknologi dan Keamanan Informasi
Area teknologi dan keamanan informasi merupakan rangkuman penerapan
kontrol yang ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian akses,
keamanan informasi dalam pengadaan, pengembangan, dan pemeliharaan
sistem
informasi,
pengelolaan
gangguan
keamanan
informasi,keamanan
informasi dalam pengelolaan kelangsungan usaha dan kepatuhan.
23
BAB II LANDASAN TEORI
Aspek pengamanan di area teknologi mensyaratkan adanya strategi yang
terkait dengan tingkatan risiko, dan tidak secara eksplisit menyebutkan teknologi
atau merk pabrikan tertentu.
Data hasil evaluasi pada area-area tersebut akan memberikan snapshot
indeks kesiapan dari aspek kelengkapan maupun kematangan kerangka kerja
keamanan informasi yang diterapkan dan dapat digunakan sebagai pembanding
dalam rangka menyusun langkah perbaikan dan penetapan prioritasnya.
2.
Defisini tingkat kematangan
Definisi
tingkat
kematangan
yang
digunakan
untuk
mengevaluasi
kelengkapan dan mengidentifikasi tingkat kematangan penerapan pengamanan
berdasarkan petunjuk penggunaanIndeks KAMI adalah:
a.
Tingkat I
Pada tingkat I mengidentifikasikan bahwa kesiapan atau kematangan
sistem manajemen keamanan informasi pada kondisi awal, dengan ciri-ciri
sebagai berikut:
1)
Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan
informasi.
2)
Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak
mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan
kewenangan yang jelas dan tanpa pengawasan.
3)
Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.
4)
Pihak yang terlibat tidak menyadari tanggung jawab mereka.
24
BAB II LANDASAN TEORI
b.
Tingkat II
Pada tingkat II mengidentifikasikan bahwa kesiapan atau kematangan
sistem manajemen keamanan informasi pada kondisi penerapan kerangka kerja
dasar (aktif), dengan ciri-ciri sebagai berikut:
1) Pengamanan sudah diterapkan walaupun sebagian besar masih di area
teknis
dan
belum
adanya
keterkaitan
langkah
pengamanan
untuk
mendapatkan strategi yang efektif.
2)
Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi.
3) Langkah pengamanan operasional yang diterapkan bergantung kepada
pengetahuan dan motivasi individu pelaksana.
4) Bentuk
pengamanan
secara
keseluruhan
belum
dapat
dibuktikan
efektivitasnya.
5) Kelemahan dalam manajemen pengamanan masih banyak ditemukan dan
tidak dapat diselesaikan dengan tuntas oleh pelaksana maupun pimpinan
sehingga menyebabkan dampak yang sangat signifikan.
6) Manajemen pengamanan belum mendapatkan prioritas dan tidak berjalan
secara konsisten.
7) Pihak yang terlibat kemungkinan besar masih belum memahami tanggung
jawab mereka.
c.
Tingkat III
Pada tingkat III mengidentifikasikan bahwa kesiapan atau kematangan
sistem manajemen keamanan informasi pada kondisi terdefinisi dan konsisten
(pro aktif), dengan ciri-ciri sebagai berikut:
1) Bentuk pengamanan yang baku sudah diterapkan secara konsisten dan
terdokumentasi secara resmi.
25
BAB II LANDASAN TEORI
2)
Efektivitas pengamanan dievaluasi secara berkala, walaupun belum melalui
proses yang terstruktur.
3)
Pihak
pelaksana
dan
pimpinan
secara
umum
dapat
menangani
permasalahan terkait pengelolaan keamanan pengendalian dengan tepat,
akan tetapi beberapa kelemahan dalam sistem manajemen masih ditemukan
sehingga dapat mengakibatkan dampak yang signifikan.
4)
Kerangka kerja pengamanan sudah mematuhi ambang batas minimum
standar atau persyaratan hukum yang terkait.
5)
Secara umum semua pihak yang terlibat menyadari tanggungjawab mereka
dalam pengamanan informasi.
d. Tingkat IV
Pada tingkat IV mengidentifikasikan bahwa kesiapan atau kematangan
sistem manajemen keamanan informasi pada kondisiterkelola dan terukur
(terkendali), dengan ciri-ciri sebagai berikut:
1) Pengamanan diterapkan secara efektif sesuai dengan strategi manajemen
risiko.
2) Evaluasi (pengukuran) pencapaian sasaran pengaman dilakukan secara
rutin, formal dan terdokumentasi.
3) Penerapan pengamanan teknis secara konsisten dievaluasi efektivitasnya.
4) Kelemahan manajemen pengamanan teridentifikasi dengan baik dan secara
konsisten ditindaklanjuti pembenahannya.
5) Manajemen pengamanan bersifat pro-aktif dan menerapkan pembenahan
untuk mencapai bentuk pengelolaan yang efisien.
6) Insiden dan ketidakpatuhan (non-conformity) diselesaikan melalui proses
formal dengan pembelajaran akar permasalahan.
26
BAB II LANDASAN TEORI
7) Karyawan merupakan bagian yang tidak terpisahkan dari pelaksana
pengamanan informasi.
e. Tingkat V
Pada tingkat V mengidentifikasikan bahwa kesiapan atau kematangan
sistem manajemen keamanan informasi pada kondisi optimal, dengan ciri-ciri
sebagai berikut:
1) Pengamanan menyeluruh diterapkan secara berkelanjutan dan efektif
melalui program pengelolaan risiko yang terstruktur.
2) Pengamanan informasi dan manajemen risiko sudah terintegrasi dengan
tugas pokok instansi.
3) Kinerja pengamanan dievaluasi secara kontinyu, dengan analisisparameter
efektivitas kontrol, kajian akar permasalahan dan penerapan langkah untuk
optimasi peningkatan kinerja.
4) Target
pencapaian program pengamanan informasi selalu dipantau,
dievaluasi dan diperbaiki.
5) Karyawan
secara
proaktif
terlibat
dalam
peningkatan
efektivitas
pengamanan.
3.
Hubungan antara Indeks KAMI, ISO 27001:2005 dan KMK 479 tahun 2010
Hubungan
antara
indeks
KAMI
sebagai
alat
pengukuran
tingkat
kematangan SMKI dengan standar ISO/IEC 27001:2005 dan KMK nomor 479
tahun 2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan
Informasi di Lingkungan Kementerian Keuangan tampak pada gambar 2.3berikut:
27
BAB II LANDASAN TEORI
Gambar 2.3 Hubungan Indeks KAMI, ISO/IEC 27001:2005 dan KMK nomor 479
tahun 2010
Berdasarkan gambar 2.3 di atas, dapat dijelaskan bahwa Kementerian
Keuangan mengadopsi seluruhsasaran pengendalian yang diamanatkan ISO
27001 dan 27002 dalam penyusunan KMK 479/2010. Sedangkan Indeks KAMI
yang digunakan sebagai alat ukur tingkat kematangan SMKI dalam penelitian ini
juga disusun mengacu pada standar ISO 27001.
G. Kerangka Pemikiran
Kerangka pemikiran yang digunakan dalam penelitian ini tampak pada
gambar berikut.
28
Gambar 2.4 Kerangka Pemikiran
29
BAB III
METODE PENELITIAN
A. Jenis Penelitian
Penelitian ini merupakan jenis penelitian analisis deskriptif kuantitatif, di
mana peneliti akan melakukan analisis dengan mendiskripsikan tingkat
kematangan SMKI Badan Pendidikan dan Pelatihan Keuangan berdasarkan skor
atau nilai yang dihasilkan Indeks KAMI. Deskripsi yang dilakukan penulis
didasarkan pada panduan dalam penggunaan indeks KAMI.
B. Jenis dan Sumber Data
Jenis data yang digunakan adalah data kuantitatif yang diperoleh dari data
sekunder maupun data primer yang langsung dikumpulkan dari sumber asalnya.
Data sekunder diperoleh dari laporan-laporan atau dokumen-dokumen terkait
keamanan informasi yang ada di lingkungan BPPK, sedangkan data primer
dikumpulkan daripejabat atau pegawai
teknis BPPK menggunakan metode
survei dan observasi di lapangan.
C. Waktu dan Tempat Penelitian
Waktu pengamatan dan pengumpulan data berlangsungselama lima bulan
mulai dari bulan Maret 2013 sampai dengan Juli 2013. Data yang diamati terkait
pengelolaan keamanan informasi dan dokumentasinya yang berada di 20 satuan
kerja BPPK (8 unit eselon II dan 12 unit eselon III).
30
BAB III METODE PENELITIAN
D. Teknik Pengumpulan Data
Pengumpulan data dilakukan dengan cara melakukan studi kepustakaan,
focus group discussion(FGD), survei (kuesioner), dan observasi.
Studi kepustakaan digunakan untuk mengumpulkan data terutama terkait
dengan teori dan konsep aspek-aspek atau area-area yang akan diteliti. Selain
itu, studi ini juga dilakukan guna mendapatkan data tentang kendala-kendala
yang telah diteliti oleh pihak lain.
Peneliti juga menggunakan metode focus group discussion (FGD)bersama
para Narasumber. Focusgroup discussion adalah diskusi kelompok yang terarah
pada
masalah yang diangkat peneliti (Hermansyah, 2009). FGD ini bertujuan
untuk memperoleh pemahaman lebih mendalam terkait cara penggunaan Indeks
KAMI serta informasi terkait kendala-kendala yang mungkin terjadi serta alternatif
solusi dalam menerapkan SMKI.
Selain itu, peneliti menggunakan kuesioner untuk mengumpulkan data-data
terkait kesiapan BPPK menerapkan SMKI sesuai amanat KMK 479 tahun
2010.Kuesioner yang akan digunakan peneliti adalah Indeks Keamanan
Informasi (Indeks KAMI) versi 2.3 dari Kementerian Komunikasi dan Informatika
dengan pertimbangan:
1.
Karena dalam penyusunannya Indeks KAMI mengacu pada sumber yang
sama dengan acuan dalam penyusunan KMK479/2010, maka tingkat
kesiapan atau kematangan yang menjadi output utama dari penggunaan
indeks ini dapat digunakan disamakan dengan tingkat kesiapan/kematangan
BPPK dalam menerapkan ketentuan yang ada dalam KMK 479/2010.
2. Indeks KAMI telah digunakan Direktorat Keamanan Informasi Kementerian
Komunikasi dan Informasi untuk mengukur tingkat kematangan SMKI pada
31
BAB III METODE PENELITIAN
sejumlah instansi pemerintah, oleh karenanya kami menganggap Indeks
KAMI valid untuk digunakan dalam kepentingan penelitian ini, sehingga
peneliti tidak perlu menyusun kuesioner khusus untuk tujuan pengukuran
tingkat kesiapan dan kematangan SMKI di BPPK.
Area-area evaluasi/penelitian berdasarkan Indeks KAMI adalah:
1. Peran TIK di dalam Instansi
2. Tata Kelola Keamanan Informasi
3. Pengelolaan Risiko Keamanan Informasi
4. Kerangka Kerja Keamanan Informasi
5. Pengelolaan Aset Informasi, dan
6. Teknologi dan Keamanan Informasi
Responden adalah pejabat atau pegawai teknis yang bertanggung jawab
terhadap masing-masing area yang dievaluasi. Sebagai contohnya, responden
aspek teknologi keamanan informasi adalah pejabat atau pegawai bertugas
menangani teknologi informasi sesuai ruang lingkup surveinya.
Untuk
meningkatkan
validitas
hasil
pengisian
kuesioner,
peneliti
mengadakan bimbingan teknis pengisian kuesioner Indeks KAMI dengan
bantuan narasumber dari Kementerian Kominfo dengan memanfaatkan fasilitas
video conferencing BPPK ke seluruh satker terkait di BPPK. Selain itu, untuk
mengkonfirmasi seluruh respon yang diberikan oleh responden pada saat
pengisian kuesioner, peneliti juga melakukan wawancara langsung dengan
responden (observasi).
Selain untuk tujuan konfirmasi dan klarifikasi, observasi juga dilakukan
untuk mengumpulkan informasi yang diperlukan seperti topologi jaringan, kondisi
infrastruktur, dan aset informasi dari 12 satker terpilih, yaitu Sekretariat Badan,
32
BAB III METODE PENELITIAN
Pusdiklat Pengembangan Sumber Daya Manusia, Pusdiklat Pajak, Pusdiklat
Anggaran dan Perbendaharaan, Pusdiklat Kekayaan Negara dan Perimbangan
Keuangan, Pusdiklat Bea dan Cukai, Pusdiklat Keuangan Umum, Sekolah Tinggi
Akuntansi Negara, BDK Palembang, BDK Yogyakarta, BDK Balikpapan dan BDK
Makassar.
Sesuai metode sampling yang digunakan dalam penelitian ini, purposive
sampling, peneliti memilih ke-12 satker tersebut sebagai lokasi observasi
didasarkan pada pertimbangan bahwa 80% pengguna TI di lingkungan BPPK
berada pada 12 satker tersebut.
E. Kuesioner Pengukuran Area Penelitian
Kuesinoer yang digunakan untuk mengukur tingkat kematangan SMKI
adalah Indeks KAMI versi 2.3 yang terdiri dari:
1. Peran TIK dalam Instansi
Pada Bagian I kuesioner, responden diminta untuk mendefinisikan Peran
TIK (Tingkat Kepentingan TIK) di unit masing-masing.Selain itu, responden juga
diminta untuk mendeskripsikan infrastruktur TIK yang ada dalam satuan kerjanya
secara singkat.
Tujuan dari proses ini adalah untuk mengelompokkan Peran TIK di tiap unit
mulai dari “Minim”, “Rendah”, “Sedang”, “Tinggi”, hingga “Kritis”. Adapun definisi
dari Peran TIK tersebut adalah:
a. “MINIM”, apabila penggunaan TIK tidak signifikan dan tidak berpengaruh
proses kerja yang berjalan. Untuk tujuan analisis, peran ini tidak digunakan.
b. “RENDAH”, apabila TIK sudah digunakan untuk mendukung proses kerja,
namun belum pada tingkat yang signifikan
33
BAB III METODE PENELITIAN
c. “SEDANG”, apabila TIK sudah digunakan dalam mendukung proses kerja
yang berjalan, namun tingkat ketergantungannya masih terbatas.
d. “TINGGI”, TIK sudah menjadi bagian yang tidak terpisahkan dari proses
kerja yang berjalan.
e. “KRITIS”, TIK merupakan satu-satunya cara untuk menjalankan proses kerja
yang bersifat strategis atau berskala nasional.
Peran TIK dievaluasi melalui 12 pertanyaan dalam Kuesioner Bagian I, dengan
bahasan:
a. Total anggaran tahunan yang dialokasikan untuk TIK
b. Jumlah staf atau pengguna dalam instansi yang menggunakan infrastruktur
TIK
c. Tingkat ketergantungan terhadap layanan TIK untuk menjalankan Tugas
Pokok dan Fungsi.
d. Nilai kekayaan intelektual yang dimiliki dan dihasilkan
e. Dampak dari kegagalan sistem TIK utama
f.
Tingkat ketergantungan ketersediaan sistem TIK untuk menghubungkan
lokasi kerja
g. Dampak dari kegagalan sistem TIK terhadap kinerja instansi pemerintah
lainnya atau terhadap ketersediaan sistem pemerintah berskala nasional
h. Tingkat sensitifitas pengguna sistem TIK
i.
Tingkat kepatuhan terhadap UU dan perangkat hukum lainnya
j.
Potensi kerugian atau dampak negatif dari insiden ditembusnya keamanan
informasi sistem TIK
k. Tingkat
ketergantungan
terhadap
pihak
ketiga
dalam
menjalankan/mengoperasikan sistem TIK
34
BAB III METODE PENELITIAN
l.
Tingkat klasifikasi/kekritisan sistem TIK relatif terhadap ancaman upaya
penyerangan atau penerobosan keamanan informasi
Berikut adalah ilustrasi Kuesioner Bagian I:
Gambar 3.1 Ilustrasi Kuesioner Bagian I
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
Berdasarkan total skor yang diberikan responden atas seluruh pertanyaan dalam
Kuesioner Bagian I ini, Peran TIK dalam suatu unit dapat didefinisikan sebagai
berikut:
Gambar 3.2 Definisi Skor Peran TIK
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
2. Area Keamanan Informasi
Kuesioner Bagian II s.d. Bagian VI berisikan sejumlah pertanyaaan terkait
area keamanan informasi, yaitu:
a. Bagian II
: Tata Kelola Keamanan Informasi;
b. Bagian III : Pengelolaan Risiko Keamanan Informasi;
c. Bagian IV : Kerangka Kerja Pengelolaan Keamanan Informasi;
d. Bagian V
: Pengelolaan Aset Informasi; dan
35
BAB III METODE PENELITIAN
e. Bagian VI : Teknologi dan Keamanan Informasi
Seluruh pertanyaan yang ada di tiap area keamanan informasi di
kelompokkan ke dalam tiga kategori pengamanan, dengan ketentuan:
a. Kategori 1
:
Pertanyaan yang terkait dengan kerangka kerja dasar
keamanan informasi
b. Kategori 2
:
Pertanyaan yang terkait dengan efektivitas dan konsistensi
penerapan keamanan informasi
c. Kategori 3
:
Pertanyaan yang merujuk pada kemampuan untuk selalu
meningkatkan kinerja keamanan informasi
Adapun status penerapan (respon) yang dapat dipilih responden untuk
menjawab seluruh pertanyaan di setiap bagian didefinisikan sebagai berikut:
a. Tidak Dilakukan;
b. Dalam Perencanaan;
c. Dalam Penerapan atau Diterapkan Sebagian; atau
d. Diterapkan Secara Menyeluruh
Setiap jawaban akan diberikan skor yang nilainya disesuaikan dengan kategori
pengamanan yang terkait, dengan ketentuan:
a. Tahapan awal nilainya akan lebih rendah dibandingkan tahapan berikutnya.
b. Status penerapan yang sudah berjalan secara menyeluruh memiliki nilai
yang lebih tinggi dibandingkan bentuk penerapan yang lebih rendah.
c. Skor untuk kategori pengamanan pada tahap awal akan lebih rendah dari
kategori tahap yang lebih tinggi.
d. Untuk keseluruhan area pengamanan, pengisian pertanyaan dengan
kategori "3" akan diproses lebih lanjut, apabila semua pertanyaan terkait
36
BAB III METODE PENELITIAN
dengan kategori "1" dan "2" sudah diisi dengan status minimal "Diterapkan
Sebagian".
Berikut adalah matriks hubungan antara status penerapan, kategori
pengamanan dan skoring-nya:
Tabel 3.1 Matrik Status Penerapan dan Kategori Pengamanan
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
Berikut adalah ilustrasi Kuesioner Bagian II – Bagian VI dengan penjelasan atas
unsur-unsur di dalamnya:
Gambar 3.3 Ilustrasi Kuesioner Bagian II – Bagian VI
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
Keterangan:
1.
Tingkat Kematangan
2.
Kategori Pengamanan
3.
Daftar Pertanyaan
4.
Status Penerapan
5.
Skor
37
BAB III METODE PENELITIAN
Sebagaimana yang telah disampaikan sebelumnya, tiap Bagian Kuesioner
memuat pertanyaan Kategori Pengamanan 1 s.d. Kategori Pengamanan 3,
dengan ikhtisar sebagai berikut:
Tabel 3.2 Matrik Kategori Pengamanan dan Area Evaluasi
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
Keterangan:
1.
Total Pertanyaan seluruhnya: 119
2.
Total Skor seluruhnya: 588
Berikut, adalah jumlah pertanyaan terkait Tingkat Kematangan Keamanan
Informasi:
Tabel 3.3 Jumlah Pertanyaan Terkait Tingkat Kematangan Keamanan Informasi
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
38
BAB III METODE PENELITIAN
F. Metode Analisis Data
Metode analisis data merujuk pada penggunaan Indeks KAMI lampiran
Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara
Pelayanan Publik (2011).Hasil penjumlahan skor untuk masing-masing area
disajikan dalam dua instrumen, yaitu:
1. Tabel nilai masing-masing area
Tabel 3.4 Skor Area Eavaluasi
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011
Tabel ini berisikan total rata-rata skor untuk tiap area yang dievaluasi
2. Diagram Radar dengan lima sumbu sesuai area pengamanan.
Diagram ini dimaksudkan untuk menggambarkan hubungan antara
kepatuhan terhadap standar yang ditetapkan oleh KMK 479/2010, status
penerapan, Kerangka Kerja Dasar, dan skor dari masing-masing area.
39
BAB III METODE PENELITIAN
Gambar 3.4 Diagram Radar Hasi
Manajemen Bisnis ICT
Analisis Kematangan Sistem Manajemen
Keamanan Informasi Diukur Menggunakan
Indeks Keamanan Informasi
(Studi Kasus Badan Pendidikan dan Pelatihan Keuangan)
Oleh :
AHMAD FIRDAUSI
55415110007
DOSEN : DR.IR. IWAN KRISNADI, MBA
PROGRAM PASCA SARJANA TEKNIK ELEKTRO
UNIVERSITAS MERCU BUANA
2015
Analisis Kematangan Sistem Manajemen Keamanan Informasi
Diukur Menggunakan Indeks Keamanan Informasi
(Studi kasus Badan Pendidikan Dan Pelatihan Keuangan)
Abstrak
Penelitian ini berisi tentang hasil analisis kematangan Sistem Manajemen
Keamanan Informasi (SMKI) yang ada di Badan Pendidikan dan Pelatihan
Keuangan diukurmenggunakan Indeks Keamanan Informasi (Indeks KAMI).
Analisis yang dilakukan meliputi kelengkapan dan kematangan SMKI sesuai
pedoman penggunaan Indeks Keamanan Informasi.
Hasil analisis kelengkapan dan kematangan SMKI berada pada tingkat
rendah dengan ketergantungan organisasi terhadap teknologi informasi dan
komunikasi di tingkat sedang. Penyebab rendahnya tingkat kematangan SMKI
diantaranya;rendahnya tingkat awareness dari pimpinan dan pegawai terkait
SMKI, lemahnya dokumentasi kegiatan, dan pengembangan aplikasi beserta
infrastruktur yang bersifat reaktif.
Untuk menjawab sejumlah tantangan yang harus dihadapi terkait
penerapan SMKI ini, BPPK perlu meningkatkan awareness pimpinan dan
pegawaiterkait penting SMKI, mengembangkanICT Blueprint BPPKyang
memungkinkan pengembangan aplikasi dan infrastruktur BPPK dapat dilakukan
secara terencana, terintegrasi, dan komprehensif dan menyempurnakan SOP di
lingkungan BPPK untuk mendukung peralihan proses bisnis dari paper-based
menjadi
technology-based
administration
sekaligus
untuk
menumbuhkembangkan budaya pendokumentasian data dan informasi di
lingkungan BPPK.
Keywords : Keamanan Informasi, SMKI, Indeks KAMI, Badan Pendidikan dan
Pelatihan Keuangan
BAB I
PENDAHULUAN
A. Latar Belakang
Informasi merupakan salah satu aset penting yang berharga bagi
kelangsungan hidupsuatu organisasi/bisnis, pertahanan keamanan dan keutuhan
negara, kepercayaan publik ataukonsumen, sehingga harus dijaga ketersediaan,
ketepatan dan keutuhannya. Informasidapat disajikan dalam berbagai format
seperti: teks, gambar, audio, maupun video.
Manajemen keamanan informasi menjadi sangat penting di era modern
saat ini, di manaperkembangan teknologi saat ini telah memudahkan orang
dalam memperoleh informasi. Kemudahan ini terlihat dengan peningkatan jumlah
pengunjung internet dari tahun ke tahun. Hal ini tampakpadagambar 1.1grafik
pengunjung internet Indonesia tahun dari 1998-2012 yang bersumber dari
Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) di bawah ini.
Gambar 1. 1Grafik Pengunjung Internet Indonesia Selama Tahun 1998 - 2012
1
Sumber: http://www.apjii.or.id
1
BAB I PENDAHULUAN
Selain itu, perkembangan teknologi juga miningkatkan ancaman terhadap
pengelolaan informasi. Hal ini tampak pada gambar 1.2 hasil survei yang
dilakukan oleh Information Security Breaches Survey (ISBS)pada tahun 2010
yang berpusat di Inggris.
Gambar 1.2Persentase Ancaman Keamanan Sistem Informasi
Tahun 1998 - 2010
Sumber: Information Security Breaches Survey
Dari Gambar 1.2 di atas dapat jelaskan bahwa pada tahun 1998 - 2004
terjadi peningkatan ancaman terhadap keamanan informasi organisasi dari
18%menjadi 68%. Selanjutnya, ancaman tersebut menurun pada tahun 2004 –
2008 dari 68% menjadi 35%. Ancaman kembali meningkat pada tahun 2010 yaitu
74% untuk organisasi kecil dan 90% untuk organisasi besar.
ISBS juga mempublikasikan hasil surveinya terkait jenis ancaman
keamanan informasi padatahun 2010 dan 2012 untuk organisasi besar dan kecil.
Hasil survei tersebut tampak pada gambar 1.3 berikut:
2
BAB I PENDAHULUAN
Gambar 1.3Persentase Ancaman Keamanan Sistem Informasi
Tahun 2010 dan 2012
Sumber: diolah dari hasil survei Information Security Breaches Survey 2012
Berdasarkan gambar 1.3 di atas, jenis ancaman yang paling tinggi pada
organisasi besar di tahun 2012 adalah insiden ancaman yang dilakukan oleh
pegawai atau staf sebesar 82%. Jenis ancaman di tingkat bawah berikutnya
disebabkan oleh attacker/hacker sebesar 73%, data korup atau kegagalan sistem
sebesar 66%,
virus atau program berbahaya sebesar 59% dan terakhir
disebabkan oleh kecurangan sebesar 53%.
Di tingkat nasional, Indonesia Computer Emergency Response Team(IDCERT) melaporkanbahwa jumlah insiden yang masuk sepanjang tahun 2011
adalah sebanyak 1.057.333. Untuk rata-rata insden yang terjadi per bulan pada
tahun 2010 sebanyak 290.297 laporan dan tahun 2011 sebanyak 88.111
laporan. Dari laporan insiden yang masuk dapat disajikan dalam bentuk grafik
seperti tampakpada gambar berikut:
BAB I PENDAHULUAN
Gambar 1. 4 Persentase Insiden Keamanan Informasi
Spam Komplain
0.00%
0.01%
Respo
0.01%
0.05%
n Spoofing /
0.05%
0.05%
Phishing
Malware
INTELLECTUAL
PROPERTY RIGHTS/
HaKI
1.95%
3.05%
5.41%
9.29
%
90.83%
36.07
%
1.74%
51.48
%
Spam
Network Incident
0%
100%
20%
40%
60%
80%
2010
2011
Sumber: Laporan Indonesia Computer Emergency Response Team Tahun 2012
Berdasarkan gambar 1.4 di atas, jenis insiden yang mendominasi pada
tahun 2010 adalah spam sebesar 90,83%, disusul HaKI sebesar 5.41%, malware
1,95%, nerwork incident sebesar 1,95% dan spoofing 0.05%. Insiden pada tahun
2011 dari yang tertinggi nerwork incident sebesar 51,48%, spam sebesar
36,07%, haki sebesar 9,29%, malware 3,05% dan spoofing 0,05%.
Melihat kenyataan di atas, maka keamanan informasi perlu diperhatikan
oleh setiap organisasi. Badan Pendidikan dan Pelatihan Keuangan (BPPK)
merupakanorganisasi/instansi
pemerintah
di
bawah
Kementerian
Keuangan.Dalam menjalankan tugasnya, BPPK menyediakan akses intranet dan
internet di semua satker BPPK melalui Wide Area Network (WAN) Kementerian
Keuangan.
BAB I PENDAHULUAN
Pengguna intranet dan internet dari lingkungan BPPK meliputi; pegawai,
peserta diklat, pengajar dan tamu. Pengguna dari golongan pegawai BPPK dan
peserta diklat dari tahun 2017 – 2012 dapat dilihat pada gambar berikut:
BAB I PENDAHULUAN
Gambar 1.5Pengguna Dari Gologan Pegawai dan Peserta Diklat
40,000
Pengguna
35,000
30,000
25,000
20,000
15,000
10,000
5,000
2007
2008
2009
2010
2011
2012
Tahun
Sumber: diolah dari data LAKIP, SIM Kepegawaian dan Aplikasi Monitoirng Information System Diklat BPPK
Berdasarkan gambar 1.5 di atas, peningkatan jumlah pengguna dari
golonganpegawai BPPK dan peserta diklat mulai dari 10.000-an pada tahun
2007 sampai dengan 30.000-an pada tahun 2010. Pada tahun 2011 mengalami
penurunan dari tahun sebelumnya dan pada tahun 2012 kembali naik mendekati
angka 35.000.
Peningkatan jumlah pengguna tersebut berpotensi meningkatkan ancaman
terhadap
keamanan
Kementerian
informasi
Keuangan,
BPPK.Bergabungnya
ancamanterhadap
BPPK
keamanan
dalam
informasi
WAN
inijuga
berpotensi menimbulkan ancaman terhadap instansi lain yang tergabung dalam
WAN Kementerian Keuangan.
Untuk mendukung penerapan SMKI di instansi pemerintah, Direktorat
Keamanan Informasi Kementerian Komunikasi dan Informatika telah menerbitkan
buku panduan yang bersifat umum dan dapat digunakan oleh instansi
pemerintah, Badan Usaha Milik Negara/Daerah dan penyelenggara publik
BAB I PENDAHULUAN
lainnya, Salah satu unit di lingkungan Kemenkeu yang telah menggunakan buku
panduan ini dalam pengelolaan keamanan informasinya adalah Direktorat
Jenderal Pajak Kementerian Keuangan.
Buku panduan ini juga memuat Indeks Keamanan Informasi (Indeks KAMI)
dalam lampirannya sebagai alat untuk mengukur dan menganalisis tingkat
kesiapan atau kematangan pengamanan informasi yang ada di suatu instansi.
Sesuai Indeks KAMI, evaluasi dilakukan terhadap berbagai area yang
menjadi
target
penerapan
keamanan
informasi
dengan
ruang
lingkup
pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan
oleh standar ISO 27001:2005.
Indeks KAMI ini telah banyak digunakan di instansi pemerintah seperti;
Kementerian Kebudayaan dan Pariwisata, Kementerian Lingkungan Hidup,
Kementerian Kominfo – PDSI, Kementerian Pekerjaan Umum, Kementerian
Perdagangan,
Kementerian
Perhubungan,
Kementerian
Perindustrian,
Kementerian PPN / BAPPENAS, Kementerian Tenaga Kerja danTransmigrasi,
Sekretariat Negara RI, dan BPKP.
Kementerian Keuangan sendiri juga telah memiliki aturan terkait penerapan
keamanan informasi yaitu, Keputusan Menteri Keuangan (KMK) Nomor
479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan
Informasi di Lingkungan Kementerian Keuangan.
KMK ini mengadopsi 11 sasaran pengendalian yang ada di ISO/IEC
27001:2005 atau Standar Nasional Indonesia (SNI) ISO/IEC 27001:2009. KMK
479 tahun 2010mengamanatkan agar penerapan sistem manajemen keamanan
informasi dilaksanakan secara bertahap dalam jangka waktu paling lambat3
(tiga) tahun sejak ditetapkannya (13 Desember 2010).
BAB I PENDAHULUAN
Berdasarkan uraian di atas, maka peneliti tertarik untuk melakukan
penelitian terhadap SMKI yang ada di BPPK. Judul penelitian yang diambil
peneliti
adalah
“Analisis
Kematangan
Sistem
Manajemen
Keamanan
Informasi Badan Pendidikan dan Pelatihan Keuangan Diukur Menggunakan
Indeks Keamanan Informasi”.
B. Rumusan Masalah
Berdasarkan uraian pada latar belakang sebelumnya, peneliti membuat
rumusan masalah yang termuat dalam pertanyaan berikut:
Bagaimana
tingkat
kesiapan
atau
kematangan
SMKIBPPK
diukur
Menggunakan Indeks Keamanan Informasi?
C. Tujuan Penelitian
Sesuai dengan rumusan masalah sebelumnya, tujuan penelitian ini
adalah untuk mengetahui tingkat kesiapan atau kematangan Sistem Manajemen
Keamanan Informasi BPPK berdasarkan Keputusan Menteri Keuangan Nomor
479 Tahun 2010 diukur menggunakan Indeks Keamanan Informasi.
D. Ruang Lingkup
1.
Ruang lingkup penelitian
Ruang
lingkup
yang
diteliti
terkait
pengelolaan
Sistem
Informasi
Manajemen (SIM) pada server utama dan Infrastruktur Teknologi Informasi dan
Komunikasi (TIK) BPPK. Area-area yang diteliti untuk masing-masing ruang
lingkup adalah:
a. Peran dan Tingkat Kepentingan TIK
b. Tata Kelola Keamanan Informasi
BAB I PENDAHULUAN
c. Pengelolaan Risiko Keamanan Informasi
d. Kerangka Kerja Keamanan Informasi
e. Pengelolaan Aset Keamanan Informasi
f.
2.
Teknologi Keamanan Informasi
Unit analisis
Unit analisis dalam penelitian ini adalah semua Satuan Kerja (20 Satuan
Kerja) di lingkungan BPPK. Satuan kerja tersebut terdiri dari 8 unit eselon II dan
12 unit eselon III yang tersebar di daerah.
E.
Manfaat Penelitian
Penelitian ini akan memberikan banyak manfaat diantaranya:
1. Bagi
Pimpinan,
hasil
penelitian
ini
dapat
digunakan
untuk
bahan
pertimbangan pengambilan keputusan atau kebijakan di bidang keamanan
informasi.
2. Bagi Pegawai, hasil penelitian ini dapat digunakan untuk meningkatkan
pemahaman dan kepedulian terhadap manajemen keamanan informasi
BAB II
LANDASAN TEORI
A. Pengertian Informasi
Menurut kamus besar bahasa Indonesia informasi adalah penerangan atau
pemberitahuan tentang sesuatu. Menurut kamus Wikipedia, informasi adalah
pesan (ucapan atau ekspresi) atau kumpulan pesan yang terdiri dari order
sekuens dari simbol, atau makna yang dapat ditafsirkan dari pesan atau
kumpulan pesan.
Informasi juga berarti data yang telah diolah menjadi sebuah bentuk yang
berarti bagi penerimanya dan bermanfaat bagi pengambilan keputusan saat ini
atau saat mendatang (Kadir, 2003). Informasi merupakan kumpulan data yang
diolah menjadi bentuk yang lebih berguna dan lebih berarti bagi yang menerima
(Kristanto, 2003). Informasi adalah data yang diolah menjadi bentuk yang lebih
berguna dan lebih berarti bagi yang menerimanya (Jogiyanto, 1990).
B. Informasi Sebagai Aset
Informasi merupakan salah satu aset bagi sebuah organisasi.Sebagaimana
aset lainnya, informasi memiliki nilai tertentu bagi organisasi tersebut sehingga
harus dilindungi, untuk menjamin kelangsungan organisasi, meminimalisir
kerusakan karena kebocoran sistem keamanan
informasi, mempercepat
kembalinya investasi dan memperluas peluang usaha. Beragam bentuk informasi
yang mungkin dimiliki oleh sebuah organisasi diantaranya: informasi yang
tersimpan dalam komputer (desktopdanmobile komputer), informasi yang
ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim
BAB II LANDASAN TEORI
melalui fax, tersimpan dalam disket, CD, DVD, flashdisk, atau media
penyimpanan lain, informasi yang dilakukan dalam pembicaraan (termasuk
percakapan melalui telepon), dikirim melalui telex, email, informasi yang
tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP
atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan
untuk menyampaikan informasi dan ide-ide organisasi.
C. Keamanan Informasi
Menurut SNI ISO/IEC 27001:2009 keamanan informasi adalah penjagaan
kerahasiaan, integritas, dan ketersediaan informasi. Keamanan Informasi adalah
terjaganya kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan
(availability) informasi (Tim Direktorat Keamanan Informasi, 2011:24). Orang
mungkin akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan
teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya saling terkait,
namun mengacu pada dua hal yang sama sekali berbeda.
“Keamanan Teknologi Informasi” atau IT Security mengacu pada usahausaha mengamankan infrastruktur teknologi informasi dari gangguan-gangguan
berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan, sementara
“keamanan informasi” fokus pada data dan informasi milik organisasi.
Pada konsep ini, usaha-usaha yang dilakukan adalah merencanakan,
mengembangkan serta mengawasi semua kegiatan yang terkait dengan
bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai
dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke pihakpihak yang tidak berkepentingan.
Berdasarkan
penjelasan
tersebut,
„kemananan
teknologi
informasi‟
merupakan bagian dari keseluruhan aspek „keamanan informasi‟. Karena
10
BAB II LANDASAN TEORI
teknologi informasi merupakan salah satu alat penting yang digunakan untuk
mengamankan akses serta penggunaan dari data dan informasi organisasi. Jadi,
teknologi
informasi
bukanlah
satu-satunya
aspek
yang
memungkinkan
terwujudnya konsep keamanan informasi di organisasi.
D. Ancaman Terhadap Keamanan Informasi
Jenis ancaman terhadap sistem manajeman keamanan informasi terbagi
dalam dua kelompok besar, yaitu:
1.
Ancaman secara non fisik
Jenis ancaman secara non fisik terhadap sistem manajemen keamanan
informasi terdiri dari:
a. Jenis ancaman melalui sistem jaringan komputer
Jenis-jenis ancaman terhadap keamanan informasi melaui sistem jaringan
komputer, diantaranya adalah:
1) DOS/DDOS, yaitu metode serangan untuk menghabiskan sumber daya
sebuah peralatan jaringan komputer, sehingga layanan jaringan komputer
menjadi terganggu.
2) Sniffing, yaitu metode pencurian data dengan cara mendengarkan seluruh
paket yang lewat pada sebuah media komunikasi, baik itu media kabel
maupun radio.
3) IP Spoofing, yaitu metode serangan di mana penyerang menempatkan diri di
antara 2 host yang sedang berkomunikasi. Akibatnya pengiriman paket data
antara 2 host tersebut dikendalikan oleh penyerang.
4) Remote attack
adalah bentuk serangan terhadap suatu mesin dimana
penyerangan dilakukan dari jarak jaruh di luar sistem jaringan atau media
transmisi.
11
BAB II LANDASAN TEORI
b.
Jenis ancaman melalui sistem informasi manajemen
Jenis ancaman melaui sistem informasi manajemen berbasis berbasis web
berdasarkan standar yang dibuat oleh The
Open
Web ApplicationSecurity
Project (OWASP)ada10 ancaman, terdiri dari:
1)
Kelemahan Injeksiseperti injeksi SQL, OS, dan LDAP yang dapat
mengeksekusi perintah yang tidak direncanakan, atau mengakses data yang
tidak terotorisasi
2)
Cross-Site Scripting (XSS) merupakan kelemahan aplikasi ketika mengambil
data yang tidak dapat dipercaya dan mengirimnya ke suatu web browser
tanpa validasi yang memadai.
3)
Otentikasi dan pengelolaan sesi yang buruk seperti lamanya sesi time out
aplikasi yang memungkinkan penyerang mendapatkan password, key, dan
mengeksploitasi cacat implementasi lainnya untuk memperoleh identitas
pengguna yang lain.
4)
Direct object referencemerupakan penggunaan referensi ke suatu objek
implementasi internal, seperti file, direktori, atau kunci database tanpa
adanya suatu pemeriksaan kendali akses atau perlindungan lainnya.
5)
Cross-Site Request Forgery (CSRF)merupakan suatu serangan terhadap
browser korban yang sudah log-on untuk mengirim HTTP request yang
dipalsukan,
sehingga
penyerang
dapat
memaksa
browser
korban
menghasilkan request yang dianggap sah oleh aplikasi.
6)
Kesalahan konfigurasi keamananseperti penggunaan konfigurasi default
suatu perangkat yang telah banyak diketahui kelemahannya.
12
BAB II LANDASAN TEORI
7) Penyimpanan kriptografi yang tidak aman seperti tidak terlindunganya data
kartu kredit dengan enkripsi yang memadai, sehingga penyerang dapat
mencuri atau memodifikasi data.
8) Kegagalan membatasi akses URL merupakan kelemahan, di mana
penyerang dapat memalsukan URL untuk mengakses halaman-halaman
yang tersembunyi.
9) Perlindungan yang tidak cukup pada layer transportsepeti penggunaan
sertifikasi yang tidak valid atau sudah kadaluarsa.
10) Redirect dan forward yang tidak divalidasi seperti pengarahan ke situs
phising atau malwareoleh penyerang dengan menggunakan forward untuk
mengakses halaman yang tidak terotorisasi.
2. Ancaman secara fisik
Ancaman secara fisik terhadap sistem manajemen keamanan informasi
terkait aset informasi adalah:
a. Arus listrik
Arus listrik dapat menimbulkan kerusakan pada aset informasi jika melebihi
batas atau mati secara mendadak. Kelebihan arus listik dapat menimbulakan
terbakarnya aset informasi. Terputusnya arus listrik secara mendadak, arus listrik
tidak stabil danhubungan pendek arus listrik dapat mengakibatkan terganggunya
operasional. Akibat yang mungkin timbul adalah kerusakan komponen komputer,
input data, dan lainnya.
b. Bencana
Bencana banjir, gempa atau kebakaran yang melanda ruangan/bangunan
tempat sistem berada dapat merusak aset informasi sebagian atau keseluruhan.
Potensi kerugiannya besar dan untuk memulihkannya membutuhkan biaya,
13
BAB II LANDASAN TEORI
tenaga dan waktu yang tidak sedikit. Memiliki computer emergency and recovery
system plan akan membantu mereduksi biaya dan waktu yang dibutuhkan dalam
pemulihan.
c. Pencurian
Pencurian terhadap aset informasi mungkin saja terjadi jika pengaman
lemah. Pencurian dapat berasal dari orang dalam atau pun orang luar. Kerugian
yang ditimbulkan dapat besar tergantung jenis aset dan datanya yang hilang.
d. Ancaman fisik lainnya
Ancaman fisik lainnya dapat berupa cuaca buruk misalnya suhu udara
yang terlalu panas, terlalu lembab, tetesan air atau kontaminasi kimia, ledakan
bom, serangan teroris, sabotase, sambaran petir dan lain-lain yang dapat
menimbulakann kerusakan fisik aset informasi. Kerugian yang ditimbulkan
acaman ini dapat besar tergantung jenis aset dan data yang rusak.
E.
Sasaran Pengendalian Keamanan Informasi
Sasaran pengendalian keamanan informasi
berdasarkan Keputusan
Menteri Keuangan Nomor 479 tentang Kebijakan dan Standar Sistem
Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan yang
diadopsi dari ISO 27001:2005 meliputi 11 (sebelas) sasaran pengendalian yaitu;
1.
Pengendalian umum
Sasaran pengedalian umumkeamanan informasi digunakan sebagai
pedoman dalam rangka melindungi aset informasi Kementerian Keuangan dari
berbagai bentuk ancaman baik dari dalam maupun luar lingkungan Kementerian
Keuangan, yang dilakukan secara sengaja maupun tidak sengaja. Pengamanan
dan perlindungan ini diberikan untuk menjamin kerahasiaan (confidentiality),
keutuhan (integrity), dan ketersediaan (availability) aset informasi agar selalu
14
BAB II LANDASAN TEORI
terjaga dan terpelihara dengan baik. Sasaran pengendalian ini meliputi
pengelolaan pengamanan seluruh aset informasi Kementerian Keuangan dan
dilaksanakan oleh seluruh unit kerja, pegawai Kementerian Keuangan baik
sebagai pengguna maupun pengelola Teknologi Informasi dan Komunikasi (TlK),
dan pihak ketiga di lingkungan Kementerian Keuangan. Aset informasi yang perlu
dilindungi dalam bentuk:
a. Data dokumen, meliputi: data ekonomi dan keuangan, data gaji, data
kepegawaian,
dokumen
penawaran
dan
kontrak,
dokumen
perjanjiankerahasiaan, kebijakan kementerian, hasil penelitian, bahan
pelatihan,prosedur operasional, rencana kelangsungan kegiatan (business
continuity plan), dan hasil audit;
b. Perangkat lunak, meliputi: perangkat lunak aplikasi, perangkat lunak
sitem,dan perangkat bantu pengembangan sistem;
c. Aset fisik, meliputi: perangkat komputer, perangkat jaringan dankomunikasi,
removable media, dan perangkat pendukung;
d. Aset tak berwujud (intangible), meliputi: pengetahuan, pengalaman,keahlian,
citra dan reputasi.
2.
Pengendalian organisasi keamanan informasi
Sasaran pengedalian organisasi keamanan informasi bertujuan untuk
memberikan pedoman dalam membentuk organisasi fungsional keamanan
informasi yang bertanggung jawab mengelola keamanan informasi dan
perangkatnya termasuk hubungan dengan pihak luar. Sasaran pengendalian ini
meliputi struktur Tim Keamanan Informasi di Kementerian Keuangan dan unit
eselon I, perjanjian kerahasiaan dan hubungan dengan pihak berwenang,
komunitas keamanan informasi, dan pihakketiga.
15
BAB II LANDASAN TEORI
3.
Pengendalian pengelolaan aset
Sasaran pengedalian pengelolaan aset bertujuan memberikan pedoman
dalam mengelola asetinformasi di lingkungan Kementerian Keuangan untuk
melindungi dan menjaminkeamanan aset informasi. Sasaran pengendalian ini
meliputi tanggung jawab setiap unit eselon I terhadap aset informasi dan
pengklasifikasian aset informasi.
4.
Pengendalian keamanan sumber daya manusia
Sasaran
pengedalian
keamanan
sumber
daya
manusia
bertujuan
memastikan bahwa seluruh pegawai dan pihak ketiga memahami tanggung
jawabnya masing-masing, sadar atas ancaman keamanan informasi, serta
mengetahui proses terkait keamanan informasi sebelum, selama, dan setelah
bertugas. Sasaran pengendalian ini meliputi peran dantanggung jawab seluruh
pegawai dan pihak ketiga di lingkungan KementerianKeuangan yang hams
dipahami dan dilaksanakan. Peran dan tanggung jawabpegawai juga mengacu
pada peraturan perundang-undangan lainnya yang berlaku.
5.
Pengendalian keamanan fisik dan lingkungan
Sasaran pengedalian keamanan fisik dan lingkungan bertujuan untuk
mencegah akses fisik oleh pihak yang tidak berwenang, menghindari terjadinya
kerusakan pada perangkat pengolah informasi serta gangguan pada aktivitas
organisasi.
Sasaran
pengendalian
ini
meliputi
pengamanan
area
dan
pengamanan perangkat seperti;perimeter keamanan fisik, perlindungan terhadap
ancaman eksternal dan lingkungan, penempatan peralatan, sarana pendukung,
keamanan kabel, pemeliharaan, keamanan peralatan di luar kantor, pemindahan
barang dan penghapusan atau penggunaan kembali peralatan secara aman.
6.
Pengendalian pengelolaan komunikasi dan operasi
16
BAB II LANDASAN TEORI
Sasaran pengedalian manajemen komunikasi dan operasi bertujuan untuk
memastikan operasional yang aman dan benar pada perangkat pengolah
informasi,
mengimplementasikan
dan
memelihara
keamanan
informasi,
mengelola layanan yang diberikan pihak ketiga, meminimalkan risiko kegagalan,
melindungi
keutuhan
dan
ketersediaan
informasi
dan
perangkat
lunak,
memastikan keamanan pertukaran informasi dan pemantauan terhadap proses
operasional. Sasaran pengendalian ini meliputi:
a. Prosedur operasional dan tanggung jawab;
b. Pengelolaan layanan oleh pihak ketiga;
c. Perencanaan dan penerimaan sistem;
d. Perlindungan terhadap ancaman program yang membahayakan (malicious
code);
e. Backup;
f.
Pengelolaan keamanan jaringan;
g. Penanganan media penyimpan data;
h. Pertukaran informasi;
i.
7.
Pemantauan.
Pengendalian akses
Sasaran pengedalian akses kontrol bertujuan memastikan otorisasi akses
pengguna dan mencegah akses pihak yang tidak berwenang terhadap aset
informasi khususnya perangkat pengolah informasi. Sasaran pengendalian ini
meliputi persyaratan untuk pengendalian akses, pengelolaan akses pengguna,
tanggung jawab pengguna, pengendalian akses jaringan, pengendalian akses ke
sistem operasi, pengendalian akses ke aplikasi dan sistem informasi, mobile
computing dan teleworking.
17
BAB II LANDASAN TEORI
8.
Pengendalian pengadaan, pengembangan dan pemeliharaan sistem
informasi
Sasaran
pengedalian
pengadaan/akuisisi,
pengembangan
dan
pemeliharaan sistem informasi bertujuan untuk memastikan bahwa keamanan
informasi
merupakan
bagian
yang
terintegrasi
dengan
sisteminformasi,
mencegah terjadinya kesalahan, kehilangan, serta modifikasi oleh pihak yang
tidak berwenang. Sasaran pengendalian ini meliputi pengolahan informasi pada
aplikasi, pengendalian penggunaan kriptografi, keamanan file sistem (system
files), keamanan dalam proses pengembangan dan pendukung (support
proceses) dan pengelolaan kerentanan teknis.
9.
Pengendalian pengelolaan gangguan keamanan informasi
Sasaran
pengedalian
insiden
keamanan informasi
bertujuan
untuk
memastikan kejadian dan kelemahan keamanan informasi yang terhubung
dengan sistem informasi dikomunikasikan untuk dilakukan perbaikan, serta
dilakukan pendekatan yang konsisten dan efektif agar dapat dihindari atau tidak
terulang kembali. Sasaran pengendalian ini meliputi pelaporan kejadian dan
kelemahan keamanan informasi dan pengelolaan gangguan keamanan informasi
dan perbaikannya.
10. Pengendalian pengelolaan kelangsungan kegiatan
Sasaran pengedalian manajemen kelangsungan usaha bertujuan untuk
melindungi sistem informasi, memastikan berlangsungnya kegiatan dan layanan
pada saat keadaan darurat, serta memastikan pemulihan yang tepat. Sasaran
pengendalian ini meliputi proses pengelolaan kelangsungan kegiatan, penilaian
risiko dan analisis dampak bisnis (business impact analysis/BIA), penyusunan
18
BAB II LANDASAN TEORI
dan penerapan rencana kelangsungan kegiatan (business continuity) dan
pengujian, pemeliharaan, dan pengkajian ulang rencana kelangsungan kegiatan.
11. Pengendalian kepatuhan
Sasaran pengedalian kepatuhan bertujuan untuk menghindari pelanggaran
terhadap peraturan perundangan yang terkait keamananinformasi. Sasaran
pengendalian ini meliputi kepatuhan terhadap peraturan perundangan yang
terkait keamanan informasi, kepatuhan teknis dan audit sistem informasi.
F.
Indeks Keamanan Informasi
Indeks KAMI merupakan alat evaluasi untuk menganalisa tingkat kesiapan
atau kematangan SMKI di Instansi pemerintah. Alat evaluasi ini disusun oleh Tim
Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika. Indeks
KAMIdigunakan untuk memberikan gambaran kondisi kesiapan (kelengkapan
dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi.
Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan
keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi
semua aspek keamanan yang didefinisikan oleh standar ISO/IEC 27001:2005.
1.
Area-area evaluasi keamanan informasi
Area yang digunakan dalam indeks KAMI untuk mengevaluasi atau
mengukur tingkat kematangan SMKI instansi merangkum dari 11 sasaran
pengendaliian yang ada di ISO 27001:2005 dan KMK 479 tahun 2010 ke dalam 5
area evaluasi. Untuk lebih detail dapat dilihat dari gambar 2.1 berikut:
19
6. MANAJEMEN PERUBAHAN
a. Bagaimana suatu perubahan akan sukses
BAB II LANDASAN TEORI
b. Jelaskan 8 praktek terbaik (Best practice) untuk
perubahan
c. Apa yang terjadi dalam proses perubahan apabila budaya nya budauya lama
dengan struktur baru dan strategi baru.
Gambar 2. 1 Hubungan 11 Sasaran Pengendalian ISO 27001:2005 dan KMK
479 Tahun 2010 Dengan 5 Area Pada Indeks KAMI versi 2.3
Dari gambar 2.1 di atas dapat dijelaskan sebagai berikut:
a.
Tata Kelola Keamanan Informasi
Area tata kelola merupakan rangkuman penerapan kontrol yang ada pada
KMK 479 tahun 2010 yaitu; sasaran pengendalian umum, organisasi, keamanan
informasi dalam pengelolaan kelangsungan usaha dan kepatuhan.
Penerapan kontrol dalam area ini meliputi kebijakan formal yang
mendefinisikan peran, tanggung-jawab, kewenangan pengelolaan keamanan
informasi, dari pimpinan unit kerja sampai ke pelaksana operasional. Termasuk
dalam area ini juga adalah adanya program kerja yang berkesinambungan,
alokasi anggaran, evaluasi program dan strategi peningkatan kinerja tata kelola
keamanan informasi.
20
BAB II LANDASAN TEORI
b.
Pengelolaan Risiko Keamanan Informasi
Area pengelolaan risiko merupakan rangkuman penerapan kontrol yang
ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian organisasi,
pengelolaan
aset
informasi,
keamanan
informasi
dalam
pengelolaan
kelangsungan usaha dan kepatuhan.
Bentuk penerapan kontrol pada area pengelolaan risiko keamanan
informasi ini sejalandengan strategi penerapan manajemen risiko yang terdapat
pada
Peraturan
Menteri
Keuangan
Nomor:
191/PMK.01/2008
tentang
Penerapan Manajemen Risiko di Lingkungan Departemen Keuangan.Salah satu
strateginyaadalah memastikan bahwaseluruh risiko telah teridentifikasi dan
terdapat mitigasi yang terencana dan terukur untuk menjaga agar risiko tersebut
berada pada tingkat yang sesuai dengan toleransi yang telah ditetapkan.
Adapun proses pengelolaan risiko keamanan informasi dapat dilihat pada
gambar berikut:
Gambar 2.2Proses Pengelolaan Risiko Keamanan Informasi
Metodology Risk
21
BAB II LANDASAN TEORI
Berdasarkan gambar 2.2 di atas dapat dijelaskan bahwa proses
manejemen risiko sistem manajemen keamanan informasi meliputi:
1) Metodology risk assessmentmerupakan metode penilaian risiko aset
informasi berdasarkan dampak dan kemungkinan terjadi risiko terhadap aset
informasi.
2) Indentifikasi aset merupakan proses mengindentifikasi, klasifikasi dan
membuat profil aset informasi.
3) Risk description merupakan proses mengidentifikasi acaman, kelemahan
dan dampak terhadap kerahasiaan, integritas dan ketersediaan aset
informasi.
4) Inherent risk merupakan proses mengevaluasi risikoterkait dampak dan
kemungkinan terjadi pada aset informasi tanpa penerapan pengendalian.
5) Kontrol yang ada merupakan pengendalian yang diterapkan organisasi.
6) Residual risk adalah sisa risiko yang dihasilkan oleh adanya penerapan
kontrol.
7) Penerapan kontrol baru dan risk treatment plan merupakan tindak lanjut dari
risiko yang melebihi ambang batas dan opsi penanganan risiko yang terbaik
yang dilanjutkan dengan pengembangan rencana mitigasi risiko.
8) Expected risk merupakan nilai risiko yang diharapkan dengan penerapan
kontrol baru dan risk treatment plan.
9) Monitoring efektivitas pengamanan merupakan proses memantau efektivitas
pengaman yang diterapkan.
10) Review risk register merupakan proses menelaah dan mengkajipengelolaan
risiko.
22
BAB II LANDASAN TEORI
c.
Kerangka Kerja Keamanan Informasi
Area kerangka kerja merupakan rangkuman penerapan kontrol yang ada
pada KMK 479 tahun 2010 yaitu; sasaran pengendalian umum, organisasi,
keamanan sumber daya manusia, pengelolaan komunikasi dan operasional,
pengelolaan
gangguan
keamanan
informasi,keamanan
informasi
dalam
pengelolaan kelangsungan usaha dan kepatuhan.
Kelengkapan kontrol di area ini adalah kebijakan dan prosedur kerja
operasional, kompetensi sumber daya manusia, termasuk strategi penerapan,
pengukuran efektifitas kontrol dan langkah perbaikan.
d.
Pengelolaan Aset Informasi
Area pengelolaan aset informasi merupakan rangkuman penerapan kontrol
yang ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian pengelolaan
aset informasi, keamanan sumber daya manusia, keamanan fisik dan
lingkungan, pengendalian akses, dan keamanan informasi dalam pengadaan,
pengembangan, dan pemeliharaan sistem informasi.
Kontrol yang diperlukan dalam area ini adalah bentuk pengamanan terkait
keberadaan aset informasi, termasuk keseluruhan proses yang bersifat teknis
maupun administratif dalam siklus penggunaan aset tersebut.
e.
Teknologi dan Keamanan Informasi
Area teknologi dan keamanan informasi merupakan rangkuman penerapan
kontrol yang ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian akses,
keamanan informasi dalam pengadaan, pengembangan, dan pemeliharaan
sistem
informasi,
pengelolaan
gangguan
keamanan
informasi,keamanan
informasi dalam pengelolaan kelangsungan usaha dan kepatuhan.
23
BAB II LANDASAN TEORI
Aspek pengamanan di area teknologi mensyaratkan adanya strategi yang
terkait dengan tingkatan risiko, dan tidak secara eksplisit menyebutkan teknologi
atau merk pabrikan tertentu.
Data hasil evaluasi pada area-area tersebut akan memberikan snapshot
indeks kesiapan dari aspek kelengkapan maupun kematangan kerangka kerja
keamanan informasi yang diterapkan dan dapat digunakan sebagai pembanding
dalam rangka menyusun langkah perbaikan dan penetapan prioritasnya.
2.
Defisini tingkat kematangan
Definisi
tingkat
kematangan
yang
digunakan
untuk
mengevaluasi
kelengkapan dan mengidentifikasi tingkat kematangan penerapan pengamanan
berdasarkan petunjuk penggunaanIndeks KAMI adalah:
a.
Tingkat I
Pada tingkat I mengidentifikasikan bahwa kesiapan atau kematangan
sistem manajemen keamanan informasi pada kondisi awal, dengan ciri-ciri
sebagai berikut:
1)
Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan
informasi.
2)
Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak
mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan
kewenangan yang jelas dan tanpa pengawasan.
3)
Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.
4)
Pihak yang terlibat tidak menyadari tanggung jawab mereka.
24
BAB II LANDASAN TEORI
b.
Tingkat II
Pada tingkat II mengidentifikasikan bahwa kesiapan atau kematangan
sistem manajemen keamanan informasi pada kondisi penerapan kerangka kerja
dasar (aktif), dengan ciri-ciri sebagai berikut:
1) Pengamanan sudah diterapkan walaupun sebagian besar masih di area
teknis
dan
belum
adanya
keterkaitan
langkah
pengamanan
untuk
mendapatkan strategi yang efektif.
2)
Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi.
3) Langkah pengamanan operasional yang diterapkan bergantung kepada
pengetahuan dan motivasi individu pelaksana.
4) Bentuk
pengamanan
secara
keseluruhan
belum
dapat
dibuktikan
efektivitasnya.
5) Kelemahan dalam manajemen pengamanan masih banyak ditemukan dan
tidak dapat diselesaikan dengan tuntas oleh pelaksana maupun pimpinan
sehingga menyebabkan dampak yang sangat signifikan.
6) Manajemen pengamanan belum mendapatkan prioritas dan tidak berjalan
secara konsisten.
7) Pihak yang terlibat kemungkinan besar masih belum memahami tanggung
jawab mereka.
c.
Tingkat III
Pada tingkat III mengidentifikasikan bahwa kesiapan atau kematangan
sistem manajemen keamanan informasi pada kondisi terdefinisi dan konsisten
(pro aktif), dengan ciri-ciri sebagai berikut:
1) Bentuk pengamanan yang baku sudah diterapkan secara konsisten dan
terdokumentasi secara resmi.
25
BAB II LANDASAN TEORI
2)
Efektivitas pengamanan dievaluasi secara berkala, walaupun belum melalui
proses yang terstruktur.
3)
Pihak
pelaksana
dan
pimpinan
secara
umum
dapat
menangani
permasalahan terkait pengelolaan keamanan pengendalian dengan tepat,
akan tetapi beberapa kelemahan dalam sistem manajemen masih ditemukan
sehingga dapat mengakibatkan dampak yang signifikan.
4)
Kerangka kerja pengamanan sudah mematuhi ambang batas minimum
standar atau persyaratan hukum yang terkait.
5)
Secara umum semua pihak yang terlibat menyadari tanggungjawab mereka
dalam pengamanan informasi.
d. Tingkat IV
Pada tingkat IV mengidentifikasikan bahwa kesiapan atau kematangan
sistem manajemen keamanan informasi pada kondisiterkelola dan terukur
(terkendali), dengan ciri-ciri sebagai berikut:
1) Pengamanan diterapkan secara efektif sesuai dengan strategi manajemen
risiko.
2) Evaluasi (pengukuran) pencapaian sasaran pengaman dilakukan secara
rutin, formal dan terdokumentasi.
3) Penerapan pengamanan teknis secara konsisten dievaluasi efektivitasnya.
4) Kelemahan manajemen pengamanan teridentifikasi dengan baik dan secara
konsisten ditindaklanjuti pembenahannya.
5) Manajemen pengamanan bersifat pro-aktif dan menerapkan pembenahan
untuk mencapai bentuk pengelolaan yang efisien.
6) Insiden dan ketidakpatuhan (non-conformity) diselesaikan melalui proses
formal dengan pembelajaran akar permasalahan.
26
BAB II LANDASAN TEORI
7) Karyawan merupakan bagian yang tidak terpisahkan dari pelaksana
pengamanan informasi.
e. Tingkat V
Pada tingkat V mengidentifikasikan bahwa kesiapan atau kematangan
sistem manajemen keamanan informasi pada kondisi optimal, dengan ciri-ciri
sebagai berikut:
1) Pengamanan menyeluruh diterapkan secara berkelanjutan dan efektif
melalui program pengelolaan risiko yang terstruktur.
2) Pengamanan informasi dan manajemen risiko sudah terintegrasi dengan
tugas pokok instansi.
3) Kinerja pengamanan dievaluasi secara kontinyu, dengan analisisparameter
efektivitas kontrol, kajian akar permasalahan dan penerapan langkah untuk
optimasi peningkatan kinerja.
4) Target
pencapaian program pengamanan informasi selalu dipantau,
dievaluasi dan diperbaiki.
5) Karyawan
secara
proaktif
terlibat
dalam
peningkatan
efektivitas
pengamanan.
3.
Hubungan antara Indeks KAMI, ISO 27001:2005 dan KMK 479 tahun 2010
Hubungan
antara
indeks
KAMI
sebagai
alat
pengukuran
tingkat
kematangan SMKI dengan standar ISO/IEC 27001:2005 dan KMK nomor 479
tahun 2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan
Informasi di Lingkungan Kementerian Keuangan tampak pada gambar 2.3berikut:
27
BAB II LANDASAN TEORI
Gambar 2.3 Hubungan Indeks KAMI, ISO/IEC 27001:2005 dan KMK nomor 479
tahun 2010
Berdasarkan gambar 2.3 di atas, dapat dijelaskan bahwa Kementerian
Keuangan mengadopsi seluruhsasaran pengendalian yang diamanatkan ISO
27001 dan 27002 dalam penyusunan KMK 479/2010. Sedangkan Indeks KAMI
yang digunakan sebagai alat ukur tingkat kematangan SMKI dalam penelitian ini
juga disusun mengacu pada standar ISO 27001.
G. Kerangka Pemikiran
Kerangka pemikiran yang digunakan dalam penelitian ini tampak pada
gambar berikut.
28
Gambar 2.4 Kerangka Pemikiran
29
BAB III
METODE PENELITIAN
A. Jenis Penelitian
Penelitian ini merupakan jenis penelitian analisis deskriptif kuantitatif, di
mana peneliti akan melakukan analisis dengan mendiskripsikan tingkat
kematangan SMKI Badan Pendidikan dan Pelatihan Keuangan berdasarkan skor
atau nilai yang dihasilkan Indeks KAMI. Deskripsi yang dilakukan penulis
didasarkan pada panduan dalam penggunaan indeks KAMI.
B. Jenis dan Sumber Data
Jenis data yang digunakan adalah data kuantitatif yang diperoleh dari data
sekunder maupun data primer yang langsung dikumpulkan dari sumber asalnya.
Data sekunder diperoleh dari laporan-laporan atau dokumen-dokumen terkait
keamanan informasi yang ada di lingkungan BPPK, sedangkan data primer
dikumpulkan daripejabat atau pegawai
teknis BPPK menggunakan metode
survei dan observasi di lapangan.
C. Waktu dan Tempat Penelitian
Waktu pengamatan dan pengumpulan data berlangsungselama lima bulan
mulai dari bulan Maret 2013 sampai dengan Juli 2013. Data yang diamati terkait
pengelolaan keamanan informasi dan dokumentasinya yang berada di 20 satuan
kerja BPPK (8 unit eselon II dan 12 unit eselon III).
30
BAB III METODE PENELITIAN
D. Teknik Pengumpulan Data
Pengumpulan data dilakukan dengan cara melakukan studi kepustakaan,
focus group discussion(FGD), survei (kuesioner), dan observasi.
Studi kepustakaan digunakan untuk mengumpulkan data terutama terkait
dengan teori dan konsep aspek-aspek atau area-area yang akan diteliti. Selain
itu, studi ini juga dilakukan guna mendapatkan data tentang kendala-kendala
yang telah diteliti oleh pihak lain.
Peneliti juga menggunakan metode focus group discussion (FGD)bersama
para Narasumber. Focusgroup discussion adalah diskusi kelompok yang terarah
pada
masalah yang diangkat peneliti (Hermansyah, 2009). FGD ini bertujuan
untuk memperoleh pemahaman lebih mendalam terkait cara penggunaan Indeks
KAMI serta informasi terkait kendala-kendala yang mungkin terjadi serta alternatif
solusi dalam menerapkan SMKI.
Selain itu, peneliti menggunakan kuesioner untuk mengumpulkan data-data
terkait kesiapan BPPK menerapkan SMKI sesuai amanat KMK 479 tahun
2010.Kuesioner yang akan digunakan peneliti adalah Indeks Keamanan
Informasi (Indeks KAMI) versi 2.3 dari Kementerian Komunikasi dan Informatika
dengan pertimbangan:
1.
Karena dalam penyusunannya Indeks KAMI mengacu pada sumber yang
sama dengan acuan dalam penyusunan KMK479/2010, maka tingkat
kesiapan atau kematangan yang menjadi output utama dari penggunaan
indeks ini dapat digunakan disamakan dengan tingkat kesiapan/kematangan
BPPK dalam menerapkan ketentuan yang ada dalam KMK 479/2010.
2. Indeks KAMI telah digunakan Direktorat Keamanan Informasi Kementerian
Komunikasi dan Informasi untuk mengukur tingkat kematangan SMKI pada
31
BAB III METODE PENELITIAN
sejumlah instansi pemerintah, oleh karenanya kami menganggap Indeks
KAMI valid untuk digunakan dalam kepentingan penelitian ini, sehingga
peneliti tidak perlu menyusun kuesioner khusus untuk tujuan pengukuran
tingkat kesiapan dan kematangan SMKI di BPPK.
Area-area evaluasi/penelitian berdasarkan Indeks KAMI adalah:
1. Peran TIK di dalam Instansi
2. Tata Kelola Keamanan Informasi
3. Pengelolaan Risiko Keamanan Informasi
4. Kerangka Kerja Keamanan Informasi
5. Pengelolaan Aset Informasi, dan
6. Teknologi dan Keamanan Informasi
Responden adalah pejabat atau pegawai teknis yang bertanggung jawab
terhadap masing-masing area yang dievaluasi. Sebagai contohnya, responden
aspek teknologi keamanan informasi adalah pejabat atau pegawai bertugas
menangani teknologi informasi sesuai ruang lingkup surveinya.
Untuk
meningkatkan
validitas
hasil
pengisian
kuesioner,
peneliti
mengadakan bimbingan teknis pengisian kuesioner Indeks KAMI dengan
bantuan narasumber dari Kementerian Kominfo dengan memanfaatkan fasilitas
video conferencing BPPK ke seluruh satker terkait di BPPK. Selain itu, untuk
mengkonfirmasi seluruh respon yang diberikan oleh responden pada saat
pengisian kuesioner, peneliti juga melakukan wawancara langsung dengan
responden (observasi).
Selain untuk tujuan konfirmasi dan klarifikasi, observasi juga dilakukan
untuk mengumpulkan informasi yang diperlukan seperti topologi jaringan, kondisi
infrastruktur, dan aset informasi dari 12 satker terpilih, yaitu Sekretariat Badan,
32
BAB III METODE PENELITIAN
Pusdiklat Pengembangan Sumber Daya Manusia, Pusdiklat Pajak, Pusdiklat
Anggaran dan Perbendaharaan, Pusdiklat Kekayaan Negara dan Perimbangan
Keuangan, Pusdiklat Bea dan Cukai, Pusdiklat Keuangan Umum, Sekolah Tinggi
Akuntansi Negara, BDK Palembang, BDK Yogyakarta, BDK Balikpapan dan BDK
Makassar.
Sesuai metode sampling yang digunakan dalam penelitian ini, purposive
sampling, peneliti memilih ke-12 satker tersebut sebagai lokasi observasi
didasarkan pada pertimbangan bahwa 80% pengguna TI di lingkungan BPPK
berada pada 12 satker tersebut.
E. Kuesioner Pengukuran Area Penelitian
Kuesinoer yang digunakan untuk mengukur tingkat kematangan SMKI
adalah Indeks KAMI versi 2.3 yang terdiri dari:
1. Peran TIK dalam Instansi
Pada Bagian I kuesioner, responden diminta untuk mendefinisikan Peran
TIK (Tingkat Kepentingan TIK) di unit masing-masing.Selain itu, responden juga
diminta untuk mendeskripsikan infrastruktur TIK yang ada dalam satuan kerjanya
secara singkat.
Tujuan dari proses ini adalah untuk mengelompokkan Peran TIK di tiap unit
mulai dari “Minim”, “Rendah”, “Sedang”, “Tinggi”, hingga “Kritis”. Adapun definisi
dari Peran TIK tersebut adalah:
a. “MINIM”, apabila penggunaan TIK tidak signifikan dan tidak berpengaruh
proses kerja yang berjalan. Untuk tujuan analisis, peran ini tidak digunakan.
b. “RENDAH”, apabila TIK sudah digunakan untuk mendukung proses kerja,
namun belum pada tingkat yang signifikan
33
BAB III METODE PENELITIAN
c. “SEDANG”, apabila TIK sudah digunakan dalam mendukung proses kerja
yang berjalan, namun tingkat ketergantungannya masih terbatas.
d. “TINGGI”, TIK sudah menjadi bagian yang tidak terpisahkan dari proses
kerja yang berjalan.
e. “KRITIS”, TIK merupakan satu-satunya cara untuk menjalankan proses kerja
yang bersifat strategis atau berskala nasional.
Peran TIK dievaluasi melalui 12 pertanyaan dalam Kuesioner Bagian I, dengan
bahasan:
a. Total anggaran tahunan yang dialokasikan untuk TIK
b. Jumlah staf atau pengguna dalam instansi yang menggunakan infrastruktur
TIK
c. Tingkat ketergantungan terhadap layanan TIK untuk menjalankan Tugas
Pokok dan Fungsi.
d. Nilai kekayaan intelektual yang dimiliki dan dihasilkan
e. Dampak dari kegagalan sistem TIK utama
f.
Tingkat ketergantungan ketersediaan sistem TIK untuk menghubungkan
lokasi kerja
g. Dampak dari kegagalan sistem TIK terhadap kinerja instansi pemerintah
lainnya atau terhadap ketersediaan sistem pemerintah berskala nasional
h. Tingkat sensitifitas pengguna sistem TIK
i.
Tingkat kepatuhan terhadap UU dan perangkat hukum lainnya
j.
Potensi kerugian atau dampak negatif dari insiden ditembusnya keamanan
informasi sistem TIK
k. Tingkat
ketergantungan
terhadap
pihak
ketiga
dalam
menjalankan/mengoperasikan sistem TIK
34
BAB III METODE PENELITIAN
l.
Tingkat klasifikasi/kekritisan sistem TIK relatif terhadap ancaman upaya
penyerangan atau penerobosan keamanan informasi
Berikut adalah ilustrasi Kuesioner Bagian I:
Gambar 3.1 Ilustrasi Kuesioner Bagian I
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
Berdasarkan total skor yang diberikan responden atas seluruh pertanyaan dalam
Kuesioner Bagian I ini, Peran TIK dalam suatu unit dapat didefinisikan sebagai
berikut:
Gambar 3.2 Definisi Skor Peran TIK
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
2. Area Keamanan Informasi
Kuesioner Bagian II s.d. Bagian VI berisikan sejumlah pertanyaaan terkait
area keamanan informasi, yaitu:
a. Bagian II
: Tata Kelola Keamanan Informasi;
b. Bagian III : Pengelolaan Risiko Keamanan Informasi;
c. Bagian IV : Kerangka Kerja Pengelolaan Keamanan Informasi;
d. Bagian V
: Pengelolaan Aset Informasi; dan
35
BAB III METODE PENELITIAN
e. Bagian VI : Teknologi dan Keamanan Informasi
Seluruh pertanyaan yang ada di tiap area keamanan informasi di
kelompokkan ke dalam tiga kategori pengamanan, dengan ketentuan:
a. Kategori 1
:
Pertanyaan yang terkait dengan kerangka kerja dasar
keamanan informasi
b. Kategori 2
:
Pertanyaan yang terkait dengan efektivitas dan konsistensi
penerapan keamanan informasi
c. Kategori 3
:
Pertanyaan yang merujuk pada kemampuan untuk selalu
meningkatkan kinerja keamanan informasi
Adapun status penerapan (respon) yang dapat dipilih responden untuk
menjawab seluruh pertanyaan di setiap bagian didefinisikan sebagai berikut:
a. Tidak Dilakukan;
b. Dalam Perencanaan;
c. Dalam Penerapan atau Diterapkan Sebagian; atau
d. Diterapkan Secara Menyeluruh
Setiap jawaban akan diberikan skor yang nilainya disesuaikan dengan kategori
pengamanan yang terkait, dengan ketentuan:
a. Tahapan awal nilainya akan lebih rendah dibandingkan tahapan berikutnya.
b. Status penerapan yang sudah berjalan secara menyeluruh memiliki nilai
yang lebih tinggi dibandingkan bentuk penerapan yang lebih rendah.
c. Skor untuk kategori pengamanan pada tahap awal akan lebih rendah dari
kategori tahap yang lebih tinggi.
d. Untuk keseluruhan area pengamanan, pengisian pertanyaan dengan
kategori "3" akan diproses lebih lanjut, apabila semua pertanyaan terkait
36
BAB III METODE PENELITIAN
dengan kategori "1" dan "2" sudah diisi dengan status minimal "Diterapkan
Sebagian".
Berikut adalah matriks hubungan antara status penerapan, kategori
pengamanan dan skoring-nya:
Tabel 3.1 Matrik Status Penerapan dan Kategori Pengamanan
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
Berikut adalah ilustrasi Kuesioner Bagian II – Bagian VI dengan penjelasan atas
unsur-unsur di dalamnya:
Gambar 3.3 Ilustrasi Kuesioner Bagian II – Bagian VI
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
Keterangan:
1.
Tingkat Kematangan
2.
Kategori Pengamanan
3.
Daftar Pertanyaan
4.
Status Penerapan
5.
Skor
37
BAB III METODE PENELITIAN
Sebagaimana yang telah disampaikan sebelumnya, tiap Bagian Kuesioner
memuat pertanyaan Kategori Pengamanan 1 s.d. Kategori Pengamanan 3,
dengan ikhtisar sebagai berikut:
Tabel 3.2 Matrik Kategori Pengamanan dan Area Evaluasi
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
Keterangan:
1.
Total Pertanyaan seluruhnya: 119
2.
Total Skor seluruhnya: 588
Berikut, adalah jumlah pertanyaan terkait Tingkat Kematangan Keamanan
Informasi:
Tabel 3.3 Jumlah Pertanyaan Terkait Tingkat Kematangan Keamanan Informasi
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
38
BAB III METODE PENELITIAN
F. Metode Analisis Data
Metode analisis data merujuk pada penggunaan Indeks KAMI lampiran
Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara
Pelayanan Publik (2011).Hasil penjumlahan skor untuk masing-masing area
disajikan dalam dua instrumen, yaitu:
1. Tabel nilai masing-masing area
Tabel 3.4 Skor Area Eavaluasi
Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011
Tabel ini berisikan total rata-rata skor untuk tiap area yang dievaluasi
2. Diagram Radar dengan lima sumbu sesuai area pengamanan.
Diagram ini dimaksudkan untuk menggambarkan hubungan antara
kepatuhan terhadap standar yang ditetapkan oleh KMK 479/2010, status
penerapan, Kerangka Kerja Dasar, dan skor dari masing-masing area.
39
BAB III METODE PENELITIAN
Gambar 3.4 Diagram Radar Hasi