Kerangka untuk Tata Kelola Keamanan Info
Kerangka untuk Tata Kelola Keamanan Informasi
di Sektor publik
Ayodya Dewangga Sasotya Rahmadita
Fakultas Pasca Sarjana, Program Studi Magister Teknik Elektro, Universitas Mercu Buana
Jl. Menteng Raya No. 29. Menteng, Daerah Khusus Ibukota Jakarta
ayodyadsr@gmail.com
Dosen : DR Ir Iwan Krisnadi MBA
Abstrak
Perkembangan teknologi informasi yang pesat saat ini, turut berimbas kepada penggunaan
teknologi informasi di sektor publik. Sayangnya masalah keamanan informasi yang
merupakan bagian penting dari teknologi informasi, sering kali kurang mendapatkan
perhatian. Tidak dapat dipungkiri, bahwa munculnya ancaman ataupun kelemahan dalam
teknologi informasi dapat mengganggu jalannya kegiatan pelayanan yang menggunakan
teknologi informasi. Oleh karena itu, diperlukan pengelolaan teknologi informasi berbasis
risiko, yang dituangkan dalam tata kelola untuk mengelola ancaman ataupun kelemahan yang
muncul di sektor publik. Makalah ini, menyoroti aset informasi dan ancaman potensial di
sektor publik. Dengan membandingkan unsur-unsur dari kerangka kerja tata kelola keamanan
informasi yang umum digunakan, standar dan praktik terbaik. Makalah ini mengusulkan
kerangka awal, untuk mengatur keamanan informasi di sektor publik. Kerangka tersebut
dikategorikan menjadi empat kriteria, yaitu; kriteria IT Governance, kriteria Tata Kelola
Perusahaan, kriteria keamanan dan kesesuaian sektor publik.
Kata Kunci: Tata Kelola Keamanan Informasi, Tata Kelola Keamanan Informasi di Sektor
Publik, A practical guide to implement and control Information Security Governance,
Business Software Alliance, Information security policy: An organizational-level process
model, Information Security Governance (Von Solms), ISACA, ISO/IEC Standards, ITGI,
NIST, Software Engineering Institute
I. PENDAHULUAN
malware yang paling banyak digunakan
untuk
menyerang
adalah
Gh0stRat
Perkembangan teknologi informasi telah
(41.67%), DarkComet (25%), dan Mirage
begitu eksplosif dalam dekade terakhir.
(16%) [4]. Indonesia dengan tingkat
Komputer telah banyak diterapkan dalam
ancaman 40% memang lebih sedikit lebih
setiap aspek kehidupan mulai dari kegiatan
rendah dibandingkan Singapura (41%),
bisnis, pemerintah, pendidikan, keuangan,
akan tetapi ancaman ini tetap di atas rata-
kesehatan, militer, maupun kedirgantaraan.
rata global yakni 36%," kata Bryce
Dengan
Boland,
meningkatnya
ketergantungan
Vice
President
&
Chief
masyarakat pada teknologi informasi (TI),
Technology Officer FireEye Asia Pacific
konsekuensi dari kejahatan komputer bisa
di
sangat serius [1]. Menurut laporan yang
(19/8/2014) [4]. Khusus untuk malware
dikeluarkan
Gh0stRat dan DarkComet ini, menurut
oleh
BSA
tahun
2015,
Hotel
Shangrila,
Boland,
dan strategi yang memadai terkait cyber
perangkat kriminal untuk mencuri data
security [2]. Menurut Laporan Symantec
perbankan. Perangkat gratisan ini mudah
melalui Internet Security Threat Report,
diakses dan dapat juga digunakan untuk
peringkat global keseluruhan Indonesia
menyembunyikan
untuk kode berbahaya naik dari peringkat
Malware ini secara signifikan menyerang
ke-7 pada tahun 2014 menjadi peringkat
layanan bisnis dan consulting, sektor jasa,
ke-5 pada tahun 2015 [3]. Hal ini terjadi
pemerintah, dan teknologi tinggi adalah
akibat pertumbuhan ekonomi Indonesia
yang paling sering disasar oleh serangan
yang terus meningkat dan manufaktur
cyber ini [4]. Untuk saat ini, ada beberapa
menjadi salah satu pendorong utama
kerangka kerja tata kelola keamanan
pertumbuhan GDP Indonesia pada tahun
informasi,
2015
jika
dipraktekkan secara luas di negara-negara
penjahat cyber menargetkan pasar ini
maju seperti Amerika Serikat dan Eropa,
karena pertumbuhan positif tersebut dilihat
tetapi
sebagai peluang untuk menyebar lebih
memiliki kelebihan dan kelemahan sendiri
banyak ancaman [3]. Bisa dilihat dari
(Council III, 2006) [5]. Umumnya, itu
sekitar
harus disesuaikan agar sesuai dengan
100
Tidak
juta
mengherankan
smartphone
yang
digunakan
Selasa
Indonesia belum mempunyai kebijakan
[3].
sering
Jakarta,
asal
telah
penyerang [4].
dikembangkan
masing-masing
organisasi
sebagai
dari
dan
dan
mereka
dikapalkan di Asia, 29 persennya terjual di
struktur
lingkungan
pasar Indonesia [3]. Menurut catatan
(Akhmad Syakhroza, 2003) [6]. Oleh
FireEye, perusahaan keamanan teknologi,
karena itu, makalah ini bertujuan untuk
ini.
organisasi, peran dan tanggung jawab,
Makalah ini disusun dalam lima bagian.
pengukuran kinerja, menetapkan tugas dan
Bagian pertama memperkenalkan latar
mekanisme pengawasan [9]. Tata kelola
belakang.
keamanan informasi adalah himpunan
mengisi
kesenjangan
Bagian
penelitian
kedua
menjelaskan
mengenai tinjauan pustaka mengenai tata
tanggung
jawab
kelola keamanan informasi di sektor
dilakukan oleh dewan dan manajemen
publik. Bagian ketiga membahas umum
eksekutif
digunakan kerangka kerja tata kelola
arahan strategis, memastikan bahwa tujuan
keamanan informasi dan perbandingannya.
tercapai,
Bagian empat membahas kerangka tata
dikelola secara tepat dan memverifikasi
kelola keamanan informasi yang diusulkan
bahwa
di sektor publik. Dan yang terakhir
digunakan secara bertanggung jawab [9].
mengenai kesimpulan.
Tujuan utama pelaksanaan tata kelola
dengan
Tata Kelola Keamanan Informasi di
praktek
tujuan
memastikan
sumber
keamanan
II. TINJAUAN PUSTAKA
dan
memberikan
bahwa
daya
yang
risiko
perusahaan
informasi
adalah
itu
untuk
melindungi aset yang paling berharga dari
sebuah
organisasi.
Identifikasi
aset
informasi perusahaan merupakan faktor
Sektor publik
penentu keberhasilan untuk implementasi
Akademisi dan praktisi memiliki beberapa
yang efisien dan efektif dari keamanan
definisi mengenai tata kelola keamanan
informasi
informasi (Rastogi dan Von Solms, 2006)
Governance IT, 2001; Deloitte Touche
[7].
di
perusahaan
Cole
(2003)
Tohmatsu,
tata
kelola
Kementerian Komunikasi dan Informatika
keamanan informasi adalah pembentukan
RI pada Panduan Penerapan Tata Kelola
dan
lingkungan
Keamanan Informasi bagi Penyelenggara
pengendalian untuk mengelola risiko yang
Pelayanan Publik [11], aset yang dicakup
berkaitan dengan kerahasiaan, integritas
meliputi, tetapi tidak terbatas pada:
Moulton
mendefinisikan
dan
bahwa
pemeliharaan
dan ketersediaan informasi dan proses
Data
2003)
(Institute
dan
[10].
Menurut
Informasi:
dokumen
pendukungnya dan sistem [8]. Harris
pengadaan
(2006) mendefinisikan bahwa tata kelola
pelanggan,
data
keamanan informasi adalah memastikan
karyawan,
sistem
semua alat, personil dan proses bisnis telah
manajemen, dokumen teknis dan
memenuhi kebutuhan spesifik organisasi
konfigurasi
[9]. Hal ini membutuhkan struktur
penetration test, materi pelatihan,
dan
kontrak,
gaji,
data
data
dokumentasi
jaringan,
hasil
prosedur operasional, business
continuity plan, dan hasil audit;
Software:
aplikasi,
software
operating
system,
development
tool, dan software tool (antivirus,
audit tool);
BUMD
Penyelenggara pelayanan publik
lainnya
Setelah diklasifikasikan aset informasi
bagian berikutnya membahas kerangka
kerja tata kelola keamanan informasi
Hardware: Server, PC, Laptop,
media penyimpanan data;
umum digunakan, standar, praktek terbaik
dan pedoman.
Perangkat Jaringan Komunikasi:
Router, Modem, Switch, Kabel,
Firewall
Kerangka Tata Kelola Keamanan
Fasilitas Pendukung: Ruang Server
Informasi
/ Ruang Data Center, Ruang Kerja,
Ruang Disaster Recovery Center
Pada referensi, Rastogi dan von Solms
(DRC), UPS, Genset, A/C/ CCTV,
(2006) menjelaskan bahwa tata kelola
Fire Extinguisher, Access Door
keamanan informasi terdiri dari struktur,
Electronic, dan sebagainya;
hubungan dan proses; bimbingan yang ada
Sumber Daya Manusia: karyawan
yang menyediakan kerangka kerja untuk
tetap,
melaksanakan
calon
karyawan
tetap,
dan pihak ketiga lainnya yang
komparatif dari Kerangka Tata Kelola
menyediakan layanan, jasa, serta
Keamanan Informasi: Pendekatan Sektor
produk yang menunjang bisnis
Publik, mengusulkan 9 kerangka untuk tata
Instansi
kelola keamanan informasi untuk sektor
penyelenggara
layanan
publik seperti A practical
Panduan tersebut juga merekomendasikan
diterapkan
di
lingkungan
penyelenggaraan pelayanan publik yang
meliputi [11]:
keamanan
informasi [7]. Dalam referensi, Analisis
implement
kelola
karyawan kontrak, mitra, vendor
publik.
untuk
tata
Instansi
and
control
guide to
Information
Security Governance, siness Software
Alliance, Information security policy: An
organizational-level
process
model,
Information Security Governance (Von
pemerintah
pusat
dan
Solms), ISACA, ISO/IEC Standards, ITGI,
daerah
NIST, dan Software Engineering Institute
BUMN
[12]. Berdasarkan saran ini, kita lebih
melihat ke dalam kerangka tata keamanan
informasi yang disebutkan yaitu:
Information security policy: An
organizational-level process model
Pada referensi (Knapp et al., 2009)
berfokus pada sisi kebijakan tata kelola
A practical guide to implement and
keamanan
control Information Security
sebelumnya
Mengikuti
pendekatan yang berbeda dari penelitian
Governance
Refensi
informasi.
lain,
menggunakan
metodologi
mengusulkan
pengumpulan data dari para ahli keamanan
kerangka kerja untuk melaksanakan tata
dan beberapa wawancara dan kuesioner
kelola
dengan profesional keamanan. Hasilnya
keamanan
berfokus
pada
informasi.
memilih
Hal
metrik
ini
dan
adalah
model
kebijakan
keamanan
indikator untuk melacak evolusi keamanan
informasi berdasarkan serangkaian proses
informasi, dan juga pada mengukur tingkat
yang
kematangan keamanan informasi dalam
diimplementasikan dalam siklus berulang.
organisasi
Mirip
[12].
Pendekatan
ini
saling
terkait
dengan
referensi
yang
dapat
pemerintahan
menganggap integrasi indikator tata kelola
lainnya, mempertimbangkan dampak dari
perusahaan, seperti Balance Scorecard,
pengaruh eksternal dan internal, serta
dengan IT dan governance keamanan
peran tata kelola perusahaan. Juga, ada
praktik terbaik, seperti yang termasuk
penekanan besar pada pelatihan dan
dalam COBIT dan ISO / IEC 17799 [12].
kesadaran
kebijakan
dikembangkan
melalui seluruh siklus [13].
Business Software Alliance
Business
Software
Alliance
Information Security Governance (Von
Solms)
merekomendasikan mengadopsi praktik
terbaik dan prosedur standar seperti ISO /
Pada referensi (Posthumus dan Solms,
IEC 17799 (kemudian dimasukkan dalam
2004), mengapa keamanan informasi harus
ISO / IEC 27000 series). Satuan Tugas
dianggap sebagai masalah tata kelola
mengusulkan kerangka kerja di mana
perusahaan.
masing-masing peran manajemen tahu apa
kerangka
fungsinya, bagaimana untuk mencapai
dengan jelas membedakan antara tata
tujuan dan bagaimana mengukur dan
kelola dan sisi manajemen. memberikan
mengaudit kegiatan yang dilakukan [12].
detail lebih lanjut tentang ISG dan
Mereka
kerja
mengusulkan
keamanan
informasi
Informasi Manajemen Keamanan, sebagai
mengantisipasi risiko keamanan informasi
bagian dari tata kelola perusahaan; dan
[16].
menjelaskan tugas, peran dan tanggung
jawab setiap individu kunci dalam sebuah
ITGI
organisasi [14].
IT Governance Institute (ITGI), didirikan
pada tahun 1998 oleh ISACA berfokus
ISACA
pada tata kelola TI dan topik terkait dan
The Information Systems Audit and
telah mengembangkan COBIT (ITGI,
Control
2007), yang merupakan kerangka kerja
Association
mengusulkan,
menentukan
(ISACA)
di
mana
model
telah
mereka
generik
untuk IT Governance [17]
untuk
mengatasi Keamanan Informasi dalam
NIST
sebuah perusahaan [15].
The National Institute of Standards and
Technology
ISO/IEC Standards
(NIST),
adalah
sebuah
lembaga dari Departemen Perdagangan
for
Amerika Serikat yang telah menerbitkan
Standardization (ISO) Di antaranya, ISO /
banyak pedoman terkait dengan Keamanan
IEC 27000 series didedikasikan untuk
Informasi [18]
The
International
Organization
Sistem Informasi Manajemen Keamanan,
yang dapat digunakan oleh organisasi
untuk mengembangkan dan menerapkan
kerangka kerja untuk mengelola keamanan
aset informasi mereka dan mempersiapkan
diri untuk diterapkan pada perlindungan
informasi mereka. Standar ini memberikan
panduan untuk melindungi aset informasi
melalui
mendefinisikan,
mempertahankan,
dan
mencapai,
meningkatkan
keamanan informasi; apa yang dicapai
menerapkan kontrol yang sesuai dan
Software Engineering Institute
The Software Engineering Institute, dari
Carnegie
Mellon
University,
telah
menerbitkan panduan (Allen dan Westby,
2007),
sebagai
bagian
dari
(CERT)
Computer Emergency Response Team.
panduan ini mendefinisikan tata kelola
untuk keamanan perusahaan dan apa
karakteristik
tata
kelola
keamanan
informasi yang efektif sehingga pembaca
dapat membedakan antara pemerintahan
strategi bisnis terhadap tujuan
keamanan yang efektif dan tidak efektif
organisasi.
Manfaat nilai bisnis melalui IT:
[19].
adanya manfaat dari optimalisasi
III. METODOLOGI
Bagian ini berisi analisis komparatif yang
paling
relevan
dengan
tata
kelola
suatu
standar
kerangka
kerja
untuk
informasi
Kriteria
tersebut
mempertimbangkan
dipilih
dengan
berbagai
macam
kerangka tata kelola keamanan informasi
di sektor publik yang ada seperti Kriteria
IT Governance, Kriteria Tata Kelola
Perusahaan, Security Criteria dan Public
mencapai
tujuan
organisasi dalam waktu tertentu.
Manajemen
Risiko:
kesadaran
ancaman, kerentanan dan dampak
menggunakan seperangkat kriteria dari
dapatkan pada referensi sebelumnya [12].
untuk
risiko keamanan, mengidentifikasi
sehingga
berbagai bidang penelitian yang penulis
keamanan
memastikan
membandingkan jenis kerangka tata kelola
keamanan
Manajemen kinerja: pemantauan
strategi
keamanan informasi di sektor publik yang
telah dijelaskan sebelumnya. Tidak adanya
investasi keamanan.
untuk mengontrol dan mengurangi
risiko secara keseluruhan.
Kontrol dan Akuntabilitas: setiap
orang
dalam
organisasi
harus
terlibat dalam kontrol keamanan
dan harus tahu tanggung jawab
dalam
kerangka
tata
kelola
keamanan yang telah didefinisikan.
Sector Suitability [12].
Kriteria Tata Kelola Perusahaan
Kriteria IT Governance
Beberapa referensi menunjukkan bahwa
Sebagai
ada
IT
Governance, domain berikut diambil dari
Governance. Seperti pada (Webb et al.,
referensi (Simonsson dan Johnson, 2006)
2006) dan (Dahlberg dan Kivijärvi, 2006)
dengan mempertimbangkan [21]:
banyak
definisi
mengenai
menganalisis lebih dari selusin definisi dan
menyoroti lima unsur, yang menyediakan
dasar-dasar IT Governance. Unsur-unsur
Tujuan:
keputusan
pengembangan
dan
Alignment
dari
Corporate
strategi,
kebijakan
keamanan informasi dan pedoman,
ini adalah [20]:
bagian
Strategis:
keamanan
informasi harus selaras dengan
kontrol
untuk
memantau
apakah tujuan telah tercapai.
Proses:
pelaksanaan
pengelolaan
proseskeamanan
informasi, dengan kegiatan
model untuk memungkinkan
dan
dan
pembandingan antara organisasi
Pedoman
implementasi
praktis:
prosedur yang terkait.
pendekatan
Orang: struktur dalam organisasi;
dibedakan dari yang praktis; yang
mendefinisikan peran dan tanggung
merinci
jawab para pemangku kepentingan.
termasuk studi kasus dan bahkan
Teknologi:
contoh-contoh praktis.
hubungan
antara
teoritis
kegiatan
dapat
pelaksanaan,
Keamanan Informasi Pemerintahan
Kesesuaian Sektor Publik
dan aset TI.
Meskipun setiap kerangka tata kelola
keamanan informasi diidentifikasi dapat
Kriteria Keamanan
Tata Kelola Keamanan Informasi jelas
disesuaikan
berkaitan
dengan
beberapa diantaranya membuat mereka
Informasi,
sehingga
bidang
satu
Keamanan
set
kriteria
sektor
publik,
lebih cocok untuk sektor publik. kekhasan
ini berkisar dari kepatuhan terhadap
keamanan telah dipilih:
dengan
beberapa
hukum tertentu, kebijakan dan peraturan
proposal mengacu pada kontrol dan
untuk persyaratan berasal dari beberapa
praktik terbaik termasuk dalam
badan
standar keamanan seperti ISO/IEC
publik
27000 series
keamanan di luar aspek teknis dalam
Informasi Manajemen Keamanan:
empat domain: sosial, politik, budaya dan
kebijakan
yang
hukum (Wimmer dan Bredow, 2002).
ditetapkan di sisi governance dapat
Kriteria keempat ini mengevaluasi domain
dikaitkan dengan manajemen dan
tersebut sehingga dapat membantu dalam
sisi operasi keamanan informasi.
keputusan, menghindari upaya yang tidak
Alat dan teknik: biasanya kerangka
perlu dalam menyesuaikan kerangka tata
memanfaatkan
keamanan informasi di sektor publik.
Standar
integrasi:
dan
memfasilitasi
prosedur
alat
untuk
pelaksanaannya,
seperti metrik untuk mengukur
tingkat kepatuhan atau jatuh tempo
pemerintah.
perlu
lembaga-lembaga
mempertimbangkan
IV. PEMBAHASAN
Dari
sembilan
kelola
besar kerangka tata kelola keamanan
keamanan informasi yang telah ditentukan
informasi tidak merincikan apakah dapat
sebelumnya disajikan dalam Bab 2. Hasil
memenuhi kriteria dengan sektor publik.
diringkas dalam Tabel 1, yang telah
Kecuali pedoman yang diusulkan oleh
ditetapkan secara tiga tingkat (tinggi,
NIST dengan tingkat tinggi pada sektor
sedang dan rendah) untuk masing-masing
publik, namun hal tersebut berdasarkan
kriteria. Hasil tabel dapat dianalisis dari
undang-undang yang ada pada Amerika
dua perspektif yang berbeda. Di satu sisi,
Serikat. Oleh karena itu, upaya tambahan
horizontal,
yang
diperlukan ketika beradaptasi kerangka
diusulkan lebih luas atas kerangka tata
kerja ini untuk Indonesia dikarenakan
kelola keamanan informasi daripada yang
mengacu
lain. Di antaranya kriteria pemerintahan,
Keamanan Informasi yang mengacu pada
hampir semua kerangka memenuhi kriteria
ISO/IEC
keselarasan strategis, manajemen risiko,
kerangka tata kelola keamanan informasi
tujuan dan proses; Namun, pengiriman
BSA dengan tingkat menengah, yang
nilai bisnis melalui IT hanya terdapat pada
menawarkan beberapa catatan penting
Institut
IT
ketika mengadopsi keamanan informasi
Framework (ITGI, 2008a), dan hubungan
oleh lembaga pendidikan dan non-profit.
teknologi dengan fisik IT jarang
Sektor publik biasanya terikat dengan
dipertimbangkan. Di
sisi lain, secara
kerangka tata kelola keamanan informasi
vertikal, tiga dari kerangka tata kelola
tertentu yang menyebabkan proses tata
keamanan informasi
kelola
IT
kerangka
kesesuaian dengan sektor publik, sebagian
beberapa
tata
kriteria
Governance
di
Val
tampaknya
lebih
pada
Sistem
27001:2013.
yang
Juga,
berbeda.
Ini
adalah
konsekuensi
dapat dianggap sebagai titik acuan awal.
undang yang berasal dari berbagai otoritas
Yaitu: IT Governance Institute berfokus
tingkat (nasional, regional, dll). Dalam
pada IT Governance, ISACA terutama
kebanyakan kasus, tata kelola keamanan
terkait dengan Corporate Governance, dan
informasi
Standar ISO berurusan terutama dengan
dengan peraturan di mana organisasi
kriteria Security. Sisanya dari pendekatan
berada.
terletak
di
posisi
menengah,
memanfaatkan pentingnya masing-masing
memberikan
komparatif.
kepada
setiap
Sehubungan
aspek
dengan
dipilih
penerapan
beberapa
selaras dengan kelompok kriteria dan
yang
dari
Manajemen
harus
di
undang-
sesuaikan
Tabel 1: Perbandingan Kerangka Tata Kelola Keamanan Informasi [12]
V. KESIMPULAN
seperangkat kriteria. Kerangka tata kelola
Aset keamanan dalam setiap organisasi
keamanan
harus
stakeholder.
dipertimbangkan oleh direksi dari setiap
Keamanan Informasi di sektor publik
lembaga publik ketika mengadopsi salah
membantu untuk kerangka kerja yang
satu
dapat
publik.
informasi. Dengan kriteria sektor publik
Selanjutnya, keamanan informasi menjadi
tingkat tinggi diperoleh NIST, kriteria
suatu
yang
keamanan tingkat tinggi diperoleh ISO
mencakup seluruh aset informasi dan
Standards, kriteria tata kelola perusahaan
memberikan keselarasan dengan strategi
tingkat
bisnis. Sembilan kerangka tata kelola
kriteria IT Governance tingkat tinggi
keamanan informasi yang paling relevan
diperoleh IT Governance Institue.
pada
melibatkan
diadopsi
proses
literatur
semua
di
dalam
telah
sektor
organisasi
ditinjau
dengan
melakukan analisis perbandingan antara
informasi
kerangka
tinggi
tata
ini
kelola
diperoleh
dapat
keamanan
ISACA dan
DAFTAR PUSTAKA
[6] Akhmad
[1] Power, R. (2002), “2002 CSI/FBI
computer crime and security survey”,
Syakhroza
(2003).
Best
Practice Corporate Governance Dalam
Kontek Perbankan Indonesia. Jakarta:
Usahawan No. 06 Thn XXXII. 19.
Computer Security Issues & Trends, Vol. 8
No. 1, pp. 1-22.
[2]
BSA.
[7] Rastogi, R & Von Solms, R. (2006).
(2015).
Asia-Pacific
Cybersecurity Dashboard. Diakses dari
http://cybersecurity.bsa.org/2015/apac/asse
ts/PDFs/country_reports/cs_indonesia.pdf.
Information Security Governance a Redefinition. IFIP International Federation
for
Information
Processing,
Volume
193/2006, Springer Boston.
Pada tanggal 27 Juni 2016, Jam 23:59
[8] Moulton, R & Coles, R. S. (2003).
WIB.
"Applying
[3] Symantec. (2015). 2015 Internet
Information
Security
Governance," Elsevier.
Security Threat Report, Volume 20 -
[9] Harris, S. (2006). Information Security
Symantec Diakses dari
Governance
https://www.symantec.com/content/en/us/e
http://searchsecurity.techtarget.com/tutoria
nterprise/other_resources/21347933_GA_
l/Information-Security-Governance-Guide.
RPT-internet-security-threat-report-
Pada tanggal 28 Juni 2016, Jam 21:46
volume-20-2015.pdf. Pada tanggal 28 Juni
WIB.
2016, Jam 19:58 WIB.
Guide.
Diakses
dari
[10] Tohmatsu, D. T. (2003). 2003 Global
[4] Detik. (2014). Waspada! 3 Malware
Security Survey. USA: Deloitte Touche
Ini Paling Ngotot Serang Indonesia
Tohmatsu. 19.
Diakses dari
http://inet.detik.com/read/2014/08/19/1754
47/2666733/323/waspada-3-malware-inipaling-ngotot-serang-indonesia. Pada
tanggal 28 Juni 2016, Jam 20:12 WIB.
[5]
Council III, C.(2006). 'An
Investigation of a COBIT
Security IT
Geofisika (BMKG). (2011). Panduan
Penerapan Tata Kelola Keamanan
Informasi bagi Penyelenggara Pelayanan
Publik. Diakses dari
http://data.bmkg.go.id/share/Dokumen/PE
System
Governance Initiative in
Higher Education,' PhD Thesis. Nova
Southeastern University.
[11] Badan Meteorologi, Klimatologi dan
GI/Panduan%20Penerapan%20Tata%20K
elola%20KIPPP_2.pdf. Pada tanggal 28
Juni 2016, Jam 23:16 WIB.
[12] ResearchGate. (2011). Comparative
[19] Allen, J. H. & Westby, J. R. (2007)
Analysis of Information Security
Governing
Governance Frameworks: A Public Sector
Implementation
Approach. Diakses dari
Engineering Institute - CERT.
https://www.researchgate.net/publication/2
32252326_Comparative_Analysis_of_Info
rmation_Security_Governance_Framewor
ks_A_Public_Sector_Approach. Pada
tanggal 28 Juni 2016, Jam 23:55 WIB.
[13] Knapp, K. J., R. Franklin Morris,
Thomas E. Marshall & Byrd, T. A. (2009)
Information
security
organizational-level
policy:
process
An
model.
Computers & Security, 28, 493-508.
A framework for the governance of
security.
Computers
&
Security, 23, 638-646.
Enterprise
Security
Guide,
Software
[20] Webb, P., Pollard, C. & Ridley,
G. (2006) Attempting to Define IT
Governance:
Wisdom
Proceedings
of
International
Conference
the
on
A
Holistic
Approach
Solutions
in
Conference
[17] ITGI (2006a) COBIT Mapping to
ISO/IEC 17799:2000 With COBIT.
[18] Bowen, P., Hash, J. & Wilson, M.
(2006) Information Security Governance.
Information Security Handbook: A Guide
for
Managers.
National
Standards and Technology.
Institute
of
Engineering
[22] Wimmer, M. & Bredow, B. v. (2002)
International
technology.
System
Research.
Business Model for Information Security.
information
on
Systems
of
of
Hawaii
Prioritization of Cobit. Proceedings of the
Proceedings
governance
39th
Assessment of IT Governance - A
[15] ISACA (2009) An Introduction to the
Corporate
Folly?
[21] Simonsson, M. & Johnson, P. (2006)
Security
[16] ISO/IEC (2008) ISO/IEC 38500:2008
or
Sciences.
Conference
[14] Posthumus, S. & Solms, R. v. (2004)
information
for
Sciences.
the
for
Providing
e-Government.
35th
Hawaii
on
System
di Sektor publik
Ayodya Dewangga Sasotya Rahmadita
Fakultas Pasca Sarjana, Program Studi Magister Teknik Elektro, Universitas Mercu Buana
Jl. Menteng Raya No. 29. Menteng, Daerah Khusus Ibukota Jakarta
ayodyadsr@gmail.com
Dosen : DR Ir Iwan Krisnadi MBA
Abstrak
Perkembangan teknologi informasi yang pesat saat ini, turut berimbas kepada penggunaan
teknologi informasi di sektor publik. Sayangnya masalah keamanan informasi yang
merupakan bagian penting dari teknologi informasi, sering kali kurang mendapatkan
perhatian. Tidak dapat dipungkiri, bahwa munculnya ancaman ataupun kelemahan dalam
teknologi informasi dapat mengganggu jalannya kegiatan pelayanan yang menggunakan
teknologi informasi. Oleh karena itu, diperlukan pengelolaan teknologi informasi berbasis
risiko, yang dituangkan dalam tata kelola untuk mengelola ancaman ataupun kelemahan yang
muncul di sektor publik. Makalah ini, menyoroti aset informasi dan ancaman potensial di
sektor publik. Dengan membandingkan unsur-unsur dari kerangka kerja tata kelola keamanan
informasi yang umum digunakan, standar dan praktik terbaik. Makalah ini mengusulkan
kerangka awal, untuk mengatur keamanan informasi di sektor publik. Kerangka tersebut
dikategorikan menjadi empat kriteria, yaitu; kriteria IT Governance, kriteria Tata Kelola
Perusahaan, kriteria keamanan dan kesesuaian sektor publik.
Kata Kunci: Tata Kelola Keamanan Informasi, Tata Kelola Keamanan Informasi di Sektor
Publik, A practical guide to implement and control Information Security Governance,
Business Software Alliance, Information security policy: An organizational-level process
model, Information Security Governance (Von Solms), ISACA, ISO/IEC Standards, ITGI,
NIST, Software Engineering Institute
I. PENDAHULUAN
malware yang paling banyak digunakan
untuk
menyerang
adalah
Gh0stRat
Perkembangan teknologi informasi telah
(41.67%), DarkComet (25%), dan Mirage
begitu eksplosif dalam dekade terakhir.
(16%) [4]. Indonesia dengan tingkat
Komputer telah banyak diterapkan dalam
ancaman 40% memang lebih sedikit lebih
setiap aspek kehidupan mulai dari kegiatan
rendah dibandingkan Singapura (41%),
bisnis, pemerintah, pendidikan, keuangan,
akan tetapi ancaman ini tetap di atas rata-
kesehatan, militer, maupun kedirgantaraan.
rata global yakni 36%," kata Bryce
Dengan
Boland,
meningkatnya
ketergantungan
Vice
President
&
Chief
masyarakat pada teknologi informasi (TI),
Technology Officer FireEye Asia Pacific
konsekuensi dari kejahatan komputer bisa
di
sangat serius [1]. Menurut laporan yang
(19/8/2014) [4]. Khusus untuk malware
dikeluarkan
Gh0stRat dan DarkComet ini, menurut
oleh
BSA
tahun
2015,
Hotel
Shangrila,
Boland,
dan strategi yang memadai terkait cyber
perangkat kriminal untuk mencuri data
security [2]. Menurut Laporan Symantec
perbankan. Perangkat gratisan ini mudah
melalui Internet Security Threat Report,
diakses dan dapat juga digunakan untuk
peringkat global keseluruhan Indonesia
menyembunyikan
untuk kode berbahaya naik dari peringkat
Malware ini secara signifikan menyerang
ke-7 pada tahun 2014 menjadi peringkat
layanan bisnis dan consulting, sektor jasa,
ke-5 pada tahun 2015 [3]. Hal ini terjadi
pemerintah, dan teknologi tinggi adalah
akibat pertumbuhan ekonomi Indonesia
yang paling sering disasar oleh serangan
yang terus meningkat dan manufaktur
cyber ini [4]. Untuk saat ini, ada beberapa
menjadi salah satu pendorong utama
kerangka kerja tata kelola keamanan
pertumbuhan GDP Indonesia pada tahun
informasi,
2015
jika
dipraktekkan secara luas di negara-negara
penjahat cyber menargetkan pasar ini
maju seperti Amerika Serikat dan Eropa,
karena pertumbuhan positif tersebut dilihat
tetapi
sebagai peluang untuk menyebar lebih
memiliki kelebihan dan kelemahan sendiri
banyak ancaman [3]. Bisa dilihat dari
(Council III, 2006) [5]. Umumnya, itu
sekitar
harus disesuaikan agar sesuai dengan
100
Tidak
juta
mengherankan
smartphone
yang
digunakan
Selasa
Indonesia belum mempunyai kebijakan
[3].
sering
Jakarta,
asal
telah
penyerang [4].
dikembangkan
masing-masing
organisasi
sebagai
dari
dan
dan
mereka
dikapalkan di Asia, 29 persennya terjual di
struktur
lingkungan
pasar Indonesia [3]. Menurut catatan
(Akhmad Syakhroza, 2003) [6]. Oleh
FireEye, perusahaan keamanan teknologi,
karena itu, makalah ini bertujuan untuk
ini.
organisasi, peran dan tanggung jawab,
Makalah ini disusun dalam lima bagian.
pengukuran kinerja, menetapkan tugas dan
Bagian pertama memperkenalkan latar
mekanisme pengawasan [9]. Tata kelola
belakang.
keamanan informasi adalah himpunan
mengisi
kesenjangan
Bagian
penelitian
kedua
menjelaskan
mengenai tinjauan pustaka mengenai tata
tanggung
jawab
kelola keamanan informasi di sektor
dilakukan oleh dewan dan manajemen
publik. Bagian ketiga membahas umum
eksekutif
digunakan kerangka kerja tata kelola
arahan strategis, memastikan bahwa tujuan
keamanan informasi dan perbandingannya.
tercapai,
Bagian empat membahas kerangka tata
dikelola secara tepat dan memverifikasi
kelola keamanan informasi yang diusulkan
bahwa
di sektor publik. Dan yang terakhir
digunakan secara bertanggung jawab [9].
mengenai kesimpulan.
Tujuan utama pelaksanaan tata kelola
dengan
Tata Kelola Keamanan Informasi di
praktek
tujuan
memastikan
sumber
keamanan
II. TINJAUAN PUSTAKA
dan
memberikan
bahwa
daya
yang
risiko
perusahaan
informasi
adalah
itu
untuk
melindungi aset yang paling berharga dari
sebuah
organisasi.
Identifikasi
aset
informasi perusahaan merupakan faktor
Sektor publik
penentu keberhasilan untuk implementasi
Akademisi dan praktisi memiliki beberapa
yang efisien dan efektif dari keamanan
definisi mengenai tata kelola keamanan
informasi
informasi (Rastogi dan Von Solms, 2006)
Governance IT, 2001; Deloitte Touche
[7].
di
perusahaan
Cole
(2003)
Tohmatsu,
tata
kelola
Kementerian Komunikasi dan Informatika
keamanan informasi adalah pembentukan
RI pada Panduan Penerapan Tata Kelola
dan
lingkungan
Keamanan Informasi bagi Penyelenggara
pengendalian untuk mengelola risiko yang
Pelayanan Publik [11], aset yang dicakup
berkaitan dengan kerahasiaan, integritas
meliputi, tetapi tidak terbatas pada:
Moulton
mendefinisikan
dan
bahwa
pemeliharaan
dan ketersediaan informasi dan proses
Data
2003)
(Institute
dan
[10].
Menurut
Informasi:
dokumen
pendukungnya dan sistem [8]. Harris
pengadaan
(2006) mendefinisikan bahwa tata kelola
pelanggan,
data
keamanan informasi adalah memastikan
karyawan,
sistem
semua alat, personil dan proses bisnis telah
manajemen, dokumen teknis dan
memenuhi kebutuhan spesifik organisasi
konfigurasi
[9]. Hal ini membutuhkan struktur
penetration test, materi pelatihan,
dan
kontrak,
gaji,
data
data
dokumentasi
jaringan,
hasil
prosedur operasional, business
continuity plan, dan hasil audit;
Software:
aplikasi,
software
operating
system,
development
tool, dan software tool (antivirus,
audit tool);
BUMD
Penyelenggara pelayanan publik
lainnya
Setelah diklasifikasikan aset informasi
bagian berikutnya membahas kerangka
kerja tata kelola keamanan informasi
Hardware: Server, PC, Laptop,
media penyimpanan data;
umum digunakan, standar, praktek terbaik
dan pedoman.
Perangkat Jaringan Komunikasi:
Router, Modem, Switch, Kabel,
Firewall
Kerangka Tata Kelola Keamanan
Fasilitas Pendukung: Ruang Server
Informasi
/ Ruang Data Center, Ruang Kerja,
Ruang Disaster Recovery Center
Pada referensi, Rastogi dan von Solms
(DRC), UPS, Genset, A/C/ CCTV,
(2006) menjelaskan bahwa tata kelola
Fire Extinguisher, Access Door
keamanan informasi terdiri dari struktur,
Electronic, dan sebagainya;
hubungan dan proses; bimbingan yang ada
Sumber Daya Manusia: karyawan
yang menyediakan kerangka kerja untuk
tetap,
melaksanakan
calon
karyawan
tetap,
dan pihak ketiga lainnya yang
komparatif dari Kerangka Tata Kelola
menyediakan layanan, jasa, serta
Keamanan Informasi: Pendekatan Sektor
produk yang menunjang bisnis
Publik, mengusulkan 9 kerangka untuk tata
Instansi
kelola keamanan informasi untuk sektor
penyelenggara
layanan
publik seperti A practical
Panduan tersebut juga merekomendasikan
diterapkan
di
lingkungan
penyelenggaraan pelayanan publik yang
meliputi [11]:
keamanan
informasi [7]. Dalam referensi, Analisis
implement
kelola
karyawan kontrak, mitra, vendor
publik.
untuk
tata
Instansi
and
control
guide to
Information
Security Governance, siness Software
Alliance, Information security policy: An
organizational-level
process
model,
Information Security Governance (Von
pemerintah
pusat
dan
Solms), ISACA, ISO/IEC Standards, ITGI,
daerah
NIST, dan Software Engineering Institute
BUMN
[12]. Berdasarkan saran ini, kita lebih
melihat ke dalam kerangka tata keamanan
informasi yang disebutkan yaitu:
Information security policy: An
organizational-level process model
Pada referensi (Knapp et al., 2009)
berfokus pada sisi kebijakan tata kelola
A practical guide to implement and
keamanan
control Information Security
sebelumnya
Mengikuti
pendekatan yang berbeda dari penelitian
Governance
Refensi
informasi.
lain,
menggunakan
metodologi
mengusulkan
pengumpulan data dari para ahli keamanan
kerangka kerja untuk melaksanakan tata
dan beberapa wawancara dan kuesioner
kelola
dengan profesional keamanan. Hasilnya
keamanan
berfokus
pada
informasi.
memilih
Hal
metrik
ini
dan
adalah
model
kebijakan
keamanan
indikator untuk melacak evolusi keamanan
informasi berdasarkan serangkaian proses
informasi, dan juga pada mengukur tingkat
yang
kematangan keamanan informasi dalam
diimplementasikan dalam siklus berulang.
organisasi
Mirip
[12].
Pendekatan
ini
saling
terkait
dengan
referensi
yang
dapat
pemerintahan
menganggap integrasi indikator tata kelola
lainnya, mempertimbangkan dampak dari
perusahaan, seperti Balance Scorecard,
pengaruh eksternal dan internal, serta
dengan IT dan governance keamanan
peran tata kelola perusahaan. Juga, ada
praktik terbaik, seperti yang termasuk
penekanan besar pada pelatihan dan
dalam COBIT dan ISO / IEC 17799 [12].
kesadaran
kebijakan
dikembangkan
melalui seluruh siklus [13].
Business Software Alliance
Business
Software
Alliance
Information Security Governance (Von
Solms)
merekomendasikan mengadopsi praktik
terbaik dan prosedur standar seperti ISO /
Pada referensi (Posthumus dan Solms,
IEC 17799 (kemudian dimasukkan dalam
2004), mengapa keamanan informasi harus
ISO / IEC 27000 series). Satuan Tugas
dianggap sebagai masalah tata kelola
mengusulkan kerangka kerja di mana
perusahaan.
masing-masing peran manajemen tahu apa
kerangka
fungsinya, bagaimana untuk mencapai
dengan jelas membedakan antara tata
tujuan dan bagaimana mengukur dan
kelola dan sisi manajemen. memberikan
mengaudit kegiatan yang dilakukan [12].
detail lebih lanjut tentang ISG dan
Mereka
kerja
mengusulkan
keamanan
informasi
Informasi Manajemen Keamanan, sebagai
mengantisipasi risiko keamanan informasi
bagian dari tata kelola perusahaan; dan
[16].
menjelaskan tugas, peran dan tanggung
jawab setiap individu kunci dalam sebuah
ITGI
organisasi [14].
IT Governance Institute (ITGI), didirikan
pada tahun 1998 oleh ISACA berfokus
ISACA
pada tata kelola TI dan topik terkait dan
The Information Systems Audit and
telah mengembangkan COBIT (ITGI,
Control
2007), yang merupakan kerangka kerja
Association
mengusulkan,
menentukan
(ISACA)
di
mana
model
telah
mereka
generik
untuk IT Governance [17]
untuk
mengatasi Keamanan Informasi dalam
NIST
sebuah perusahaan [15].
The National Institute of Standards and
Technology
ISO/IEC Standards
(NIST),
adalah
sebuah
lembaga dari Departemen Perdagangan
for
Amerika Serikat yang telah menerbitkan
Standardization (ISO) Di antaranya, ISO /
banyak pedoman terkait dengan Keamanan
IEC 27000 series didedikasikan untuk
Informasi [18]
The
International
Organization
Sistem Informasi Manajemen Keamanan,
yang dapat digunakan oleh organisasi
untuk mengembangkan dan menerapkan
kerangka kerja untuk mengelola keamanan
aset informasi mereka dan mempersiapkan
diri untuk diterapkan pada perlindungan
informasi mereka. Standar ini memberikan
panduan untuk melindungi aset informasi
melalui
mendefinisikan,
mempertahankan,
dan
mencapai,
meningkatkan
keamanan informasi; apa yang dicapai
menerapkan kontrol yang sesuai dan
Software Engineering Institute
The Software Engineering Institute, dari
Carnegie
Mellon
University,
telah
menerbitkan panduan (Allen dan Westby,
2007),
sebagai
bagian
dari
(CERT)
Computer Emergency Response Team.
panduan ini mendefinisikan tata kelola
untuk keamanan perusahaan dan apa
karakteristik
tata
kelola
keamanan
informasi yang efektif sehingga pembaca
dapat membedakan antara pemerintahan
strategi bisnis terhadap tujuan
keamanan yang efektif dan tidak efektif
organisasi.
Manfaat nilai bisnis melalui IT:
[19].
adanya manfaat dari optimalisasi
III. METODOLOGI
Bagian ini berisi analisis komparatif yang
paling
relevan
dengan
tata
kelola
suatu
standar
kerangka
kerja
untuk
informasi
Kriteria
tersebut
mempertimbangkan
dipilih
dengan
berbagai
macam
kerangka tata kelola keamanan informasi
di sektor publik yang ada seperti Kriteria
IT Governance, Kriteria Tata Kelola
Perusahaan, Security Criteria dan Public
mencapai
tujuan
organisasi dalam waktu tertentu.
Manajemen
Risiko:
kesadaran
ancaman, kerentanan dan dampak
menggunakan seperangkat kriteria dari
dapatkan pada referensi sebelumnya [12].
untuk
risiko keamanan, mengidentifikasi
sehingga
berbagai bidang penelitian yang penulis
keamanan
memastikan
membandingkan jenis kerangka tata kelola
keamanan
Manajemen kinerja: pemantauan
strategi
keamanan informasi di sektor publik yang
telah dijelaskan sebelumnya. Tidak adanya
investasi keamanan.
untuk mengontrol dan mengurangi
risiko secara keseluruhan.
Kontrol dan Akuntabilitas: setiap
orang
dalam
organisasi
harus
terlibat dalam kontrol keamanan
dan harus tahu tanggung jawab
dalam
kerangka
tata
kelola
keamanan yang telah didefinisikan.
Sector Suitability [12].
Kriteria Tata Kelola Perusahaan
Kriteria IT Governance
Beberapa referensi menunjukkan bahwa
Sebagai
ada
IT
Governance, domain berikut diambil dari
Governance. Seperti pada (Webb et al.,
referensi (Simonsson dan Johnson, 2006)
2006) dan (Dahlberg dan Kivijärvi, 2006)
dengan mempertimbangkan [21]:
banyak
definisi
mengenai
menganalisis lebih dari selusin definisi dan
menyoroti lima unsur, yang menyediakan
dasar-dasar IT Governance. Unsur-unsur
Tujuan:
keputusan
pengembangan
dan
Alignment
dari
Corporate
strategi,
kebijakan
keamanan informasi dan pedoman,
ini adalah [20]:
bagian
Strategis:
keamanan
informasi harus selaras dengan
kontrol
untuk
memantau
apakah tujuan telah tercapai.
Proses:
pelaksanaan
pengelolaan
proseskeamanan
informasi, dengan kegiatan
model untuk memungkinkan
dan
dan
pembandingan antara organisasi
Pedoman
implementasi
praktis:
prosedur yang terkait.
pendekatan
Orang: struktur dalam organisasi;
dibedakan dari yang praktis; yang
mendefinisikan peran dan tanggung
merinci
jawab para pemangku kepentingan.
termasuk studi kasus dan bahkan
Teknologi:
contoh-contoh praktis.
hubungan
antara
teoritis
kegiatan
dapat
pelaksanaan,
Keamanan Informasi Pemerintahan
Kesesuaian Sektor Publik
dan aset TI.
Meskipun setiap kerangka tata kelola
keamanan informasi diidentifikasi dapat
Kriteria Keamanan
Tata Kelola Keamanan Informasi jelas
disesuaikan
berkaitan
dengan
beberapa diantaranya membuat mereka
Informasi,
sehingga
bidang
satu
Keamanan
set
kriteria
sektor
publik,
lebih cocok untuk sektor publik. kekhasan
ini berkisar dari kepatuhan terhadap
keamanan telah dipilih:
dengan
beberapa
hukum tertentu, kebijakan dan peraturan
proposal mengacu pada kontrol dan
untuk persyaratan berasal dari beberapa
praktik terbaik termasuk dalam
badan
standar keamanan seperti ISO/IEC
publik
27000 series
keamanan di luar aspek teknis dalam
Informasi Manajemen Keamanan:
empat domain: sosial, politik, budaya dan
kebijakan
yang
hukum (Wimmer dan Bredow, 2002).
ditetapkan di sisi governance dapat
Kriteria keempat ini mengevaluasi domain
dikaitkan dengan manajemen dan
tersebut sehingga dapat membantu dalam
sisi operasi keamanan informasi.
keputusan, menghindari upaya yang tidak
Alat dan teknik: biasanya kerangka
perlu dalam menyesuaikan kerangka tata
memanfaatkan
keamanan informasi di sektor publik.
Standar
integrasi:
dan
memfasilitasi
prosedur
alat
untuk
pelaksanaannya,
seperti metrik untuk mengukur
tingkat kepatuhan atau jatuh tempo
pemerintah.
perlu
lembaga-lembaga
mempertimbangkan
IV. PEMBAHASAN
Dari
sembilan
kelola
besar kerangka tata kelola keamanan
keamanan informasi yang telah ditentukan
informasi tidak merincikan apakah dapat
sebelumnya disajikan dalam Bab 2. Hasil
memenuhi kriteria dengan sektor publik.
diringkas dalam Tabel 1, yang telah
Kecuali pedoman yang diusulkan oleh
ditetapkan secara tiga tingkat (tinggi,
NIST dengan tingkat tinggi pada sektor
sedang dan rendah) untuk masing-masing
publik, namun hal tersebut berdasarkan
kriteria. Hasil tabel dapat dianalisis dari
undang-undang yang ada pada Amerika
dua perspektif yang berbeda. Di satu sisi,
Serikat. Oleh karena itu, upaya tambahan
horizontal,
yang
diperlukan ketika beradaptasi kerangka
diusulkan lebih luas atas kerangka tata
kerja ini untuk Indonesia dikarenakan
kelola keamanan informasi daripada yang
mengacu
lain. Di antaranya kriteria pemerintahan,
Keamanan Informasi yang mengacu pada
hampir semua kerangka memenuhi kriteria
ISO/IEC
keselarasan strategis, manajemen risiko,
kerangka tata kelola keamanan informasi
tujuan dan proses; Namun, pengiriman
BSA dengan tingkat menengah, yang
nilai bisnis melalui IT hanya terdapat pada
menawarkan beberapa catatan penting
Institut
IT
ketika mengadopsi keamanan informasi
Framework (ITGI, 2008a), dan hubungan
oleh lembaga pendidikan dan non-profit.
teknologi dengan fisik IT jarang
Sektor publik biasanya terikat dengan
dipertimbangkan. Di
sisi lain, secara
kerangka tata kelola keamanan informasi
vertikal, tiga dari kerangka tata kelola
tertentu yang menyebabkan proses tata
keamanan informasi
kelola
IT
kerangka
kesesuaian dengan sektor publik, sebagian
beberapa
tata
kriteria
Governance
di
Val
tampaknya
lebih
pada
Sistem
27001:2013.
yang
Juga,
berbeda.
Ini
adalah
konsekuensi
dapat dianggap sebagai titik acuan awal.
undang yang berasal dari berbagai otoritas
Yaitu: IT Governance Institute berfokus
tingkat (nasional, regional, dll). Dalam
pada IT Governance, ISACA terutama
kebanyakan kasus, tata kelola keamanan
terkait dengan Corporate Governance, dan
informasi
Standar ISO berurusan terutama dengan
dengan peraturan di mana organisasi
kriteria Security. Sisanya dari pendekatan
berada.
terletak
di
posisi
menengah,
memanfaatkan pentingnya masing-masing
memberikan
komparatif.
kepada
setiap
Sehubungan
aspek
dengan
dipilih
penerapan
beberapa
selaras dengan kelompok kriteria dan
yang
dari
Manajemen
harus
di
undang-
sesuaikan
Tabel 1: Perbandingan Kerangka Tata Kelola Keamanan Informasi [12]
V. KESIMPULAN
seperangkat kriteria. Kerangka tata kelola
Aset keamanan dalam setiap organisasi
keamanan
harus
stakeholder.
dipertimbangkan oleh direksi dari setiap
Keamanan Informasi di sektor publik
lembaga publik ketika mengadopsi salah
membantu untuk kerangka kerja yang
satu
dapat
publik.
informasi. Dengan kriteria sektor publik
Selanjutnya, keamanan informasi menjadi
tingkat tinggi diperoleh NIST, kriteria
suatu
yang
keamanan tingkat tinggi diperoleh ISO
mencakup seluruh aset informasi dan
Standards, kriteria tata kelola perusahaan
memberikan keselarasan dengan strategi
tingkat
bisnis. Sembilan kerangka tata kelola
kriteria IT Governance tingkat tinggi
keamanan informasi yang paling relevan
diperoleh IT Governance Institue.
pada
melibatkan
diadopsi
proses
literatur
semua
di
dalam
telah
sektor
organisasi
ditinjau
dengan
melakukan analisis perbandingan antara
informasi
kerangka
tinggi
tata
ini
kelola
diperoleh
dapat
keamanan
ISACA dan
DAFTAR PUSTAKA
[6] Akhmad
[1] Power, R. (2002), “2002 CSI/FBI
computer crime and security survey”,
Syakhroza
(2003).
Best
Practice Corporate Governance Dalam
Kontek Perbankan Indonesia. Jakarta:
Usahawan No. 06 Thn XXXII. 19.
Computer Security Issues & Trends, Vol. 8
No. 1, pp. 1-22.
[2]
BSA.
[7] Rastogi, R & Von Solms, R. (2006).
(2015).
Asia-Pacific
Cybersecurity Dashboard. Diakses dari
http://cybersecurity.bsa.org/2015/apac/asse
ts/PDFs/country_reports/cs_indonesia.pdf.
Information Security Governance a Redefinition. IFIP International Federation
for
Information
Processing,
Volume
193/2006, Springer Boston.
Pada tanggal 27 Juni 2016, Jam 23:59
[8] Moulton, R & Coles, R. S. (2003).
WIB.
"Applying
[3] Symantec. (2015). 2015 Internet
Information
Security
Governance," Elsevier.
Security Threat Report, Volume 20 -
[9] Harris, S. (2006). Information Security
Symantec Diakses dari
Governance
https://www.symantec.com/content/en/us/e
http://searchsecurity.techtarget.com/tutoria
nterprise/other_resources/21347933_GA_
l/Information-Security-Governance-Guide.
RPT-internet-security-threat-report-
Pada tanggal 28 Juni 2016, Jam 21:46
volume-20-2015.pdf. Pada tanggal 28 Juni
WIB.
2016, Jam 19:58 WIB.
Guide.
Diakses
dari
[10] Tohmatsu, D. T. (2003). 2003 Global
[4] Detik. (2014). Waspada! 3 Malware
Security Survey. USA: Deloitte Touche
Ini Paling Ngotot Serang Indonesia
Tohmatsu. 19.
Diakses dari
http://inet.detik.com/read/2014/08/19/1754
47/2666733/323/waspada-3-malware-inipaling-ngotot-serang-indonesia. Pada
tanggal 28 Juni 2016, Jam 20:12 WIB.
[5]
Council III, C.(2006). 'An
Investigation of a COBIT
Security IT
Geofisika (BMKG). (2011). Panduan
Penerapan Tata Kelola Keamanan
Informasi bagi Penyelenggara Pelayanan
Publik. Diakses dari
http://data.bmkg.go.id/share/Dokumen/PE
System
Governance Initiative in
Higher Education,' PhD Thesis. Nova
Southeastern University.
[11] Badan Meteorologi, Klimatologi dan
GI/Panduan%20Penerapan%20Tata%20K
elola%20KIPPP_2.pdf. Pada tanggal 28
Juni 2016, Jam 23:16 WIB.
[12] ResearchGate. (2011). Comparative
[19] Allen, J. H. & Westby, J. R. (2007)
Analysis of Information Security
Governing
Governance Frameworks: A Public Sector
Implementation
Approach. Diakses dari
Engineering Institute - CERT.
https://www.researchgate.net/publication/2
32252326_Comparative_Analysis_of_Info
rmation_Security_Governance_Framewor
ks_A_Public_Sector_Approach. Pada
tanggal 28 Juni 2016, Jam 23:55 WIB.
[13] Knapp, K. J., R. Franklin Morris,
Thomas E. Marshall & Byrd, T. A. (2009)
Information
security
organizational-level
policy:
process
An
model.
Computers & Security, 28, 493-508.
A framework for the governance of
security.
Computers
&
Security, 23, 638-646.
Enterprise
Security
Guide,
Software
[20] Webb, P., Pollard, C. & Ridley,
G. (2006) Attempting to Define IT
Governance:
Wisdom
Proceedings
of
International
Conference
the
on
A
Holistic
Approach
Solutions
in
Conference
[17] ITGI (2006a) COBIT Mapping to
ISO/IEC 17799:2000 With COBIT.
[18] Bowen, P., Hash, J. & Wilson, M.
(2006) Information Security Governance.
Information Security Handbook: A Guide
for
Managers.
National
Standards and Technology.
Institute
of
Engineering
[22] Wimmer, M. & Bredow, B. v. (2002)
International
technology.
System
Research.
Business Model for Information Security.
information
on
Systems
of
of
Hawaii
Prioritization of Cobit. Proceedings of the
Proceedings
governance
39th
Assessment of IT Governance - A
[15] ISACA (2009) An Introduction to the
Corporate
Folly?
[21] Simonsson, M. & Johnson, P. (2006)
Security
[16] ISO/IEC (2008) ISO/IEC 38500:2008
or
Sciences.
Conference
[14] Posthumus, S. & Solms, R. v. (2004)
information
for
Sciences.
the
for
Providing
e-Government.
35th
Hawaii
on
System