bab i pendahuluan 1.1 gambaran umum objek penelitian … filegambar 1.1 struktur organisasi divisi...
TRANSCRIPT
1
BAB I
PENDAHULUAN
1.1 Gambaran Umum Objek Penelitian
Sub bab ini akan membahas tentang profil singkat perusahaan, struktur
organisasi perusahaan dan lingkup usaha perusahaan.
1.1.1 Profil Umum Objek Penelitian
Telkom Group adalah satu-satunya BUMN telekomunikasi serta
penyelenggara layanan telekomunikasi dan jaringan terbesar di Indonesia,
dengan portofolio bisnis yaitu Telecommunication, Information, Media,
Edutainment dan Services (telkom.co.id, 2014).
Berdasarkan keputusan Direktur Utama PT. Telkom pada 24
September 2014 dibentuk divisi Network of Broadband selanjutnya disebut
Netbro sebagai satu divisi fungsi yang memiliki peran untuk penyelenggaraan
aktivitas bisnis dengan fokus pada pengelolaan infrastruktur jaringan terhadap
pengelolaan layanan operasional. Pengelolaan kebijakan operasi fungsi
maintenance pada seluruh infrastruktur atau network PT. Telkom diperankan
oleh Divisi Netbro yang memiliki lokasi untuk aset penunjang
infrastrukturnya tersebar luas di seluruh Indonesia. Penyebutan lokasi ini
dikenal dengan Sentra Telepon Otomat (STO).
Divisi Netbro bertanggung jawab atas efektifitas pengelolaan fungsi
Planning and Development, Operation Services, Network Resource
Management and Operation, yaitu pengelolaan dan pengoperasian
infrastruktur sebagai satu sistem network secara end to end guna mencapai
pertumbuhan perusahaan melalui kesiapan dan kualitas infrastruktur, efisiensi
biaya dan optimalisasi sumberdaya. Akhirnya mengacu pada pembagian
lokasi Sentra Telepon Otomatis (STO) milik divisi Netbro PT. Telkom yang
menjadi objek penelitian yaitu lokasi Bandung Centrum dalam penyediaan
layanan Speedy (Arsip Netbro, 2013).
2
1.1.2 Struktur Organisasi
Struktur organisasi Divisi Netbro digambarkan dalam gambar 1.1
sebagai berikut :
Gambar 1.1 Struktur Organisasi Divisi Netbro PT. Telkom
(Sumber : Arsip Netbro, 2013)
Gambar 1.1 diatas menggambarkan struktur organisasi yang berlaku
pada Divisi Netbro yang terdiri atas pimpinan divisi Netbro yaitu EGM
Network of Broadband, Deputy EGM IP Network and Operation, Deputy
EGM Network Infrastructure and Access dan Deputy EGM Service Solution
Operation.
1.1.3 Lingkup Usaha
Berikut adalah deskripsi portofolio proses bisnis yang dikelola di
Divisi Network of Broadband PT. Telkom (Arsip Netbro, 2013) yaitu:
A. Connection IP Network Services
Bisnis proses yang dilakukan Divisi Netbro PT. Telkom yaitu
menyediakan infrastruktur dan arsitektur untuk layanan koneksi internet
berbasis IP Network. Layanan ini berbasis koneksi IP Network dikelola
dan dimonitor sebaik mungkin untuk meningkatkan pelayanan koneksi
internet cepat tanpa putus dan gangguan. Beberapa layanan dengan
koneksi IP Network ini yaitu Astinet, VPN IP dan Metro.
EGM DIVISI NETBRO
SM Business Development SM General Affair
Deputy EGM Network
Infrastructure and Access
Deputy EGM IP Network and
Operation
Deputy EGM Service
Solution Operation/ OS T-sel
3
B. Internet Speedy
Bisnis proses lain yang dikelola oleh Divisi Netbro PT. Telkom yaitu
layanan internet Speedy yang merupakan akses internet berkecepatan
tinggi menggunakan sistem asimetris melalui jaringan telefoni. Beberapa
produk layanan Speedy yang dikelola yaitu Speedy Instan, Speedy
Regular dan Speedy Gold.
1.2 Latar Belakang Penelitian
Teknologi informasi saat ini sangat berperan penting dalam menunjang
kegiatan perusahaan dan bisa menjadi modal yang cukup untuk menjadi
pemenang dalam persaingan global. Semakin pesatnya perkembangan teknologi
informasi saat ini menjadikan informasi adalah salah satu aset yang sangat penting
dan sangat berharga bagi kelangsungan hidup bisnis perusahaan (Anggam:
Metrodata, 2015).
Secara sederhana, teknologi informasi dapat dikatakan sebagai ilmu yang
diperlukan untuk mengelola informasi agar informasi tersebut dapat dicari dengan
mudah dan akurat. Isi dari ilmu tersebut dapat berupa teknik- teknik dan prosedur
untuk menyimpan informasi secara efisien dan efektif. Informasi dapat dikatakan
sebagai data yang telah diolah (Darmawan, 2012 : 46).
Seiring dengan meningkatnya nilai aset informasi, maka semakin besar
keinginan orang untuk mendapatkan akses ke informasi dan mengendalikannya.
Maka muncul individu atau kelompok yang menggunakan aset informasi demi
berbagai tujuan dan mengerahkan segala upaya untuk mendapatkan aset informasi
dengan berbagai cara. Teknologi informasi dan komunikasi dapat digunakan
untuk memelihara anonimitas. Hal ini mempermudah seseorang untuk melakukan
tindakan tidak etis dan kriminal, termasuk perolehan informasi secara ilegal
(Setiawan: Kominfo, 2011).
Menurut Sutabri (2012 : 196), informasi adalah aset organisasi yang
sangat berharga dan penting seperti aset- aset yang lain. Sebagai konsekuensi,
keamanan informasi merupakan suatu keharusan untuk melindungi aset
perusahaan dari berbagai ancaman.
4
Gambar 1.2 Peningkatan Insiden Keamanan Informasi
(Sumber: Global State of Information Security Survey, 2015)
Berdasarkan gambar 1.2 dapat disimpulkan bahwa pelanggaran keamanan
informasi mengalami peningkatan sepanjang tahun 2015. Peningkatan jumlah
insiden keamanan informasi setiap tahunnya akan meningkatkan kerugian
finansial pula. Responden survei pada tahun 2014 melaporkan bahwa jumlah
insiden terdeteksi mengalami peningkatan sebesar 48% dibandingkakan tahun
2013 menjadi total sebesar 42,8 juta begitu juga dengan total kerugian finansial
untuk masalah keamanan informasi. Organisai harus mempertimbangkan untuk
menerapkan pendekatan berbasis risiko keamanan informasi yang mengutamakan
aset berharga dan ancaman paling relevan (International Data Group Inc:
pwc.com, 2015).
Penggunaan teknologi informasi dalam kegiatan operasional dapat
meningkatkan risiko yang akan dihadapi bagi organisasi. Berdasarkan survei
Global IT Security Risk yang dilakukan oleh B2B International, setengah dari
perusahaan di seluruh dunia yang disurvei tidak mengetahui mengenai ancaman-
ancaman keamanan yang mungkin menghampiri (Cybi Newsletter, 2013).
5
Gambar 1.3 adalah hasil survei yang dilakukan oleh Information Security
Breaches Survey tahun 2014 dapat dilihat pada gambar berikut :
Gambar 1.3 Sektor- Sektor terhadap Keamanan Informasi
(Sumber : Information Security Breaches Survey, 2014)
Berdasarkan laporan Information Security Breaches Survey (2014), Miller
et al. mengungkapkan pada gambar 1.3 berikut adalah sektor- sektor yang
menghabiskan banyak usaha dan pengeluaran yang cukup besar untuk keamanan
informasi. Sektor telekomunikasi berada pada urutan kedua sebesar 13% sama
dengan sektor teknologi. Sektor – sektor ini yakin bahwa mereka mampu
mengelola risiko kemanan yang mungkin dapat terjadi sebagai ancaman.
Kaspersky Lab menyatakan bahwa menurut survei yang dilakukan
terhadap profesional Teknologi Informasi, 27% dari semua jenis bisnis mengalami
kehilangan data penting bisnis disebabkan adanya ancaman teknologi informasi
internal dalam waktu 12 bulan terakhir. Sektor telekomunikasi dilaporkan
memiliki kerentanan perangkat lunak tertinggi, yaitu sekitar 35% (infokomputer,
2014).
6
Gambar 1.4 Jenis Pelanggaran Kehilangan Data Tahun 2014
(Sumber: datalossdb.org, 2014)
Berdasarkan gambar 1.4 diketahui insiden kehilangan data berdasarkan
jenis pelanggaran selama satu tahun terakhir yaitu pada tahun 2014. Jenis
pelanggaran terbesar yaitu disebabkan oleh hacking sebesar 36% dari total
keseluruhan jenis pelanggaran yang terjadi (The Open Security Foundation
DatalossDB, 2014)
Menurut prediksi, aplikasi dan keamanan menjadi hal yang akan terus
berkembang di masa depan. Menurut Jeremy, Country Manager Fortinet
Indonesia (2015), semakin berkembangnya konten, keamanan juga pasti akan
terus berkembang. Pada 2013, tercatat sebanyak 42.000 serangan dunia maya
setiap harinya di Indonesia. Hal tersebut disampaikan oleh lembaga riset
Telematika Sharing Vision. Tentu, ini menjadi ancaman nyata bagi keamanan
perusahaan dan negara bila jaringan dan infrastruktur dari teknologi informasi
tidak dilengkapi dengan solusi keamanan (Bayundara: marketeers.com, 2015).
Semakin banyak informasi yang disimpan, diproses atau dikirimkan secara
elektronik melalui jaringan intranet atau internet perusahaan, maka risiko
diaksesnya informasi tersebut oleh mereka yang tidak berhak juga akan semakin
besar (Anggam: Metrodata, 2015).
7
Gambar 1.5 Statistik Penanganan Insiden dari 2011- 2014
(Sumber: cert.or.id, 2014)
Berdasarkan gambar 1.5 diatas dapat diketahui bahwa terjadi peningkatan
yang signifikan dari insiden- insiden keamanan baik yang direspon maupun yang
berhasil diselesaikan oleh id cert selama tahun 2011- 2013. Insiden yang ditangani
sepanjang 2013 yaitu spam, intellectual property rights (HAKI), network incident
(deface, Ddos Attack etc), malware, dan aduan lainnya. Hal ini dapat disimpulkan
bahwa insiden keamanan informasi di Indonesia terus mengalami peningkatan
pada setiap tahunnya dari tahun 2011 sampai tahun 2014 (IDCERT, 2014).
PT. Telkom saat ini menyediakan beragam layanan internet termasuk
broadband internet access, dan aplikasi terkait internet lainnya. PT. Telkom
menghadapi berbagai risiko dalam memberikan layanan. Jaringan milik PT.
Telkom mungkin rentan terhadap akses ilegal, virus komputer, ancaman dunia
maya dan gangguan lainnya (PT.Telekomunikasi Indonesia, 2011).
Risiko yang dihadapi oleh PT. Telkom salah satunya adalah risiko operasi
meliputi gangguan atas alat produksi, keamanan aset, perubahan teknologi dan
sebagainya. Untuk mengelola risiko- risiko tersebut, PT. Telkom melakukan
upaya salah satunya membangun dan mengembangkan Enteprise Security
Governance untuk melindungi aset fisik dan non fisik (misalnya Information
System Security dengan mengembangkan ISO 27000 (PT.Telekomunikasi
Indonesia, 2013).
Saat ini PT. Telkom telah melaksanakan keamanan informasi melalui
Keputusan Direktur Utama PT Telkom Indonesia No KD 57/HK- 290/ ITS-30/
8
2006 Tahun 2006 tentang Kebijakan Sekuriti Sistem Informasi. PT. Telkom
mempertimbangkan beberapa referensi diantaranya ISO/IEC 17799: 2005 atau
dikenal ISO/IEC 27001 dan sudah tersertifikasi oleh badan audit dari TUV
Rheinland di tahun 2005. Selain itu informasi merupakan aset yang mempunyai
nilai tinggi dan merupakan salah satu sumber daya penting dalam upaya
pencapaian misi dan sasaran perusahaan, serta untuk menunjang kemampuan
bersaing PT. Telkom di bidang industri telekomunikasi (Keputusan Direksi PT.
Telkom, 2006).
Tren yang yang berkembang di dunia teknologi informasi saat ini bahwa
beberapa perusahaan mulai mempertimbangkan proses dalam menjaga dan
melindungi informasi yang merupakan prinsip dalam keamanan informasi.
Sebagai perusahaan yang mengelola informasi dalam proses bisnisnya,
kemungkinan adanya risiko merupakan salah satu hal yang perlu diperhatikan
untuk menjaga pengelolaan informasi baik dari segi kerahasiaan, keakuratan,
maupun ketersediaannya (Cahyono: CISO, 2013).
Penelitian yang dilakukan oleh Harahap et al. (2009) berjudul
“Pengukuran Aset Teknologi Informasi Berbasis PBI Pada Sektor Perbankan di
Indonesia”, menjelaskan bahwa pada era globalisasi saat ini, teknologi informasi
berperan penting bagi sebuah perusahaan dalam menjalankan kegiatan
operasionalnya sehari-hari. Namun, terdapat juga risiko pada implementasi
teknologi informasi tersebut. Oleh karena itu, perusahaan harus memiliki
manajemen risiko teknologi informasi.
Manajemen risiko merupakan istilah untuk menggambarkan pendekatan
tingkat keamanan sumber daya informasi perusahaan, mengidentifikasi ancaman
yang dapat menyerang sumber daya informasi perusahaan, mendefinisikan risiko
yang dapat disebabkan oleh ancaman- ancaman, menentukan kebijakan keamanan
informasi, serta mengimplementasikan pengendalian untuk mengatasi risiko-
risiko tersebut (McLeod dan Schell, 2008: 271). Selanjutnya tujuan dari
manajemen risiko adalah minimalisasi kerugian dan meningkatkan kesempatan
ataupun peluang. Pada dasarnya manajemen risiko bersifat pencegahan terhadap
terjadinya kerugian maupun accident (Darmawan dan Fauzi, 2013 : 251).
9
Salah satu framework yang ada untuk manajemen risiko keamaman
informasi yaitu ISO/IEC 27005. ISO/IEC 27005: 2011, memberikan pedoman
manajemen risiko keamanan informasi. Standar ini mendukung konsep umum
yang ditetapkan dalam ISO/IEC 27001 dan dirancang untuk membantu
pelaksanaan keamanan informasi yang memuaskan, berdasarkan pendekatan
manajemen risiko (Pusat Informasi dan Dokumentasi BSN, 2013).
Fenomena- fenomena risiko teknologi informasi diatas dikonfirmasi
berdasarkan hasil wawancara singkat dengan salah satu manager Unit IPO PT.
Telkom, Bapak Suratmin (2014) menyatakan bahwa ada beberapa risiko
keamanan informasi yang dihadapi oleh Divisi Netbro dan risiko yang terbesar
adalah pada keamanan logik (logical security). Logical security merupakan
perlindungan keamanan informasi yang membahas mengenai bagaimana
pengguna dapat masuk ke sistem (logon), tingkat otoritas yang diberikan kepada
masing- masing pengguna (sistem, program, data mana yang boleh digunakan)
(IBISA, 2013).
Lebih lanjut Bapak Suratmin (2014) mengemukakan bahwa risiko
keamanan teknologi informasi dapat dijumpai pada aset-aset milik divisi Netbro
yakni sebagai divisi yang bertanggung jawab sebagai penyedia infrastruktur untuk
menopang seluruh penyediaan layanan internet PT. Telkom kepada pelanggannya,
salah satunya adalah layanan internet Speedy. Aset-aset infrastruktur yang
dimaksud berupa seluruh perangkat- perangkat yang digunakan oleh PT. Telkom
untuk menyediakan koneksi layanan internet hingga dapat dirasakan oleh
pelanggannya. Infrastruktur perangkat layanan Speedy ini tersebar luas di
berbagai lokasi tidak hanya terpusat satu lokasi tertentu dikarenakan pelanggan
Telkom juga tersebar tidak di satu lokasi, penyebutan lokasi ini dikenal STO
(Sentra Telepon Otomat). Setiap lokasi STO ini memiliki perangkat- perangkat
(aset) untuk infrastruktur penyediaan layanan internet.
Salah satu lokasi yaitu Bandung Centrum diketahui memiliki potensi
ancaman dan risiko keamanan teknologi informasi pada aset infrastruktur
khususnya untuk penyediaan layanan internet Speedy, keterangan ini diperoleh
dari Bapak Wuryanto selaku Assistant Manager OM IP Network sebagai
penanggung jawab tentang infrastruktur Speedy di Bandung Centrum. Bapak
10
Wuryanto (2014) mengemukakan bahwa perangkat infrastruktur internet Speedy
di Bandung Centrum memiliki potensi ancaman dan risiko pada keamanan
teknologi informasi.
Penelitian ini dilakukan bermaksud untuk membantu dalam penilaian
risiko pada salah satu lokasi yaitu Bandung Centrum dengan pertimbangan bahwa
pada lokasi tersebut belum dilakukan penilaian risiko dan batasan penelitian
hanya menilai infrastruktur aset informasi terutama pada layanan Speedy.
Layanan Speedy ini bersifat layanan retail karenanya belum terstandarisasi
keamanan informasinya oleh standar internasional sehingga perlu dilakukan
penelitian agar dapat diperoleh laporan risiko untuk aset di Divisi Netbro pada
lokasi Bandung Centrum pada aset (perangkat) infrastruktur layanan Speedy dan
mengetahui perlindungan yang tepat untuk aset informasi tersebut.
Berdasarkan dari fenomena sumber data dan hasil wawancara singkat serta
keputusan Dirut Telkom Kebijakan Sekuriti Sistem Informasi yang sesuai dengan
manajemen resiko keamanan informasi maka dianggap perlu untuk melakukan
penelitian mengenai Analisis Manajemen Risiko Keamanan Teknologi Informasi
Menggunakan Framework ISO/IEC 27005: 2011 Di PT. Telkom (Studi Kasus
Pada Infrastruktur Layanan Internet Speedy di STO Bandung Centrum).
1.3 Perumusan Masalah
Berdasarkan latar belakang masalah di atas, maka dapat dikemukakan
identifikasi permasalahan penelitian sebagai berikut :
1. Apa saja aset-aset teknologi informasi yang perlu dilindungi terkait
penyediaan layanan internet Speedy PT. Telkom di lokasi Bandung
Centrum ?
2. Bagaimana potensi ancaman dan kerentanan yang dapat terjadi terhadap
aset teknologi informasi terkait penyediaan layanan internet Speedy di
lokasi Bandung Centrum ?
3. Bagaimana level resiko yang mungkin terjadi terhadap aset teknologi
informasi terkait penyediaan layanan internet Speedy di lokasi Bandung
Centrum berdasarkan framework ISO/IEC 27005: 2011 ?
11
4. Apa saja kontrol perlindungan keamanan informasi yang dapat
diimplementasikan untuk melindungi aset teknologi informasi dan
mencegah dari risiko yang mungkin terjadi berdasarkan Standar ISO/IEC
27001: 2013 terhadap penyediaan layanan internet Speedy di lokasi
Bandung Centrum ?
1.4 Tujuan Penelitian
Penelitian ini memiliki beberapa tujuan untuk menjawab rumusan masalah
diatas, yaitu sebagai berikut :
1. Menentukan aset-aset teknologi informasi yang perlu dilindungi terkait
penyediaan layanan internet Speedy PT. Telkom di lokasi Bandung
Centrum.
2. Mengetahui potensi ancaman dan kerentanan yang dapat terjadi terhadap
aset teknologi informasi terkait penyediaan layanan internet Speedy di
lokasi Bandung Centrum.
3. Menentukan level resiko yang mungkin terjadi terhadap aset teknologi
informasi terkait penyediaan layanan internet Speedy di lokasi Bandung
Centrum berdasarkan framework ISO/IEC 27005: 2011.
4. Menentukan kontrol perlindungan keamanan informasi yang dapat
diimplementasikan untuk melindungi aset teknologi informasi dan
mencegah dari resiko yang mungkin terjadi berdasarkan Standar ISO/IEC
27001: 2013 terhadap penyediaan layanan internet Speedy di lokasi
Bandung Centrum.
1.5 Kegunaan Penelitian
Pelaksanaan penelitian ini diharapkan memiliki kegunaan bagi pihak-
pihak yang memerlukan, diantaranya adalah :
1. Praktisi
Sebagai masukan bagi perusahaan yang telah melaksanakan manajemen
risiko teknologi keamanan informasi, melakukan identifikasi aset- aset
teknologi informasi dan pengelolaan risiko terhadap ancaman dan gangguan
yang mungkin terjadi di dalam proses bisnis suatu perusahaan.
12
2. Teoritis
Penelitian ini diharapkan dapat dijadikan sumber informasi dan bahan
rekomendasi untuk penelitian selanjutnya mengenai analisis risiko keamanan
informasi, identifikasi aset teknologi informasi, identifikasi ancaman dan
dampak keamanan informasi yang mungkin terjadi serta pengelolaan risiko
bidang keamanan informasi.
1.6 Batasan Penelitian
Untuk kesempurnaan dalam penelitian ini ditentukan batasan- batasan
penelitian sebagai berikut :
1. Objek penelitian ini berlokasi di STO Bandung Centrum yang merupakan
salah satu lokasi penyedia infrastruktur layanan internet Speedy pelanggan
Telkom.
2. Penilaian risiko teknologi informasi ini terkait aset teknologi informasi
untuk infrastruktur layanan internet Speedy di lokasi Bandung Centrum.
3. Pendekatan manajemen risiko keamanan informasi menggunakan
framework ISO/IEC 27005: 2011 telah disesuaikan dengan keadaan PT.
Telkom Indonesia yang melaksanakan standar manajemen keamanan
informasi menggunakan standar ISO/IEC 27001: 2013, sehingga di dalam
proses manajemen risiko keamanan teknologi informasi dan rekomendasi
kontrol keamanan informasi akan selaras dan tidak tumpang tindih dengan
standar yang telah diimplementasi oleh PT. Telkom.
1.7 Sistematika Penulisan Tugas Akhir
Penyusunan tugas akhir ini menggunakan sistematika yang terbagi dalam
uraian lima bab antara lain sebagai berikut :
Bab I Pendahuluan
Pada bab ini mencakup gambaran umum objek penelitian, latar belakang,
rumusan masalah, tujuan penelitian, manfaat penelitian, batasan penelitian
serta sistematika penulisan.
13
Bab II Tinjauan Pustaka dan Lingkup Penelitian
Bab ini berisi teori dan penelitian terdahulu yang relevan dengan
permasalahan dan penelitian, perbandingan dengan penelitian terdahulu,
kerangka pemikiran dan ruang lingkup penelitian.
Bab III Metode Penelitian
Pada bab ini berisi tempat dan waktu pelaksanaan penelitian, tahapan di dalam
penelitian, metode pengumpulan data dan metode analisis data.
Bab IV Hasil Penelitian dan Pembahasan
Pada bab ini dijelaskan mengenai analisis data dan pembahasan permasalahan
yang sudah dirumuskan. Dalam bab ini data dan hasil penelitian akan diolah
sehingga diharapkan bisa digeneralisasikan menjadi sebuah kesimpulan
sebagai jawaban dari penelitian.
Bab V Kesimpulan dan Saran
Pada bab ini meliputi kesimpulan yang dapat diambil berdasarkan hasil
analisis data yang telah dilakukan dan memberikan saran kepada manajemen
tentang hal- hal dengan hasil penelitian.