PERANCANGAN SISTEM MANAJEMEN SEKURITAS INFORMASI (SMSI) BERDASARKAN ISO / IEC 27001

Studi Kasus: Program Magister Manajemen Teknologi (MMT-ITS)

PROGRAM STUDI MAGISTER MANAJEMEN TEKNOLOGIMANAJEMEN TEKNOLOGI INFORMASI PROGRAM PASCASARJANAINSTITUT TEKNOLOGI SEPULUH NOPEMBERSURABAYA 2010

TESIS – MM2402

Azis Maidy Muspa

9106.205.309

Dosen Pembimbing

Ir. Aries Tjahyanto, MKom

Latar Belakang

Melaksanakan dan memelihara sebuah rangkaian proses dari sistem untuk secara efektif mengelola informasi, baik itu aksesibilitas, kerahasiaan, integritas serta ketersediaan informasi

Memastikan pemilihan kendali sekuritas yang cukup dan sesuai dalam melindungi aset informasi serta memberikan kepercayaan bagi para stakeholders.

Memastikan keberlanjutan bisnis, meminimalkan risiko yang mungkin terjadi dan memaksimalkan keuntungan dari investasi dan kesempatan bisnis.

Perumusan Masalah

Bagaimana penggambaran proses bisnis organisasi?

Bagaimana melakukan identifikasi risiko terhadap proses bisnis dan aset yang dimiliki organisasi untuk menemukan perbaikan-perbaikan yang perlu dilakukan?

Bagaimana membuat SMSI sebagai panduan dalam perlindungan dan pengamanan informasi ?

Batasan Masalah

SMSI yang dibuat hanya berupa usulan dan diperuntukkan bagi MMT-ITS pada umumnya serta SIM akademik pada khususnya.

Identifikasi Risiko dilakukan terhadap aset-aset yang berkaitan dengan aplikasi SIM akademik.

Pembuatan prosedur dan instruksi kerja hanya untuk beberapa contoh saja dalam lingkup aplikasi SIM akademik.

Tujuan

Perancangan SMSI sebagai panduan untuk mengidentifikasi risiko sekuritas dan memilih sesuai kontrol yang melibatkan pelaksanaan operasi dan kontrol yang bertujuan untuk meninjau dan mengevaluasi kinerja baik itu efisiensi maupun efektivitas pada

SIM MMT-ITS.

Manfaat

Mendapatkan pemilihan kendali sekuritas yang cukup dan sesuai untuk melindungi aset informasi serta memberikan kepercayaan bagi para stakeholders-nya.

Memperoleh panduan proses untuk mengimplementasikan kontrol terhadap sekuritas informasi, agar dapat menjamin bahwa objek-objek sekuritas tertentu telah dicapai.

Merupakan sarana publikasi yang positif karena penetapan ISO/IEC 27001:2005 akan menunjukkan kepada pelanggan, patner dan pihak pemerintah bahwa kualitas pelayanan dan sekuritas yang baik dalam proses bisnis telah dikendalikan dengan benar.

Tinjauan Pustaka

ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga pemerintahan, dan lembaga nirlaba).

ISO/IEC 27001: 2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara seta mendokumentasikan Information Security Management System dalam konteks resiko bisnis organisasi keseluruhan.

ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem manajemen sekuritas informasi (SMSI).

ISO / IEC 27001:2005,

Tinjauan Pustaka

Meskipun ISO/IEC 27001 sudah memberikan gambaran lengkap mengenai ketatalaksanaan sistem manajemen sekuritas informasi, tetapi terdapat kesulitan dalam menerapkannya disebabkan kurangnya perhatian banyak orang terhadap pentingnya sistem manajemen sekuritas informasi (terutama Top Manajemen).

Kesulitan penerapan ini meliputi pemilihan metode pendekatan untuk risk assessment, melakukan identifikasi resiko, memperkirakan resiko, dan memilih kendali yang tepat untuk diterapkan

Kendala Penerapan SMSI,

Framwork SMSI

Dasar Formulasi Kebijakan Sekuritas

Informasi

Risk management pendekatan ini digunakan jika kebijakan sekuritas informasi yang dibuat didasarkan pada tingkat sekuritas sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapi

Dasar Formulasi Kebijakan Sekuritas Informasi

Information security benchmarkadalah tingkat sekuritas yang disarankan pada keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.

Dasar Formulasi Kebijakan Sekuritas Informasi

Benchmark compliance dapat diasumsikan bahwa pemerintah dan otoritas industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan tolak ukur tersebut.

Strategi Manajemen Sekuritas Informasi [17]

Tinjauan Pustaka

Secara umum terdapat dua metode identifikasi risiko (Risk Analysis), yaitu[11]:

1. Kuantitatif ; Identifikasi berdasarkan angka-angka nyata (nilai finansial) terhadap biaya pembangunan sekuritas dan besarnya kerugian yang terjadi. identifikasi kuantitatif membantu dalam menghilangkan keraguan yang meliputi estimasi waktu dan biaya serta keraguan personal.

2. Kualitatif ; identifikasi meliputi kegiatan dan mengenali faktor risiko dilengkapi dengan perkiraan yang menjelaskan masing-masing risiko dan dampaknya.

Analisa Risiko.

Tinjauan Pustaka

Model Plan-Do-Check-Act (PDCA)

Proses pemecahan masalah yang digunakan dalam pengendalian mutu[9].

Input dalam model ini berupa kebutuhan sekuritas informasi dan ekspektasi/harapan, sedangkan output yang dihasilkan berupa pengaturan sekuritas informasi.

Demikian pada gambar 2.2 ditunjukkan siklus PDCA:

Analisa Risiko..

Tinjauan Pustaka

Gambar 2.2 Model PDCA [10]

Analisa Risiko…

Tinjauan Pustaka

PLAN (Established SMSI); Tahap penyusunan rencana yang akan dilakukan, penentuan masalah yang akan diatasi, kelemahan yang akan diperbaiki serta pencarian solusi untuk mengatasi masalah.

DO (implement and operate the SMSI); Tahap dimana solusi dan perubahan dari proses yang telah direncanakan dilaksanakan. Dengan penerapan prosedur-prosedur serta instruksi kerja sesuai dengan aktivitas yang terjadi dalam organisasi.

Check (monitor and review the SMSI); Tahapan untuk meneliti apa yang telah dilaksanakan dan menemukan kelemahan-kelemahan yang perlu diperbaiki. Berdasarkan kelemahan-kelemahan tersebut kemudian disusun rencana perbaikan.

ACT (maintain and improve the SMSI); Tahap ini adalah usaha perbaikan berdasarkan hasil perubahan, meliputi pengambilan langkah korektif dan preventif berdasarkan hasil dari audit internal SMSI, tinjauan manajemen atau informasi lain yang relevan.

Analisa Risiko…,

Gambar 3.1 Metologi Penelitian

Metodologi

Studi Literatur

Dalam hal ini adalah pembelajaran

literatur yang terkait dengan

permasalahan yang ada, seperti

pembelajaran mengenai sekuritas

informasi, SMM, proses pembuatan

SMSI serta standar yang digunakan

dalam pembuatan SMSI.

Tahap Persiapan.

Identifikasi Permasalahan

Selain itu juga akan ditinjau data struktur organisasi dan deskripsi kerja masing-masing bagian atau karyawan.

Serta dilakukan pemahaman secara menyeluruh mengenai organisasi, baik tujuan maupun arah organisasi.

Tahap Persiapan.,

Review Dokumen

Dalam pencarian informasi (gathering information) review dokumen selalu menempati tahapan utama, karena dapat memberikan gambaran mengenai sistem yang ada saat ini secara obyektif.

Dan diperoleh informasi mengenai visi dan misi, struktur organisasi, serta gambaran proses bisnis secara global dari MMT- ITS.

Tahap Pengumpulan Data dan Informasi..

Wawancara

Melalui tahapan wawancara diharapkan dapat diperoleh informasi mengenai gambaran proses bisnis, aset-aset pendukung serta informasi mengenai permasalahan dan ancaman yang berkaitan dengan sekuritas informasi SIM akademik.

Tahap Pengumpulan Data dan Informasi…

Bisnis Proses

Identifikasi Proses Bisnis

Proses utama (Primary Activity)

Berkaitan langsung dengan pelayanan jasa yang diberikan MMT-ITS kepada para stakeholders-nya.

Apabila terdapat gangguan terhadap proses utama ini maka dampaknya akan sangat besar terhadap proses pelayanan SIM akademik secara keseluruhan.

Identifikasi Proses Bisnis

Proses penunjang (Supporting Activity)

merupakan aktivitas yang bertujuan untuk membantu terselenggaranya proses bisnis utama.

Identifikasi Proses Bisnis

Proses manajemen

merupakan proses yang berkaitan langsung dengan proses penyusunan rencana, pengorganisasian dan pengendalian sumber daya yang ada. Dalam proses manajemen ini terdapat kegiatan pengawasan atau monitoring dan evaluasi yang bertujuan untuk membantu terselenggaranya proses bisnis utama.

Identifikasi Proses Bisnis

Membuat Profil Ancaman berbasis Aset

Profil ancaman yang dibuat akan mengidentifikasikan mengenai aset penting, kebutuhan sekuritas, dan area kritis yang ada pada organisasi.

Identifikasi Proses Bisnis

Membuat Profil Ancaman berbasis Aset

Identifikasi kebutuhan sekuritas yang ada pada aset kritis didasarkan pada kerahasiaan, integritas dan ketersediannya pada organisasi. Sedangkan identifikasi area kritis didasarkan pada sumber ancaman yang ada pada aset kritis.

Identifikasi Proses Bisnis

Identifikasi Proses Bisnis

Tabel 4.2 Kebutuhan sekuritas aset kritis

Identifikasi Proses Bisnis

Analisa Risiko.,

Terdapat kriteria ancaman risiko yang perlu dibuat prosedur pengendaliannya diantaranya adalah:

Risiko yang memiliki jumlah frekuensi kemunculan yang tinggi.

Risiko yang bisa menyebabkan kerusakan yang serius.

Tahap Penentuan Titik Kontrol

Tahap Penentuan Titik Kontrol

Analisa Risiko..,

Identifikasi ResikoAnalisis dan evaluasi

resiko

Identifikasi dan evaluasi

pengelolaan resiko

Pemilihan kontrol

objective dan kontrol

pengelolaan resiko

Gambar 4.3 Metodologi Perkiraan Risiko

Adapun tahapan metodologi dalam memperkirakan risiko adalah sebagai berikut:

Identifikasi Risiko

Analisis dan Evaluasi RisikoRisiko dan dampak pada proses bisnis

Analisis dan Evaluasi Risiko

Penanganan risiko

Identifikasi dan Evaluasi Pemilihan Pengelolaan Risiko

Menetapkan penanganan atau kontrol yang tepat terhadap risiko yang terjadi.

Pencegahan risiko dengan pembuatan prosedur dan pemilihan tujuan kontrol.

Menyerahkan penanganan risiko bisnis pada pihak lain seperti asuransi untuk mengurangi dampak risikonya.

Pemilihan Tujuan Kontrol dan Kontrol Pengelolaan Risiko

Tujuan kontrol yang digunakan adalah hasil pemilihan tujuan kontrol pada Annex A ISO 27001:2005 yang disesuaikan dengan ancaman risikonya.

Disamping itu terdapat pembuatan cause-effect diagram yang bertujuan untuk mengetahui akar permasalahan dan penyebab terjadinya risiko.

Tujuan kontrol

Diagram Cause-effect untuk risiko pencurian password

Pencurian

Password

Jaringan

Software

SDM

Firewall lemah Social

engineering

Management

pasword aplikasi

lemah

Phising

Password

sharing

Sebelum melakukan pembuatan SMSI, organisasi menunjuk dan membentuk tim pelaksana pembuatan SMSI. karena SMSI merupakan suatu sistem sekuritas yang penerapannya adalah tanggung jawab semua pihak mulai dari kepala MMT-ITS sebagai pihak manajemen atas sampai dengan level yang paling bawah.

Pembuatan Dokumentasi SMSI.

Pembuatan Dokumentasi SMSI..

Gambar 4. 7 Struktur organisasi tim pelaksana SMSI

Management Representative (MR) adalah orang yang ditunjuk oleh organisasi dan bertanggung jawab terhadap SMSI yang didokumentasikan. MR menjamin bahwa dokumentasi SMSI telah dibuat dengan teknik yang benar dan sesuai dengan standar SMSI (ISO 27001:2005).

Auditor adalah pihak yang ditunjuk organisasi dan bertugas mengkoordinasi pelaksanaan audit internal dari pelaksanaan SMSI.

Pembuatan Dokumentasi SMSI…

Pengendali dokumen adalah seorang yang memilisi tanggung jawab mengendalikan seluruh dokumen sekuritas informasi MMT-ITS.

Bertugas dalam penerapan SMSI, mulai dari mendistribusikan, menyimpan, memelihara, menarik dokumen, menghancurkan dan memastikan bahwa dokumen sekuritas informasi yang beredar adalah dokumen tersini.

Pembuatan Dokumentasi SMSI…,

Wakil sub bagian merupakan perwasilan dari 3 sub bagian yang mengurusi SIM akademik dan bertindak sebagai pihak pelaksana pembuatan SMSI. Wakil sub bagian bertanggung jawab dalam membuat dan membangun SMSI di lingkungan sub bagiannya masing-masing.

Pembuatan Dokumentasi SMSI…,

Pembuatan dokumentasi SMSI didasarkan pada klausul 1 s/d 8 yang terdapat pada ISO 27001:2005 & mengadopsi piramida pembuatan dokumentasi SMM

Gambar 4. 8 Struktur Pembuatan Dokumentasi SMSI

Pembuatan Dokumentasi SMSI

Pembuatan MSI bertujuan untuk menerangkan setiap personil mengenai komitmen organisasi terhadap sekuritas informasi. Manual Sekuritas ini memberikan pandangan kedepan mengenai kebijakan, tujuan Sekuritas informasi, sistem-sistem, prosedur dan metodologi pembuatan SMSI. Terdapat 8 MSI dalam dokumentasi SMSI yang akan dibuat untuk MMT-ITS

Pembuatan Manual Sekuritas Informasi (MSI)

Pembuatan Dokumentasi SMSI

MSI PENDAHULUAN merujuk pada (MSI-01),

Manual ini berisi latar belakang dibuatnya SMSI pada organisasi, serta siklus yang digunakan dalam proses pembuatan dan penerapan SMSI, yaitu siklus Plan – Do – Check – Act(PDCA), Visi Dan Misi serta beberapa sasaran MMT

Pembuatan Manual Sekuritas Informasi (MSI)

Pembuatan Dokumentasi SMSI

PSI merupakan uraian atau urutan pekerjaan yang mendukung MSI.

Dalam SMSI untuk MMT-ITS ini terdapat 2 tipe prosedur yaitu prosedur yang mendukung operasional dari pihak manajemen dan prosedur untuk kegiatan teknis operasional.

Pembuatan Prosedur Sekuritas Informasi (PSI)

Pembuatan Dokumentasi SMSI

PSI PENGENDALIAN DOKUMEN merujuk pada (PSI–MR–01)

Prosedur ini berisi mengenai tujuan, ruang lingkup, standar yang berlaku, indikator kinerja / kriteria keberhasilan, rincian prosedur, definisi & daftar singkatan, dan dibuat untuk mengendalikan seluruh dokumen sekuritas informasi yang dipergunakan dalam penerapan SMSI.

Pembuatan Prosedur Sekuritas Informasi (PSI)

A.Prosedur pendukung operasional manajemen:

Pembuatan Dokumentasi SMSI

PSI PENGAMANAN PASSWORD merujuk pada (PSI-MR-05)

Prosedur ini berisi mengenai tujuan, ruang lingkup, standar yang berlaku, indikator kinerja / kriteria keberhasilan, rincian prosedur,catatan / rekaman sekuritas informasi dan pengamanan password muncul akibat identifikasi risiko yang mendapati ancaman pencurian passwordmenempati level tinggi.

Pembuatan Prosedur Sekuritas Informasi (PSI)

B.Prosedur pendukung operasional teknis:

Pembuatan Dokumentasi SMSI

Instruksi kerja ini berisi mengenai tujuan,instruksi kerja,catatan/rekaman sekuritas informasi dan dibuat sebagai arahan dan petunjuk pelaksana bagi pelaksana teknis. Instruksi kerja dibuat secara sederhana, praktis dan mudah untuk dipahami.

Pembuatan Instruksi Kerja

Pembuatan Dokumentasi SMSI

IK PEMBUATAN PASSWORD merujuk pada (IK-ADM-01)

Instruksi ini dibuat untuk menerapkan manajemen password yang baik sehingga dapat menghasilkan password yang berkualitas dan tidak mudah ditebak sehingga fungsi dari password sendiri sebagai autentifikasi dapat tercapai.

Hal ini mutlak diperlukan karena pasword merupakan sistem yang akan memastikan bahwa benar-benar pemilik saja yang diperkenankan masuk ke dalamnya.

Pembuatan Instruksi Kerja

Pembuatan Dokumentasi SMSI

DAFTAR DOKUMEN EKSTERNAL merujuk pada (FM–MR–01)

Merupakan daftar yang berisi dokumen-dokumen eksternal yang mendukung pengimplementasian SMSI.

Formulir ini memudahkan pengguna untuk melihat dan melakukan penelusuran dokumen eksternal, karena mengandung data historis dokumen.

Pembuatan Formulir-formulir

Pembuatan Dokumentasi SMSI

Referensi berisi dokumen-dokumen pelengkap yang dibutuhkan dalam pembangunan SMSI. Semua referensi ini mengacu pada manual Sekuritas informasi dan prosedur Sekuritas informasi. Demikian adalah referensi yang akan dibuat dalam dokumentasi SMSI untuk MMT-ITS

Pembuatan Referensi

Pembuatan Dokumentasi SMSI

KEBIJAKAN SEKURITAS INFORMASI merujuk pada (RF-MR-04)

Kebijakan sekuritas informasi yang tercantum dalam dokumen SMSI ini hanya berupa pernyataan saja. Oleh Karena MMT-ITS belum memiliki kebijakan sekuritas informasi maka perencanaan pembuatan SMSI ditinjau secara umum dengan menyesuaikannya terhadap persyaratan klausul ISO 27001:2005.

Pembuatan Referensi

Pembuatan Dokumentasi SMSI

Dokumentasi SMSI yang telah dibuat harus dilakukan verifikasi terhadap persyaratan kelengkapan dokumen yang terdapat pada ISO 27001:2005.

Hal ini dikarenakan persyaratan dokumentasi yang harus ada dalam pembangunan SMSI terdapat pada klausul 4.3.1 ISO 27001:2005.

Verifikasi Dokumentasi SMSI

Pembuatan Dokumentasi SMSI

Verifikasi Dokumentasi SMSI

Pembuatan Dokumentasi SMSI

Verifikasi Dokumentasi SMSI

Pembuatan Dokumentasi SMSI

Verifikasi Dokumentasi SMSI

Kesimpulan

Penggambaran proses bisnis SIM-Akademik MMT - ITS didasarkan pada deskripsi pekerjaan (job description) bagian Pendidikan dan Kerjasama. Proses bisnis digambarkan menjadi proses utama, penunjang dan manajemen

Identifikasi risiko pada proses bisnis dan aset dilakukan dengan mengidentifikasi risiko yang mungkin muncul pada aset-aset yang berkaitan dengan aplikasi SIM akademik serta kelemahan yang mengancam terjadinya risiko. Identifikasi ini akan diukur dan dinilai dengan kriteria tertentu untuk mengetahui level resiko

Kesimpulan

Pembuatan dokumentasi SMSI mengadopsi tata cara pendokumentasian SMM dengan melakukan beberapa penyesuaian terhadap ISO 27001:2005. Struktur atau tahapan pembuatan SMSI

Pembuatan dokumentasi SMSI menghasilkan usulan Manual Sekuritas Informasi, Prosedur Sekuritas Informasi, Instruksi Kerja, Referensi serta formulir dan rekaman.

Saran

Pembuatan SMSI MMT-ITS ini hanya berupa usulan mencakup proses SIM-Akademik saja, oleh karena itu diharapkan dalam pengembangan kedepan dapat dilengkapi dengan proses-proses yang lain yang terjadi di MMT-ITS.

SMSI MMT-ITS yang dibuat adalah berdasarkan ISO 27001:2005 yang hanya berbasiskan kontrol. Untuk pengembangan selanjutnya diharapkan dapat dibuat SMSI dengan standar yang lain misalnya ITIL dan COBIT yang memiliki kelebihan masing-masing.

DAFTAR PUSTAKA1. Jacquelin Bisson, CISSP (Analis Keamanan Informasi, Callio Technologies) & René Saint-Germain (Direktur

Utama, Callio Technologies), Mengimplementasi kebijakan keamanan dengan standar BS7799 /ISO17799 untuk pendekatan terhadap informasi keamanan yang lebih baik, White Paper, http://202.57.1.181/~download/linux_opensource/artikel+tutorial/ general_tutorials/wp_iso_id.pdf

2. Syafrizal, Melvin. 2008. Information Security Management Sistem (ISMS) Menggunakan ISO/IEC 27001:2005. STIMIK AMIKOM YOGYAKARTA.

3. Whitmann, E. M dan Mattord, J.H. 2006. Management of Information System. Course Technology.4. PMII Komisariat UNDIP. Pengertian Kebijakan <http://pmiikomundip.wordpress.com/2008/06/06/kebijakan-dan-

kemiskinan/>5. NIST SP 800-53, Revision 1, “Recommended Security Controls for Federal Information Systems”. 2006.6. Plasma media. Keamanan Informasi.<http://www.plasmedia.com/secpolicy.htm>7. Wikipedia. Keamanan Informasi <http://id.wikipedia.org/wiki/Keamanan informasi> [8 Oktober 2008 jam 13.05

WIB]8. Ferdinand Aruan (2003), Tugas Keamanan Jaringan Informasi (Dosen. Dr. Budi Rahardjo) Tinjauan Terhadap

ISO 17799 - Program Magister Teknik Elektro Bidang Khusus Teknologi Informasi ITB9. Wikipedia. July 2009. Pengertian PDCA, <http://id.wikipedia.org/wiki/PDCA>10. ISO/IEC 27001:2005, Information technology-Security techniques-Information security management system-

Requirements. 15 Oktober 200511. Ismiatin, Rahayu, D.D, dkk. Januari 2009. Analisis Risiko Proyek Perusahaan. <

http://www.scribd.com/doc/11100389/Analisis-Resiko-Proyek-an>12. Brever, D & Nash, M. 2005. the Similarity between ISO 9001 and BS 7799-2.13. Holil, A. 2007. “Pengungkapan kebutuhan”, bahan ajar mata kuliah analisis desain dan sistem informasi.14. Brever, D & Nash, M. 2005. the Similarity between ISO 9001 and BS 7799-2.15. Wikipedia. Mei 2008. Information Technology Infrastructure Library, URL:http://en.wikipedia.org/wiki/

Information_Technology_Infrastructure_Library16. Wikipedia. Juni 2009. COBIT,17. URL:http://id.wikipedia.org/wiki/COBIT.htm.18. Jaya Ari, Made. Juni 2008. Pengenalan identifikasi risiko,

<URL:http://blimadeari.wordpress.com/2008/06/05/pengenalan-identifikasi-risiko-tsi