PENYUSUNAN PANDUAN PENGELOLAAN KEAMANAN INFORMASI UNTUK FIREWALL CONFIGURATION BERDASARKAN KERANGKA KERJA PCI DSS v.3.1 DAN COBIT 5 Repository - UNAIR REPOSITORY
PENYUSUNAN PANDUAN PENGELOLAAN KEAMANAN INFORMASI
UNTUK FIREWALL CONFIGURATION BERDASARKAN KERANGKA
KERJA PCI DSS v.3.1 DAN COBIT 5
SKRIPSI
BAGUS PUJI SANTOSO
PROGRAM STUDI S1 SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS AIRLANGGA
SURABAYA
2016
PENYUSUNAN PANDUAN PENGELOLAAN KEAMANAN INFORMASI
UNTUK FIREWALL CONFIGURATION BERDASARKAN KERANGKA
KERJA PCI DSS v.3.1 DAN COBIT 5
SKRIPSI
BAGUS PUJI SANTOSO
NIM : 081211631061
PROGRAM STUDI S1 SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS AIRLANGGA
SURABAYA
2016
ADLN – PERPUSTAKAAN UNIVERSITAS AIRLANGGA
Skripsi ini tidak dipublikasikan, namun tersedia di perpustakaan dalam lingkungan Universitas Airlangga, diperkenankan untuk dipakai sebagai referensi kepustakaan, tetapi pengutipan harus seizin penyusun dan harus menyebutkan sumbernya sesuai kebiasaan ilmiah.
Dokumen skripsi ini merupakan hak milik Universitas Airlangga. Bagus Puji Santoso, 2016. Penyusunan Panduan Pengelolaan Keamanan Informasi Untuk Firewall Configuration Berdasarkan Kerangka Kerja PCI DSS v.3.1 dan COBIT 5. Skripsi ini dibawah bimbingan Eva Hariyanti, S.Si, M.T. dan Drs. Eto Wuryanto, DEA. Program Studi S1 Sistem Informasi. Fakultas Sains dan Teknologi, Universitas Airlangga.
ABSTRAK
Sistem keamanan informasi harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak yang tidak berhak. Salah satu mekanisme yang dapat diterapkan dalam meningkatkan keamanan informasi adalah dengan menggunakan firewall. Firewall merupakan sebuah mekanisme pengamanan yang dilakukan dengan cara melakukan kegiatan penyaringan paket data yang masuk dan keluar jaringan. Sehingga untuk dapat mengelola keamanan informasi dengan baik, dibutuhkan suatu tata kelola TI. Salah satu tata kelola TI yang dimaksud adalah berupa penyusunan panduan pengelolaan keamanan informasi. Penelitian ini bertujuan untuk membuat sebuah refrensi keamanan informasi berupa panduan pengelolaan keamanan informasi untuk firewall
configuration yang mengacu pada standar PCI DSS v.3.1 dan COBIT 5 dengan
mengambil studi kasus di DSIK Universitas Airlangga.Penyusunan panduan pengelolaan keamanan informasi untuk firewall
configuration dilakukan dalam empat tahap. Tahap pertama adalah penyusunan
prosedur pengelolaan keamanan informasi yang terdiri dari tahap analisis pemetaan proses, tahap penyusunan prosedur dan tahap penentuan peran dan deskripsi kerja. Pada tahap pertama ini juga dilakukan penyelarasan kebijakan
firewall. Penyelarasan ini bertujuan untuk mengetahui bahwa kebijakan umum
dalam penerapan firewall telah tercakup dalam proses PCI DSS v.3.1.Penyelarasan kebijakan dilakukan dengan memetakan kebijakan firewall yang terdapat pada SOP Firewall DEPKOMINFO dengan proses PCI DSS v.3.1. Tahap kedua adalah penyusunan panduan assessment yang meliputi tahap analisis atribut
capability level COBIT 5 dan tahap penyusunan checklist. Pada tahap ketiga
dilakukan verifikasi panduan pengelolaan keamanan informasi melalui pemberian kuesioner. Verifikasi dilakukan dengan mengambil studi kasus di DSIK Universitas Airlangga dan dilakukan tanpa adanya penyesuaian atau spesifikasi terhadap DSIK Universitas Airlangga. Tahap keempat adalah tahap perbaikan panduan pengelolaan keamanan informasi. Tahap perbaikan ini dilakukan untuk memperbaiki kekurangan yang dihasilkan saat verifikasi.
Hasil penelitian ini berupa panduan dan assessment pengelolaan keamanan informasi untuk firewall configuration. Hasil verifikasi menunjukkan bahwa sebanyak 42,86% responden menyatakan panduan pengelolaan yang dibuat, secara operasional sangat mudah untuk dilaksanakan dan sebanyak 100% responden menyatakan bahwa checklist assessment yang dibuat cukup mudah untuk digunakan, dan petunjuk pengisian, perhitungan hasil serta bahasa yang digunakan pada checklist assessment jelas dan mudah untuk dipahami.
Kata Kunci : Assessment, COBIT 5, Keamanan Informasi, PCI DSS v.3.1,
Panduan Pengelolaan.Bagus Puji Santoso, 2016. Developing Information Security Management
Guideline For Firewall Configuration Based on PCI DSS v.3.1 and COBIT 5
Framework. This Skripsi was under guidance of Eva Hariyanti, S.Si, M.T. and
Drs. Eto Wuryanto, DEA. S1 Information System Program Study. Faculty of Science and Technology, Universitas Airlangga.
ABSTRACT
Information security systems must be protected from all attacks and interuptions by an unauthorized user. Firewall is a mechanism that can be applied to improve the security information which done by filtering data packets that enter and exit the network. To manage good information security, needs an IT governance. IT governance that can use to make the arrangement of guidelines for the management of information security. This research aims to create a reference guide to information security such as an information security management guide for firewall configuration that refers to the framework of PCI DSS v.3.1 and COBIT 5 by taking a case study at the DSIK Universitas Airlangga.
Arrangement of guidelines for information security management for firewall configuration will be done in four stages. The first stage was the arrangement of an information security management procedures for firewall configuration which consists of mapping analysis stage process, arrangement procedure‟s stage and determining roles and job description‟s stage. In this first stage also conducted firewall policy alignment. This alignment aims to know that public policy in the implementation of the firewall has been covered in the PCI DSS v.3.1. The policy alignment conducted by mapping the firewall policy contained in SOP Firewall DEPKOMINFO with PCI DSS v.3.1 processes. The second stage was arrangement of guidelines for assessment which includes the step of analysis attribute of capability level COBIT 5 and arrangement checklist‟s stage. In the third stage was the verification of the information security management guidance using a questionnaire. Verification was done in DSIK Universitas Airlangga and conducted without adjustments or specifications to DSIK Universitas Airlangga. The fourth stage was improvement of the information security management guidance. These improvements was done to correct deficiencies that were produced when verification.
The results of this research are guidelines and assessment of information security management for firewall configuration. The verification results show that 42.86% of respondents said that management guidelines are operationally very easy to be implemented and 100% of respondents said that assessment checklist is fairly easy to use, and instructions for filling, calculation results and the language used in the assessment checklist are clear and easy to be understood.
Keywords : Assessment, COBIT 5, Information Security, PCI DSS v.3.1,
Management Guide.Puji syukur kehadirat Allah subhanahu wa ta’ala, yang telah melimpahkan anugerah-Nya, hingga penulis dapat menyelesaikan proposal skripsi yang berjudul “Penyusunan Panduan Pengelolaan Keamanan Informasi Untuk Firewall
Configuration Berdasarkan Kerangka Kerja PCI DSS v.3.1 Dan COBIT 5”
dengan baik, serta Shalawat dan Salam semoga tetap terlimpahkan kepada
Rasulullah Nabi Muhammad SAW yang mengantarkan pada sebuah kehidupan
yang penuh keselamatan di dunia dan di akhirat.Penyusunan naskah skripsi ini dibuat sebagai acuan untuk memenuhi satuan kredit semester (SKS) yang dibebankan kepada penulis dan sekaligus sebagai syarat untuk mencapai gelar sarjana strata satu (S1) dalam bidang Sistem Informasi, Fakultas Sains dan Teknologi, Universitas Airlangga Surabaya.
Dalam pelaksanaan dan penyusunan skripsi ini, penulis banyak menemui kendala. Namun, dengan adanya bantuan dari berbagai pihak, skripsi ini dapat terselesaikan. Oleh karena itu, penulis tidak lupa mengucapkan terima kasih kepada :
1. Allah SWT yang senantiasa memberikan segala rahmat, hidayah, dan karuniaNya, serta Rasulullah SAW yang selalu menjadi panutan dan suri teladan terbaik dalam kehidupan penulis sehingga penyusunan skripsi ini dapat terselesaikan dengan baik.
2. Kedua orang tua dan keluarga yang telah memberikan dukungan penuh dalam bentuk doa, nasihat, semangat, kasih sayang, dan motivasi hingga penyusunan skripsi ini terselesaikan.
3. DIKTI yang telah memberikan kesempatan menempuh jenjang pendidikan lebih tinggi melalui beasiswa Bidik Misi.
4. Ibu Eva Hariyanti, S.Si, MT selaku dosen pembimbing I dan Bapak Drs. Eto Wuryanto, DEA selaku dosen pembimbing II atas pengarahan, kegigihan, serta kesabaran dalam membimbing, memberikan ilmu, pengalaman, pelajaran berharga, dan koreksi selama penyusunan skripsi ini.
5. Bapak Rachman Sinatriya Marjianto, B. Eng, M. Sc, atas bantuan, pengarahan, kegigihan, serta kesabaran dalam membimbing, memberikan ilmu, pengalaman, pelajaran berharga, dan koreksi selama penyusunan skripsi ini.
6. Bapak Indra Kharisma Raharjana, S.Kom, M.T selaku dosen penguji pertama atas pengarahan dan koreksi selama masa revisi skripsi ini.
7. Ibu Endah Purwanti, S.Si., M.Kom selaku dosen penguji kedua dan selaku dosen wali yang dengan sabar membimbing sejak awal masa perkuliahan hingga skripsi ini terselesaikan.
8. Bapak Eko Supeno selaku direktur DSIK Universitas Airlangga, Bapak Musa selaku kepala sub direktorat operasional sistem informasi DSIK Universitas Airlangga, Bapak Meifianto selaku kepala sub direktorat pengembangan sistem, Ibu Indri Sulistyowati selaku kepala seksi keamanan data DSIK Universitas Airlangga, Bapak Yuniawan Heru selaku kepala seksi informatic
branding, bapak Fandy Kusjanto selaku kepala seksi integrasi program dan
pengembangan sistem DSIK Universitas Airlangga, dan bapak Andri Tamtrianto selaku kepala seksi jaringan DSIK Universitas Airlangga serta seluruh staf dan jajaran DSIK Universitas Airlangga yang telah membantu penelitian, pengisian kuesioner dan wawancara. Trimakasih atas kerjasamanya selama ini hingga penelitian skripsi ini dapat terselesaikan.
9. Seluruh dosen program studi Sistem Informasi yang telah banyak memberikan ilmu dan pengalaman sejak awal masa perkuliahan hingga skripsi ini terselesaikan.
10. Segenap staf tata usaha prodi sistem informasi yang telah memberikan bantuan dan pelayanan yang baik selama masa perkuliahan hingga penyusunan skripsi ini terselesaikan.
11. Keluarga besar S1 Sistem Informasi Universitas Airlangga 2012 yang telah bekerja sama, menemani dan membantu serta memberikan dukungan selama ini.
12. M. Ilham Nur Faizin atas bantuan, pengarahan, berbagi ilmu, pengalaman, serta pelajaran berharga selama penyusunan skripsi ini.
13. Irfan Nur Aulia, Emilia Fitria Fahma, dan Alwan Ikdamawan Yuniarsyah yang telah memberikan bantuan dan dukungan baik dalam perkuliahan maupun penelitian sehingga penyusunan skripsi ini dapat terselesaikan.
14. Muhammad Fiqhi Darmawan, Yuliasti Alloysa BR Tarigan, Rindu Puspita, Ayundha Puspadini, Muhammad Satria A dan M Sahirul Alim yang telah menjadi saudara seperjuangan dan memberikan banyak bantuan dalam perkuliahan, penelitian, maupun penyusunan skripsi ini.
15. Rizqi Sulistianto atas bantuan, berbagi ilmu, pengalaman, serta pelajaran berharga selama penyusunan skripsi ini.
16. Puspita Sari dan teman-teman KKN-BBM 52 Desa Kebun Sareh atas dukungan dan pengalaman yang tak terlupakan yang telah diberikan.
17. Joko Irianto, Mega Merry Indrawati, Novita Priandini, Melinda Andriyanti, Kusumaningtyas A. P, Jessica, Triyah Fatmawati, Adinda Mustika Nugraheni, Afifah Nurrosyidah, Ni Made Ayu Karina Wiraswari, Dian Ramadhan, Hana Mahrifah, Faricha Nurlaily Hidayati, Fitria Nur Izzatin Faza, Nazilatul Mahbubah, Fitriana Dzulfaidah, Dian Nila Qumaya, Muhammad Iqbal dan M Indyka Tudhi Saidi trimakasih atas bantuan dan dukungan serta kerjasamanya selama perkuliahan.
18. Dan kepada seluruh pihak lain yang terkait yang telah memberikan bantuan dan dukungannya.
Penulis mengharapkan kritik dan saran yang bersifat membangun demi kesempurnaan skripsi ini. Semoga skripsi ini dapat memberikan manfaat dan wawasan yang berguna. Amin.
Surabaya, Juni 2016 Penulis
Bagus Puji Santoso
DAFTAR ISI
HalamanHALAMAN JUDUL ................................................................................................ i LEMBAR PERNYATAAN .................................................................................... ii PEDOMAN PENGGUNAAN SKRIPSI ................................................................ v DAFTAR GAMBAR ........................................................................................... xiv DAFTAR TABEL ................................................................................................. xv DAFTAR LAMPIRAN ........................................................................................ xvi
BAB I PENDAHULUAN ...................................................................................... 1
1.1 Latar Belakang ......................................................................................... 1
1.2 Rumusan Masalah .................................................................................... 7
1.3 Tujuan Penelitian ..................................................................................... 7
1.4 Manfaat Penelitian ................................................................................... 7
1.5 Batasan Masalah....................................................................................... 8
BAB II TINJAUAN PUSTAKA ............................................................................. 9
2.1 Penelitian Terdahulu ................................................................................ 9
2.2 Tata Kelola Teknologi Informasi ........................................................... 10
2.3 Pentingnya Tata Kelola Teknologi Informasi ........................................ 12
2.4 Keamanan Informasi .............................................................................. 13
2.5 Control Objective for Information and Related Technology (COBIT) .. 15
2.6 Payment Card Industry Data Security Standard (PCI DSS) ................. 41
2.7 Hubungan PCI DSS v.3.1 dengan COBIT 5 .......................................... 46
2.8 Proses PCI DSS v.3.1 area Firewall Configuration Requirement 1 ...... 48
2.9 SOP Firewall DEPKOMINFO Republik Indonesia .............................. 49
2.10 Direktorat Sistem Informasi Dan Komunikasi Universitas Airlangga .. 54
BAB III METODE PENELITIAN........................................................................ 57
3.1 Penyusunan Prosedur Pengelolaan Keamanan Informasi ...................... 57
3.2 Penyusunan Panduan Assessment .......................................................... 60
3.3 Verifikasi Panduan Pengelolaan Keamanan Informasi .......................... 62
3.4 Perbaikan Panduan Pengelolaan Keamanan Informasi .......................... 64
BAB IV HASIL DAN PEMBAHASAN .............................................................. 65
4.1 Penyusunan Prosedur Pengelolaan Keamanan Informasi ...................... 65
4.2 Penyusunan Panduan Assessment .......................................................... 75
4.3 Verifikasi Panduan Pengelolaan Keamanan Informasi .......................... 86
4.4 Perbaikan Panduan Pengelolaan Keamanan Informasi .......................... 89
BAB V SIMPULAN DAN SARAN ..................................................................... 92
5.1 Simpulan ................................................................................................ 92
5.2 Saran ....................................................................................................... 94 DAFTAR PUSTAKA LAMPIRAN
DAFTAR GAMBAR
Nomor Judul Gambar Halaman
2.1 Hubungan antara Enterprise Governance, Corporate Governance, dan IT
Governance .................................................................................................. 10
2.2 COBIT 5 Principles ..................................................................................... 16
2.3 Alur tujuan dalam COBIT 5 ........................................................................ 18
2.4 Peranan, Aktivitas, dan Hubungan Tata Kelola Dan Manajemen ............... 22
2.5 Integrasi Standar Kerangka Kerja Lain Dalam COBIT 5 ............................ 23
2.6 Tujuh Kategori Enabler dalam COBIT 5 .................................................... 25
2.7 Area Kunci Tata Kelola dan Manajemen dalam COBIT 5.......................... 27
2.8 COBIT 5 Process Refesrence Model ........................................................... 27
2.9 Model Kematangan Proses dalam COBIT 4.1 ............................................ 29
2.10 Model Kapabilitas Proses dalam COBIT 5 ................................................. 30
2.11 Gambaran Dari Process Assessment Model ................................................ 33
2.12 Persyaratan PCI DSS v.3.1 .......................................................................... 42
2.13 PCI Security Standards Lifecycle ................................................................ 43
2.14 Struktur Organisasi DSIK Universitas Airlangga ....................................... 56
3.1 Alur Metode Penelitian ................................................................................ 58
DAFTAR TABEL
Nomor Judul Tabel Halaman
2.1 Enterprise Goals dalam COBIT 5 ............................................................... 19
2.2 IT- Related Goals dalam COBIT 5 .............................................................. 19
2.3 Level Kapabilitas dan Atribut Proses .......................................................... 33
2.4 Contoh RACI chart COBIT 5...................................................................... 35
2.5 Pemetaan COBIT 5 dengan PCI DSS v.3.1 ................................................. 47
2.6 Deskripsi Kerja Pada Fungsional Struktur Organisasi DSIK Universitas Airlangga ..................................................................................................... 55
3.1 RACI chart KMP COBIT 5 ......................................................................... 63
3.2 Pemetaan RACI Chart Dengan Struktur Organisasi DSIK Universitas Airlangga ...................................................................................................... 64
4.1 Hasil Penyelarasan Kebijakan Firewall ....................................................... 67
4.2 Hasil Pemetaan Proses PCI DSS v.3.1 dan KMP COBIT 5 ........................ 69
4.3 Hasil Pengkombinasian Aktivitas PCI DSS v.3.1 dengan KMP COBIT 5.. 72
4.4 Daftar keterkaitan GWPs dengan kriteria atribut capability level didasarkan pada related GP ............................................................................................ 78
4.5 Analisis GP Yang Tidak Memiliki Keterkaitan Dengan Kriteria Pencapaian Atribut Capability Level ............................................................................... 80
4.6 Hasil Rekapitulasi Jawaban Kuesioner Penilaian ........................................ 88
4.7 Perbaikan Pemetaan Struktur Organisasi DSIK Universitas Airlangga Dengan RACI Chart COBIT 5 ..................................................................... 91