Pengukuran Indeks Keamanan Sistem Inform
Pengukuran Indeks Keamanan Sistem Informasi
Berdasarkan Standar ISO 27001
(Studi Kasus Instansi Badan Nasional Penempatan dan Perlindungan
Tenaga Kerja Indonesia)
MAKALAH
Program Studi : Magister Teknik Elektro
Dosen: DR.Ir. Iwan Krisnadi, MBA
Diajukan Oleh :
FANNY WAHYU KURNIAWAN
55414120036
UNIVERSITAS MERCUBUANA
2015
Pengukuran Indeks Keamanan Sistem Informasi
Berdasarkan Standar ISO 27001
(Studi Kasus Instansi Badan Nasional Penempatan dan Perlindungan
Tenaga Kerja Indonesia)
Abstrak
Pada saat sekarang ini, penggunaan teknologi informasi sangat diperlukan dalam mendukung
pelaksanaan tugas dan fungsi yang dilakukan oleh pegawai di Instansi Badan Nasional
Penempatan dan Perlindungan Tenaga Kerja Indonesia (BNP2TKI), mulai dari penggunaan
jaringan internet dan intranet, penggunaan aplikasi email sebagai sarana pertukaran data dan
informasi, maupun aplikasi berbasis Teknologi Informasi lainnya. Mengingat pentingnya data
dan informasi yang dimiliki oleh Instansi BNP2TKI serta penggunaan Aplikasi Online System
BNP2TKI yang digunakan oleh lebih dari 3000 client (stakeholder), maka perlu dilakukan
evaluasi terhadap keamanan sistem informasi, guna mengetahui sejauh mana perangkat
teknologi keamanan, prosedur dan kebijakan yang dimiliki dapat berfungsi dengan baik. Salah
satu cara yang digunakan untuk evaluasi adalah melakukan Pengukuran keamanan sistem
informasi. Pengukuran keamanan sistem informasi dapat dilakukan dengan mengacu pada
standar Penerapan ISO 27001. Pengukuran keamanan sistem informasi di Instansi BNP2TKI
bertujuan untuk mengetahui tingkat keamanan sistem informasi melalui pengukuran tingkat
kedewasaan (maturity level) keamanan sistem informasi berdasarkan Standar Keamanan
Informasi ISO 27001, sehingga dapat digunakan sebagai rekomendasi dan bahan acuan pihak
manajemen pengelola TIK dalam pengambilan keputusan untuk peningkatan keamanan sistem
informasi. Langkah-langkah dalam pelaksanaan pengukuran ini dalam rangka penerapan
Standar ISO 27001 (SNI 27001) adalah : Mengetahui atau mengukur peran dan tingkat
Kepentingan TIK dalam Instansi, Bagaimana Tata Kelola Keamanan Informasi di dalam
Instansi, Bagaimana mengelola Resiko Keamanan Informasi, bagaimana Kerangka Kerja
Pengelolaan Keamanan Informasi, Bagaimana Pengelolaan Aset Informasinya, serta
Bagaimana keefektifan Teknologi dan Keamanan Informasi di dalam Instansi.
Berdasarkan hasil pelaksanaan pengukuran keamanan sistem informasi berdasarkan standar ISO
27001 di Instansi BNP2TKI dapat disimpulkan bahwa Peran/Tingkat Kepentingan TIK di
Instansi BNP2TKI sangat tinggi, tetapi untuk peran yang lainnya masih rendah sehingga sangat
rentan terhadap resiko-resiko dan insiden pelanggaran keamanan. Hal ini dapat diketahui dari
hasil pengukuran berdasarakan Indeks Keamanan Informasi yang di lakukan di Instansi
BNP2TKI.
PENDAHULUAN
Latar Belakang
Penggunaan Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi
kebutuhan dan tuntutan di setiap instansi baik kecil maupun besar. Badan Nasional
Penempatan dan Perlindungan Tenaga Kerja Indonesia (BNP2TKI) adalah Lembaga
Non Kementerian yang bergerak dalam bidang Penempatan dan Perlindungan Tenaga
Kerja Indonesia (P2TKI). Oleh karena itu BNP2TKI membangun infrastruktur Jaringan
Sistem Informasi yang terhubung ke semua stakeholder P2TKI yang berbasis Teknologi
Informasi.
Sebagai salah satu upaya untuk meningkatkan kualitas keamanan informasi pada
instasi milik pemerintah, maka Kementrian Kominfo membuat suatu alat bantu untuk
mengukur tingkat kematangan dan kelengkapan dalam keamanan informasi yang
disebut dengan indeks Keamanan Informasi (KAMI). Indeks KAMI dibuat dengan
acuan ISO 27001:2005 yang berisi tentang keamanan informasi. Sedangkan ISO 27001
adalah suatu bentuk kerangka keja standar internasional yang berisi tentang
standarstandar dalam area keamanan informasi. ISO 27001 menyediakan kerangka kerja
dalam lingkup penggunaan teknologi dan pengelolaan aset yang membantu organisasi
memastikan bahwa keamanan informasi sudah efektif. Hal ini termasuk kemampuan
akses data secara berkelanjutan, kerahasiaan, dan integritas atas informasi yang
dimilikinya.
Dalam proses bisnis utama BNP2TKI yang sangat luas, BNP2TKI memiliki banyak
kantor cabang yang tersebar di seluruh wilayah Indonesia (BP3TKI/LP3TKI/P4TKI)
dan terhubung langsung dengan kantor pusat BNP2TKI di Jl. MT Haryono Kav.52
Pancoran Jakarta Selatan, serta seluruh stakeholder yang terhubung dengan bisnis
proses BNPTKI.
Saat ini BNP2TKI memiliki 1 (satu) unit kerja (eselon II) yang
menangani Sistem Informasi BNP2TKI baik pusat maupun daerah, baik itu dari segi
jaringannya maupun perangkat, hingga perencanaan perangkat tersebut. Dengan
banyaknya jaringan serta aplikasi Online System yang terhubung dengan kantor pusat
BNP2TKI, akan berdampak pada munculnya risiko keamanan data yang dapat
mengancam Sistem Informasi BNP2TKI dalam kegiatan operasionalnya, sehingga perlu
diadakan pengukuran atas keamanan informasi dengan indeks KAMI pada Unit Kerja
Pusat Penelitian Pengembangan dan Informasi (PUSLITFO) untuk mengetahui kondisi
terkini keamanan informasi yang kemudian dilanjutkan dengan membuat rekomendasi
perbaikan terhadap keamanan informasi tersebut dengan harapan rekomendasi yang
telah dibuat digunakan sebagai bahan pertimbangan dalam rangka upaya meningkatkan
kualitas keamanan informasi agar dapat memberikan pelayanan yang lebih baik dan
dapat diandalkan
TINJAUAN PUSTAKA
Pusat Penelitian Pengembangan dan Informasi (PUSLITFO) BNP2TKI merupakan
unit kerja setara Eselon II yang bertanggung jawab atas segala jaringan dan Sistem
Inforrmasiyang ada dalam Instansi BNP2TKI. Saat ini PUSLITFO BNP2TKI sudah
memiliki Datacenter yang perancangannya atau insfrastruktur datacenternya sudah di
kembangkan dan berada pada Tier-1 menurut TIA 942 (Telecomunication Industry
Association).
Kriteria perancangan sebuah data center secara umum antara lain adalah:
Ketersediaan
Data center diciptakan untuk mampu memberikan operasi yang berkelanjutan
dan terus-menerus bagi suatu perusahaan baik dalam keadaan normal maupun
dalam keadaan terjadinya suatu kerusakan yang berarti atau tidak. Data center
harus dibuat sebisa mungkin mendekati zero-failure untuk seluruh komponennya.
Scalability dan Flexibility
Data center harus mampu beradaptasi dengan pertumbuhan kebutuhan yang
cepat atau ketika adanya servis baru yang harus disediakan oleh data center tanpa
melakukan perubahan yang cukup berarti bagi data center secara keseluruhan.
Security
Data center menyimpan berbagai aset perusahaan yang berharga, oleh karenanya
sistem keamanan dibuat seketat mungkin baik pengamanan secara fisik maupun
pengamanan non-fisik.
Kriteria tersebut diaplikasikan pada beberapa aspek berikut:
ASPEK
KETERANGAN
Berada di luar radius mitigasi bencana/gunung berapi (>15km)
Tidak berada dalam jalur patahan geologi
LOKASI
Jika merupakan data center untuk Disaster Recovery, minimum berjarak
> 40km dari data center utama
Cukup tersamarkan dari pengenalan publik (tidak ekspose)
Generator listrik cadangan
Catuan PLN, dengan minimum 2 sumber pembangkit yang berbeda
untuk tier tinggi
SARANA
Uninterruptible Power Supply (UPS), dengan baterai berkapasitas
PENUNJANG
memadai yang mampu menyediakan pasokan daya sebelum Genset
dihidupkan
Pengatur udara (HVAC, Heating, Ventilation, and Air Conditioning), yang
mampu menjaga suhu dan kelembaban
Memiliki koneksi komunikasi data network lebih dari 1 sumber dengan
lebih dari 1 operator untuktier tinggi
KOMUNIKASI
Jika diperlukan, penyiapan koneksi komunikasi data dapat menggunakan
akses satelit
Pengamanan jalur komunikasi untuk menjaga confidentiality suatu data
/informasi
Keamanan Informasi
Pengertian dari keamanan informasi adalah upaya untuk mengamankan aset
informasi dari segala ancaman yang mungkin terjadi untuk mengurangi resiko negatif
yang diterima. Semakin banyak informasi yang disimpan di sebuah organisasi maka
semakin banyak juga juga resiko yang akan terjadi seperti kerusakan, kehilangan atau
juga informasi yang bersifat pribadi bisa tersebar ke pihak yang tidak bertanggung
jawab.
Terdapat lima layanan jaminan keamanan, diantaranya adalah sebagai berikut:
1. Confidentiality, yaitu memastikan bahwa infomasi hanya dapat diakses oleh
pihak yang memiliki wewenang.
2. Authenticity, yaitu menjamin informasi tersebut asli
3. Integrity, yaitu memastikan informasi tersebut tepat, lengkap, dan sesuai
dengan bentuk semula.
4. Availability, yaitu memastikan informasi dapat diakses oleh orang yang
memiliki wewenang tanpa ada keterlambatan waktu jika data sedang
dibutuhkan.
5. Non-repudiation, yaitu menjamin pihak pengguna tidak dapat menyangkal
keaslian tanda tangan digital (digital signature) pada suatu dokumen atau
tempat dalam jaringan tersebut.
Sistem Manajemen Keamanan Informasi (SMKI)
Sistem Manajemen Keamanan Informasi (SMKI) adalah suatu bentuk susunan
proses yang dibuat berdasarkan pendekatan resiko bisnis untuk merencanakan (Plan),
mengimplementasikan dan mengoperasikan (Do), memonitoring dan meninjau (Check),
serta memelihara dan meningkatkan atau mengembangkan (Act) terhadap keamanan
informasi perusahaan. Keamanan informasi ditujukan menjaga aspek kerahasian
(Confidential), keutuhan (Integrity), dan ketersediaan (Availibity) dari informasi. Dalam
menerapkan keamanan informasi aspek SMKI dan teknologi keamanan informasi tidak
dapat dipisahkan. Artinya sebaiknya suatu organisasi tidak hanya menerapkan teknologi
keamanan informasi saja tanpa menerapkan SMKI.
Definisi Proses Sistem Manajemen Keamanan Informasi (SMKI) diantaranya :
PLAN (Menetapkan SMKI)
Menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk
mengelola risiko dan meningkatkan keamanan informasi agar memberikan hasil
sesuai dengan keseluruhan kebijakan dan sasaran.
DO (Menerapkan dan menjalankan SMKI)
Menerapkan dan mengoperasikan kebijakan SMKI, kontrol, proses dan
prosedur-prosedur .
CHECK (Memantau dan melakukan tinjau ulang SMKI)
Mengkaji
dan
mengukur
kinerja
proses
terhadap
kebijakan,
sasaran,
praktekpraktek dalam menjalankan SMKI dan melaporkan hasilnya kepada
manajemen untuk ditinjau efektivitasnya.
ACT (Memelihara dan meningkatkan SMKI)
Melakukan tindakan perbaikan dan pencegahan, berdasarkan hasil evaluasi,
audit internal dan tinjauan manajemen tentang SMKI atau kegiatan pemantauan
lainnya untuk mencapai peningkatan yang berkelanjutan
Suatu organisasi harus menetapkan, menerapkan, mengoperasikan, memantau, mengkaji,
memelihara dan meningkatkan Sistem Manajemen Keamanan Informasi (SMKI) dan
mendokumentasikan dalam konteks bisnis organisasi secara keseluruhan beserta risiko
yang dihadapinya.
Indeks Keamanan Informasi (KAMI)
Indeks KAMI adalah alat evaluasi untuk menganalisa tingkat kesiapan pengamanan
informasi di instansi pemerintah. Alat pengukuran ini tidak ditujukan untuk menganalisa
kelayakan atau efektifitas bentuk pengamanan yang ada, melainkan sebagai perangkat
untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka
kerja keamanan informasi kepada pimpinan Instansi. Pengukuran dilakukan terhadap
berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup
pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh
standar SNI ISO/IEC 27001:2009
Alat evaluasi Indeks KAMI ini secara umum ditujukan untuk digunakan oleh
Instansi pemerintah di tingkat pusat. Akan tetapi satuan kerja yang ada di tingkatan
Direktorat Jenderal, Badan, Pusat atau Direktorat juga dapat menggunakan elat evaluasi
ini untuk mendapatkan gambaran mengenai kematangan program kerja keamanan
informasi yang dijalankannya. Evaluasi ini dianjurkan untuk dilakukan oleh pejabat yang
secara langsung bertanggungjawab dan berwenang untuk mengelola keamanan informasi
di Instansinya.
Proses evaluasi dilakukan melalui sejumlah pertanyaan di masing-masing area di
bawah ini:
Peran TIK di dalam Instansi
Tata Kelola Keamanan Informasi
Pengelolaan Risiko Keamanan Informasi
Kerangka Kerja Keamanan Informasi
Pengelolaan Aset Informasi
Teknologi dan Keamanan Informasi
Pengelolaan Aset
Pengelolaan aset merupakan serangkaian kegiatan yang berhubungan dengan:
Identifikasi kebutuhan aset
Identifikasi pembiayaan aset
Memperoleh aset
Menyediakan logistik dan perawatan sistem untuk aset
Membuang atau memperbarui asset
Pengelolaan aset adalah kegiatan yang sistematis dan terkoordinasi dan dipraktekan
secara mendalam dimana organisasi secara optimal dan berkelanjutan mengelola aset
dan sistem aset, kinerja aset, risiko dan pengeluaran selama siklus hidup aset tersebut
berjalan untuk mencapai rencana strategis organisasinya. Pengelolaan aset bertujuan
untuk menyediakan informasi dan kapasitas terhadap aset tersebut, sehingga dapat
membantu pimpinan untuk mengambil keputusan dalam suatu organisasi.
METODE PENELITIAN
Metode Penelitian ini dilakukan dengan urutan kegiatan sebagai berikut:
1. Identifikasi permasalahan, tujuan, dan manfaat penelitian
Identifikasi Masalah
Permasalahan yang terjadi di Instansi BNP2TKI terhadap Keamanan Informasi
adalah kurangnya dokumentasi untuk 5 Area (Tata Kelola, Pengelolaan Resiko,
Kerangka Kerja Keamanan Informasi, Pengelolaan Aset, dan Teknologi dan
Keamanan Informasi) yang menjadi nilai dari Indeks Keamanan Informasi. Dan
juga dalam penyusunan dan pengelolaan Kebijakan dan Prosedur Keamanan
Informasi. Karena peran pimpinan menjadi sangat penting untuk menentukan
kebijakan dan prosedur Keamanan Informasi.
Tujuan Penelitian
Tujuan Pengukuran Indeks Keamanan Informasi berdasarkan ISO 27001 untuk
Instansi BNP2TKI adalah agar Instansi BNP2TKI khususnya PUSLITFO
mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan
konsisten dengan pendekatan berbasis risiko, mampu menyusun sistem
dokumentasi minimum yang diperlukan untuk menerapkan tata kelola keamanan
informasi, dan memahami roadmap penerapan tata kelola keamanan informasi.
Manfaat Penelitian
Hasil dari penelitian ini diharapkan menjadi acuan bagi Instansi BNP2TKI agar
benar-benar dapat menerapkan ISO 27001 (SNI 27001), sehingga Pelayanan
Penempatan dan Perlindungan Tenaga Kerja Indonesia (P2TKI) dapat berjalan
dengan aman dan lancar, terutama kekhawatiran akan resiko dari keamanan
Sistem Informasi.
Berikut alur proses penelitian :
INPUT
Latar Belakang Instansi
PROSES
OUTPUT
Identifikasi Masalah, Tujuan
Batasan Masalah, Tujuan
Penelitian, Manfaat Penelitian
Penelitian, Manfaat Penelitian
Batasan Masalah, Tujuan
Studi Literatur tentang
Konsep Keamanan Informasi,
Penelitian, Manfaat Penelitian
Keamanan Informasi, Indeks
Indeks KAMI, dan ISO 27001
KAMI, dan ISO 27001
Konsep Keamanan Informasi,
Mempersiapkan Studi
Pertanyaan / Wawancara ke
Indeks KAMI, dan ISO 27001
Lapangan
Narasumber
Pertanyaan / Wawancara ke
Studi Lapangan dan
Data berupa hasil wawancara
Narasumber
Pengumpulan Data
dan dokumen pendukung
yang termasuk dalam 5 Area
Indeks KAMI
Data berupa hasil wawancara
Penilaian dengan Indeks
dan dokumen pendukung
KAMI
Hasil Penilaian Indeks KAMI
yang termasuk dalam 5 Area
Indeks KAMI
Hasil Penilaian Indeks KAMI
Pembuatan saran dan
Saran dan perbaikan pada
perbaikan
bagian yang kurang dalam
pengukuran Indeks KAMI
2. Studi Literatur Indeks KAMI
Indeks KAMI adalah alat evaluasi untuk menganalisa tingkat kesiapan
pengamanan informasi di Instansi pemerintah. Alat evaluasi ini tidak ditujukan untuk
menganalisa kelayakan atau efektifitas bentuk pengamanan yang ada, melainkan
sebagai perangkat untuk memberikan gambaran kondisi kesiapan (kelengkapan dan
kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi.
Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan keamanan
informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek
keamanan yang didefinisikan oleh standar ISO/IEC 27001:2005.
Pengukuran dalam Indeks KAMI dapat dilakukan dengan alur proses berikut :
Mendifinisikan Ruang Lingkup
Menetapkan Peran atau Tingkat Kepentingan TIK di Instansi
Menilai Kelengkapan Pengamanan 5 Area
Mengkaji
Hasil
Indeks
KAMI
disertai
dengan
menetapkan
langkah-langkah perbaikan
Tingkat kesiapan keamanan informasi dibagi menjadi empat tingkatan. Jika hasil
tingkat kepentingan TIK mendapat nilai rendah, maka semakin rendah pula batasan
yang harus dicapai organisasi tersebut dalam penilaian lima bagian indeks KAMI,
dan sebaliknya. Keempat tingkatan tersebut dapat dilihat pada tabel dibawah ini.
Peran TIK
Rendah
0
Indeks (Skor Akhir)
12
Sedang
13
Tinggi
25
0
124
Tidak Layak
125
272
Perlu Perbaikan
273
588
Baik/Cukup
Indeks (Skor Akhir)
24
Status Kesiapan
0
174
Tidak Layak
175
312
Perlu Perbaikan
313
588
Baik/Cukup
Indeks (Skor Akhir)
36
Status Kesiapan
Status Kesiapan
0
272
Tidak Layak
273
392
Perlu Perbaikan
393
588
Baik/Cukup
Dalam penilaian tingkat peran TIK, terdapat lima pilihan jawaban yang terdiri dari:
JAWABAN
NILAI
Minim
0
Rendah
1
Sedang
2
Tinggi
3
Kritis
4
Kondisi pada saat memilih jawaban pada Tabel atau Indek pada 5 Area (Tata Kelola,
Pengelolaan Resiko, Kerangka Kerja Keamanan Informasi, Pengelolaan Aset, dan
Teknologi dan Keamanan Informasi) yang menjadi nilai dari Indeks Keamanan
Informasi, adalah :
•
Tidak Dilakukan
•
Dalam perencanaan
Sudah menjadi rencana resmi instansi dan akan dilaksanakan melalui
kegiatan internal/proyek
Kebijakan/prosedur pengamanan dalam versi draft
•
Dalam penerapan atau diterapkan sebagian
Proyek/kegiatan sedang berjalan atau diterapkan secara bertahap
Kebijakan/prosedur sudah dirilis secara resmi tetapi masih tahap
implementasi
•
Diterapkan secara menyeluruh
Sudah berjalan di seluruh area sesuai dengan ruang lingkup yang
didefinisikan
Berikut adalah contoh Tabel indeks pada area Tata Kelola Keamanan Informasi :
Dashboard Tingkat Kematangan dan Kelengkapan Keamanan Informasi tergambar
pada diagaram dibawah ini :
Tingkat Kematangan:
Tingkat I
Tingkat II
: Kondisi Awal
: Penerapan Kerangka Kerja Dasar
Tingkat III : Terdefinisi dan Konsisten
Tingkat IV : Terkelola dan Terukur
Tingkat V
: Optimal
Tingkat I (Kondisi Awal)
•
Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan
informasi.
•
Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak
mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan
kewenangan yang jelas dan tanpa pengawasan.
•
Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.
•
Pihak yang terlibat tidak menyadari tanggung jawab mereka.
Tingkat II (Penerapan Kerangka Kerja Dasar)
•
Pengamanan sudah diterapkan walaupun sebagian besar masih di area teknis
dan belum adanya keterkaitan langkah pengamanan untuk mendapatkan
strategi yang efektif.
•
Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi.
•
Langkah pengamanan operasional yang diterapkan bergantung kepada
pengetahuan dan motivasi individu pelaksana.
•
Bentuk
pengamanan
secara
keseluruhan
belum
dapat
dibuktikan
efektifitasnya.
•
Kelemahan dalam manajemen pengamanan masih banyak ditemukan dan
tidak dapat diselesaikan dengan tuntas oleh pelaksana maupun pimpinan
sehingga menyebabkan dampak yang sangat signifikan.
•
Manajemen pengamanan belum mendapatkan prioritas dan tidak berjalan
secara konsisten.
•
Pihak yang terlibat kemungkinan besar masih belum memahami tanggung
jawab mereka.
Tingkat III (Terdefinisi dan Konsisten)
•
Bentuk pengamanan yang baku sudah diterapkan secara konsisten dan
terdokumentasi secara resmi.
•
Efektifitas pengamanan dievaluasi secara berkala, walaupun belum melalui
proses yang terstruktur.
•
Pihak pelaksana dan pimpinan secara umum dapat menangani permasalahan
terkait pengelolaan keamanan pengendalian dengan tepat, akan tetapi
beberapa kelemahan dalam sistem manajemen masih ditemukan sehingga
dapat mengakibatkan dampak yang signifikan.
•
Kerangka kerja pengamanan sudah mematuhi ambang batas minimum
standar atau persyaratan hukum yang terkait.
•
Secara umum semua pihak yang terlibat menyadari tanggungjawab
mereka dalam pengamanan informasi.
Tingkat IV (Terkelola dan Terukur)
•
Pengamanan diterapkan secara efektif sesuai dengan strategi manajemen
risiko.
•
Evaluasi (pengukuran) pencapaian sasaran pengaman dilakukan secara rutin,
formal dan terdokumentasi.
•
Penerapan pengamanan teknis secara konsisten dievaluasi efektifitasnya.
•
Kelemahan manajemen pengamanan teridentifikasi dengan baik dan secara
konsisten ditindaklanjuti pembenahannya.
•
Manajemen pengamanan bersifat pro-aktif dan menerapkan pembenahan
untuk mencapai bentuk pengelolaan yang efisien.
•
Insiden dan ketidak-patuhan (non-conformity) diselesaikan melalui proses
formal dengan pembelajaran akar permasalahan.
•
Karyawan merupakan bagian yang tidak terpisahkan dari pelaksana
pengamanan informasi.
Tingkat V (Optimal)
•
Pengamanan menyeluruh diterapkan secara kontinyu dan efektif melalui
program pengelolaan risiko yang terstruktur.
•
Pengamanan informasi dan manajemen risiko sudah terintegrasi dengan
tugas pokok instansi.
•
Kinerja pengamanan dievaluasi secara kontinyu, dengan analisa parameter
efektifitas kontrol, kajian akar permasalahan dan penerapan langkah untuk
optimasi peningkatan kinerja.
•
Target pencapaian program pengamanan informasi selalu dipantau,
dievaluasi dan diperbaiki.
•
Karyawan
secara
pengamanan.
proaktif
terlibat
dalam
peningkatan
efektifitas
HASIL PENELITIAN
Dari hasil Penilaian Indeks KAMI pada Instansi BNP2TKI, didapat kesimpulan
bahwa Keamanan Sistem Informasi di Instansi BNP2TKI masih dalam Tahap I atau
pada Tahap Kondisi Awal. Ini didasarkan pada hasil wawancara dari narasumber yang
berperan dalam TIK di Unit Kerja PUSLITFO serta dari pengukuran Indeks KAMI
yang yang disertai data dukung pada 5 Area Pengukuran, diantaranya :
Bagian I: Peran dan Tingkat Kepentingan TIK dalam Instansi
Bagian ini memberi tingkatan peran dan kepentingan TIK dalam Instansi anda.
[Tingkat Kepentingan] Minim; Rendah; Sedang; Tinggi; Kritis
Status
Karakteristik Instansi
#
1,1
Total anggaran tahunan yang dialokasikan untuk TIK
Kurang dari Rp. 1 Milyard = Minim
Rp. 1 Milyard sampai dengan Rp. 3 Milyard = Rendah
Sedang
Rp. 3 Milyard sampai dengan Rp 8 Milyard = Sedang
Rp. 8 Milyard sampai dengan Rp. 20 Milyard = Tinggi
Rp. 20 Milyard atau lebih = Kritis
1,2
Jumlah staff/pengguna dalam Instansi yang menggunakan
infrastruktur TIK
Kurang dari 60= Minim
60 sampai dengan 120 = Rendah
Minim
120 sampai dengan 240 = Sedang
240 sampai dengan 600 = Tinggi
600 atau lebih = Kritis
1,3
Tingkat ketergantungan terhadap layanan TIK untuk
Tinggi
menjalankan Tugas Pokok dan Fungsi Instansi anda
1,4
Nilai kekayaan intelektual yang dimiliki dan dihasilkan oleh
Sedang
Instansi anda
1,5
Dampak dari kegagalan sistem TIK utama yang digunakan
Tinggi
Instansi anda
1,6
Tingkat ketergantungan ketersediaan sistem TIK untuk
Tinggi
menghubungkan lokasi kerja Instansi anda
1,7
Dampak dari kegagalan sistem TIK Instansi anda terhadap
kinerja Instansi pemerintah lainnya atau terhadap
Tinggi
ketersediaan sistem pemerintah berskala nasional
1,8
Tingkat sensitifitas pengguna sistem TIK di Instansi anda
Tinggi
1,9
Tingkat kepatuhan terhadap UU dan perangkat hukum
Rendah
lainnya
1.10 Potensi kerugian atau dampak negatif dari insiden
Tinggi
ditembusnya keamanan informasi sistem TIK Instansi anda
1.11 Tingkat ketergantungan terhadap pihak ketiga dalam
Sedang
menjalankan/mengoperasikan sistem TIK
1.12 Tingkat klasifikasi/kekritisan sistem TIK di Instansi anda,
relatif terhadap ancaman upaya penyerangan atau
Tinggi
penerobosan keamanan informasi
Skor Peran dan Tingkat Kepentingan TIK di Instansi
28
Skor
2
0
3
2
3
3
3
3
1
3
2
3
DASHBOARD INDEKS KAMI (KEAMANAN INFORMASI)
Hasil Evaluasi:
Tingkat Kematangan
I
-
-
-
Tingkat Kelengkapan
Penerapan Standar ISO27001
sesuai Peran TIK
Peran/Tingkat Kepentingan TIK
Tata Kelola
Pengelolaan Risiko
Kerangka Kerja Keamanan Informasi
Pengelolaan Aset
Teknologi dan Keamanan Informasi
135
:
:
:
:
:
:
28
25
10
0
51
49
Tingkat Ketergatungan:
Tingkat Kematangan:
Tingkat Kematangan:
Tingkat Kematangan:
Tingkat Kematangan:
Tingkat Kematangan:
Tinggi
I+
I
I
I+
II
I
s/d
II
KESIMPULAN DAN SARAN
Kesimpulan
Kesimpulan yang dapat diambil dari makalah Pengukuran Indeks Keamanan Sistem
Informasi Berdasarkan Standar ISO 27001 dengan studi kasus Instansi Badan Nasional
Penempatan dan Perlindungan Tenaga Kerja Indonesia (BNP2TKI) antara lain:
Hasil dari penilaian tingkat kepentingan dan peran TIK adalah sebesar 28 dari total
keseluruhan 48. Hal ini menunjukan bahwa Unit Kerja Puslitfo sudah sangat tinggi
dalam hal penggunaan TIK.
Hasil keseluruhan dari penilaian kelima area dalam indeks KAMI adalah sebesar
135 dari total keseluruhan 588 dan berada pada level I, dimana Level I berarti
termasuk dalam kategori Kondisi Awal, yang memiliki arti antara lain:
Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan
informasi.
Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak
mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan
kewenangan yang jelas dan tanpa pengawasan.
Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.
Pihak yang terlibat tidak menyadari tanggung jawab mereka.
Hasil penilaian kelima area menunjukan nilai sebesar 135 dengan hasil nilai tingkat
kepentingan TIK sebesar 2, maka dapat disimpulkan bahwa Unit Kerja PUSLITFO
yang menangani TIK dengan data center yang sudah mengacu ke Tier-1 TIA -942,
dan peran kebutuhan TIKnya yang sangat tinggi, masih belum bisa untuk dikatakan
sesuai dengan Standart ISO 27001.
Saran
Saran yang dapat diambil dari hasil dan kesimpulan di atas adalah agar Unit Kerja
PUSLITFO segera menyiapkan bukti-bukti dan data dukung untuk kelima Area dalam
pengukuran Indeks Keamanan Informasi. Dan yang paling penting peran pimpinan
untuk kebijakan TIK di Instansi BNP2TKI.
DAFTAR PUSTAKA
1. Kominfo. (2013, Oktober 28). Keamanan Informasi. Retrieved Februari 25,
2014, Kementrian Komunikasi dan Informatika Republik Indonesia [online]:
http://www.aptika.kominfo.go.id/utama/produk/3
2. Perera, D. (2008, Juli 26). Daminda Perera's Home Page. Retrieved Februari 28,
2014 Daimnda Perera's Home Page [online] : http://www.daminda.com/
3. Sekolah Tinggi Sandi Negara. (2012, Oktober 24). Hal Dasar Tentang Keamanan
Informasi (Bagian 2). Retrieved February 26, 2014, Sekolah Tinggi Sandi
Negara[online]
http://stsn-nci.ac.id/hal-dasar-tentangkeamanan-informasi-bag-2/
4. Hastings, N. A. Physical Asset Management. London: Springer (2010)
:
Berdasarkan Standar ISO 27001
(Studi Kasus Instansi Badan Nasional Penempatan dan Perlindungan
Tenaga Kerja Indonesia)
MAKALAH
Program Studi : Magister Teknik Elektro
Dosen: DR.Ir. Iwan Krisnadi, MBA
Diajukan Oleh :
FANNY WAHYU KURNIAWAN
55414120036
UNIVERSITAS MERCUBUANA
2015
Pengukuran Indeks Keamanan Sistem Informasi
Berdasarkan Standar ISO 27001
(Studi Kasus Instansi Badan Nasional Penempatan dan Perlindungan
Tenaga Kerja Indonesia)
Abstrak
Pada saat sekarang ini, penggunaan teknologi informasi sangat diperlukan dalam mendukung
pelaksanaan tugas dan fungsi yang dilakukan oleh pegawai di Instansi Badan Nasional
Penempatan dan Perlindungan Tenaga Kerja Indonesia (BNP2TKI), mulai dari penggunaan
jaringan internet dan intranet, penggunaan aplikasi email sebagai sarana pertukaran data dan
informasi, maupun aplikasi berbasis Teknologi Informasi lainnya. Mengingat pentingnya data
dan informasi yang dimiliki oleh Instansi BNP2TKI serta penggunaan Aplikasi Online System
BNP2TKI yang digunakan oleh lebih dari 3000 client (stakeholder), maka perlu dilakukan
evaluasi terhadap keamanan sistem informasi, guna mengetahui sejauh mana perangkat
teknologi keamanan, prosedur dan kebijakan yang dimiliki dapat berfungsi dengan baik. Salah
satu cara yang digunakan untuk evaluasi adalah melakukan Pengukuran keamanan sistem
informasi. Pengukuran keamanan sistem informasi dapat dilakukan dengan mengacu pada
standar Penerapan ISO 27001. Pengukuran keamanan sistem informasi di Instansi BNP2TKI
bertujuan untuk mengetahui tingkat keamanan sistem informasi melalui pengukuran tingkat
kedewasaan (maturity level) keamanan sistem informasi berdasarkan Standar Keamanan
Informasi ISO 27001, sehingga dapat digunakan sebagai rekomendasi dan bahan acuan pihak
manajemen pengelola TIK dalam pengambilan keputusan untuk peningkatan keamanan sistem
informasi. Langkah-langkah dalam pelaksanaan pengukuran ini dalam rangka penerapan
Standar ISO 27001 (SNI 27001) adalah : Mengetahui atau mengukur peran dan tingkat
Kepentingan TIK dalam Instansi, Bagaimana Tata Kelola Keamanan Informasi di dalam
Instansi, Bagaimana mengelola Resiko Keamanan Informasi, bagaimana Kerangka Kerja
Pengelolaan Keamanan Informasi, Bagaimana Pengelolaan Aset Informasinya, serta
Bagaimana keefektifan Teknologi dan Keamanan Informasi di dalam Instansi.
Berdasarkan hasil pelaksanaan pengukuran keamanan sistem informasi berdasarkan standar ISO
27001 di Instansi BNP2TKI dapat disimpulkan bahwa Peran/Tingkat Kepentingan TIK di
Instansi BNP2TKI sangat tinggi, tetapi untuk peran yang lainnya masih rendah sehingga sangat
rentan terhadap resiko-resiko dan insiden pelanggaran keamanan. Hal ini dapat diketahui dari
hasil pengukuran berdasarakan Indeks Keamanan Informasi yang di lakukan di Instansi
BNP2TKI.
PENDAHULUAN
Latar Belakang
Penggunaan Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi
kebutuhan dan tuntutan di setiap instansi baik kecil maupun besar. Badan Nasional
Penempatan dan Perlindungan Tenaga Kerja Indonesia (BNP2TKI) adalah Lembaga
Non Kementerian yang bergerak dalam bidang Penempatan dan Perlindungan Tenaga
Kerja Indonesia (P2TKI). Oleh karena itu BNP2TKI membangun infrastruktur Jaringan
Sistem Informasi yang terhubung ke semua stakeholder P2TKI yang berbasis Teknologi
Informasi.
Sebagai salah satu upaya untuk meningkatkan kualitas keamanan informasi pada
instasi milik pemerintah, maka Kementrian Kominfo membuat suatu alat bantu untuk
mengukur tingkat kematangan dan kelengkapan dalam keamanan informasi yang
disebut dengan indeks Keamanan Informasi (KAMI). Indeks KAMI dibuat dengan
acuan ISO 27001:2005 yang berisi tentang keamanan informasi. Sedangkan ISO 27001
adalah suatu bentuk kerangka keja standar internasional yang berisi tentang
standarstandar dalam area keamanan informasi. ISO 27001 menyediakan kerangka kerja
dalam lingkup penggunaan teknologi dan pengelolaan aset yang membantu organisasi
memastikan bahwa keamanan informasi sudah efektif. Hal ini termasuk kemampuan
akses data secara berkelanjutan, kerahasiaan, dan integritas atas informasi yang
dimilikinya.
Dalam proses bisnis utama BNP2TKI yang sangat luas, BNP2TKI memiliki banyak
kantor cabang yang tersebar di seluruh wilayah Indonesia (BP3TKI/LP3TKI/P4TKI)
dan terhubung langsung dengan kantor pusat BNP2TKI di Jl. MT Haryono Kav.52
Pancoran Jakarta Selatan, serta seluruh stakeholder yang terhubung dengan bisnis
proses BNPTKI.
Saat ini BNP2TKI memiliki 1 (satu) unit kerja (eselon II) yang
menangani Sistem Informasi BNP2TKI baik pusat maupun daerah, baik itu dari segi
jaringannya maupun perangkat, hingga perencanaan perangkat tersebut. Dengan
banyaknya jaringan serta aplikasi Online System yang terhubung dengan kantor pusat
BNP2TKI, akan berdampak pada munculnya risiko keamanan data yang dapat
mengancam Sistem Informasi BNP2TKI dalam kegiatan operasionalnya, sehingga perlu
diadakan pengukuran atas keamanan informasi dengan indeks KAMI pada Unit Kerja
Pusat Penelitian Pengembangan dan Informasi (PUSLITFO) untuk mengetahui kondisi
terkini keamanan informasi yang kemudian dilanjutkan dengan membuat rekomendasi
perbaikan terhadap keamanan informasi tersebut dengan harapan rekomendasi yang
telah dibuat digunakan sebagai bahan pertimbangan dalam rangka upaya meningkatkan
kualitas keamanan informasi agar dapat memberikan pelayanan yang lebih baik dan
dapat diandalkan
TINJAUAN PUSTAKA
Pusat Penelitian Pengembangan dan Informasi (PUSLITFO) BNP2TKI merupakan
unit kerja setara Eselon II yang bertanggung jawab atas segala jaringan dan Sistem
Inforrmasiyang ada dalam Instansi BNP2TKI. Saat ini PUSLITFO BNP2TKI sudah
memiliki Datacenter yang perancangannya atau insfrastruktur datacenternya sudah di
kembangkan dan berada pada Tier-1 menurut TIA 942 (Telecomunication Industry
Association).
Kriteria perancangan sebuah data center secara umum antara lain adalah:
Ketersediaan
Data center diciptakan untuk mampu memberikan operasi yang berkelanjutan
dan terus-menerus bagi suatu perusahaan baik dalam keadaan normal maupun
dalam keadaan terjadinya suatu kerusakan yang berarti atau tidak. Data center
harus dibuat sebisa mungkin mendekati zero-failure untuk seluruh komponennya.
Scalability dan Flexibility
Data center harus mampu beradaptasi dengan pertumbuhan kebutuhan yang
cepat atau ketika adanya servis baru yang harus disediakan oleh data center tanpa
melakukan perubahan yang cukup berarti bagi data center secara keseluruhan.
Security
Data center menyimpan berbagai aset perusahaan yang berharga, oleh karenanya
sistem keamanan dibuat seketat mungkin baik pengamanan secara fisik maupun
pengamanan non-fisik.
Kriteria tersebut diaplikasikan pada beberapa aspek berikut:
ASPEK
KETERANGAN
Berada di luar radius mitigasi bencana/gunung berapi (>15km)
Tidak berada dalam jalur patahan geologi
LOKASI
Jika merupakan data center untuk Disaster Recovery, minimum berjarak
> 40km dari data center utama
Cukup tersamarkan dari pengenalan publik (tidak ekspose)
Generator listrik cadangan
Catuan PLN, dengan minimum 2 sumber pembangkit yang berbeda
untuk tier tinggi
SARANA
Uninterruptible Power Supply (UPS), dengan baterai berkapasitas
PENUNJANG
memadai yang mampu menyediakan pasokan daya sebelum Genset
dihidupkan
Pengatur udara (HVAC, Heating, Ventilation, and Air Conditioning), yang
mampu menjaga suhu dan kelembaban
Memiliki koneksi komunikasi data network lebih dari 1 sumber dengan
lebih dari 1 operator untuktier tinggi
KOMUNIKASI
Jika diperlukan, penyiapan koneksi komunikasi data dapat menggunakan
akses satelit
Pengamanan jalur komunikasi untuk menjaga confidentiality suatu data
/informasi
Keamanan Informasi
Pengertian dari keamanan informasi adalah upaya untuk mengamankan aset
informasi dari segala ancaman yang mungkin terjadi untuk mengurangi resiko negatif
yang diterima. Semakin banyak informasi yang disimpan di sebuah organisasi maka
semakin banyak juga juga resiko yang akan terjadi seperti kerusakan, kehilangan atau
juga informasi yang bersifat pribadi bisa tersebar ke pihak yang tidak bertanggung
jawab.
Terdapat lima layanan jaminan keamanan, diantaranya adalah sebagai berikut:
1. Confidentiality, yaitu memastikan bahwa infomasi hanya dapat diakses oleh
pihak yang memiliki wewenang.
2. Authenticity, yaitu menjamin informasi tersebut asli
3. Integrity, yaitu memastikan informasi tersebut tepat, lengkap, dan sesuai
dengan bentuk semula.
4. Availability, yaitu memastikan informasi dapat diakses oleh orang yang
memiliki wewenang tanpa ada keterlambatan waktu jika data sedang
dibutuhkan.
5. Non-repudiation, yaitu menjamin pihak pengguna tidak dapat menyangkal
keaslian tanda tangan digital (digital signature) pada suatu dokumen atau
tempat dalam jaringan tersebut.
Sistem Manajemen Keamanan Informasi (SMKI)
Sistem Manajemen Keamanan Informasi (SMKI) adalah suatu bentuk susunan
proses yang dibuat berdasarkan pendekatan resiko bisnis untuk merencanakan (Plan),
mengimplementasikan dan mengoperasikan (Do), memonitoring dan meninjau (Check),
serta memelihara dan meningkatkan atau mengembangkan (Act) terhadap keamanan
informasi perusahaan. Keamanan informasi ditujukan menjaga aspek kerahasian
(Confidential), keutuhan (Integrity), dan ketersediaan (Availibity) dari informasi. Dalam
menerapkan keamanan informasi aspek SMKI dan teknologi keamanan informasi tidak
dapat dipisahkan. Artinya sebaiknya suatu organisasi tidak hanya menerapkan teknologi
keamanan informasi saja tanpa menerapkan SMKI.
Definisi Proses Sistem Manajemen Keamanan Informasi (SMKI) diantaranya :
PLAN (Menetapkan SMKI)
Menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk
mengelola risiko dan meningkatkan keamanan informasi agar memberikan hasil
sesuai dengan keseluruhan kebijakan dan sasaran.
DO (Menerapkan dan menjalankan SMKI)
Menerapkan dan mengoperasikan kebijakan SMKI, kontrol, proses dan
prosedur-prosedur .
CHECK (Memantau dan melakukan tinjau ulang SMKI)
Mengkaji
dan
mengukur
kinerja
proses
terhadap
kebijakan,
sasaran,
praktekpraktek dalam menjalankan SMKI dan melaporkan hasilnya kepada
manajemen untuk ditinjau efektivitasnya.
ACT (Memelihara dan meningkatkan SMKI)
Melakukan tindakan perbaikan dan pencegahan, berdasarkan hasil evaluasi,
audit internal dan tinjauan manajemen tentang SMKI atau kegiatan pemantauan
lainnya untuk mencapai peningkatan yang berkelanjutan
Suatu organisasi harus menetapkan, menerapkan, mengoperasikan, memantau, mengkaji,
memelihara dan meningkatkan Sistem Manajemen Keamanan Informasi (SMKI) dan
mendokumentasikan dalam konteks bisnis organisasi secara keseluruhan beserta risiko
yang dihadapinya.
Indeks Keamanan Informasi (KAMI)
Indeks KAMI adalah alat evaluasi untuk menganalisa tingkat kesiapan pengamanan
informasi di instansi pemerintah. Alat pengukuran ini tidak ditujukan untuk menganalisa
kelayakan atau efektifitas bentuk pengamanan yang ada, melainkan sebagai perangkat
untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka
kerja keamanan informasi kepada pimpinan Instansi. Pengukuran dilakukan terhadap
berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup
pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh
standar SNI ISO/IEC 27001:2009
Alat evaluasi Indeks KAMI ini secara umum ditujukan untuk digunakan oleh
Instansi pemerintah di tingkat pusat. Akan tetapi satuan kerja yang ada di tingkatan
Direktorat Jenderal, Badan, Pusat atau Direktorat juga dapat menggunakan elat evaluasi
ini untuk mendapatkan gambaran mengenai kematangan program kerja keamanan
informasi yang dijalankannya. Evaluasi ini dianjurkan untuk dilakukan oleh pejabat yang
secara langsung bertanggungjawab dan berwenang untuk mengelola keamanan informasi
di Instansinya.
Proses evaluasi dilakukan melalui sejumlah pertanyaan di masing-masing area di
bawah ini:
Peran TIK di dalam Instansi
Tata Kelola Keamanan Informasi
Pengelolaan Risiko Keamanan Informasi
Kerangka Kerja Keamanan Informasi
Pengelolaan Aset Informasi
Teknologi dan Keamanan Informasi
Pengelolaan Aset
Pengelolaan aset merupakan serangkaian kegiatan yang berhubungan dengan:
Identifikasi kebutuhan aset
Identifikasi pembiayaan aset
Memperoleh aset
Menyediakan logistik dan perawatan sistem untuk aset
Membuang atau memperbarui asset
Pengelolaan aset adalah kegiatan yang sistematis dan terkoordinasi dan dipraktekan
secara mendalam dimana organisasi secara optimal dan berkelanjutan mengelola aset
dan sistem aset, kinerja aset, risiko dan pengeluaran selama siklus hidup aset tersebut
berjalan untuk mencapai rencana strategis organisasinya. Pengelolaan aset bertujuan
untuk menyediakan informasi dan kapasitas terhadap aset tersebut, sehingga dapat
membantu pimpinan untuk mengambil keputusan dalam suatu organisasi.
METODE PENELITIAN
Metode Penelitian ini dilakukan dengan urutan kegiatan sebagai berikut:
1. Identifikasi permasalahan, tujuan, dan manfaat penelitian
Identifikasi Masalah
Permasalahan yang terjadi di Instansi BNP2TKI terhadap Keamanan Informasi
adalah kurangnya dokumentasi untuk 5 Area (Tata Kelola, Pengelolaan Resiko,
Kerangka Kerja Keamanan Informasi, Pengelolaan Aset, dan Teknologi dan
Keamanan Informasi) yang menjadi nilai dari Indeks Keamanan Informasi. Dan
juga dalam penyusunan dan pengelolaan Kebijakan dan Prosedur Keamanan
Informasi. Karena peran pimpinan menjadi sangat penting untuk menentukan
kebijakan dan prosedur Keamanan Informasi.
Tujuan Penelitian
Tujuan Pengukuran Indeks Keamanan Informasi berdasarkan ISO 27001 untuk
Instansi BNP2TKI adalah agar Instansi BNP2TKI khususnya PUSLITFO
mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan
konsisten dengan pendekatan berbasis risiko, mampu menyusun sistem
dokumentasi minimum yang diperlukan untuk menerapkan tata kelola keamanan
informasi, dan memahami roadmap penerapan tata kelola keamanan informasi.
Manfaat Penelitian
Hasil dari penelitian ini diharapkan menjadi acuan bagi Instansi BNP2TKI agar
benar-benar dapat menerapkan ISO 27001 (SNI 27001), sehingga Pelayanan
Penempatan dan Perlindungan Tenaga Kerja Indonesia (P2TKI) dapat berjalan
dengan aman dan lancar, terutama kekhawatiran akan resiko dari keamanan
Sistem Informasi.
Berikut alur proses penelitian :
INPUT
Latar Belakang Instansi
PROSES
OUTPUT
Identifikasi Masalah, Tujuan
Batasan Masalah, Tujuan
Penelitian, Manfaat Penelitian
Penelitian, Manfaat Penelitian
Batasan Masalah, Tujuan
Studi Literatur tentang
Konsep Keamanan Informasi,
Penelitian, Manfaat Penelitian
Keamanan Informasi, Indeks
Indeks KAMI, dan ISO 27001
KAMI, dan ISO 27001
Konsep Keamanan Informasi,
Mempersiapkan Studi
Pertanyaan / Wawancara ke
Indeks KAMI, dan ISO 27001
Lapangan
Narasumber
Pertanyaan / Wawancara ke
Studi Lapangan dan
Data berupa hasil wawancara
Narasumber
Pengumpulan Data
dan dokumen pendukung
yang termasuk dalam 5 Area
Indeks KAMI
Data berupa hasil wawancara
Penilaian dengan Indeks
dan dokumen pendukung
KAMI
Hasil Penilaian Indeks KAMI
yang termasuk dalam 5 Area
Indeks KAMI
Hasil Penilaian Indeks KAMI
Pembuatan saran dan
Saran dan perbaikan pada
perbaikan
bagian yang kurang dalam
pengukuran Indeks KAMI
2. Studi Literatur Indeks KAMI
Indeks KAMI adalah alat evaluasi untuk menganalisa tingkat kesiapan
pengamanan informasi di Instansi pemerintah. Alat evaluasi ini tidak ditujukan untuk
menganalisa kelayakan atau efektifitas bentuk pengamanan yang ada, melainkan
sebagai perangkat untuk memberikan gambaran kondisi kesiapan (kelengkapan dan
kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi.
Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan keamanan
informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek
keamanan yang didefinisikan oleh standar ISO/IEC 27001:2005.
Pengukuran dalam Indeks KAMI dapat dilakukan dengan alur proses berikut :
Mendifinisikan Ruang Lingkup
Menetapkan Peran atau Tingkat Kepentingan TIK di Instansi
Menilai Kelengkapan Pengamanan 5 Area
Mengkaji
Hasil
Indeks
KAMI
disertai
dengan
menetapkan
langkah-langkah perbaikan
Tingkat kesiapan keamanan informasi dibagi menjadi empat tingkatan. Jika hasil
tingkat kepentingan TIK mendapat nilai rendah, maka semakin rendah pula batasan
yang harus dicapai organisasi tersebut dalam penilaian lima bagian indeks KAMI,
dan sebaliknya. Keempat tingkatan tersebut dapat dilihat pada tabel dibawah ini.
Peran TIK
Rendah
0
Indeks (Skor Akhir)
12
Sedang
13
Tinggi
25
0
124
Tidak Layak
125
272
Perlu Perbaikan
273
588
Baik/Cukup
Indeks (Skor Akhir)
24
Status Kesiapan
0
174
Tidak Layak
175
312
Perlu Perbaikan
313
588
Baik/Cukup
Indeks (Skor Akhir)
36
Status Kesiapan
Status Kesiapan
0
272
Tidak Layak
273
392
Perlu Perbaikan
393
588
Baik/Cukup
Dalam penilaian tingkat peran TIK, terdapat lima pilihan jawaban yang terdiri dari:
JAWABAN
NILAI
Minim
0
Rendah
1
Sedang
2
Tinggi
3
Kritis
4
Kondisi pada saat memilih jawaban pada Tabel atau Indek pada 5 Area (Tata Kelola,
Pengelolaan Resiko, Kerangka Kerja Keamanan Informasi, Pengelolaan Aset, dan
Teknologi dan Keamanan Informasi) yang menjadi nilai dari Indeks Keamanan
Informasi, adalah :
•
Tidak Dilakukan
•
Dalam perencanaan
Sudah menjadi rencana resmi instansi dan akan dilaksanakan melalui
kegiatan internal/proyek
Kebijakan/prosedur pengamanan dalam versi draft
•
Dalam penerapan atau diterapkan sebagian
Proyek/kegiatan sedang berjalan atau diterapkan secara bertahap
Kebijakan/prosedur sudah dirilis secara resmi tetapi masih tahap
implementasi
•
Diterapkan secara menyeluruh
Sudah berjalan di seluruh area sesuai dengan ruang lingkup yang
didefinisikan
Berikut adalah contoh Tabel indeks pada area Tata Kelola Keamanan Informasi :
Dashboard Tingkat Kematangan dan Kelengkapan Keamanan Informasi tergambar
pada diagaram dibawah ini :
Tingkat Kematangan:
Tingkat I
Tingkat II
: Kondisi Awal
: Penerapan Kerangka Kerja Dasar
Tingkat III : Terdefinisi dan Konsisten
Tingkat IV : Terkelola dan Terukur
Tingkat V
: Optimal
Tingkat I (Kondisi Awal)
•
Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan
informasi.
•
Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak
mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan
kewenangan yang jelas dan tanpa pengawasan.
•
Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.
•
Pihak yang terlibat tidak menyadari tanggung jawab mereka.
Tingkat II (Penerapan Kerangka Kerja Dasar)
•
Pengamanan sudah diterapkan walaupun sebagian besar masih di area teknis
dan belum adanya keterkaitan langkah pengamanan untuk mendapatkan
strategi yang efektif.
•
Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi.
•
Langkah pengamanan operasional yang diterapkan bergantung kepada
pengetahuan dan motivasi individu pelaksana.
•
Bentuk
pengamanan
secara
keseluruhan
belum
dapat
dibuktikan
efektifitasnya.
•
Kelemahan dalam manajemen pengamanan masih banyak ditemukan dan
tidak dapat diselesaikan dengan tuntas oleh pelaksana maupun pimpinan
sehingga menyebabkan dampak yang sangat signifikan.
•
Manajemen pengamanan belum mendapatkan prioritas dan tidak berjalan
secara konsisten.
•
Pihak yang terlibat kemungkinan besar masih belum memahami tanggung
jawab mereka.
Tingkat III (Terdefinisi dan Konsisten)
•
Bentuk pengamanan yang baku sudah diterapkan secara konsisten dan
terdokumentasi secara resmi.
•
Efektifitas pengamanan dievaluasi secara berkala, walaupun belum melalui
proses yang terstruktur.
•
Pihak pelaksana dan pimpinan secara umum dapat menangani permasalahan
terkait pengelolaan keamanan pengendalian dengan tepat, akan tetapi
beberapa kelemahan dalam sistem manajemen masih ditemukan sehingga
dapat mengakibatkan dampak yang signifikan.
•
Kerangka kerja pengamanan sudah mematuhi ambang batas minimum
standar atau persyaratan hukum yang terkait.
•
Secara umum semua pihak yang terlibat menyadari tanggungjawab
mereka dalam pengamanan informasi.
Tingkat IV (Terkelola dan Terukur)
•
Pengamanan diterapkan secara efektif sesuai dengan strategi manajemen
risiko.
•
Evaluasi (pengukuran) pencapaian sasaran pengaman dilakukan secara rutin,
formal dan terdokumentasi.
•
Penerapan pengamanan teknis secara konsisten dievaluasi efektifitasnya.
•
Kelemahan manajemen pengamanan teridentifikasi dengan baik dan secara
konsisten ditindaklanjuti pembenahannya.
•
Manajemen pengamanan bersifat pro-aktif dan menerapkan pembenahan
untuk mencapai bentuk pengelolaan yang efisien.
•
Insiden dan ketidak-patuhan (non-conformity) diselesaikan melalui proses
formal dengan pembelajaran akar permasalahan.
•
Karyawan merupakan bagian yang tidak terpisahkan dari pelaksana
pengamanan informasi.
Tingkat V (Optimal)
•
Pengamanan menyeluruh diterapkan secara kontinyu dan efektif melalui
program pengelolaan risiko yang terstruktur.
•
Pengamanan informasi dan manajemen risiko sudah terintegrasi dengan
tugas pokok instansi.
•
Kinerja pengamanan dievaluasi secara kontinyu, dengan analisa parameter
efektifitas kontrol, kajian akar permasalahan dan penerapan langkah untuk
optimasi peningkatan kinerja.
•
Target pencapaian program pengamanan informasi selalu dipantau,
dievaluasi dan diperbaiki.
•
Karyawan
secara
pengamanan.
proaktif
terlibat
dalam
peningkatan
efektifitas
HASIL PENELITIAN
Dari hasil Penilaian Indeks KAMI pada Instansi BNP2TKI, didapat kesimpulan
bahwa Keamanan Sistem Informasi di Instansi BNP2TKI masih dalam Tahap I atau
pada Tahap Kondisi Awal. Ini didasarkan pada hasil wawancara dari narasumber yang
berperan dalam TIK di Unit Kerja PUSLITFO serta dari pengukuran Indeks KAMI
yang yang disertai data dukung pada 5 Area Pengukuran, diantaranya :
Bagian I: Peran dan Tingkat Kepentingan TIK dalam Instansi
Bagian ini memberi tingkatan peran dan kepentingan TIK dalam Instansi anda.
[Tingkat Kepentingan] Minim; Rendah; Sedang; Tinggi; Kritis
Status
Karakteristik Instansi
#
1,1
Total anggaran tahunan yang dialokasikan untuk TIK
Kurang dari Rp. 1 Milyard = Minim
Rp. 1 Milyard sampai dengan Rp. 3 Milyard = Rendah
Sedang
Rp. 3 Milyard sampai dengan Rp 8 Milyard = Sedang
Rp. 8 Milyard sampai dengan Rp. 20 Milyard = Tinggi
Rp. 20 Milyard atau lebih = Kritis
1,2
Jumlah staff/pengguna dalam Instansi yang menggunakan
infrastruktur TIK
Kurang dari 60= Minim
60 sampai dengan 120 = Rendah
Minim
120 sampai dengan 240 = Sedang
240 sampai dengan 600 = Tinggi
600 atau lebih = Kritis
1,3
Tingkat ketergantungan terhadap layanan TIK untuk
Tinggi
menjalankan Tugas Pokok dan Fungsi Instansi anda
1,4
Nilai kekayaan intelektual yang dimiliki dan dihasilkan oleh
Sedang
Instansi anda
1,5
Dampak dari kegagalan sistem TIK utama yang digunakan
Tinggi
Instansi anda
1,6
Tingkat ketergantungan ketersediaan sistem TIK untuk
Tinggi
menghubungkan lokasi kerja Instansi anda
1,7
Dampak dari kegagalan sistem TIK Instansi anda terhadap
kinerja Instansi pemerintah lainnya atau terhadap
Tinggi
ketersediaan sistem pemerintah berskala nasional
1,8
Tingkat sensitifitas pengguna sistem TIK di Instansi anda
Tinggi
1,9
Tingkat kepatuhan terhadap UU dan perangkat hukum
Rendah
lainnya
1.10 Potensi kerugian atau dampak negatif dari insiden
Tinggi
ditembusnya keamanan informasi sistem TIK Instansi anda
1.11 Tingkat ketergantungan terhadap pihak ketiga dalam
Sedang
menjalankan/mengoperasikan sistem TIK
1.12 Tingkat klasifikasi/kekritisan sistem TIK di Instansi anda,
relatif terhadap ancaman upaya penyerangan atau
Tinggi
penerobosan keamanan informasi
Skor Peran dan Tingkat Kepentingan TIK di Instansi
28
Skor
2
0
3
2
3
3
3
3
1
3
2
3
DASHBOARD INDEKS KAMI (KEAMANAN INFORMASI)
Hasil Evaluasi:
Tingkat Kematangan
I
-
-
-
Tingkat Kelengkapan
Penerapan Standar ISO27001
sesuai Peran TIK
Peran/Tingkat Kepentingan TIK
Tata Kelola
Pengelolaan Risiko
Kerangka Kerja Keamanan Informasi
Pengelolaan Aset
Teknologi dan Keamanan Informasi
135
:
:
:
:
:
:
28
25
10
0
51
49
Tingkat Ketergatungan:
Tingkat Kematangan:
Tingkat Kematangan:
Tingkat Kematangan:
Tingkat Kematangan:
Tingkat Kematangan:
Tinggi
I+
I
I
I+
II
I
s/d
II
KESIMPULAN DAN SARAN
Kesimpulan
Kesimpulan yang dapat diambil dari makalah Pengukuran Indeks Keamanan Sistem
Informasi Berdasarkan Standar ISO 27001 dengan studi kasus Instansi Badan Nasional
Penempatan dan Perlindungan Tenaga Kerja Indonesia (BNP2TKI) antara lain:
Hasil dari penilaian tingkat kepentingan dan peran TIK adalah sebesar 28 dari total
keseluruhan 48. Hal ini menunjukan bahwa Unit Kerja Puslitfo sudah sangat tinggi
dalam hal penggunaan TIK.
Hasil keseluruhan dari penilaian kelima area dalam indeks KAMI adalah sebesar
135 dari total keseluruhan 588 dan berada pada level I, dimana Level I berarti
termasuk dalam kategori Kondisi Awal, yang memiliki arti antara lain:
Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan
informasi.
Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak
mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan
kewenangan yang jelas dan tanpa pengawasan.
Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.
Pihak yang terlibat tidak menyadari tanggung jawab mereka.
Hasil penilaian kelima area menunjukan nilai sebesar 135 dengan hasil nilai tingkat
kepentingan TIK sebesar 2, maka dapat disimpulkan bahwa Unit Kerja PUSLITFO
yang menangani TIK dengan data center yang sudah mengacu ke Tier-1 TIA -942,
dan peran kebutuhan TIKnya yang sangat tinggi, masih belum bisa untuk dikatakan
sesuai dengan Standart ISO 27001.
Saran
Saran yang dapat diambil dari hasil dan kesimpulan di atas adalah agar Unit Kerja
PUSLITFO segera menyiapkan bukti-bukti dan data dukung untuk kelima Area dalam
pengukuran Indeks Keamanan Informasi. Dan yang paling penting peran pimpinan
untuk kebijakan TIK di Instansi BNP2TKI.
DAFTAR PUSTAKA
1. Kominfo. (2013, Oktober 28). Keamanan Informasi. Retrieved Februari 25,
2014, Kementrian Komunikasi dan Informatika Republik Indonesia [online]:
http://www.aptika.kominfo.go.id/utama/produk/3
2. Perera, D. (2008, Juli 26). Daminda Perera's Home Page. Retrieved Februari 28,
2014 Daimnda Perera's Home Page [online] : http://www.daminda.com/
3. Sekolah Tinggi Sandi Negara. (2012, Oktober 24). Hal Dasar Tentang Keamanan
Informasi (Bagian 2). Retrieved February 26, 2014, Sekolah Tinggi Sandi
Negara[online]
http://stsn-nci.ac.id/hal-dasar-tentangkeamanan-informasi-bag-2/
4. Hastings, N. A. Physical Asset Management. London: Springer (2010)
: