Proceeding SNASTIKOM 2014 Vol 2 PENERAPA
Proceeding SNASTIKOM 2014 Vol-2
PENERAPAN INDEKS KEAMANAN INFORMASI BERBASIS ISO 27001 UNTUK
MENGUKUR TINGKAT KESIAPAN PENGAMANAN INFORMASI
PADA INSTITUSI PENDIDIKAN TINGGI
1
Sajadin Sembiring,2 Solly Ariza Lubis
1
Teknik Informatika STT Harapan Medan, 2Teknik Elektro Universitas Panca Budi Meda
Jl. H.M Jhoni No 70 Medan, Sumatera Utara
1
[email protected]
Abstrak
menghancurkan suatu sistem informasi pada institusi
Informasi merupakan asset yang sangat bernilai bagi sebuah
pendidikan tinggi yang telah dibangun dan dikembangkan
institusi bisnis dan pemerintah. Informasi merupakan hasil
dengan susah payah. Disamping itu, penyusup dan „‟crackers‟‟
pengolahan data yang menjadi basis pengetahuan bagi
sangat aktif mencari celah untuk dapat masuk kedalam suatu
pemiliknya dan merupakan bahan dasar utama dalam proses
sistem informasi dan melakukan berbagai tindak kejahatan
pengambilan kebijakan untuk pengembangan bisnis,
„‟cyber‟‟. Kerugian dari segala ancaman serangan terhadap
pererencanaan operasi maupun strategis, analisis, control dan
keamanan informasi ini tidak terhitung nilainya, baik dari segi
koreksi yang mengarahkan untuk optimalisasi kinerja
materil maupun moril, apalagi yang menyangkut informasi
organisasi. Perguruan tinggi merupakan salah satu institusi yang
rahasia pada institusi tersebut. Keamanan informasi tidak cukup
memiliki berbagai informasi yang terkait dengan managemen,
hanya disandarkan pada kehandalan tools atau teknologi
keuangan, proses akademik, kemahasiswaan, penelitian, asset
keamanan informasi yang digunakan, tetapi juga diperlukan
dan lain sebagainya dimana sebahagian besar dari informasi
pemahaman yang baik oleh organisasi tentang apa yang harus
tersebut bersifat rahasia atau perlu dijaga keasliannya. Dalam
dilindungi dan menentukan secara tepat solusi yang dapat
makalah ini diuraikan model penerapan Indeks Keamanan
menangani permasalahan kebutuhan keamanan informasi.
Informasi (KAMI) yang di sesuaikan dengan ISO 27001
Untuk itu dibutuhkan managemen keamanan informasi yang
tentang Information security management system (ISMS)
sistemik dan komprehensif.
untuk mengukur tingkat keamanan informasi dan kematangan
Dalam praktik bisnis mencapai tujuan seringkali organisasi
suatu institusi perguruan tinggi dalam pengelolaan keamanan
bisnis hanya mengandalkan Teknologi Informasi (TI) yang
informasi institusinya. Pada makalah ini juga diuraikan hasil
terpasang dalam mengelola informasi sebagai basis dalam
penerapan Indeks KAMI juga dapat dijadikan sebagai bahan
usaha untuk memberikan layanan yang berkualitas kepada
evaluasi diri bagi institusi perguruan tinggi terhadap pengelolaan
customer ataupun dalam optimalisasi proses bisnisnya.
Tingkat ketergantungan organisasi pada system informasi
keamanan informasinya.
juga sejalan dengan tingkat resiko yang mungkin timbul seiring
Kata Kunci : Indeks KAMI, Keamanan Informasi, Institusi
dengan perkembangan organisasi bisnis untuk tersebut. Salah
Pendidikan Tinggi. ISO 27001
satu risiko yang mungkin timbul adalah risiko keamanan
informasi, dimana informasi sebagai asset organisasi menjadi
penting yang harus tetap tersedia dan dapat digunakan pada saat
I. Pendahuluan
Informasi merupakan aset yang penting bagi suatu
organisasi yang perlu dilindungi dari risiko keamanannya baik
dibutuhkan.
Institusi Pendidikan Tinggi merupakan organisasi yang
memiliki berbagai jenis informasi penting dan bersifat rahasia
dari pihak luar ataupun dari dalam organisasi [ ].
telah
atau informasi yang mesti dijaga keasliannya. Misalnya
menjadi bagian penting yang tidak terpisahkan dari aktivitas
informasi tentang proses akademik mahasiswa, pengelolaan
keseharian institusi pendidikan tinggi. Sejalan dengan
Asset Perguruan Tinggi, Keuangan, Informasi Penelitian,
perkembangan pemanfaatannya, ancaman terhadap aspek
Pengabdian Masyarakat, Beasiswa, kealumnian dan lain
keamanan informasi juga turut meningkat. Serangan virus,
sebagainya. Tingkat ketergantungan institusi pendidikan tinggi
worm, dan malware dapat melumpuhkan bahkan
terhadap pemanfaatan teknologi informasi juga dirasakan sangat
Teknologi Informasi dan Komunikasi (TIK)
Proceeding SNASTIKOM 2014 Vol-2
tinggi dan telah terbukti dapat meningkatkan efektifitas dan
Metode OCTAVE
merupakan
pendekatan sistem
efisiensi dalam proses pencapaian visi, misi dan tujuan
terhadap evaluasi risiko keamanan informasi yang
berdirinya organisasi tersebut. Seiring dengan hal tersebut
komprehensif, sistematik, terarah, dan dapat dilakukan sendiri.
tingkat resiko keamanan informasi yang dimiliki oleh institusi
Pendekatannya disusun dalam satu set kriteria yang
pendidikan tinggi juga semakin tinggi.
mendefinisikan elemen esensial dari evaluasi risiko keamanan
Berkaitan dengan pentingnya menjaga keamanan
informasi ini, pemerintah melalui UU No 11 Tahun 2008
informasi. Gambar 1 menunjukkan kerangka managemen
keamanan informasi dengan metode OCTAVE.
Tentang Informasi dan Transaksi Elektronik telah menetapkan
bahwa setiap penyelenggara system elektronik
harus
menyelenggarakan system elektronik yang handal dan aman
serta bertanggung jawab terhadap beroperasisnya system
elektronik sebagaimana mestinya [ ].
II. Model Managemen Keamanan Informasi
Keamanan informasi bukan hanya berkaitan dengan aspek
teknologi dan aspek sumber daya manusia saja tetapi juga terkait
dengan berbagai aspek lain, seperti aspek manajemen termasuk
kebijakan organisasi, sistem manajemen dan perilaku manusia.
Untuk itu diperlukan pengelolaan keamanan informasi yang
sistemik dan komprehensif. Dalam membangun system
pengelolaan keamanan informasi di institusi pendidikan tinggi
Gambar 1 : Framework Model OCTAVE
harus memperhatikan aspek-aspek keamanan informasi secara
Sumber: Supradono, 2009
Model managemen resiko keamanan informasi yang di
umum paling tidak memuat tiga unsur penting yaitu:
a.
b.
Confidentiality (kerahasiaan) yaitu aspek yang
usulkann oleh General Accounting Office (GAO) dengan
menjamin
informasi,
siklus framework yang dilaksanakan secara kontinu, berkaitang
memastikan bahwa informasi hanya dapat diakses oleh
dengan meningkatnya resiko yang selalu mengancam [ ].
orang yang berwenang dan menjamin kerahasiaan
Gambar 2 menunjukkan model framework managemen
data yang dikirim, diterima dan disimpan.
resiko keamanan informasi model GAO.
kerahasiaan
Integrity (integritas)
data
atau
yaitu aspek yang menjamin
bahwa data tidak dirubah tanpa ada ijin pihak yang
berwenang (authorized), harus terjaga keakuratan dan
keutuhan informasi.
c.
Availability (ketersediaan) yaitu aspek yang menjamin
bahwa data akan tersedia saat dibutuhkan, memastikan
user yang berhak dapat menggunakan informasi dan
perangkat terkait jika diperlukan.
Model managemen keamanan informasi dengan
pertimbangan terhadap ketiga aspek keamanan informasi
pada institusi pendidikan tinggi dapat mengadopsi metode-yang
sudah umum digunakan pada industry seperti metode
Gambar 2: Siklus Framework Model GAO
OCTAVE ((The Operationally Critical Threat, Asset, and
Sumber: GAO, 1998
Vulnerability Evaluation) yang dikembangkan oleh Software
Engineering Institute, Carnegie Mellon University.[ ]
III. Managemen Keamanan Informasi Berbasis Indeks
KAMI di Institusi Pendidikan Tinggi.
Proceeding SNASTIKOM 2014 Vol-2
Indeks Keamanan Informasi (KAMI) merupakan model
pengukuran terhadap kesiapan/kematangan suatu instansi
dalam pengamanan informasi. Indeks KAMI umumnya
digunakan untuk pengukuran kesiapan/kematangan instansi
pemerintah dalam pengamanan informasi, namun tidak terbatas
hanya untuk instansi pemerintah saja. Indeks KAMI juga dapat
untuk mengidentifikasi kondisi saat ini, identifikasi keperluan
pembenahan dan prioritasnya, pemetaan kesiapan/kematangan
instansi dalam pengamanan informasi. Disamping itu Indeks
KAMI juga dapat dimanfaatkan untuk kelengkapan
pengamanan informasi sesuai dengan kesiapan sertifikasi (ISO
Gambar 3: Skoring Peran dan Kepentingan TIK
b. Evaluasi kelengkapan dan kematangan pengamanan
informasi untuk 6 area sesuai dengan ISO 27001
27001 ISMS).
.Standar Nasional Indonesia (SNI) 27001 yang
ISMS (Information Security Managemen System)
mengadopsi ISO 27001 telah mensyaratkan kebutuhan
yaitu: (1) Peran TIK dalam institusi, (2) Tata Kelola
pencapaian ambang batas minimum dan meminta semua
Keamanan
pengamanan wajib dan control yang relevan diterapkan secara
keamanan informasi, (4) Kerangka Kerja Keamanan
konsisten dan efektif oleh institusi/instansi dalam proses
Informasi, (5) Pengelolaan Asset Informasi dan (5)
pengamanan informasi. Dalam tulisan ini proses penerapan
Teknologi dan Keamanan Informasi.
ISO 27001 digunakan untuk keperluan indeks KAMI yang
Tingkat Kematangan Institusi terhadap pengamanan
berkaitan dengan evaluasi yang dilakukan terhadap
informasi untuk 6 area tersebut dikelompokkan
kelengkapan dan konsistensi bentuk pengamanan informasi
berdasarkan skor tingkat kematangan dan kategori
sesuai dengan ISO 27001. Disamping itu juga diperlukan untuk
(pengelompokan)
identifikasi tingkat kematangan yang dilakukan dengan
ditunjukkan oleh Tabel 1.
menggunakan pengelompokan bentuk pengamanan (security
Informasi,(3)
Pengelolaan
kelengkapan
seperti
Resiko
yang
Tabel 1. Skor tingkat kematangan dengan kategori kelengkapan
control) sesuai kompleksitas dan tahapan penerapannya yang di
petakan terhadap tingkat kematangan tertentu.
Framework Indeks KAMI dalam pengukuran tingkat
kematangan pengamanan informasi pada institusi pendidikan
tinggi dapat uraikan sebagai berikut:
a. Analisis tingkat kepentingan atau peran TIK pada
institusi pendidikan tinggi. Ketegorisasi tingkat
kepentingan atau peran TIK ini digunakan untuk
memudahkan proses pembandingan dan pemberian
saran
pencapaian
kematangan
yang
tingkat
kelengkapan
berbeda,
sesuai
dan
dengan
c. Evaluasi hasil Indeks KAMI dengan dashboard untuk
kepentingan/peran TIK pada institusi tersebut.
prensentasi skor kelengkapan pengamanan informasi
Skoring terhadap peran dan tingkat kepentingan TIK
dan tingkat kematangan pengamanan informasi
institusi berdasarkan skor dari responden yang di
dengan rentang metric kematangan institusi dalam
kategorisasi dengan “Rendah” (skor: 0-12), “Sedang”
pengamanan informasi. Gambar 4 menunjukkan
(skor: 13-24), “Tinggi” (25-36), “kritis” (37-48).
dashboard hasil indeks KAMI yang memberikan
Gambar 3 menunjukkan model scoring peran dan
informasi tentang tingkat kematangan institusi dan
tingkat kepentingan TIK di Institusi.
tingkat kelengkapan penerapan Standar ISO 27001
sesuai peran TIK pada Institusi Pendidikan Tinggi.
Proceeding SNASTIKOM 2014 Vol-2
Gambar 6; Tampilan Identitas pada aplikasi Indeks KAMI
Gambar 4: Dashboard Hasil Indeks KAMI
Hasil pengujian terhadap tingkat kematangan Institusi
Framework implementasi managemen keamanan
dalam pengamanan informasi pada STTH Medan
informasi berbasis Indeks KAMI sesuai dengan standard ISO
menggunakan Indeks KAMI dapat dilihat pada Gambar 7
27001 pada institusi pendidikan tinggi dapat dilihat pada
berikut::
Gambar 5 berikut:
Mendefenisikan Ruang
Lingkup Keamanan
Informasi
Penetapan Prioritas
tindakan managemen
Menetapkan Peran TIK
Pada Institusi
INSTITUSI
PENDIDIKAN
TINGGI
Menilai Kelengkapan
Pengamanan Informasi
5 Area dengan Indeks
KAMI
Menetapkan Langkah
Perbaikan
Evaluasi Hasil Indeks
KAMI
Gambar 7: Hasil Evaluasi Indeks KAMI terhadap Pengamanan
Informasi di STTH Medan
Gambar 5: Framework Managemen Keamanan Informasi
berbasis Indeks KAMI.
Dashboard
merupakan hasil evaluasi terhadap
pengamanan informasi di STTH Medan menunjukkan bahwa
IV. Penerapan Indeks KAMI Pada Sekolah Tinggi
Peran TIK pada institusi pendidikan STTH Medan
Teknik Harapan (STTH) Medan
menunjukkan tingkat ketergantungan Tinggi dengan skor 32.
Indeks KAMI sebagai tools untuk pengukuran tingkat
Tingkat Kematangan pengamanan Informasi oleh institusi
kesiapan/ kematangan institusi dalam pengamanan informasi
pendidikan tinggi STTH Medan berada pada kategori I yang
telah coba pada STTH Medan sebagai sample institusi
menunjukkan bahwa tingkat kematangan berada pada Kondisi
pendidikan tinggi.
Awal yaitu menyatakan bahwa STTH Medan masih berada
Gambar 6 menujukkan identitas institusi pendidikan tinggi
dalam area yang terkait dengan bentuk kerangka kerja dasar
dan ruang lingkup yang sedang di ukur tingkat kematangan
keamanan informasi. Sementara rentang kelengkapan
pengamanan informasinya . Pemilihan ruang lingkup .
pengamanan berada pada wilayah “merah” menunjukkan
didasarkan pada fungsi dan peran, batasan (fisik dan non-fisik)
bahwa kelengkapan pengamanan informasi saat ini di STTH
masuk dalam rentang “Tidak layak”
Proceeding SNASTIKOM 2014 Vol-2
:.Dashboard
dengan radar Chart
Indeks KAMI
memberikan gambaran kepada pimpinan Institusi Pendidikan
manfaat kepada institusi pendidikan tinggi dalam proses
pengambilan kebijakan dan prioritas tindakan perbaikan.
Tinggi kondisi saat ini berkaitan dengan seluruh aspek
managemen keamanan informasi. Radar chart ini juga
VI. Daftar Referensi
menunjukkan gambaran kematangan institusi dalam
1. Alberts, Christopher and Dorofee, Audrey, 2002. Managing
Information SecurityRisks: The OCTAVESM Approach, .
pengelolaan pengamanan informasi. Dashboard radar chat hasil
pengukuran pada STTH Medan seperti yang di tunjukkan oleh
2. Alberts, Christopher and Dorofee, Audrey. 2001.
Gambar 8 berikut
Operationally Critical Threat, Asset, and Vulnerability
Evaluation (OCTAVE ) Criteria
(CMU/SEI-01-TR-016).
Pittsburgh,
PA:
Software
Engineering Institute, Carnegie Mellon University, 2001.
Available
online:
<
http://www.sei.cmu.edu/publications/docum
ents/01.reports/01tr016/01tr016abstract.html>.
3.
Direktorat Jendral Aplikasi Telematika, Departemen
Komunikasi dan Informatika, 2007. Pedoman Praktis
Managemen Keamanan Informasi bagi Pimpinan
Organisasi.
Gambar 8: Radar Chart Indeks KAMI STTH Medan
4.
Dari Gambar 8 dapat dilihat bahwa hasil responden pada
Direktorat Jendral Aplikasi Telematika,
Direktoran
Keamanan Informasi Kementerian Komunikasi
dan
pengukuran tingkat kesiapan/kematangan institusi STTH
Informatika, 2012. “ Indeks KAMI “.Panduan Bimtek
Medan terhadap pengamanan informasi masih berada pada
Indeks KAMI .
wilayah “kerangka kerja dasar”. Hasil ini dapat memberikan
5.
Supradono, B. 2009 Managemen Resiko Keamanan
gambaran kepada para pengambil keputusan sebagai bahan
Informasi dengan Metode OCTAVE. . Media Elektrika,
evaluasi diri untuk dapat membuat perencanaan untuk
Vol. 2, No. 1, 2009 : 4 - 8
perbaikan, sehingga
secara bertahap diharapkan dapat
6. United States General Accounting Office. Executive Guide:
memenuhi standar ISO 27001 dan selanjutnya institusi siap
Information Security Management (GAO/AIMD-98-68).
untuk di sertifikasi ISO 27001 Information Security
Washington, DC: GAO, 1998
Managemen System (ISMS).
V. Kesimpulan
Hasil pengujian menunjukkan bahwa Indeks KAMI dapat
dijadikan sebagai tools untuk menilai tingkat kesiapan/
kematangan institusi pendidikan tinggi terhadap pengelolaan
pengamanan informasi yang di miliki oleh institusi tersebut.
Evaluasi hasil Indeks KAMI pada Institusi Pendidikan
Tinggi dapat dijadikan sebagai bahan evaluasi diri institusi
khususnya tentang managemen keamanan informasi serta
sebagai kompas penunjuk arah institusi untuk persiapan
pemenuhan persyaratan yang ditetapkan oleh ISO 27001.
Untuk rekomendasi penelitian selanjutnya, Indeks KAMI
dapat dijadikan sebagai Aplikasi dengan desain interface yang
mempermudah pengguna dalam melaksanakan pengukuran
secara mandiri (Assessment by self) yang
memberikan
PENERAPAN INDEKS KEAMANAN INFORMASI BERBASIS ISO 27001 UNTUK
MENGUKUR TINGKAT KESIAPAN PENGAMANAN INFORMASI
PADA INSTITUSI PENDIDIKAN TINGGI
1
Sajadin Sembiring,2 Solly Ariza Lubis
1
Teknik Informatika STT Harapan Medan, 2Teknik Elektro Universitas Panca Budi Meda
Jl. H.M Jhoni No 70 Medan, Sumatera Utara
1
[email protected]
Abstrak
menghancurkan suatu sistem informasi pada institusi
Informasi merupakan asset yang sangat bernilai bagi sebuah
pendidikan tinggi yang telah dibangun dan dikembangkan
institusi bisnis dan pemerintah. Informasi merupakan hasil
dengan susah payah. Disamping itu, penyusup dan „‟crackers‟‟
pengolahan data yang menjadi basis pengetahuan bagi
sangat aktif mencari celah untuk dapat masuk kedalam suatu
pemiliknya dan merupakan bahan dasar utama dalam proses
sistem informasi dan melakukan berbagai tindak kejahatan
pengambilan kebijakan untuk pengembangan bisnis,
„‟cyber‟‟. Kerugian dari segala ancaman serangan terhadap
pererencanaan operasi maupun strategis, analisis, control dan
keamanan informasi ini tidak terhitung nilainya, baik dari segi
koreksi yang mengarahkan untuk optimalisasi kinerja
materil maupun moril, apalagi yang menyangkut informasi
organisasi. Perguruan tinggi merupakan salah satu institusi yang
rahasia pada institusi tersebut. Keamanan informasi tidak cukup
memiliki berbagai informasi yang terkait dengan managemen,
hanya disandarkan pada kehandalan tools atau teknologi
keuangan, proses akademik, kemahasiswaan, penelitian, asset
keamanan informasi yang digunakan, tetapi juga diperlukan
dan lain sebagainya dimana sebahagian besar dari informasi
pemahaman yang baik oleh organisasi tentang apa yang harus
tersebut bersifat rahasia atau perlu dijaga keasliannya. Dalam
dilindungi dan menentukan secara tepat solusi yang dapat
makalah ini diuraikan model penerapan Indeks Keamanan
menangani permasalahan kebutuhan keamanan informasi.
Informasi (KAMI) yang di sesuaikan dengan ISO 27001
Untuk itu dibutuhkan managemen keamanan informasi yang
tentang Information security management system (ISMS)
sistemik dan komprehensif.
untuk mengukur tingkat keamanan informasi dan kematangan
Dalam praktik bisnis mencapai tujuan seringkali organisasi
suatu institusi perguruan tinggi dalam pengelolaan keamanan
bisnis hanya mengandalkan Teknologi Informasi (TI) yang
informasi institusinya. Pada makalah ini juga diuraikan hasil
terpasang dalam mengelola informasi sebagai basis dalam
penerapan Indeks KAMI juga dapat dijadikan sebagai bahan
usaha untuk memberikan layanan yang berkualitas kepada
evaluasi diri bagi institusi perguruan tinggi terhadap pengelolaan
customer ataupun dalam optimalisasi proses bisnisnya.
Tingkat ketergantungan organisasi pada system informasi
keamanan informasinya.
juga sejalan dengan tingkat resiko yang mungkin timbul seiring
Kata Kunci : Indeks KAMI, Keamanan Informasi, Institusi
dengan perkembangan organisasi bisnis untuk tersebut. Salah
Pendidikan Tinggi. ISO 27001
satu risiko yang mungkin timbul adalah risiko keamanan
informasi, dimana informasi sebagai asset organisasi menjadi
penting yang harus tetap tersedia dan dapat digunakan pada saat
I. Pendahuluan
Informasi merupakan aset yang penting bagi suatu
organisasi yang perlu dilindungi dari risiko keamanannya baik
dibutuhkan.
Institusi Pendidikan Tinggi merupakan organisasi yang
memiliki berbagai jenis informasi penting dan bersifat rahasia
dari pihak luar ataupun dari dalam organisasi [ ].
telah
atau informasi yang mesti dijaga keasliannya. Misalnya
menjadi bagian penting yang tidak terpisahkan dari aktivitas
informasi tentang proses akademik mahasiswa, pengelolaan
keseharian institusi pendidikan tinggi. Sejalan dengan
Asset Perguruan Tinggi, Keuangan, Informasi Penelitian,
perkembangan pemanfaatannya, ancaman terhadap aspek
Pengabdian Masyarakat, Beasiswa, kealumnian dan lain
keamanan informasi juga turut meningkat. Serangan virus,
sebagainya. Tingkat ketergantungan institusi pendidikan tinggi
worm, dan malware dapat melumpuhkan bahkan
terhadap pemanfaatan teknologi informasi juga dirasakan sangat
Teknologi Informasi dan Komunikasi (TIK)
Proceeding SNASTIKOM 2014 Vol-2
tinggi dan telah terbukti dapat meningkatkan efektifitas dan
Metode OCTAVE
merupakan
pendekatan sistem
efisiensi dalam proses pencapaian visi, misi dan tujuan
terhadap evaluasi risiko keamanan informasi yang
berdirinya organisasi tersebut. Seiring dengan hal tersebut
komprehensif, sistematik, terarah, dan dapat dilakukan sendiri.
tingkat resiko keamanan informasi yang dimiliki oleh institusi
Pendekatannya disusun dalam satu set kriteria yang
pendidikan tinggi juga semakin tinggi.
mendefinisikan elemen esensial dari evaluasi risiko keamanan
Berkaitan dengan pentingnya menjaga keamanan
informasi ini, pemerintah melalui UU No 11 Tahun 2008
informasi. Gambar 1 menunjukkan kerangka managemen
keamanan informasi dengan metode OCTAVE.
Tentang Informasi dan Transaksi Elektronik telah menetapkan
bahwa setiap penyelenggara system elektronik
harus
menyelenggarakan system elektronik yang handal dan aman
serta bertanggung jawab terhadap beroperasisnya system
elektronik sebagaimana mestinya [ ].
II. Model Managemen Keamanan Informasi
Keamanan informasi bukan hanya berkaitan dengan aspek
teknologi dan aspek sumber daya manusia saja tetapi juga terkait
dengan berbagai aspek lain, seperti aspek manajemen termasuk
kebijakan organisasi, sistem manajemen dan perilaku manusia.
Untuk itu diperlukan pengelolaan keamanan informasi yang
sistemik dan komprehensif. Dalam membangun system
pengelolaan keamanan informasi di institusi pendidikan tinggi
Gambar 1 : Framework Model OCTAVE
harus memperhatikan aspek-aspek keamanan informasi secara
Sumber: Supradono, 2009
Model managemen resiko keamanan informasi yang di
umum paling tidak memuat tiga unsur penting yaitu:
a.
b.
Confidentiality (kerahasiaan) yaitu aspek yang
usulkann oleh General Accounting Office (GAO) dengan
menjamin
informasi,
siklus framework yang dilaksanakan secara kontinu, berkaitang
memastikan bahwa informasi hanya dapat diakses oleh
dengan meningkatnya resiko yang selalu mengancam [ ].
orang yang berwenang dan menjamin kerahasiaan
Gambar 2 menunjukkan model framework managemen
data yang dikirim, diterima dan disimpan.
resiko keamanan informasi model GAO.
kerahasiaan
Integrity (integritas)
data
atau
yaitu aspek yang menjamin
bahwa data tidak dirubah tanpa ada ijin pihak yang
berwenang (authorized), harus terjaga keakuratan dan
keutuhan informasi.
c.
Availability (ketersediaan) yaitu aspek yang menjamin
bahwa data akan tersedia saat dibutuhkan, memastikan
user yang berhak dapat menggunakan informasi dan
perangkat terkait jika diperlukan.
Model managemen keamanan informasi dengan
pertimbangan terhadap ketiga aspek keamanan informasi
pada institusi pendidikan tinggi dapat mengadopsi metode-yang
sudah umum digunakan pada industry seperti metode
Gambar 2: Siklus Framework Model GAO
OCTAVE ((The Operationally Critical Threat, Asset, and
Sumber: GAO, 1998
Vulnerability Evaluation) yang dikembangkan oleh Software
Engineering Institute, Carnegie Mellon University.[ ]
III. Managemen Keamanan Informasi Berbasis Indeks
KAMI di Institusi Pendidikan Tinggi.
Proceeding SNASTIKOM 2014 Vol-2
Indeks Keamanan Informasi (KAMI) merupakan model
pengukuran terhadap kesiapan/kematangan suatu instansi
dalam pengamanan informasi. Indeks KAMI umumnya
digunakan untuk pengukuran kesiapan/kematangan instansi
pemerintah dalam pengamanan informasi, namun tidak terbatas
hanya untuk instansi pemerintah saja. Indeks KAMI juga dapat
untuk mengidentifikasi kondisi saat ini, identifikasi keperluan
pembenahan dan prioritasnya, pemetaan kesiapan/kematangan
instansi dalam pengamanan informasi. Disamping itu Indeks
KAMI juga dapat dimanfaatkan untuk kelengkapan
pengamanan informasi sesuai dengan kesiapan sertifikasi (ISO
Gambar 3: Skoring Peran dan Kepentingan TIK
b. Evaluasi kelengkapan dan kematangan pengamanan
informasi untuk 6 area sesuai dengan ISO 27001
27001 ISMS).
.Standar Nasional Indonesia (SNI) 27001 yang
ISMS (Information Security Managemen System)
mengadopsi ISO 27001 telah mensyaratkan kebutuhan
yaitu: (1) Peran TIK dalam institusi, (2) Tata Kelola
pencapaian ambang batas minimum dan meminta semua
Keamanan
pengamanan wajib dan control yang relevan diterapkan secara
keamanan informasi, (4) Kerangka Kerja Keamanan
konsisten dan efektif oleh institusi/instansi dalam proses
Informasi, (5) Pengelolaan Asset Informasi dan (5)
pengamanan informasi. Dalam tulisan ini proses penerapan
Teknologi dan Keamanan Informasi.
ISO 27001 digunakan untuk keperluan indeks KAMI yang
Tingkat Kematangan Institusi terhadap pengamanan
berkaitan dengan evaluasi yang dilakukan terhadap
informasi untuk 6 area tersebut dikelompokkan
kelengkapan dan konsistensi bentuk pengamanan informasi
berdasarkan skor tingkat kematangan dan kategori
sesuai dengan ISO 27001. Disamping itu juga diperlukan untuk
(pengelompokan)
identifikasi tingkat kematangan yang dilakukan dengan
ditunjukkan oleh Tabel 1.
menggunakan pengelompokan bentuk pengamanan (security
Informasi,(3)
Pengelolaan
kelengkapan
seperti
Resiko
yang
Tabel 1. Skor tingkat kematangan dengan kategori kelengkapan
control) sesuai kompleksitas dan tahapan penerapannya yang di
petakan terhadap tingkat kematangan tertentu.
Framework Indeks KAMI dalam pengukuran tingkat
kematangan pengamanan informasi pada institusi pendidikan
tinggi dapat uraikan sebagai berikut:
a. Analisis tingkat kepentingan atau peran TIK pada
institusi pendidikan tinggi. Ketegorisasi tingkat
kepentingan atau peran TIK ini digunakan untuk
memudahkan proses pembandingan dan pemberian
saran
pencapaian
kematangan
yang
tingkat
kelengkapan
berbeda,
sesuai
dan
dengan
c. Evaluasi hasil Indeks KAMI dengan dashboard untuk
kepentingan/peran TIK pada institusi tersebut.
prensentasi skor kelengkapan pengamanan informasi
Skoring terhadap peran dan tingkat kepentingan TIK
dan tingkat kematangan pengamanan informasi
institusi berdasarkan skor dari responden yang di
dengan rentang metric kematangan institusi dalam
kategorisasi dengan “Rendah” (skor: 0-12), “Sedang”
pengamanan informasi. Gambar 4 menunjukkan
(skor: 13-24), “Tinggi” (25-36), “kritis” (37-48).
dashboard hasil indeks KAMI yang memberikan
Gambar 3 menunjukkan model scoring peran dan
informasi tentang tingkat kematangan institusi dan
tingkat kepentingan TIK di Institusi.
tingkat kelengkapan penerapan Standar ISO 27001
sesuai peran TIK pada Institusi Pendidikan Tinggi.
Proceeding SNASTIKOM 2014 Vol-2
Gambar 6; Tampilan Identitas pada aplikasi Indeks KAMI
Gambar 4: Dashboard Hasil Indeks KAMI
Hasil pengujian terhadap tingkat kematangan Institusi
Framework implementasi managemen keamanan
dalam pengamanan informasi pada STTH Medan
informasi berbasis Indeks KAMI sesuai dengan standard ISO
menggunakan Indeks KAMI dapat dilihat pada Gambar 7
27001 pada institusi pendidikan tinggi dapat dilihat pada
berikut::
Gambar 5 berikut:
Mendefenisikan Ruang
Lingkup Keamanan
Informasi
Penetapan Prioritas
tindakan managemen
Menetapkan Peran TIK
Pada Institusi
INSTITUSI
PENDIDIKAN
TINGGI
Menilai Kelengkapan
Pengamanan Informasi
5 Area dengan Indeks
KAMI
Menetapkan Langkah
Perbaikan
Evaluasi Hasil Indeks
KAMI
Gambar 7: Hasil Evaluasi Indeks KAMI terhadap Pengamanan
Informasi di STTH Medan
Gambar 5: Framework Managemen Keamanan Informasi
berbasis Indeks KAMI.
Dashboard
merupakan hasil evaluasi terhadap
pengamanan informasi di STTH Medan menunjukkan bahwa
IV. Penerapan Indeks KAMI Pada Sekolah Tinggi
Peran TIK pada institusi pendidikan STTH Medan
Teknik Harapan (STTH) Medan
menunjukkan tingkat ketergantungan Tinggi dengan skor 32.
Indeks KAMI sebagai tools untuk pengukuran tingkat
Tingkat Kematangan pengamanan Informasi oleh institusi
kesiapan/ kematangan institusi dalam pengamanan informasi
pendidikan tinggi STTH Medan berada pada kategori I yang
telah coba pada STTH Medan sebagai sample institusi
menunjukkan bahwa tingkat kematangan berada pada Kondisi
pendidikan tinggi.
Awal yaitu menyatakan bahwa STTH Medan masih berada
Gambar 6 menujukkan identitas institusi pendidikan tinggi
dalam area yang terkait dengan bentuk kerangka kerja dasar
dan ruang lingkup yang sedang di ukur tingkat kematangan
keamanan informasi. Sementara rentang kelengkapan
pengamanan informasinya . Pemilihan ruang lingkup .
pengamanan berada pada wilayah “merah” menunjukkan
didasarkan pada fungsi dan peran, batasan (fisik dan non-fisik)
bahwa kelengkapan pengamanan informasi saat ini di STTH
masuk dalam rentang “Tidak layak”
Proceeding SNASTIKOM 2014 Vol-2
:.Dashboard
dengan radar Chart
Indeks KAMI
memberikan gambaran kepada pimpinan Institusi Pendidikan
manfaat kepada institusi pendidikan tinggi dalam proses
pengambilan kebijakan dan prioritas tindakan perbaikan.
Tinggi kondisi saat ini berkaitan dengan seluruh aspek
managemen keamanan informasi. Radar chart ini juga
VI. Daftar Referensi
menunjukkan gambaran kematangan institusi dalam
1. Alberts, Christopher and Dorofee, Audrey, 2002. Managing
Information SecurityRisks: The OCTAVESM Approach, .
pengelolaan pengamanan informasi. Dashboard radar chat hasil
pengukuran pada STTH Medan seperti yang di tunjukkan oleh
2. Alberts, Christopher and Dorofee, Audrey. 2001.
Gambar 8 berikut
Operationally Critical Threat, Asset, and Vulnerability
Evaluation (OCTAVE ) Criteria
(CMU/SEI-01-TR-016).
Pittsburgh,
PA:
Software
Engineering Institute, Carnegie Mellon University, 2001.
Available
online:
<
http://www.sei.cmu.edu/publications/docum
ents/01.reports/01tr016/01tr016abstract.html>.
3.
Direktorat Jendral Aplikasi Telematika, Departemen
Komunikasi dan Informatika, 2007. Pedoman Praktis
Managemen Keamanan Informasi bagi Pimpinan
Organisasi.
Gambar 8: Radar Chart Indeks KAMI STTH Medan
4.
Dari Gambar 8 dapat dilihat bahwa hasil responden pada
Direktorat Jendral Aplikasi Telematika,
Direktoran
Keamanan Informasi Kementerian Komunikasi
dan
pengukuran tingkat kesiapan/kematangan institusi STTH
Informatika, 2012. “ Indeks KAMI “.Panduan Bimtek
Medan terhadap pengamanan informasi masih berada pada
Indeks KAMI .
wilayah “kerangka kerja dasar”. Hasil ini dapat memberikan
5.
Supradono, B. 2009 Managemen Resiko Keamanan
gambaran kepada para pengambil keputusan sebagai bahan
Informasi dengan Metode OCTAVE. . Media Elektrika,
evaluasi diri untuk dapat membuat perencanaan untuk
Vol. 2, No. 1, 2009 : 4 - 8
perbaikan, sehingga
secara bertahap diharapkan dapat
6. United States General Accounting Office. Executive Guide:
memenuhi standar ISO 27001 dan selanjutnya institusi siap
Information Security Management (GAO/AIMD-98-68).
untuk di sertifikasi ISO 27001 Information Security
Washington, DC: GAO, 1998
Managemen System (ISMS).
V. Kesimpulan
Hasil pengujian menunjukkan bahwa Indeks KAMI dapat
dijadikan sebagai tools untuk menilai tingkat kesiapan/
kematangan institusi pendidikan tinggi terhadap pengelolaan
pengamanan informasi yang di miliki oleh institusi tersebut.
Evaluasi hasil Indeks KAMI pada Institusi Pendidikan
Tinggi dapat dijadikan sebagai bahan evaluasi diri institusi
khususnya tentang managemen keamanan informasi serta
sebagai kompas penunjuk arah institusi untuk persiapan
pemenuhan persyaratan yang ditetapkan oleh ISO 27001.
Untuk rekomendasi penelitian selanjutnya, Indeks KAMI
dapat dijadikan sebagai Aplikasi dengan desain interface yang
mempermudah pengguna dalam melaksanakan pengukuran
secara mandiri (Assessment by self) yang
memberikan