ka2013 iqbal ichsan

i

ANALISIS KEMATANGAN SISTEM MANAJEMEN KEAMANAN INFORMASI BADAN PENDIDIKAN DAN PELATIHAN KEUANGAN DIUKUR MENGGUNAKAN

INDEKS KEAMANAN INFORMASI

Disusun oleh

Nama Peneliti/Pengkaji I : Iqbal Soenardi

NIP : 19690918199003 1 001

Pangkat/Golongan : Pembina IV/a

Jabatan : Kepala Bagian TIK

Nama Peneliti/Pengkaji II : M. Ichsan

NIP : 19820804200212 1 003

Pangkat/Golongan : Pengatur Tk. I / II.d

Jabatan : Pranata Komputer Pelaksana

HALAMAN JUDUL

BADAN PENDIDIKAN DAN PELATIHAN KEUANGAN JAKARTA

2013

ii

Analisis Kematangan Sistem Manajemen Keamanan Informasi Badan Pendidikan Dan Pelatihan Keuangan Diukur Menggunakan Indeks

Keamanan Informasi

Abstrak

Penelitian ini berisi tentang hasil analisis kematangan Sistem Manajemen Keamanan Informasi (SMKI) yang ada di Badan Pendidikan dan Pelatihan Keuangan diukurmenggunakan Indeks Keamanan Informasi (Indeks KAMI). Analisis yang dilakukan meliputi kelengkapan dan kematangan SMKI sesuai pedoman penggunaan Indeks Keamanan Informasi.

Hasil analisis kelengkapan dan kematangan SMKI berada pada tingkat rendah dengan ketergantungan organisasi terhadap teknologi informasi dan komunikasi di tingkat sedang. Penyebab rendahnya tingkat kematangan SMKI diantaranya;rendahnya tingkat awareness dari pimpinan dan pegawai terkait SMKI, lemahnya dokumentasi kegiatan, dan pengembangan aplikasi beserta infrastruktur yang bersifat reaktif.

Untuk menjawab sejumlah tantangan yang harus dihadapi terkait penerapan SMKI ini, BPPK perlu meningkatkan awareness pimpinan dan pegawaiterkait penting SMKI, mengembangkanICT Blueprint BPPKyang memungkinkan pengembangan aplikasi dan infrastruktur BPPK dapat dilakukan secara terencana, terintegrasi, dan komprehensif dan menyempurnakan SOP di lingkungan BPPK untuk mendukung peralihan proses bisnis dari paper-based menjadi technology-based administration sekaligus untuk menumbuhkembangkan budaya pendokumentasian data dan informasi di lingkungan BPPK.

Keywords : Keamanan Informasi, SMKI, Indeks KAMI, Badan Pendidikan dan

Pelatihan Keuangan

iii

KATA PENGANTAR

Alhamdulillahirabbilalamin. Segala puji syukur penulis panjatkan kepada

Allah SWT atas segala limpahan rahmat dan nikmat-Nya sehingga penulis dapat

menyelesaikan skripsi berjudul Analisis Kematangan Sistem Manajemen

Keamanan Informasi Badan Pendidikan dan Pelatihan Keuangan Diukur

Menggunakan Indeks Keamanan Informasi.

Banyak pihak yang telah membantu terselesaikannya skripsi ini. Pada

kesempatan ini penulis ini mengucapkan terima kasih kepada:

1. Orang tua, Saudara dan keluarga kami tercinta atas semua doa, perjuangan

dan dukungannya.

2. Sekretaris Badan beserta pejabat dan pegawai di lingkungan Sekretariat

yang telah mendukung penyelesaian kajian akademis ini.

3. Prof. Dr. Rina Oktaviani, Dr. Ir. Riyanto, M.Si.dan Rachmad Solik, S.Sos,

M.M. selaku pembimbing dalam kajian akademis.

4. Bapak Haryatno, PMP, ISMS Auditor selaku narasumber yang telah banyak

memberikan ilmu dan pengalamannya terkait Keamanan Informasi.

5. Seluruh rekan-rekan kerja di Bagian Teknologi Informasi dan Komunikasi

yang telah banyak membantu dan mendukung penyelesaian kajian

akademis ini.

Semoga Allah melimpahkan keberkahan dan karunia terbaik atas jasa dan amal

baiknya.

Penulis sadar, karya ini jauh dari sempurna. Semoga karya ini dapat

bermanfaat dan menambah wawasan pengetahuan bagi kita semua. Amiin ya

Rabbalalamiin.

Jakarta, September 2013

Penulis

iv

DAFTAR ISI

HALAMAN JUDUL ................................................................................................ i ABSTRAK ............................................................................................................ ii KATA PENGANTAR ........................................................................................... iii DAFTAR ISI ........................................................................................................ iv DAFTAR GAMBAR .............................................................................................. v DAFTAR TABEL ................................................................................................. vi DAFTAR LAMPIRAN ......................................................................................... vii BAB IPENDAHULUAN ......................................................................................... 1

A. Latar Belakang ........................................................................................ 1 B. Rumusan Masalah.................................................................................... 7 C. Tujuan Penelitian ...................................................................................... 7 D. Manfaat Penelitian ................................................................................... 8 E. Ruang Lingkup ......................................................................................... 7

1. Ruang lingkuppenelitian ........................................................................ 7 2. Unit analisis ........................................................................................... 8

BAB IILANDASAN TEORI ................................................................................... 9 A. Pengertian Informasi ................................................................................ 9 B. Informasi Sebagai Aset ............................................................................ 9 C. Keamanan Informasi .............................................................................. 10 D. Ancaman Terhadap Keamanan Informasi .............................................. 11 E. Sasaran Pengendalian Keamanan Informasi .......................................... 14 F. Indeks Keamanan Informasi ................................................................... 19 G. Kerangka Pemikiran ............................................................................... 28

BAB IIIMETODE PENELITIAN ........................................................................... 30 A. Jenis Penelitian ...................................................................................... 30 B. Jenis dan Sumber Data .......................................................................... 30 C. Waktu dan Tempat Penelitian ................................................................. 30 D. Teknik Pengumpulan Data ..................................................................... 31 E. Kuesioner Pengukuran Area Penelitian .................................................. 33 F. Metode Analisis Data .............................................................................. 39

BAB IVANALISIS HASIL DAN PEMBAHASAN .................................................. 47 A. Deskripsi Data Penelitian........................................................................ 47 B. Analisis data ........................................................................................... 50

1. Tingkat kelengkapan penerapan SMKI ................................................ 50 2. Tingkat Kematangan SMKI .................................................................. 51

C. Pembahasan .......................................................................................... 54 1. Tingkat kelengkapan penerapan SMKI ................................................ 54 2. Tingkat Kematangan SMKI .................................................................. 62

BAB VPENUTUP ............................................................................................... 68 A. Simpulan ................................................................................................ 68 B. Saran ..................................................................................................... 69

DAFTAR PUSTAKA ........................................................................................... 70 LAMPIRAN RIWAYAT HIDUP PENELITI

v

DAFTAR GAMBAR

Gambar 1.1 Grafik Pengunjung Internet Indonesia Selama Tahun 1998 - 2012 .. 1

Gambar 1.2 Persentase Ancaman Keamanan Sistem Informasi ......................... 2

Gambar 1.3 Persentase Ancaman Keamanan Sistem Informasi ......................... 3

Gambar 1.4 Persentase Insiden Keamanan Informasi ........................................ 4

Gambar 1.5 Pengguna Dari Gologan Pegawai dan Peserta Diklat ...................... 5

Gambar 2.1 Hubungan 11 Sasaran Pengendalian ISO 27001:2005 dan KMK

479 Tahun 2010 Dengan 5 Area Pada Indeks KAMI versi 2.3 ....... 20

Gambar 2.2 Proses Pengelolaan Risiko Keamanan Informasi .......................... 21

Gambar 2.3 Hubungan Indeks KAMI, ISO/IEC 27001:2005 dan KMK nomor 479

tahun 2010 .................................................................................... 28

Gambar 2.4 Kerangka Pemikiran ...................................................................... 29

Gambar 3.1 Ilustrasi Kuesioner Bagian I ........................................................... 35

Gambar 3.2 Definisi Skor Peran TIK ................................................................. 35

Gambar 3.3 Ilustrasi Kuesioner Bagian II Bagian VI ....................................... 37

Gambar 3.4 Diagram Radar Hasil Penilaian SMKI ............................................ 40

Gambar 3.5 Ambang Batas Pencapaian Tingkat Kematangan ......................... 42

Gambar 3.6 Dashboard Kelengkapan Penerapan SMKI ................................... 46

Gambar 4.1 Tingkat Kelengkapan Penerapan SMKI BPPK .............................. 50

Gambar 4.2 Diagram Radar Tingkat Kelengkapan Penerapan SMKI BPPK ..... 51

Gambar 4.3 Tingkat Kematangan SMKI BPPK ................................................. 52

vi

DAFTAR TABEL

Tabel 3.1 Matrik Status Penerapan dan Kategori Pengamanan ...................... 37

Tabel 3.2 Matrik Kategori Pengamanan dan Area Evaluasi ............................. 38

Tabel 3.3 Jumlah Pertanyaan Terkait Tingkat Kematangan Keamanan

Informasi .......................................................................................... 38

Tabel 3.4 Skor Area Eavaluasi ........................................................................ 39

Tabel 3.5 Tingkat Kematangan ........................................................................ 41

Tabel 3.6 Matriks Peran TIK dan Status Kesiapan .......................................... 45

Tabel 4.1 Diskripsi Data Kuesioner Indeks KAMI............................................. 49

Tabel 4.2 Tingkat Kematangan SMKI BPPK .................................................... 52

Tabel 4.3 Skor Kelengkapan Area Kerangka Kerja .......................................... 55

Tabel 4.4 Skor Kematangan Area Kerangka Kerja .......................................... 55

Tabel 4.5 Skor Kelengkapan Area Tata kelola Keamanan Informasi ............... 57

Tabel 4.6 Skor Kematangan Area Tata kelola Keamanan Informasi ................ 57

Tabel 4.7 Skor Kelengkapan Area Pengelolaan Aset Informasi ....................... 58

Tabel 4.8 Skor Kematangan Area Pengelolaan Aset Informasi ....................... 59

Tabel 4.9 Skor Kelengkapan Area Teknologi Keamanan Informasi ................. 60

Tabel 4.10 Skor Kematangan Area Teknologi Keamanan Informasi .................. 60

Tabel 4.11 Skor Kelengkapan Area Pengelolaan Risiko Keamanan Informasi .. 61

Tabel 4.12 Skor Kematangan Area Pengelolaan Risiko Keamanan Informasi ... 62

vii

DAFTAR LAMPIRAN

Lampiran 1 Kuesioner Indek Keamanan Informasi (Indeks KAMI) ................... 72

Lampiran 2 Tabel Pengumpulan Data Kuesioner Indeks KAMI ........................ 81

Halaman ini sengaja dikosongkan

BAB I

PENDAHULUAN A. Latar Belakang

Informasi merupakan salah satu aset penting yang berharga bagi

kelangsungan hidupsuatu organisasi/bisnis, pertahanan keamanan dan keutuhan

negara, kepercayaan publik ataukonsumen, sehingga harus dijaga ketersediaan,

ketepatan dan keutuhannya. Informasidapat disajikan dalam berbagai format

seperti: teks, gambar, audio, maupun video.

Manajemen keamanan informasi menjadi sangat penting di era modern

saat ini, di manaperkembangan teknologi saat ini telah memudahkan orang

dalam memperoleh informasi. Kemudahan ini terlihat dengan peningkatan jumlah

pengunjung internet dari tahun ke tahun. Hal ini tampakpadagambar 1.1grafik

pengunjung internet Indonesia tahun dari 1998-2012 yang bersumber dari

Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) di bawah ini.

Gambar 1. 1Grafik Pengunjung Internet Indonesia Selama Tahun 1998 - 2012

Sumber: http://www.apjii.or.id

ANALISIS KEMATANGAN SISTEM MANAJEMEN KEAMANAN INFORMASI BADAN PENDIDIKAN DAN PELATIHAN KEUANGAN DIUKUR MENGGUNAKAN INDEKS KEAMANAN INFORMASI

2

Selain itu, perkembangan teknologi juga miningkatkan ancaman terhadap

pengelolaan informasi. Hal ini tampak pada gambar 1.2 hasil survei yang

dilakukan oleh Information Security Breaches Survey (ISBS)pada tahun 2010

yang berpusat di Inggris.

Gambar 1.2Persentase Ancaman Keamanan Sistem Informasi Tahun 1998 - 2010

Sumber: Information Security Breaches Survey

Dari Gambar 1.2 di atas dapat jelaskan bahwa pada tahun 1998 - 2004

terjadi peningkatan ancaman terhadap keamanan informasi organisasi dari

18%menjadi 68%. Selanjutnya, ancaman tersebut menurun pada tahun 2004

2008 dari 68% menjadi 35%. Ancaman kembali meningkat pada tahun 2010 yaitu

74% untuk organisasi kecil dan 90% untuk organisasi besar.

ISBS juga mempublikasikan hasil surveinya terkait jenis ancaman

keamanan informasi padatahun 2010 dan 2012 untuk organisasi besar dan kecil.

Hasil survei tersebut tampak pada gambar 1.3 berikut:

BAB I PENDAHULUAN

3

Gambar 1.3Persentase Ancaman Keamanan Sistem Informasi Tahun 2010 dan 2012

Sumber: diolah dari hasil survei Information Security Breaches Survey 2012

Berdasarkan gambar 1.3 di atas, jenis ancaman yang paling tinggi pada

organisasi besar di tahun 2012 adalah insiden ancaman yang dilakukan oleh

pegawai atau staf sebesar 82%. Jenis ancaman di tingkat bawah berikutnya

disebabkan oleh attacker/hacker sebesar 73%, data korup atau kegagalan sistem

sebesar 66%, virus atau program berbahaya sebesar 59% dan terakhir

disebabkan oleh kecurangan sebesar 53%.

Di tingkat nasional, Indonesia Computer Emergency Response Team(ID-

CERT) melaporkanbahwa jumlah insiden yang masuk sepanjang tahun 2011

adalah sebanyak 1.057.333. Untuk rata-rata insden yang terjadi per bulan pada

tahun 2010 sebanyak 290.297 laporan dan tahun 2011 sebanyak 88.111

laporan. Dari laporan insiden yang masuk dapat disajikan dalam bentuk grafik

seperti tampakpada gambar berikut:


4

Gambar 1. 4 Persentase Insiden Keamanan Informasi

Sumber: Laporan Indonesia Computer Emergency Response Team Tahun 2012

Berdasarkan gambar 1.4 di atas, jenis insiden yang mendominasi pada

tahun 2010 adalah spam sebesar 90,83%, disusul HaKI sebesar 5.41%, malware

1,95%, nerwork incident sebesar 1,95% dan spoofing 0.05%. Insiden pada tahun

2011 dari yang tertinggi nerwork incident sebesar 51,48%, spam sebesar

36,07%, haki sebesar 9,29%, malware 3,05% dan spoofing 0,05%.

Melihat kenyataan di atas, maka keamanan informasi perlu diperhatikan

oleh setiap organisasi. Badan Pendidikan dan Pelatihan Keuangan (BPPK)

merupakanorganisasi/instansi pemerintah di bawah Kementerian

Keuangan.Dalam menjalankan tugasnya, BPPK menyediakan akses intranet dan

internet di semua satker BPPK melalui Wide Area Network (WAN) Kementerian

Keuangan.

Pengguna intranet dan internet dari lingkungan BPPK meliputi; pegawai,

peserta diklat, pengajar dan tamu. Pengguna dari golongan pegawai BPPK dan

peserta diklat dari tahun 2017 2012 dapat dilihat pada gambar berikut:

51.48%

36.07%

9.29%

3.05%

0.05%

0.05%

0.01%

1.74%

90.83%

5.41%

1.95%

0.05%

0.01%

0.00%

0% 20% 40% 60% 80% 100%

Network Incident

Spam

INTELLECTUALPROPERTY RIGHTS/HaKI

Malware

Spoofing / Phishing

Respon

Spam Komplain

2010 2011

BAB I PENDAHULUAN

5

Gambar 1.5Pengguna Dari Gologan Pegawai dan Peserta Diklat

Sumber: diolah dari data LAKIP, SIM Kepegawaian dan Aplikasi Monitoirng Information System Diklat BPPK

Berdasarkan gambar 1.5 di atas, peningkatan jumlah pengguna dari

golonganpegawai BPPK dan peserta diklat mulai dari 10.000-an pada tahun

2007 sampai dengan 30.000-an pada tahun 2010. Pada tahun 2011 mengalami

penurunan dari tahun sebelumnya dan pada tahun 2012 kembali naik mendekati

angka 35.000.

Peningkatan jumlah pengguna tersebut berpotensi meningkatkan ancaman

terhadap keamanan informasi BPPK.Bergabungnya BPPK dalam WAN

Kementerian Keuangan, ancamanterhadap keamanan informasi inijuga

berpotensi menimbulkan ancaman terhadap instansi lain yang tergabung dalam

WAN Kementerian Keuangan.

Untuk mendukung penerapan SMKI di instansi pemerintah, Direktorat

Keamanan Informasi Kementerian Komunikasi dan Informatika telah menerbitkan

buku panduan yang bersifat umum dan dapat digunakan oleh instansi

pemerintah, Badan Usaha Milik Negara/Daerah dan penyelenggara publik

-

5,000

10,000

15,000

20,000

25,000

30,000

35,000

40,000

2007 2008 2009 2010 2011 2012

Pe

ng

gu

na

Tahun


6

lainnya, Salah satu unit di lingkungan Kemenkeu yang telah menggunakan buku

panduan ini dalam pengelolaan keamanan informasinya adalah Direktorat

Jenderal Pajak Kementerian Keuangan.

Buku panduan ini juga memuat Indeks Keamanan Informasi (Indeks KAMI)

dalam lampirannya sebagai alat untuk mengukur dan menganalisis tingkat

kesiapan atau kematangan pengamanan informasi yang ada di suatu instansi.

Sesuai Indeks KAMI, evaluasi dilakukan terhadap berbagai area yang

menjadi target penerapan keamanan informasi dengan ruang lingkup

pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan

oleh standar ISO 27001:2005.

Indeks KAMI ini telah banyak digunakan di instansi pemerintah seperti;

Kementerian Kebudayaan dan Pariwisata, Kementerian Lingkungan Hidup,

Kementerian Kominfo PDSI, Kementerian Pekerjaan Umum, Kementerian

Perdagangan, Kementerian Perhubungan, Kementerian Perindustrian,

Kementerian PPN / BAPPENAS, Kementerian Tenaga Kerja danTransmigrasi,

Sekretariat Negara RI, dan BPKP.

Kementerian Keuangan sendiri juga telah memiliki aturan terkait penerapan

keamanan informasi yaitu, Keputusan Menteri Keuangan (KMK) Nomor

479/KMK.01/2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan

Informasi di Lingkungan Kementerian Keuangan.

KMK ini mengadopsi 11 sasaran pengendalian yang ada di ISO/IEC

27001:2005 atau Standar Nasional Indonesia (SNI) ISO/IEC 27001:2009. KMK

479 tahun 2010mengamanatkan agar penerapan sistem manajemen keamanan

informasi dilaksanakan secara bertahap dalam jangka waktu paling lambat3

(tiga) tahun sejak ditetapkannya (13 Desember 2010).

BAB I PENDAHULUAN

7

Berdasarkan uraian di atas, maka peneliti tertarik untuk melakukan

penelitian terhadap SMKI yang ada di BPPK. Judul penelitian yang diambil

peneliti adalah Analisis Kematangan Sistem Manajemen Keamanan

Informasi Badan Pendidikan dan Pelatihan Keuangan Diukur Menggunakan

Indeks Keamanan Informasi.

B. Rumusan Masalah

Berdasarkan uraian pada latar belakang sebelumnya, peneliti membuat

rumusan masalah yang termuat dalam pertanyaan berikut:

Bagaimana tingkat kesiapan atau kematangan SMKIBPPK diukur

Menggunakan Indeks Keamanan Informasi?

C. Tujuan Penelitian

Sesuai dengan rumusan masalah sebelumnya, tujuan penelitian ini

adalah untuk mengetahui tingkat kesiapan atau kematangan Sistem Manajemen

Keamanan Informasi BPPK berdasarkan Keputusan Menteri Keuangan Nomor

479 Tahun 2010 diukur menggunakan Indeks Keamanan Informasi.

D. Ruang Lingkup

1. Ruang lingkuppenelitian

Ruang lingkup yang diteliti terkait pengelolaan Sistem Informasi

Manajemen (SIM) pada server utama dan Infrastruktur Teknologi Informasi dan

Komunikasi (TIK) BPPK. Area-area yang diteliti untuk masing-masing ruang

lingkupadalah:

a. Peran dan Tingkat Kepentingan TIK

b. Tata Kelola Keamanan Informasi


8

c. Pengelolaan Risiko Keamanan Informasi

d. Kerangka Kerja Keamanan Informasi

e. Pengelolaan Aset Keamanan Informasi

f. Teknologi Keamanan Informasi

2. Unit analisis

Unit analisis dalam penelitian ini adalah semua Satuan Kerja (20 Satuan

Kerja) di lingkungan BPPK. Satuan kerja tersebut terdiri dari 8 unit eselon II dan

12 unit eselon III yang tersebar di daerah.

E. Manfaat Penelitian

Penelitian ini akan memberikan banyak manfaat diantaranya:

1. Bagi Pimpinan, hasil penelitian ini dapat digunakan untuk bahan

pertimbangan pengambilan keputusan atau kebijakan di bidang keamanan

informasi.

2. Bagi Pegawai, hasil penelitian ini dapat digunakan untuk meningkatkan

pemahaman dan kepedulian terhadap manajemen keamanan informasi

3.

4. .

BAB II

LANDASAN TEORI A. Pengertian Informasi

Menurut kamus besar bahasa Indonesia informasi adalah penerangan atau

pemberitahuan tentang sesuatu. Menurut kamus Wikipedia, informasi adalah

pesan (ucapan atau ekspresi) atau kumpulan pesan yang terdiri dari order

sekuens dari simbol, atau makna yang dapat ditafsirkan dari pesan atau

kumpulan pesan.

Informasi juga berarti data yang telah diolah menjadi sebuah bentuk yang

berarti bagi penerimanya dan bermanfaat bagi pengambilan keputusan saat ini

atau saat mendatang (Kadir, 2003). Informasi merupakan kumpulan data yang

diolah menjadi bentuk yang lebih berguna dan lebih berarti bagi yang menerima

(Kristanto, 2003). Informasi adalah data yang diolah menjadi bentuk yang lebih

berguna dan lebih berarti bagi yang menerimanya (Jogiyanto, 1990).

B. Informasi Sebagai Aset

Informasi merupakan salah satu aset bagi sebuah organisasi.Sebagaimana

aset lainnya, informasi memiliki nilai tertentu bagi organisasi tersebut sehingga

harus dilindungi, untuk menjamin kelangsungan organisasi, meminimalisir

kerusakan karena kebocoran sistem keamanan informasi, mempercepat

kembalinya investasi dan memperluas peluang usaha. Beragam bentuk informasi

yang mungkin dimiliki oleh sebuah organisasi diantaranya: informasi yang

tersimpan dalam komputer (desktopdanmobile komputer), informasi yang

ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim


10

melalui fax, tersimpan dalam disket, CD, DVD, flashdisk, atau media

penyimpanan lain, informasi yang dilakukan dalam pembicaraan (termasuk

percakapan melalui telepon), dikirim melalui telex, email, informasi yang

tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP

atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan

untuk menyampaikan informasi dan ide-ide organisasi.

C. Keamanan Informasi

Menurut SNI ISO/IEC 27001:2009 keamanan informasi adalah penjagaan

kerahasiaan, integritas, dan ketersediaan informasi. Keamanan Informasi adalah

terjaganya kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan

(availability) informasi (Tim Direktorat Keamanan Informasi, 2011:24). Orang

mungkin akan bertanya, mengapa keamanan informasi dan bukan keamanan

teknologi informasi atau IT Security. Kedua istilah ini sebenarnya saling terkait,

namun mengacu pada dua hal yang sama sekali berbeda.

Keamanan Teknologi Informasi atau IT Security mengacu pada usaha-

usaha mengamankan infrastruktur teknologi informasi dari gangguan-gangguan

berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan, sementara

keamanan informasi fokus pada data dan informasi milik organisasi.

Pada konsep ini, usaha-usaha yang dilakukan adalah merencanakan,

mengembangkan serta mengawasi semua kegiatan yang terkait dengan

bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai

dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke pihak-

pihak yang tidak berkepentingan.

Berdasarkan penjelasan tersebut, kemananan teknologi informasi

merupakan bagian dari keseluruhan aspek keamanan informasi. Karena

BAB II LANDASAN TEORI

11

teknologi informasi merupakan salah satu alat penting yang digunakan untuk

mengamankan akses serta penggunaan dari data dan informasi organisasi. Jadi,

teknologi informasi bukanlah satu-satunya aspek yang memungkinkan

terwujudnya konsep keamanan informasi di organisasi.

D. Ancaman Terhadap Keamanan Informasi

Jenis ancaman terhadap sistem manajeman keamanan informasi terbagi

dalam dua kelompok besar, yaitu:

1. Ancaman secara non fisik

Jenis ancaman secara non fisik terhadap sistem manajemen keamanan

informasi terdiri dari:

a. Jenis ancaman melalui sistem jaringan komputer

Jenis-jenis ancaman terhadap keamanan informasi melaui sistem jaringan

komputer, diantaranya adalah:

1) DOS/DDOS, yaitu metode serangan untuk menghabiskan sumber daya

sebuah peralatan jaringan komputer, sehingga layanan jaringan komputer

menjadi terganggu.

2) Sniffing, yaitu metode pencurian data dengan cara mendengarkan seluruh

paket yang lewat pada sebuah media komunikasi, baik itu media kabel

maupun radio.

3) IP Spoofing, yaitu metode serangan di mana penyerang menempatkan diri di

antara 2 host yang sedang berkomunikasi. Akibatnya pengiriman paket data

antara 2 host tersebut dikendalikan oleh penyerang.

4) Remote attack adalah bentuk serangan terhadap suatu mesin dimana

penyerangan dilakukan dari jarak jaruh di luar sistem jaringan atau media

transmisi.


12

b. Jenis ancaman melalui sistem informasi manajemen

Jenis ancaman melaui sistem informasi manajemen berbasis berbasis web

berdasarkan standar yang dibuat oleh The Open Web ApplicationSecurity

Project (OWASP)ada10 ancaman, terdiri dari:

1) Kelemahan Injeksiseperti injeksi SQL, OS, dan LDAP yang dapat

mengeksekusi perintah yang tidak direncanakan, atau mengakses data yang

tidak terotorisasi

2) Cross-Site Scripting (XSS) merupakan kelemahan aplikasi ketika mengambil

data yang tidak dapat dipercaya dan mengirimnya ke suatu web browser

tanpa validasi yang memadai.

3) Otentikasi dan pengelolaan sesi yang buruk seperti lamanya sesi time out

aplikasi yang memungkinkan penyerang mendapatkan password, key, dan

mengeksploitasi cacat implementasi lainnya untuk memperoleh identitas

pengguna yang lain.

4) Direct object referencemerupakan penggunaan referensi ke suatu objek

implementasi internal, seperti file, direktori, atau kunci database tanpa

adanya suatu pemeriksaan kendali akses atau perlindungan lainnya.

5) Cross-Site Request Forgery (CSRF)merupakan suatu serangan terhadap

browser korban yang sudah log-on untuk mengirim HTTP request yang

dipalsukan, sehingga penyerang dapat memaksa browser korban

menghasilkan request yang dianggap sah oleh aplikasi.

6) Kesalahan konfigurasi keamananseperti penggunaan konfigurasi default

suatu perangkat yang telah banyak diketahui kelemahannya.


13

7) Penyimpanan kriptografi yang tidak aman seperti tidak terlindunganya data

kartu kredit dengan enkripsi yang memadai, sehingga penyerang dapat

mencuri atau memodifikasi data.

8) Kegagalan membatasi akses URL merupakan kelemahan, di mana

penyerang dapat memalsukan URL untuk mengakses halaman-halaman

yang tersembunyi.

9) Perlindungan yang tidak cukup pada layer transportsepeti penggunaan

sertifikasi yang tidak valid atau sudah kadaluarsa.

10) Redirect dan forward yang tidak divalidasi seperti pengarahan ke situs

phising atau malwareoleh penyerang dengan menggunakan forward untuk

mengakses halaman yang tidak terotorisasi.

2. Ancaman secara fisik

Ancaman secara fisik terhadap sistem manajemen keamanan informasi

terkait aset informasi adalah:

a. Arus listrik

Arus listrik dapat menimbulkan kerusakan pada aset informasi jika melebihi

batas atau mati secara mendadak. Kelebihan arus listik dapat menimbulakan

terbakarnya aset informasi. Terputusnya arus listrik secara mendadak, arus listrik

tidak stabil danhubungan pendek arus listrik dapat mengakibatkan terganggunya

operasional. Akibat yang mungkin timbul adalah kerusakan komponen komputer,

input data, dan lainnya.

b. Bencana

Bencana banjir, gempa atau kebakaran yang melanda ruangan/bangunan

tempat sistem berada dapat merusak aset informasi sebagian atau keseluruhan.

Potensi kerugiannya besar dan untuk memulihkannya membutuhkan biaya,


14

tenaga dan waktu yang tidak sedikit. Memiliki computer emergency and recovery

system plan akan membantu mereduksi biaya dan waktu yang dibutuhkan dalam

pemulihan.

c. Pencurian

Pencurian terhadap aset informasi mungkin saja terjadi jika pengaman

lemah. Pencurian dapat berasal dari orang dalam atau pun orang luar. Kerugian

yang ditimbulkan dapat besar tergantung jenis aset dan datanya yang hilang.

d. Ancaman fisik lainnya

Ancaman fisik lainnya dapat berupa cuaca buruk misalnya suhu udara

yang terlalu panas, terlalu lembab, tetesan air atau kontaminasi kimia, ledakan

bom, serangan teroris, sabotase, sambaran petir dan lain-lain yang dapat

menimbulakann kerusakan fisik aset informasi. Kerugian yang ditimbulkan

acaman ini dapat besar tergantung jenis aset dan data yang rusak.

E. Sasaran Pengendalian Keamanan Informasi

Sasaran pengendalian keamanan informasi berdasarkan Keputusan

Menteri Keuangan Nomor 479 tentang Kebijakan dan Standar Sistem

Manajemen Keamanan Informasi di Lingkungan Kementerian Keuangan yang

diadopsi dari ISO 27001:2005 meliputi 11 (sebelas) sasaran pengendalian yaitu;

1. Pengendalian umum

Sasaran pengedalian umumkeamanan informasi digunakan sebagai

pedoman dalam rangka melindungi aset informasi Kementerian Keuangan dari

berbagai bentuk ancaman baik dari dalam maupun luar lingkungan Kementerian

Keuangan, yang dilakukan secara sengaja maupun tidak sengaja. Pengamanan

dan perlindungan ini diberikan untuk menjamin kerahasiaan (confidentiality),

keutuhan (integrity), dan ketersediaan (availability) aset informasi agar selalu


15

terjaga dan terpelihara dengan baik. Sasaran pengendalian ini meliputi

pengelolaan pengamanan seluruh aset informasi Kementerian Keuangan dan

dilaksanakan oleh seluruh unit kerja, pegawai Kementerian Keuangan baik

sebagai pengguna maupun pengelola Teknologi Informasi dan Komunikasi (TlK),

dan pihak ketiga di lingkungan Kementerian Keuangan. Aset informasi yang perlu

dilindungi dalam bentuk:

a. Data dokumen, meliputi: data ekonomi dan keuangan, data gaji, data

kepegawaian, dokumen penawaran dan kontrak, dokumen

perjanjiankerahasiaan, kebijakan kementerian, hasil penelitian, bahan

pelatihan,prosedur operasional, rencana kelangsungan kegiatan (business

continuity plan), dan hasil audit;

b. Perangkat lunak, meliputi: perangkat lunak aplikasi, perangkat lunak

sitem,dan perangkat bantu pengembangan sistem;

c. Aset fisik, meliputi: perangkat komputer, perangkat jaringan dankomunikasi,

removable media, dan perangkat pendukung;

d. Aset tak berwujud (intangible), meliputi: pengetahuan, pengalaman,keahlian,

citra dan reputasi.

2. Pengendalian organisasi keamanan informasi

Sasaran pengedalian organisasi keamanan informasi bertujuan untuk

memberikan pedoman dalam membentuk organisasi fungsional keamanan

informasi yang bertanggung jawab mengelola keamanan informasi dan

perangkatnya termasuk hubungan dengan pihak luar. Sasaran pengendalian ini

meliputi struktur Tim Keamanan Informasi di Kementerian Keuangan dan unit

eselon I, perjanjian kerahasiaan dan hubungan dengan pihak berwenang,

komunitas keamanan informasi, dan pihakketiga.


16

3. Pengendalian pengelolaan aset

Sasaran pengedalian pengelolaan aset bertujuan memberikan pedoman

dalam mengelola asetinformasi di lingkungan Kementerian Keuangan untuk

melindungi dan menjaminkeamanan aset informasi. Sasaran pengendalian ini

meliputi tanggung jawab setiap unit eselon I terhadap aset informasi dan

pengklasifikasian aset informasi.

4. Pengendalian keamanan sumber daya manusia

Sasaran pengedalian keamanan sumber daya manusia bertujuan

memastikan bahwa seluruh pegawai dan pihak ketiga memahami tanggung

jawabnya masing-masing, sadar atas ancaman keamanan informasi, serta

mengetahui proses terkait keamanan informasi sebelum, selama, dan setelah

bertugas. Sasaran pengendalian ini meliputi peran dantanggung jawab seluruh

pegawai dan pihak ketiga di lingkungan KementerianKeuangan yang hams

dipahami dan dilaksanakan. Peran dan tanggung jawabpegawai juga mengacu

pada peraturan perundang-undangan lainnya yang berlaku.

5. Pengendalian keamanan fisik dan lingkungan

Sasaran pengedalian keamanan fisik dan lingkungan bertujuan untuk

mencegah akses fisik oleh pihak yang tidak berwenang, menghindari terjadinya

kerusakan pada perangkat pengolah informasi serta gangguan pada aktivitas

organisasi. Sasaran pengendalian ini meliputi pengamanan area dan

pengamanan perangkat seperti;perimeter keamanan fisik, perlindungan terhadap

ancaman eksternal dan lingkungan, penempatan peralatan, sarana pendukung,

keamanan kabel, pemeliharaan, keamanan peralatan di luar kantor, pemindahan

barang dan penghapusan atau penggunaan kembali peralatan secara aman.

6. Pengendalian pengelolaan komunikasi dan operasi


17

Sasaran pengedalian manajemen komunikasi dan operasi bertujuan untuk

memastikan operasional yang aman dan benar pada perangkat pengolah

informasi, mengimplementasikan dan memelihara keamanan informasi,

mengelola layanan yang diberikan pihak ketiga, meminimalkan risiko kegagalan,

melindungi keutuhan dan ketersediaan informasi dan perangkat lunak,

memastikan keamanan pertukaran informasi dan pemantauan terhadap proses

operasional. Sasaran pengendalian ini meliputi:

a. Prosedur operasional dan tanggung jawab;

b. Pengelolaan layanan oleh pihak ketiga;

c. Perencanaan dan penerimaan sistem;

d. Perlindungan terhadap ancaman program yang membahayakan (malicious

code);

e. Backup;

f. Pengelolaan keamanan jaringan;

g. Penanganan media penyimpan data;

h. Pertukaran informasi;

i. Pemantauan.

7. Pengendalian akses

Sasaran pengedalian akses kontrol bertujuan memastikan otorisasi akses

pengguna dan mencegah akses pihak yang tidak berwenang terhadap aset

informasi khususnya perangkat pengolah informasi. Sasaran pengendalian ini

meliputi persyaratan untuk pengendalian akses, pengelolaan akses pengguna,

tanggung jawab pengguna, pengendalian akses jaringan, pengendalian akses ke

sistem operasi, pengendalian akses ke aplikasi dan sistem informasi, mobile

computing dan teleworking.


18

8. Pengendalian pengadaan, pengembangan dan pemeliharaan sistem

informasi

Sasaran pengedalian pengadaan/akuisisi, pengembangan dan

pemeliharaan sistem informasi bertujuan untuk memastikan bahwa keamanan

informasi merupakan bagian yang terintegrasi dengan sisteminformasi,

mencegah terjadinya kesalahan, kehilangan, serta modifikasi oleh pihak yang

tidak berwenang. Sasaran pengendalian ini meliputi pengolahan informasi pada

aplikasi, pengendalian penggunaan kriptografi, keamanan file sistem (system

files), keamanan dalam proses pengembangan dan pendukung (support

proceses) dan pengelolaan kerentanan teknis.

9. Pengendalian pengelolaan gangguan keamanan informasi

Sasaran pengedalian insiden keamanan informasi bertujuan untuk

memastikan kejadian dan kelemahan keamanan informasi yang terhubung

dengan sistem informasi dikomunikasikan untuk dilakukan perbaikan, serta

dilakukan pendekatan yang konsisten dan efektif agar dapat dihindari atau tidak

terulang kembali. Sasaran pengendalian ini meliputi pelaporan kejadian dan

kelemahan keamanan informasi dan pengelolaan gangguan keamanan informasi

dan perbaikannya.

10. Pengendalian pengelolaan kelangsungan kegiatan

Sasaran pengedalian manajemen kelangsungan usaha bertujuan untuk

melindungi sistem informasi, memastikan berlangsungnya kegiatan dan layanan

pada saat keadaan darurat, serta memastikan pemulihan yang tepat. Sasaran

pengendalian ini meliputi proses pengelolaan kelangsungan kegiatan, penilaian

risiko dan analisis dampak bisnis (business impact analysis/BIA), penyusunan


19

dan penerapan rencana kelangsungan kegiatan (business continuity) dan

pengujian, pemeliharaan, dan pengkajian ulang rencana kelangsungan kegiatan.

11. Pengendalian kepatuhan

Sasaran pengedalian kepatuhan bertujuan untuk menghindari pelanggaran

terhadap peraturan perundangan yang terkait keamananinformasi. Sasaran

pengendalian ini meliputi kepatuhan terhadap peraturan perundangan yang

terkait keamanan informasi, kepatuhan teknis dan audit sistem informasi.

F. Indeks Keamanan Informasi

Indeks KAMI merupakan alat evaluasi untuk menganalisa tingkat kesiapan

atau kematangan SMKI di Instansi pemerintah. Alat evaluasi ini disusun oleh Tim

Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika. Indeks

KAMIdigunakan untuk memberikan gambaran kondisi kesiapan (kelengkapan

dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi.

Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan

keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi

semua aspek keamanan yang didefinisikan oleh standar ISO/IEC 27001:2005.

1. Area-area evaluasi keamanan informasi

Area yang digunakan dalam indeks KAMI untuk mengevaluasi atau

mengukur tingkat kematangan SMKI instansi merangkum dari 11 sasaran

pengendaliian yang ada di ISO 27001:2005 dan KMK 479 tahun 2010 ke dalam 5

area evaluasi. Untuk lebih detail dapat dilihat dari gambar 2.1 berikut:


20

Gambar 2. 1 Hubungan 11 Sasaran Pengendalian ISO 27001:2005 dan KMK 479 Tahun 2010 Dengan 5 Area Pada Indeks KAMI versi 2.3

TATA KELOLA KEAMANAN

INFORMASI

MANAJEMEN RISIKO

KEAMANAN INFORMASI

KERANGKA KERJA

PENGELOLAAN KEAMANAN

INFORMASI

TEKNOLOGI KEAMANAN

INFORMASI

PENGELOLAAN ASET

INFORMASI

KEBIJAKAN KEAMANAN

INFORMASI

ORGANISASI KEAMANAN

INFORMASI

MANAJEMEN ASET

KEAMANAN FISIK DAN

LINGKUNGAN

SUMBER DAYA MANUSIA

MENYANGKUT KEAMANAN

INFORMASI

KOMUNIKASI DAN

MANAJEMEN OPERASI

AKSES KONTROL

PENGADAAN/AKUISISI,

PENGEMBANGAN DAN

PEMELIHARAAN SISTEM

INFORMASI

MANAJEMEN

KELANGSUNGAN USAHA

PENGELOLAAN INSIDEN

KEAMANAN INFORMASI

KESESUAIAN

PENGENDALIAN UMUM

PENGENDALIAN ORGANISASI

KEAMANAN INFORMASI

PENGENDALIAN PENGELOLAAN ASET

INFORMASI

PENGENDALIAN KEAMANAN FISIK

DAN LINGKUNGAN

PENGENDALIAN KEAMANAN SUMBER

DAY A MANUSIA

PENGENDALIAN PENGELOLAAN

KOMUNlKASI DAN OPERASIONAL

PENGENDALIAN AKSES

PENGENDALIAN KEAMANAN

INFORMASI DALAM PENGADAAN,

PENGEMBANGAN, DAN

PEMELIHARAAN SISTEM INFORMASI


INFORMASI DALAM PENGELOLAAN

KELANGSUNGAN KEGIATAN


GANGGUAN KEAMANAN INFORMASI

PENGENDALIAN KEPATUHAN

ISO 27001:2005

(SNI ISO 27001:2009)KMK 479 TAHUN 2010INDEKS KAMI VERSI 2.3

Dari gambar 2.1 di atas dapat dijelaskan sebagai berikut:

a. Tata Kelola Keamanan Informasi

Area tata kelola merupakan rangkuman penerapan kontrol yang ada pada

KMK 479 tahun 2010 yaitu; sasaran pengendalian umum, organisasi, keamanan

informasi dalam pengelolaan kelangsungan usaha dan kepatuhan.

Penerapan kontrol dalam area ini meliputi kebijakan formal yang

mendefinisikan peran, tanggung-jawab, kewenangan pengelolaan keamanan

informasi, dari pimpinan unit kerja sampai ke pelaksana operasional. Termasuk

dalam area ini juga adalah adanya program kerja yang berkesinambungan,

alokasi anggaran, evaluasi program dan strategi peningkatan kinerja tata kelola

keamanan informasi.


21

b. Pengelolaan Risiko Keamanan Informasi

Area pengelolaan risiko merupakan rangkuman penerapan kontrol yang

ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian organisasi,

pengelolaan aset informasi, keamanan informasi dalam pengelolaan

kelangsungan usaha dan kepatuhan.

Bentuk penerapan kontrol pada area pengelolaan risiko keamanan

informasi ini sejalandengan strategi penerapan manajemen risiko yang terdapat

pada Peraturan Menteri Keuangan Nomor: 191/PMK.01/2008 tentang

Penerapan Manajemen Risiko di Lingkungan Departemen Keuangan.Salah satu

strateginyaadalah memastikan bahwaseluruh risiko telah teridentifikasi dan

terdapat mitigasi yang terencana dan terukur untuk menjaga agar risiko tersebut

berada pada tingkat yang sesuai dengan toleransi yang telah ditetapkan.

Adapun proses pengelolaan risiko keamanan informasi dapat dilihat pada

gambar berikut:

Gambar 2.2Proses Pengelolaan Risiko Keamanan Informasi

Sumber: Presentasi Risk Management ISMS, Workshop Indeks KAMI pada tanggal 4 Juni 2013

Identikasi Aset

Identikasi Ancaman, Kelemahan & Dampak

(C, I, A)

Risk Description

Evaluasi Risiko (Dampak dan Kemungkinan terjadi) - tanpa

pengendalian

Inherent Risk

Kontrol yang Ada

Residual Risk

Risiko Diterima?

Penerapan Kontrol Baru & Risk Treatment Plan

Expected Risk

Monitor Efektivitas Pengamanan

Review Risk Register Ya

Tidak

Metodology Risk Assessment


22

Berdasarkan gambar 2.2 di atas dapat dijelaskan bahwa proses

manejemen risiko sistem manajemen keamanan informasi meliputi:

1) Metodology risk assessmentmerupakan metode penilaian risiko aset

informasi berdasarkan dampak dan kemungkinan terjadi risiko terhadap aset

informasi.

2) Indentifikasi aset merupakan proses mengindentifikasi, klasifikasi dan

membuat profil aset informasi.

3) Risk description merupakan proses mengidentifikasi acaman, kelemahan

dan dampak terhadap kerahasiaan, integritas dan ketersediaan aset

informasi.

4) Inherent risk merupakan proses mengevaluasi risikoterkait dampak dan

kemungkinan terjadi pada aset informasi tanpa penerapan pengendalian.

5) Kontrol yang ada merupakan pengendalian yang diterapkan organisasi.

6) Residual risk adalah sisa risiko yang dihasilkan oleh adanya penerapan

kontrol.

7) Penerapan kontrol baru dan risk treatment plan merupakan tindak lanjut dari

risiko yang melebihi ambang batas dan opsi penanganan risiko yang terbaik

yang dilanjutkan dengan pengembangan rencana mitigasi risiko.

8) Expected risk merupakan nilai risiko yang diharapkan dengan penerapan

kontrol baru dan risk treatment plan.

9) Monitoring efektivitas pengamanan merupakan proses memantau efektivitas

pengaman yang diterapkan.

10) Review risk register merupakan proses menelaah dan mengkajipengelolaan

risiko.


23

c. Kerangka Kerja Keamanan Informasi

Area kerangka kerja merupakan rangkuman penerapan kontrol yang ada

pada KMK 479 tahun 2010 yaitu; sasaran pengendalian umum, organisasi,

keamanan sumber daya manusia, pengelolaan komunikasi dan operasional,

pengelolaan gangguan keamanan informasi,keamanan informasi dalam

pengelolaan kelangsungan usaha dan kepatuhan.

Kelengkapan kontrol di area ini adalah kebijakan dan prosedur kerja

operasional, kompetensi sumber daya manusia, termasuk strategi penerapan,

pengukuran efektifitas kontrol dan langkah perbaikan.

d. Pengelolaan Aset Informasi

Area pengelolaan aset informasi merupakan rangkuman penerapan kontrol

yang ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian pengelolaan

aset informasi, keamanan sumber daya manusia, keamanan fisik dan

lingkungan, pengendalian akses, dan keamanan informasi dalam pengadaan,

pengembangan, dan pemeliharaan sistem informasi.

Kontrol yang diperlukan dalam area ini adalah bentuk pengamanan terkait

keberadaan aset informasi, termasuk keseluruhan proses yang bersifat teknis

maupun administratif dalam siklus penggunaan aset tersebut.

e. Teknologi dan Keamanan Informasi

Area teknologi dan keamanan informasi merupakan rangkuman penerapan

kontrol yang ada pada KMK 479 tahun 2010 yaitu; sasaran pengendalian akses,

keamanan informasi dalam pengadaan, pengembangan, dan pemeliharaan

sistem informasi, pengelolaan gangguan keamanan informasi,keamanan

informasi dalam pengelolaan kelangsungan usaha dan kepatuhan.


24

Aspek pengamanan di area teknologi mensyaratkan adanya strategi yang

terkait dengan tingkatan risiko, dan tidak secara eksplisit menyebutkan teknologi

atau merk pabrikan tertentu.

Data hasil evaluasi pada area-area tersebut akan memberikan snapshot

indeks kesiapan dari aspek kelengkapan maupun kematangan kerangka kerja

keamanan informasi yang diterapkan dan dapat digunakan sebagai pembanding

dalam rangka menyusun langkah perbaikan dan penetapan prioritasnya.

2. Defisini tingkat kematangan

Definisi tingkat kematangan yang digunakan untuk mengevaluasi

kelengkapan dan mengidentifikasi tingkat kematangan penerapan pengamanan

berdasarkan petunjuk penggunaanIndeks KAMI adalah:

a. Tingkat I

Pada tingkat I mengidentifikasikan bahwa kesiapan atau kematangan

sistem manajemen keamanan informasi pada kondisi awal, dengan ciri-ciri

sebagai berikut:

1) Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan

informasi.

2) Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak

mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan

kewenangan yang jelas dan tanpa pengawasan.

3) Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.

4) Pihak yang terlibat tidak menyadari tanggung jawab mereka.


25

b. Tingkat II

Pada tingkat II mengidentifikasikan bahwa kesiapan atau kematangan

sistem manajemen keamanan informasi pada kondisi penerapan kerangka kerja

dasar (aktif), dengan ciri-ciri sebagai berikut:

1) Pengamanan sudah diterapkan walaupun sebagian besar masih di area

teknis dan belum adanya keterkaitan langkah pengamanan untuk

mendapatkan strategi yang efektif.

2) Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi.

3) Langkah pengamanan operasional yang diterapkan bergantung kepada

pengetahuan dan motivasi individu pelaksana.

4) Bentuk pengamanan secara keseluruhan belum dapat dibuktikan

efektivitasnya.

5) Kelemahan dalam manajemen pengamanan masih banyak ditemukan dan

tidak dapat diselesaikan dengan tuntas oleh pelaksana maupun pimpinan

sehingga menyebabkan dampak yang sangat signifikan.

6) Manajemen pengamanan belum mendapatkan prioritas dan tidak berjalan

secara konsisten.

7) Pihak yang terlibat kemungkinan besar masih belum memahami tanggung

jawab mereka.

c. Tingkat III

Pada tingkat III mengidentifikasikan bahwa kesiapan atau kematangan

sistem manajemen keamanan informasi pada kondisi terdefinisi dan konsisten

(pro aktif), dengan ciri-ciri sebagai berikut:

1) Bentuk pengamanan yang baku sudah diterapkan secara konsisten dan

terdokumentasi secara resmi.


26

2) Efektivitas pengamanan dievaluasi secara berkala, walaupun belum melalui

proses yang terstruktur.

3) Pihak pelaksana dan pimpinan secara umum dapat menangani

permasalahan terkait pengelolaan keamanan pengendalian dengan tepat,

akan tetapi beberapa kelemahan dalam sistem manajemen masih ditemukan

sehingga dapat mengakibatkan dampak yang signifikan.

4) Kerangka kerja pengamanan sudah mematuhi ambang batas minimum

standar atau persyaratan hukum yang terkait.

5) Secara umum semua pihak yang terlibat menyadari tanggungjawab mereka

dalam pengamanan informasi.

d. Tingkat IV

Pada tingkat IV mengidentifikasikan bahwa kesiapan atau kematangan

sistem manajemen keamanan informasi pada kondisiterkelola dan terukur

(terkendali), dengan ciri-ciri sebagai berikut:

1) Pengamanan diterapkan secara efektif sesuai dengan strategi manajemen

risiko.

2) Evaluasi (pengukuran) pencapaian sasaran pengaman dilakukan secara

rutin, formal dan terdokumentasi.

3) Penerapan pengamanan teknis secara konsisten dievaluasi efektivitasnya.

4) Kelemahan manajemen pengamanan teridentifikasi dengan baik dan secara

konsisten ditindaklanjuti pembenahannya.

5) Manajemen pengamanan bersifat pro-aktif dan menerapkan pembenahan

untuk mencapai bentuk pengelolaan yang efisien.

6) Insiden dan ketidakpatuhan (non-conformity) diselesaikan melalui proses

formal dengan pembelajaran akar permasalahan.


27

7) Karyawan merupakan bagian yang tidak terpisahkan dari pelaksana

pengamanan informasi.

e. Tingkat V

Pada tingkat V mengidentifikasikan bahwa kesiapan atau kematangan

sistem manajemen keamanan informasi pada kondisi optimal, dengan ciri-ciri

sebagai berikut:

1) Pengamanan menyeluruh diterapkan secara berkelanjutan dan efektif

melalui program pengelolaan risiko yang terstruktur.

2) Pengamanan informasi dan manajemen risiko sudah terintegrasi dengan

tugas pokok instansi.

3) Kinerja pengamanan dievaluasi secara kontinyu, dengan analisisparameter

efektivitas kontrol, kajian akar permasalahan dan penerapan langkah untuk

optimasi peningkatan kinerja.

4) Target pencapaian program pengamanan informasi selalu dipantau,

dievaluasi dan diperbaiki.

5) Karyawan secara proaktif terlibat dalam peningkatan efektivitas

pengamanan.

3. Hubungan antara Indeks KAMI, ISO 27001:2005 dan KMK 479 tahun 2010

Hubungan antara indeks KAMI sebagai alat pengukuran tingkat

kematangan SMKI dengan standar ISO/IEC 27001:2005 dan KMK nomor 479

tahun 2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan

Informasi di Lingkungan Kementerian Keuangan tampak pada gambar 2.3berikut:


28

Gambar 2.3 Hubungan Indeks KAMI, ISO/IEC 27001:2005 dan KMK nomor 479

tahun 2010


INFORMASI

MANAJEMEN RISIKO

KEAMANAN INFORMASI

KERANGKA KERJA


INFORMASI

TEKNOLOGI KEAMANAN

INFORMASI

PENGELOLAAN ASET

INFORMASI

KEBIJAKAN KEAMANAN

INFORMASI

ORGANISASI KEAMANAN

INFORMASI

MANAJEMEN ASET

KEAMANAN FISIK DAN

LINGKUNGAN

SUMBER DAYA MANUSIA

MENYANGKUT KEAMANAN

INFORMASI

KOMUNIKASI DAN

MANAJEMEN OPERASI

AKSES KONTROL

PENGADAAN/AKUISISI,

PENGEMBANGAN DAN

PEMELIHARAAN SISTEM

INFORMASI

MANAJEMEN

KELANGSUNGAN USAHA

PENGELOLAAN INSIDEN

KEAMANAN INFORMASI

KESESUAIAN

PENGENDALIAN UMUM


KEAMANAN INFORMASI


ASET INFORMASI


DAN LINGKUNGAN


SUMBER DAY A MANUSIA



PENGENDALIAN AKSES



PENGEMBANGAN, DAN








ISO 27001:2005 KMK 479 TAHUN 2010INDEKS KAMI VERSI 2.3

ISO 27002

Code of Practice for ISMS

Berdasarkan gambar 2.3 di atas, dapat dijelaskan bahwa Kementerian

Keuangan mengadopsi seluruhsasaran pengendalian yang diamanatkan ISO

27001 dan 27002 dalam penyusunan KMK 479/2010. Sedangkan Indeks KAMI

yang digunakan sebagai alat ukur tingkat kematangan SMKI dalam penelitian ini

juga disusun mengacu pada standar ISO 27001.

G. Kerangka Pemikiran

Kerangka pemikiran yang digunakan dalam penelitian ini tampak pada

gambar berikut:


29

Gambar 2.4 Kerangka Pemikiran


INFORMASI

MANAJEMEN RISIKO

KEAMANAN INFORMASI

KERANGKA KERJA


INFORMASI

TEKNOLOGI KEAMANAN

INFORMASI

PENGELOLAAN ASET

INFORMASI

KEBIJAKAN KEAMANAN

INFORMASI

ORGANISASI KEAMANAN

INFORMASI

MANAJEMEN ASET

KEAMANAN FISIK DAN

LINGKUNGAN

SUMBER DAYA MANUSIA

MENYANGKUT KEAMANAN

INFORMASI

KOMUNIKASI DAN

MANAJEMEN OPERASI

AKSES KONTROL

PENGADAAN/AKUISISI,

PENGEMBANGAN DAN

PEMELIHARAAN SISTEM

INFORMASI

MANAJEMEN

KELANGSUNGAN USAHA

PENGELOLAAN INSIDEN

KEAMANAN INFORMASI

KESESUAIAN

PENGENDALIAN UMUM


KEAMANAN INFORMASI


ASET INFORMASI


DAN LINGKUNGAN


SUMBER DAY A MANUSIA



PENGENDALIAN AKSES



PENGEMBANGAN, DAN








ISO 27001:2005 KMK 479 TAHUN 2010INDEKS KAMI VERSI 2.3

TINGKAT KEMATANGAN

SMKI BPPK

BAB III

METODE PENELITIAN

A. Jenis Penelitian

Penelitian ini merupakan jenis penelitian analisis deskriptif kuantitatif, di

mana peneliti akan melakukan analisis dengan mendiskripsikan tingkat

kematangan SMKI Badan Pendidikan dan Pelatihan Keuangan berdasarkan skor

atau nilai yang dihasilkan Indeks KAMI. Deskripsi yang dilakukan penulis

didasarkan pada panduan dalam penggunaan indeks KAMI.

B. Jenis dan Sumber Data

Jenis data yang digunakan adalah data kuantitatif yang diperoleh dari data

sekunder maupun data primer yang langsung dikumpulkan dari sumber asalnya.

Data sekunder diperoleh dari laporan-laporan atau dokumen-dokumen terkait

keamanan informasi yang ada di lingkungan BPPK, sedangkan data primer

dikumpulkan daripejabat atau pegawai teknis BPPK menggunakan metode

survei dan observasi di lapangan.

C. Waktu dan Tempat Penelitian

Waktu pengamatan dan pengumpulan data berlangsungselama lima bulan

mulai dari bulan Maret 2013 sampai dengan Juli 2013. Data yang diamati terkait

pengelolaan keamanan informasi dan dokumentasinya yang berada di 20 satuan

kerja BPPK (8 unit eselon II dan 12 unit eselon III).

BAB III METODE PENELITIAN

31

D. Teknik Pengumpulan Data

Pengumpulan data dilakukan dengan cara melakukan studi kepustakaan,

focus group discussion(FGD), survei (kuesioner), dan observasi.

Studi kepustakaan digunakan untuk mengumpulkan data terutama terkait

dengan teori dan konsep aspek-aspek atau area-area yang akan diteliti. Selain

itu, studi ini juga dilakukan guna mendapatkan data tentang kendala-kendala

yang telah diteliti oleh pihak lain.

Peneliti juga menggunakan metode focus group discussion (FGD)bersama

para Narasumber. Focusgroup discussion adalah diskusi kelompok yang terarah

pada masalah yang diangkat peneliti (Hermansyah, 2009). FGD ini bertujuan

untuk memperoleh pemahaman lebih mendalam terkait cara penggunaan Indeks

KAMI serta informasi terkait kendala-kendala yang mungkin terjadi serta alternatif

solusi dalam menerapkan SMKI.

Selain itu, peneliti menggunakan kuesioner untuk mengumpulkan data-data

terkait kesiapan BPPK menerapkan SMKI sesuai amanat KMK 479 tahun

2010.Kuesioner yang akan digunakan peneliti adalah Indeks Keamanan

Informasi (Indeks KAMI) versi 2.3 dari Kementerian Komunikasi dan Informatika

dengan pertimbangan:

1. Karena dalam penyusunannya Indeks KAMI mengacu pada sumber yang

sama dengan acuan dalam penyusunan KMK479/2010, maka tingkat

kesiapan atau kematangan yang menjadi output utama dari penggunaan

indeks ini dapat digunakan disamakan dengan tingkat kesiapan/kematangan

BPPK dalam menerapkan ketentuan yang ada dalam KMK 479/2010.

2. Indeks KAMI telah digunakan Direktorat Keamanan Informasi Kementerian

Komunikasi dan Informasi untuk mengukur tingkat kematangan SMKI pada


32

sejumlah instansi pemerintah, oleh karenanya kami menganggap Indeks

KAMI valid untuk digunakan dalam kepentingan penelitian ini, sehingga

peneliti tidak perlu menyusun kuesioner khusus untuk tujuan pengukuran

tingkat kesiapan dan kematangan SMKI di BPPK.

Area-area evaluasi/penelitian berdasarkan Indeks KAMI adalah:

1. Peran TIK di dalam Instansi

2. Tata Kelola Keamanan Informasi

3. Pengelolaan Risiko Keamanan Informasi

4. Kerangka Kerja Keamanan Informasi

5. Pengelolaan Aset Informasi, dan

6. Teknologi dan Keamanan Informasi

Responden adalah pejabat atau pegawai teknis yang bertanggung jawab

terhadap masing-masing area yang dievaluasi. Sebagai contohnya, responden

aspek teknologi keamanan informasi adalah pejabat atau pegawai bertugas

menangani teknologi informasi sesuai ruang lingkup surveinya.

Untuk meningkatkan validitas hasil pengisian kuesioner, peneliti

mengadakan bimbingan teknis pengisian kuesioner Indeks KAMI dengan

bantuan narasumber dari Kementerian Kominfo dengan memanfaatkan fasilitas

video conferencing BPPK ke seluruh satker terkait di BPPK. Selain itu, untuk

mengkonfirmasi seluruh respon yang diberikan oleh responden pada saat

pengisian kuesioner, peneliti juga melakukan wawancara langsung dengan

responden (observasi).

Selain untuk tujuan konfirmasi dan klarifikasi, observasi juga dilakukan

untuk mengumpulkan informasi yang diperlukan seperti topologi jaringan, kondisi

infrastruktur, dan aset informasi dari 12 satker terpilih, yaitu Sekretariat Badan,


33

Pusdiklat Pengembangan Sumber Daya Manusia, Pusdiklat Pajak, Pusdiklat

Anggaran dan Perbendaharaan, Pusdiklat Kekayaan Negara dan Perimbangan

Keuangan, Pusdiklat Bea dan Cukai, Pusdiklat Keuangan Umum, Sekolah Tinggi

Akuntansi Negara, BDK Palembang, BDK Yogyakarta, BDK Balikpapan dan BDK

Makassar.

Sesuai metode sampling yang digunakan dalam penelitian ini, purposive

sampling, peneliti memilih ke-12 satker tersebut sebagai lokasi observasi

didasarkan pada pertimbangan bahwa 80% pengguna TI di lingkungan BPPK

berada pada 12 satker tersebut.

E. Kuesioner Pengukuran Area Penelitian

Kuesinoer yang digunakan untuk mengukur tingkat kematangan SMKI

adalah Indeks KAMI versi 2.3 yang terdiri dari:

1. Peran TIK dalam Instansi

Pada Bagian I kuesioner, responden diminta untuk mendefinisikan Peran

TIK (Tingkat Kepentingan TIK) di unit masing-masing.Selain itu, responden juga

diminta untuk mendeskripsikan infrastruktur TIK yang ada dalam satuan kerjanya

secara singkat.

Tujuan dari proses ini adalah untuk mengelompokkan Peran TIK di tiap unit

mulai dari Minim, Rendah, Sedang, Tinggi, hingga Kritis. Adapun definisi

dari Peran TIK tersebut adalah:

a. MINIM, apabila penggunaan TIK tidak signifikan dan tidak berpengaruh

proses kerja yang berjalan. Untuk tujuan analisis, peran ini tidak digunakan.

b. RENDAH, apabila TIK sudah digunakan untuk mendukung proses kerja,

namun belum pada tingkat yang signifikan


34

c. SEDANG, apabila TIK sudah digunakan dalam mendukung proses kerja

yang berjalan, namun tingkat ketergantungannya masih terbatas.

d. TINGGI, TIK sudah menjadi bagian yang tidak terpisahkan dari proses

kerja yang berjalan.

e. KRITIS, TIK merupakan satu-satunya cara untuk menjalankan proses kerja

yang bersifat strategis atau berskala nasional.

Peran TIK dievaluasi melalui 12 pertanyaan dalam Kuesioner Bagian I, dengan

bahasan:

a. Total anggaran tahunan yang dialokasikan untuk TIK

b. Jumlah staf atau pengguna dalam instansi yang menggunakan infrastruktur

TIK

c. Tingkat ketergantungan terhadap layanan TIK untuk menjalankan Tugas

Pokok dan Fungsi.

d. Nilai kekayaan intelektual yang dimiliki dan dihasilkan

e. Dampak dari kegagalan sistem TIK utama

f. Tingkat ketergantungan ketersediaan sistem TIK untuk menghubungkan

lokasi kerja

g. Dampak dari kegagalan sistem TIK terhadap kinerja instansi pemerintah

lainnya atau terhadap ketersediaan sistem pemerintah berskala nasional

h. Tingkat sensitifitas pengguna sistem TIK

i. Tingkat kepatuhan terhadap UU dan perangkat hukum lainnya

j. Potensi kerugian atau dampak negatif dari insiden ditembusnya keamanan

informasi sistem TIK

k. Tingkat ketergantungan terhadap pihak ketiga dalam

menjalankan/mengoperasikan sistem TIK


35

l. Tingkat klasifikasi/kekritisan sistem TIK relatif terhadap ancaman upaya

penyerangan atau penerobosan keamanan informasi

Berikut adalah ilustrasi Kuesioner Bagian I:

Gambar 3.1 Ilustrasi Kuesioner Bagian I

Sumber: Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011

Berdasarkan total skor yang diberikan responden atas seluruh pertanyaan dalam

Kuesioner Bagian I ini, Peran TIK dalam suatu unit dapat didefinisikan sebagai

berikut:

Gambar 3.2 Definisi Skor Peran TIK


2. Area Keamanan Informasi

Kuesioner Bagian II s.d. Bagian VI berisikan sejumlah pertanyaaan terkait

area keamanan informasi, yaitu:

a. Bagian II : Tata Kelola Keamanan Informasi;

b. Bagian III : Pengelolaan Risiko Keamanan Informasi;

c. Bagian IV : Kerangka Kerja Pengelolaan Keamanan Informasi;

d. Bagian V : Pengelolaan Aset Informasi; dan


36

e. Bagian VI : Teknologi dan Keamanan Informasi

Seluruh pertanyaan yang ada di tiap area keamanan informasi di

kelompokkan ke dalam tiga kategori pengamanan, dengan ketentuan:

a. Kategori 1 : Pertanyaan yang terkait dengan kerangka kerja dasar

keamanan informasi

b. Kategori 2 : Pertanyaan yang terkait dengan efektivitas dan konsistensi

penerapan keamanan informasi

c. Kategori 3 : Pertanyaan yang merujuk pada kemampuan untuk selalu

meningkatkan kinerja keamanan informasi

Adapun status penerapan (respon) yang dapat dipilih responden untuk

menjawab seluruh pertanyaan di setiap bagian didefinisikan sebagai berikut:

a. Tidak Dilakukan;

b. Dalam Perencanaan;

c. Dalam Penerapan atau Diterapkan Sebagian; atau

d. Diterapkan Secara Menyeluruh

Setiap jawaban akan diberikan skor yang nilainya disesuaikan dengan kategori

pengamanan yang terkait, dengan ketentuan:

a. Tahapan awal nilainya akan lebih rendah dibandingkan tahapan berikutnya.

b. Status penerapan yang sudah berjalan secara menyeluruh memiliki nilai

yang lebih tinggi dibandingkan bentuk penerapan yang lebih rendah.

c. Skor untuk kategori pengamanan pada tahap awal akan lebih rendah dari

kategori tahap yang lebih tinggi.

d. Untuk keseluruhan area pengamanan, pengisian pertanyaan dengan

kategori "3" akan diproses lebih lanjut, apabila semua pertanyaan terkait


37

dengan kategori "1" dan "2" sudah diisi dengan status minimal "Diterapkan

Sebagian".

Berikut adalah matriks hubungan antara status penerapan, kategori

pengamanan dan skoring-nya:

Tabel 3.1 Matrik Status Penerapan dan Kategori Pengamanan


Berikut adalah ilustrasi Kuesioner Bagian II Bagian VI dengan penjelasan atas

unsur-unsur di dalamnya:

Gambar 3.3 Ilustrasi Kuesioner Bagian II Bagian VI


Keterangan:

1. Tingkat Kematangan

2. Kategori Pengamanan

3. Daftar Pertanyaan

4. Status Penerapan

5. Skor


38

Sebagaimana yang telah disampaikan sebelumnya, tiap Bagian Kuesioner

memuat pertanyaan Kategori Pengamanan 1 s.d. Kategori Pengamanan 3,

dengan ikhtisar sebagai berikut:

Tabel 3.2 Matrik Kategori Pengamanan dan Area Evaluasi


Keterangan:

1. Total Pertanyaan seluruhnya: 119

2. Total Skor seluruhnya: 588

Berikut, adalah jumlah pertanyaan terkait Tingkat Kematangan Keamanan

Informasi:

Tabel 3.3 Jumlah Pertanyaan Terkait Tingkat Kematangan Keamanan Informasi



39

F. Metode Analisis Data

Metode analisis data merujuk pada penggunaan Indeks KAMI lampiran

Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara

Pelayanan Publik (2011).Hasil penjumlahan skor untuk masing-masing area

disajikan dalam dua instrumen, yaitu:

1. Tabel nilai masing-masing area

Tabel 3.4 Skor Area Eavaluasi


Tabel ini berisikan total rata-rata skor untuk tiap area yang dievaluasi

2. Diagram Radar dengan lima sumbu sesuai area pengamanan.

Diagram ini dimaksudkan untuk menggambarkan hubungan antara

kepatuhan terhadap standar yang ditetapkan oleh KMK 479/2010, status

penerapan, Kerangka Kerja Dasar, dan skor dari masing-masing area.


40

Gambar 3.4 Diagram Radar Hasil Penilaian SMKI


Sementara itu, tingkat kematangan keamanan informasi terdiri atas lima

tingkatan, yaitu:

a. Tingkat I - Kondisi Awal

b. Tingkat II - Penerapan Kerangka Kerja Dasar

c. Tingkat III - Terdefinisi dan Konsisten

d. Tingkat IV - Terkelola dan Terukur

e. Tingkat V Optimal

Penentuan tingkat kematangan dilakukan dengan menerapkan prinsip:

1. Pencapaian Tingkat Kematangan (TK) dilakukan sesuai dengan kelengkapan

dan (konsistensi + efektivitas) penerapannya.

2. Tingkat Kematangan yang lebih tinggi mensyaratkan kelengkapan,

konsistensi dan efektivitas pengamanan di level bawahnya

a. Pencapaian suatu Tingkat Kematangan II dan III hanya dapat dilakukan

apabila sebagian besar di Tingkat Kematangan sebelumnya [x-1] sudah

Diterapkan Secara Menyeluruh.


41

b. Khusus untuk pencapaian TKIV dan TKV mengharuskan seluruh bentuk

pengamanan di tingkat-tingkat sebelumnya sudah Diterapkan Secara

Menyeluruh. Hal ini memberikan efek kesulitan yang lebih tinggi untuk

mencapai 2 (dua) tingkatan terakhir tingkat kematangan. Detail

perhitungan ambang batas pencapaian Tingkat Kematangan I-V diuraikan

di bagian lain dalam dokumen ini.

3. Untuk membantu memberikan uraian yang lebih detail, tingkatan ini ditambah

dengan tingkatan antara - I+, II+, III+, dan IV+, sehingga total terdapat 9

tingkatan kematangan. Sebagai awal, semua responden akan diberikan

kategori kematangan Tingkat I.

Tabel 3.5 Tingkat Kematangan


4. Sebagai padanan terhadap standar ISO/IEC 2700:2005, Tingkat

Kematangan yang diharapkan untuk ambang batas minimum kesiapan

sertifikasi adalah Tingkat III+.

Ambang batas pencapaian TK tertentu dapat didefinisikan sebagaimana

ditunjukkan pada gambar berikut:

Level Tingkat Kematangan

1 I

2 I+

3 II

4 II+

5 III

6 III+

7 IV

8 IV+

9 V


42

Gambar 3.5Ambang Batas Pencapaian Tingkat Kematangan


Penentuan ambang batas pencapaian suatu tingkat kematangan

ditentukan berdasarkan perumusan di bawah ini (TKx = Tingkat Kematangan x):

1. Tingkat Kematangan I: Tidak ada ambang batas minimum diasumsikan

semua responden diberikan status ini pada saat dimulainya evaluasi.

2. Tingkat Kematangan I+: Mencapai minimal

a. Empat bentuk pengamanan TKII-Tahap 1 dengan status Dalam

Penerapan/Diterapkan Sebagian; dan

b. Sisa jumlah pengamanan TKII-Tahap 1 yang ada dengan status Sedang

Direncanakan.

3. Tingkat Kematangan II: Mencapai minimal

a. Seluruh bentuk pengamanan TKII-Tahap 1 dengan status Dalam


b. Seluruh bentuk pengamanan TKII-Tahap 2 dengan status Dalam

Penerapan/Diterapkan Sebagian.

4. Tingkat Kematangan II+: Mencapai minimal


43

a. Prasyarat Dasar TKII+, yaitu mencapai nilai total bentuk pengamanan

Tingkat Kematangan II > (80% dari nilai seluruh bentuk pengamanan

TKII-Tahap 1 & 2 dengan status Diterapkan Secara Menyeluruh); dan

b. Seluruh bentuk pengamanan TKIII-Tahap 1 dengan status Diterapkan

Secara Menyeluruh; dan

c. Dua bentuk pengamanan TKIII-Tahap 2 dengan status Sedang

Direncanakan; dan

d. Sisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status Dalam


e. Satu bentuk pengamanan TKIII-Tahap 3 dengan status Sedang

Direncanakan.

f. Sisa jumlah pengamanan TKIII-Tahap 3 dengan status Dalam


5. Tingkat Kematangan III: Mencapai minimal

a. Prasyarat Dasar TKII+; dan



c. Dua bentuk pengamanan TKIII-Tahap 2 dengan status Dalam


d. Sisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status

Diterapkan Secara Menyeluruh; dan

e. Dua bentuk pengamanan TKIII-Tahap 3 dengan status Dalam


6. Tingkat Kematangan III+: Mencapai minimal

a. Prasyarat Dasar TKIII+ yaitu mencapai nilai total lebih dari:


44



c. Satu bentuk pengamanan TKIII-Tahap 2 dengan status Dalam


d. Sisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status

Diterapkan Secara Menyeluruh; dan

e. Satu bentuk pengamanan TKIII-Tahap 3 dengan status Dalam


f. Sisa jumlah pengamanan TKIII-Tahap 3 dengan status Diterapkan

Secara Menyeluruh.

g. Dua bentuk pengamanan TKIV-Tahap 3 dengan status Dalam


h. Sisa jumlah pengamanan TKIV-Tahap 3 yang ada dengan status Dalam

Perencanaan.

7. Tingkat Kematangan IV: Mencapai minimal

a. Prasyarat Dasar TKIII+; dan

b. Seluruh bentuk pengamanan TKIV-Tahap 3 dengan status Diterapkan

Secara Menyeluruh.

8. Tingkat Kematangan IV+: Mencapai minimal

a. Mencapai Tingkat Kematangan IV; dan

b. Satu bentuk pengamanan TKV-Tahap 3 dengan status Dalam


9. Tingkat Kematangan V: Mencapai minimal

a. Mencapai Tingkat Kematangan IV; dan


45

b. Seluruh bentuk pengamanan TKV-Tahap 3 dengan status Diterapkan

Secara Menyeluruh.

Selanjutnya, untuk menentukan tingkat kesiapan unit dalam menerapkan

SMKI diukur menggunakan tabel berikut sebagai acuan:

Tabel 3.6Matriks Peran TIK dan Status Kesiapan


Berdasarkan tabel di atas, total skor dari kuesioner akan dibandingkan dengan

level peran TIK di unit yang dievaluasi guna menentukan status kesiapan unit

tersebut dalam menerapkan SMKI.

Pada laporan/dashboard, status ini dilaporkan dalam bentuk diagram

batang berikut dengan ketentuan bahwa status tidak layak akan menempati

area berwarna merah, status perlu perbaikan akan menempati area berwarna

kuning, sedangkan area hijau untuk status Baik/Cukup.


46

Gambar 3.6Dashboard Kelengkapan Penerapan SMKI


BAB IV

ANALISIS HASIL DAN PEMBAHASAN A. Deskripsi Data Penelitian

Data penelitian yang dikumpulkan dari masing-masing responden

mencakup 5 area evaluasi keamanan informasi. Tahap-tahan pengumpulan data

menggunakan kuesioner Indeks KAMI adalah:

1. Pemberitahuan pelaksanaan bimbingan teknis

Pemberitahuan pelaksanaan bimbingan teknis dan penyampaian materi

kepada calon responden melalui surat resmi Sekretaris Badan tertanggal

31 Mei 2013. Penyampaian materi juga dilakukan melalui email ke masing-

masing calon responden untuk memudahkan pengisian dan pengumpulan data.

2. Pemberian bimbingan teknis

Pemberian bimbingan teknis terkait keamanan informasi dan pengisian

indeks KAMI versi 2.3 oleh narasumberworkshop Indeks KAMI dari Kementerian

Kominfo pada tanggal 4 Juni 2013 di ruang B104 dan melalui fasilitas video

conferencing ke semua Satker. Pada waktu pelaksanaan bimbingan teknis

terdapat beberapa Satker tidak dapat mengikuti secara penuh karena terjadi

gangguan teknis. Untuk mengatasi hal tersebut, dilakukan pengiriman contoh

pengisian dan penjelasan singkat pada masing-masing pertanyaan sesuai hasil

bimbingan teknis.

3. Pengisian kuesioner Indeks KAMI

Pengisian kuesioner dilakukan oleh responden dengan ruang lingkup:


48

a. Desktop management untuk semua Satker di BPPK. Ruang lingkup

desktop management meliputi pengelolaan komputer, laptop, infrastruktur

jaringan dan perangkat klien lainnya.

b. Sistem informasi manajemen untuk pengelola sistem informasi manajemen

di Sekretariat Badan.

c. Ruang server pengembangan dan peralatan pendukungnya yang ada di

Sekretariat Badan.

4. Pengumpulan data

Pengumpulan data kuesioner menghasilkan 30 data responden. Dari 30

data responden tersebut terbagi menjadi 3 ruang lingkup sebagaimana dijelaskan

pada poin 3 di atas. Jumlah data terkumpul berdasarkan ruang lingkup tersebut

adalah:

a. Desktop management sebanyak 20 data

b. Sistem informasi manajemen sebanyak 9 data

c. Ruang server pengembangan dan peralatan di dalamnya pada satuan kerja

Sekretariat Badan sebanyak 1 (satu) data

5. Observasi atau konfirmasi data

Obervasi atau konfirmasi data kuesioner dilakukan untuk menambah

keakuratan data dengan mengumpulkan data pendukung seperti pengelolaan

risiko, uraian jabatan, System Operating Procedure (SOP), dan pengelolaan

aset. Selanjutnya, hasil pengumpulan data dan observasi dilakukan konfirmasi

kepada responden yang mungkin kurang memahami sehingga kurang sesuai

dengan data pendukung.

BAB IV ANALISIS HASIL DAN PEMBAHASAN

49

6. Rekapitulasi dan pengolahan data

Rekapituasi dan pengolahan data hasil observasi dan konfirmasi tampak

pada tabel 4.1 berikut:

Tabel 4.1 Diskripsi Data Kuesioner Indeks KAMI

Sumber: Hasil Olah Data Peneliti

Berdasarkan tabel 6 di atas dapat dijelaskan bahwa:

a. Rata-rata skor peran dan tingkat kepentingan TIK dalam instansi antara 15

sampai dengan 27 dengan rata-rata 21;

b. Rata-rata skor tata kelola keamanan informasi antara 17 sampai dengan 73

dengan rata-rata 35;

c. Rata-rata skor Pengelolaan Risiko Keamanan Informasi antara 16 sampai

dengan 46 dengan rata-rata 43;

d. Rata-rata skor Kerangka Kerja Pengelolaan Keamanan Informasi antara 11

sampai dengan 96 dengan rata-rata 22;

e. Rata-rata skor Pengelolaan Aset Informasi antara 33 sampai dengan 102

dengan rata-rata 66; dan

f. Rata-rata Skor Teknologi dan Keamanan Informasi antara 22 sampai

dengan 84 dengan rata-rata 46.

Adapun detail pengumpulan data kuesioner dapat dilihat pada Lampiran 2.


50

B. Analisis data

1. Tingkat kelengkapan penerapan SMKI

Berdasarkan hasil pengumpulan data penelitian dapat dilakukan analisis

tingkat kelengkapan penerapan SMKI BPPK dalam bentuk bar chartsebagai

berikut:

Gambar 4.1 Tingkat Kelengkapan Penerapan SMKI BPPK


Berdasarkan informasi pada Gambar 4.1 dapat disimpulkan bahwa:

a. Peran/Tingkat Kepentingan TIK di BPPK berada pada level Sedang (Skor:

21).

b. Sementara dari tingkat kelengkapan penerapan SMKI, BPPK berada pada

level Perlu Perbaikan, area Kuningdengan total skor 212, yang

merupakan jumlah dari seluruh skor rata-rata di setiap area Keamanan

Informasi yang dievaluasi.

Tingkat kelengkapan penerapan SMKI juga dapat dilihat pada diagram

radar berikut:

: Sedang Kategori Kontrol

: 1

: I+ 2

: s/d 3

: II Total Pertanyaan

: Agregat Skor

1

43

Tingkat Ketergatungan:

212

Peran/Tingkat Kepentingan TIK

Tata Kelola

21

35

I I+ - - -

Tingkat Kelengkapan

Penerapan KMK 479/2010

Tingkat Kematangan

Hasil Evaluasi:

I+

IIPengelolaan Risiko

Tingkat Kematangan:

Tingkat Kematangan:

I+

I+

I+

22

Pengelolaan Aset

Teknologi dan Keamanan Informasi

Kerangka Kerja Keamanan Informasi

66

46

Tingkat Kematangan:

Tingkat Kematangan:

Tingkat Kematangan:


51

Gambar 4.2 Diagram Radar Tingkat Kelengkapan Penerapan SMKI BPPK


Pada diagram radar di atas, diagram berwarna merah muda merupakan

kondisi SMKI BPPK berdasarkan hasil pengisian kuesioner oleh para responden.

Dapat dicermati bahwa:

a. dari kelima area keamanan informasi yang diamati, tampak bahwa BPPK

telah memiliki Pengelolaan Risiko Keamanan Informasi yang jauh lebih

baik dibanding area keamanan lainnya (paling mendekati standar yang

ditetapkan dalam KMK 479/2010).

b. kecuali area Kerangka Kerja Pengelolaan Keamanan Informasi, BPPK

telah memenuhi setidaknya Kerja Kerja Dasar dalam pengelolaan

Keamanan Informasi.

2. Tingkat Kematangan SMKI

Analisis tingkat kematangan SMKI BPPK juga dapat ditunjukkan bar

charthasil pengumpulan data penelitian berikut:


52

Gambar 4.3 Tingkat Kematangan SMKI BPPK


Tabel 4.2 Tingkat Kematangan SMKI BPPK


Berdasarkan gambar 4.3di atas, tingkat kematangan SMKI BPPK pada masing-

masing area adalah:

a. Tata Kelola Keamanan Informasi

1) Skor rata-rata aspek tata kelola keamanan informasi adalah 35 atau 31%

dari Skor Maksimal area ini, dengan rincian:

a) total skor sebesar 25 mewakili Tingkat Kematangan II; dan

b) total skor sebesar 10 mewakili Skor Tingkat Kematangan III.

2) Skor Tingkat Kematangan II ini melampaui Skor Minimum Tingkat

Kematangan II (12), namun tidak melampaui Skor Minimal Pencapaian

Tingkat Kematangan II (28), dan oleh karenanya, sesuai pedoman

digolongkan pada Level I+.

: Sedang Kategori Kontrol

: 1

: I+ 2

: s/d 3

: II Total Pertanyaan

: Agregat Skor

1

43

Tingkat Ketergatungan:

212

Peran/Tingkat Kepentingan TIK

Tata Kelola

21

35

I I+ - - -

Tingkat Kelengkapan

Penerapan KMK 479/2010

Tingkat Kematangan

Hasil Evaluasi:

I+

IIPengelolaan Risiko

Tingkat Kematangan:

Tingkat Kematangan:

I+

I+

I+

22

Pengelolaan Aset

Teknologi dan Keamanan Informasi

Kerangka Kerja Keamanan Informasi

66

46

Tingkat Kematangan:

Tingkat Kematangan:

Tingkat Kematangan:


53

b. Pengelolaan Risiko Keamanan Informasi

1) Skor rata-rata aspek pengelolaan risiko keamanan informasi sebesar 43 atau

62% dari Skor Maksimal area ini, dengan rincian:

a) total skor sebesar 20 mewakili Ting

ka2013 iqbal ichsan

Documents