Dashboard Sistem Dengan Pendekatan OCTAV
DASHBOARD INFORMATION SYSTEM MENGGUNAKAN PENDEKATAN OCTAVE
DAN ISO 27001 UNTUK MENGUKUR INDEKS KEAMANAN INFORMASI PADA
INSTITUSI PENDIDIKAN TINGGI
1
Sajadin Sembiring, Muhammad Galih Rivai 3Zulkifli, M.Kom
Fakultas Ilmu Komputer dan Teknologi Informasi
Universitas Sumatera Utara
Teknik Informatika STTH Medan, 3Universitas Al-Muslim Bireuen
E-mail: MuhammadGalihRivai@students.usu.ac.id | sajadinsembiring@gmail.com|
Zulladasicupak@gmail.com
ABSTRAK
Informasi merupakan aset yang berharga bagi setiap organisasi karena merupakan salah satu sumber daya strategis dalam
meningkatkan nilai usaha dan kepercayaan publik. Perlindungan terhadap informasi merupakan hal yang mutlak harus
diperhatikan secara sungguh-sungguh oleh segenap jajaran pemilik, manajemen dan karyawan organisasi yang
bersangkutan.Pemantauan dan pengukuran indeks keamanan informasi pada sebuah perguruan tinggi masih sangat jarang
dilakukan dan kurang mendapat perhatian. Penelitian ini dilakukan untuk memberikan suatu tools yang dapat digunakan oleh
perguruan tinggi dalam usaha untuk memantau dan mengukur tingkat kesiapan perguruan tinggi tersebut dalam hal
pengelolaan keamanan informasi. Penelitian ini menggunakan pendekatan dengan metode OCTAVE berbasis ISO 27001 yang
merupakan standar internasional dalam pengukuran tingkat keamanan informasi sebuah organisasi yang menggunakan 6
variabel yaitu peran dan tingkat kepentingan TIK, tata kelola keamanan informasi, pengelolaan resiko keamanan informasi,
kerangka kerja keamanan informasi, pengelolaan asset informasi dan teknologi keamanan informasi. Studi kasus dalam
penelitian ini dilakukan pada Universitas AlMuslim Bireun dan hasil pengujian menyatakan bahwa tingkat kesiapan
universitas ini masih berada pada wilayah “Kerangka Kerja Dasar”.
Kata kunci :Dashboard Information System, keamanan informasi, Institusi pendidikan tinggi, OCTAVE, ISO 27001
I. PENDAHULUAN
Informasi merupakan aset yang penting bagi suatu
organisasi yang perlu dilindungi dari resiko keamanannya
baik
dari
pihak
luar
ataupun
dari
dalam
organisasi.Institusi Pendidikan Tinggi merupakan
organisasi yang memiliki berbagai jenis informasi penting
dan bersifat rahasia atau informasi yang mesti dijaga
keasliannya. Misalnya informasi tentang proses akademik
mahasiswa, pengelolaan aset perguruan tinggi, keuangan,
informasi penelitian, pengabdian masyarakat, beasiswa,
kealumnian, dan lain sebagainya [1].
Akan tetapi hingga saat ini belum banyak
institusi pendidikan tinggi yang memberikan perhatian
dalam hal pengamanan informasinya, sehingga tingkat
keamanan informasi pada institusi perguruan tinggi
tersebut sangat rendah yang berakibat seringnya terjadi
penyalahgunaan informasi bahkan kerusakan yang dapat
berakibat fatal. Keamanan informasi tidak cukup hanya
disandarkan pada kehandalan tools atau teknologi
keamanan informasi yang digunakan, tetapi juga
diperlukan pemahaman yang baik oleh organisasi tentang
apa yang harus dilindungi dan bagaimana menentukan
secara tepat solusi yang dapat menangani permasalahan
kebutuhan keamanan informasi [2].
Untuk itu dibutuhkan manajemen keamanan
informasi yang sistemik dan komprehensif .Salah satu
penelitian yang pernah dilakukan sebelumnya adalah
Pengukuran Resiko Teknologi Informasi (TI) dengan
Metode OCTAVE-S. Pada penelitian tersebut, yaitu
membangun
aset
berbasis
profil
ancaman,
mengidentifikasi
kerentanan
infrastruktur
serta
mengembangkan strategi keamanan dan perencanaan.
Hasil dari pengukuran tersebut berupa informasi dalam
bentuk tulisan atau teks yang berisi saran dari kekurangan
perusahaan tersebut [3].
Dalam penelitian ini akan dilakukan pengukuran
indeks keamanan informasi dan tingkat kesiapan suatu
institusi perguruan tinggi dalam menghadapi ancaman
terhadap keamanan informasinya menggunakan metode
OCTAVE berbasis ISO 27001.
Metode OCTAVE adalah sebuah pendekatan
terhadap evaluasi resiko keamanan informasi yang
komprehensif, sistemik, terarah dan dilakukan sendiri.
Pendekatannya disusun dalam satu set kriteria yang
mendefinisikan elemen dari evaluasi resiko keamanan
informasi. Kriteria OCTAVE memerlukan evaluasi yang
yang dilakukan oleh tim yang terdiri dari personil
teknologi informasi dan bisnis organisasi. Anggota tim
membuat keputusan berdasarkan resiko terhadap aset
informasi organisasi yang memerlukan katalog informasi
untuk mengukur praktek organisasi, menganalisa
ancaman, dan membangun strategi proteksi [2].
DashboardInformationSystem merupakan alat
untuk menyajikan informasi secara sekilas, solusi bagi
kebutuhan informasi organisasi dan memberikan tampilan
antarmuka dengan berbagai bentuk seperti diagram,
laporan, indikator visual, dan mekanisme alert yang
dipadukan dengan informasi yang dinamis dan relevan
[4]. Pengukuran indeks keamanan informasi institusi
pendidikan tinggi diperlukan untuk mengetahui apakah
institusi tersebut telah memiliki sistem keamanan
informasi yang handal.Berdasarkan uraian pada latar
belakang, permasalahan penelitian ini dirumuskan sebagai
berikut yaitu diperlukan suatu pendekatan yang relatif
mudah dan sederhana untuk mengukur tingkat kesiapan
institusi pendidikan tinggi terhadap ancaman keamanan
informasinya. Penelitian terdahulu yang berkaitan dengan
pengukuran indeks keamanan informasi pada institusi
perguruan tinggi antara lain adalah penerapan indeks
keamanan informasi berbasis ISO 27001 untuk mengukur
tingkat kesiapan pengamanan informasi pada institusi
pendidikan tinggi. [1]. Penelitian selanjutnya adalah
pengukuran teknologi informasi (TI) dengan metode
OCTAVE-S dengan hasil pengukuran berupa informasi
dalam bentuk tulisan atau teks yang berisi saran dari
kekurangan perusahaan tersebut [3]. Penelitian
selanjutnyabahwa manajemen resiko keamanan informasi
dengan menggunakan metode OCTAVE [2]. Penelitian
selanjutnya adalah evaluasi keamanan informasi
menggunakan indeks keamanan informasi berdasarkan
SNI ISO/IEC 27001:2009 [5].
II METODOLOGI PENELITIAN
A. Arsitektur Umum
Metode penelitian yang digunakan dalam penelitian ini
terdiri dari beberapa tahap, yaitu menjawab pertanyaan
kuesioner yang berdasarkan hasil dari penelitian ke
Universitas Al-Muslim. Pertanyaan kuesioner terbagi 6
bagian, dimana setiap bagiannya terdapat beberapa
pertanyaan yang berkaitan dengan aspek-aspek yang akan
dievaluasi.Setelah menjawab semua pertanyan dari ke 6
bagian tersebut, maka akan dihasilkan output berupa
dashboard, skor, tingkat kematangan dan keterangan
kelayakan sertifikasi.Adapun arsitektur umum yang
menggambarkan tahapan metode yang digunakan dalam
penelitian ini dapat dilihat pada Gambar 1.
yang sesuai dengan pertanyaan pada kategori kuesioner
tersebut. Jawaban kuesioner tersebut yang akan di input
kedalam aplikasi sistem pengukuran tingkat keamanan
informasi.
B. Proses Kerja Sistem
1. Proses Buat Akun
User membuat akun terlebih dahulu, mengisi identitas
user (responden) pada kolom-kolom yang terapat pada
halaman sign up.
Gambar 2. Proses Buat Akun
2. Proses Sistem
Langkah selanjutnya user melakukan login dengan
menggunakan akun yang telah dibuat sebelumnya. Jika
telah melakukan login maka user bisa menjawab
pertanyaan-pertanyaan yang terdapat pada halaman forms
yang terdiri dari 6 bagian.
Gambar 1. Arsitektur Umum
Data yang digunakan pada penelitian ini berupa
kuesioner yang berdasarkan Indeks Keamanan Informasi
(KAMI) yang mengevaluasi kelengkapan dan kematangan
pengamanan informasi untuk 6 area yang sesuai dengan
ISO
27001
tentang
Information
Security
ManagementSystem
(ISMS).Data
dikumpulkan
berdasarkan hasil penelitian pada Universitas Almuslim di
kabupatenBireun Provinsi Aceh, dengan cara membagikan
kuesioner tersebut ke bagian yang sesuai dengan
pertanyaan pada kategori kuesioner tersebut. Jawaban
kuesioner tersebut yang akan di input kedalam aplikasi
sistem pengukuran tingkat keamanan informasi.Data
dikumpulkan berdasarkan hasil penelitian pada
Universitas Almuslim di kabupaten Bireun Provinsi Aceh,
dengan cara membagikan kuesioner tersebut ke bagian
Gambar 3. Proses Sistem
3. Proses Perhitungan Skor
Pada proses perhitungan skor, dimana untuk mendapatkan
nilai bagian 1, bagian 2, bagian 3, bagian 4, bagian 5 dan
bagian 6, pertanyaan-pertanyaan yang telah dijawab oleh
user memiliki bobot nilai yang berbeda berdasarkan
kategori
penerapan
pertanyaannya
yang
akan
dijumlahkan.
4
…
12
Tugas Pokok dan Fungsi Instansi
anda
Nilai kekayaan intelektual yang
dimiliki dan dihasilkan oleh
Instansi anda
…
Tingkat klasifikasi/kekritisan
sistem TIK di Instansi anda, relatif
terhadap ancaman upaya
penyerangan atau penerobosan
keamanan informasi
Tinggi
3
…
Kritis
…
4
Skor peran dan tingkat ketergantungan TIK di instansi
didapat dengan menjumlahkan semua skor dari setiap
jawaban pertanyaan. Contoh skor peran dan tingkat
kepentingan
TIK
dalam
instansi
=
1+1+2+2+1+2+1+2+3+2+3+2 = 22.
2. Bagian 2 tata kelola keamanan informasi
Gambar 3. Proses Perhitungan Skor
Contoh perhitungan
kematangan :
skor
pertanyaan
dan
tingkat
1. Bagian 1 peran dan tingkat kepentingan TIK dalam
instansi
Pada bagian ini terdapat 5 pilihan jawaban, yaitu
minim yang bernilai 0, rendah bernilai 1, sedang
bernilai 2, tinggi bernilai 3 dan kritis bernilai 4.
Contoh pertanyaan pada bagian 1 dapat dilihat pada
tabel 1
Tabel 1. Contoh perhitungan skor bagian 1 peran dan
tingkat kepentingan TIK dalam instansi
N
O
1
2
3
Karakteristik instansi
status
Total anggaran tahunan yang
dialokasikan untuk TIK
Kurang dari Rp. 1 Milyard =
Minim
Rp. 1 Milyard sampai dengan Rp. 3
Milyard = Rendah
Rp. 3 Milyard sampai dengan Rp 8
Milyard = Sedang
Rp. 8 Milyard sampai dengan Rp.
20 Milyard = Tinggi
Rp. 20 Milyard atau lebih = Kritis
Jumlah staff/pengguna dalam
Instansi yang menggunakan
infrastruktur TIK
Kurang dari 60= Minim
60 sampai dengan 120 = Rendah
120 sampai dengan 240 = Sedang
240 sampai dengan 600 = Tinggi
600 atau lebih = Kritis
Tingkat ketergantungan terhadap
layanan TIK untuk menjalankan
Minim
Renda
h
Sedang
Bagian ini terdapat 3 tahap pertanyaan. Pertanyaan tahap
pertama memiliki 4 pilihan jawaban, yaitu tidak dilakukan
bernilai 0, dalam perencanaan bernilai 1, dalam penerapan
bernilai 2 dan diterapkan menyeluruh bernilai 3.
Pertanyaan tahap kedua memiliki 4 pilihan jawaban, yaitu
tidak dilakukan bernilai 0, dalam perencanaan bernilai 2,
dalam penerapan bernilai 4 dan diterapkan menyeleruh
bernilai 6. Pertanyaan tahap ketiga bersifat opsional
karena apabila jumlah skor pertanyaan tahap pertama dan
tahap kedua tidak mencukupi batas minimum yang telah
ditentukan.Pertanyaan tahap ketiga memiliki 4 pilihan
jawaban, yaitu tidak dilakukan bernilai 0, dalam
perencanaan bernilai 3, dalam penerapan bernilai 6,
diterapkan menyeluruh bernilai 9.
Tabel 2. Contoh perhitungan skor bagian 2 tata kelola
keamanan informasi
N
o
1
Tahap
Pertanyaan
Jawaban
I
Dalam
penerapan
2
I
…
8
I
Apakah pimpinan
Instansi anda secara
prinsip dan resmi
bertanggungjawab
terhadap pelaksanaan
program keamanan
informasi (misal yang
tercantum dalam
ITSP), termasuk
penetapan kebijakan
terkait?
Apakah Instansi anda
memiliki fungsi atau
bagian yang secara
spesifik mempunyai
tugas dan
tanggungjawab
mengelola keamanan
informasi dan
menjaga
kepatuhannya?
…
Apakah organsiasi
anda sudah
sko
r
0
1
2
sko
r
2
Diterapkan
menyeluruh
3
…
Dalam
penerapan
…
2
9
10
II
II
…
14
…
II
15
III
16
III
…
…
menerapkan program
sosialisasi dan
peningkatan
pemahaman untuk
keamanan informasi,
termasuk kepentingan
kepatuhannya bagi
semua pihak yang
terkait?
Apakah Instansi anda
menerapkan program
peningkatan
kompetensi dan
keahlian untuk
pejabat dan petugas
pelaksana pengelolaan
keamanan informasi?
Apakah
tanggungjawab
pengelolaan
keamanan informasi
mencakup koordinasi
dengan pihak
pengelola/pengguna
aset informasi internal
maupun eksternal
untuk
mengidentifikasikan
persyaratan/kebutuha
n pengamanan dan
menyelesaikan
permasalahan yang
ada?
…
Apakah kondisi dan
permasalahan
keamanan informasi
di Instansi anda
menjadi konsideran
atau bagian dari
proses pengambilan
keputusan strategis di
Instansi anda?
Apakah pimpinan
satuan kerja di
Instansi anda
menerapkan program
khusus untuk
mematuhi tujuan dan
sasaran kepatuhan
pengamanan
informasi, khususnya
yang mencakup aset
informasi yang
menjadi
tanggungjawabnya?
Apakah Instansi anda
sudah mendefinisikan
paramater, metrik dan
mekanisme
pengukuran kinerja
pengelolaan
keamanan informasi?
…
20
Dalam
perencanaa
n
2
Dalam
penerapan
4
III
Apakah Instansi anda
sudah mendefinisikan
kebijakan dan langkah
penanggulangan
insiden keamanan
informasi yang
menyangkut
pelanggaran hukum
(pidana dan perdata)?
Dalam
perencanaa
n
3
Skor tata kelola keamanan informasi didapat dengan
menjumlahkan semua skor dari setiap jawaban
pertanyaan. Contoh skor tata kelola keamanan informasi =
2+3+2+2+2+2+2+2+4+4+4+4+3+4+(3+3+3+3+3+3)* =
40 (58). Tanda * bersifat opsional apabila jumlah skor
jawaban pertanyaan tahap 1 dan 2 sama dengan atau lebih
dari 40.
3. Perhitungan tingkat kematangan
…
Dalam
penerapan
…
4
Dalam
perencanaa
n
3
Dalam
perencanaa
n
3
…
…
Cara mendapatkan nilai kematangan ditentukan dari
kategori tahap penerapan yang terkait.Setiap bagian
pertanyaan memiliki kategori tahap penerapan yang
berbeda. Cara mendapatkan nilai kematangan ditentukan
dari proses penjumlahan skor pertanyaan berdasarkan
kategori penerapan dimulai dari kategori yang paling
besar.
Pada kategori kematangan V dapat menghasilkan
nilai 9(V) atau 8(IV+) apabila nilainya sesuai dengan skor
pencapaian tingkat kematangan atau skor minimum
tingkat kematangan. Apabila tidak memenuhi skor
pencapaian tingkat kematangan V atau skor minimum
tingkat kematangan V maka sistem akan mencari nilai
kematangan dari nilai kematangan IV.
Pada
kategori
kematangan
IV
dapat
menghasilkan nilai 7(IV) atau 6(III+) apabila nilainya
sesuai dengan skor pencapaian tingkat kematangan atau
skor minimum tingkat kematangan. Apabila tidak
memenuhi skor pencapaian tingkat kematangan IV atau
skor minimum tingkat kematangan IV maka sistem akan
mencari nilai kematangan dari nilai kematangan III
Pada
kategori
kematangan
III
dapat
menghasilkan nilai 5(III) atau 4(II+) apabila nilainya
sesuai dengan skor pencapaian tingkat kematangan atau
skor minimum tingkat kematangan. Apabila tidak
memenuhi skor pencapaian tingkat kematangan III atau
skor minimum tingkat kematangan III maka sistem akan
mencari nilai kematangan dari nilai kematangan II.
Pada kategori kematangan II dapat menghasilkan
nilai 3(II) atau 2(I+) apabila nilainya sesuai dengan skor
pencapaian tingkat kematangan atau skor minimum
tingkat kematangan. Apabila tidak memenuhi skor
pencapaian tingkat kematangan II atau skor minimum
tingkat kematangan II maka nilai kematangannya I.
III. HASIL DAN PEMBAHASAN
A. Implementasi Perancangan Antarmuka
1. Halaman sign in
Halaman ini digunakan untuk mendapatkan user ID dan
password agar pengguna tersebut dapat menggunakan
sistem secara keseluruhan.User ID yang telah diisi pada
halaman sign in akan menjadi profil pengguna. Pada
halaman ini terdapat tombol ”daftar” untuk membuat akun
bagi pengguna baru setelah mengisi seluruh data pada
kolom-kolom yang telah tersedia pada halaman sign up.
Tombol “kembali” untuk membatalkan pendaftaran dan
akan kembali ke halaman login. Halaman ini dapat dilihat
pada Gambar 4.
Gambar 7. Halaman beranda
4. Halaman form pertanyaan
Setiap bagian memiliki beberapa pertanyaan yang
mengevaluasi berdasarkan bagian tersebut. Halaman
form terdapat 6 halaman yang setiap halamannya
terdiri dari 1 bagian form kuesioner. Form-form
tersebut adalah sebagai berikut:
a. Bagian 1 peran dan tingkat kepentingan TIK
dalam instansi
Gambar 4. Halaman sign in
2. Halaman login
Halaman ini digunakan pengguna untuk masuk ke dalam
sistem dengan menggunakan username yang telah
diperoleh sebelumnya pada saat melakukan pendaftaran
akun.Tombol “login” berguna untuk masuk kehalaman
beranda setelah username pengguna dan password
dimasukkan dengan benar.Tombol “Buat akun” digunakan
oleh pengguna baru untuk memperoleh username dan
password.Halaman login dapat dilihat pada Gambar 5.
Gambar 8. Halaman bagian 1 peran dan tingkat
kepentingan TIK dalam instansi
Gambar 5. Halaman login
b.
Tata kelola keamanan informasi
3. Halaman beranda
Halaman ini akan menampilkan identitas dari pengguna
yang telah di isi pada saat membuat akun. Pada halaman
in terdapat dua tombol yang terletak pada sebelah kiri
layar pengguna. Tombol “forms” untuk menuju ke
halaman kuesioner jika pengguna ingin melakukan
pengukuran dengan mengisi semua jawaban kuesioner
yang telah disediakan. Tombol “log out” untuk menuju ke
halaman login jika pengguna ingin keluar dari sistem.
Kemudian terdapat pula link ”Disini!” link tersebut
menyediakan sedikit informasi tentang keamanan
informasi. Halaman beranda dapat dilihat pada Gambar 6.
Gambar 9. Halaman bagian 2 tata kelola keamanan
informasi
c.
Pengelolaan resiko keamanan informasi
Gambar 11. Halaman bagian 5 pengelolaan aset informasi
f.
Teknologi dan keamanan informasi
Gambar 10. Halaman bagian 3 pengelolaan resiko
keamanan informasi
d.
Kerangka kerja keamanan informasi
Gambar 12. Halaman bagian 6 teknologi dan keamanan
informasi
5. Halaman dashboard
Gambar 11. Halaman bagian 4 kerangka kerja keamanan
informasi
e.
Pengelolaan aset informasi
Halaman ini merupakan informasi akhir berupa grafik
dashboard yang akan memudahkan pengguna dalam
melihat dan memahaminya, terdapat juga skor yang
dikelompokkan perbagian dan status keamanan informasi
perguruan tinggi tersebut. Hasil evaluasi terhadap
pengamanan informasi di Al Muslim Bireun menunjukkan
bahwa peran TIK pada institusi pendidikan Al Muslim
menunjukkan tingkat ketergantungan yang sedang dengan
skor 19.Hasil pengujian terhadap tingkat kematangan
institusi dalam pengamanan informasi pada Al Muslim
Bireun menggunakan indeks KAMI pada halaman
dashboard dapat dilihat pada Gambar 13.
Kepatuhan
ISO 27001
Proses penerapan
Kerangka kerja
dasar
Responden
Gambar 13.Halaman dashboard
Pada grafik dashboard terdapat 4 warna yang memiliki
makna seperti berikut :
1.
Warna hijau pertama bagian sisi luar merupakan
kepatuhan dari standar ISO 27001, jika suatu
perguruan tinggi mencapai tingkat ini berarti
perguruan tinggi tersebut sudah siap untuk
mendapatkan sertifikat ISO 27001.
2. Warna hijau yang kedua merupakan proses
penerapan, dimana pada tingkatan ini
pengukuran tingkat kematangan institusi
pendidikan tinggi terhadap informasi telah
menerapkan atau telah mengikuti syarat-syarat
standar keamanan informasi.
3. Warna hijau yang ketiga merupakan kerangka
kerja dasar, dimana pada tingkatan ini
pengukuran tingkat kematangan institusi
pendidikan tinggi terhadap informasi masih
berada pada wilayah kerangka kerja dasar,
dimana pada tingkatan ini memberikan gambaran
untuk dapat membuat perencanaann perbaikan.
4. Warna merah merupakan responden. Responden
adalah hasil dari input yang dilakukan oleh user
saat menjawab pertanyaan kuesioner.
Berdasarkan Gambar 4.10 dapat dilihat bahwa hasil
responden pada pengukuran tingkat kematangan
Universitas Almuslim terhadap pengamanan informasi
masih berada pada wilayah “kerangka kerja dasar”.Hasil
ini dapat memberikan gambaran kepada pihak Universitas
Almuslim sebagai bahan evaluasi diri untuk dapat
membuat perencanaan untuk perbaikan, sehingga secara
bertahap diharapkan dapat memenuhi standar ISO 27001.
B. Analisis Hasil Pengujian Sistem
Gambar 14. Grafik perbandingan
Berdasarkan Gambar 14 dapat kita lihat grafik yang
berwarna merah yaitu responden dari Universitas
Almuslim masih sangat rendah dari standar kepatuhan
ISO 27701.Aspek tata kelola, pengelolaan resiko,
kerangka kerja dan pengelolaan aset masih berada
dibawah tingkat kerangka kerja dasar, hanya aspek
teknologi yang melewati tingkat kerangka kerja
dasar.Maka berdasarkan penelitian ini sistem manajemen
informasi Universitas Almuslim harus melakukan
perbaikan.
VI.
A. Kesimpulan
Berdasarkan pengujian dan analisis sistem secara
menyeluruh yang dilakukan pada bab-bab sebelumnya,
maka dapat disimpulkan beberapa hal sebagai hasil dari
penelitian ini, antara lain:
1.
2.
Tabel 3 Tabel analisis hasil skor
Tingka
t
kepenti
ngan
TIK
Tekn
ologi Tot
Pengel Kera Pengel
keam
al
olaan
ngka
olaan
anan Nila
resiko
kerja
aset
infor
i
masi
19
37
12
33
55
44
181
Berdasarkan Tabel 3 dapat kita lihat skor yang diperoleh
dari menjawab pertanyaan-pertanyaan setiap bagiannya.
Tingkat kepentingan TIK mendapatkan 19 point, tata
kelola 37 point, pengelolaan resiko 12 point, kerangka
kerja 33 point, pengelolaan aset 55 point dan teknologi
keamanan informasi 44 point, maka total nilai yang
didapat 181 point, diperoleh dari penjumlahan setiap
bagiannya.
Tat
a
kel
ola
KESIMPULAN DAN SARAN
3.
Hasil penelitian ini menjelaskan bahwa tingkat
ketergantungan terhadap IT masuk dalam kategori
sedang. Sedangkan untuk tingkat keamanan
mendapatkan skor total 181 atau masih berada pada
wilayah “kerangka kerja dasar”. Hasil skor ini masuk
dalam kategori perlu perbaikan untuk mendapatkan
standar ISO 27001.
Hasil penelitian ini dapat digunakan sebagai tools
(self assessment) bagi institusi perguruan tinggi
untuk melihat tingkat kematangan dan kesiapan
institusi perguruan tinggi dalam proses ISO 27001
tentang keamanan informasi.
Dashboard sistem dalam penelitian ini merupakan
representasi visual hasil pengukuran indeks KAMI
institusi perguruan tinggi berdasarkan skor yang
diperoleh saat ini.
B. Saran
Sistem ini dapat dikembangkan dengan mengintegrasikan
ke-6 aspek pengukuran secara online sehingga kesiapan
atau kematangan institusi dapat dilihat secara realtime.
V. DAFTAR PUSTAKA
[1]
Sembiring, S. & Lubis, S.A. 2014. Penerapan
Indeks Keamanan Informasi Berbasis ISO 27001
Untuk Mengukur Tingkat Pengamanan Informasi
Pada Institusi Pendidikan Tinggi.Proceeding
SNASTIKOM 2014,1-5.
[2]
Supradono,
B.
2009.Manajemen
Risiko
Keamanan dengan Menggunakan Metode
OCTAVE(Operationally Critical Threat, Asset
and Vulnerability Evaluation). Teknik Elektro
Fakultas Teknik, Universitas Muhammadiyah
Semarang.
[3]
Gui, A., Gondodiyoto, S. &Timotius,I. 2008.
Pengukuran Resiko Teknologi Informasi (TI)
Dengan Metode OCTAVE-S.
Jurusan
Komputerisasi Akuntansi, Fakultas Ilmu
Komputer. Universitas Bina Nusantara.
[4]
Few, S. 2005. Common PITFALLS in Dashboard
Design.Proclarity, 2-4.
[5]
Ridho, M.R., Ghozali, K. & Hidayanto, B.C.
2012.Evaluasi
Keamanan
Informasi
Menggunakan Indeks Kemanan Informasi
(KAMI) Berdasarkan SNI ISO/IEC 27001:2009:
Teknologi Informasi. Fakultas Teknologi
Informasi, Institut Teknologi Industri Sepuluh
November.
DAN ISO 27001 UNTUK MENGUKUR INDEKS KEAMANAN INFORMASI PADA
INSTITUSI PENDIDIKAN TINGGI
1
Sajadin Sembiring, Muhammad Galih Rivai 3Zulkifli, M.Kom
Fakultas Ilmu Komputer dan Teknologi Informasi
Universitas Sumatera Utara
Teknik Informatika STTH Medan, 3Universitas Al-Muslim Bireuen
E-mail: MuhammadGalihRivai@students.usu.ac.id | sajadinsembiring@gmail.com|
Zulladasicupak@gmail.com
ABSTRAK
Informasi merupakan aset yang berharga bagi setiap organisasi karena merupakan salah satu sumber daya strategis dalam
meningkatkan nilai usaha dan kepercayaan publik. Perlindungan terhadap informasi merupakan hal yang mutlak harus
diperhatikan secara sungguh-sungguh oleh segenap jajaran pemilik, manajemen dan karyawan organisasi yang
bersangkutan.Pemantauan dan pengukuran indeks keamanan informasi pada sebuah perguruan tinggi masih sangat jarang
dilakukan dan kurang mendapat perhatian. Penelitian ini dilakukan untuk memberikan suatu tools yang dapat digunakan oleh
perguruan tinggi dalam usaha untuk memantau dan mengukur tingkat kesiapan perguruan tinggi tersebut dalam hal
pengelolaan keamanan informasi. Penelitian ini menggunakan pendekatan dengan metode OCTAVE berbasis ISO 27001 yang
merupakan standar internasional dalam pengukuran tingkat keamanan informasi sebuah organisasi yang menggunakan 6
variabel yaitu peran dan tingkat kepentingan TIK, tata kelola keamanan informasi, pengelolaan resiko keamanan informasi,
kerangka kerja keamanan informasi, pengelolaan asset informasi dan teknologi keamanan informasi. Studi kasus dalam
penelitian ini dilakukan pada Universitas AlMuslim Bireun dan hasil pengujian menyatakan bahwa tingkat kesiapan
universitas ini masih berada pada wilayah “Kerangka Kerja Dasar”.
Kata kunci :Dashboard Information System, keamanan informasi, Institusi pendidikan tinggi, OCTAVE, ISO 27001
I. PENDAHULUAN
Informasi merupakan aset yang penting bagi suatu
organisasi yang perlu dilindungi dari resiko keamanannya
baik
dari
pihak
luar
ataupun
dari
dalam
organisasi.Institusi Pendidikan Tinggi merupakan
organisasi yang memiliki berbagai jenis informasi penting
dan bersifat rahasia atau informasi yang mesti dijaga
keasliannya. Misalnya informasi tentang proses akademik
mahasiswa, pengelolaan aset perguruan tinggi, keuangan,
informasi penelitian, pengabdian masyarakat, beasiswa,
kealumnian, dan lain sebagainya [1].
Akan tetapi hingga saat ini belum banyak
institusi pendidikan tinggi yang memberikan perhatian
dalam hal pengamanan informasinya, sehingga tingkat
keamanan informasi pada institusi perguruan tinggi
tersebut sangat rendah yang berakibat seringnya terjadi
penyalahgunaan informasi bahkan kerusakan yang dapat
berakibat fatal. Keamanan informasi tidak cukup hanya
disandarkan pada kehandalan tools atau teknologi
keamanan informasi yang digunakan, tetapi juga
diperlukan pemahaman yang baik oleh organisasi tentang
apa yang harus dilindungi dan bagaimana menentukan
secara tepat solusi yang dapat menangani permasalahan
kebutuhan keamanan informasi [2].
Untuk itu dibutuhkan manajemen keamanan
informasi yang sistemik dan komprehensif .Salah satu
penelitian yang pernah dilakukan sebelumnya adalah
Pengukuran Resiko Teknologi Informasi (TI) dengan
Metode OCTAVE-S. Pada penelitian tersebut, yaitu
membangun
aset
berbasis
profil
ancaman,
mengidentifikasi
kerentanan
infrastruktur
serta
mengembangkan strategi keamanan dan perencanaan.
Hasil dari pengukuran tersebut berupa informasi dalam
bentuk tulisan atau teks yang berisi saran dari kekurangan
perusahaan tersebut [3].
Dalam penelitian ini akan dilakukan pengukuran
indeks keamanan informasi dan tingkat kesiapan suatu
institusi perguruan tinggi dalam menghadapi ancaman
terhadap keamanan informasinya menggunakan metode
OCTAVE berbasis ISO 27001.
Metode OCTAVE adalah sebuah pendekatan
terhadap evaluasi resiko keamanan informasi yang
komprehensif, sistemik, terarah dan dilakukan sendiri.
Pendekatannya disusun dalam satu set kriteria yang
mendefinisikan elemen dari evaluasi resiko keamanan
informasi. Kriteria OCTAVE memerlukan evaluasi yang
yang dilakukan oleh tim yang terdiri dari personil
teknologi informasi dan bisnis organisasi. Anggota tim
membuat keputusan berdasarkan resiko terhadap aset
informasi organisasi yang memerlukan katalog informasi
untuk mengukur praktek organisasi, menganalisa
ancaman, dan membangun strategi proteksi [2].
DashboardInformationSystem merupakan alat
untuk menyajikan informasi secara sekilas, solusi bagi
kebutuhan informasi organisasi dan memberikan tampilan
antarmuka dengan berbagai bentuk seperti diagram,
laporan, indikator visual, dan mekanisme alert yang
dipadukan dengan informasi yang dinamis dan relevan
[4]. Pengukuran indeks keamanan informasi institusi
pendidikan tinggi diperlukan untuk mengetahui apakah
institusi tersebut telah memiliki sistem keamanan
informasi yang handal.Berdasarkan uraian pada latar
belakang, permasalahan penelitian ini dirumuskan sebagai
berikut yaitu diperlukan suatu pendekatan yang relatif
mudah dan sederhana untuk mengukur tingkat kesiapan
institusi pendidikan tinggi terhadap ancaman keamanan
informasinya. Penelitian terdahulu yang berkaitan dengan
pengukuran indeks keamanan informasi pada institusi
perguruan tinggi antara lain adalah penerapan indeks
keamanan informasi berbasis ISO 27001 untuk mengukur
tingkat kesiapan pengamanan informasi pada institusi
pendidikan tinggi. [1]. Penelitian selanjutnya adalah
pengukuran teknologi informasi (TI) dengan metode
OCTAVE-S dengan hasil pengukuran berupa informasi
dalam bentuk tulisan atau teks yang berisi saran dari
kekurangan perusahaan tersebut [3]. Penelitian
selanjutnyabahwa manajemen resiko keamanan informasi
dengan menggunakan metode OCTAVE [2]. Penelitian
selanjutnya adalah evaluasi keamanan informasi
menggunakan indeks keamanan informasi berdasarkan
SNI ISO/IEC 27001:2009 [5].
II METODOLOGI PENELITIAN
A. Arsitektur Umum
Metode penelitian yang digunakan dalam penelitian ini
terdiri dari beberapa tahap, yaitu menjawab pertanyaan
kuesioner yang berdasarkan hasil dari penelitian ke
Universitas Al-Muslim. Pertanyaan kuesioner terbagi 6
bagian, dimana setiap bagiannya terdapat beberapa
pertanyaan yang berkaitan dengan aspek-aspek yang akan
dievaluasi.Setelah menjawab semua pertanyan dari ke 6
bagian tersebut, maka akan dihasilkan output berupa
dashboard, skor, tingkat kematangan dan keterangan
kelayakan sertifikasi.Adapun arsitektur umum yang
menggambarkan tahapan metode yang digunakan dalam
penelitian ini dapat dilihat pada Gambar 1.
yang sesuai dengan pertanyaan pada kategori kuesioner
tersebut. Jawaban kuesioner tersebut yang akan di input
kedalam aplikasi sistem pengukuran tingkat keamanan
informasi.
B. Proses Kerja Sistem
1. Proses Buat Akun
User membuat akun terlebih dahulu, mengisi identitas
user (responden) pada kolom-kolom yang terapat pada
halaman sign up.
Gambar 2. Proses Buat Akun
2. Proses Sistem
Langkah selanjutnya user melakukan login dengan
menggunakan akun yang telah dibuat sebelumnya. Jika
telah melakukan login maka user bisa menjawab
pertanyaan-pertanyaan yang terdapat pada halaman forms
yang terdiri dari 6 bagian.
Gambar 1. Arsitektur Umum
Data yang digunakan pada penelitian ini berupa
kuesioner yang berdasarkan Indeks Keamanan Informasi
(KAMI) yang mengevaluasi kelengkapan dan kematangan
pengamanan informasi untuk 6 area yang sesuai dengan
ISO
27001
tentang
Information
Security
ManagementSystem
(ISMS).Data
dikumpulkan
berdasarkan hasil penelitian pada Universitas Almuslim di
kabupatenBireun Provinsi Aceh, dengan cara membagikan
kuesioner tersebut ke bagian yang sesuai dengan
pertanyaan pada kategori kuesioner tersebut. Jawaban
kuesioner tersebut yang akan di input kedalam aplikasi
sistem pengukuran tingkat keamanan informasi.Data
dikumpulkan berdasarkan hasil penelitian pada
Universitas Almuslim di kabupaten Bireun Provinsi Aceh,
dengan cara membagikan kuesioner tersebut ke bagian
Gambar 3. Proses Sistem
3. Proses Perhitungan Skor
Pada proses perhitungan skor, dimana untuk mendapatkan
nilai bagian 1, bagian 2, bagian 3, bagian 4, bagian 5 dan
bagian 6, pertanyaan-pertanyaan yang telah dijawab oleh
user memiliki bobot nilai yang berbeda berdasarkan
kategori
penerapan
pertanyaannya
yang
akan
dijumlahkan.
4
…
12
Tugas Pokok dan Fungsi Instansi
anda
Nilai kekayaan intelektual yang
dimiliki dan dihasilkan oleh
Instansi anda
…
Tingkat klasifikasi/kekritisan
sistem TIK di Instansi anda, relatif
terhadap ancaman upaya
penyerangan atau penerobosan
keamanan informasi
Tinggi
3
…
Kritis
…
4
Skor peran dan tingkat ketergantungan TIK di instansi
didapat dengan menjumlahkan semua skor dari setiap
jawaban pertanyaan. Contoh skor peran dan tingkat
kepentingan
TIK
dalam
instansi
=
1+1+2+2+1+2+1+2+3+2+3+2 = 22.
2. Bagian 2 tata kelola keamanan informasi
Gambar 3. Proses Perhitungan Skor
Contoh perhitungan
kematangan :
skor
pertanyaan
dan
tingkat
1. Bagian 1 peran dan tingkat kepentingan TIK dalam
instansi
Pada bagian ini terdapat 5 pilihan jawaban, yaitu
minim yang bernilai 0, rendah bernilai 1, sedang
bernilai 2, tinggi bernilai 3 dan kritis bernilai 4.
Contoh pertanyaan pada bagian 1 dapat dilihat pada
tabel 1
Tabel 1. Contoh perhitungan skor bagian 1 peran dan
tingkat kepentingan TIK dalam instansi
N
O
1
2
3
Karakteristik instansi
status
Total anggaran tahunan yang
dialokasikan untuk TIK
Kurang dari Rp. 1 Milyard =
Minim
Rp. 1 Milyard sampai dengan Rp. 3
Milyard = Rendah
Rp. 3 Milyard sampai dengan Rp 8
Milyard = Sedang
Rp. 8 Milyard sampai dengan Rp.
20 Milyard = Tinggi
Rp. 20 Milyard atau lebih = Kritis
Jumlah staff/pengguna dalam
Instansi yang menggunakan
infrastruktur TIK
Kurang dari 60= Minim
60 sampai dengan 120 = Rendah
120 sampai dengan 240 = Sedang
240 sampai dengan 600 = Tinggi
600 atau lebih = Kritis
Tingkat ketergantungan terhadap
layanan TIK untuk menjalankan
Minim
Renda
h
Sedang
Bagian ini terdapat 3 tahap pertanyaan. Pertanyaan tahap
pertama memiliki 4 pilihan jawaban, yaitu tidak dilakukan
bernilai 0, dalam perencanaan bernilai 1, dalam penerapan
bernilai 2 dan diterapkan menyeluruh bernilai 3.
Pertanyaan tahap kedua memiliki 4 pilihan jawaban, yaitu
tidak dilakukan bernilai 0, dalam perencanaan bernilai 2,
dalam penerapan bernilai 4 dan diterapkan menyeleruh
bernilai 6. Pertanyaan tahap ketiga bersifat opsional
karena apabila jumlah skor pertanyaan tahap pertama dan
tahap kedua tidak mencukupi batas minimum yang telah
ditentukan.Pertanyaan tahap ketiga memiliki 4 pilihan
jawaban, yaitu tidak dilakukan bernilai 0, dalam
perencanaan bernilai 3, dalam penerapan bernilai 6,
diterapkan menyeluruh bernilai 9.
Tabel 2. Contoh perhitungan skor bagian 2 tata kelola
keamanan informasi
N
o
1
Tahap
Pertanyaan
Jawaban
I
Dalam
penerapan
2
I
…
8
I
Apakah pimpinan
Instansi anda secara
prinsip dan resmi
bertanggungjawab
terhadap pelaksanaan
program keamanan
informasi (misal yang
tercantum dalam
ITSP), termasuk
penetapan kebijakan
terkait?
Apakah Instansi anda
memiliki fungsi atau
bagian yang secara
spesifik mempunyai
tugas dan
tanggungjawab
mengelola keamanan
informasi dan
menjaga
kepatuhannya?
…
Apakah organsiasi
anda sudah
sko
r
0
1
2
sko
r
2
Diterapkan
menyeluruh
3
…
Dalam
penerapan
…
2
9
10
II
II
…
14
…
II
15
III
16
III
…
…
menerapkan program
sosialisasi dan
peningkatan
pemahaman untuk
keamanan informasi,
termasuk kepentingan
kepatuhannya bagi
semua pihak yang
terkait?
Apakah Instansi anda
menerapkan program
peningkatan
kompetensi dan
keahlian untuk
pejabat dan petugas
pelaksana pengelolaan
keamanan informasi?
Apakah
tanggungjawab
pengelolaan
keamanan informasi
mencakup koordinasi
dengan pihak
pengelola/pengguna
aset informasi internal
maupun eksternal
untuk
mengidentifikasikan
persyaratan/kebutuha
n pengamanan dan
menyelesaikan
permasalahan yang
ada?
…
Apakah kondisi dan
permasalahan
keamanan informasi
di Instansi anda
menjadi konsideran
atau bagian dari
proses pengambilan
keputusan strategis di
Instansi anda?
Apakah pimpinan
satuan kerja di
Instansi anda
menerapkan program
khusus untuk
mematuhi tujuan dan
sasaran kepatuhan
pengamanan
informasi, khususnya
yang mencakup aset
informasi yang
menjadi
tanggungjawabnya?
Apakah Instansi anda
sudah mendefinisikan
paramater, metrik dan
mekanisme
pengukuran kinerja
pengelolaan
keamanan informasi?
…
20
Dalam
perencanaa
n
2
Dalam
penerapan
4
III
Apakah Instansi anda
sudah mendefinisikan
kebijakan dan langkah
penanggulangan
insiden keamanan
informasi yang
menyangkut
pelanggaran hukum
(pidana dan perdata)?
Dalam
perencanaa
n
3
Skor tata kelola keamanan informasi didapat dengan
menjumlahkan semua skor dari setiap jawaban
pertanyaan. Contoh skor tata kelola keamanan informasi =
2+3+2+2+2+2+2+2+4+4+4+4+3+4+(3+3+3+3+3+3)* =
40 (58). Tanda * bersifat opsional apabila jumlah skor
jawaban pertanyaan tahap 1 dan 2 sama dengan atau lebih
dari 40.
3. Perhitungan tingkat kematangan
…
Dalam
penerapan
…
4
Dalam
perencanaa
n
3
Dalam
perencanaa
n
3
…
…
Cara mendapatkan nilai kematangan ditentukan dari
kategori tahap penerapan yang terkait.Setiap bagian
pertanyaan memiliki kategori tahap penerapan yang
berbeda. Cara mendapatkan nilai kematangan ditentukan
dari proses penjumlahan skor pertanyaan berdasarkan
kategori penerapan dimulai dari kategori yang paling
besar.
Pada kategori kematangan V dapat menghasilkan
nilai 9(V) atau 8(IV+) apabila nilainya sesuai dengan skor
pencapaian tingkat kematangan atau skor minimum
tingkat kematangan. Apabila tidak memenuhi skor
pencapaian tingkat kematangan V atau skor minimum
tingkat kematangan V maka sistem akan mencari nilai
kematangan dari nilai kematangan IV.
Pada
kategori
kematangan
IV
dapat
menghasilkan nilai 7(IV) atau 6(III+) apabila nilainya
sesuai dengan skor pencapaian tingkat kematangan atau
skor minimum tingkat kematangan. Apabila tidak
memenuhi skor pencapaian tingkat kematangan IV atau
skor minimum tingkat kematangan IV maka sistem akan
mencari nilai kematangan dari nilai kematangan III
Pada
kategori
kematangan
III
dapat
menghasilkan nilai 5(III) atau 4(II+) apabila nilainya
sesuai dengan skor pencapaian tingkat kematangan atau
skor minimum tingkat kematangan. Apabila tidak
memenuhi skor pencapaian tingkat kematangan III atau
skor minimum tingkat kematangan III maka sistem akan
mencari nilai kematangan dari nilai kematangan II.
Pada kategori kematangan II dapat menghasilkan
nilai 3(II) atau 2(I+) apabila nilainya sesuai dengan skor
pencapaian tingkat kematangan atau skor minimum
tingkat kematangan. Apabila tidak memenuhi skor
pencapaian tingkat kematangan II atau skor minimum
tingkat kematangan II maka nilai kematangannya I.
III. HASIL DAN PEMBAHASAN
A. Implementasi Perancangan Antarmuka
1. Halaman sign in
Halaman ini digunakan untuk mendapatkan user ID dan
password agar pengguna tersebut dapat menggunakan
sistem secara keseluruhan.User ID yang telah diisi pada
halaman sign in akan menjadi profil pengguna. Pada
halaman ini terdapat tombol ”daftar” untuk membuat akun
bagi pengguna baru setelah mengisi seluruh data pada
kolom-kolom yang telah tersedia pada halaman sign up.
Tombol “kembali” untuk membatalkan pendaftaran dan
akan kembali ke halaman login. Halaman ini dapat dilihat
pada Gambar 4.
Gambar 7. Halaman beranda
4. Halaman form pertanyaan
Setiap bagian memiliki beberapa pertanyaan yang
mengevaluasi berdasarkan bagian tersebut. Halaman
form terdapat 6 halaman yang setiap halamannya
terdiri dari 1 bagian form kuesioner. Form-form
tersebut adalah sebagai berikut:
a. Bagian 1 peran dan tingkat kepentingan TIK
dalam instansi
Gambar 4. Halaman sign in
2. Halaman login
Halaman ini digunakan pengguna untuk masuk ke dalam
sistem dengan menggunakan username yang telah
diperoleh sebelumnya pada saat melakukan pendaftaran
akun.Tombol “login” berguna untuk masuk kehalaman
beranda setelah username pengguna dan password
dimasukkan dengan benar.Tombol “Buat akun” digunakan
oleh pengguna baru untuk memperoleh username dan
password.Halaman login dapat dilihat pada Gambar 5.
Gambar 8. Halaman bagian 1 peran dan tingkat
kepentingan TIK dalam instansi
Gambar 5. Halaman login
b.
Tata kelola keamanan informasi
3. Halaman beranda
Halaman ini akan menampilkan identitas dari pengguna
yang telah di isi pada saat membuat akun. Pada halaman
in terdapat dua tombol yang terletak pada sebelah kiri
layar pengguna. Tombol “forms” untuk menuju ke
halaman kuesioner jika pengguna ingin melakukan
pengukuran dengan mengisi semua jawaban kuesioner
yang telah disediakan. Tombol “log out” untuk menuju ke
halaman login jika pengguna ingin keluar dari sistem.
Kemudian terdapat pula link ”Disini!” link tersebut
menyediakan sedikit informasi tentang keamanan
informasi. Halaman beranda dapat dilihat pada Gambar 6.
Gambar 9. Halaman bagian 2 tata kelola keamanan
informasi
c.
Pengelolaan resiko keamanan informasi
Gambar 11. Halaman bagian 5 pengelolaan aset informasi
f.
Teknologi dan keamanan informasi
Gambar 10. Halaman bagian 3 pengelolaan resiko
keamanan informasi
d.
Kerangka kerja keamanan informasi
Gambar 12. Halaman bagian 6 teknologi dan keamanan
informasi
5. Halaman dashboard
Gambar 11. Halaman bagian 4 kerangka kerja keamanan
informasi
e.
Pengelolaan aset informasi
Halaman ini merupakan informasi akhir berupa grafik
dashboard yang akan memudahkan pengguna dalam
melihat dan memahaminya, terdapat juga skor yang
dikelompokkan perbagian dan status keamanan informasi
perguruan tinggi tersebut. Hasil evaluasi terhadap
pengamanan informasi di Al Muslim Bireun menunjukkan
bahwa peran TIK pada institusi pendidikan Al Muslim
menunjukkan tingkat ketergantungan yang sedang dengan
skor 19.Hasil pengujian terhadap tingkat kematangan
institusi dalam pengamanan informasi pada Al Muslim
Bireun menggunakan indeks KAMI pada halaman
dashboard dapat dilihat pada Gambar 13.
Kepatuhan
ISO 27001
Proses penerapan
Kerangka kerja
dasar
Responden
Gambar 13.Halaman dashboard
Pada grafik dashboard terdapat 4 warna yang memiliki
makna seperti berikut :
1.
Warna hijau pertama bagian sisi luar merupakan
kepatuhan dari standar ISO 27001, jika suatu
perguruan tinggi mencapai tingkat ini berarti
perguruan tinggi tersebut sudah siap untuk
mendapatkan sertifikat ISO 27001.
2. Warna hijau yang kedua merupakan proses
penerapan, dimana pada tingkatan ini
pengukuran tingkat kematangan institusi
pendidikan tinggi terhadap informasi telah
menerapkan atau telah mengikuti syarat-syarat
standar keamanan informasi.
3. Warna hijau yang ketiga merupakan kerangka
kerja dasar, dimana pada tingkatan ini
pengukuran tingkat kematangan institusi
pendidikan tinggi terhadap informasi masih
berada pada wilayah kerangka kerja dasar,
dimana pada tingkatan ini memberikan gambaran
untuk dapat membuat perencanaann perbaikan.
4. Warna merah merupakan responden. Responden
adalah hasil dari input yang dilakukan oleh user
saat menjawab pertanyaan kuesioner.
Berdasarkan Gambar 4.10 dapat dilihat bahwa hasil
responden pada pengukuran tingkat kematangan
Universitas Almuslim terhadap pengamanan informasi
masih berada pada wilayah “kerangka kerja dasar”.Hasil
ini dapat memberikan gambaran kepada pihak Universitas
Almuslim sebagai bahan evaluasi diri untuk dapat
membuat perencanaan untuk perbaikan, sehingga secara
bertahap diharapkan dapat memenuhi standar ISO 27001.
B. Analisis Hasil Pengujian Sistem
Gambar 14. Grafik perbandingan
Berdasarkan Gambar 14 dapat kita lihat grafik yang
berwarna merah yaitu responden dari Universitas
Almuslim masih sangat rendah dari standar kepatuhan
ISO 27701.Aspek tata kelola, pengelolaan resiko,
kerangka kerja dan pengelolaan aset masih berada
dibawah tingkat kerangka kerja dasar, hanya aspek
teknologi yang melewati tingkat kerangka kerja
dasar.Maka berdasarkan penelitian ini sistem manajemen
informasi Universitas Almuslim harus melakukan
perbaikan.
VI.
A. Kesimpulan
Berdasarkan pengujian dan analisis sistem secara
menyeluruh yang dilakukan pada bab-bab sebelumnya,
maka dapat disimpulkan beberapa hal sebagai hasil dari
penelitian ini, antara lain:
1.
2.
Tabel 3 Tabel analisis hasil skor
Tingka
t
kepenti
ngan
TIK
Tekn
ologi Tot
Pengel Kera Pengel
keam
al
olaan
ngka
olaan
anan Nila
resiko
kerja
aset
infor
i
masi
19
37
12
33
55
44
181
Berdasarkan Tabel 3 dapat kita lihat skor yang diperoleh
dari menjawab pertanyaan-pertanyaan setiap bagiannya.
Tingkat kepentingan TIK mendapatkan 19 point, tata
kelola 37 point, pengelolaan resiko 12 point, kerangka
kerja 33 point, pengelolaan aset 55 point dan teknologi
keamanan informasi 44 point, maka total nilai yang
didapat 181 point, diperoleh dari penjumlahan setiap
bagiannya.
Tat
a
kel
ola
KESIMPULAN DAN SARAN
3.
Hasil penelitian ini menjelaskan bahwa tingkat
ketergantungan terhadap IT masuk dalam kategori
sedang. Sedangkan untuk tingkat keamanan
mendapatkan skor total 181 atau masih berada pada
wilayah “kerangka kerja dasar”. Hasil skor ini masuk
dalam kategori perlu perbaikan untuk mendapatkan
standar ISO 27001.
Hasil penelitian ini dapat digunakan sebagai tools
(self assessment) bagi institusi perguruan tinggi
untuk melihat tingkat kematangan dan kesiapan
institusi perguruan tinggi dalam proses ISO 27001
tentang keamanan informasi.
Dashboard sistem dalam penelitian ini merupakan
representasi visual hasil pengukuran indeks KAMI
institusi perguruan tinggi berdasarkan skor yang
diperoleh saat ini.
B. Saran
Sistem ini dapat dikembangkan dengan mengintegrasikan
ke-6 aspek pengukuran secara online sehingga kesiapan
atau kematangan institusi dapat dilihat secara realtime.
V. DAFTAR PUSTAKA
[1]
Sembiring, S. & Lubis, S.A. 2014. Penerapan
Indeks Keamanan Informasi Berbasis ISO 27001
Untuk Mengukur Tingkat Pengamanan Informasi
Pada Institusi Pendidikan Tinggi.Proceeding
SNASTIKOM 2014,1-5.
[2]
Supradono,
B.
2009.Manajemen
Risiko
Keamanan dengan Menggunakan Metode
OCTAVE(Operationally Critical Threat, Asset
and Vulnerability Evaluation). Teknik Elektro
Fakultas Teknik, Universitas Muhammadiyah
Semarang.
[3]
Gui, A., Gondodiyoto, S. &Timotius,I. 2008.
Pengukuran Resiko Teknologi Informasi (TI)
Dengan Metode OCTAVE-S.
Jurusan
Komputerisasi Akuntansi, Fakultas Ilmu
Komputer. Universitas Bina Nusantara.
[4]
Few, S. 2005. Common PITFALLS in Dashboard
Design.Proclarity, 2-4.
[5]
Ridho, M.R., Ghozali, K. & Hidayanto, B.C.
2012.Evaluasi
Keamanan
Informasi
Menggunakan Indeks Kemanan Informasi
(KAMI) Berdasarkan SNI ISO/IEC 27001:2009:
Teknologi Informasi. Fakultas Teknologi
Informasi, Institut Teknologi Industri Sepuluh
November.