Seminar Tugas AkhirJudul Tugas Akhir :
Pembuatan Evaluasi Pengendalian Terhadap Data Sistem Informasi, Menggunakan Control Objective DS 11 pada COBIT 4.1 DAN ISO/IEC 27002 Studi Kasus Dinas Komunikasi Dan
Informatika Jawa Timur Bidang Pengembangan Teknologi Informasi.
By : Rizka Ayu Wulandari
5207 100 065
Pembimbing:Ir. Aris Tjahyanto, M.Kom
Indah Kurnia, S.Kom
Abstrak• Diskominfo merupakan sebuah institusi yang mempunyai tugas melaksanakan urusan
pemerintahan di bidang komunikasi dan informatika. Salah satu tugas Diskominfo adalah mengembangkan infrastruktur TIK melalui pengembangan aplikasi.
• Dilihat dari banyaknya tugas Diskominfo, tentunya banyak data yang dikelola, seperti data pemesanan software, pemasangan jaringan dan lain sebagainya. Hal tersebut membutuhkan suatu pengelolaan data atau informasi yang harus dikelola dengan baik termasuk dari segi pengelolaannya.
• Pembuatan perangkat evaluasi bertujuan untuk menilai dan mengetahui sejauh mana pihak Diskominfo mengkontrol kemanan data yang ada dengan mengidentifikasi resiko sampai metode pengolaan resiko.
• Cobit 4.1 dan ISO/IEC 27002 merupakan salah satu framework yang digunakan dalam proses evaluasi, kedua framework tersebut dapat digunakan bersamaan karena dapat saling melengkapi dan menjadi pilhan dengan standart yang tepat.
• Hasil dari tugas akhir ini berupa perangkat evaluasi yang meliputi : identifikasi resiko, daftar pertnyaan (checklist), penilaian evaluasi, dan pembuatan dokumen rekomendasi evaluasi yang berhubungan dengan proses pengelolaan pengelolaan data sistem informasi, yang nantinya dapat diimplentasikan pada Dinas Komunikasi dan Informatika Jawa Timur (diskominfo jatim).
Latar Belakang
• Munculah nilai penting kebutuhan bagi Dinas Komunikasi DanInformatika Jawa Timur akan adanya suatu pembuatan evaluasikemanan terkait pengelolaan pengelolaan data sisteminformasi. Sehingga semua ancaman yang teridentifikasi dapatdicegah sekaligus mengoptimalkan kinerja TI agar lebihmempunyai nilai tambah bagi proses bisnis yang dijalankan.
• Dengan dimikian pada tugas akhir ini dirancang suatudokumen perangkat evaluasi Si/Ti. menggunakan frameworkCobit 4.1 dengan control objective DS 11 yang nantinya akandi mappingkan dengan framework ISO/IEC 27002, yangmerupakan contoh framework yang dapat digunakan dalamproses evaluasi kemanan data TI.
Rumusan Masalah
1. Bagaimana memastikan apakah Dinas Komunikasi Dan Informatika Jawa Timur telah melakukaan kontrol terhadap resiko yang berhubungandengan proses pengelolaan data?
2. Bagaimana menilai upaya yang telah dilakukan pihak Dinas Komunikasi Dan Informatika Jawa Timur dalam melakukan manajemen pengelolaan data?
3. Apakah kegiatan evaluasi pengamanan data dapat memberi masukan untukperbaikan proses kemanan data pada Dinas Komunikasi dan Informatika Jawa
Timur?
Batasan Masalah Batasan-batasan dalam tugas akhir ini adalah:1. Penggunaan COBIT 4.1 dan Internatioanal Organisation for Standardization
(ISO) 27002 sebagai framework untuk membantu dalam pemenuhan pengukuran pada proses evaluasi yang akan dibuat.
2. Kontrol obyektif yang digunakan sebagai acuan pada COBIT 4.1 yaituDS11- pada proses Manage Data. Yang meliputi DS11.1 Business
Requirements for Data Management, DS11.2 Storage and Retention
Arrangements, DS11.3 Media Library Management System, DS11.4 Disposal, DS11.5 Backup and Restoration, dan DS11.6 Security Requirements for Data
Management
3. Lingkup data berfokus kepada kelengkapan, keakuratan, ketersedian dan perlindungan data pada bagian pengembangan perangkat lunak (software) Bidang Pengembangan Teknologi Informatika, Dinas Komunikasi Dan Informatika Jawa Timur.
4. Standart yang digunakan untuk membuat panduan dan melakukan evaluasi adalah ISO/IEC 27002.
Tujuan Tugas Akhir
3. Membuat perencanaan evaluasi dan evaluasi resiko serta membuatrekomendasi evaluasi yang dibutuhkan oleh Diskominfo untuk perbaikan
pengelolaan data sistem informasi pada Diskominfo Jatim.
2. pengukuran aktifitas pengelolaan data dengan mengunakan Maturity level dengan menentukan level yang dapat diukur dari 6 atribut kematangan maturity. Penggunaan maturity untuk mengukur
keberhasilan proses dari kontrol objective DS 11 pada Cobit 4.1 dan mengacu pada mapping ISO/IEC 27002.
1. Pembuatan Mapping control objective DS11 pada CobIT 4.1 dan ISO/IEC 27002 dengan menyesuaikan aktifitas pada Diskominfo dan melakukan kusioner
tentang kemanan data sistem informasi pada Diskominfo. Serta pembuatanpanduan pengukuran hasil temuan dan panduan membuat rekomendasi evaluasi.
Manfaat Tugas Akhir
Mengetahui resiko yang dapatmembahayakan kemanan data pada
Diskominfo Jatim.
Dengan memberikan dokumen checklist dan perencanaan evaluasi yang baik,
diharapkan dapat meningkatkan kualitasoperasional dalam pengembangan dan
pemeliharaan data dan untukpengoptimalan pengelolaan data.
Memberikan penilaian dan mengetahuitingkat kecocokan kontrol internal bagi
Dinas Komunikasi Dan Informatikakhususnya Bidang Pengembangan TI
terhadap proses pengelolaan data, apakahtelah sesuai dengan pedoman SOP yang
telah dilakukan sebelumnya.
Memberikan dokumen mengenai pedomanperangkat evaluasi, yang dapat memberikanmasukan dan membantu Dinas Komunikasi
Dan Informatika Jawa Timur khususnyaBidang Pengembangan TI dalam
melakukan perencanaan evaluasi yang berkontribusi positif terhadap pelaksaanevaluasi pada Dinas Komunikasi Dan
Informatika Jawa Timur.
Tinjauan Pustaka
• teknologi informasi merupakan teknologi komputer yang terdiri atas perangkat lunak, perangkat keras, manusia, jaringan, dan manajemen yang digunakan untuk melaksanakan satu tugas atau lebih terkait proses penyimpanan, pemrosesan dan mendistribusikan informasi sebagai hasilnya kepada pengguna.
Teknologi informasi
• pengolahan data meliputi pengumpulan data,kelengkapan, keakuratan, ketersedianperlindungan data , dan prosespenyimpanan data.
Pengelolaan Data
Tinjauan pustaka (con`t)
• evaluasi merupakan pemberian dukunganterhadap pemenuhan control internal yang adauntuk meminimalkan resiko yang berdampakpada bisnis. evaluasi diharapkan dapatdijadikan sebagai referensi proses yang perludiperbaiki secara berkelanjutan untukmemenuhi kontrol internal agar dapatmemberikan dukungan yang optimal terhadapbisnis sekaligus mengurangi resiko yang mungkin timbul
evaluasi
• Bukti evaluasi digunakan untuk melaksanakanuji kepatutan sehingga didapatkan temuan(findings) sebagai kepatutan terhadap standartyang berlaku. Selanjutnya bukti temuan yang di dapatkan akan dijadikan sebagai bahanpertimbangan oleh pihak atau institusi yang bersangkutan.
Bukti evaluasi
Proses evaluasi (con`t)
proses evaluasi secara umum adalah merupakan langkah yang sistematis atau tahapan yang jelas,
untuk mencapain hasil yang diinginkan. Proses perencanaan yang terhimpun dalam
metodologi yang terarah, step by step sehingga memudahkandalam
pengimplementasiannya.
Tinjauan pustaka (con`t)
evaluasi berbasis risiko
Resiko yang dimaksud adalah kemungkinantindakan atau kejadian yang akanmenimbulkan efek yang merugikan bagiperusahaan. resiko dari proses bisnis yang berlangsung di perusahaan tentunya dapatmembantu pengevaluasi dalam memutuskanmetode pengujian yang digunakan dalampelaksaan evaluasi.
Risk Assesment
Identifikasi resiko dilakukan untuk pencarian resiko, sehingga dengan ativitas evaluasi dapat diketahuicontrol yang belum dipenuhi. kemudian dilakukananalisis resikonya (risk analysis) sehinggamenghasilkan proses bisnis dengan tingkat resikotinggi (high), rendah (low), dan sedang (medium). Penilaian resiko (risk assessment) adalah prosesyang digunakan untuk mengidentifikasi danmengevaluasi resiko serta efek potensial yang terkait dengan proses bisnis.
Maturity Model
Maturity model dibuat berdasarkanmetode untuk mengevaluasiorganisasi. Model ini terdiri dari 6 tingkatan, mulai dari 0 (non-existent)
sampai 5 (optimized).
Tinjauan pustaka(con`t)Framework CobiT 4.1
Tujuan Framework COBIT adalah menyediakanmanagement dan pemilik bisnis model tatakelola IT yang membantu dalam memberikannilai IT, dan pemahaman dalam mengelolaresiko IT. Cobit memiliki empat domain prosesyang saling terkait yaitu : Plan and Organize
(PO), Acquire and Implement (AI), Deliver and
Support (DS), serta Monitor and Evaluate (ME).
Masing – masing proses TI dalam domain tersebut memiliki objectif control yang perludipertimbangkan untuk memberian kepastianbahwa tujuan bisnis akan dicapai dan kejadianyang tidak diinginkan dapat dicegah, dideteksiatau dikoreksi.
ISO/IEC:27002
ISO/IEC 27002 terdiri atas 127 kendali dalam 11kategori pengelolaan informasi.Tujuan ISO/IEC 27002 adalah untuk memberikanrekomendasi manajemen pengelolaan informasi. Penerapan standar ISO 27002 akan memberikanbenefit yang lebih nyata bagi organisasi biladidukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerjasistem pengelolaan informasi, sehingga sisteminformasi akan bekerja lebih efektif dan efisien.
Perangkat evaluasi
Merupakan alatbantu yang berfungsiuntuk membantu dan mempermudahpelaksanaan evaluasi oleh evaluator.
Mapping cobit 4.1 dan ISO/ IEC 27002
Framework seperti COBIT (Control Objective for Information and Related Technology) danISO/IEC 277002 memberikan panduan bagaimana mengukur kinerja organisasi dalam
penggunaan informasi. Analisa instrument ini bisa digunakan dalam pembuatan kebijakan atauperencanaan pedoman guideline di tingkat pengambilan keputusan strategis. Pemetaan dari
kedua framework mengacu kepada pedoman dari IT Governance Institute yaitu Aligning
COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit.
Metode Penelitian.• Tahapan metode dalam pembuatan tugas akhir ini adalah :
1. Persiapan
- Studi literatur
- Survey pada studi kasus
2. Pengumpulan Data :
- Review dokumen terkait
- Wawancara
- observasi
3. Pengolahan dan analisis data:
- Identifikasi dan analisa kontrol objective pada Cobit 4.1
- Mapping pada ISO/IEC 27002
- Mapping standart kontrol objective dengan kontrol yang diterapkan Diskominfo.
- Risk Assesment
4. Pembuatan Perangkat evaluasi :
- Identifikasi komponen perangkat evaluasi
- Menyusun perangkat evaluasi.
- Temuan evaluasi
- Pembuatan penilaian evaluasi.
- Pembuatan evaluasi plan.
-pembuatan rekomendasi.
5. Pembuatan Laporan TugasAkhir
1. persiapan
a. Studi literatur
• Studi literatur digunakan untuk mendapatkan gambaran menyeluruh dari apa yang telahdikerjakan sebelumnya dan apa yang akan kita lakukan selanjutnya.
• literatur tersebut dilakukan pembelajaran terhadap permasalahan yang terkait, sepertiidentifikasi komponen, jenis data, pengolahan data, penyimpanan data serta arsitektur informasi yang ada pada Dinas Komunikasi Dan Informatika Jawa Timur.
b. Survey pada studi kasus
• pada tahap ini penulis merumuskan masalah, tujuan dan manfaat penelitian yang akhirnyaakan dimengerti hal apa saja yang diharapkan dari hasil penelitian ini.
2. Pengumpulan data.
• pengumpulan informasi, seperti SOP yang telah diterapkan sebelumnya dandokumen terkait lainnya sesuai dengan pengembangan dan pemeliharaan data.
a. Review dokumen terkait
•Proses wawancara dilakukan dengan menjelaskan terlebih dahulu control objective dan detildari control objective dari proses yang dianalisa kepada responden serta melakukanpemeriksaan ulang terhadap jawaban responden dengan bukti yang ada sehingga diperolehkeyakinan terhadap jawaban tersebut.
b. Wawancara
• Dengan melakukan observasi, membantu untuk memperoleh data yang tidakdidapatkan dengan metode wawancara. Pada tahap ini juga dilakukanpengamatan secara langsung mengenai resiko apa saja yang muncul beserta dampak yang ditimbulkan dari resiko tersebut terhadap sistem informasi yang ada di Dinas Komunikasi Dan Informatika Jawa Timur.
c. Observasi
3. Pengolahan dan analisis data.
• Pada cobit 4.1 kita menggunakan kontrolobjektif DS 11, mengenai manage data.yang nantinya akan membahas mengenai identifikasi kebutuhan data. Prosespengelolaan data juga meliputi pembentukan prosedur yang efektif untukmengelola media data, backup dan recovery data, dan pembuangan media
Identifikasi kontrol objektif pada Cobit 4.1
• Melakukan mapping antara Cobit 4.1 pada sub control objective DS11 denganISO/IEC 2702, hal ini bertujuan untuk melakukan evaluasi dengan lebih teknis danterkontrol.
Mapping pada klausul ISO/IEC 27002
•Proses risk assesment ini digunakan untuk menentukan resiko yang ada, sehingga dapatmembantu apakah resiko tersebut high, low atau medium. Proses penilaian Risk assessment inidengan menggunakan standart ISO/IEC 27002, yang mana pada penilaian risk assessment ininantinya kita akan mmelakukan perhitungan probabilitas dari dampak kejadian dalam skalaperiode tertentu dan selanjutnya akan dilakukan dampak yang berpenganruh terhadap hasilprobabilitas
Risk Assesment
4.Pembuatan perangkat evaluasi
4.3 Temuan Evaluasi
temuan didapat dari hasil checklist perangkat evaluasi, selanjutnya hasil checklist disesuaikan dengan kebijakandan peraturan yang ada di Diskominfo. Sehingga di dapat temuan yang dapat digunakan sebagai acuan
rekomendasi yang dapat digunakan perbaikan pihak Diskominfo dalam melakukan proses pengelolaan data yang lebih baik.
4.2 Menyusun Perangkat Evaluasi.
perangkat evaluasi digunakan untuk membantu evaluator dalam melakukan evaluasi. Dalam hal ini termasukdaftar pertanyaan atau checklist, dan tindakan apa yang harus dilakukan evaluator terhadap jawaban
responden. Pertanyaan checklist mengacu pada hasil identifikasi klausul ISO/IEC 27002 dari hasil mapping terhadap Cobit 4.1 pada sub kontrol objectife DS11dan hasil dari penilaian risk assessment yang berkategori
tinggi.
4.1 Identifikasi penyusunan perangkat evaluasi
peninjauan dokumen yang telah dilakukan pada tahap sebelumnya seperti peraturan atau kebijakan perusahaan, SOP ataupun berdasarkan penilaian yang telah dilakukan.
Con`t
Rekomindasi evaluasi merupakan proses perbaikan yang perlu dilakukan, evaluasi selain menilai juga diperlukanuntuk penyediaan rekomendasi panduan praktek bagi manajemen dalam peningkatan kulitas dan efektivitas dari
inisiatif penataan TI yang diimpplementasikan. penyusunan rekomendasi, evaluasi SI/TI seharusnya menggambarkanarea perbaikan yang perlu dilakukan perusahaan berdasarkan uji kepatutan dan tingkat kedewasaan saat pelaksanaan
evaluasi.
4.5 Pembuatan Evaluasi Plan
Pada tahap ini dilakukan dokumentasi dalam pembutan pedoman evaluasi. Pedoman evaluasi berisi mengenailangkah langkah dalam melakukan proses evaluasi. Yang terdiri dari evaluasi plan, ekseskusi dan report.
4.4 Pembuatan Penilaian Evaluasi.
dilakukan penilaian dengan acuan 6 kematangan pada Maturity Model untuk mengetahui kondisi perusahaansekarang ini. Sehingga dari penilaian ini, nantinya akan didapat kesimpulan mengenai kondisi perusahaan saat
ini dan kondisi yang diharapkan
4.6 Pembuatan Rekomendasi Evaluasi
Con`t
5. Pembuatan Laporan Tugas Akhir
• Setelah serangkaian proses evaluasi dilakukan selanjutnya dibuat suatudokumentasi evaluasi dari setiap langkah dari awal sampai akhir.
• Dari pembuatan laporan ini sekaligus didapat kesimpulan dari proses-proses tersebut didokumentasikan dan ditulis dalam sebuah laporan yang sesuai dengan format tugas akhir sehingga menghasilkan laporan tugas akhir.
Metodologi
Eksistingcondition
Define risks, scope, and asset.
Target for improvement
evaluasiProcess
Survey Pada Studi Kasus (Struktur Organisasi)
Kepala Dinas
SEKRETARIAT
SUB BAG. TATA USAHA
SUB BAG. PENYUSUNAN
PROGRAM
SUB BAG. KEUANGAN
KELOMPOK JABATAN FUNGSIONAL
BIDANG PENGEMBANGAN
TEKNOLOGI INFORMATIKA
BIDANG JARINGAN KOMUNIKASI
BIDANG DISEMINASI DAN
INFORMASI
SEKSI PENGEMBANGAN
PERANGKAT LUNAK
SEKSI PENGEMBANGAN
PERANGKAT KERAS
SEKSI LAYANAN TIK
SEKSI LAYANAN
INFORMASI PUBLIK
SEKSI MEDIA
INTERAKTIF
SEKSI MEDIA
INFORMASI
SEKSI KOMUNIKASI SOSIAL
SEKSI KEMITRAAN PROFESI
KOMUNIKASI & PROFESI
SEKSI KOMUNIKASI PEMERINTAH
UPTD
BIDANG PEMBERDAYAAN
TEKNOLOGI INFORMASI DAN KOMUNIKASI
BIDANG POS DAN
TELEKOMUNIKASI
BIDANG PENGELOLAAN
INFRASTRUKTUR TEKNOLOGI INFORMASI
DAN KOMUNIKASI
SEKSI PEMBERD. TIK PEMERINTAH
SEKSI PEMBERD. TIK MASYARAKAT
SEKSI PENGEMB. MUATAN
TIK
SEKSI POS DAN FILATELI
SEKSI TELEKOMUNIKASI
SEKSI PENGAWASAN
DAN PENERTIBAN
SEKSI PENGEMBANGAN INFRASTRUKTUR
TEKNOLOGI INFORMASI DAN KOMUNIKASI
SEKSI PENGENDALIAN INFRASTRUKTUR
TEKNOLOGI INFORMASI DAN KOMUNIKASI
SEKSI PEMELIHARAAN INFRASTRUKTUR
TEKNOLOGI INFORMASI DAN KOMUNIKASI
Survey Pada Studi Kasus (Uraian Tugas)
• Bidang Pengembangan Tenologi Informatika mempunyai tugas melaksanakan pengembangandan pengendalian serta pemeliharaan sarana prasarana teknologi informatika. Untukmelaksanakan tugas sebagaimana dimaksud pada diatas Bidang Pengembangan TeknologiInformatika, mempunyai fungsi:
• Pelaksanaan penyusunan pedoman dalam rangka pengembangan teknologi informatika dankomunikasi.
• Pelaksanaan penyusunan kebutuhan dan konfigurasi perangkat keras, perangkat lunak, danlayanan teknologi informasi dan komunikasi.
• Pelaksanaan pemeliharaan perangkat keras dan perangkat lunak.
• Pelaksanaan koordinasi dalam rangka pengembangan teknologi informasi dan komunikasi.
• Pelaksanaan tugas-tugas lain yang diberikan oleh Kepala Dinas.
• Bidang Pengembangan Teknologi Informatika, terdiri atas:
• Seksi Pengembangan Perangkat Lunak.
• Seksi Pengembangan Perangkat Keras.
• Seksi Layanan Teknologi Informasi dan Komunikasi.
• Masing-masing seksi dipimpin oleh kepala seksi yang berada di bawah dan bertanggungjawab kepada Kepala Bidang.
ObservasiKontrol Administratif
Supervisi terhadap para pegawai.
Pembinaan dan pelatihan SDM
Pemisahan tugas-tugas setiap individu
Laporan perbaikan sistem ketika mengalami kegagalan sistem
Kontrol Operasi
Kontrol terhadap peralatan dilakukansecara berkala (1 hari sekali)
Pemberian kunci terhadap pintu masukdan lemari server pada 2 orang yangberbeda
Pengendalian terhadap virus: memakaisoftware antivirus berlisensi selama 1tahun
Observasi (con`t)Perlindungan
terhadap pusat data
Pada prakteknyasuhu di ruanganyang berisiperalatan komputerberada pada tingkat70 dan 74 derajatFahrenheit.Sedangkan padaruangan serverberada pada tingkat80 dan 90 Farenheit.
Kontrol Perangkat Keras
Fault-toleranthanya ada padatransaksi. Toleransikegagalan padalevel transaksiditangani melaluimekanisme basisdata yang disebutrollback, yang akanmengembalikan kekeadaan semulayaitu keadaansebelum terjadikegagalan transaksi.
Kontrol Akses
Setiap pemakaidilengkapi denganhak akses, NIP danpassword. NIPterdiri 18 karakter.
Identifikasi aset
• Melakukan identifikasi ancaman (threat) terhadap sistem informasi sebagai aset instansi dan dampak bisnis terkait dengan ancaman tersebut.
• Melakukan identifikasi terhadap kelemahan (vulnerability) yang dapat memicu terjadinya ancaman (threat).
Risk Assesment
Company Logo
• Dalam penilaian risiko, penulis mengestimasi bobot dari berbagai ancaman dan serangan yangterjadi di institusi. Aktivitas yang dilakukan dalam penilaian risiko meliputi: probabilitasterjadinya ancaman dalam skala periode tertentu disertai frekuensi kejadian serangan danancaman yang ada pada tabel serta dampak bagi perusahaan pada tabel. Setelah itu untukmendapatkan perhitugan nilai dari risiko yang ada tinggal dikalikan antara probabilitas dandampak yang dihasilkan yang berdasarkan dari panduan implementasi ISO/IEC 17799:2000.
• Dengan mengetahui setiap bobot nilai dari risiko yang ada, diharapkan penulis dapatmendesain sebuah rancangan tata kelola TI yang efektif dan efisien untuk mengelola risiko TIyang terjadi.
Probabilitas kejadian Frekuensi Nilai
Tidak pernah terjadi Tidak pernah 0
Sangat rendah 2-3 kali setiap 5 tahun 1
Rendah <= 1 kali per tahun 2
Sedang <= 1 kali setiap 6 bulan 3
Tinggi <= 1 kali setiap bulan 4
Sangat tinggi >=1 kali setiap bulan 5
Ekstrim >= 1 kali setiap hari 6
Risk AssesmentDampak kejadian Derajat dampak NilaiTidak berpengaruh Tidak mempunyai dampak. 0Minor Tidak perlu usaha lebih untuk
memperbaiki.1
Signifikan Dampak dapat diukur, perlu usaha lebih untuk memperbaiki.
2
Merusak Merusak reputasi dan keyakinan perusahaan.Memerlukan sumber daya lebih untuk memperbaiki
3
Serius Kehilangan konektivitas.Kehilangan banyak data atau layanan.
4
Parah Kegagalan sistem permanen. 5
Perhitungan risiko (Probabilitas x Dampak)
Nilai
0 Tidak pernah
1-3 Rendah
4-7 Sedang
8-14 Tinggi
15-19 Kritis
20-30 Ekstrim
Analisis resiko
• Dari hasil penilaian risiko diatas adalah sebagai berikut:1. Risiko tersebut ada karena pada umumnya terdapat kelemahan
dalam hal dokumentasi, kurangnya dokumentasi tertulis pada setiap aktifitas, sehingga menimbulkan data atau informasi, kurang tersalurkan dengan baik.
2. Banyak terdapat risiko dengan kategori Tinggi bahkan kritis yang dapat memberikan dampak negatif bagi institusi, misalkan, tidak ada retensi data yang disimpan, sehingga mudah terjadi crash.
Con`t
3. Diperlukan disaster recovery planning yang dibuat untuk menangani risiko yang menghasilkan dampak yang serius bagi institusi pemerintahan tersebut sehingga tidak menggangu proses bisnis yang ada.
4. Penanganan risiko dilakukan terhadap ancaman yang mempunyai penilaian Tinggi – Ekstrim. Hal ini dikarenakan sumberdaya yang tersedia di Dinas Kominfo tidak mencukupi untuk melakukan penanganan risiko terhadap semua risiko yang muncul. Oleh karena itu untuk risiko yang berkategori Tidak berpengaruh – Sedang disusun sebuah tindakan perbaikan yang dapat segera diimplementasikan kepada institusi tersebut dalam rangka untuk menghemat sumberdaya yang ada dan dapat diimplementasikan melalui persetujuan seorang Kepala Bidang Pengembangan TI.
Penyusunan Perangkat dan penilaian Evaluasi.
• Perangkat evaluasi ini digunakan sebagai perangkat untuk membantu pihak evaluator dalam melakukan evaluasi.
• Pembuatan perangkat evaluasi ini dengan menggunakan acuan ISO/IEC 27002.
• perangkat evaluasi ini, tidak hanya membantu pihak evaluator melakukan evaluasi, namun juga terdapat beberapa tindakan yang akan menuntun pihak evaluator terhadap jawaban responden.
• Pembuatan penilaian evaluasi , bertujuan membatu pihak evaluator atau orang yang ingin melakukan penilian dan menentukan pada posisi atau level mana posisi organisasi sekrang ini.
Penyusunan Perangkat dan penilaian Evaluasi. • Pedoman penilaian ini dilakukan dengan pengukuran tingkat
kematangan yang dilakukan dengan mempertimbangkan 6atribut kematangan Cobit yang meliputi:
1) Awareness and communication (AC). 2) Policies standards and procedures (PSP).3) Tools and automation (TA). 4) Skills and expertise (SE). 5) Responsibilities and accountabilities (RA). 6) Goal setting and measurement (GSM).
FORM PERANGKAT EVALUASI
Uji Coba Perangkat Evaluasi (1)• Proses uji coba bertujuan untuk mengetahui apakah perangkat evaluasi ini
telah sesuai dengan kondisi dan kontrol yang dibutuhkan oleh pihak institusi terkait.
• Dari hasil uji coba ini, nantinya juga diharapkan adanya contoh temuan atau jawaban, terkait pertanyaan yang telah diajukan pada daftar pertanyaan checklist.
• Uji coba perangkat evaluasi ini dilakukan dengan memberikan perangkat evaluasi berupa daftar pertanyaan checklist yang dibuat untuk pihak independen Diskominfo jatim, khususnya bidang PTI pada pengembangan perangkat lunak (software).
Uji Coba Perangkat Evaluasi (2)
PERANGKAT EVALUASI
key area
ISO/IEC
27002
point Kontrol checklist respon instruksicontoh jawaban
dan keterangan
6.8.4 electronic messaging
penggunnaanpesan elekronikyang digunakanorganisasi dalammenunjang danmempermudahpenyampaianinformasiperusahaan, seperti email, chatting dll.
melakukanmaintenance sistem dan testing secara reguler 4. jika listrik
mati, apakahpesan elektronik
tetap bisamenyala?
4.1 jika ada kontrol yang dilakukan pada saatpemadaman listrik, maka akandilakukan pengecekan dankontrol oleh evaluator, untukmengetahui kontrol sepertiapa yang dilakukanDiskominfo dalammenanggapi pemadamanlistrik terhadap pesanelektronik.
ya, adanya kontrolyang dilakukan
Diskominfo dalammenanggapi
permasalahanlistrik padam.
Adanya UPS danganset, sehingga
ada beberapamedia dan data
penting saja yang akan tetap
menyala, sehinggaproses bisnis tidak
sampai terhenti.
4.2 jika tidak ada, dapatdijadikan temuan daninformasi bagi evalutor, bahwa tidak ada kontrol yang dilakukan dalam masalahpemadaman listrik.
Revisi perangkat evaluasi.
• Revisi dilakukan untuk memperbaiki pertanyaan yang sulit dijawab maupun yang sulit dipahami oleh evaluator.
• Hasil dari tahap revisi ini membuat perbaikan terhadap pertanyaan yang ada pada checklist, yang nantinya dapat dengan mudah memahami dan menjawab pertanyaan.
Kesimpulan 1. Proses evaluasi ini berfokus pada area perbaikan terhadap pengolaan data pada Diskominfo,
hal ini dikarenakan data kurang dipelihara dengan baik dan rentan terhadap serangan serta ancaman dari berbagai pihak.
2. Kondisi pengelolaan data yang dilakukan saat ini, yang melibatkan keakuratan, kelengkapan dan kemanan isi data, kurang mendapat perhatian. Hal ini dikarenakan tidak adanya dokumentasi dan pelaporan tertulis yang mempengaruhi tidak tersalurkannya informasi dengan baik.
3. Terdapat beberapa kontrol yang telah diterapkan oleh Diskominfo, beberapa kontrol tersebut adalah kontrol administratif, kontrol operasi dan kontrol fisik.
4. Daftar checklist dibuat dengan beberapa acuan seperti, hasil pemetaan Cobit 4.1 dan ISO/IEC 27002, yang membahas mengenai pengelolaan data, penilaian berdasarkan tingkat resiko tertinggi dan pengukuran menurut 6 nilai kematangan berdasarkan Maturity model.
Saran
1. Agar tersalurkannya informasi dengan baik dan tidak melibatkan ketergantungan antar perseorangan, perlu adanya prosedur dalam dokumentasi tertulis yang nantinya dapat membantu dalam beberapa proses bisnis, sehingga mempermudah dalam mencari solusi jika terlibat permasalahan.
2. Dalam pembagian tugas kerja, khususnya dalam pengelolaan data. Dinas komunikasi dan informatika Jawa Timur, dapat melakukan penambahan sumber daya, yang bertujuan mengoptimalkan kinerja organisasi.
3. Tujuan pembuatan evaluasi ini untuk mencapai hasil yang diharapkan secara optimal, perlu adanya antisipasi permasalahan dan memperbaiki kekurangan. Maka dari ini diperlukannya pemantauan dari manajemen tingkat atas untuk meninjau sistem manajemen pengelolaan data yang sudah dibuat pada selang waktu terencana.
www.designfreebies.org Company Logo
Saran (con`t)
4. Adanya pengoptimalan tempat dan sarana dalam penyimpanan data-data perusahaan. Seperti halnya ruang server, yang merupakan pusat data dan pengaturan kinerja sistem, sebaiknya diberikan ruangan dengan fungsi kenyamanan dan keamanan yang cukup dalam menjaga data perusahaan.
Daftar Pustaka• Alter, S. (1996). Information system: a managent persperctive. Benjamin Cummings
: Menlo park, CA
• Bodnar, George H, & Hopwood, William S. (2004). Accounting Informastion System (9th
edition). Prentice Hall International, Inc,: London
• Commite of Sponsoring Organizations of the Tradway Commission. (1994). Internal Control- Inegrated Framwork.
• Gallegos, Frederick (2002). IT Evaluasi Report and Follow-up:methods and Techniques for Communicatin Evaluasi Findings and Recommendations. Information System Kontrol Journal (online), Vol.4.
• ISACA, CISA Review Manual, USA, 2006
• Weber, Ron. (2000). Information System Controls and Evaluasi. Prentice Hall, Inc.: New Jersey.
• ISACA, (2007). The IT Governance Institute, Cobit 4.1, USA.
• Hardyansyah, Wilis. (2011). Perancangan Model Tata Kelola Teknologi I nformasi berdasarkan ISO/IEC 17799: 2000 pada Proses Pengamanan Sistem Informasi Studi Kasus: Dinas Komunikasi dan Informatika Jawa Timur . Surabaya: Tugas Akhir Sistem Informasi ITS.