skripsi evaluasi tata kelola keamanan teknologi...

SKRIPSI

“EVALUASI TATA KELOLA KEAMANAN TEKNOLOGI INFORMASI

MENGGUNAKAN FRAMEWORK

COBIT 5 DAN ISO 27002”

(STUDI KASUS : PUSAT JARINGAN KOMUNIKASI BADAN

METEOROLOGI KLIMATOLOGI DAN GEOFISIKA)

SKRIPSI

Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Strata Satu

Program Studi Sistem Informasi Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

EKO YULIYANTO ADI WIBOWO

1112093000072

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

2019

SKRIPSI

“EVALUASI TATA KELOLA KEAMANAN TEKNOLOGI INFORMASI

MENGGUNAKAN FRAMEWORK

COBIT 5 DAN ISO 27002”

(STUDI KASUS : PUSAT JARINGAN KOMUNIKASI BADAN METEOROLOGI

KLIMATOLOGI DAN GEOFISIKA)

SKRIPSI

Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Strata Satu

Program Studi Sistem Informasi Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta


1112093000072

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

2019

ii

PENGESAHAN SKRIPSI

iii

PERNYATAAN

iv

ABSTRAK

EKO YULIYANTO ADI WIBOWO - 1112093000072. “Evaluasi Tata Kelola

Keamanan Teknologi Informasi Menggunakan Framework COBIT 5 dan ISO

27002 (Studi Kasus: Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi

dan Geofisika).” di bawah bimbingan SYOPIANSYAH JAYA PUTRA dan SUCI

RATNAWATI.

Tata Kelola Keamanan Teknologi Informasi sangat dibutuhkan dalam upaya

penerapan Good Governance sebuah perusahaan terutama instansi pemerintah,

karna untuk meminimalisir dampak-dampak atau resiko yang akan dialami dan

untuk penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya

memastikan atau menjamin kelangsungan bisnis (business continuity),

meminimalisasi resiko bisnis (reduce business risk) dan memaksimalkan atau

mempercepat pengembalian investasi dan peluang bisnis. Masalah yang dihadapi

Pusat Jaringan Komunikasi adalah penerapan framework ISO 27001 belum

maksimal sehingga menyebabkan lemahnya manajemen kontrol hak akses,

perijinan kunjungan ruang Data Center terlalu fleksibel menyebabkan kurangnya

keamanan database dan infrastruktur serta rawannya pencurian data dan minimnya

pendokumentasian insiden yang mengakibatkan sering terjadinya insiden yang

berulang. Penelitian ini bertujuan menganalisis temuan gap dan memberikan

rekomendasi perbaikan menggunakan Framework COBIT 5 serta merancang

usulan perbaikan Keamanan Teknologi Informasi dengan framework ISO 27002.

Peneliti menggunakan 4 tahapan metode perancangan yang mengadopsi dari

COBIT lifecycle yaitu Initiate Programme, Define Problems and Opportinities,

Define Road Map dan Plan Programme Berfokus pada domain Manage Risk,

Manage Security dan Manage Security Services. Tools kuesioner menggunakan

skala pengukuran Likert. Hasil dari penelitian ini menunjukan capability level pada

Proses APO12 (Manage Risk), APO13 (Manage Security), DSS05 (Manage

Security Services) di Pusat Jaringan Komunikasi saat ini berada pada level 2

(managed process) dengan tingkat kapabilitas yang diharapkan berada di level 3

(established process) dengan masing-masing gap sebesar 1,13, 1,10 dan 0,97 serta

perancangan hasil rekomendasi berupa Panduan Implementasi Manajemen Insiden,

Rancangan Pengelolaan Hak Akses, dan SOP Ruang Data Center diadopsi

berdasarkan framework ISO 27002 yang dapat digunakan untuk panduan

memaksimalkan keamanan informasi.

Kata Kunci : Keamanan, Teknologi Informasi, Tata Kelola, COBIT 5, ISO 27002.

V Bab + 219 Halaman + 50 Tabel + 24 Gambar + Pustaka (43, 2005-2019) + 11

Lampiran

v

KATA PENGANTAR

Bismillaahirrohmaanirrohiim

Puji syukur kehadirat Allah SWT yang telah melimpahkan segala rahmat-

Nya, penulis diberikan nikmat sehat dan ilmu sehingga dapat melaksanakan, dan

menyelesaikan penulisan skripsi ini. Shalawat beserta salam semoga selalu tercurah

kepada junjungan Nabi Muhammad SAW beserta keluarga, sahabat, kerabat, serta

muslimin, dan muslimat, semoga kita semua mendapatkan syafa’at dari beliau di

akhirat kelak. Amin.

Skripsi ini berjudul “Evaluasi Tata Kelola Keamanan Teknologi

Informasi Menggunakan Framework COBIT 5 dan ISO 27002 (Studi Kasus:

Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi dan Geofisika)”,

yang disusun untuk memenuhi salah satu syarat dalam menyelesaikan program S1

pada program studi Sistem Informasi di Universitas Islam Negeri Syarif

Hidayatullah Jakarta.

Pada kesempatan ini, peneliti ingin mengucapkan terima kasih kepada

pihak-pihak yang telah banyak membantu, baik moril dan materil, dalam

menyelesaikan skripsi ini. Untuk itu perkenankanlah peneliti menyampaikan

ungkapan terima kasih kepada:

1. Ibu Prof. Dr. Lily Surayya Eka Putri, M. Env. Stud selaku Dekan Fakultas Sains

dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta.

vi

2. Pak A’ang Subiyakto, Ph.D selaku Ketua Program Studi Sistem Informasi

Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah

Jakarta.

3. Ibu Nida’ul Hasanati, MMSI selaku Sekertaris Program Studi Sistem Informasi


Jakarta.

4. Bapak Dr. Syopiansyah Jaya Putra, M.SI, selaku dosen pembimbing I yang

secara bijaksana dan kooperatif telah memberikan ilmu dan bimbingan dengan

sabar serta membantu, dan mendukung secara moral maupun teknis selama

penyusunan skripsi ini.

5. Ibu Suci Ratnawati, M.TI, selaku dosen pembimbing II yang telah banyak

memberikan motivasi, ilmu baru, arahan serta bijaksana dan selalu meluangkan

waktu dalam membimbing proses penyusunan skripsi ini.

6. Dosen-dosen Program Studi Sistem Informasi yang telah memberikan ilmu,

motivasi, dan nasehat selama peneliti duduk di bangku perkuliahan.

7. Bapak. Ali Mas’at, S.Si, M.kom selaku Kepala Subbidang Manajemen

Teknologi Informasi di Pusat Jaringan Komunikasi pada Badan Meteorologi

Klimatologi dan Geofisika, yang telah membantu peneliti dalam mendapatkan

izin untuk dapat melakukan penelitian di Pusat Jaringan Komunikasi.

8. Mas Frank dan Mbak Nunik selaku Staff Senior Subbidang Manajemen


Klimatologi dan Geofisika, selaku Pembimbing yang selalu sabar, bersedia

meluangkan waktunya dan telah banyak membantu peneliti dalam

vii

mengumpulkan kelengkapan data riset serta memberikan saran untuk skripsi

ini.

9. Staff Subbidang Manajemen Teknologi Informasi lainnya yang tidak dapat

peneliti sebutkan satu per satu yang selalu membantu dalam pelaksanaan

penelitian ini.

10. Bapak Suyatno dan Ibu Wantini, Orang tua yang sangat saya sayangi dan cintai,

terima kasih atas doa, dukungan, dan semuanya yang telah diberikan.

11. Adik saya Aprianto, terimakasih atas doa dan dukungannya baik moral maupun

bantuan tenaga yang diberikan selama proses penyelesaian skripsi ini

12. Kawan – Kawan Penikmat Semesta (PESTA) terima kasih atas seni pergabutan

selama ini dan menjelaskan kata “puncak” bukan hanya milik gunung dan

pelaminan saja.

13. Seseorang yang telah memberikan waktu untuk berbagi cerita, motivasi, do’a

dan teguran. Serta mengajarkan sabar, rindu, percaya, dan komunikasi jarak

jauh bagi penulis.

14. Seluruh pihak yang telah banyak membantu dalam penyelesaian skripsi ini yang

tidak bisa disebutkan namanya satu persatu, namun tidak mengurangi rasa

hormat dan rasa terima kasih.

Penulis sadar bahwa penyusunan skripsi ini masih jauh dari sempurna, maka

dari itu penulis menerima kritik dan saran yang konstruktif agar penyusunan skripsi

ini menjadi lebih baik lagi.

Akhir kata, semoga skripsi ini dapat bermanfaat bagi semua pihak terutama

teman-teman Sistem Informasi UIN Syarif Hidayatullah Jakarta, baik sebagai

viii

bahan karya tulis berupa informasi, perbandingan maupun dasar untuk penelitian

materi lebih lanjut.

Jakarta, 19 Maret 2019


1112093000072

ix

DAFTAR ISI

PENGESAHAN UJIAN ......................................................................................... i

PENGESAHAN SKRIPSI .................................................................................... ii

PERNYATAAN .................................................................................................... iii

ABSTRAK ............................................................................................................ iv

KATA PENGANTAR ........................................................................................... v

DAFTAR ISI ......................................................................................................... ix

DAFTAR GAMBAR .......................................................................................... xiv

DAFTAR TABEL ............................................................................................... xv

BAB I PENDAHULUAN ...................................................................................... 1

1.1 Latar Belakang Permasalahan .................................................................. 1

1.2 Identifikasi Masalah ................................................................................. 8

1.3 Batasan Masalah ....................................................................................... 9

1.4 Tujuan Penelitian ...................................................................................... 9

1.5 Manfaat Penelitian .................................................................................. 10

1.6 Metodologi Penelitian ............................................................................ 11

1.6.1 Metodologi Pengumpulan Data ...................................................... 11

1.6.2 Metodologi Analisis Data ............................................................... 11

1.6.2.1 Metode Penerapan Tata Kelola Teknologi Informasi ................. 12

1.7 Sistematika Penulisan ............................................................................. 13

BAB II LANDASAN TEORI ............................................................................. 15

2.1 Tata Kelola Keamanan Teknologi Informasi ......................................... 15

2.1.1 Teknologi Informasi ........................................................................ 15

2.1.2 Tata Kelola Teknologi Informasi .................................................... 15

2.1.2.1 Tujuan Tata Kelola Teknologi Informasi .................................... 16

2.1.3 Tata Kelola Teknologi Informasi Nasional ..................................... 17

2.1.4 Keamanan Teknologi Informasi ...................................................... 18

2.1.5 Pentingnya Keamanan Teknologi Informasi ................................... 19

2.2 Kerangka Kerja (Framework) Keamanan Teknologi Informasi ............ 20

2.2.1 BS 7799 ........................................................................................... 21

x

2.2.2 ITIL ................................................................................................. 21

2.2.3 COBIT ............................................................................................. 22

2.2.4 ISO 27000 Family ........................................................................... 24

2.3 Framework COBIT 5 ............................................................................. 25

2.3.1 Coverage COBIT 5 ......................................................................... 27

2.3.2 Perbedaan COBIT 5 dengan COBIT 4.1......................................... 30

2.3.3 Process Reference Model ................................................................ 31

2.3.3.1 Evaluate, Direct, and Monitor (EDM) ......................................... 32

2.3.3.2 Align, Plan, and Organise (APO) ................................................ 33

2.3.3.3 Build, Acquire, and Implementation (BAI) ................................. 34

2.3.3.4 Delivery, Service, and Support (DSS) ......................................... 35

2.3.3.5 Monitor, Evaluate, and Assess (MEA) ........................................ 35

2.3.4 Implementasi COBIT 5 ................................................................... 36

2.3.5 RACI ............................................................................................... 39

2.3.6 Process Assessment Model .............................................................. 45

2.3.6.1 Assessment Process Activities .................................................... 46

2.3.6.2 Indikator Kapabilitas Proses dalam COBIT 5 ............................. 48

2.3.7 Pemetaan Tujuan Terkait TI Terhadap Proses COBIT 5 ................ 49

2.3.8 Fokus Area Evaluasi Tata Kelola TI ............................................... 52

2.3.8.1 Proses APO 12 (Manage Risk) .................................................... 52

2.3.8.2 Proses APO 13 (Manage Security) .............................................. 52

2.3.8.3 Proses DSS05 (Manage Security Services) ................................. 53

2.4 Framework ISO 27002 ........................................................................... 53

2.4.1 Hubungan dengan ISO/IEC 27001 ................................................. 54

2.4.2 Struktur dan format ISO/IEC 27002: 2013 ..................................... 54

2.4.3 Content ISO/IEC 27002 .................................................................. 55

2.5 Pemetaan Proses COBIT kedalam Kontrol ISO ..................................... 69

2.6 Metode Perhitungan ............................................................................... 70

2.6.1 Skala Likert ..................................................................................... 70

2.6.2 Skala Rating Scale........................................................................... 71

2.6.3 Perhitungan Capability Level .......................................................... 73

2.7 Metode Pengumpulan Data .................................................................... 75

xi

2.8 Kajian Penelitian Sebelumnya ................................................................ 76

BAB III METODE PENELITIAN .................................................................... 79

3.1 Waktu dan Tempat Penelitian ................................................................ 79

3.2 Data dan Perangkat Penelitian ................................................................ 79

3.3 Metode Penelitian ................................................................................... 80

3.3.1 Desain Penelitian ............................................................................. 80

3.3.2 Metode Pengumpulan Data ............................................................. 80

3.3.3 Metode Analisis Data ...................................................................... 87

3.4 Metode Penerapan Tata Kelola Teknologi Informasi ............................ 87

3.4.1 Tahap 1 – Initiate Programme ........................................................ 87

3.4.2 Tahap 2 – Define Problems and Opportunities .............................. 88

3.4.3 Tahap 3 – Define Road Map ........................................................... 89

3.4.4 Tahap 4 – Plan Programme ............................................................ 90

3.5 Kerangka Berfikir Penelitian .................................................................. 90

BAB IV HASIL DAN PEMBAHASAN ............................................................ 92

4.1 Tahap 1 - Initiate Programme ................................................................ 92

4.1.1 Pengumpulan Data .......................................................................... 92

4.1.1.1 Gambaran Umum Badan Meteorologi Klimatologi dan Geofisika

(BMKG)………………………………………..…………………………93

4.1.1.2 Struktur Organisasi Badan Meteorologi Klimatologi dan

Geofisika (BMKG)..................................................................................... 95

4.1.1.3 Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi dan

Geofisika (BMKG)..................................................................................... 96

4.1.2 Penentuan Goal Cascade dan RACI ............................................. 101

4.1.2.1 Pemetaan Domain Proses .......................................................... 101

4.1.2.2 Diagram RACI .......................................................................... 105

4.1.2.2.1 Identifikasi Diagram RACI Manage Risk (APO12) ............ 105

4.1.2.2.2 Identifikasi Diagram RACI Manage Security (APO13) ...... 107

4.1.2.2.3 Identifikasi Diagram RACI Manage Security Services

(DSS05) 108

4.2 Tahap 2 - Define Problems and Opportunities .................................... 110

4.2.1 Pengukuran Capability Level ........................................................ 111

4.2.1.1 Temuan Data ............................................................................. 111

xii

4.2.1.1.1 Temuan Data Proses APO12 (Manage Risk) ....................... 112

4.2.1.1.2 Temuan Data Proses APO13 (Manage Security) ................. 113

4.2.1.1.3 Temuan Data Proses DSS05 (Manage Security Services) ... 114

4.2.1.2 Pengolahan Data Responden ..................................................... 116

4.2.1.2.1 Pengolahan Data Responden APO12 (Manage Risk) .......... 117

4.2.1.2.2 Pengolahan Data Responden APO13 (Manage Security) .... 123

4.2.1.2.3 Pengolahan Data Responden DSS05 (Manage Security

Services) 126

4.2.1.3 Perhitungan Capability Level .................................................... 133

4.2.1.3.1 Perhitungan Capability Level APO12 (Manage Risk) ......... 133

4.2.1.3.2 Perhitungan Capability Level APO13 (Manage Security) ... 136

4.2.1.3.3 Perhitungan Capability Level DSS05 (Manage Security

Services)…… ....................................................................................... 137

4.2.2 Hasil Perhitungan Keseluruhan Capability Level ......................... 141

4.3 Tahap 3 - Define Road Map ................................................................. 147

4.3.1 Analisis Kesenjangan Kapabilitas Proses ..................................... 149

4.3.1.1 Pemenuhan Proses APO12 ........................................................ 149


4.3.1.3 Pemenuhan Proses DSS05 ......................................................... 164

4.4 Tahap 4 - Plan Programme .................................................................. 174

4.5.1 Gap dan Rekomendasi................................................................... 175

4.4.1.1 Gaps dan Rekomendasi Proses APO12 (Manage Risk) ............ 175

4.4.1.2 Gaps dan Rekomendasi Proses APO13 (Manage Security) ...... 180

4.4.1.3 Gaps dan Rekomendasi Proses DSS05 (Manage Security

Services) ................................................................................................... 184

4.5.2 Pemetaan Proses COBIT dan ISO 27002 ..................................... 192

4.5.3 Perancangan Usulan Berdasarkan ISO 27002 .............................. 195

4.5.3.1 Panduan Implementasi Manajemen Insiden .............................. 195

4.5.3.2 Rancangan Pengelolaan Hak Akses .......................................... 200

4.5.3.3 SOP Ruang Data Center ............................................................ 208

4.5.4 Implikasi ........................................................................................ 213

4.5.5 Perbandingan Penelitian Terdahulu .............................................. 214

4.5.6 Limited Of Study ............................................................................ 215

xiii

BAB V PENUTUP ............................................................................................. 218

5.1 Kesimpulan ........................................................................................... 218

5.2 Saran ..................................................................................................... 219

DAFTAR PUSTAKA ........................................................................................ 221

LAMPIRAN – LAMPIRAN ............................................................................. 226

xiv

DAFTAR GAMBAR

Gambar 2.1 Struktur dan Peran Tata Kelola........................................................ 18

Gambar 2.2 Evolution of Scope .......................................................................... 23

Gambar 2.3 Coverage COBIT 5 (ISACA, 2012) ................................................ 27

Gambar 2.4 Process Reference Model (ISACA, 2012) ....................................... 32

Gambar 2.5 Siklus Hidup Implementasi COBIT 5 (ISACA, 2012) .................... 36

Gambar 2.6 RACI Chart APO12 (ISACA,2012:142) ......................................... 44

Gambar 2.7 Proses Assessment Process Activities (ISACA, 2012) ................... 46

Gambar 2.8 COBIT 5 Process Capability Model (ISACA, 2013:42) ................ 49

Gambar 2.9 Pemetaan IT-related goal pada COBIT 5 ........................................ 50

Gambar 2.10 Pemetaan IT-related goal pada COBIT 5 (lanjutan) ...................... 51

Gambar 2.11 Klausul ISO 27002 2013 ............................................................... 55

Gambar 2.12 ISO 27000 Family (Sumber: Sarno dan Iffano, 2009: 56) ............ 68

Gambar 3. 1 Kerangka Berpikir .......................................................................... 91

Gambar 4. 1 Struktur Organisasi ......................................................................... 95

Gambar 4. 2 Pemetaan IT Enterprise Goal COBIT 5 ........................................ 102

Gambar 4. 3 Pemetaan Proses Terkait COBIT 5 ............................................... 103

Gambar 4. 4 RACI Chart APO12 (ISACA, 2012) ............................................ 106


Gambar 4. 6 RACI Chart DSS05 (ISACA, 2012) ............................................. 108

Gambar 4. 7 Grafik Nilai Kapabilitas APO12 ................................................... 141


Gambar 4. 9 Grafik Nilai Kapabilitas DSS05 ................................................... 145

Gambar 4. 10 Rancangan Rekomendasi Alur Permohonan Hak Akses ............ 205

Gambar 4. 11 Rancangan Rekomendasi Alur Kunjungan Data Center ............ 212

xv

DAFTAR TABEL

Tabel 2.1 Jumlah Klausul ISO 27002 .................................................................. 67

Tabel 2.2 Ketentuan Nilai Skala Likert ................................................................ 71

Tabel 2.3 Rating Levels (ISACA, 2012) .............................................................. 72

Tabel 2.4 Pemetaan Jawaban Nilai dan Tingkat Kapabilitas ............................... 74

Tabel 3. 1 Penelitian Sejenis ................................................................................ 87

Tabel 4. 1 Responden Terpilih APO12 .............................................................. 106



Tabel 4. 4 Rekapitulasi Jawaban Kuesioner Capability Level APO12.01 ......... 117






Tabel 4. 10 Rekapitulasi Jawaban Kuesioner Capability Level APO13.01 ....... 123



Tabel 4. 13 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.01 ........ 126







Tabel 4. 20 Nilai Kapabilitas dan Tingkat Kapabilitas APO12 ......................... 141


Tabel 4. 22 Nilai Kapabilitas dan Tingkat Kapabilitas DSS05 .......................... 144

Tabel 4. 23 Proses APO12 PA 1.1 Process Performance ................................... 151

xvi

Tabel 4. 24 Proses APO12 PA 2.1 Performance Management .......................... 155

Tabel 4. 25 Proses APO12 PA 2.2 Product Management .................................. 156




Tabel 4. 29 Proses DSS05 PA 1.1 Process Performance ................................... 165

Tabel 4. 30 Proses DSS05 PA 2.1 Performance Management ........................... 169

Tabel 4. 31 Proses DSS05 PA 2.2 Product Management ................................... 171

Tabel 4. 32 Gaps dan Rekomendasi APO12.02 ................................................. 178






Tabel 4. 38 Gaps dan Rekomendasi DSS05.01 .................................................. 187





Tabel 4. 43 Mapping COBIT 5 to ISO 27002 .................................................... 194

Tabel 4. 44 Penyesuaian Aktifitas Manajemen Insiden dengan Control ISO 27002

............................................................................................................................. 200

Tabel 4. 45 Penyesuaian Aktifitas Pengelolaan Hak Akses dengan Control ISO

27002 ................................................................................................................... 205

1

BAB I

PENDAHULUAN

1.1 Latar Belakang Permasalahan

Penggunaan teknologi informasi pada suatu instansi tentunya akan

membawa banyak keuntungan bagi instansi itu sendiri. Peningkatan peran

teknologi informasi nantinya harus berbanding lurus dengan investasi yang

dikeluarkan dan pencapaian visi instansi tersebut. Hal ini akan membutuhkan

perencanaan yang matang dalam pelaksanaan investasi teknologi informasi

nantinya. Untuk itulah diperlukan adanya tata kelola teknologi informasi yang baik

pada suatu instansi dimulai dari perencanaan sampai dengan implementasi agar

instansi tersebut dapat berjalan secara optimal (Jogiyanto, 2012).

Teknologi Informasi merupakan aset yang sangat berharga bagi suatu

perusahaan, dimana perannya telah mampu mengubah pola kerja, kinerja SDM dan

juga sistem manajemen dalam mengelola sebuah organisasi (Haewon, 2016).

Penerapan teknologi informasi (TI) pada proses bisnis suatu organisasi dipandang

mampu menjadi sebuah solusi yang nantinya dapat meningkatkan daya saing

perusahaan dalam industri (Nugroho H, 2014). Hal ini menyebabkan pentingnya

peningkatan peran TI agar selaras dengan investasi yang telah dikeluarkan. Upaya

ini tentu harus diimbangi dengan pengaturan dan pengelolaan yang tepat, sehingga

kerugian yang mungkin terjadi dapat dihindari. Kerugian yang dimaksud seperti

pengadaan investasi TI yang bernilai tinggi namun tidak diimbangi dengan nilai

balik yang menguntungkan bagi perusahaan. Hal tersebut tentu dapat berpengaruh

2

terhadap efektifitas dan efisiensi dalam pencapain tujuan dan strategi organisasi

(Mardjiono, 2009).

Pada jurnal (Putra, 2019) menjelaskan bahwa Tata Kelola Teknologi

Informasi (ITG) adalah bagian terpadu dari transformasi teknologi informasi dan

manajemen organisasi yang mencakup kepemimpinan, struktur, dan proses

organisasi untuk memastikan bahwa teknologi informasi dimanfaatkan seoptimal

mungkin. ITG juga diperlukan untuk mendapatkan nilai dari investasi TI mereka

dan menciptakan keunggulan kompetitif. Tata kelola TI mengubah kondisi

organisasi dalam mengambil keputusan, mengatur proses, dan menetapkan struktur

organisasi.

Keamanan informasi adalah perlindungan informasi dari berbagai ancaman

untuk memastikan kelangsungan bisnis, meminimalkan risiko bisnis, dan

memaksimalkan pengembalian investasi dan peluang bisnis (Sheikhpour, 2016), uji

tuntas harus dilakukan untuk memastikan risiko diketahui dan dikelola ketika

berurusan dengan aset perusahaan dan perlindungannya. Ini melibatkan uji tuntas

dalam mengidentifikasi dan menilai risiko keamanan bisnis dan informasi, serta

menerapkan sistem kontrol yang efektif, pemantauan dan tinjauan berkala

dilakukan untuk memastikan kontrol tetap efektif. dan jika tidak berjalan dengan

baik, harus dilakukan perbaikan dengan tepat dan cepat. Dengan kata lain, harus

ada proses tata kelola keamanan informasi yang berlaku khususnya untuk

melindungi aset informasi organisasi (Humphreys, 2008).

Ada beberapa framework pengelolaan teknologi informasi yang digunakan

secara luas dan salah satunya adalah IT Governance yang terdapat pada COBIT

3

(Control Objectives for Information and Related Technology). COBIT dapat

dikatakan sebagai kerangka kerja teknologi informasi yang dipublikasikan oleh

ISACA (Information System Audit and Control Association). COBIT berfungsi

mempertemukan semua bisnis kebutuhan kontrol dan isu-isu teknik. Di samping

itu, COBIT juga dirancang agar dapat menjadi alat bantu yang dapat memecahkan

permasalahan pada IT governance dalam memahami dan mengelola resiko serta

keuntungan yang behubungan dengan sumber daya informasi perusahaan.

Agar tata kelola keamanan informasi dapat berjalan dengan baik diperlukan

suatu standar untuk melakukan tata kelola tersebut (Tanuwijaya dan Sarno, 2010:

80). Menurut (Sarno dan Iffano, 2009: 59) tidak ada acuan baku mengenai standar

apa yang akan digunakan atau dipilih oleh perusahaan untuk melaksanakan audit

keamanan sistem informasi. ISO27002 adalah sebuah standar internasional yang

tidak terikat dengan peraturan negara manapun. Penggunaan standar ISO27002

adalah bersifat voluntary yang berarti bahwa masing-masing organisasi dapat

memilih praktik terbaik mana yang digunakan yang cocok dengan kebutuhan

organisasi. Selain itu, pertimbangan lainnya adalah ISO 27002 menyediakan

sertifikat implementasi Sistem Manajemen Keamanan Informasi (SMKI) yang

diakui secara internasional yang disebut Information Security Management Sistem

(ISMS) certification (Sarno dan Iffano, 2009:59-60).

COBIT 5 digunakan untuk memetakan permasalahan dengan proses-proses

terkait, memperoleh proses-proses yang berkaitan dengan tata kelola (governance),

serta melakukan assessment untuk menilai kondisi implementasi saat ini dan yang

diharapkan, sedangkan ISO 27002 memberikan rekomendasi praktik terbaik untuk

4

sistem manajemen keamanan informasi (ISMS, Information Security Management

System) yang didefinisikan dalam standar konteks C-I-A: confidentiality

(kerahasiaan), integrity (integritas), dan availabity (ketersediaan). Kerangka kerja

COBIT yang diterapkan bersama dengan ISO 27002, diharapkan dapat membantu

menyelesaikan masalah-masalah yang terjadi di BMKG khususnya manajemen

risiko dan manajemen keamanan yang sangat membutuhkan pengelolaan lebih

baik.

Terdapat beberapa fakta yang telah penulis dapatkan dari studi literatur dan

beberapa penelitian jurnal terkait dengan pengelolaan COBIT 5 dan ISO 27002,

penulis mendapatkan ide usulan pengelolaan menggunakan COBIT dan ISO 27002

karena berdasarkan tulisan (Ariyani, 2013) peningkatan perhatian pada unsur

keamanan dan penerapan teknologi informasi sangat penting demi keberlangsungan

suatu organisasi di era digital saat ini. (Sudhista, 2015) juga menerangkan bahwa

perbedaan dan persamaan yang terdapat pada model framework COBIT, ITIL, dan

ISO/IEC 27002 yang diintergrasikan akan merangkai sebuah usulan framework

yang komprehensif sehingga dapat digunakan untuk setiap organisasi., kemudian

peneliti juga melihat kutipan (Nastase Pavel, 2009) yaitu perusahaan harus

mempertimbangkan lingkungan TI saat ini dan banyaknya standar yang dapat

diterapkan pada sistem informasi, merupakan tantangan bagi setiap organisasi

untuk memilih serangkaian standar yang paling sesuai yang memenuhi kebutuhan

mereka. Peneliti (Gupta, Dwivedi, & Chaurasiya, 2013) memberikan gambaran

bahwa jika kerangka kerja keamanan tidak terapkan maka tidak akan diketahui

sejauh mana standar lain dapat dicapai dan ini membuat bertambahnya biaya dan

5

waktu yang dikeluarkan. (John Walhoff, 2005) juga berkesimpulan bahwa saat ini

setiap organisasi harus mampu menyediakan layanan TI secara efisien biaya,

berikut dengan risiko keamanan dan memenuhi persyaratan hukum. Pada

prinsipnya faktor-faktor itu sulit diterapkan, untuk itu perlu kombinasi ITIL,

COBIT dan ISO 17799. ITIL digunakan untuk mendefinisikan proses, COBIT

untuk metrik, tolak ukur dan audit sedangkan ISO 17799 digunakan untuk

mengatasi masalah keamanan untuk mengurangi resiko.

Berdasarkan peraturan Menteri Komunikasi dan Informatika Nomor

41/PER/MEN/KOMINFO/11/2007, dinyatakan bahwa untuk memastikan

penggunaan TIK benar-benar mendukung tujuan penyelenggaraan pemerintahan,

dengan memperhatikan efisiensi penggunaan sumberdaya dan pengelolaan risiko,

diperlukan Good Governance terkait dengan TIK, yang disebut sebagai Tata Kelola

TIK (The Ministry of Communication and Information Technology of the Republic

of Indonesia, 2017).

Badan Meteorologi Klimatologi dan Geofisika sebagai Lembaga

Pemerintah Non Departemen (LPND) adalah instansi pelayanan dan penyediaan

informasi di bidang meteorologi, klimatologi dan geofisika. Berdasarkan

Keputusan Presiden Republik Indonesia Nomor 46 dan Nomor 48 Tahun 2002

struktur organisasinya diubah menjadi Lembaga Pemerintah Non Departemen

(LPND) dengan nama tetap Badan Meteorologi Klimatologi dan Geofísika.

Kegiatan Meteorologi dan Geofísika pada awalnya hanya pada pengamatan cuaca

atau hujan. Namun kemudian meningkat dan mencakup berbagai kegiatan, seperti

pengamatan Medan magnit, seismatik dan meteorologi untuk berbagai macam

6

keperluan. BMKG memiliki berbagai macam unit kerja TI dan Non-TI salah

satunya adalah Pusat Jaringan Komunikasi. Pusat Jaringan Komunikasi adalah

salah satu unit kerja IT dari BMKG yang mempunyai tugas melaksanakan

pengelolaan operasional jaringan komunikasi, melakukan pengembangan terhadap

jaringan komunikasi yang ada serta mengelola manajemen jaringan komunikasi

pada BMKG. Pusat Jaringan Komunikasi memiliki tiga bidang yaitu Bidang

Operasional Jaringan Komunikasi, Bidang Pengembangan Jaringan Komunikasi

dan Bidang Manajemen Jaringan Komunikasi (Meteorologi & Geofisika, 2009).

Pusat Jaringan Komunikasi BMKG telah menggunakan standar ISO 27001

dalam pelaksanaan tata kelola teknologi informasi sesuai peraturan pemerintah,

yang mewajibkan lembaga pemerintahan menerapkan standar ISO 27001 karena

merupakan framework yang memiliki standar internasional (Komunikasi,

Meteorologi, & Dan, 2015). Penerapan standar menggunakan ISO 27001 ini telah

menghasilkan dokumen kebijakan keamanan informasi yang saat ini digunakan

sebagai acuan dan sedang coba diimplementasikan oleh Pusat Jaringan Komunikasi

BMKG. Namun setelah dilakukannya penerapan standar ISO 27001 3 tahun

belakangan ini, masih banyak standar yang belum bisa terimplementasi akibat

kurangnya pemahaman dan arahan teknis terhadap SDM terkait.

Akibat belum menyeluruhnya penerapan ISO 27001 adalah hak akses masih

terlalu fleksibel terkait aset ataupun Data Center karena kurangnya ketegasan dan

arahan teknis, karena sistem yang ada pada BMKG belum terintegrasi dengan baik

antara masing masing bidang, maka setiap bidang memiliki sistem dari vendor

berbeda dan server masing-masing yang ditempatkan didalam satu ruang Data

7

Center, itu juga yang membuat lamanya penanganan jika salah satu sistem pada

BMKG mengalami insiden, karena bidang terkait biasanya menghubungi vendor

developer untuk membantu menangani atau memperbaiki sistem tersebut, insiden

tersebut juga sering terjadi berulang dikarenakan minimnya pendokumentasian

terhadap insiden pada Pusat Jaringan Komunikasi BMKG.

Mengingat permasalahan yang dihadapi Pusat Jaringan Komunikasi BMKG

menyangkut kontrol akses dan resiko/insiden keamanan informasi serta standar ISO

27002 adalah penyempurna standar yang sebelumnya telah diterapkan yaitu ISO

27001 dan sangat fleksibel dikembangkan tergantung pada kebutuhan organisasi,

tujuan organisasi, persyaratan keamanan, proses bisnis, jumlah pegawai dan ukuran

struktur organisasi. Maka diharapkan dengan adanya pengelolaan keamanan

informasi pada Badan Meteorologi Klimatologi dan Geofisika menggunakan

framework COBIT 5 dan ISO 27002 dapat mengetahui kelemahan-kelemahan

sistem yang menjadi penyebab permasalahan keamanan informasi yang selama ini

terjadi. Selain dapat mengukur tingkat keamanan yang dimiliki Badan Meteorologi

Klimatologi dan Geofisika. Usulan menggunakan COBIT 5 dan ISO 27002 ini juga

menghasilkan rekomendasi tentang perbaikan yang harus dilakukan untuk

meningkatkan keamanan informasi pada perusahaan, serta menjadi pertimbangan

untuk menerapkan secara menyeluruh untuk memperoleh ISMS certification

dengan standar ISO 27002 pada masa mendatang.

8

Berdasarkan uraian diatas, maka penulis bermaksud untuk melakukan

penelitian dengan judul “Evaluasi Tata Kelola Keamanan Sistem Informasi

Menggunakan Framework COBIT 5 dan ISO 27002 (Studi Kasus: Pusat

Jaringan Komunikasi Badan Meteorologi Klimatologi dan Geofisika).”

1.2 Identifikasi Masalah

Berdasarkan uraian dari latar belakang diatas, maka identifikasi masalah

yang terdapat didalam BMKG di Pusat Jaringan Komunikasi, adalah:

1. Sudah adanya tata kelola manajemen keamanan menggunakan framework ISO

27001 namun penerapannya belum maksimal sehingga menyebabkan lemahnya

manajemen kontrol hak akses.

2. Perijinan terhadap kunjungan ruang Data Center terlalu fleksibel sehingga

menyebabkan kurangnya keamanan database dan infrastruktur serta rawannya

pencurian data didalam Data Center Pusat Jaringan Komunikasi BMKG.

3. Penerapan manajemen resiko dan pendokumentasian insiden yang minim

mengakibatkan sering terjadinya insiden yang berulang pada Pusat Jaringan

Komunikasi .

Atas landasan identifikasi masalah tersebut maka perumusan masalah dalam

penelitian ini adalah bagaimana kondisi Tata Kelola Keamanan Teknologi

Informasi berdasarkan framework Control Objectives For Information and Related

Technology (COBIT) 5 dan International Standards Organization (ISO) 27002 di

BMKG?

9

1.3 Batasan Masalah

Berdasarkan identifikasi masalah di atas, maka batasan masalah penelitian

ini, adalah:

a. Penelitian mengenai Evaluasi Tata Kelola Keamanan Teknologi Informasi ini

dilakukan pada Badan Meteorologi Klimatologi dan Geofisika bagian Pusat

Jaringan Komunikasi.

b. Penelitian ini menggunakan framework COBIT 5 untuk menghitung Capability

Level dan menggunakan Standar ISO 27002 sebagai pedoman perancangan

rekomendasi tata kelola keamanan teknologi informasi.

c. Peneliti hanya berfokus pada 3 domain dalam COBIT 5 sebagai acuan bahan

evaluasi yaitu APO12 (Manage Risk), APO13 (Manage Security) dan DSS05

(Manage Security Services).

d. Tahapan usulan penerapan tata kelola keamanan teknologi informasi yang

digunakan dalam penelitian ini adalah: Initiate Programme, Define Problems

and Opportunities, Define Road Map, Plan Programme.

e. Skala pengukuran Capability level pada penelitian ini menggunakan skala

Likert.

1.4 Tujuan Penelitian

Pada penelitian ini, terdapat dua jenis tujuan penelitian, yaitu tujuan umum

dan tujuan khusus. Tujuan umum penelitian adalah mengetahui kondisi tata kelola

keamanan teknologi informasi dan memberikan usulan perancangan berdasarkan

10

rekomendasi pada Pusat Jaringan Komunikasi BMKG. Sedangkan tujuan khusus

penelitian ini adalah sebagai berikut:

1. Mengetahui Capability Level tata kelola keamanan teknologi informasi saat ini

dengan yang diharapkan di Pusat Jaringan Komunikasi BMKG.

2. Menganalisis temuan-temuan gap dari hasil pengumpulan evidence terhadap

perhitungan Capability Level.

3. Memberikan rekomendasi perbaikan pengelolaan keamanan teknologi

informasi di Pusat Jaringan Komunikasi BMKG berdasarkan kerangka kerja

COBIT 5.

4. Memberikan usulan rancangan perbaikan pengelolaan keamanan teknologi


standar ISO 27002.

1.5 Manfaat Penelitian

Adapun manfaat dari penelitian yang dilakukan adalah sebagai berikut:

1. Memberikan gambaran pada organisasi mengenai tata kelola teknologi

informasi yang baik (Good Governance) berdasarkan kerangka kerja COBIT 5

dan standar ISO 27002.

2. Membantu organisasi dalam mengelola keamanan teknologi informasi.

3. Menjadi pertimbangan penerapan Standar ISO 27002 secara keseluruhan untuk

memperoleh ISMS certification pada masa mendatang.

4. Menjadikan salah satu referensi bagi peneliti selanjutnya, khususnya dalam

melakukan evaluasi tata kelola keamanan teknologi informasi.

11

1.6 Metodologi Penelitian

Pada penelitian ini, penulis menggunakan beberapa metode pada saat

melakukan kegiatan penelitian. Penulis menggunakan metode-metode sebagai

berikut:

1.6.1 Metodologi Pengumpulan Data

1. Observasi

Observasi dilakukan dengan mengamati secara langsung wilayah penelitian

yang dilakukan, yaitu pada BMKG.

2. Wawancara

Wawancara yang dilakukan oleh peneliti untuk mengetahui kondisi umum

teknologi informasi pada BMKG.

3. Kuesioner

Kuesioner adalah teknik pengumpulan data yang dilakukan dengan cara

memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden

untuk dijawab (Sugiyono, 2012).

4. Studi Literatur

Studi literatur adalah kegiatan peneliti yang dilakukan dengan membaca dan

mempelajari bahan pustaka, seperti buku-buku, jurnal dan penelitian sejenis

yang sebelumnya telah dilakukan.

1.6.2 Metodologi Analisis Data

Penelitian ini menggunakan metode analisis data kualitatif yang

menekankan pada sumber data dan fakta. Kemudian data dikembangkan dengan

12

acuan pada 4 tahapan COBIT Lifecycle yaitu Initiate Programme, Define Problems

and Opportunities, Define Road Map, dan Plan Programme.

1.6.2.1 Metode Penerapan Tata Kelola Teknologi Informasi

Dalam penerapan tata kelola teknologi informasi terdapat beberapa tahapan

berdasarkan acuan pada kerangka kerja (framework) yaitu:

1. Tahap 1 – Initiate Programme

Pada tahap ini, peneliti melakukan pengumpulan data primer berupa

informasi terkait Profil Pusat Jaringan Komunikasi, tata kelola teknologi

informasi dan mengidentifikasi kebutuhan perubahan pada tingkat

manajemen eksekutif yang bertujuan untuk memperoleh pemahaman

tentang organisasi dan masalah saat ini yang dihadapi BMKG.

2. Tahap 2 – Define Problems and Opportunities

Tahap kedua adalah menjelaskan tentang kemampuan organisasi saat ini,

kekurangan yang dimiliki, pengelolaan yang diharapkan dan semua yang

berhubungan dengan tata kelola keamanan TI dan strategi organisasi.

3. Tahap 3 – Define Road Map

Pada tahapan ini, peneliti menetapkan target untuk perbaikan yang diikuti

dengan analisis gap untuk mengidentifikasi potensi solusi.

4. Tahap 4 – Plan Programme

Pada tahap ini menjelaskan tentang rencana dan solusi praktis untuk

organisasi dengan mendefinisikan rekomendasi perbaikan berdasarkan

framework COBIT 5 yang mendukung tujuan organisasi dan perubahan

13

rencana pengembangan untuk kemudian menghasilkan dokumen usulan tata

kelola keamanan teknologi informasi berdasarkan framework ISO 27002.

1.7 Sistematika Penulisan

Dalam penyusunan laporan ini pembahasan terbagi dalam lima bab yang

secara singkat akan diuraikan sebagai berikut:

BAB I PENDAHULUAN

Pada bab ini berisikan latar belakang permasalah, identifikasi

masalah, rumusan masalah, batasan masalah, tujuan penelitian,

manfaat penelitian, metodologi penelitian, serta sistematika

penulisan.

BAB II LANDASAN TEORI

Pada bab ini membahas definisi dan teori-teori yang digunakan

sebagai acuan atau dasar dalam penelitian yang berhubungan

dengan Tata Kelola TI berupa, pengertian keamanan teknologi

informasi, pengertian tata kelola TI, penjelasan beberapa

framework keamanan TI, definisi skala perhitungan Capability

Level serta definisi metode penerapan dengan menggunakan

kerangka kerja COBIT 5 dan ISO 27002.

BAB III METODOLOGI PENELITIAN

Pada bab ini peneliti menguraikan tentang metodologi COBIT

Lifecycle yang berfokus pada 4 tahapan yaitu Initiate

Programme, Define Problems and Opportunities, Define

14

Roadmap, dan Plan Programme yang digunakan dalam

melakukan penelitian dan menampilkan kerangka berpikir dalam


BAB IV HASIL DAN PEMBAHASAN

Pada bab ini peneliti menguraikan secara singkat tentang profil

perusahaan serta hasil dari penelitian capability level tata kelola

teknologi informasi saat ini (as is) dan yang diharapkan (to be)

yang berawal dari perhitungan kuesioner hingga pemenuhan

dokumen sesuai dengan tingkat level yang dicapai berdasarkan

framework COBIT 5 dan juga menentukan rekomendasi serta

perancangan usulan pengelolaan Teknologi Informasi

berdasarkan framework ISO 27002. Bab ini juga berisi tentang

Implikasi dari penelitian ini serta Limited Of Study yang berisi

tentang keterbatas apa saja yang dialami peneliti.

BAB V PENUTUP

Bab ini merupakan penutup yang berisi kesimpulan dari

pembahasan pada bab sebelumnya dan saran untuk perbaikan

dalam penerapan tata kelola teknologi informasi di BMKG.

15

BAB II

LANDASAN TEORI

2.1 Tata Kelola Keamanan Teknologi Informasi

Tata Kelola Keamanan Teknologi Informasi sangat penting dan sangat

dibutuhkan oleh perusahaan terutama instansi pemerintahan, ada beberapa

penjelasan mengenai tata kelola keamanan teknologi informasi, berikut adalah

penjabarannya :

2.1.1 Teknologi Informasi

Teknologi informasi adalah penerapan teknologi komputer yang berfungsi

untuk menciptakan, menyimpan, mempertukarkan dan menggunakan informasi

dalam berbagai bentuk (Fauziah, 2010).

Teknologi informasi merupakan sebuah bentuk umum yang

menggambarkan setiap teknologi yang membantu menghasilkan, memanipulasi,

menyimpan, mengkomunikasikan dan menyampaikan informasi (Seesar, 2010).

Berdasarkan uraian dari para ahli tersebut maka dapat disimpulkan

teknologi informasi adalah sebuah penerapan komputerisasi terhadap penyampaian

informasi serta untuk mendukung agar setiap informasi dapat diterima sesuai

kebutuhan pengguna.

2.1.2 Tata Kelola Teknologi Informasi

Tata Kelola Teknologi Informasi memiliki beberapa referensi pengertian

menurut para ahli.

16

IT Governance (tata kelola TI) merupakan suatu bagian internal dari tata

kelola perusahaan yang terdiri atas kepemimpinan, struktur dan proses

organisasional yang memastikan bahwa TI organisasi berlanjut serta meningkatkan

tujuan dan strategi organisasi (ITGI, 2007)

Kemudian menurut Jogiyanto dan Abdillah (2011), tata kelola TI sebagai

suatu struktur dan proses pengambilan keputusan TI di tingkat korporat untuk

mengerahkan perilaku yang diinginkan dari insan TI dan memastikan keberhasilan

TI dalam rangka penciptaan nilai bagi para stakeholder.

Berdasarkan dari dua referensi ahli diatas, penulis menyimpulkan bahwa

Tata Kelola Teknologi Informasi adalah proses bagaimana suatu perusahaan

memaksimalkan teknologi informasi yang digunakan untuk dapat membantu

mencapai tujuan perusahaan.

2.1.2.1 Tujuan Tata Kelola Teknologi Informasi

Tujuan tata kelola teknologi informasi adalah mengontrol penggunaannya

dalam memastikan bahwa kinerja TI memenuhi dan sesusai dengan tujuan sebagai

berikut (Surendro, 2009):

1. Menyelaraskan teknologi informasi dengan strategi organisasi serta realisasi

dan keuntungan-keuntungan yang telah dijanjikan dari penerapan TI.

2. Penggunaan teknologi informasi memungkinkan perusahaan mengeksploitasi

kesempatan yang ada dan memaksimalkan keuntungan.

3. Penggunaan sumber daya TI yang bertanggung jawab.

4. Penanganan manajemen resiko yang terkait IT secara tepat.

17

2.1.3 Tata Kelola Teknologi Informasi Nasional

Penyelenggaraan pemerintah dalam rangka pelayanan publik memerlukan

Good Governance. Implementasi Good Governance akan menjamin transparansi,

efisiensi, dan efektivitas penyelenggaraan pemerintah. Dengan sisi lain, pengguna

TIK pada institusi pemerintah sudah dilakukan sejak lama dan terus berkembang.

Untuk memastikan pengguna TIK tersebut benar-benar mendukung tujuan

penyelenggaraan pemerintah, dengan memperhatikan efisiensi penggunaan sumber

daya dan pengelolaan risiko (Detiknas, 2007).


41/PER/MEN/KOMINFO/11/2007, Terdapat 5 lingkup proses tata kelola yaitu:

1. Perencanaan Sistem

Proses ini menangani identifikasi kebutuhan organisasi dan formulasi inisiatif-

inisiatif TIK apa saja yang dapat memenuhi kebutuhan organisasi tersebut.

2. Manajemen Belanja/Investasi

Proses ini menangani pengelolaan investasi/belanja TIK.

3. Realisasi Sistem

Proses ini menangani pemilihan, penetapan, pengembangan/akuisisi sistem

TIK, serta manajemen proyek TIK.

4. Pengoperasian Sistem

Proses ini menangani operasi TIK yang memberikan jaminan tingkat layanan

dan keamanan sistem TIK yang dioperasikan.

5. Pemeliharaan Sistem

18

Proses ini menangani pemeliharaan aset-aset TIK untuk mendukung

pengoperasian sistem yang optimal.

Dalam penerapan tata kelola TIK nasional, telah dirancang sebuah model

tata kelola TIK Nasional yang difokuskan pada pengelolaan proses-proses TIK

melalui mekanisme pengarahan dan monitoring & evaluasi. Model keseluruhan tata

kelola TIK Nasional tersebut digambarkan seperti berikut.

Gambar 2.1 Struktur dan Peran Tata Kelola

2.1.4 Keamanan Teknologi Informasi

Keamanan teknologi informasi adalah sebuah rencana untuk mencegah

risiko yang berhubungan dengan pemrosesan informasi. Rencana tersebut terdiri

dari 3 buah elemen dasar yakni, Confidentiality (Pencegahan dari pengguna yang

tidak berhak mengakses informasi), Integrity (memastikan bahwa informasi yang

19

ada itu akurat, utuh, dan tidak berubah), dan Availability (memastikan pengguna

dapat mengakses informasi yang mereka butuhkan). Tiga elemen ini saling

berhubungan untuk melindungi informasi yang harus dilindungi sebagai aset yang

sama pentingnya seperti aset bisnis lainnya (Wylder, 2003)

Keamanan Teknologi Informasi adalah sebuah program yang bertujuan

untuk melindungi sumber daya-sumber daya yang penting dalam suatu organisasi,

seperti informasi, hardware, dan software dengan cara memilah dalam penggunaan

aplikasi keamanan yang tepat. Keamanan Sistem Informasi membantu organisasi

untuk memenuhi visi dan misi organisasi dengan melindungi aset fisik dan aset

finansial, reputasi organisasi, posisi hukum, para pekerja, dan aset-aset lain yang

terukur maupun yang tidak (Peltier, 2013).

Dengan membaca penjelasan mengenai Keamanan Teknologi Informasi di

atas, kita dapat menarik kesimpulan bahwa yang dimaksud dengan Keamanan

Teknologi Informasi adalah sebuah rencana yang digunakan untuk melindungi

semua aset-aset penting perusahaan dengan menggunakan konsep Confidentiality,

Integrity, dan Availability (CIA) dalam membantu perusahaan untuk mencapai

tujuan bisnis mereka.

2.1.5 Pentingnya Keamanan Teknologi Informasi

Keamanan teknologi informasi terutama terkait data penting menjadi hal

yang krusial bagi lembaga pemerintahan yang menggunakan internet sebagai

komponen utama dalam operational pelayanan. Kebutuhan industri untuk internet

yang aman berbanding terbalik dengan fakta bahwa kasus keamanan di internet

20

terus terjadi dan berulang. Selain itu, kasus pembobolan keamanan yang terjadi

pada suatu instansi pemerintahan sangat merugikan. Oleh Karena itu, keamanan

informasi harus menjadi hal penting yang perlu diutamakan karena sudah

mempengaruhi seluruh aspek kinerja pelayanan instansi pemerintahan (Garg,

Curtis, & Halper, 2003).

Menurut (Andersen, 2015) berikut adalah beberapa faktor yang

menyebabkan kebutuhan akan pentingnya keamanan pada sistem informasi:

1. Untuk memenuhi peraturan dan perundang-undangan

2. Semakin meningkatnya kegiatan pencurian data

3. Semakin meningkatnya kegiatan hacktivism

4. Semakin meningkatnya wilayah ancaman dari internet

5. Tren konsumerisme TI, seperti penggunaan perangkat pribadi pada lingkungan

perusahaan. (Bring Your Own Device (BYOD))

2.2 Kerangka Kerja (Framework) Keamanan Teknologi Informasi

Kerangka kerja (framework) adalah suatu struktur konseptual dasar yang

digunakan untuk memecahkan atau menangani suatu masalah. Dalam bidang

perangkat lunak (software) digunakan untuk menggambarkan suatu desain sistem.

Sedangkan pada bidang manajemen kerangka kerja (framework) digunakan untuk

menggambarkan suatu konsep yang memungkinkan penanganan berbagai jenis atau

entitas bisnis.

21

2.2.1 BS 7799

BS 7799 adalah sebuah standar yang dipublikasikan oleh British Standard

Institution (BSI) Group pada tahun 1995. Standar ini ditulis oleh United Kingdom

Government’s Department of Trade and Industry (DTI), yang terdiri dari beberapa

bagian. Bagian pertamanya yang merupakan panduan untuk keamanan sistem

informasi, telah diperbaiki lagi pada 1998 dan menjadi rujukan ISO pada ISO17799

(British Standard Institution, 2017). Bagian keduanya dipublikasikan pada tahun

1999, yang dikenal dengan sebutan BSS 7799 part 2 dengan judul “Information

Security Management System – Spesification with Guidance for use”. BSS 7799

part 2 ini fokus pada bagaimana untuk menerapkan manajemen keamanan sistem

informasi, berdasarkan pada struktur dan kontrol manajemen keamanan informasi

yang diidentifikasi oleh BSS 7799-2, yang nantinya akan menjadi rujukan

dibentuknya ISO 27001. Pada tahun 2002, BSS 7799-2 mulai memperkenalkan

plan-do-check-act (PDCA) (Deming quality assurance model), dan

mengkombinasikannya dengan standar-standar lainnya seperti ISO 9000.

2.2.2 ITIL

ITIL adalah kepanjangan dari The Information Technology Infrastructure

Library. ITIL mulai digunakan pada tahun 1980-an, ketika pemerintah Britania

Raya Menganggap bahwa level dari servis TI yang tersedia tidak memadai. ITIL

adalah suatu kumpulan konsep dan praktik untuk manajemen servis teknologi

informasi, pengembangan teknologi informasi, dan operasional TI, di mana ada

bagiannya yang fokus pada keamanan (Axelos, 2017). ITIL sebenarnya adalah

sebuah kumpulan dari berbagai buku yang setiap bukunya mencakup suatu praktik

22

khusus dalam suatu manajemen servis TI, yang dibentuk oleh W. Edwards Deming

bersama dengan plan-do-check-act (PDCA) cycle temuannya juga. ITIL terdiri dari

8 komponen utama yakni: Service Support, Service Delivery, ICT Infrastructure

Management, Security Management, Application Management, Software Asset

Management, Planning to Implement Service Management, dan Small-Scale

Implementation.

2.2.3 COBIT

Pada tahun 1996 COBIT versi 1 muncul dengan lingkup wilayah Audit.

Selanjutnya pada tahun 1998, COBIT versi 2 pun muncul yang menekankan pada

wilayah Control. Kemudian COBIT versi 3 menyusul di tahun 2000 dengan

cakupan wilayah pada area Management. Dan pada tahun 2005 muncul COBIT

versi 4 yang diperbarui lagi pada bulan Mei 2007 menjadi COBIT versi 4.1 dengan

pedoman pada tata kelola TI. Selanjutnya pada tahun 2012 dirilislah COBIT versi

5 dengan penekanan pada tata kelola TI di perusahaan yang masih dipakai sampai

saat ini. COBIT juga mengeluarkan panduan khusus untuk keamanan informasi

pada COBIT 5 for Information Security dalam salah satu lini standar yang

disediakan oleh COBIT.

23

Gambar 2.2 Evolution of Scope

COBIT adalah suatu kerangka praktik prima di bidang teknologi informasi.

COBIT menyediakan bagi manajer, auditor TI, dan pengguna dengan ukuran-

ukuran, indikator, dan proses suatu kerangka praktik prima yang dapat membantu

memaksimalkan manfaat yang dapat diperoleh dari teknologi informasi dan

sekaligus untuk membangun suatu sistem pengelolaan dan pengendalian teknologi

informasi di suatu organisasi (Nugroho, 2008).

COBIT adalah kepanjangan dari Control Objectives for Information and

Related Technology, adalah seperangkat pedoman umum (best practice) untuk

manajemen TI yang dibuat oleh Information System Audit and Control Association

(ISACA), dan IT Governance Institute (ITGI), serangkaian langkah yang diterima

secara umum, indikator, proses dan praktik terbaik untuk membantu mereka dalam

memaksimalkan manfaat yang diperoleh melalui penggunaan TI dan

pengembangan tata kelola TI yang sesuai dan pengendalian dalam perusahaan

(Jogiyanto & Abdillah, 2011).

24

2.2.4 ISO 27000 Family

Dokumen ISO 27000 Series (mengacu kepada beberapa seri

dalam range 27000) merupakan standard dalam information security management

system yang dikembangan oleh International Organization for

standardization (ISO). Dalam sejarahnya ISO 27000 Series tidak lepas dari

standard sebelumnya yang terkait juga dengan keamanan informasi yakini

BS (British Standard) 7799 dan ISO 17799. Pemindahan seri ini bertujuan untuk

mengelompokkan seri-seri terkait standard keamanan informasi dalam satu seri.

Berikut adalah penjelasan dari beberapa seri dari ISO 27000 family :

1. ISO /IEC 27000 Mencakup daftar kata dan istilah yang digunakan dalama

standard

2. ISO/IEC 27001 (BS 7799-2) : Mencakup spesifikasi dari ISMS based ISO

27000 dan menyediakan model untuk implementasi, operasi, monitoring,

reviewing, maintaining, dan improvement dari ISMS. Contoh bab Management

responsibility, Internal Audits, ISMS Improvement dan lain-lain.

3. ISO/IEC 27002 (ISO 17799) : Mencakup detail dari control yang ada/Code of

practices. Contoh Bab (Risk Assessment and Treatment, Asset Management,

Access Control, Business Continuity dan lain-lain.

4. ISO/IEC 27003 : Mencakup panduan mengenai bagaimana

mengimplementasikan ISMS yang mencakup konsep PDCA. Contoh Bab

seperti : Critical Success Factor, Panduan menggunakan PDCA, Panduan

dalam Proses PDCA.

25

5. ISO/IEC 27004 : Standard yang memberikan panduan tentang metode

pengukuran, bagaimana mengukur efektifitas dari ISMS yang telah

terimplementasi dan panduang memilih metrics dalam proses alignment dengan

ISO 270002

6. ISO /IEC 27005 Standard yang memberikan panduan mengenai implementasi

Information Security Risk Management dan kebutuhan lain dalam sertifikasi

ISO 27000. Contoh bab seperti ISR (Information Security Risk) Assessment,

ISR Treatment, ISR Acceptance, ISR Communication, ISR communication and

Review.

7. ISO/IEC 27006:2007 Information technology — Security techniques –

mencakup audit terhadap ISMS dan sertifikasi dari ISMS beserta kriteria

sertifikasi dari ISMS.

2.3 Framework COBIT 5

COBIT (Control Objective for Information and related Technology)

merupakan sekumpulan dokumentasi dan panduan untuk mengimplementasikan IT

Governance, kerangka kerja yang membantu auditor, manajemen dan pengguna

(user) untuk menjembatani (gap) antara resiko bisnis, kebutuhan kontrol dan

permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT Governance

Institute (ITGI) yang merupakan bagian dari Information System Audit and Control

Association (ISACA.2012).

Surendro (2009) menjelaskan tentang karakteristik utama dan prinsip yang

mendasari COBIT, yaitu karakteristik utamanya adalah fokus pada bisnis, orientasi

pada proses, berbasis kontrol dan dikendalikan oleh pengukuran, sedangkan prinsip

26

yang mendasarinya adalah untuk menyediakan informasi yang diperlukan

organisasi dalam mewujudkan tujuannya, organisasi perlu mengelola dan

mengendalikan sumber daya teknologi informasi dengan menggunakan

sekumpulan proses-proses yang terstruktur untuk memberikan layanan informasi

yang diperlukan.

Seiring berkembangnya teknologi COBIT pun juga ikut meningkatkan

perkembangannya. COBIT mengalami beberapa perubahan versi dari titik poin

mulai dari COBIT 1 sampai pada COBIT 5 saat ini. Control Objectives for

Information and related Technology (COBIT) merupakan best practice yang

menyediakan kebijakan yang jelas untuk IT Governance. COBIT menyediakan

kerangka IT Governance dan petunjuk Control Objective yang detail untuk

manajemen, stakeholder, user, dan auditor. Information Systems Audit and Control

Association (ISACA) dibentuk pada tahun 1967, ketika sekelompok kecil orang

dengan pekerjaan kontrol audit yang sama dalam sistem komputer yang menjadi

semakin penting untuk operasi organisasi membahas perlunya sumber informasi

terpusat dalam bidang TI.pada tahun 1969 kelompok auditor tersebut tergabung

dalam Asosiasi Electronic Data Processing (EDP). Pada tahun 1976 asosiasi

membentuk yayasan pendidikan untuk melakukan upaya penelitian besar-besaran

untuk memperluas pengetahuan dan nilai-nilai tata kelola TI. ISACA merilis

COBIT pertama pada tahun 1996, hanya berfokus sebagai suatu pekerjaan audit.

Berkembang ke versi COBIT 2, COBIT merefleksikan kontrol peningkatan

sejumlah dokumen sumber, revisi pada tingkat tinggi dan tujuan pengendalian rinci

dan tambahan seperangkat alat implementasi yang telah dipublikasikan pada tahun

27

1998. Sedangkan pada versi COBIT 3 ditandai dengan adanya Informasi

Technology Governance Institute (ITGI) yang dibentuk oleh ISACA pada tahun

1998 dan memberikan pemahaman lebih dan mengadopsi prinsip prinsip

pengaturan TI. Melalui ITGI penambahan pedoman untuk COBIT 3 dan fokusnya

diperluas pada manajemen TI. Pada COBIT versi 4 ditingkatkan pada IT

Governance (Grembergen dan Haes, 2009).

2.3.1 Coverage COBIT 5

Menurut ISACA, COBIT 5 merupakan generasi terbaru dari panduan

ISACA yang membahas mengenai tata kelola dan manajemen TI. COBIT 5 dibuat

berdasarkan pengalaman penggunaan COBIT selama lebih dari 15 tahun oleh

banyak organisasi dan penggunan dari bidang bisnis, komunitas TI, risiko, asuransi,

dan keamanan TI perusahaan (ISACA, 2012).

Gambar 2.3 Coverage COBIT 5 (ISACA, 2012)

28

Pengembangan COBIT 5 adalah untuk mengatasi kebutuhan-kebutuhan

penting seperti:

1. Membantu stakeholder dalam menentukan apa yang mereka harapkan dari

informasi dan teknologi terkait seperti keuntungan apa, pada tingkat risiko

berapa, dan pada biaya berapa dan bagaimana prioritas mereka dalam menjamin

bahwa nilai tambah yang diharapkan benar-benar tersampaikan. Beberapa pihak

lebih menyukai keuntungan dalam jangka pendek sementara pihak lain lebih

menyukai keuntungan jangka panjang. Beberapa pihak siap untuk mengambil

risiko tinggi sementara beberapa pihak tidak. Perbedaan ini dan terkadang

konflik mengenai harapan harus dihadapi secara efektif. Stakeholder tidak

hanya ingin terlibat lebih banyak tapi juga menginginkan transparansi terkait

bagaimana ini akan terjadi dan bagaimana hasil yang akan diperoleh.

2. Membahas peningkatan ketergantungan kesuksesan organisasi pada organisasi

lain dan rekan TI, seperti outsource, pemasok, konsultan, klien, cloud, dan

penyedia layanan lain, serta pada beragam alat internal dan mekanisme untuk

memberikan nilai tambah yang diharapkan.

3. Mengatasi jumlah informasi yang meningkat secara signifikan. Bagaimana

perusahan memilih informasi yang relevan dan kredibel yang akan

mengarahkan organisasi kepada keputusan bisnis yang efektif dan efisien.

Informasi juga perlu untuk dikelola secara efektif dan model informasi yang

efektif dapat membantu untuk mencapainya.

4. Mengatasi TI yang semakin meresap kedalam organisasi. TI semakin menjadi

bagian penting dari bisnis. Seringkali TI yang terpisah tidak cukup memuaskan

29

walaupun sudah sejalan dengan bisnis. TI perlu menjadi bagian penting dari

proyek bisnis, struktur organisasi, managemen risiko, kebijakan, kemampuan

proses dan sebagainya. Tugas dari CIO dan fungsi TI sedang berkembang

sehingga semakin banyak orang dalam organisasi yang memiliki kemampuan

TI akan dilibatkan dalam keputusan dan operasi TI. TI dan bisnis harus

diintegrasikan dengan lebih baik.

5. Menyediakan panduan lebih jauh dalam area inovasi dan teknologi baru. Hal

ini berkaitan dengan kreativitas, penemuan, pengembangan produk baru,

membuat produk saat ini lebih menarik bagi pelanggan, dan meraih tipe

pelanggan baru. Inovasi juga menyiratkan perampingan pengembangan produk,

produksi dan proses supply chain agar dapat memberikan produk ke pasar

dengan tingkat efisiensi, kecepatan, dan kualitas yang lebih baik.

6. Mendukung perpaduan bisnis dan TI secara menyeluruh, dan mendukung

semua aspek yang mengarah pada tata kelola dan manajemen TI organisasi yang

efektif, seperti struktur organisasi, kebijakan, dan budaya.

7. Mendapatkan kontrol yang lebih baik berkaitan dengan solusi TI.

8. Memberikan manfaat bagi perusahan, antara lain:

a. Nilai tambah melalui penggunanaan TI yang efektif dan inovatif.

b. Kepuasan pengguna dengan keterlibatan dan layanan TI yang baik.

c. Kesesuaian dengan peraturan, regulasi, persetujuan, dan kebijakan internal.

d. Peningkatan hubungan antara kebutuhan bisnis dengan tujuan TI.

9. Menghubungkan dan bila relevan, menyesuaikan dengan framework dan

standar lain seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO dan ISO. Hal

30

ini akan membantu stakeholder mengerti bagaimana kaitan berbagai

framework, berbagai standar antar satu sama lain, dan bagaimana mereka bisa

digunakan bersama-sama.

10. Mengintegrasikan semua framework dan panduan ISACA dengan fokus pada

COBIT, Val IT dan Risk IT, tetapi juga mempertimbangkan BMIS, ITAF, dan

TGF sehingga COBIT 5 mencakup seluruh organisasi dan menyediakan dasar

untuk integrasi dengan framework dan standar lain menjadi satu kesatuan

framework.

2.3.2 Perbedaan COBIT 5 dengan COBIT 4.1

Diantara COBIT 5 dengan COBIT 4.1 memiliki perbedaan yang

dideskripsikan sebagai berikut (ISACA, 2012):

1. Governance of Enterprise IT (GEIT) adalah prinsip baru dalam Tata kelola TI

pada organisasi dimana COBIT 5 lebih mengarah pada prinsip ketimbang

dengan proses.

2. COBIT 5 menekankan pada enabler. Pada COBIT 4.1 tidak menyebutkan

sebagai enabler sedangkan COBIT 5 menyebutkan secara spesifik bagian

enable.

3. COBIT 5 mendefinisikan model referensi proses yang baru dengan tambahan

domain governance dan beberapa proses yang baru dan modifikasi dari proses

pada versi sebelumnya. COBIT 5 mengintegrasikan konten pada COBIT 4.1,

Risk IT dan Val IT.

4. COBIT 5 menyelaraskan dengan best practices yang ada seperti ITIL v3 dan

TOGAF.

31

5. COBIT 5 menyediakan diagram RACI yang menjelaskan peran dan tanggung

jawab dengan cara yang sama seperti COBIT 4.1, Risk IT dan Val IT. Namun,

COBIT 5 memberikan diagram yang lebih lengkap, detail dan rentang yang

lebih jelas dari setiap pihak baik TI maupun bisnis untuk setiap praktik

manajemen.

2.3.3 Process Reference Model

Dalam COBIT 5 ini, model referensi proses merupakan penerus dari model

proses COBIT 4.1, dengan mengintegrasikan dengan baik proses model dari Risk

IT dan model proses Val IT (ISACA, 2012).

ISACA menjelaskan sebuah proses didefinisikan sebagai kumpulan praktek

atau aktivitas yang dipengaruhi oleh kebijakan dan prosedur perusahaan. Dimana

masukan-masukan itu diambil dari sejumlah sumber (termasuk proses lainnya),

memanipulasi input dan menghasilkan output. Dalam COBIT 5 deskripsi proses ini

juga menggambarkan tentang proses apa yang dilakukan dan gambaran tingkat

tinggi bagaimana proses menyelesaikan tujuannya. Berikut ini gambar yang

menunjukkan perangkat lengkap 5 Domain dan 37 proses tata kelola dan

manajemen proses dalam COBIT 5 (ISACA, 2012).

32

Gambar 2.4 Process Reference Model (ISACA, 2012)

2.3.3.1 Evaluate, Direct, and Monitor (EDM)

Proses tata kelola ini berurusan dengan tujuan tata pemangku kepentingan

dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek

dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan

arahan kepada TI dan pemantauan hasilnya. Berikut domain proses EDM:

1. EDM01 Ensure Governance Framework Setting and Maintenance

(Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola)

2. EDM02 Ensure Benefits Delivery (Memastikan Memberi Manfaat)

3. EDM03 Ensure Risk Optimisation (Memastikan Pengoptimalan Risiko)

4. EDM04 Ensure Resource Optimisation (Memastikan Pengoptimalan Sumber

Daya)

5. EDM05 Ensure Stakeholder Transparency (Memastikan Transparansi

Pemangku Kepentingan)

33

2.3.3.2 Align, Plan, and Organise (APO)

Memberikan arah untuk pengiriman solusi (BAI) dan penyediaan layanan

dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan

mengidentifikasi kekhawatiran cara terbaik TI agar dapat berkontribusi pada

pencapaian tujuan bisnis. Realisasi visi strategis perlu direncanakan,

dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi

yang tepat, serta infrastruktur teknologi, harus dimasukkan ke dalam tempatnya.

Berikut domain proses APO:

1. APO01 Manage The IT Management Framework (Mengelola Kerangka

Manajemen TI)

2. APO02 Manage Strategy (Mengelola Strategi)

3. APO03 Manage Enterprise Architecture (Mengelola Arsitektur Bisnis)

4. APO04 Manage Innovation (Mengelola Perubahan)

5. APO05 Manage Portfolio (Mengelola Dokumen)

6. APO06 Manage Budget and Costs (Mengelola Anggaran dan Biaya)

7. APO07 Manage Human Resources (Mengelola Sumber Daya Manusia)

8. APO08 Manage Relationships (Mengelola Relasi)

9. APO09 Manage Service Agreements (Mengelola Perjanjian Layanan)

10. APO10 Manage Suppliers (Mengelola Pemasok)

11. APO11 Manage Quality (Mengelola Kualitas)

12. APO12 Manage Risk (Mengelola Risiko)

13. APO13 Manage Security (Mengelola Keamanan)

34

2.3.3.3 Build, Acquire, and Implementation (BAI)

Memberikan solusi dan melewatinya sehingga akan berubah menjadi

layanan. Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi,

dikembangkan atau diperoleh, serta diimplementasikan dan terintegrasi ke dalam

proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga dicakup oleh

domain ini, untuk memastikan bahwa solusi terus memenuhi tujuan bisnis. Berikut

domain proses BAI:

1. BAI01 Manage Programmes and Project (Mengelola Program Dan Proyek)

2. BAI02 Manage Requirements Definition (Mengelola Definisi Persyaratan)

3. BAI03 Manage Solutions Identification and Build (Mengelola Identifikasi

Solusi dan Pembangunan)

4. BAI04 Manage Availability and Capacity (Mengelola Ketersediaan dan

Kapasitas)

5. BAI05 Manage Organisational Change Enablement (Mengelola

Pemberdayaan Organisasi Perubahan)

6. BAI06 Manage Changes (Mengelola Perubahan)

7. BAI07 Manage Change Acceptance and Transitioning (Mengelola Penerimaan

Perubahan dan Transisi)

8. BAI08 Manage Knowledge (Mengelola Pengetahuan)

9. BAI09 Manage Assets (Mengelola Kepemilikan)

10. BAI10 Manage Configuration (Mengelola Susunan)

35

2.3.3.4 Delivery, Service, and Support (DSS)

Menerima solusi dan dapat digunakan bagi pengguna akhir. Domain ini

berkaitan dengan pengiriman aktual dan dukungan layanan yang dibutuhkan, yang

meliputi pelayanan, pengelolaan keamanan dan kelangsungan, dukungan layanan

bagi pengguna, dan manajemen data dan fasilitas operasional. Berikut domain

proses DSS:

1. DSS01 Manage Operations (Mengelola Operasi)

2. DSS02 Manage Service Requests and Incidents (Mengelola Layanan

Permohonan dan Kecelakaan)

3. DSS03 Manage Problems (Mengelola Masalah)

4. DSS04 Manage Continuity (Mengelola Keberlangsungan)

5. DSS05 Manage Security Services (Mengelola Jasa Keamanan)

6. DSS06 Manage Business Process Controls (Mengelola Kontrol Proses Bisnis)

2.3.3.5 Monitor, Evaluate, and Assess (MEA)

Monitor semua proses untuk memastikan bahwa arah yang disediakan

diikuti. Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk

mengontrol kualitas dan kepatuhan mereka. Domain ini tertuju pada manajemen

kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata

kelola. Berikut domain proses MEA:

1. MEA01 Monitor, Evaluate and Assess Performance and Conformance

(Memantau, Evaluasi dan Menilai Kinerja Dan Penyesuaian)

2. MEA02 Monitor, Evaluate and Assess The System of Internal Control

(Memantau, Evaluasi dan Menilai Sistem Pengendalian Internal)

36

3. MEA03 Monitor, Evaluate and Assess Compliance with External Requirements

(Memantau, Evaluasi dan Menilai Kepatuhan dengan Persyaratan Eksternal)

2.3.4 Implementasi COBIT 5

Menurut ISACA, Siklus hidup implementasi menyediakan cara bagi suatu

perusahaan untuk menggunakan COBIT dalam mengatasi kompleksitas dan

tantangan. Lazimnya kedua hal tersebut ditemui selama penerapan dilapangan

(ISACA, 2012) COBIT 5 memiliki tujuh tahapan yang terdapat dalam siklus hidup

implementasi COBIT, berikut penjelasan tahapan-tahapan tersebut:

Gambar 2.5 Siklus Hidup Implementasi COBIT 5 (ISACA, 2012)

1. Tahap 1 - Initiate Progamme

Tahap 1 mengidentifikasikan penggerak perubahan dan menciptakan

keinginan untuk berubah di level manajemen eksekutif, yang kemudian

diwujudkan berupa kasus bisnis. Penggerak perubahan dapat berupa kejadian

internal maupun eksternal, dan kondisi atau isu penting yang memberikan

37

dorongan untuk berubah. Kejadian, tren, masalah kinerja, implementasi

perangkat lunak, dan bahkan tujuan dari perusahan dapat menjadi penggerak

perubahan.

Resiko yang terkait dengan implementasi dari program ini sendiri akan

dideskripsikan di dalam kasus bisnis, dan dikelola sepanjang siklus hidupnya.

Menyiapkan, menjaga, dan mengawasi kasus bisnis sangatlah mendasar dan

penting untuk pembenaran, mendukung, dan kemudian memastikan hasil akhir

yang sukses dari segala inisiatif, termasuk pengembangan GEIT. Mereka

memastikan fokus yang berkelanjutan terhadap keuntungan dari program dan

perwujudannya.


Tahap 2 membuat agar tujuan TI dengan strategi dan risiko perusahaan

sejajar, dan memprioritaskan tujuan perusahaan, tujuan TI, dan proses TI yang

paling penting. COBIT 5 menyediakan panduan pemetaan tujuan perusahaan

terhadap tujuan TI terhadap proses TI untuk membantu penyeleksian. Dengan

mengetahui tujuan perusahaan dan TI, proses penting yang harus mencapai

tingkat kapabilitas tertentu dapat diketahui. Manajemen perlu tahu kapabilitas

yang ada saat ini dan dimana kekurangan terjadi. Hal ini dapat dicapai dengan

cara melakukan penilaian kapabilitas proses terhadap proses-proses yang

terpilih.

3. Tahap 3 - Define Road Map

Tahap 3 menetapkan target untuk peningkatan, diikuti oleh analisis selisih

untuk mengidentifikasi solusi potensial. Beberapa solusi akan berupa quick

38

wins dan beberapa berupa tugas jangka panjang yang lebih sulit. Prioritas harus

diberikan kepada proyek yang lebih mudah untuk dicapai dan lebih mungkin

memberikan keuntungan yang paling besar. Tugas jangka panjang perlu

dipecah menjadi bagian-bagian yang lebih mudah untuk diselesaikan.

4. Tahap 4 - Plan Programme

Tahap 4 merencanakan solusi praktis yang layak dijalankan dengan

mendefinisikan proyek yang didukung dengan kasus bisnis yang dapat

dibenarkan dan mengembangkan rencana perubahan untuk implementasi.

Kasus bisnis yang dibuat dengan baik akan membantu memastikan bahwa

keuntungan proyek teridentifikasi, dan diawasi secara terus menerus.

5. Tahap 5 - Execute Plan

Tahap 5 mengubah solusi yang disarankan menjadi kegiatan hari per hari

dan menetapkan perhitungan dan sistem pemantauan untuk memastikan

kesesuaian dengan bisnis tercapai dan kinerja dapat diukur. Kesuksesan

membutuhkan pendekatan, kesadaran dan komunikasi, pengertian dan

komitmen dari manajemen tingkat tinggi dan kepemilikan dari pemilik proses

TI dan bisnis yang terpengaruh.

6. Tahap 6 - Realede Benefits

Tahap 6 berfokus dalam transisi berkelanjutan dari pengelolaan dan praktik

manajemen yang telah ditingkatkan ke operasi bisnis normal dan pemantauan

pencapaian dari peningkatan menggunakan metrik kinerja dan keuntungan yang

diharapkan.

39

7. Tahap 7 - Review Effectiveness

Tahap 7 mengevaluasi kesuksesan dari inisiatif secara umum,

mengidentifikasi kebutuhan tata kelola atau manajemen lebih jauh, dan

meningkatkan kebutuhan akan peningkatan secara terus-menerus. Tahap ini

juga memprioritaskan kesempatan lebih banyak untuk meningkatkan GEIT.

2.3.5 RACI

RACI Chart adalah matrik dari semua aktifitas dan wewenang pada

organisasi yang membantu dalam mengambil keputusan. Berikut ini penjelasan

mengenai RACI Chart (ISACA, 2012).

1. Responsible

Tanggung jawab (responsible) menjelaskan tentang siapa yang

mendapatkan tugas yang harus dilakukan. Hal ini merujuk pada peran utama

atau penanggung jawab pada kegiatan operasional, memenuhi kebutuhan dan

menciptakan hasil yang diinginkan dari organisasi.

2. Accountable

Akuntabel (accountable) menjelaskan tentang siapa yang bertanggung

jawab atas keberhasilan tugas. Hal ini merujuk pada pertanggung jawaban

secara keseluruhan atas tugas yang telah dilakukan.

3. Consulted

Konsultasi (consulted) menjelaskan tentang siapa yang memberikan

masukan. Hal ini merujuk pada peran yang bertanggung jawab untuk

memperoleh informasi dari unit lain atau mitra eksternal. Masukan harus

dipertimbangkan dan pengambilan tindakan yang tepat.

40

4. Informed

Informasi (informed) menjelaskan tentang siapa yang menerima informasi.

Hal ini merujuk pada peran yang bertanggung jawab untuk menerima informasi

yang tepat untuk mengawasi setiap tugas yang dilakukan.

Berikut ini penjelasan mengenai pihak-pihak yang terlibat dalam struktur

COBIT 5 (ISACA, 2012:76), yaitu:

a. Board adalah kelompok eksekutif paling senior atau direktur noneksekutif dari

organisasi yang bertanggung jawab untuk tata kelola organisasi dan memiliki

kontrol keseluruhan sumber daya.

b. Chief Excutive Officer (CEO) adalah orang yang memiliki kedudukan tinggi

yang bertanggung jawab dari manajemen keseluruhan organisasi.

c. Chief Financial Officer (CFO) adalah seseorang yang memiliki jabatan senior

pada organisasi yang bertanggung jawab untuk semua aspek manajemen

keuangan, termasuk resiko dan kontrol keuangan dan rekening terpercaya dan

akurat.

d. Chief Operating Officer (COO) adalah seseorang yang memiliki jabatan senior

pada organisasi yang bertanggung jawab untuk operasi organisasi.

e. Chief Risk Officer (CRO) adalah seseorang yang memiliki jabatan senior pada

organisasi yang bertanggung jawab untuk semua aspek manajemen resiko di

seluruh organisasi. Bertugas mengawasi resiko yang berhubungan dengan TI.

f. Chief Information Officer (CIO) adalah pejabat senior pada organisasi yang

bertanggung jawab untuk menyelaraskan TI dan strategi bisnis dan akuntabel

41

untuk perencanaan, sumber daya dan mengelola pengirima layanan dan solusi

untuk mendukung tujuan TI organisasi.

g. Chief Information Security Officer (CISO) adalah pejabat senior pada organisasi

yang bertanggung jawab untuk keamanan informasi organisasi dalam segala

bentuknya.

h. Business Executive adalah sebuah manajemen individu senior yang

bertanggung jawab untuk operasi unit bisnis tertentu atau anak organisasi.

i. Business Process Owner adalah seseorang yang bertanggung jawab pada proses

kinerja untuk mewujudkan tujuannya, mendorong perbaikan proses dan

menyetujui perubahan proses.

j. Strategy (IT Executive) Committee adalah sekelompok eksekutif senior yang

ditujukan oleh dewan untuk memastikan bahwa dewan terlibat dalam

pengambilan keputusan yang berkaitan dengan TI. Komite ini bertanggung

jawab untuk mengelola portfolio investasi IT-enabled, layanan TI dan asset TI.

k. Steering Committee (Project and Programme) adalah sekelompok pemangku

kepentingan dan ahli yang bertanggung jawab untuk bimbingan program dan

proyek, termasuk pengelolaan dan pemantauan rencana, alokasi sumber daya

dan manajemen program dan risiko proyek.

l. Architecture Board adalah sekelompok pemangku kepentingan dan ahli yang

bertanggung jawab pada organisasi terkait arsitektur dan keputusan untuk

menetapkan kebijakan dan standar arsitektur.

42

m. Enterprise Risk Committee adalah kelompok eksekutif dari organisasi yang

bertanggung jawab untuk kolaborasi tingkat organisasi untuk mendukung

manajemen resiko organisasi.

n. Head of Human Resources adalah pejabat senior pada organisasi yang

bertanggung jawab untuk perencanaan dan kebijakan terhadap semua sumber

daya manusia di organisasi.

o. Compliance adalah seseorang yang bertanggung jawab untuk bimbingan pada

hukum, peraturan dan kepatuhan terhadap kontrak.

p. Audit adalah seseorang yang bertanggung jawab atas penyediaan audit internal.

q. Head of Architecture adalah seorang individu senior untuk proses arsitektur

enterprise.

r. Head of Development adalah seorang individu senior yang bertanggung jawab

terkait proses TI, proses pembangunan solusi.

s. Head of IT Operations adalah seorang individu senior yang bertanggung jawab

atas lingkungan dan infrastruktur operasional TI.

t. Head of IT Administration adalah seorang individu senior yang bertanggung

jawab terkait TI, catatan dan bertanggung jawab untuk mendukung TI terkait

masalah administratif.

u. Programme and Project Management Office (PMO) adalah seseorang yang

bertanggung jawab untuk mendukung program dan proyek manajer,

mengumpulkan, menilai dan melaporkan informasi tentang pelaksanaan

program dan proyek konstituen.

43

v. Value Management Office (VMO) adalah seseorang yang bertindak sebagai

secretariat untuk mengelola portfolio investasi dan layanan, termasuk menilai

dan memberi nasihat tentang peluang investasi, manajemen control dan

menciptakan nilai dari investasi dan jasa.

w. Service Manager adalah seorang individu yang mengelola pengembangan,

implementasi, evaluasi dan pengelolaan berkelanjutan baru dan yang sudah ada.

x. Information Security Manage adalah seorang individu yang mengelola, desain,

mengawasi dan/atau menilai keamanan informasi suatu organisasi.

y. Business Continuity Manager adalah seorang individu yang mengelola,

merancang, mengawasi dan/atau menilai kemampuan kelangsungan usaha

suatu organisasi, untuk memastikan bahwa fungsi organisasi tetap beroperasi

pada saat kritis.

z. Privacy Officer adalah seorang yang bertanggung jawab untuk mematau risiko

dan dampak bisnis undang-undang privasi dan untuk membimbing dan

koordinasi pelaksanaan kebijakan dan kegiatan yang akan memastikan bahwa

arahan privasi terpenuhi. Privacy Officer juga disebut sebagai petugas

perlindungan data.

Berikut ini merupakan salah satu matrik RACI Charts yang terdapat di

dalam framework COBIT 5:

44

Gambar 2.6 RACI Chart APO12 (ISACA,2012:142)

Pada tabel pemetaan RACI Charts terdapat 3 bagian saling terhubung dalam

penentuan pihak-pihak yang terlibat dalam struktur COBIT 5:

1. Tabel Key Management Practice adalah aktifitas-aktifitas didalam domain yang

akan menjadi acuan, sekaligus penentuan kuesioner yang akan diberikan kepada

pihak-pihak terkait.

2. Kolom R A C I adalah bagian inti dalam pemetaan RACI Charts yang telah

ditentukan oleh COBIT untuk sebagai penyesuaian proses terkait terhadap

pihak-pihak terkait yang saling berhubungan.

3. Tabel Pihak Terkait adalah Acuan yang ditawarkan COBIT untuk mengetahui

siapa saja pihak yang terkait dan relevan dengan proses yang disediakan oleh

COBIT

Kegunaan RACI Chart untuk organisasi yang dikelola adalah:

1. Mengidentifikasi beban kerja yang telah ditugaskan kepada karyawan atau

departemen tertentu.

Tabel Key Management

Practice

Tabel Pihak Terkait

Kolom R A C I

45

2. Memastikan bahwa proses tertentu tidak terlalu dominan.

3. Memastikan bahwa anggota baru dijelaskan tentang peran dan tanggung jawab.

4. Menentukan keseimbangan yang tepat antara garis dan tanggung jawab proyek.

5. Mendistribusikan kerja antara kelompok untuk mendapatkan efisiensi kerja

yang lebih baik.

6. Terbuka untuk menyelesaikan konflik dan diskusi.

2.3.6 Process Assessment Model

Menurut ISACA, Process Assessment Model (PAM) merupakan sebuah

model yang compatible untuk tujuan penilaian kemampuan proses, berdasarkan

satu atau lebih dari model referensi (ISACA, 2012).

Model ini merupakan dasar untuk penilaian kemampuan proses TI suatu

perusahaan pada COBIT 5 dan program pelatihan dan sertifikasi bagi para penilai.

Proses penilaian ini dibuktikan dengan mengaktifkan proses penilaian yang dapat

diandalkan, konsisten dan berulang di bidang tata kelola dan manajemen TI.

Model penilaian memungkinkan penilaian oleh perusahaan untuk

mendukung perbaikan proses. Penilai dapat memisahkan bagian-bagian untuk

memilih proses yang akan dinilai. Pemetaan ini meliputi:

a) Menghubungkan tujuan perusahaan dengan tujuan TI perusahaan

b) Menghubungkan tujuan TI perusahaan dengan tujuan proses TI

c) Sebuah Framework untuk memilih bidang area

COBIT 5 PAM yang mendukung kinerja penilaian dengan memberikan

indikator untuk bimbingan pada interpretasi dari tujuan proses perusahaan. COBIT

5 PAM terdiri dari satu set indikator kinerja proses dan kemampuan proses.

46

Indikator-indikator yang digunakan sebagai dasar untuk mengumpulkan bukti

objektif yang memungkinkan penilai untuk menetapkan peringkat (ISACA, 2012).

2.3.6.1 Assessment Process Activities

Assessment Process Activities merupakan tahapan-tahapan aktifitas dalam

melakukan proses penilaian capability level untuk perusahaan (ISACA, 2012):

Gambar 2.7 Proses Assessment Process Activities (ISACA, 2012)

Initiation

Initiation merupakan tahapan pertama dalam Assessment Process Activities

yang ada pada Process Assessment Model COBIT 5. Bertujuan untuk

menjelaskan hasil identifikasi dari beberapa informasi yang dapat dikumpulkan.

Planning the Assessment

Tahap kedua adalah dilakukan rencana penilaian yang bertujuan untuk

mendapatkan hasil evaluasi penilaian capability level. Dengan memetakan

47

RACI Chart yang ada di COBIT dengan beberapa pegawai Pusat Jaringan

Komunikasi BMKG agar selaras dengan kebutuhan aktifitas penelitian yang

akan dinilai.

Briefing

Tahap ketiga adalah melakukan pengarahan kepada tim penilai sehingga

memahai masukan, proses dan keluaran dalam unit organisasi yang akan dinilai

yaitu Pusat Jaringan Komunikasi BMKG dengan cara menentukan jadwal,

kendala yang dihadapi dalam melakukan penilaian, peran dan tanggung jawab,

kebutuhan sumber daya, dan lainlain.

Data Collection

Tahap keempat adalah dilakukan pengumpulan data dari hasil temuan yang

terdapat pada Pusat Jaringan Komunikasi BMKG yang bertujuan untuk

mendapatkan bukti-bukti penilaian evaluasi pada aktifitas proses yang telah

dilakukan.

Data Validation

Tahap kelima adalah dilakukan validasi data yang bertujuan untuk mengetahui

hasil perhitungan kuisioner agar mendapatkan evaluasi penilaian capability

level.

Process Attribute Level

Tahap keenam adalah dilakukan proses memberi level pada atribut yang ada di

setiap indikator, yang bertujuan untuk menunjukkan hasil capability level dari

hasil perhitungan kuisioner pada tahap-tahap sebelumnya dan melakukan

analisis gap pada tahapan berikutnya.

48

Reporting the Result

Tahap ketujuh adalah dilakukan melaporkan hasil evaluasi yang bertujuan

untuk memberikan rekomendasi dengan COBIT 5, bahwa dalam praktik tata

kelola teknologi informasi pada COBIT 5 memiliki beberapa ketentuan yang

harus dipenuhi.

2.3.6.2 Indikator Kapabilitas Proses dalam COBIT 5

Menurut ISACA, indikator kapabilitas proses adalah kemampuan proses

dalam meraih tingkat kapabilitas yang ditentukan oleh atribut proses. Bukti atas

indikator kapabilitas proses akan mendukung penilaian atas pencapaian atribut

proses (ISACA, 2012).

Dimensi kapabilitas dalam model penilaian proses mencakup enam tingkat

kapabilitas. Di dalam enam tingkat tersebut terdapat indikator atribut proses.

Tingkat 0 tidak memiliki indikator apapun, karena tingkat 0 menyatakan

proses yang belum diimplementasikan atau proses yang gagal, meskipun sebagian,

untuk mencapai hasil akhirnya. Kegiatan penilaian membedakan antara penilaian

untuk level 1 dengan level yang lebih tinggi. Hal ini dilakukan karena level 1

menentukan apakah suatu proses mencapai tujuannya, dan oleh karena itu sangat

penting untuk dicapai, dan juga menjadi pondasi dalam meraih level yang lebih

tinggi.

Lalu untuk penilaian capability level (tingkat kemampuan) terbagi menjadi

beberapa tingkatan yaitu Level 0-Incomplete Process, Level 1-Performed Process,

Level 2-Managed Process, Level 3-Established Process, Level 4-Predictable

process, Level 5-Optimising Process (ISACA, 2012:42). Kemudian Tingkat

49

kemampuan prosesnya ditentukan atas dasar pencapaian atribut proses tertentu

yang sesuai dengan ISO/IEC 15504-2: 2003.

Gambar 2.8 COBIT 5 Process Capability Model (ISACA, 2013:42)

2.3.7 Pemetaan Tujuan Terkait TI Terhadap Proses COBIT 5

Berikut ini merupakan gambar mapping IT-related goals pada proses yang

terdapat dalam COBIT 5:

50

Gambar 2.9 Pemetaan IT-related goal pada COBIT 5

51

Gambar 2.10 Pemetaan IT-related goal pada COBIT 5 (lanjutan)

Keterangan:

P = Primary

S = Secondary

52

Dari gambar tersebut, terlihat 37 proses COBIT serta hubungan primary

maupun secondary antara proses-proses COBIT yang ada dengan panduan IT goals

secara umum.

2.3.8 Fokus Area Evaluasi Tata Kelola TI

Proses Evaluasi pada tata kelola teknologi informasi ditentukan berdasarkan

kebutuhan organisasi saat ini. Penentuan fokus proses dilakukan dengan cara

memetakan masalah-masalah yang ada di Pusat Jaringan Komunikasi BMKG

dengan tujuan terkait TI. Domain proses tersebut diantarnya adalah Proses APO12

(Manage Risk), APO13 (Manage Security), dan DSS05 (Manage Security

Services).

2.3.8.1 Proses APO 12 (Manage Risk)

Pengertian dari proses APO 12 menurut (ISACA, 2012) adalah proses

pengidentifikasian secara berkelanjutan, penilaian dan mengurangi risiko

penggunaan TI pada level yang dibolehkan oleh manajemen eksekutif perusahaan.

Tujuan dari proses ini adalah untuk menghubungkan manajemen risiko TI

perusahaan dengan keseluruhan manajemen sumberdaya perusahaan, dan

menyeimbangkan antara biaya dan keuntungan dari manajemen risiko TI

perusahaan (ISACA, 2012).

2.3.8.2 Proses APO 13 (Manage Security)

Pengertian dari proses APO 13 menurut (ISACA, 2012) adalah proses yang

menjelaskan operasi dan pengawasan sistem untuk keperluan manajemen

keamanan informasi.

53

Proses ini bertujuan untuk menjaga agar dampak dan insiden keamanan

informasi berada pada ambang batas perusahaan (ISACA, 2012).

2.3.8.3 Proses DSS05 (Manage Security Services)

Menurut (ISACA, 2012) pengertian dari proses DSS05 adalah melindungi

informasi perusahaan agar risiko yang disebabkan berada pada ambang batas

perusahaan dengan kaitannya pada peraturan keamanan. Serta membuat dan

merawat kewenangan akses keamanan informasi dan menjalankan pengawasan

keamanan.

Proses ini bertujuan untuk meminimalkan dampak operasional celah dan

insiden keamanan informasi terhadap bisnis (ISACA, 2012).

2.4 Framework ISO 27002

International Standards Organization (ISO) mengelompokkan standar

keamanan informasi yang umum dikenali secara internasional ke dalam struktur

penomoran yang standar yakni ISO 17799. ISO 17799 tahun 2005, resmi

dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu secara

resmi diubah menjadi ISO 27002 tahun 2005. Konten tersebut masih persis sama.

Standar ISO 17799: 2005 (sekarang dikenal sebagai ISO 27002: 2005)

dikembangkan oleh IT Security Subcommittee dan Technical Committee on

Information Technology (ISO 27002, 2005).

ISO 27002: 2005 berisi panduan yang menjelaskan contoh penerapan

keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar

mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan

seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan didalam ISO

54

27001. Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan berdasarkan

ISO 27001 terdiri dari 11 klausul kontrol keamanan (security control clauses), 39

objektif kontrol (control objectives) dan 133 kontrol keamanan/ kontrol (controls)

yang dapat dilihat dalam Tabel 2.1. Sedangkan untuk detail struktur dokumen

kontrol keamanan dari ISO 27001 dapat dilihat pada Lampiran.

2.4.1 Hubungan dengan ISO/IEC 27001

ISO/IEC 27001 secara formal mendefinisikan persyaratan wajib untuk

Sistem Manajemen Keamanan Informasi (ISMS). ISO/IEC 27002 digunakan untuk

menunjukkan kontrol keamanan informasi yang sesuai dalam ISMS, tetapi karena

ISO/IEC 27002 hanyalah sebuah kode praktik / pedoman daripada standar

sertifikasi, organisasi bebas untuk memilih dan menerapkan kontrol lain, atau

memang mengadopsi alternative suite lengkap kontrol keamanan informasi yang

mereka mau. Dalam praktiknya, sebagian besar organisasi yang mengadopsi

ISO/IEC 27001 juga mengadopsi ISO/IEC 27002.

2.4.2 Struktur dan format ISO/IEC 27002: 2013

ISO/IEC 27002 adalah kode praktik dokumen umum yang bersifat

penasihat, bukan spesifikasi formal seperti ISO/IEC 27001. Dokumen ini

merekomendasikan kontrol keamanan informasi yang membahas tujuan

pengendalian keamanan informasi yang timbul dari risiko terhadap kerahasiaan,

integritas, dan ketersediaan informasi. Organisasi yang mengadopsi ISO/IEC 27002

harus menilai risiko informasi mereka sendiri, memperjelas tujuan kontrol mereka

dan menerapkan kontrol yang sesuai (atau bentuk lain dari perlakuan risiko)

menggunakan standar untuk panduan.

55

Banyak kontrol dapat dimasukkan dalam beberapa bagian, tetapi untuk

menghindari duplikasi dan konflik, mereka yang memiliki wewenang ditugaskan

untuk memilih satu, atau dalam beberapa kasus dapat dilakukan referensi silang dari

tempat lain. Misalnya, sistem kontrol akses kartu untuk ruang komputer atau

arsip/lemari besi. Ruang komputer atau arsip/lemari besi adalah kontrol akses dan

kontrol fisik yang melibatkan teknologi ditambah manajemen/administrasi terkait

serta prosedur dan kebijakan penggunaan. Hal ini setidaknya merupakan struktur

yang cukup komprehensif dan mungkin tidak sempurna tetapi cukup baik secara

keseluruhan.

2.4.3 Content ISO/IEC 27002

Secara lebih detail, berikut adalah perincian yang meringkas 19 bagian atau

bab standar (21 jika Anda menyertakan kata pengantar dan bibliografi yang tidak

bernomor). Area blok secara kasar mencerminkan ukuran bagian.

Gambar 2.11 Klausul ISO 27002 2013

56

Foreward

Secara singkat menyebutkan ISO/IEC JTC1 / SC 27, komite yang menulis standar,

dan mencatat bahwa "edisi kedua ini membatalkan dan menggantikan edisi pertama

(ISO/IEC 27002: 2005), yang telah direvisi secara teknis dan struktural".

0. Introduction

Ini memaparkan latar belakang, menyebutkan tiga asal dari persyaratan

keamanan informasi, mencatat bahwa standar menawarkan panduan generik

dan berpotensi tidak lengkap yang harus ditafsirkan dalam konteks organisasi,

menyebutkan informasi dan siklus hidup sistem informasi, dan menunjuk ke

ISO/IEC 27000 untuk keseluruhan struktur.

1. Scope

Standar ini memberikan rekomendasi bagi mereka yang bertanggung jawab

untuk memilih, menerapkan dan mengelola keamanan informasi. Ini mungkin

digunakan atau mungkin tidak digunakan untuk mendukung ISMS yang

ditentukan dalam ISO/IEC 27001.

2. Normative References

ISO/IEC 27000 adalah satu-satunya standar yang dianggap mutlak tak

terpisahkan untuk penggunaan ISO/IEC 27002. Namun, berbagai standar lain

disebutkan dalam standar dan bibliografi.

3. Terms and Definitions

Semua istilah dan definisi spesialis sekarang didefinisikan dalam ISO/IEC

27000 dan paling berlaku di seluruh standar keluarga ISO/IEC 27000.

57

4. Structure of this Standard

a. Klausa Kontrol keamanan

Dalam klausa kontrol keamanan Dari 21 bagian atau bab standar, 14

menentukan tujuan pengendalian dan kontrol. 14 ini adalah “klausul kontrol

keamanan”. Ada struktur standar dalam setiap klausa kontrol: satu atau

beberapa subbagian tingkat pertama, masing-masing menyatakan tujuan

kontrol, dan setiap tujuan kontrol didukung secara bergantian oleh satu atau

lebih kontrol yang dinyatakan. Setiap kontrol diikuti oleh pedoman

penerapan terkait dan, dalam beberapa kasus, catatan penjelasan tambahan.

b. 35 Tujuan Kontrol

ISO/IEC 27002 menetapkan sekitar 35 tujuan kontrol (satu per 'kategori

kontrol keamanan') tentang perlunya melindungi kerahasiaan, integritas,

dan ketersediaan informasi. Tujuan kontrol berada pada tingkat yang cukup

tinggi dan, pada dasarnya, mencakup spesifikasi persyaratan fungsional

umum untuk arsitektur manajemen keamanan informasi organisasi.

Beberapa profesional akan secara serius membantah keabsahan tujuan

pengendalian, untuk menempatkannya dengan cara lain akan sulit untuk

menyatakan bahwa organisasi tidak perlu memenuhi tujuan pengendalian

yang dinyatakan secara umum. Namun, beberapa tujuan pengendalian tidak

berlaku dalam setiap kasus dan kata-kata generiknya tidak mungkin untuk

mencerminkan persyaratan yang tepat dari setiap organisasi. Inilah

sebabnya mengapa ISO/IEC 27001 membutuhkan SoA (Pernyataan

Keberlakuan), meletakkan secara jelas apa kontrol keamanan informasi

58

yang diperlukan atau tidak diperlukan oleh organisasi, serta status

penerapannya.

c. 114 +++ control

Masing-masing tujuan kontrol didukung oleh setidaknya satu kontrol,

memberikan total 114. Namun, angka utama agak menyesatkan karena

pedoman pelaksanaan merekomendasikan banyak kontrol aktual dalam

rinciannya. Tujuan kontrol yang berkaitan dengan sub-sub-bagian yang

relatif sederhana 9.4.2 "Prosedur log-on yang aman", misalnya, didukung

dengan memilih, menerapkan dan menggunakan teknik otentikasi yang

sesuai, tidak mengungkapkan informasi sensitif pada saat log-on, validasi

entri data, perlindungan terhadap serangan brute-force, logging, tidak

mentransmisikan password secara jelas melalui jaringan, waktu tidak aktif

sesi, dan pembatasan waktu akses. Apakah Anda menganggap bahwa

menjadi satu atau beberapa kontrol terserah Anda. Dapat dikatakan bahwa

ISO/IEC 27002 merekomendasikan ratusan kontrol keamanan informasi

yang berbeda, meskipun beberapa mendukung beberapa tujuan kontrol,

dengan kata lain beberapa kontrol memiliki beberapa tujuan.

Lebih jauh lagi, kata-kata di seluruh standar dengan jelas menyatakan atau

menyiratkan bahwa ini bukan kumpulan yang benar-benar komprehensif.

Suatu organisasi mungkin memiliki tujuan pengendalian keamanan

informasi baru yang sedikit berbeda atau sepenuhnya baru, yang

membutuhkan kontrol lain (kadang-kadang dikenal sebagai 'rangkaian

59

kontrol diperpanjang') sebagai pengganti atau di samping yang dinyatakan

dalam standar.

5. Information Security Policies

Manajemen harus menetapkan seperangkat kebijakan untuk memperjelas arah

mereka dan dukungan untuk keamanan informasi. Di tingkat atas, harus ada

"kebijakan keamanan informasi" secara keseluruhan sebagaimana ditentukan

dalam ISO/IEC 27001.

6. Organization of Information Security

a. Organisasi internal

Organisasi harus meletakkan peran dan tanggung jawab untuk keamanan

informasi, dan mengalokasikannya kepada individu. Jika relevan, tugas

harus dipisahkan antara peran dan individu untuk menghindari konflik

kepentingan dan mencegah kegiatan yang tidak pantas. Harus ada kontak

dengan otoritas eksternal yang relevan tentang masalah keamanan

informasi. Keamanan informasi harus menjadi bagian integral dari

manajemen semua jenis proyek.

b. Perangkat Seluler dan Teleworking

Harus ada kebijakan keamanan dan kontrol untuk perangkat seluler (seperti

laptop, PC tablet, perangkat TIK yang dapat dipakai, smartphone, gadget

USB, dan lainnya) dan teleworking (seperti telecommuting, pekerjaan

rumah, dan remote/tempat kerja virtual).

60

7. Human Resource Security

a. Sebelum Bekerja

Tanggung jawab keamanan informasi harus dipertimbangkan ketika

merekrut karyawan tetap, kontraktor dan staf sementara (misalnya melalui

deskripsi pekerjaan yang memadai, skrining pra-kerja) dan termasuk dalam

kontrak (misalnya syarat dan ketentuan kerja dan perjanjian yang

ditandatangani lainnya yang mendefinisikan peran dan tanggung jawab

keamanan, kewajiban kepatuhan dll.).

b. Selama Bekerja

Manajer harus memastikan bahwa karyawan dan kontraktor disadarkan dan

termotivasi untuk mematuhi kewajiban keamanan informasi mereka. Proses

disipliner formal diperlukan untuk menangani insiden keamanan informasi

yang diduga disebabkan oleh pekerja.

c. Penghentian dan Perubahan Pekerjaan

Aspek keamanan seseorang dari organisasi, atau perubahan peran yang

signifikan di dalamnya, harus dikelola, seperti mengembalikan informasi

dan peralatan perusahaan yang mereka miliki, memperbarui hak akses

mereka, dan mengingatkan mereka tentang kewajiban berkelanjutan mereka

di bawah privasi dan kekayaan intelektual hukum, ketentuan kontrak,

ditambah dengan harapan etika, dll.

61

8. Asset Management

a. Tanggung Jawab untuk Aset

Semua aset informasi harus diinventarisasi dan pemilik harus diidentifikasi

untuk dimintai pertanggungjawaban atas keamanan mereka. Kebijakan

“Penggunaan yang dapat diterima” harus ditetapkan, dan aset harus

dikembalikan ketika orang meninggalkan organisasi.

b. Klasifikasi Informasi

Informasi harus diklasifikasikan dan diberi label oleh pemiliknya sesuai

dengan perlindungan keamanan yang diperlukan, dan ditangani dengan

tepat.

c. Penanganan media

Media penyimpanan informasi harus dikelola, dikendalikan, dipindahkan,

dan diatur sedemikian rupa sehingga konten informasi dapat dikendalikan.

9. Access Control

a. Persyaratan Bisnis untuk Kontrol Akses

Persyaratan organisasi untuk mengontrol akses ke aset informasi harus

didokumentasikan dengan jelas dalam kebijakan dan prosedur kontrol

akses, terutama akses jaringan dan koneksi harus dibatasi.

b. Manajemen Akses Pengguna

Alokasi hak akses ke pengguna harus dikendalikan dari pendaftaran

pengguna awal hingga penghapusan hak akses ketika tidak lagi diperlukan,

termasuk pembatasan khusus untuk hak akses istimewa dan pengelolaan

62

kata sandi (sekarang disebut "informasi otentikasi rahasia") ditambah ulasan

rutin dan pembaruan hak akses.

c. Tanggung Jawab Pengguna

Pengguna harus dibuat sadar akan tanggung jawab mereka untuk

mempertahankan kontrol akses yang efektif, mis. memilih kata sandi yang

kuat dan menjaga kerahasiaannya.

d. Sistem dan Kontrol Akses Aplikasi

Akses informasi harus dibatasi sesuai dengan kebijakan kontrol akses,

keamanan log-on, manajemen kata sandi, kontrol atas utilitas istimewa dan

akses terbatas ke kode sumber program.

10. Cryptography

a. Kontrol kriptografi

Harus ada kebijakan tentang penggunaan enkripsi, ditambah otentikasi

kriptografi dan kontrol integritas seperti tanda tangan digital dan kode

otentikasi pesan, dan manajemen kunci kriptografi.

11. Physical and Enviromental Security

a. Area aman

Batas dan rintangan fisik yang ditetapkan dengan kontrol masuk fisik dan

prosedur kerja, harus melindungi gedung, kantor, ruangan, area

pengiriman/pemuatan, dll. Saran spesialis harus dicari mengenai

perlindungan terhadap kebakaran, banjir, gempa bumi, bom dll.

63

b. Peralatan

Peralatan ditambah utilitas pendukung (seperti daya dan pengkondisian

udara) dan pemasangan kabel harus dijamin dan dipelihara. Peralatan dan

informasi tidak boleh dikeluarkan dari lokasi kecuali diizinkan, dan harus

dilindungi secara memadai baik di dalam maupun di luar lokasi. Informasi

harus dihancurkan sebelum media penyimpanan dibuang atau digunakan

kembali. Peralatan yang tidak dijaga harus diamankan dan harus ada meja

yang jelas dan kebijakan layar jernih.

12. Operations Security

a. Prosedur dan Tanggung Jawab Operasional

Tanggung jawab dan prosedur operasi TI harus didokumentasikan.

Perubahan pada fasilitas dan sistem TI harus dikontrol. Kapasitas dan

kinerja harus dikelola. Pengembangan, pengujian dan sistem operasional

harus dipisahkan.

b. Perlindungan dari Malware

Kontrol malware diperlukan, termasuk kesadaran pengguna.

c. Backup

Cadangan yang sesuai harus diambil dan disimpan sesuai dengan kebijakan

cadangan.

d. Pencatatan dan Pemantauan

Pengguna sistem dan kegiatan administrator/operator, pengecualian,

kesalahan dan kejadian keamanan informasi harus dicatat dan dilindungi,

Jam harus disinkronkan.

64

e. Kontrol Operasional Perangkat Lunak

Instalasi perangkat lunak pada sistem operasional harus dikontrol.

f. Pengelolaan Kerentanan Teknis

Kerentanan teknis harus ditambal, dan harus ada aturan di tempat yang

mengatur pemasangan perangkat lunak oleh pengguna.

g. Pertimbangan Audit Sistem Informasi

Audit TI harus direncanakan dan dikendalikan untuk meminimalkan

dampak buruk pada sistem produksi, atau akses data yang tidak sesuai.

13. Communications Security

a. Manajemen Keamanan Jaringan

Jaringan dan layanan jaringan harus diamankan, misalnya dengan segregasi.

b. Transfer Informasi

Harus ada kebijakan, prosedur, dan perjanjian (misalnya perjanjian

kerahasiaan) tentang transfer informasi ke/dari pihak ketiga, termasuk

perpesanan elektronik.

14. System Acquisition, Development and Maintenance

a. Persyaratan Keamanan Sistem Informasi

Persyaratan kontrol keamanan harus dianalisis dan ditentukan, termasuk

aplikasi web dan transaksi.

b. Keamanan dalam Proses Pengembangan dan Dukungan

Aturan yang mengatur pengembangan perangkat lunak/sistem yang aman

harus didefinisikan sebagai kebijakan. Perubahan sistem (baik aplikasi dan

sistem operasi) harus dikontrol. Paket-paket perangkat lunak idealnya tidak

65

perlu dimodifikasi, dan prinsip-prinsip rekayasa sistem yang aman harus

diikuti. Lingkungan pengembangan harus diamankan, dan pengembangan

yang dialihdayakan harus dikontrol. Keamanan sistem harus diuji dan

kriteria penerimaan didefinisikan untuk memasukkan aspek keamanan.

c. Data Uji

Data uji harus dipilih / dibuat dan dikendalikan secara hati-hati.

15. Supplier Relationships

a. Keamanan Informasi dalam Hubungan Pemasok

Harus ada kebijakan, prosedur, kesadaran, dll. Untuk melindungi informasi

organisasi yang dapat diakses oleh agen outsourcing TI dan pemasok

eksternal lainnya di seluruh rantai pasokan, yang disepakati dalam kontrak

atau perjanjian.

b. Manajemen Pengiriman Layanan Pemasok

Penyampaian layanan oleh pemasok eksternal harus dipantau, dan

ditinjau/diaudit terhadap kontrak/perjanjian. Perubahan layanan harus

dikontrol.

16. Information Security Incident Management

a. Manajemen Insiden Keamanan Informasi dan Perbaikan

Harus ada tanggung jawab dan prosedur untuk mengelola (melaporkan,

menilai, menanggapi dan belajar dari) kejadian keamanan informasi,

insiden dan kelemahan secara konsisten dan efektif, dan mengumpulkan

bukti forensik.

66

17. Information Security Aspects of Bussiness Continuity

a. Kelanjutan Keamanan Informasi

Kesinambungan keamanan informasi harus direncanakan, diterapkan, dan

ditinjau sebagai bagian integral dari sistem manajemen kesinambungan

bisnis organisasi.

b. Redudansi

Fasilitas IT harus memiliki redundansi yang cukup untuk memenuhi

persyaratan ketersediaan.

18. Compliance

a. Kepatuhan dengan Persyaratan Hukum dan Kontrak

Organisasi harus mengidentifikasi dan mendokumentasikan kewajibannya

kepada pihak berwenang eksternal dan pihak ketiga lainnya dalam

kaitannya dengan keamanan informasi, termasuk kekayaan intelektual,

catatan, privasi/informasi identitas pribadi dan kriptografi.

b. Tinjauan Keamanan Informasi

Pengaturan keamanan informasi organisasi harus ditinjau secara

independen (diaudit) dan dilaporkan kepada manajemen. Manajer juga

harus secara rutin meninjau kepatuhan karyawan dan sistem terhadap

kebijakan keamanan, prosedur, dll. Dan memulai tindakan korektif jika

perlu.

Standar ISO 27002 menetapkan petunjuk dan prinsip umum untuk inisiasi,

implementasi, pemeliharaan dan peningkatan manajemen keamanan informasi pada

sebuah organisasi. Tujuan secara garis besar pada standar ini menyediakan petunjuk

67

umum pada tujuan manajemen keamanan informasi yang biasanya diterima. Tujuan

kontrol dan kontrol standar internasional ini dimaksudkan untuk dimplementasikan

untuk memenuhi persyaratan yang diidentifikasi oleh penilaian resiko. Standar

internasional ini dapat berfungsi sebagai petunjuk praktis untuk mengembangkan

standar keamanan organisasional dan praktik manajemen keamanan dan membantu

untuk membangun kepercayaan diri pada aktivitas antar organisasional. Standar ini

berisi 11 klausa kontrol keamanan yang secara bersama berisi 39 kategori

keamanan utama dan satu klausul pengantar memperkenalkan penilaian resiko dan

perlakuan. Masing-masing klausa terdiri dari sejumlah kategori keamanan utama.

Masing-masing kategori keamanan utama terdiri dari tujuan kontrol yang

menyatakan apa yang ingin dicapai dan satu atau lebih kontrol yang dapat

diterapkan untuk mencapai tujuan control.

Klausul Jumlah

Objektif Kontrol Kontrol

5 1 2

6 2 11

7 2 5

8 3 9

9 2 13

10 10 31

11 7 25

12 6 16

13 2 5

14 1 5

15 3 10

Jumlah : 11 Jumlah : 39 Jumlah : 133

Tabel 2.1 Jumlah Klausul ISO 27002

ISO 27002 tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi

menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang tepat

68

sesuai kebutuhanya, dengan mempertimbangkan hasil kajian resiko yang telah

dilakukanya (Direktorat Keamanan Informasi, 2011).

27000 Fundamental & Vocabulary

27005

RISK

MANAGEMENT

27001 : ISMS

27002 : Code of Practice for ISMS

27003 : Implementation Guidance

27004 : Metrics & Measurement

27006 : Guidelines on ISMS Accreditation

27007 : Guidelines on ISMS Auditing

Gambar 2.12 ISO 27000 Family (Sumber: Sarno dan Iffano, 2009: 56)

Standar tersebut memiliki fungsi dan peran masing-masing dan berkembang

ke seri lain yang paparan lebih lanjutnya akan dijelaskan sebagai berikut.

1. ISO 27000: merupakan dokumen yang berisikan definisi-definisi dalam bidang

keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO

27000.

2. ISO 27001: berisi persyaratan standar yang harus dipenuhi untuk membangun

SMKI.

3. ISO 27002: merupakan panduan praktis (code of practice) pelaksanaan, teknik,

dan implementasi sistem manajemen keamanan informasi perusahaan

berdasarkan ISO 27001.

4. ISO 27003: berisi panduan untuk perancangan dan penerapan SMKI agar

memenuhi persyaratan ISO 27001.

5. ISO 27004: berisi matriks dan metode pengukuran keberhasilan implementasi

SMKI.

6. ISO 27005: dokumen panduan pelaksanaan manajemen resiko.

7. ISO 27006: dokumen panduan untuk sertifikasi SMKI perusahaan.

69

8. ISO 27007: dokumen panduan audit SMKI perusahaan.

2.5 Pemetaan Proses COBIT kedalam Kontrol ISO

Perbedaan mendasar antara COBIT dan ISO 27002 adalah bahwa ISO

27002 hanya berfokus pada keamanan informasi, sedangkan COBIT difokuskan

pada kontrol teknologi informasi yang lebih umum. Dengan demikian, COBIT

memiliki cakupan yang lebih luas dari topik teknologi informasi umum, tetapi tidak

memiliki banyak persyaratan keamanan informasi rinci seperti ISO 27002. Jika

suatu organisasi menangani semua kontrol keamanan dalam ISO 27002, maka

mereka akan mencakup sebagian besar COBIT. Namun, COBIT mencakup

serangkaian masalah yang jauh lebih besar terkait dengan tata kelola teknologi

informasi, dan biasanya digunakan sebagai bagian dari kerangka kerja tata kelola

perusahaan secara keseluruhan.

COBIT berfungsi mempertemukan semua bisnis kebutuhan kontrol dan isu-

isu teknik. Di samping itu, COBIT juga dirancang agar dapat menjadi alat bantu

yang dapat memecahkan permasalahan pada IT governance dalam memahami dan

mengelola resiko serta keuntungan yang behubungan dengan sumber daya

informasi perusahaan. Agar tata kelola keamanan informasi dapat berjalan dengan

baik diperlukan suatu standar untuk melakukan tata kelola tersebut (Tanuwijaya

dan Sarno, 2010: 80). Menurut (Sarno dan Iffano, 2009: 59) tidak ada acuan baku

mengenai standar apa yang akan digunakan atau dipilih oleh perusahaan untuk

melaksanakan audit keamanan sistem informasi. ISO27002 adalah sebuah standar

internasional yang tidak terikat dengan peraturan negara manapun. Penggunaan

standar ISO27002 adalah bersifat voluntary yang berarti bahwa masing-masing

70

organisasi dapat memilih praktik terbaik mana yang digunakan yang cocok dengan

kebutuhan organisasi.

Salah satu bagian terpenting dari teknologi informasi dalam kerangka kerja

COBIT, adalah manajemen keamanan informasi yang mencakup kerahasiaan,

integritas, dan ketersediaan sumber daya. Karena masalah yang diangkat adalah

area yang dicakup oleh standar ISO/IEC 27002, pilihan terbaik untuk memenuhi

manajemen keamanan informasi adalah dengan menggunakan framework COBIT

5 untuk pemetaan proses-proses yang relevan serta menghitung Capability Level

Perusahaan, dan menggunakan standar ISO 27002 dalam pemberian usulan serta

pembuatan dokumen tata kelola keamanan informasi.

Tujuan pemetaan ini menyediakan cara terintegrasi untuk penggunaan

COBIT dan ISO/IEC 27002 secara komplementer untuk keamanan informasi.

Pemetaan ISO/IEC 27002 ke dalam proses COBIT memungkinkan organisasi untuk

menurunkan biaya keseluruhan untuk menjaga tingkat keamanan yang maksimal,

efisien dan efektif mengelola risiko dan mengurangi tingkat risiko secara

keseluruhan.

2.6 Metode Perhitungan

2.6.1 Skala Likert

Dalam penelitian ini penulis menggunakan Skala Likert sebagai metode

perhitungan pada instrumen penelitian. Skala Likert merupakan skala yang dapat

dipergunakan untuk mengukur sikap, pendapat, dan persepsi seseorang tentang

suatu gejala atau fenomena tertentu (Budiman & Riyanto, 2013)

71

Sependapat dengan Budiman dan Riyanto. Guritno mengemukakan skala

Likert digunakan untuk mengukur sikap, pendapat, dan persepsi seseorang atau

sekelompok orang tentang kejadian atau gejala sosial. Skala ini dikembangkan pada

tahun 1930 oleh Rensis Likert untuk memberikan ukuran sikap seseorang tingkat

ordinal (Guritno, 2011).

Skala Likert juga kerap digunakan dalam penelitian survey dengan orang

menyatakan sikap atau tanggapan lain sehubungan dengan kategori tingkat ordinal

(misal, setuju, tidak setuju) yang diperingatkan sepanjang kontinum (Neuman,

2013). Berikut keterangan nilai/skor skala Likert yang terdapat pada tabel berikut:

Alternatif Skor

Positif Negatif

Sangat Setuju 5 1

Setuju 4 2

Kurang Setuju 3 3

Tidak Setuju 2 4

Sangat Tidak Setuju 1 5

Tabel 2.2 Ketentuan Nilai Skala Likert

2.6.2 Skala Rating Scale

Atribut peringkat menggunakan skala peringkat standar yang terdiri dari:

1. N (Not achieve)

Kategori ini tidak ada atau hanya sedikit bukti atas pencapaian atribut proses

tersebut. Range nilai yang diraih pada kategori ini berkisar 0-15%.

72

2. P (Partially achieve)

Kategori ini terdapat beberapa bukti mengenai pendekatan, dan beberapa

pencapaian atribut atas proses tersebut. Range nilai yang diraih pada kategori

ini berkisar 15-50%.

3. L (Largely achieve)

Kategori ini terdapat bukti atas pendekatan sistematis, dan pencapaian

signifikan atas proses tersebut, meski mungkin masih ada kelemahan yang tidak

signifikan. Range nilai yang diraih pada kategori ini berkisar 50-85%.

4. F (Fully achieve)

Kategori ini terdapat bukti atas pendekatan sistematis dan lengkap, dan

pencapaian penuh atas atribut proses tersebut. Tidak ada kelemahan terkait

atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar 85-

100%.

Tabel 2.3 Rating Levels (ISACA, 2012)

Menutur ISACA, suatu proses cukup meraih kategori Largely achieved (L)

atau Fully achieved (F) untuk dapat dinyatakan bahwa proses tersebut telah meraih

suatu tingkat kapabilitas tersebut, namun proses tersebut harus meraih kategori

Fully achieved (F) untuk dapat melanjutkan penilaian ke tingkat kapabilitas

berikutnya, misalnya bagi suatu proses untuk meraih tingkat kapabilitas 3, maka

73

tingkat 1 dan 2 proses tersebut harus mencapai kategori Fully achieved (F)

sementara tingkat kapabilitas 3 cukup mencapai kategori Lagerly achieved (L) atau

Fully achieved (F) (ISACA, 2012).

2.6.3 Perhitungan Capability Level

Menurut Krisdanto Surendro pada bukunya yang berjudul “Implementasi

Tata Kelola TI” (2009). Dijelaskan tentang hasil dari perhitungan kuesioner yang

direkapitulasi untuk dapat merepresentasikan persentase dan Capability Level.

Maka dapat dijelaskan dengan rumus penilaian sebagai berikut:

1. Menghitung Rekapitulasi Jawaban Kuesioner

𝑪 =𝑯

𝑱𝑹× 𝟏𝟎𝟎%

Keterangan:

C : Rekapitulasi jawaban kuesioner Capability Level

(dalam bentuk persentase pada masing-masing pilihan

jawaban a, b, c, d, e atau f di masing-masing aktivitas).

H : Jumlah jawaban kuesioner Capability Level pada

masing-masing pilihan jawaban a, b, c, d, e atau f di

setiap aktivitas.

J

R

: Jumlah Responden/Narasumber.

2. Menghitung Nilai dan Level Kapabilitas

𝑁𝐾 =(𝑳𝑷𝒙𝑵𝒌𝒂+(𝑳𝑷𝒙𝑵𝒌𝒃)+(𝑳𝑷𝒙𝑵𝒌𝒄)+(𝑳𝑷𝒙𝑵𝒌𝒅)+(𝑳𝑷𝒙𝑵𝒌𝒆)+(𝑳𝑷𝒙𝑵𝒌𝒇)

100

Keterangan:

NK : Nilai kematangan pada proses TI.

74

LP : Level percentage (Tingkat persentase pada setiap distribusi

jawaban kuesioner II capability level).

Nk : Nilai kematangan yang tertera pada tabel pemetaan jawaban, nilai

dan tingkat kematangan.

Pada penelitian ini dilakukan pembedaan istilah antara nilai kapabilitas dan

tingkat kapabilitas. Nilai kapabilitas bisa bernilai tidak bulat (bilangan desimal),

yang merepresentasikan proses pencapaian menuju suatu tingkat kapabilitas

tertentu. Sedangkan tingkat kapabilitas lebih menunjukkan tahapan atau kelas yang

dicapai dalam proses kapabilitas, yang dinyatakan dalam bilangan bulat. (Surendro,

2009).

Untuk lebih memperjelas tingkat kapabilitas dapat dilihat pengasumsian

bahwa setiap sub proses memiliki nilai serta pembobotan terhadap tingkat

kapabilitas yang sama terhadap proses pada tabel 2.4.

Rentang Nilai Jawaban Nilai

Kapabilitas

Tingkat

Kapabilitas

0 – 0,50 A 0,00 0 (Incomplete

Process)

0,51 – 1,50 B 1,00 1 (Performed

Process)

1,51 – 2,50 C 2,00 2 (Managed

Process)

2,51 – 3,50 D 3,00 3 (Established

Process)

3,51 – 4,50 E 4,00 4 (Predictable

Process)

4,51 – 5,00 F 5,00 5 (Optimising

Process)

Tabel 2.4 Pemetaan Jawaban Nilai dan Tingkat Kapabilitas

75

2.7 Metode Pengumpulan Data

Data merupakan manifestasi dari informasi yang sengaja dicari untuk

dikumpulkan guna menjelaskan suatu peristiwa atau kegiatan lainnya.

Pengumpulan data pada dasarnya merupakan suatu kegiatan operasional agar

tindakannya masuk pada pengertian penelitian yang sebenarnya (Subagyo, 2015).

Secara umum metode pengumpulan data dapat dibagi atas beberapa jenis yaitu:

1. Wawancara

Salah satu metode pengumpulan data dilakukan melalui wawancara adalah

suatu kegiatan yang dilakukan untuk mendapatkan informasi secara langsung

dengan mengungkapkan pertanyaan-pertanyaan pada para responden.

Wawancara bermakna berhadapan langsung antara interviewer dengan

reponden dan kegiatannya dilakukan secara lisan (Subagyo, 2015).

2. Observasi

Bentuk alat pengumpul data yang lain dilakukan dengan cara

observasi/pengamatan. Observasi dilakukan sesusai dengan kebutuhan

penelitian mengingat tidak setiap penelitian menggunakan alat pengumpul data

demikian. Observasi adalah pengamatan yang dilakukan secara sengaja,

sistematis mengenai fenomena sosial dengan gejala-gejala psikis untuk

kemudian dilakukan pencatatan (Subagyo, 2015).

3. Kuesioner

Bentuk pengumpulan data selanjutnya adalah menggunakan kuesioner.

Instrumen ini merupakan alat pengumpulan data, sebagaimana alat pengumpul

data sebelumnya. Kuesioner diajukan pada responden dalam bentuk tertulis

76

disampaikan secara langsung ke alamat responden, kantor atau tempat lain

(Subagyo, 2015).

4. Tinjauan Pustaka

Kegiatan penelitian selalu bertitik tolak dari pengetahuan yang sudah ada. Hasil

penelitian yang sudah berhasil memperkaya khasanah pengetahuan yang ada

biasanya dilaporkan dalam bentuk jurnal-jurnal penelitian (Arikunto, 2013).

Kegiatan mendalami, mencermati, menelaah, dan mengidentifikasi

pengetahuan (baik itu dalam bentuk buku, laporan, jurnal, skripsi, tesis dan

semacamnya) itu disebut dengan kaji pustaka atau telaah pustaka (literature

review).

2.8 Kajian Penelitian Sebelumnya

Dibawah ini merupakan kajian dari penelitian-penelitian sebelumnya

tentang Evaluasi Tata Kelola Keamanan Teknologi Informasi menggunakan

framework terkait seperti COBIT ataupun ISO yang menjadi acuan peneliti dalam

melakukan penelitian ini :

Berdasarkan penelitian terdahulu yang dilakukan oleh peneliti (Sheikhpour,

2016), peneliti (Gupta et al., 2013), dan peneliti (Iso et al., 2014), para peneliti

tersebut menggunakan COBIT 4 dan ISO 27002 untuk mengevaluasi tata kelola

keamanan perusahaan dengan memetakan domain masing-masing framework dan

menghasilkan sebuah rekomendasi usulan berupa perancangan yang diperlukan

masing-masing peneliti. Namun terdapat perbedaan pada penelitian (Gupta et al.,

2013) karena penelitian tersebut menambahkan framework keamanan DSCI untuk

digabungkan dengan ISO / IEC 27002: 2005 dan COBIT 4.1. peneliti Gupta

77

memberikan gambaran bahwa jika kerangka kerja keamanan DSCI diikuti maka

akan diketahui sejauh mana standar lain dapat dicapai dan ini membantu

meminimalkan biaya dan menghemat waktu.

Kemudian berdasarkan penelitian terdahulu yang dilakukan oleh peneliti

(Nastase Pavel, 2009), peneliti (Selo Adipta, 2016), dan peneliti (Sudhista, 2015),

para peneliti tersebut menggunakan framework COBIT, ISO dan ITIL dalam

melakukan evaluasi tata kelola TI, namun terdapat perbedaan antara penelitian

(Nastase Pavel, 2009) dengan (Selo Adipta, 2016), dan (Sudhista, 2015), penelitian

(Nastase Pavel, 2009) menggunakan COBIT 4 dan hanya menghasilkan identifikasi

penggunaan standar dan praktik terbaik TI serta prioritas proses-proses sesuai

dengan rencana aksi dan merencanakan langkah-langkah pendekatan implementasi

sedangkan penelitian (Selo Adipta, 2016), dan (Sudhista, 2015) sudah

menggunakan framework COBIT terbaru yaitu COBIT 5 dan menghasilkan

penjelasan perbedaan dan persamaan yang terdapat pada model framework COBIT,

ITIL, dan ISO/IEC 27002 yang diintergrasikan dan merangkai sebuah usulan

framework yang komprehensif sehingga dapat digunakan untuk setiap perguruan

tinggi.

Selanjutnya penelitian terdahulu yang dilakukan oleh (Ariyani, 2013)

membahas tentang penerapan tata kelola keamanan teknologi informasi dengan

menggunakan COBIT 5 dan ISO/IEC 27002 yang berfokus pada Klausul 9 (access

control), serta Domain APO02 (define the information architecture), APO03

(determine technological direction) dan DSS05 (manage security services).

Penelitian ini bertujuan untuk peningkatan perhatian pada unsur keamanan dan

78

penerapan teknologi informasi dengan hasil dari penelitian ini didapatkan bahwa

nilai tingkat kematangan menggunakan framework ISO 27002 secara keseluruhan

SIMPEG memiliki nilai kematangan 2.49.

Kemudian penelitian terdahulu yang dilakukan oleh (Humphreys, 2008),

(Mughoffar, Ali, & Herdiyanti, 2013), dan (Afandi, 2015) membahas tentang tata

kelola keamanan teknologi informasi yang diterapkan menggunakan ISO 27001

dan ISO 27002 untuk memaksimalkan penerapan karena ISO 27001 dan ISO 27002

merupakan framework khusus terkait keamanan teknologi informasi. Namun pada

penelitian (Afandi, 2015) lebih berfokus pada kontrol yang dibutuhkan oleh

perusahaan yaitu Klausul A.8.1.3 syarat dan aturan kepegawaian, A.11.3.1

Penggunaan password, A.12.4.3 Pengendalian akses terhadap kode sumber

program, A.12.5.1 Prosedur pengendalian perubahan, A.10.6.1 Pengendalian

jaringan. Afandi memilih kontrol/klausul tertentu untuk memaksimalkan perbaikan

dan perancangan usulan sesuai kebutuhan perusahaan.

79

BAB III

METODE PENELITIAN

3.1 Waktu dan Tempat Penelitian

Tempat Penelitian : Pusat Jaringan Komunikasi, Badan Meteorologi

Klimatologi dan Geofisika (BMKG).

Alamat : Jl. Angkasa I, No.2 Kemayoran, Jakarta Pusat 10720.

Waktu Penelitian : April – Juni 2017.

3.2 Data dan Perangkat Penelitian

a. Data Formal

Data formal yang digunakan dalam Evaluasi Tata Kelola Teknologi Informasi

pada Pusat Jaringan Komunikasi BMKG adalah :

1. Data peraturan dan kebijakan terkait dengan Tata Kelola Teknologi

Informasi

2. Dokumen yang berkaitan dengan proses APO12, APO13, dan DSS05

sebagai evidence atau bukti.

b. Perangkat Penelitian

Perangkat yang digunakan pada penelitian ini adalah:

1. Hardware atau perangkat keras :

a. Satu unit Personal Computer (PC)

b. Satu unit Printer

2. Software atau perangkat lunak :

a. Sistem Operasi : Windows 7 Ultimate

80

b. Tools : Ms. Office dan GantChart.

c. Sisi web application: Google Chrome.

3.3 Metode Penelitian

3.3.1 Desain Penelitian

Penelitian ini menggunakan metode kualitatif dengan objek penelitian yang

alamiah. Objek penelitian yang alamiah berarti suatu objek yang tidak dimanipulasi

dan tidak direkayasa oleh peneliti, sehingga apa adanya sesuai kondisi pada Pusat

Jaringan Komunikasi Badan Meteorologi Klimatologi dan Geofisika. Objek

penelitian di BMKG ini terkait dengan pengelolaan teknologi informasi sedangkan

subjek penelitiannya adalah individu di BMKG yang menjadi narasumber

wawancara sekaligus responden dalam penelitian ini.

3.3.2 Metode Pengumpulan Data

Metode pengumpulan data pada penelitian di BMKG ini menggunakan dua

sumber data yang akan di analisa, yaitu data primer dan data sekunder. Adapun data

primer adalah data yang diperoleh langsung di tempat penelitian berupa observasi,

wawancara dan hasil kuisioner yang diberikan ke Pusat Jaringan Komunikasi

BMKG. Berikut penjelasan tahapan pengumpulan data primer yang dilakukan

peneliti:

a. Observasi

Observasi dilakukan pada Pusat Jaringan Komunikasi BMKG. Jenis

observasi yang dilakukan yaitu observasi nonpartisipan, peneliti tidak terlibat

dan hanya sebagai pengamat independen.

81

b. Wawancara

Wawancara dilakukan di BMKG dan dengan cara berdiskusi dengan Bpk.

Ali Mas’at, S.Si, M.kom sebagai Kepala Sub Bidang Manajemen Teknologi

Informasi BMKG dan dengan Mas Frank sebagai Staff Ahli sekaligus

pembimbing lapangan. Wawancara ini berguna untuk memperoleh data-data

yang diperlukan dalam analisis terhadap proses bisnis yang saat ini berjalan di

Badan Meteorologi Klimatologi dan Geofisika. Wawancara dilakukan dengan

menggunakan jenis wawancara Informal Conversation Interview. Pada jenis

Informal Conversation Interview, wawancara dilakukan dengan urutan dan

susunan kata yang telah ditentukan sebelumnya. Narasumber ditanyakan

pertanyaan yang bersifat ilmiah dengan konteks yang paling sesuai dengan

pengelolaan TI.

Pertanyaan yang diajukan berkaitan dengan tugas dan wewenang, tugas

pokok dan fungsi, ruang lingkup kerja di BMKG, layanan TI yang diterapkan,

permasalahan dan dampak dari penerapan keamanan system yang ada,

pengelolaan TI sejauh ini dan seperti apa harapan terhadap pengelolaan TI ke

depannya yang lebih baik.

c. Kuesioner

Kuesioner berisi pertanyaan tertulis yang diberikan kepada responden di

Pusat Jaringan Komunikasi BMKG. Pertanyaan yang dibuat pada kuesioner

mengacu pada kerangka kerja COBIT 5 dengan domain yang diambil adalah

APO (Align, Plan, and Organise) focus pada proses APO12 (Manage Risk),

APO13 (Manage Security) dan Delivery, Service and Support (DSS) yang

82

berfokus pada proses DSS05 (Manage Security Services). Penilaian tingkat

kematangan dari hasil kuesioner yang diberikan berdasarkan process capability

level yang terdiri dari level 0-5.

Kuesioner yang diberikan kepada responden berdasarkan Key Management

Practices (KMP) pada setiap proses yaitu proses APO (Align, Plan, and

Organise) focus pada proses APO12 (Manage Risk), APO13 (Manage Security)

dan Delivery, Service and Support (DSS) yang berfokus pada proses DSS05


Responden untuk kuesioner didapatkan dari identifikasi diagram RACI

yang digambarkan pada fungsional struktur COBIT 5 dan fungsional struktur

BMKG. Skala pengukuran kuesioner yang digunakan adalah skala Likert. Data

sekunder diperoleh dari kajian pustaka yang berhubungan dengan tata kelola

teknologi informasi. Data sekunder digambarkan pada studi literatur.

d. Studi Literatur

Studi literatur dilakukan dengan mempelajari teori-teori yang berkaitan

dengan tata kelola teknologi informasi khususnya framework COBIT 5 dan

Standar ISO 27002. Teori-teori tersebut berasal dari buku-buku, jurnal, ebook

dan penelitian-penelitian yang mendukung skripsi ini. Penelitian sejenis dengan

topik penelitian dapat dilihat pada tabel literatur sejenis. Studi literatur sejenis

diperoleh dari penelitian dengan topic yang sama mengenai tata kelola

teknologi informasi dan keamanan informasi. Topic penelitian yang sama

tersebut berasal dari UIN Syarif Hidayatullah Jakarta dan Universitas lainnya

seperti Universitas Indonesia, Universitas 10 September dan lain-lain. Studi

83

literatur yang menjadi acuan utama pada penelitian ini yaitu jurnal COBIT 5

yang dikeluarkan oleh ISACA pada tahun 2012-2013 dengan judul COBIT 5

Framework, COBIT 5 Enabling Process, COBIT 5 Implementation, COBIT 5

Process Assessment Model dan COBIT 5 Process Reference Guide.

No Peneliti

(Tahun) Judul Framework Tujuan Variabel Hasil

1. Razieh

Sheikhpour and

Nasser Modiri

(2016)

An Approach to

Map COBIT

Processes to

ISO/IEC 27001

Information

Security

Management

Controls.

COBIT 4.1 dan

ISO/IEC

27001

untuk memenuhi

manajemen keamanan

informasi dalam

infrastruktur COBIT

menggunakan standar

ISO/IEC27001.

Hasil dari penelitian ini

adalah mengeksplorasi

peran keamanan

informasi dalam

COBIT dan

menjelaskan

pendekatan pemetaan

proses COBIT ke

kontrol ISO /

IEC27001 untuk

manajemen keamanan

informasi.

2. Syopiansyah

Jaya Putra

The process

capability model

for governance of

the Election

Organizer Ethics

Court system

COBIT 5 Tujuan dari makalah

ini adalah untuk

menilai kondisi tingkat

kemampuan saat ini

dan yang diharapkan,

analisis kesenjangan

dan rekomendasi untuk

tata kelola yang baik

SIPEPP

Hasil studi ini dapat

digunakan untuk

mengevaluasi dan

meningkatkan kualitas


dalam implementasi

SIPEPP.

3. Dr. Ir. Ni

Wayan Sri

Ariyani, MM.

(2015)

Audit Teknologi

Informasi dengan

Kerangka Kerja

ISO 27002 dan

COBIT 5 (Studi

Kasus: Badan

Kepegawaian

Daerah

Kabupaten

Gianyar.

ISO 27002 dan

COBIT 5

Untuk peningkatan

perhatian pada unsur

keamanan dan

penerapan teknologi

informasi.

Klausul 9

(access

control),

APO02 (define

the information

architecture),

APO03

(determine

technological

direction) dan

DSS05 (ensure

system security)


didapatkan bahwa nilai

tingkat kematangan

menggunakan

framework ISO 27002

adalah , secara

keseluruhan SIMPEG

memiliki nilai

kematangan 2.49.

4. Aldi Satriani

Wibowo, Selo

dan Dani

Adipta. (2016)

Kombinasi

Framework

COBIT 5, ITIL

dan ISO/IEC

27002 untuk

COBIT 5, ITIL

v3 dan

ISO/IEC

27002

semua yang

berhubungan dengan

TI menjadi bersinergi

dan mampu

memberikan nilai

Penjelasan perbedaan

dan persamaan yang

terdapat pada model

framework COBIT,

ITIL, dan ISO/IEC

84

Membangun

Model Tata

Kelola Teknologi

Informasi di

Perguruan Tinggi

tambah serta

pengembalian

investasi yang

diharapkan bagi

perguruan tinggi.

27002 yang

diintergrasikan dan

merangkai sebuah

usulan framework

yang komprehensif

sehingga dapat

digunakan untuk setiap

perguruan tinggi.

5. Watika Gupta,

Sanchita

Dwivedi and

Dr. Vijay

Kumar

Chaurasiya.

(2013)

MAPPING OF

DATA

SECURITY

COUNCIL OF

INDIA

SECURITY

FRAMEWORK

WITH ISO/IEC

27002:2005 AND

COBIT 4.1

ISO/IEC

27002:2005

dan COBIT 4.1

Penelitian ini bertujuan

memetakan Kerangka

Keamanan DSCI

dengan ISO / IEC

27002: 2005 dan

COBIT 4.1

memberikan gambaran

bahwa jika kerangka

kerja keamanan DSCI

diikuti maka sejauh

mana standar lain

dapat dicapai, Ini

membantu

meminimalkan biaya

dan menghemat waktu.

6. Mei Lenawati,

Wing Wahyu

Winarno,

Armadyah

Amborowati.

(2017)

Tata Kelola

Keamanan

Informasi Pada

PDAM

Menggunakan

ISO/IEC

27001:2013 Dan

Cobit 5

ISO/IEC

27001:2013

dan COBIT 5


untuk membuat tata

kelola keamanan

informasi sesuai

dengan persyaratan

SMKI ISO 27001:2013

dan kerangka kerja

keamanan informasi

COBIT 5.

Penelitian ini

menghasilkan

beberapa keluaran

yaitu model referensi

proses; rekomendasi

proses bisnis dan

struktur organisasi; dan

langkah penerapan tata

kelolanya.

7. Faridl

Mughoffar, Ir.

Ahmad Holil

Noor Ali,

M.Kom, dan

Anisah

Herdiyanti,

S.Kom, M.Sc.

(2013)

PENYUSUNAN

TEMPLATE

TATA KELOLA

KEAMANAN

INFORMASI

BERBASIS

ISO/IEC

27001:2005 DAN

PATUH

TERHADAP

COBIT 5

MANAGEMENT

PROCESSES

APO13 MANAGE

SECURITY.

ISO/IEC

27001:2005

dan COBIT 5

memperkecil

munculnya risiko yang

berkaitan dengan aspek

keamanan informasi

seperti kerusakan

perangkat TI,

kehilangan data karena

pencurian dan risiko

lainnya.

APO13

MANAGE

SECURITY

template tata kelola

keamanan informasi

yang berfokus dengan

area pengamanan yang

diambil dari standar

COBIT 5 dan ISO/IEC

27001:2005

8. Sudhista

Febriawan

Wira Pratama.

(2015)

Evaluasi dan

Rekomendasi

Perbaikan

Layanan

InfrastrukturTI di

PT. FINNET

INDONESIA

Berdasarkan

COBIT 5, ITIL

v3 2011 dan

ISO/IEC

15504

Untuk

mengkombinasikan

ketiga metode tersebut

sebagai dimensi baru

akan kemungkinan

untuk menerapkan

standar pengukuran

Memaksimalkan

tujuan evaluasi tata

kelola teknologi sesuai

dengan kebutuhan PT

FINNET

INDONESIA. Hasil

yang didapat adalah

tingkat kapabilitas saat

85

COBIT 5, ITIL

2011 dan ISO/IEC

15504

kematangan COBIT 5

pada ITIL 2011.

ini dan rekomendasi

perbaikan.

9. Lailatul

Fitriana R,

Bambang

Setiawan,

Andre Parvian

A. (2014)

PEMBUATAN

PANDUAN

TATA KELOLA

PADA BIDANG

KEAMANAN

INFORMASI

DAN

PEMULIHAN

BENCANA

BERBASIS

COBIT 4.1 DAN

ISO 27002

COBIT 4.1 dan

ISO 27002

untuk memaksimalkan

manajemen keamanan

teknologi informasi di

Divisi TI Kementerian

XYZ.

Dokumen Tata Kelola

TI pada bidang

Keamanan dan

Pemulihan Bencana TI

dan Aplikasi

monitoring untuk

mengontrol kepatuhan

pada dokumen tata

kelola TI.

10. Oki Nurkholis USULAN

KEAMANAN

SISTEM

INFORMASI

PADA

PENYELENGGA

RA FINANCIAL

TECHNOLOGY

(FINTECH)

MENGGUNAKA

N COBIT 5

(STUDI KASUS:

GANDENGTAN

GAN.ORG)

COBIT 5 Melakukan evaluasi

terhadap keamanan

sistem informasi pada

perusahaan dengan

berdasarkan pada

framework COBIT 5.

Proses EDM03

(Ensure Risk

Optimatisation)

, APO12

(Manage Risk),

APO13

(Manage

Security),

BAI06 (Manage

Changes), dan

DSS05

(Manage

Security

Services)

Hasil penelitian ini

adalah panduan berupa

usulan keamanan

informasi berdasarkan

framework COBIT 5

untuk dapat memenuhi

persyaratan yang

diwajibkan oleh OJK

untuk para

penyelenggara Fintech

di Indonesia terkait

standar keamanan.

11. Penji Prasetya,

Adian Fatchur

Rochim, Ike

Pertiwi

Windasari

Desain dan

Implementasi

Standar

Operasional

Prosedur (SOP)

Keamanan Sistem

Informasi

Fakultas Teknik

Universitas

Diponegoro

Menggunakan

Standar ISO

27001

ISO/IEC

27001

Tugas akhir ini

bertujuan untuk

membuat kebijakan

dan Standard

Operating Procedure

(SOP) dan

mengevaluasi risiko

keamanan informasi

dalam aset organisasi.

Tugas akhir ini

menghasilkan tingkat

risiko yang terkandung

dalam nilai aset dan

menghasilkan

rekomendasi untuk

meningkatkan kontrol

keamanan dalam

keamanan informasi

aset berdasarkan

klausul ISO 27001.

12. Basofi Adi

Wicaksono,

Iwan

Kurniawan,

ST., MT, Rita

PERANCANGA

N

PERLINDUNGA

N PERANGKAT

LUNAK

SEBAGAI ASET

SNI ISO/IEC

27001:2009

untuk mengidentifikasi

risiko pada aset

perangkat lunak di

fakultas teknik

UNPAS dan membuat

rekomendasi

Klausul A.8.1.3

syarat dan

aturan

kepegawaian,

A.11.3.1

Penggunaan

password,


adalah perancangan

perlindungan

perangkat lunak untuk

membantu pihak

Fakultas Teknik

86

Rijayanti, ST.,

MT

INFORMASI

TERHADAP

MALICIOUS

CODE DI

FAKULTAS

TEKNIK

UNIVERITAS

PASUNDAN

penanganan keamanan

aset perangkat lunak

yang ada di fakultas

teknik UNPAS.

A.12.4.3

Pengendalian

akses

terhadap kode

sumber

program,

A.12.5.1

Prosedur

pengendalian

perubahan,

A.10.6.1

Pengendalian

jaringan

Universitas Pasundan

dalam mencegah,

mengelola, dan

memonitoring aset

perangkat lunak dari

risiko yang ada.

13. Dheni Indra,

Apol Pribadi,

dan Eko Wahyu

Tyas

Pembuatan

Dokumen SOP

Keamanan Aset

Informasi Yang

Mengacu Pada

Kontrol Kerangka

Kerja ISO

27002:2013

(Studi Kasus : Cv

Cempaka

Tulungagung)

ISO/IEC

27002:2013

penelitian ini bertujuan

membuat sebuah

dokumen SOP yang

sesuai dengan

kebutuhan keamanan

informasi bagi

perusahaan CV

Cempaka berdasarkan

pada kontrol kerangka

kerja ISO27002:2013

Klausul 9.1.1

Access control

policy, 9.2.3

Management of

privileged

access right,

9.3.1 Use of

secret

authentication

information,

9.4.1

Information

access

restriction,

9.4.2 Secure

log-on

procedures, dan

9.4.3 Password

management

system

Penelitian ini

menghasilkan

dokumen SOP

keamanan aset

informasi yang terdiri

dari 4 Kebijakan, 6

prosedur, 4 Instruksi

Kerja dan 13 Formulir.

14. Professor

Pavel, PhD

Professor

Floarea, PhD

CHALLENGES

GENERATED BY

THE

IMPLEMENTATI

ON OF THE IT

STANDARDS

COBIT 4.1, ITIL

V3 AND ISO/IEC

27002 IN

ENTERPRISES

COBIT 4.1,

ITIL V3, dan

ISO/IEC

27002

Tujuan utama dari

makalah ini adalah

untuk menekankan

pentingnya

menerapkan praktik TI

terbaik di perusahaan

dan untuk

mengidentifikasi

tantangan utama yang

dihadapi manajer

ketika membuat

kerangka kerja kontrol

TI standar untuk

mencapai praktik

terbaik untuk

persyaratan bisnis.


adalah identifikasi

penggunaan standar

dan praktik terbaik TI,

memprioritaskan

proses sesuai dengan

rencana aksi dan

merencanakan

langkah-langkah

pendekatan

implementasi.

15. Edward

Humphreys

Information

security

management

ISO/IEC

27001

mengeksplorasi apa

yang standar ISO/IEC

27001 tawarkan


adalah perkembangan

yang perlu dihadapi

87

standards:

Compliance,

governance and

risk management

kepada organisasi,

manfaat apa yang

diperoleh, dan

bagaimana standar

tersebut membantu

kepatuhan

organisasi dan

bagaimana standar

internasional ini

berguna dalam

membantu

menyelesaikan

masalah ancaman

internal.

Tabel 3. 1 Penelitian Sejenis

3.3.3 Metode Analisis Data

Penelitian ini menggunakan teknik analisis data deskriptif kualitatif yang

menekankan pada sumber data dan fakta. Sumber data dijelaskan pada bagian

metode pengumpulan data dengan dua sumber data yaitu data primer dan data

sekunder. Berdasarkan data yang sudah dikumpulkan tersebut melalui observasi,

wawancara, kuesioner dan studi literatur maka tahapan selanjutnya adalah data

tersebut dianalisis untuk dikembangkan lagi. Seluruh data yang diperoleh di BMKG

dianalisis menggunakan skala pengukuran Likert dan Capability Level. Skala Likert

digunakan untuk menganalisis jawaban responden untuk kuesioner. Dari hasil

perhitungan skala Likert pada dianalisis kembali dengan menggunakan capability

level dengan acuan COBIT 5 untuk mengetahui tingkat kemampuan BMKG saat

ini dalam mengelola teknologi informasi.

3.4 Metode Penerapan Tata Kelola Teknologi Informasi

3.4.1 Tahap 1 – Initiate Programme

Pada tahap ini dilakukan identifikasi mengenai Profil Pusat Jaringan

Komunikasi BMKG. Hal ini berkaitan dengan tujuan, tugas dan wewenang yang

dilakukan serta konsep program kerja Pusat Jaringan Komunikasi BMKG pada saat

ini. Hal tersebut dinyatakan pada profil Pusat Jaringan Komunikasi BMKG,

88

struktur organisasi BMKG dan identifikasi diagram RACI untuk mengetahui

individu/kelompok yang memiliki peran pada COBIT 5 dan BMKG. Pada tahapan

ini perolehan data dari hasil wawancara dengan narasumber di BMKG berkaitan

dengan tugas dan wewenang, tugas pokok dan fungsi, permasalahan yang saat ini

tengah dihadapi serta struktur organisasi BMKG.

3.4.2 Tahap 2 – Define Problems and Opportunities

Pada tahap ini dilakukan penentuan Goal Cascading dan penentuan RACI

Chart kemudian pengukuran Capability Level, serta penentuan target tingkat

kapabilitas proses, langkah pertama adalah penentuan proses yang relevan terkait

dengan permasalahan yang saat ini tengah dihadapi BMKG dan penentuan tingkat

kemampuan BMKG saat ini berkaitan dengan kinerja TI. Penentuan proses

didapatkan dari hasil pemetaan IT Related Goal sedangkan penentuan tingkat

kemampuan saat ini (as is) didapatkan dari hasil kuesioner capability level yang

diberikan kepada pihak di BMKG berdasarkan pada fungsional struktur BMKG

mengacu pada fungsional struktur COBIT 5 dan bentuk kuesionernya telah peneliti

lampirkan pada lampiran 3, lampiran 4 dan lampiran 5. Pihak BMKG yang menjadi

responden pada kuesioner capability level di penelitian ini yaitu Bpk. Ali Mas’at,

S.Si, M.kom sebagai Kepala Sub Bidang Manajemen Teknologi Informasi, Bpk.

Dudi Rojudin, ST sebagai Kepala Sub Bidang Operasional Teknologi Komunikasi,

Bpk. Priyatna Kusumah, S.Kom, M.T.I. sebagai Kepala Sub Bidang Pengembangan

Teknologi Informasi dan Bpk. Akbar, S.Kom, M.Kom sebagai Kepala Sub Bidang

Operasional Teknologi Informasi. Pada tahap ini dijabarkan temuan-temuan

berkaitan dengan pengelolaan teknologi informasi pada proses pengelolaan resiko

89

TI, pengelolaan keamanan TI dan pengelolaan keamanan layanan TI. Dari hasil

temuan-temuan tersebut maka diperoleh tingkat kemampuan BMKG saat ini dalam

mengelola teknologi informasi berkaitan dengan pengelolaan yang dijabarkan

diatas.

3.4.3 Tahap 3 – Define Road Map

Pada tahap ini dilakukan pendefinisian target untuk perbaikan dari hasil

analisa gap pada hasil kuesioner capability level yang diberikan. Gap terjadi jika

ada perbedaan diantara nilai kemampuan saat ini, harapan dan kenyataan yang ada

di BMKG.

Perbaikan pada pengelolaan TI di BMKG didefinisikan berdasarkan

prioritas pada proyek yang akan dibangun dan dikembangkan. Hasil analisa gap

tersebut digunakan untuk mengidentifikasi potensi solusi bagi pengelolaan

teknologi informasi di BMKG.

Dari hasil temuan-temuan yang diperoleh pada kuesioner capability level

didapatkan tingkat kemampuan BMKG saat ini dalam mengelola teknologi

informasi. Kemudian dari hasil temuan-temuan tersebut dapat diperoleh gap jika

temuan dan penilaian yang diberikan tidak sesuai dengan kenyataan pada BMKG.

Pada tahap ini juga dijelaskan target kemampuan yang ingin dicapai oleh

organisasi, mengacu pada Process Assessment Model yang terdiri dari level 0-5.

Setelah ditemukan gap dari analisa hasil kuesioner capability level yang

diberikan, pada tahap ini peneliti mulai memetakan proses COBIT 5 yang telah

ditentukan kedalam Klausa pada ISO 27002 yang relevan. Untuk selanjutnya

digunakan sebagai acuan rekomendasi usulan tata kelola keamanan TI.

90

3.4.4 Tahap 4 – Plan Programme

Pada tahap ini dilakukan rencana program dan usulan dari hasil analisa

melalui wawancara dan kuesioner yang diberikan kepada responden di Pusat

Jaringan Komunikasi BMKG. Rencana program tersebut berdasarkan pada area

fokus yang dipilih dari framework COBIT 5 dan Standar ISO 27002. Rencana

program tersebut juga akan disesuaikan dengan tingkat kemampuan yang

diharapkan oleh Pusat Jaringan Komunikasi BMKG. Hal ini mengacu pada tahapan

COBIT Lifecycle pada COBIT 5 dan standar kontrol ISO 27002.

3.5 Kerangka Berfikir Penelitian

Dari identifikasi permasalahan yang dihadapi oleh perusahaan dan berbagai

referensi yang telah dikumpulkan dibuat suatu kerangka berfikir penelitian seperti

terlihat pada Gambar berikut ini.

91

Gambar 3. 1 Kerangka Berpikir

92

BAB IV

HASIL DAN PEMBAHASAN

4.1 Tahap 1 - Initiate Programme

Langkah pertama dalam melakukan pengelolaan terhadap teknologi

informasi di Pusat Jaringan Komunikasi BMKG adalah mengidentifikasi penggerak

atau pendorong pada organisasi. Penggerak pada organisasi tersebut dijelaskan

pada gambaran umum BMKG. Tujuannya adalah memperoleh pemahaman tentang

BMKG secara terperinci yang meliputi struktur organisasi, tujuan, tugas dan

wewenang. Dalam melakukan identifikasi penggerak organisasi, data yang

digunakan diperoleh dari hasil wawancara dengan pihak terkait di Pusat Jaringan

Komunikasi BMKG. Pada langkah ini juga digambarkan mengenai stakeholder

map matrix atau diagram RACI sebagai gambaran tugas di Pusat Jaringan

Komunikasi BMKG yang mengacu pada COBIT 5.

4.1.1 Pengumpulan Data

Pada tahapan pengumpulan data, peneliti melakukan pencarian

data/informasi terkait Pusat Jaringan Komunikasi berupa Gambaran Umum Badan

Meteorologi Klimatologi dan Geofisika, Struktur Organisasi Badan Meteorologi

Klimatologi dan Geofisika, serta Tugas dan Fungsi Pusat Jaringan Komunikasi

Badan Meteorologi Klimatologi dan Geofisika.

93


(BMKG)







Kegiatan meteorologi dan Geofísica pada awalnya hanya pada pengamatan cuaca










dan Bidang Manajemen Jaringan Komunikasi.

1. Tugas

a. pengkajian, dan penyusunan kebijakan nasional di bidang meteorologi,

klimatologi, kualitas udara, dan geofisika.

94

b. koordinasi kegiatan fungsional di bidang meteorologi, klimatologi, kualitas

udara, dan geofisika.

c. memfasilitasi, dan pembinaan terhadap kegiatan instansi pemerintah, dan

swasta di bidang meteorologi, klimatologi, kualitas udara, dan geofisika.

d. penyelenggaraan pengamatan, pengumpulan, dan penyebaran, pengolahan,

dan analisis serta pelayanan di bidang meteorologi, klimatologi, kualitas


e. penyelenggaraan kegiatan kerjasama di bidang meteorologi, klimatologi,

kualitas udara, dan geofisika.

f. penyelenggaraan pembinaan, dan pelayanan administrasi umum di bidang

perencanaan umum, ketatausahaan, organisasi, dan tatalaksana,

kepegawaian, keuangan, kearsipan, hukum, persandian, perlengkapan, dan

rumah tangga.

2. Wewenang

a. penyusunan rencana nasional secara makro di bidangnya.

b. perumusan kebijakan di bidangnya untuk mendukung pembangunan secara

makro.

c. penetapan sistem informasi di bidangnya.

d. penetapan standar teknis peralatan serta pelayanan meteorologi

penerbangan, dan maritim.

e. pengaturan sistem jaringan pengamatan meteorologi, dan klimatologi.

f. pemberian jasa meteorologi, dan klimatologi.

g. pengamatan, dan pemberian jasa geofisika.

95

h. pengamatan, dan pemberian jasa kualitas udara.

i. pengaturan sistem jaringan pengamatan geofisika.

j. penetapan standar teknis peralatan meteorologi, klimatologi, kualitas udara,

dan geofisika.

4.1.1.2 Struktur Organisasi Badan Meteorologi Klimatologi dan Geofisika

(BMKG)

Gambar 4. 1 Struktur Organisasi

96


Geofisika (BMKG)

Menindaklanjuti Visi Kedeputian Bidang Instrumentasi Kalibrasi Rekayasa

dan Jaringan Komunikasi yaitu “Mewujudkan sistem peralatan pengamatan

Otomatis yang menghasilkan data akurat dan terintegrasi untuk mendukung layanan

meteorologi, klimatologi, dan geofisika.”, Pusat Jaringan Komunikasi memiliki visi

yaitu “Meningkatkan kapasitas pengelolaan sistem jaringan komunikasi yang

terintegrasi”. Untuk mewujudkan visi Pusat Jaringan Komunikasi, maka ditetapkan

misi yang menggambarkan tindakan nyata sesuai dengan tugas pokok dan fungsi

serta kewenangannya, yaitu “Terjaminnya layanan jaringan komunikasi yang

prima”.

Selain visi dan misi tersebut, Pusat Jaringan Komunikasi juga memiliki

tugas dan fungsi, Berikut adalah penjabaran mengenai tugas dan fungsi Pusat

Jaringan Komunikasi BMKG, yaitu:

1. Pusat Jaringan Komunikasi

a. Pusat Jaringan Komunikasi mempunyai tugas melaksanakan perumusan

dan pelaksanaan kebijakan teknis, pemberian bimbingan teknis, pembinaan

teknis dan pengendalian terhadap kebijakan teknis, koordinasi kegiatan

fungsional dan kerja sama, pengembangan, pengelolaan dan pemeliharaan

di bidang jaringan komunikasi.

b. Dalam melaksanakan tugas sebagaimana dimaksud, Pusat Jaringan

Komunikasi menyelenggarakan fungsi :

97

1. Penyiapan pelaksanaan kebijakan teknis, pengelolaan, pemeliharaan,

koordinasi kegiatan fungsional dan kerja sama di bidang operasional

jaringan komunikasi;

2. penyiapan pembangunan, pengembangan, koordinasi kegiatan

fungsional dan kerja sama di bidang pengembangan jaringan

komunikasi; dan

3. penyiapan perumusan kebijakan teknis, pemberian bimbingan teknis,

pembinaan teknis dan pengendalian terhadap kebijakan teknis,

koordinasi kegiatan fungsional dan kerja sama di bidang manajemen

jaringan komunikasi.

2. Bidang Operasional Jaringan Komunikasi

a. Bidang Operasional Jaringan Komunikasi mempunyai tugas melaksanakan

penyiapan pelaksanaan kebijakan teknis, pengelolaan, pemeliharaan,



b. Dalam melaksanakan tugas sebagaimana dimaksud, Bidang Operasional

Jaringan Komunikasi menyelenggarakan fungsi :

1. Penyiapan bahan pelaksanaan kebijakan teknis, pengelolaan,

pemeliharaan, koordinasi kegiatan fungsional dan kerja sama di bidang

operasional teknologi komunikasi; dan

98



operasional teknologi informasi.

Bidang Operasional Jaringan Komunikasi terdiri atas :

a. Subbidang Operasional Teknologi Komunikasi; dan

b. Subbidang Operasional Teknologi Informasi.

1. Subbidang Operasional Teknologi Komunikasi mempunyai tugas

melakukan penyiapan bahan pelaksanaan kebijakan teknis, pengelolaan,


operasional teknologi komunikasi.

2. Subbidang Operasional Teknologi Informasi mempunyai tugas




3. Bidang Pengembangan Jaringan Komunikasi

a. Bidang Pengembangan Jaringan Komunikasi mempunyai tugas

melaksanakan penyiapan pembangunan, pengembangan, koordinasi

kegiatan fungsional dan kerja sama di bidang pengembangan jaringan

komunikasi.

b. Dalam melaksanakan tugas sebagaimana dimaksud dalam, Bidang

Pengembangan Jaringan Komunikasi menyelenggarakan fungsi :

99

1. penyiapan bahan pembangunan, pengembangan, koordinasi kegiatan

fungsional dan kerja sama di bidang pengembangan teknologi

komunikasi; dan

2. penyiapan bahan pembangunan, pengembangan. koordinasi kegiatan


informasi.

Bidang Pengembangan Jaringan Komunikasi terdiri atas :

a. Subbidang Pengembangan Teknologi Komunikasi; dan

b. Subbidang Pengembangan Teknologi Informasi.

1. Subbidang Pengembangan Teknologi Komunikasi mempunyai tugas

melakukan penyiapan bahan pembangunan, pengembangan, koordinasi

kegiatan fungsional dan kerja sama di bidang pengembangan teknologi

komunikasi.

2. Subbidang Pengembangan Teknologi Informasi mempunyai tugas



informasi.

4. Bidang Manajemen Jaringan Komunikasi

a. Bidang Manajemen Jaringan Komunikasi mempunyai tugas melaksanakan

penyiapan perumusan kebijakan teknis, pemberian bimbingan teknis,

pembinaan teknis dan pengendalian terhadap kebijakan teknis, koordinasi

kegiatan fungsional dan kerja sama, di bidang manajemen jaringan

komunikasi.

100

b. Dalam melaksanakan tugas sebagaimana dimaksud, Bidang Manajemen

Jaringan Komunikasi menyelenggarakan fungsi:

1. penyiapan bahan perumusan kebijakan teknis, pemberian bimbingan

teknis, pembinaan teknis dan pengendalian terhadap kebijakan teknis,


teknologi komunikasi; dan




teknologi informasi.

Bidang Manajemen Jaringan Komunikasi terdiri atas :

a. Subbidang Manajemen Teknologi Komunikasi; dan

b. Subbidang Manajemen Teknologi Informasi.

1. Subbidang Manajemen Teknologi Komunikasi mempunyai tugas

melakukan penyiapan bahan perumusan kebijakan teknis, pemberian

bimbingan teknis, pembinaan teknis dan pengendalian terhadap

kebijakan teknis, koordinasi kegiatan fungsional dan kerja sama di

bidang manajemen teknologi komunikasi.

2. Subbidang Manajemen Teknologi Informasi mempunyai tugas




bidang manajemen teknologi informasi.

101

4.1.2 Penentuan Goal Cascade dan RACI

Pada tahapan Penentuan Goal Cascade dan RACI, ada beberapa langkah

yang dilakukan oleh peneliti untuk mengetahui proses apa yang relevan dengan

masalah yang saat ini dialami oleh Pusat Jaringan Komunikasi, langkah-langkah

tersebut antara lain Pemetaan Domain Proses dan Penentuan Diagram RACI.

4.1.2.1 Pemetaan Domain Proses

Untuk melakukan tahapan penghitungan Capability Level menggunakan

COBIT 5, perlu dilakukan beberapa tahapan yaitu dengan melihat fakta-fakta yang

ada dan masalah yang dihadapi pada Pusat Jaringan Komunikasi BMKG, lalu

dilakukan pemetaan Enterprise goals berdasarkan COBIT 5 pada Pusat Jaringan

Komunikasi BMKG, dengan hasil yang dipilih adalah Managed Bussiness Risk

(Safeguarding of Assets). Selanjutnya, dilakukan pemetaan terhadap IT-related

goals berdasarkan COBIT 5 pada Pusat Jaringan Komunikasi BMKG dengan hasil

yang dipilih adalah Security of Information, Processing Infrastructure and

Applications.

102

Gambar 4. 2 Pemetaan IT Enterprise Goal COBIT 5

Sehingga berdasarkan pada pemetaan tersebut, peneliti dan pihak

Pusjarkom BMKG menentukan proses yang akan dikaji lebih lanjut, dalam

penelitian ini adalah APO12 (Manage Risk) , APO13 (Manage Security), dan

DSS05 (Manage Security Services) sesuai dengan kebutuhan Pusat Jaringan

Komunikasi.

104

Gambar 4. 3 Pemetaan Proses Terkait COBIT 5

Dalam konteks pemetaan proses untuk ISO 27002 yang akan digunakan

dalam usulan rekomendasi, disini penulis akan memetakan sesuai dengan kesamaan

proses yang akan dibahas dan tentunya terkait dengan tata kelola keamanan

teknologi informasi untuk Pusat Jaringan Komunikasi BMKG.

105

4.1.2.2 Diagram RACI

Diagram RACI menggambarkan peran-peran dari para pemangku

kepentingan dalam Pusat Jaringan Komunikasi BMKG yang terkait langsung

dengan proses yang diambil dalam pengelolaan TI. Dalam pemetaan proses

penghitungan Capability Level menggunakan COBIT 5 di Pusat Jaringan

Komunikasi BMKG adalah proses pada domain APO yaitu APO12 (Manage Risk),

APO13 (Manage Security), dan domain DSS yaitu DSS05 (Manage Security

Services). Peran-peran pada diagram RACI tersebut kemudian dipetakan kedalam

peran-peran yang ada pada Pusat Jaringan Komunikasi BMKG sesuai dengan

struktur organisasi yang ada. Diagram RACI ini digunakan untuk penggambaran

responden dalam kuesioner Capability Level yang akan diberikan.

4.1.2.2.1 Identifikasi Diagram RACI Manage Risk (APO12)

Untuk mengetahui responden-responden yang sesuai dengan struktur

organisasi perusahaan dan standar COBIT 5, peneliti melakukan pemetaan RACI

Chart Proses APO12 (Manage Risk) sebagai berikut :

106

Gambar 4. 4 RACI Chart APO12 (ISACA, 2012)

Berdasarkan RACI Chart proses APO12, penulis mendapatkan 4 (empat)

responden yang sesuai dengan definisi yang tercantum dalam COBIT 5. Keempat

responden tersebut tercantum dalam tabel dibawah ini.

No Fungsional Struktur COBIT

5

Fungsional Struktur

BMKG

1. Chief Information Security

Officer

Kepala Sub Bidang

Operasional Teknologi

Komunikasi

2. Business Process Owners Kepala Sub Bidang

Manajemen Teknologi

Informasi

3. Chief Risk Officer Kepala Sub Bidang

Pengembangan

Teknologi Informasi

4. Head IT Operation Kepala Sub Bidang


Informasi

Tabel 4. 1 Responden Terpilih APO12

107

4.1.2.2.2 Identifikasi Diagram RACI Manage Security (APO13)



Chart Proses APO13 (Manage Security) sebagai berikut :





108

No Fungsional Struktur COBIT 5 Fungsional Struktur

BMKG

1. Information Security Manager Kepala Sub Bidang


Komunikasi


Manajemen Teknologi

Informasi

3. Chief Information Officer Kepala Sub Bidang

Pengembangan

Teknologi Informasi



Informasi


4.1.2.2.3 Identifikasi Diagram RACI Manage Security Services (DSS05)




Gambar 4. 6 RACI Chart DSS05 (ISACA, 2012)

109

Berdasarkan RACI Chart proses DSS05, penulis mendapatkan 4 (empat)




BMKG



Komunikasi


Manajemen Teknologi

Informasi

3. Head IT Operations Kepala Sub Bidang


Informasi

4 Head Development Kepala Sub Bidang

Pengembangan

Teknologi Informasi


Setelah dilakukan penjabaran pada tahapan Initiate Programme diatas,

peneliti menyimpulkan pada tahapan ini peneliti melakukan langkah-langkah

pengumpulan data untuk membantu menentukan dan memperjelas fakta-fakta serta

masalah apa yang saat ini dialami oleh Pusat Jaringan Komunikasi, dan hasil data

yang didapat peneliti adalah :

1. Gambaran Umum Badan Meteorologi Klimatologi dan Geofisika (BMKG)

2. Struktur Organisasi Badan Meteorologi Klimatologi dan Geofisika (BMKG)

3. Tugas dan Fungsi Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi

dan Geofisika (BMKG)

Setelah mendapatkan data yang dibutuhkan, peneliti melanjutkan langkah yang

harus dilakukan pada tahapan Initiate Programme ini yaitu Penentuan Goal

110

Cascade, penentuan proses COBIT 5 yang relevan dengan masalah yang dihadapi

Pusat Jaringan Komunikasi, dan didapat hasil sebagai berikut :

1. Enterprise Goals yang dipilih adalah Managed Bussiness Risk (Safeguarding

of Assets).

2. IT-related goals yang dipilih adalah Security of Information, Processing

Infrastructure and Applications.

3. Menghasilkan domain pilihan yaitu APO12 (Manage Risk), APO13 (Manage

Security), dan DSS05 (Manage Security Services).

4. Mendapatkan responden yang sesuai dari identifikasi RACI yaitu Kepala Sub

Bidang Operasional Teknologi Komunikasi, Kepala Sub Bidang Manajemen

Teknologi Informasi, Kepala Sub Bidang Pengembangan Teknologi Informasi,

Kepala Sub Bidang Operasional Teknologi Informasi.

4.2 Tahap 2 - Define Problems and Opportunities

Pada tahap ini dilakukan penentuan tingkat kemampuan Pusat Jaringan

Komunikasi BMKG saat ini dalam mengelola teknologi informasi. Penentuan

tingkat kemampuan saat ini (as is) dilakukan melalui kuesioner capability level

yang diberikan kepada responden yang telah ditentukan sebelumnya. Berikut ini

daftar hasil pengolahan data responden pada proses manajemen resiko TI (APO12),

manajemen keamanan (APO13) dan manajemen keamanan layanan (DSS05).

111

4.2.1 Pengukuran Capability Level

Pada tahapan Pengukuran Capability Level, peneliti harus melakukan

langkah-langkah berupa penjelasan Temuan Data, kemudian Pengolahan Data

Responden, setelah itu baru dapat dilakukan langkah selanjutnya yaitu Perhitungan

Capability Level. Setelah dilakukan Perhitungan Capability Level, pada langkah

terakhir tahap ini peneliti menjelaskan hasil Perhitungan Keseluruhan Capability

Level.

4.2.1.1 Temuan Data

Pengumpulan data ini berdasarkan pada setiap aktivitas dari proses terpilih,

yakni APO12 (Manage Risk), APO13 (Manage Security), DSS05 (Manage Security

Services). Data ini yang menggambarkan kondisi aktual perusahaan di setiap

aktivitas dan akan dibandingkan dengan tingkat ekspektasi perusahaan, sehingga

gap antara kondisi aktual dan ekspektasi perusahaan dapat diketahui untuk

selanjutnya dapat diberikan rekomendasi agar perusahaan dapat melakukan

pemenuhan untuk mencapai kondisi ekspektasi perusahaan. Kondisi aktual ini

didapatkan dari hasil jawaban kuesioner yang diberikan pada para responden

terpilih yang sudah dijelaskan pada bab 3.

Sebelum pengisian kuesioner, penulis terlebih dahulu menjelaskan

mengenai tingkat kapabilitas yang menjadi acuan penilaian pada kuesioner kepada

responden sehingga mereka dapat mengerti tentang tingkat as is dan tingkat to be

pada kuesioner. Dalam pengisian kuesioner pun penulis menemani responden

sehingga jika ada hal-hal yang tidak dimengerti oleh responden, mereka dapat

112

langsung menanyakannya. Dari 3 proses yang dipilih pada proses evaluasi, semua

proses yakni APO12 (Manage Risk), APO13 (Manage Security), dan DSS05

(Manage Security Services) mendapatkan rata-rata nilai ekpektasi yang berada pada

level 3 (Established Process). Nilai ekspektasi pada level 3 ini dipilih oleh

perusahaan yang dalam hal ini diwakili oleh para responden, karena mereka ingin

memastikan semua proses tersebut sudah memenuhi semua standar atau work

products yang ada. Berikut data yang ditemukan pada setiap proses:

4.2.1.1.1 Temuan Data Proses APO12 (Manage Risk)

a. APO12.01 (Pengumpulan Data)

Pusat Jaringan Komunikasi BMKG sudah mempunyai database penyimpanan

data eksternal dan data internal yang terkait dengan risiko TI. Pusat Jaringan

Komunikasi BMKG juga sudah melakukan pengumpulan dan penyimpanan

semua data yang terkait dengan penggunaan TI.

b. APO12.02 (Analisa Risiko)

Pusat Jaringan Komunikasi BMKG sudah melakukan perencanaan terkait

dengan aktivitas analisa risiko.

c. APO12.03 (Memelihara Profil Risiko)

Pusat Jaringan Komunikasi BMKG sudah mempunyai inventaris untuk

dokumen-dokumen mengenai manajemen pelayanan dan infrastruktur TI. Pusat

113

Jaringan Komunikasi BMKG juga sudah menentukan serta menggunakan

layanan-layanan pendukung/aplikasi untuk menopang proses bisnis.

d. APO12.04 (Memperjelas Risiko)

Pusat Jaringan Komunikasi BMKG memiliki data tentang risiko apa saja yang

dimungkinkan dapat terjadi.

e. APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen Risiko)

Pusat Jaringan Komunikasi BMKG memiliki daftar kemungkinan risiko

sebagai acuan pembuatan portofolio risiko.

f. APO12.06 (Respon Terhadap Risiko)

Perusahaan sudah pernah melakukan rencana pengetesan peristiwa/insiden

yang mempunyai risiko serius, yakni dengan melakukan staging. Dan sudah ada

proses pelaporan kepada para pengambil keputusan mengenai dampak dari

suatu insiden.

4.2.1.1.2 Temuan Data Proses APO13 (Manage Security)

a. APO13.01 (Membuat dan Memelihara Sistem Manajemen Keamanan

Informasi)

Pusat Jaringan Komunikasi BMKG melakukan sertifikasi ISO 27001 terkait

Sistem Manajemen Keamanan Informasi.

114

b. APO13.02 (Menentukan dan Mengatur Rencana Penanganan Risiko Keamanan

Informasi)

Pusat Jaringan Komunikasi BMKG sudah membahas mengenai rencana

penanganan risiko keamanan informasi dalam rapat mingguan/bulanan

perusahaan.

c. APO13.03 (Mengawasi dan Meninjau Sistem Manajemen Keamanan

Informasi)

Pusat Jaringan Komunikasi BMKG memiliki teknisi terkait pengawasan dan

peninjauan Sistem Manajemen Keamanan Informasi.

4.2.1.1.3 Temuan Data Proses DSS05 (Manage Security Services)

a. DSS05.01 (Melindungi dari Malware)

Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan

tools/software security serta menggunakan penyaringan email yang tersedia

pada aplikasi yang digunakan oleh perusahaan.

b. DSS05.02 (Mengelola Jaringan dan Konektivitas Keamanan)


pengamanan berupa penggunaan password serta melakukan tes penetrasi.

Namun penggunaan password masih belum dikelola dengan optimal serta

aktivitas pengetesan penetrasi jaringan pun masih memiliki kekurangan.

115

c. DSS05.03 (Mengelola Keamanan Perangkat)

Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan beberapa

standar keamanan seperti penggunaan sistem operasi yang selalu di-update,

penggunaan enkripsi, serta pengelolaan remote access, namun masih berada

dalam tahap awal.

d. DSS05.04 (Mengelola Identitas Pengguna dan Akses Jarak Jauh Perangkat)


pengelolaan akun untuk mengakses sumber daya perusahaan namun masih

belum optimal.

e. DSS05.05 (Mengelola Akses Pada Aset/Perangkat TI)

Pada proses ini Pusat Jaringan Komunikasi BMKG masih berada dalam tahap

awal, aktivitas yang sudah dilakukan hanya sebatas penjagaan oleh pihak

keamanan/security.

f. DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat Output)


penyimpanan khusus terkait dokumen/data sensitif dan adanya mekanisme

penghapusan atau penghancuran data sensitif yang sudah tidak digunakan lagi.

116

g. DSS05.07 (Mengawasi Infrastruktur untuk Peristiwa/Kejadian yang Terkait

dengan Keamanan)

Pada proses ini Pusat Jaringan Komunikasi BMKG sudah melakukan aktivitas

pencatatan/penyimpanan mengenai informasi peristiwa/insiden yang terkait

dengan keamanan namun masih belum dimanfaatkan dengan baik oleh Pusat

Jaringan Komunikasi BMKG.

4.2.1.2 Pengolahan Data Responden

Tahap ini menjelaskan hasil jawaban responden terhadap setiap aktivitas

proses yang dievaluasi. Berdasarkan jawaban kuesioner ini dapat dilihat bagaimana

kondisi saat ini dan kondisi yang diharapkan pada Pusat Jaringan Komunikasi

BMKG. Selanjutnya hasil rekapitulasi ini akan memberikan gambaran gap yang

ada antara kondisi saat ini dan kondisi yang diharapkan.

117

4.2.1.2.1 Pengolahan Data Responden APO12 (Manage Risk)


Tabel 4. 4 Rekapitulasi Jawaban Kuesioner Capability Level APO12.01

Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden

menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan

pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”

dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka

berada di tingkat 2 (Managed Process) dengan persentase 56.25%, sementara

kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan

perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja

tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas

3 (Established Process) dengan persentase distribusi jawaban 62.50%.

118





pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “d”







119











3 (Established Process) dengan persentase distribusi jawaban 62,50%.

120







berada di tingkat 2 (Managed Process) dengan persentase 57,14%, sementara




3 (Established Process) dengan persentase distribusi jawaban 75%.

121












122












123

4.2.1.2.2 Pengolahan Data Responden APO13 (Manage Security)


Informasi)











124


Informasi)











125


Informasi)






berada di tingkat 2 (Managed Process) dengan persentase 75%, sementara kondisi

yang akan datang (to be) jumlah responden terbanyak mengharapkan perihal

mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja tata kelola

perusahaan berada pada jawaban “e” atau berada di tingkat kapabilitas 3

(Established Process) dengan persentase distribusi jawaban 70.83%.

126

4.2.1.2.3 Pengolahan Data Responden DSS05 (Manage Security Services)


Tabel 4. 13 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.01








perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas 3


127












128












129












130












131











(Established Process) dengan persentase distribusi jawaban 75%.

132


dengan Keamanan)











133

4.2.1.3 Perhitungan Capability Level

Berikut ini adalah hasil nilai kapabilitas proses APO12, APO13 dan DSS05,

yang didapat dengan menggunakan rumus penilaian yang dijelaskan sebelumnya di

BAB II skripsi ini:

4.2.1.3.1 Perhitungan Capability Level APO12 (Manage Risk)

a. Nilai Kapabilitas APO12.01 (Pengumpulan Data).

As is :

𝑁𝐾 = (3.13𝑥0) + (56.25𝑥2) + (28.13𝑥3) + (12.50𝑥4)

100 = 2.47

To be :

𝑁𝐾 = (62.50𝑥3) + (37.50𝑥4)

100 = 3.38

Nilai kapabilitas kondisi saat ini (as is) pada APO12.01 yaitu 2,47 artinya

tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara

kondisi ekspektasi (to be) adalah 3.38 dengan kata lain tingkat kapabilitasnya

berada di level 3 (Established Process).

b. Nilai Kapabilitas APO12.02 (Analisa Risiko).

As is :

𝑁𝐾 = (15.91𝑥0) + (4.55𝑥1) + (29.55𝑥2) + (47.73𝑥3) + (2.27𝑥4)

100 = 2.16

To be :

𝑁𝐾 = (2.27𝑥2) + (65.91𝑥3) + (31.82𝑥4)

100 = 3.3



134



c. Nilai Kapabilitas APO012.03 (Memelihara Profil Risiko).

As is :

𝑁𝐾 = (9.38𝑥1) + (62.50𝑥2) + (25.00𝑥3) + (3.13𝑥4)

100 = 2.22

To be :

𝑁𝐾 = (3.13𝑥2) + (62.50𝑥3) + (21.88𝑥4) + (12.50𝑥5)

100 = 3.44





d. Nilai Kapabilitas APO12.04 (Memperjelas Risiko).

As is :

𝑁𝐾 = (14.29𝑥0) + (3.57𝑥1) + (57.14𝑥2) + (14.29𝑥3) + (10.71𝑥4)

100 = 2.04

To be :

𝑁𝐾 = (75.00𝑥3) + (21.43𝑥4) + (3.57𝑥5)

100 = 3.3





135

e. Nilai Kapabilitas APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen

Risiko).

As is :

𝑁𝐾 = (12.50𝑥0) + (62.50𝑥2) + (12.50𝑥3) + (12.50𝑥4)

100 = 2.1

To be :

𝑁𝐾 = (75.00𝑥3) + (25.00𝑥4)

100 = 3.3

Nilai kapabilitas kondisi saat ini (as is) pada APO12.05 yaitu 2,1 artinya tingkat

kapabilitasnya terdapat pada level 2 (Managed Process), sementara kondisi

ekspektasi (to be) adalah 3.3 dengan kata lain tingkat kapabilitasnya berada di

level 3 (Established Process).

f. Nilai Kapabilitas APO12.06 (Respon Terhadap Risiko).

As is :

𝑁𝐾 = (16.67𝑥0) + (55.56𝑥2) + (22.22𝑥3) + (5.56𝑥4)

100 = 2.00

To be :

𝑁𝐾 = (86.11𝑥3) + (13.89𝑥4)

100 = 3.1





136

4.2.1.3.2 Perhitungan Capability Level APO13 (Manage Security)

a. Nilai Kapabilitas APO13.01 (Membuat dan Memelihara Sistem Manajemen

Keamanan Informasi).

As is :

𝑁𝐾 = (9.38𝑥1) + (65.63𝑥2) + (21.88𝑥3) + (3.13𝑥4)

100 = 2.19

To be :

𝑁𝐾 = (78.13𝑥3) + (21.88𝑥4)

100 = 3.22





b. Nilai Kapabilitas APO13.02 (Menentukan dan Mengatur Rencana Penanganan

Risiko Keamanan Informasi).

As is :

𝑁𝐾 = (9.38𝑥0) + (56.25𝑥2) + (31.25𝑥3) + (3.13𝑥4)

100 = 2.19

To be :

𝑁𝐾 = (75.00𝑥3) + (21.88𝑥4) + (3.13𝑥5)

100 = 3.28





137

c. Nilai Kapabilitas APO13.03 (Mengawasi dan Meninjau Sistem Manajemen


As is :

𝑁𝐾 = (4.17𝑥0) + (75.00𝑥2) + (16.67𝑥3) + (4.17𝑥4)

100 = 2.17

To be :

𝑁𝐾 = (70.83𝑥3) + (25.00𝑥4) + (4.17𝑥5)

100 = 3.33





4.2.1.3.3 Perhitungan Capability Level DSS05 (Manage Security Services)

a. Nilai Kapabilitas DSS05.01 (Melindungi dari Malware).

As is :

𝑁𝐾 = (75.00𝑥2) + (21.88𝑥3) + (3.13𝑥4)

100 = 2.28

To be :

𝑁𝐾 = (81.25𝑥3) + (18.75𝑥4)

100 = 3.19

Nilai kapabilitas kondisi saat ini (as is) pada DSS05.01 yaitu 2,28 artinya




138

b. Nilai Kapabilitas DSS05.02 (Mengelola Jaringan dan Konektivitas

Keamanan).

As is :

𝑁𝐾 = (75.00𝑥2) + (22.50𝑥3) + (2.50𝑥4)

100 = 2.28

To be :

𝑁𝐾 = (77.50𝑥3) + (20.00𝑥4) + (2.50𝑥5)

100 = 3.3





c. Nilai Kapabilitas DSS05.03 (Mengelola Keamanan Perangkat).

As is :

𝑁𝐾 = (75.00𝑥2) + (19.44𝑥3) + (5.56𝑥4)

100 = 2.31

To be :

𝑁𝐾 = (61.11𝑥3) + (38.89𝑥4)

100 = 3.39





139

d. Nilai Kapabilitas DSS05.04 (Mengelola Identitas Pengguna dan Akses Jarak

Jauh Perangkat).

As is :

𝑁𝐾 = (65.91𝑥2) + (34.19𝑥3)

100 = 2.34

To be :

𝑁𝐾 = (77.78𝑥3) + (22.22𝑥4)

100 = 3.20





e. Nilai Kapabilitas DSS05.05 (Mengelola Akses Pada Aset/Perangkat TI).

As is :

𝑁𝐾 = (67.50𝑥2) + (30.00𝑥3) + (2.50𝑥4)

100 = 2.40

To be :

𝑁𝐾 = (70.00𝑥3) + (22.50𝑥4) + (7.50𝑥5)

100 = 3.40





140

f. Nilai Kapabilitas DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat

Output).

As is :

𝑁𝐾 = (65.00𝑥2) + (30.00𝑥3) + (5.00𝑥4)

100 = 2.40

To be :

𝑁𝐾 = (75.00𝑥3) + (20.00𝑥4) + (5.00𝑥5)

100 = 3.30





g. Nilai Kapabilitas DSS05.07 (Mengawasi Infrastruktur untuk

Peristiwa/Kejadian yang Terkait dengan Keamanan).

As is :

𝑁𝐾 = (4.17𝑥0) + (4.17𝑥1) + (54.17𝑥2) + (33.33𝑥3) + (4.17𝑥4)

100 = 2.29

To be :

𝑁𝐾 = (75.00𝑥3) + (20.83𝑥4) + (4.17𝑥5)

100 = 3.29





141

4.2.2 Hasil Perhitungan Keseluruhan Capability Level

Pada bagian ini akan dilakukan penentuan tingkat kapabilitas setiap proses

sesuai dengan model kapabilitas COBIT 5. Penentuan ini dilakukan dengan cara

membulatkan bilangan-bilangan yang didapatkan dari perhitungan nilai kapabilitas

sebelumnya. Misal, nilai kapabilitas yang didapatkan adalah 2.38 maka nilai ini

masuk dalam level 2 dalam model kapabilitas COBIT 5 dengan memiliki gap

sebesar 0.12 untuk mencapai level 3.

1. Penentuan Tingkat Kapabilitas Proses APO12 (Manage Risk)

0

1

2

3

4APO12.01

APO12.02

APO12.03

APO12.04

APO12.05

APO12.06

Chart Title

as is to be

Tabel 4. 20 Nilai Kapabilitas dan Tingkat Kapabilitas APO12

Gambar 4. 7 Grafik Nilai Kapabilitas APO12

142

Berdasarkan tabel dan grafik diatas menggambarkan bahwa nilai

kapabilitas kondisi as is proses APO12 (Manage Risk) pada Pusat Jaringan

Komunikasi BMKG adalah 2.17, dengan kata lain proses tersebut berada pada

tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa pada

proses APO12 Pusat Jaringan Komunikasi BMKG telah mengimplementasikannya

dengan pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap

work products telah ditetapkan, dikontrol dan dipelihara. Hal itu dapat dilihat dari

Pusat Jaringan Komunikasi yang selalu melakukan identifikasi dan pengawasan

terhadap perjanjian layanan untuk kebutuhan layanan baru. Kemudian dilaporkan

kepada Bidang Manajemen Operasional TI untuk melakukan tindakan perbaikan

sistem layanan.

Sementara itu, nilai kapabilitas to be yang didapatkan pada proses APO12

(Manage Risk) adalah 3.30, dengan kata lain proses tersebut berada pada tingkat

kapabilitas 3 (Established Process). Level ini menunjukkan, proses yang berjalan

harus dipastikan bahwa performa proses tersebut telah mendukung pencapaian

tujuan Pusat Jaringan Komunikasi BMKG, adanya sistem layanan TI yang masih

bermasalah akan dilakukan proses perbaikan untuk menghasilkan layanan TI yang

baik ketika para stakeholder menggunakannya dengan batasan untuk mencapai

tujuan yang diharapkan.

143

2. Penentuan Tingkat Kapabilitas Proses APO13 (Manage Security)


kapabilitas kondisi as is proses APO13 (Manage Security) pada Pusat Jaringan






0

1

2

3

4APO13.01

APO13.02APO13.03

Chart Title

as is to be



144




sistem layanan.

Sementara itu, nilai kapabilitas to be yang didapatkan oleh Pusat Jaringan

Komunikasi BMKG pada proses APO13 (Manage Security) adalah 3.28, dengan

kata lain proses tersebut berada pada tingkat kapabilitas 3 (Established process).

Level ini menunjukkan, proses yang berjalan harus dipastikan bahwa performa

proses tersebut telah mendukung pencapaian tujuan Pusat Jaringan Komunikasi

BMKG, adanya sistem layanan TI yang masih bermasalah akan dilakukan proses

perbaikan untuk menghasilkan layanan TI yang baik ketika para stakeholder

menggunakannya dengan batasan untuk mencapai tujuan yang diharapkan.

3. Penentuan Tingkat Kapabilitas Proses DSS05 (Manage Security Services)

Tabel 4. 22 Nilai Kapabilitas dan Tingkat Kapabilitas DSS05

145


kapabilitas kondisi as is proses DSS05 (Manage Security Services) pada Pusat

Jaringan Komunikasi BMKG adalah 2.33, dengan kata lain proses tersebut berada

pada tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa pada

proses DSS05 Pusat Jaringan Komunikasi BMKG telah mengimplementasikannya






sistem layanan.


Komunikasi BMKG pada proses DSS05 (Manage Security Services) adalah 3.30,

dengan kata lain proses tersebut berada pada tingkat kapabilitas 3 (Established

0

1

2

3

4DSS05.01

DSS05.02

DSS05.03

DSS05.04DSS05.05

DSS05.06

DSS05.07

Chart Title

as is to be

Gambar 4. 9 Grafik Nilai Kapabilitas DSS05

146

Process). Level ini menunjukkan, proses yang berjalan harus dipastikan bahwa

performa proses tersebut telah mendukung pencapaian tujuan Pusat Jaringan

Komunikasi BMKG, adanya sistem layanan TI yang masih bermasalah akan

dilakukan proses perbaikan untuk menghasilkan layanan TI yang baik ketika para

stakeholder menggunakannya dengan batasan untuk mencapai tujuan yang

diharapkan.

Setelah dilakukan penjabaran pada tahapan Define Problems and

Opportunities diatas, peneliti menyimpulkan ada beberapa hasil yang peneliti

dapatkan dari langkah-langkah penghitungan Capability Level yang dilakukan pada

tahapan ini, berikut adalah hasilnya :

1. Temuan data berdasarkan proses-proses terpilih dari domain COBIT 5 yang

disesuaikan dengan kondisi aktual Pusat Jaringan Komunikasi saat ini.

2. Hasil nilai rata-rata keseluruhan Capability Level Pusat Jaringan Komunikasi

BMKG saat ini pada domain APO12 (Manage Risk), APO13 (Manage

Security), dan DSS05 (Manage Security Services) adalah 2.22, dan berada pada

tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa Pusat

Jaringan Komunikasi BMKG telah mengimplementasikannya dengan

147

pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap work

products telah ditetapkan, dikontrol dan dipelihara.

Hasil nilai rata-rata keseluruhan Capability Level Pusat Jaringan

Komunikasi BMKG yang diharapkan pada domain APO12 (Manage Risk), APO13

(Manage Security), dan DSS05 (Manage Security Services) adalah 3.29, dan berada

pada tingkat kapabilitas 3 (Established Process). Level ini menunjukkan, proses

yang berjalan harus dipastikan bahwa performa proses tersebut telah mendukung

pencapaian tujuan Pusat Jaringan Komunikasi BMKG, adanya sistem layanan TI

yang masih bermasalah akan dilakukan proses perbaikan untuk menghasilkan

layanan TI yang baik ketika para stakeholder menggunakannya dengan batasan

untuk mencapai tujuan yang diharapkan.

4.3 Tahap 3 - Define Road Map

Pada tahap sebelumnya sudah dilakukan proses perhitungan untuk

mendapatkan nilai kapabilitas dan tingkat kapabilitas baik aktual maupun

ekspektasi dari semua proses pada penelitian ini. Hasil tersebut bagaimanapun

01234APO12

APO13DSS05

Chart Title

as is to be

Gambar 4. 10 Grafik Nilai Rata-Rata Kapabilitas Pusat Jaringan

Komunikasi

148

didapatkan berdasarkan pada pandangan perusahaan yakni, berasal dari jawaban

kuesioner oleh para responden sedangkan COBIT 5 menekankan pada evidence

based untuk menetapkan tingkat kapabilitas dari suatu proses. Maka hasil

perhitungan tersebut masih belum dapat dijadikan sebagai hasil final dari tingkat

kapabilitas perusahaan.

Oleh Karena itu, pada tahap define road map ini penulis akan melakukan

penelusuran untuk setiap pemenuhan syarat-syarat atau atribut-atribut pencapaian

level dalam model kapabilitas COBIT 5. Proses penelusuran bukti ini berdasarkan

pada Process Assessment Model (PAM) yang ada pada COBIT 5. Tingkat

kapabilitas pada proses penelusuran ini akan ditentukan melalui pencapaian

atribut-atribut yang sudah dijelaskan pada bab 2.

Berdasarkan hasil perhitungan sebelumnya, didapatkan tingkat kapabilitas

masing-masing proses adalah: APO12 (Manage Risk) berada pada level 2

(Managed Process), APO13 (Manage Security) berada pada level 2 (Managed

Process), dan DSS05 (Manage Security Services) berada pada level 2 (Managed

Process). Dari hasil ini penulis mendapatkan hasil bahwa semua proses pada

penelitian ini berada pada tingkat kapabilitas di level 2 (Managed Process), hal ini

dapat dilihat dari adanya menggunakan framework ISO 27001 namun belum

sepenuhnya terpenuhi karena banyak factor yang menghambat Pusat Jaringan

Komunikasi BMKG.

Dari hasil tersebut maka proses pemenuhan yang akan dilakukan di sini

adalah proses pemenuhan untuk level di atas level 2 yakni, level 3 (Established

149

Process). Selanjutnya penulis akan melakukan penelusuran bukti berdasarkan pada

work products yang ada pada setiap Best Practices (subproses) pada setiap proses.

Untuk kemudian mencari apakah semua work products sudah ada pada setiap Best

Practices di setiap proses? Persentase pemenuhan work products ini yang akan

menjadi acuan apakah proses tersebut sudah memenuhi syarat pencapaian di level

3 (Established Process) atau belum. Kriteria penilaian pemenuhan ini akan merujuk

pada rating scale yang sudah dijelaskan pada bab 2.

4.3.1 Analisis Kesenjangan Kapabilitas Proses

Pada tahapan ini akan dilakukan penelusuran evidence yang dilakukan

untuk menyesuaikan hasil penghitungan Capability Level dengan bukti yang harus

dilengkapi oleh Pusat Jaringan Komunikasi. Dari penelusuran tersebut akan

ditemukan gap jika terjadi ketidak sesuaian evidence terhadap nilai Capability

Level.

4.3.1.1 Pemenuhan Proses APO12

Selanjutnya adalah proses penelusuran pemenuhan level 1 (performed

process) pada proses APO12 yang disesuaikan dengan process attributes (PA) 1.1

process performance.

Best

Practices

Work Products Exist Evidence Skor

APO12.01

Pengumpulan

Data

Data Tentang

Risiko √ Profil Resiko

Data Tentang

Kejadian/Insiden

- -

150

Isu Tentang

Risiko

√ Renstra

APO12.02

Analisa

Risiko

Jangkauan

Analisa Risiko √ Renstra

Skenario Risiko

TI √ Profil Resiko

Hasil Analisa


APO12.03

Pemeliharaan

Profil Risiko

Dokumentasi

Skenario Risiko

Sesuai Fungsi

Bisnisnya

√ Profil Resiko

Kumpulan Profil

Risiko Berisi

Status dan

Tindakan yang

Diambil

√ Profil Resiko

APO12.04

Memperjelas

Risiko

Laporan Analisa

Risiko dan Profil

Risiko untuk

Stakeholder

√ Profil Resiko

Tinjauan Ulang dari Penilaian Risiko oleh

Pihak Ketiga

√ Profil Resiko

Peluang untuk

Penerimaan

Risiko yang

Lebih Besar

√ Profil Resiko

APO12.05

Portofolio

Kegiatan

Manajemen

Risiko

Proposal untuk

Mengurangi


APO12.06

Respon

Terhadap

Risiko

Rencana

Penanganan

Insiden Risiko

√ Profil Resiko

151

Pemberitahuan

Dampak Risiko √ Profil Resiko

Akar Penyebab

Risiko

√ Profil Resiko

Rata-rata Skor 93.3%

Tabel 4. 23 Proses APO12 PA 1.1 Process Performance

Berikut ini adalah tindakan terkait work products yang telah dijelaskan pada tabel

diatas.

1. APO12.01 Pengumpulan Data

a. Data Tentang Resiko

Adanya Dokumen Profil Resiko di Pusat Jaringan Komunikasi BMKG yang

berisi data-data berupa isu resiko, cara penanganan resiko dan data lain

tentang resiko.

b. Data Tentang Kejadian/Insiden

Pusat Jaringan Komunikasi BMKG sudah melakukan pendataan tentang

kejadian/insiden namun belum berjalan dan belum dikelola dengan baik.

c. Isu Tentang Resiko

Isu tentang resiko sudah terencana pada dokumen Rencana Strategis Pusat

Jaringan Komunikasi BMKG sebagai acuan dalam perencanaan

penanganan risiko.

2. APO12.02 Analisa Resiko

a. Jangkauan Analisa Resiko

Pusat Jaringan Komunikasi BMKG sudah mempersiapkan kemungkinan-

kemungkinan lingkup apa saja yang dapat dijangkau setiap resiko dalam

Dokumen Rencana Strategis Pusat Jaringan Komunikasi BMKG.

152

b. Skenario Resiko TI

Pusat Jaringan Komunikasi BMKG memiliki Dokumen Profil Resiko yang

salah satunya berisi tentang Risk Asset Register sebagai perencanaan

skenario resiko TI.

c. Hasil Analisa Resiko

Hasil Analisa Resiko semua tercatat pada dokumen Profil Resiko Pusat


3. APO12.03 Pemeliharaan Profil Resiko

a. Dokumentasi Skenario Resiko Sesuai Fungsi Bisnisnya

Dokumen Profil Resiko menjelaskan beberapa dokumentasi skenario resiko

sesuai fungsi bisnis Pusat Jaringan Komunikasi BMKG.

b. Kumpulan Profil Resiko Berisi Status dan Tindakan yang Diambil

Pusat Jaringan Komunikasi BMKG memiliki kumpulan profil resiko berisi

status dan tindakan yang diambil secara terperinci dalam dokumen profil

resiko.

4. APO12.04 Memperjelas Resiko

a. Laporan Analisa Resiko dan Profil Resiko untuk Stakeholder

Dalam penggunaan dokumen profil resiko, Pusat Jaringan Komunikasi

BMKG juga menjadikan dokumen tersebut sebagai acuan pembuatan

laporan analisis resiko yang ditujukan untuk Stakeholder.

153

b. Tinjauan Ulang dari Penilaian Resiko oleh Pihak Ketiga

Belum adanya dokumen peninjauan ulang terhadap data-data resiko terkait

pihak ketiga yang kemungkinan dapat terjadi di Pusat Jaringan Komunikasi

BMKG.

c. Peluang untuk Penerimaan Resiko yang Lebih Besar

Dokumen Profil Resiko dibuat salah satunya untuk mempersiapkan

penerimaan resiko yang lebih besar agar dapat ditangani dengan benar.

5. APO12.05 Portofolio Kegiatan Manajemen Resiko

a. Proposal untuk Mengurangi Resiko

Semua kegiatan manajemen resiko tersimpan dan terdokumentasi pada

dokumen profil resiko yang dapat digunakan sebagai acuan pengajuan

proposal untuk mengurangi resiko.

6. APO12.06 Respon Terhadap Resiko

a. Rencana Penanganan Insiden Resiko

Dalam dokumen Profil Resiko berisi data Risk Treatment Asset yang

membahas tentang rencana penanganan insiden resiko pada Pusat Jaringan

Komunikasi BMKG.

b. Pemberitahuan Dampak Resiko

Pemberitahuan dampak resiko dijelaskan dalam dokumen profil resiko yang

ditujukan untuk acuan penanganan resiko yang akan terjadi pada Pusat


154

c. Akar Penyebab Resiko

Dokumen Profil Resiko juga menjelaskan akar penyebab resiko yang sudah

diperkirakan dalam table Risk Assets Register untuk melengkapi

standarisasi penilaian resiko.

Pada PA 1.1 process performance diatas, Pusat Jaringan Komunikasi

BMKG mendapatkan skor 93.3% yang masuk dalam tingkat penilaian fully

achieved. Dengan kata lain, penilaian pada proses APO12 dapat melanjutkan ke

level selanjutnya yaitu level 2 (managed process). Penilaian terhadap pencapaian

level 2 didasarkan pada PA 2.1 performance management dan PA 2.2 work product

management. Berikut ini adalah tabel penjelasan pencapaian Pusat Jaringan

Komunikasi dalam level 2 pada proses APO12.

Generic Practices Generic Work

Products

Exist Evidence

Identify the objectives Tujuan penyelesaian

manajemen resiko TI

√ Profil Resiko

Plan and monitor the

performance

Perencanaan terkait

manajemen resiko TI

√ Renstra

Adjust the performance Penyesuaian solusi

untuk manajemen

resiko TI

√ Profil Resiko

Define

responsibilites and

authorities

Peran tanggung jawab

atau komunikasi atas

manajemen resiko TI - -

Identify and make

available

Ketersediaan sumber

daya √ Renstra

155

Manage the

interfaces

Pengelolaan hubungan

pihak terkait

- -


Tabel 4. 24 Proses APO12 PA 2.1 Performance Management

Berikut ini adalah penjelasan tindakan yang dilakukan Pusat Jaringan

Komunikasi BMKG dalam memenuhi PA 2.1 performance management pada

proses APO12.

a. Identify the Objectives

Tujuan penyelesaian permintaan manajemen resiko TI ada di dalam salah satu

subbab yang terdapat pada dokumen Profil Resiko sebagai acuan dan

perencanaan untuk penanganan resiko selanjutnya.

b. Plan and Monitor the Performance

Perencanaan dan monitoring terkait manajemen resiko TI terdapat di dalam

dokumen Rencana Strategi yang menjelaskan bagaimana cara penanganan

resiko dan apakah penanganan insiden dapat diselesaikan sesuai dengan jadwal

yang ditentukan atau tidak.

c. Adjust the Performance

Penyesuaian solusi terkait manajemen resiko TI terdapat dalam dokumen Profil

Resiko, pada dokumen tersebut dijelaskan bagaimana pemilihan penanganan

terbaik terhadap resiko TI yang mungkin akan dialami.

d. Define Responsibilites and Authorities

Belum ada dokumen terkait yang membahas tentang manajemen resiko TI

terutama pada tahapan penerapan dan pelatihan stakeholder.

156

e. Identify and Make Available

Pada dokumen Rencana Strategi telah dijelaskan identifikasi sumber daya dan

informasi yang dibutuhkan serta siapa yang bertanggungjawab akan menangani

jika terjadi insiden pada Pusat Jaringan Komunikasi BMKG.

f. Manage the Interface

Pusat Jaringan Komunikasi sudah mendefinisikan setiap tugas dari tujuan dan

sasaran terkait TI. Namun belum adanya manajemen hubungan antara semua

pihak yang terlibat dalam setiap proses bisnis Pusat Jaringan Komunikasi.

Generic Practices Generic Work Products Exist Evidence

Define the requirements

for the work products

Rencana kebutuhan hasil kerja √ Renstra


for documentation and

control

Dokumentasi terkait manajemen

resiko TI √ Profil Resiko

Identify, document and

control Pengelolaan dokumen

manajemen resiko TI √ Profil Resiko

Review and adjust work

products Evaluasi hasil penyelesaian

terkait manajemen resiko TI - -

Rata-rata Skor 75%

Tabel 4. 25 Proses APO12 PA 2.2 Product Management


Komunikasi BMKG dalam memenuhi PA 2.2 Work Product Management APO12.

a. Define the Requirements for the Work Products

157

Dalam Rencana Strategi dijelaskan beberapa perencanaan terkait Manajemen

Resiko TI secara jelas, seperti apa saja resiko yang bias ditimbulkan dari sebuah

insiden begitupun bagaimana cara penanganannya.

b. Define the Requirements for Documentation and Control

Sudah ada dokumentasi terkait resiko TI yang dituangkan didalam dokumen

profil resiko yang selanjutnya dapat diolah menjadi informasi atau acuan lebih

lanjut.

c. Identify, Document and Control

Terkait dengan identifikasi dan pengelolaan manajemen resiko TI, semua telah

dijelaskan pada dokumen Profil Resiko yang terdiri dari beberapa rincian

perkiraan, cara penanganan dan waktu pemulihan.

d. Review and Adjust Work Products

Belum adanya aktivitas penyesuaian hasil kerja untuk memenuhi kebutuhan

yang telah didefinisikan berupa komunikasi antar unit atau bidang lain terkait

manajemen resiko. Belum terdokumentasi dengan baik karena proses evaluasi

terhadap hasil kerja tersebut membutuhkan persetujuan unit atau bidang lain.

Berdasarkan pencapaian PA 2.1 process performance dan PA 2.2 work

product management yang dipaparkan pada kedua tabel di atas. Maka diketahui

skor pencapaian pada PA 2.1 process performance adalah 66.66% yang termasuk

dalam tingkat penilaian F (largely achieved). Sementara skor yang diketahui pada

PA 2.2 work product management adalah 75% yang masuk ke dalam tingkat

penilaian L (largely achieved). Tingkat penilaian L menunjukkan bahwa Pusat

Jaringan Komunikasi sudah memenuhi syarat-syarat pencapaian level 2 (Managed

158

Process). Rata-rata persentase hasil dari PA 2.1 dan PA 2.2 menunjukkan skor

70.05% yang termasuk ke dalam tingkat penilaian L (largely achieved). Namun

tidak bisa melanjutkan penilaian ke level 3 atau selanjutnya, karena syarat yang

harus dipenuhi adalah mecapai tingkat penilaian fully achieved pada level 2.


Pada bagian ini akan dilakukan proses penelusuran pemenuhan level 1

(performed process) pada proses APO13 (manage security) yang disesuaikan

dengan process attributes (PA) 1.1 process performance.

Best Practices Work Products Exist Evidence Skor

APO13.01

Pemeliharaan

Sistem Manajemen

Keamanan

Informasi (SMKI)

Peraturan

SMKI √

Kebijakan

Keamanan

Informasi

Jangkauan

SMKI √

Kebijakan

Keamanan

Informasi

APO13.02

Mengelola

Rencana

Penanganan Risiko

Keamanan

Informasi

Informasi

Mengenai

Penanganan

Risiko

Keamanan

√ Profil Resiko

Informasi

Keamanan

Berdasarkan

Kasus Bisnis

√

Dokumen

(Blue Print)

Teknologi

Informasi

APO13.03

Mengawasi Sistem

Manajemen Laporan Audit

SMKI

√

Kebijakan

Keamanan

Informasi

159

Keamanan

Informasi (SMKI) Rekomendasi untuk Peningkatan

SMKI

√

Kebijakan

Keamanan

Informasi

Rata-rata Skor 100%

Tabel 4.26 Proses APO13 PA 1.1 Process Performance


diatas.

1. APO13.01 Pemeliharaan Sistem Manajemen Keamanan Informasi

a. Peraturan SMKI

Adanya peraturan pemeliharaan SMKI di Pusat Jaringan Komunikasi

BMKG yang mencakup berbagai kegiatan yang wajib dipenuhi didalam

dokumen Kebijakan Keamanan Informasi.

b. Jangkauan SMKI

Jangkauan pemeliharaan SMKI mencakup ruang lingkup di Pusat Jaringan

Komunikasi BMKG berdasarkan dokumen Kebijakan Keamanan

Informasi.

2. APO13.02 Mengelola Rencana Penanganan Resiko Keamanan Informasi

a. Informasi Mengenai Penanganan Resiko Keamanan

Informasi mengenai penanganan resiko keamanan terlampir pada dokumen

profil resiko Pusat Jaringan Komunikasi BMKG.

b. Informasi Keamanan Berdasarkan Kasus Bisnis

Dokumen Kebijakan Keamanan Informasi telah menjelaskan Informasi

Keamanan berdasarkan kasus bisnis sesuai tupoksi Pusat Jaringan

Komunikasi BMKG.

160

3. APO13.03 Mengawasi Sistem Manajemen Keamanan Informasi (SMKI)

a. Laporan Audit SMKI

Hasil dokumentasi laporan audit SMKI berupa dokumen Kebijakan

Keamanan Informasi yang saat ini sedang coba diterapkan oleh Pusat


b. Rekomendasi untuk Peningkatan SMKI

Audit SMKI menggunakan ISO 27001 menghasilkan rekomendasi untuk

peningkatan SMKI yang saat ini coba diterapkan Pusat Jaringan

Komunikasi BMKG namun masih belum semua kegiatan terealisasikan.


BMKG mendapatkan skor 100% yang masuk dalam tingkat penilaian fully





Komunikasi BMKG dalam level 2 pada proses APO13.


Identify the

objectives

Tujuan identifikasi

penyelesaian manajemen

keamanan terkait TI

√ Blue Print Teknologi

Informasi


performance

Perencanaan perbaikan

manajemen keamanan terkait

TI


Informasi

161

Adjust the

performance

Penyesuaian solusi untuk


TI

√ Kebijakan Keamanan

Informasi

Define

responsibilites and

authorities

Peran tanggung jawab atau

komunikasi atas manajemen

keamanan terkait TI √

Kebijakan Keamanan

Informasi

Identify and make

available

Ketersediaan sumber daya √

Kebijakan Keamanan

Informasi

Manage the

interfaces

Pengelolaan hubungan pihak

terkait

- -




Komunikasi dalam memenuhi PA 2.1 performance management pada proses

APO13.


Tujuan penyelesaian permintaan keamanan informasi ada di dalam dokumen

Blue Print Teknologi Informasi sebagai rancangan 5 tahun kedepan .


Rencana monitoring keamanan informasi terdapat di dalam dokumen Blue Print

Teknologi Informasi yang menjelaskan bagaimana penerapan keamanan aset

dan sistem informasi.

162


Penyesuaian kinerja untuk perbaikan terhadap manajemen keamanan terkait TI

terdapat dalam dokumen kebijakan keamanan informasi untuk meminimalisir

terjadinya masalah keamanan.


Pusat Jaringan Komunikasi BMKG telah mentetapkan personal/pihak yang

dianggap berkompeten dalam bidangnya dan otoritas terhadap individu yang

akan menangani masalah, insiden, dan keamanan terkait TI tersusun dalam

struktur organisasi non-fungsional untuk manajemen keamanan informasi.


Identifikasi sumber daya dan informasi yang dibutuhkan serta siapa yang akan

bertanggungjawab terkait keamanan TI ada di dalam dokumen Kebijakan

Keamanan Informasi.


Sudah ada pengelolaan hubungan pihak terkait terutama terhadap keamanan TI,

namun belum sepenuhnya diterapkan oleh Pusat Jaringan Komunikasi.


Define the

requirements for the

work products

Rencana kebutuhan hasil

kerja √ Kebijakan Keamanan

Informasi

Define the

requirements for

documentation and

control

Dokumentasi insiden dan

manajemen keamanan

terkait TI

√ -


control

Pengelolaan dokumen

manajemen keamanan

terkait TI

- -

163

Review and adjust

work products

Evaluasi hasil penyelesaian

manajemen keamanan

terkait TI

- -

Rata-rata Skor 50%


Berikut ini adalah penjelasan tindakan yang dilakukan PUSAT JARINGAN

KOMUNIKASI dalam memenuhi PA 2.2 Work Product Management APO12.


Dalam dokumen Kebijakan Keamanan Informasi dijelaskan berbagai kategori

keamanan terkait TI yang dalam penyelesaiannya sudah terdapat kriteria

kebutuhan penanganannya.


Belum ada dokumentasi insiden dan manajemen keamanan terkait TI yang

mencakup keseluruhan data insiden, masih minimnya pendokumentasian terkait

insiden keamanan TI.


Pusat Jaringan Komunikasi masih belum maksimal dalam mengelola

dokumentasi insiden dan manajemen keamanan sebagai acuan dan persiapan

menghadapi insiden lain.


Pusat Jaringan Komunikasi belum melakukan evaluasi terhadap dokumentasi

insiden dan manajemen keamanan untuk selanjutnya bisa dijadikan acuan atau

perbaikan terhadap keamanan TI.

164




dalam tingkat penilaian L (largely achieved). Sementara skor yang diketahui pada



Jaringan Komunikasi BMKG sudah memenuhi syarat-syarat pencapaian level 2

(Managed Process). Rata-rata persentase hasil dari PA 2.1 dan PA 2.2

menunjukkan skor 66.65% yang termasuk ke dalam tingkat penilaian L (largely

achieved). Namun tidak bisa melanjutkan penilaian ke level 3 atau selanjutnya,

karena syarat yang harus dipenuhi adalah mecapai tingkat penilaian fully achieved

pada level 2.

4.3.1.3 Pemenuhan Proses DSS05

Selanjutnya akan dilakukan proses penelusuran pemenuhan level 1

(performed process) pada proses DSS05 yang disesuaikan dengan process

attributes (PA) 1.1 process performance.


DSS05.01

Perlindungan

dari

Malware

Peraturan

Pencegahan

Malware

√

Kebijakan

Keamanan

Informasi

Evaluasi Potensi

Ancaman √ Profil Resiko

DSS05.02

Pengelolaan

Jaringan dan

Konektivitas

Peraturan

Keamanan

Sambungan

(Konektivitas)

√

Kebijakan

Keamanan

Informasi

165

Hasil dari Tes

Penetrasi - -

DSS05.03

Mengelola

Keamanan

Perangkat

Peraturan Keamanan pada Perangkat yang Digunakan

Perusahaan

√

Kebijakan

Keamanan

Informasi

DSS05.04

Pengelolaan

Identitas

Pengguna dan

Remote Access

Hak Akses yang

Sudah Disetujui √

Kebijakan

Keamanan

Informasi

Hasil Peninjuan

Ulang Terhadap

Hak

Akses yang

Sudah

Diberikan

- -

DSS05.05

Pengelolaan

Akses pada

Aset/Perangkat

TI

Permintaan

Akses yang

Sudah Disetujui

√

Kebijakan

Keamanan

Informasi

Rekaman/Pencata

tan Pengaksesan √

Kebijakan

Keamanan

Informasi

DSS05.06

Pengelolaan

Dokumen

Sensitif dan

Perangkat

Output

Penyimpanan

untuk Dokumen

Sensitif dan

Perangkat

√

Kebijakan

Keamanan

Informasi

Akses Khusus

√

Kebijakan

Keamanan

Informasi

DSS05.07

Pengawasan

Infrastruktur

Keamanan

Pencatatan

Kegiatan/Insiden

Keamanan

√

Kebijakan

Keamanan

Informasi

Karakteristik

Insiden

Keamanan √

Dokumen (Blue

Print) Teknologi

Informasi

Pencatatan

Khusus Insiden

Keamanan

√ Dokumen Profil

Resiko


Tabel 4. 29 Proses DSS05 PA 1.1 Process Performance

166


diatas.

1. DSS05.01 Perlindungan dari Malware

a. Peraturan Pencegahan Malware

Pada Dokumen Kebijakan keamanan Informasi telah dijelaskan secara rinci

tentang peraturan-peraturan pencegahan Malware namun belum diterapkan

sepenuhnya oleh Pusat Jaringan Komunikasi BMKG.

b. Evaluasi Potensi Ancaman

Evaluasi potensi ancaman telah dijelaskan dan diperkirakan pada Dokumen

Blue Print Teknologi Informasi untuk periode 2014-2019.

2. Pengelolaan Jaringan dan Konektivitas

a. Peraturan Keamanan Sambungan (Konektivitas)

Pusat Jaringan Komunikasi BMKG sudah menerapkan Firewall pada setiap

jaringan yang terhubung langsung ke Data Center untuk memastikan

keamanan sambungan (konektivitas).

b. Hasil Dari Tes Penetrasi

Pusat Jaringan Komunikasi BMKG rutin melakukan Tes Penetrasi namun

tidak memberikan dokumen sebagai bukti kepada peneliti karena beberapa

faktor keamanan.

3. Mengelola Keamanan Perangkat

a. Peraturan Keamanan pada Perangkat yang digunakan Perusahaan

Pengelolaan Keamanan Perangkat dijelaskan dengan rinci pada dokumen

Kebijakan Keamanan Informasi sebagai pedoman mengelola keamanan

perangkat Pusat Jaringan Komunikasi BMKG.

167

4. Pengelolaan Identitas Pengguna dan Remote Access

a. Hak Akses yang Sudah Disetujui

Terdapat rincian Hak Akses untuk SDM tertentu pada dokumen kebijakan

keamanan informasi terhadap perangkat yang sesuai dengan kemampuan

SDM tersebut dan tentunya sudah melalu persetujuan bagian terkait.

b. Hasil Peninjauan Ulang Hak Akses yang Sudah Diberikan

Data perihal Hak Akses yang tertera pada dokumen kebijakan keamanan

informasi sudah melewati verifikasi dan validasi kesesuaian terhadap SDM

yang ditunjuk.

5. Pengelolaan Akses Pada Aset/Perangkat TI

a. Permintaan Akses yang Sudah Disetujui

Pada dokumen kebijakan keamanan informasi dijelaskan bahwa setiap

bagian berhak melakukan permintaan Hak Akses kepada bagian

Operational TI untuk keperluan atau kebutuhan tertentu sesuai dengan

tupoksi bagian tersebut dan harus melalui persetujuan dari pemangku

kepentingan.

b. Rekaman/Pencatatan Pengaksesan

Pada dokumen kebijakan keamanan informasi dijelaskan segala bentuk log

pengaksesan harus dicatat dan didokumentasikan sebagai salah satu bentuk

persyaratan keamanan BMKG.

168

6. Pengelolaan Dokumen Sensitif dan Perangkat Output

a. Penyimpanan untuk Dokumen Sensitif dan Perangkat

Rincian perencanaan penyimpanan untuk dokumen sensitif dan perangkat

tersusun pada dokumen kebijakan keamanan informasi untuk

mempermudah pencarian dokumen.

b. Akses Khusus

Syarat-syarat penentuan akses khusus telah dijabarkan dalam dokumen

kebijakan keamanan informasi untuk memastikan bahwa pemberian akses

khusus hanya untuk SDM tertentu sesuai kebutuhan.

7. Pengawasan Infrastruktur Keamanan

a. Pencatatan Kegiatan/Insiden Keamanan

Dokumen Kebijakan Keamanan Informasi adalah dokumentasi yang juga

memuat tentang pencatatan Kegiatan/Insiden Keamanan yang pernah

terjadi dan bagaimana statusnya saat ini.

b. Karakteristik Insiden keamanan

Karakteristik insiden keamanan sudah diperkirakan oleh Pusat Jaringan

Komunikasi BMKG pada dokumen Blue Print Teknologi Informasi sesuai

dengan faktor-faktor apa saja yang dapat memicu insiden keamanan.

c. Pencatatan Khusus Insiden Keamanan

Pencatatan khusus tentang insiden keamanan telah terlampir pada dokumen

profil resiko TI bersama dengan data data resiko yang telah diperkirakan

sebagai acuan.

169



achieved. Dengan kata lain, penilaian pada proses DSS05 dapat melanjutkan ke




Komunikasi BMKG dalam level 2 pada proses DSS05.


Identify the objectives Tujuan penyelesaian manajemen

keamanan layanan terkait TI

√

Blue Print

Teknologi

Informasi


performance

Perencanaan perbaikan manajemen


√

Blue Print

Teknologi

Informasi

Adjust the

performance


manajemen keamanan layanan

terkait TI

√ Profil Resiko

Define

responsibilites and

authorities



keamanan layanan terkait TI √

Kebijakan

Keamanan

Informasi

Identify and make

available

Ketersediaan sumber daya

√

Kebijakan

Keamanan

Informasi

Manage the

interfaces

Pengelolaan hubungan pihak terkait

- -


Tabel 4. 30 Proses DSS05 PA 2.1 Performance Management

170



DSS05.


Tujuan penyelesaian manajemen keamanan layanan terkait TI ada di dalam

Blue Print Teknologi Informasi yang direncanakan untuk penerapan keamanan

layanan TI jangka panjang.


Perencanaan perbaikan manajemen keamanan layanan TI juga terdapat di dalam

dokumen Blue Print Teknologi Informasi yang menjelaskan apakah

penanganan insiden keamanan terkait TI dapat diselesaikan sesuai dengan

jadwal yang ditentukan atau tidak.


Belum ada penyesuaian kinerja untuk perbaikan terhadap manajemen

keamanan terkait TI terutama pengelolaan hak akses asset maupun Data Center

untuk meminimalisir terjadinya masalah keamanan.



dianggap berkompeten dalam bidang keamanan terkait TI dan otoritas terhadap

individu yang akan menangani masalah, insiden, dan penyajian layanan

tersusun dalam struktur organisasi non-fungsional untuk manajemen keamanan

layanan.

171



menangani insiden ada di dalam dokumen kebijakan keamanan informasi.


Sudah adanya pengelolaan terkait pihak ketiga tentang manajemen keamanan

namun belum seluruhnya terkontrol dengan baik, sebagai contoh yaitu hak

akses yang masih terlalu fleksibel dan kurang menekankan ketegasan terhadap

vendor TI yang melakukan kerjasama dengan pihak pusjarkom BMKG.


Define the


work products



Informasi

Define the

requirements for

documentation and

control

Dokumentasi manajemen

keamanan layanan terkait TI √ -

Identify, document

and control

Pengelolaan dokumen

manajemen keamanan

layanan terkait TI

√ -

Review and adjust

work products


manajemen keamanan

layanan terkait TI

√ -

Rata-rata Skor 25%

Tabel 4. 31 Proses DSS05 PA 2.2 Product Management


KOMUNIKASI dalam memenuhi PA 2.2 Work Product Management DSS05.

172


Dalam Kebijakan Keamanan Informasi terdapat kategori insiden dan layanan,

yang dalam penyelesaiannya sudah terdapat kriteria kebutuhan penanganannya.


Manajemen layanan terkait TI belum diterapkan secara menyeluruh terutama

pada dokumentasi akses kontrol aset maupun Data Center yang menyebabkan

tidak adanya log daftar pengaksesan terperinci.


Pengelolaan terkait keamanan baik keamanan aset, Data Center maupun

keamanan layanan belum dilakukan dengan baik yang menyebabkan kurang

ketatnya akses terhadap data dan informasi.


Perlu dilakukan evaluasi menyeluruh mengenai keamanan layanan karna belum

pernah dilakukan evaluasi terhadap manajemen keamanan TI di Pusat Jaringan

Komunikasi.






penilaian (largely achieved). Tingkat penilaian L menunjukkan bahwa PUSAT

JARINGAN KOMUNIKASI sudah memenuhi syarat-syarat pencapaian level 2

(managed process). Rata-rata persentase hasil dari PA 2.1 dan PA 2.2 menunjukkan

173

skor 54.16% yang termasuk ke dalam tingkat penilaian L (largely

achieved).Namun tidak bisa melanjutkan penilaian ke level 3 atau selanjutnya,


pada level 2.

Setelah dilakukan penjabaran pada tahapan Define Roadmap diatas, peneliti

menyimpulkan Pada tahapan ini yang peneliti telah lakukan adalah mengerjakan

langkah-langkah selanjutnya yaitu analisis kesenjangan kapabilitas proses dengan

mengumpulkan bukti-bukti yang dibutuhkan sesuai dengan yang telah ditentukan

oleh framework COBIT 5, pengumpulan evidence untuk membantu peneliti

menentukan gap yang ada, dan hasil yang didapat peneliti adalah :

1. Dalam pengumpulan evidence yang dilakukan oleh peneliti pada proses

APO12, work products Data Tentang Kejadian/Insiden sudah dimiliki oleh

Pusat Jaringan Komunikasi namun belum bisa diterapkan dengan maksimal,

seperti pendokumentasian insiden TI hanya dilakukan jika terjadi insiden skala

besar, sedangkan insiden skala kecil seperti deface pada web resmi BMKG

tidak terdokumentasi karna dianggap tidak menimbulkan resiko bahaya besar,

masalah tersebut yang menyebabkan terjadinya insiden berulang karna tidak

ada upaya pencegahan dari pihak Pusat Jaringan Komunikasi.


APO13, penerapan terkait SMKI sudah berjalan namun belum maksimal karena

masih terjadi beberapa masalah yang disebabkan oleh kurangnya manajemen

keamanan dan minimnya pendokumentasian insiden.

174

3. Dalam pengumpulan evidence yang dilakukan oleh peneliti pada proses DSS05,

work products Hasil Tes Penetrasi dan Hasil Peninjuan Ulang Terhadap Hak

Akses yang Sudah Diberikan belum diterapkan secara maksimal oleh Pusat

Jaringan Komunikasi, ini yang menyebabkan dalam pengelolaan hak akses

masih sangat fleksibel terutama dalam hak akses Ruang Data Center.

4.4 Tahap 4 - Plan Programme

Setelah penulis mendapatkan hasil dari tingkat kapabilitas aktual dan

tingkat ekspektasi dari setiap proses pada penelitian ini, tahap selanjutnya adalah

melakukan proses plan programme yakni, menjelaskan mengenai kesenjangan

(gaps) pada setiap proses serta memberikan dan menjelaskan rekomendasi

kepada perusahaan untuk dapat mencapai tingkat kapabilitas ekspektasi. Gaps

didapatkan dari jarak nilai kapabilitas aktual ke nilai kapabilitas ekspektasi. Dan

rekomendasi diberikan berdasarkan pada syarat-syarat pemenuhan untuk

mencapai nilai tingkat kapabilitas ekspektasi.

Sesuai dengan hasil penelusuran berdasarkan skala Likert dan rating scale

di atas yang menghasilkan nilai kapabilitas aktual sebagai berikut: proses APO12

(Manage Risk) mendapatkan nilai 2.17 yang berada pada level 2 (Managed

Process), proses APO13 (Manage Security) mendapatkan nilai 2.18 yang berada

pada level 2 (Managed Process), proses DSS05 (Manage Security Services)

mendapatkan nilai 2.33 yang berada pada level 2 (Managed Process). Sedangkan

untuk tingkat kapabilitas ekspektasi dari kelima proses mendapatkan hasil pada

level 3 (Established Process). Oleh Karena itu, ada gap sebesar 1 level dari setiap

175

tingkat kapabilitas aktual ke tingkat kapabilitas ekspektasi untuk masing-masing

proses yakni level 2 (Managed Process) ke level 3 (Established Process).

Oleh karena itu rekomendasi yang diberikan akan mengusulkan untuk

memenuhi semua work products yang ada pada level 2 (Managed Process) di

ketiga proses tersebut sesuai dengan PA 2.1 process performances agar dapat

mencukupi syarat atribut untuk berada pada level 3 (Established Process).

4.5.1 Gap dan Rekomendasi

Di bagian ini akan dijelaskan mengenai gaps antara tingkat kapabilitas

aktual dengan tingkat kapabilitas ekspektasi dan rekomendasi yang akan

menjelaskan apa saja yang dibutuhkan oleh perusahaan untuk dapat menghilangkan

kesenjangan tersebut dan mencapai tingkat kapabilitas ekspektasi. Rekomendasi

yang diberikan akan mencakup dua bagian yakni, rekomendasi untuk memenuhi

process attribute di setiap proses dan rekomendasi yang berdasarkan dengan Best

Practice pada setiap proses.

4.4.1.1 Gaps dan Rekomendasi Proses APO12 (Manage Risk)

Proses APO12 (Manage Risk) mendapatkan nilai kapabilitas aktual 2.17

yang berada pada level 2 (Managed Process), dan nilai kapabilitas ekspektasinya

mendapatkan nilai 3.30 yang berada pada level 3 (Established Process). Hasil ini

menunjukkan adanya gap antara tingkat kapabilitas aktual dengan tingkat

kapabilitas ekspektasi sebesar 1 level dari level 2 ke level 3. Maka rekomendasi

yang diberikan adalah untuk memenuhi persyaratan agar dapat mencapai level

ekspektasi tersebut. Berikut rekomendasi yang diberikan:

176

1. Process Attribute

Pada PA 1.1 process performance di proses APO12 (Manage Risk)

mendapatkan skor 93.3% (fully achieved). Skor ini menunjukkan bahwa Pusat

Jaringan Komunikasi sudah memenuhi standar work product terkait Process

Attribute 1.1 Process performance APO12 (Manage Risk), pusjarkom sudah

mempertimbangkan mengenai analisa tentang risiko. Di tahap ini kegiatan

manajemen risiko sudah tersusun rapih pada dokumen rencana strategi Pusat

Jaringan Komunikasi bersama dengan bukti dokumentasi dalam bentuk dokumen

profil resiko, pusjarkom sudah hampir memenuhi semua work products PA 1.1

process performance pada APO12 yakni, data tentang risiko, data tentang

kejadian/insiden, isu tentang resiko, jangkauan analisa resiko, skenario resiko TI,

hasil analisa resiko, dokumentasi skenario resiko sesuai fungsi bisnisnya, kumpulan

profil resiko berisi status dan tindakan yang diambil, laporan analisa resiko dan

profil resiko untuk stakeholder, peluang untuk penerimaan resiko yang lebih besar,

proposal untuk mengurangi resiko, rencana penanganan insiden resiko,

pemberitahuan dampak resiko dan akar penyebab resiko namun masih ada gap

berupa 1 work products yang belum dimiliki oleh pusjarkom yaitu tinjauan ulang

dari penilaian resiko oleh pihak ketiga yang digunakan sebagai evaluasi terhadap

data-data resiko yang kemungkinan dapat terjadi berkaitan dengan pihak ketiga.

Pada PA 2.1 performance management dan PA 2.2 work product

management di proses APO12 (Manage Risk) mendapatkan skor rata-rata 70.05%

(largely achieved). Skor ini menunjukkan bahwa Pusat Jaringan Komunikasi belum

memenuhi standar work product terkait Process Attribute 2.1 performance

177

management dan PA 2.2 work product management APO12 (Manage Risk). Pada

generic work product tentang peran tanggung jawab atau komunikasi atas

manajemen resiko TI, pusjarkom belum memiliki dokumen terkait resiko/insiden.

Oleh karena itu, peran tanggung jawab terhadap manajemen resiko bergantung

kepada setiap masing-masing bidang pemangku kepentingan, belum ada

perancangan dokumen khusus yang menangani tentang manajemen resiko

keseluruhan terutama tentang pengelolaan insiden teknologi informasi yang dapat

dijadikan acuan untuk meminimalisir dan mempersiapkan insiden yang berulang

atau beresiko tinggi di Pusat Jaringan Komunikasi. Salah satu faktor ini juga

disebabkan oleh belum adanya manajemen pengelolaan pihak terkait yang dapat

mengintegrasikan atau menghubungkan masing-masing bidang untuk mengelola

manajemen insiden/resiko.

Untuk membuat work product tersebut, perusahaan perlu untuk terlebih

dahulu membentuk manajemen risiko yang terintegrasi yang akan membuat

peraturan-peraturan terkait manajemen risiko. Setelah itu barulah perusahaan dapat

menentukan apa saja yang harus dilakukan atau bahkan mungkin dievaluasi dari

manajemen risiko sebelumnya. Setiap hasil dari analisa dan pengukuran risiko oleh

manajemen risiko juga harus dicatat dan dilaporkan kepada para kepala bagian

terkait.

2. Best Practice


Secara berkala melakukan analisa dan penentuan dari risiko

penggunaan TI pada pusjarkom untuk masa sekarang dan pada masa depan.

178

Menentukan apakah ambang batas risiko yang ditetapkan sudah sesuai

dengan kapasitas pusjarkom serta risiko dari penggunaan TI pada pusjarkom

BMKG sudah disesuaikan dengan value dari tupoksinya.

Tabel 4. 32 Gaps dan Rekomendasi APO12.01


Memberikan informasi-informasi yang dapat membantu dalam

pengambilan keputusan yang sesuai dengan pedoman risiko perusahaan.


Melakukan pemeliharaan terhadap database yang menyimpan

semua informasi risiko perusahaan.

Best Practice Keterangan

APO12.01-GWP1 Pengumpulan Data

Gaps

Analisis resiko saat ini, sudah tercantum ke dalam dokumen Profil Resiko,

namun skenario-skenario resiko TI belum terdokumentasi dengan baik dan

belum diperbarui secara rutin sehingga menyebabkan kurangnya persiapan-

persiapan terhadap resiko kejadian yang akan dialami dimasa yang akan

datang dan sering terjadinya insiden yang berulang.

Rekomendasi

Untuk itu Pusat Jaringan Komunikasi direkomendasikan harus mengelola

dokumentasi dengan baik dan selalu memperbaiki dan memperbarui secara

rutin skenario-skenario resiko TI berdasarkan kejadian/insiden yang pernah

terjadi di BMKG.

Dan melakukan evaluasi terkait kesenjangan baseline analisis resiko saat ini.

Kemudian hasil evaluasi ini harus dengan tegas ditindaklanjuti sebagai

perbandingan di kebutuhan masa depan.


APO12.03-WP1 Dokumentasi Skenario Resiko Sesuai Fungsi

Bisnisnya

Gaps

179



Menyediakan semua informasi yang berhubungan dengan risiko TI

secara berkala kepada semua stakeholder perusahaan agar dapat diambil

tindakan yang tepat terhadap setiap risiko TI yang ada.



Mengelola setiap kemungkinan untuk pengurangan risiko

(kelonggaran pada ambang batas risiko) yang dituangkan dalam bentuk

sebuah portofolio.

Pendokumentasian skenario resiko saat ini sudah tercantum ke dalam

dokumen Profil Resiko, namun saat ini pendokumentasian belum

dikelompokan berdasarkan kategori dan area fungsinya, hanya berdasarkan

perkiraan besarnya akibat yang akan terjadi disetiap bidang.

Rekomendasi

Untuk itu Pusat Jaringan Komunikasi direkomendasikan harus membuat

suatu dokumen terperinci dan lebih detail terkait skenario resiko TI. Agar

selanjutnya dapat digunakan sebagai acuan terhadap persiapan kejadian-

kejadian atau insiden yang kemungkinan akan dialami oleh Pusat Jaringan

Komunikasi BMKG.


APO12.04-WP2 Tinjauan Ulang dari Penilaian Resiko oleh Pihak

Ketiga

Gaps

Pusat Jaringan Komunikasi belum melakukan tinjauan ulang terhadap

penilaian resiko pihak ketiga ditandai dengan belum adanya hasil output

tinjauan tersebut.

Rekomendasi

Pusat Jaringan Komunikasi direkomendasikan harus melakukan peninjauan

ulang terkait penilaian resiko oleh pihak ketiga, terutama terhadap resiko-

resiko yang sangat rentan dan mudah terjadi insiden melalui pihak ketiga

ataupun pihak diluar Pusat Jaringan Komunikasi BMKG.

180



Melakukan penanganan secara berkala dan dengan tindakan yang

terukur untuk mengurangi kerugian dari penggunaan TI.

4.4.1.2 Gaps dan Rekomendasi Proses APO13 (Manage Security)

Proses APO13 (Manage Security) mendapatkan nilai kapabilitas aktual 2.19

yang berada pada level 2 (Managed Process), dan tingkat kapabilitas ekspektasinya




yang diberikan untuk memenuhi persyaratan untuk dapat mencapai level

eksepektasi tersebut. Berikut rekomendasi yang diberikan:


Pada PA 1.1 process performance di proses APO13 (Manage Security)

mendapatkan skor 100% (Fully Achieved). Pusjarkom sudah memenuhi

keseluruhan work product yakni, peraturan SMKI, jangkauan SMKI, informasi

mengenai penanganan resiko keamanan, informasi keamanan berdasarkan kasus


APO12.05-WP1 Proposal untuk Mengurangi Resiko

Gaps

Pusat Jaringan Komunikasi belum mempunyai proposal untuk mengurangi

resiko, namun menggunakan dokumen profil resiko sebagai acuan untuk

mengurangi resiko.

Rekomendasi

Pusat Jaringan Komunikasi direkomendasikan harus membuat mekanisme

atau peraturan yang mengatur pengajuan proposal untuk kegiatan yang dapat

mengurangi risiko pada perusahaan.

181

bisnis, laporan audit SMKI, dan rekomendasi untuk peningkatan SMKI. Dengan

kata lain pusjarkom BMKG sudah memenuhi standar work product terkait Process

Attribute 1.1 Process performance APO13 (Manage Security).


management di proses APO13 (Manage Security) mendapatkan skor rata-rata

66.65% (largely achieved). Skor ini menunjukkan bahwa Pusat Jaringan

Komunikasi belum memenuhi standar work product terkait Process Attribute 2.1

performance management dan PA 2.2 work product management APO12 (Manage

Risk). Pusat Jaringan Komunikasi BMKG sudah mempunyai atau menerapkan

sistem manajemen keamanan informasi (SMKI) namun belum berjalan dengan

baik. Perlindungan untuk keamanan informasi di pusjarkom BMKG sudah berupa

penggunaan password, akun untuk hak akses, dan software-software antivirus,

fireguard dan antimalware tanpa melakukan pengelolaan terhadap itu semua.

Belum terealisasikannya pengelolaan dokumentasi terkait SMKI dalam pusjarkom

BMKG ini menyebabkan kurangnya persiapan terhadap insiden-insiden baru dan

terjadinya permasalahan yang berulang-ulang terutama pada keamanan sistem

informasi. Lemahnya keamanan Data Center juga merupakan salah satu dampak

kurangnya pengelolaan terkait hak akses dan pembatasan akses pihak luar.

Pusjarkom harus membuat perencanaan untuk sistem manajemen keamanan

informasi dan juga perlu untuk membuat suatu aturan tertulis yang mengatur sistem

manajemen keamanan informasi dan cakupan wilayah kerja dari SMKI pada

lingkungan pusjarkom. Dan untuk melengkapi work products yang lainnya, Pusat

Jaringan Komunikasi perlu mengatur ulang atau merancang terkait keamanan aset

182

dan hak akses dan juga harus membuat proses penilaian seperti audit atau evaluasi

untuk dapat dilaporkan pada para pembuat keputusan dan juga untuk dapat

mengetahui kekurangan apa saja yang ada pada SMKI, sehingga dapat diberikan

rekomendasi-rekomendasi untuk meningkatkan kinerja dari SMKI.

2. Best Practice

a. APO13.01 (Memelihara Sistem Manajemen Keamanan Sistem Informasi

(SMKI))

Melakukan pemeliharaan pada sistem manajemen keamanan

informasi (SMKI) yang mampu menyediakan standarisasi, dokumen, dan

informasi untuk manajemen keamanan perusahaan, serta menyediakan

penggunaan teknologi yang aman dan membuat proses bisnis yang sesuai

dengan kebutuhan bisnis dan manajemen keamanan perusahaan.


APO13.01-WP1 Membuat dan Memelihara Sistem Manajemen

Keamanan Sistem Informasi (SMKI)

Gaps

Sudah ada peraturan SMKI pada Pusat Jaringan Komunikasi BMKG dan

terdokumentasi dalam dokumen kebijakan keamanan informasi, namun

belum terimplimentasi dengan baik terutama pada manajemen

permohonan/penentuan hak akses terkait aset dan Data Center.

Rekomendasi

Pusat Jaringan Komunikasi direkomendasikan harus maksimal dalam

penerapan SMKI untuk memastikan keamanan terhadap sistem informasi

terjaga dengan baik, serta memastikan segala sesuatu terkait keamanan

informasi terdokumentasi dan terpantau untuk dievaluasi dan dijadikan acuan

perbaikan agar dapat meminimalisir resiko-resiko TI.

APO13.01-WP2 Jangkauan SMKI

Gaps

Belum ada peraturan yang menjelaskan jangkauan dari kerja SMKI

Rekomendasi

183


b. APO13.02 (Mengatur Rencana Penanganan Risiko Keamanan Informasi)

Pada Best Practice ini perusahaan sudah memenuhi semua work

products yang ada pada PA 1.1 APO13.


Informasi (SMKI))

Mengatur dan menginformasikan tentang kebutuhan dan

keuntungan dari peningkatan pada keamanan informasi. Mengumpulkan

dan melakukan analisa data mengenai SMKI, serta melakukan perbaikan

untuk efektivitas dari SMKI. Dan melakukan kampanye untuk

membiasakan budaya keamanan informasi di lingkungan perusahaan.


Pusat Jaringan Komunikasi direkomendasikan membuat peraturan yang

menjelaskan mengenai ruang lingkup dan cakupan wilayah kerja dari SMKI.

Peraturan ini harus secara jelas mengatur apa saja wewenang yang dapat

dilakukan dan yang tidak boleh dilakukan dari aktivitas SMKI pada

lingkungan Pusat Jaringan Komunikasi BMKG.


APO13.03-WP2 Rekomendasi untuk Peningkatan SMKI

Gaps

Pusat Jaringan Komunikasi sudah membuat rekomendasi untuk peningkatan

SMKI yang berupa dokumen kebijakan keamanan informasi, namun

rekomendasi terkait TI tersebut belum semuanya dilakukan secara teknis.

Rekomendasi

Pusat Jaringan Komunikasi harus menerapkan rekomendasi yang sudah

dibuat dari hasil evaluasi sehingga dapat memaksimalkan kinerja dan

meminimalisir resiko terkait TI.

184

4.4.1.3 Gaps dan Rekomendasi Proses DSS05 (Manage Security Services)

Proses proses DSS05 (Manage Security Services) mendapatkan nilai

kapabilitas aktual 2.28 yang berada pada level 2 (Managed Process), dan tingkat

kapabilitas ekspektasinya mendapatkan nilai 3.19 yang berada pada level 3

(Established Process). Hasil ini menunjukkan adanya gap antara tingkat kapabilitas

aktual dengan tingkat kapabilitas ekspektasi sebesar 1 level dari level 2 ke level 3.

Maka rekomendasi yang diberikan adalah untuk memenuhi atribut persyaratan agar

dapat mencapai level ekspektasi tersebut. Berikut rekomendasi yang diberikan:


Pada PA 1.1 process performance di proses DSS05 (Manage Security

Services) mendapatkan skor 92.8% (fully achieved). Pusjarkom sudah memenuhi

12 work products dari 14 work products yang ada yakni, peraturan pencegahan

malware, evaluasi potensi ancaman, peraturan keamanan sambungan

(konektivitas), peraturan keamanan pada prangkat yang digunakan perusahaan, hak

akses yang sudah disetujui, permintaan akses yang sudah disetujui,

rekaman/pencatatan pengaksesan, penyimpanan untuk dokumen sensitif dan

perangkat, akses khusus, pencatatan kegiatan insiden/kejadian keamanan,

karakteristik insiden keamanan dan pencatatan khusus insiden keamanan namun

masih ada gap berupa 2 work products yang belum dimiliki oleh pusjarkom yaitu

hasil dari tes penetrasi dan hasil peninjauan ulang terhadap hak akses yang sudah

diberikan.

Walaupun pusjarkom sudah melindungi konektivitas jaringan dengan

cukup kuat, Pusjarkom belum melakukan tes penetrasi terhadap sistem yang

185

berakibat seringnya terjadi tracking atau percobaan masuk kedalam halaman utama

sistem. Memang data base pada sistem akan tetap terjaga dengan baik karna

firewall yang cukup kuat. Namun kekurangan ini juga merupakan kebocoran yang

akan menjadi masalah untuk pusjarkom di masa yang akan datang. Perusahaan juga

perlu untuk melakukan evaluasi terhadap setiap potensi ancaman dari malware baik

dari lingkungan luar maupun di dalam pusjarkom. Selain itu pusjarkom juga

diharuskan untuk mendokumentasikan hasil peninjauan ulang terhadap hak akses

yang sudah diberikan untuk memastikan bahwa akses yang diberikan telah sesuai

dengan SDM dan kebutuhan tupoksinya.

Peraturan tertulis tentang penggunaan perangkat atau aset BMKG juga

perlu dibuat untuk memastikan keamanan dari perangkat/aset tersebut dan

mencegah potensi dari insiden keamanan lainnya. Mengenai setiap hak akses yang

sudah diberikan oleh pusjarkom perlu dilakukan evaluasi secara berkala terhadap

pemberian hak akses tersebut, apakah diperlukan perubahan hak akses atau

tindakan lainnya.

Pusjarkom juga harus membuat sistem atau mekanisme yang mengatur

permintaan untuk mengakses aset dari atau diluar pusjarkom BMKG. Sistem ini

harus melibatkan atau mendapatkan persetujuan dari pemimpin perusahaan dalam

pemberian aksesnya. Dan segala pengaksesan yang dilakukan pada aset perusahaan

baik dari internal maupun eksternal perusahaan harus dicatat dan

didokumentasikan.

186


management di proses DSS05 (Manage Security Services) mendapatkan skor rata-

rata 54.16% (largely achieved). Skor ini menunjukkan bahwa Pusat Jaringan



Risk). Pusjarkom belum melakukan pendokumentasian hak akses untuk evaluasi

terutama terhadap pihak ketiga, pusjarkom hanya mengutus teknisi dari pihak

pusjarkom untuk menemani dan memberikan hak akses jika dibutuhkan oleh pihak

ketiga terutama perihal akses terhadap Data Center tanpa melakukan verifikasi

ataupun memberikan SOP kepada pihak ketiga.

Pusjarkom harus melakukan analisa atau evaluasi secara berkala terkait

setiap hak akses atau kegiatan apa pun yang terkait dengan keamanan untuk dapat

mengetahui karakteristik dari setiap insiden keamanan yang sudah atau mungkin

akan terjadi. Dan perlu dibuatkan pencatatan khusus seperti semacam dokumen

untuk keamanan informasi.

2. Best Practice


Menerapkan dan mengelola langkah-langkah pencegahan,

investigasi dan perbaikan (khususnya pada pemberian akses terhadap sistem

ataupun aset di pusjarkom) pada setiap lini perusahaan untuk melindungi

semua aset perusahaan dari insiden keamanan.

187

Tabel 4. 38 Gaps dan Rekomendasi DSS05.01

b. DSS05.02 (Mengelola Jaringan dan Konektivitas)

Menggunakan prosedur dan analisa keamanan untuk melindungi

semua metode dan konektivitas yang ada pada perusahaan.


Memastikan semua perangkat perusahaan sudah dilindungi dengan

baik, minimal setara atau lebih besar dari standar penerapan keamanan dari

informasi yang diproses, disimpan, dan informasi yang dikirim.


DSS05.01-WP1 Peraturan Pencegahan Malware

Gaps

Sudah ada peraturan pencegahan Malware pada dokumen Kebijakan

Keamanan Informasi namun prosedur-prosedur pencegahan malware

tersebut belum sepenuhnya diterapkan, sebagai contoh belum adanya

tinjauan ulang produk-produk dari vendor dan konsultan pelayanan

keamanan.

Rekomendasi

Pusat Jaringan Komunikasi direkomendasikan harus mendistribusikan terkait

software keamanan secara terpusat (versi dan patch-nya) dengan

menggunakan pengaturan terpusat serta harus menyaring data yang masuk

untuk melindungi dari informasi yang tidak diinginkan (spyware, phising

email).


DSS05.03-WP1 Peraturan Keamanan pada Perangkat yang Digunakan Perusahaan

Gaps

Pusat Jaringan Komunikasi sudah melakukan pengelolaan keamanan

perangkat namun kurang maksimal karena banyak kebijakan yang belum

diterapkan.

Rekomendasi

Pusat Jaringan Komunikasi harus membuat peraturan yang dapat berupa

SOP untuk mengatur mengenai kebijakan penggunaan perangkat di

perusahaan yang menekankan pada aspek keamanan informasi di perusahaan.

188


d. DSS05.04 (Mengelola Identitas Pengguna dan Remote Access)

Memastikan semua pihak mendapatkan hak akses sesuai dengan

kebutuhan bisnisnya.


e. DSS05.05 (Mengelola Akses pada Aset/Perangkat TI)

Membuat dan menerapkan prosedur untuk memberi, membatasi dan

mencabut akses pada aset perusahaan. Akses yang diberikan harus selalu

tercatat dan terawasi. Prosedur ini harus diterapkan atau berlaku untuk siapa

pun baik dari pihak internal maupun eksternal perusahaan.

Perangkat perusahaan tidak boleh dengan mudah untuk dapat digunakan oleh

pihak yang tidak memiliki akses pada pernagkat tersebut.


DSS05.04-WP2 Hasil Peninjuan Ulang Terhadap Hak Akses yang

Sudah Diberikan

Gaps

Sudah ada manajemen hak akses pada dokumen kebijakan keamanan

informasi namun belum diterapkan ataupun ditinjau ulang, sebagai contoh

masih adanya fleksibilitas terhadap hak akses pihak ketiga pada saat jika

terjadi insiden ataupun maintenance, siapapun teknisi dapat masuk keruang

Data Center jika berasal dari vendor yang telah bekerjasama dengan BMKG.

Rekomendasi

Pusat Jaringan Komunikasi diharuskan melakukan atau mengevaluasi ulang

terkait hak akses, atau mungkin dapat menentukan ulang syarat-syarat

penentuan pihak-pihak yang berhak mendapatkan hak akses sesuai

fungsinya. Hak akses dapat dikerucutkan terutama terkait Data Center

ataupun aset utama Pusat Jaringan Komunikasi.

189




products yang ada pada PA 1.1 DSS05.06.

g. DSS05.07 (Mengawasi Infrastruktur Keamanan)

Menggunakan tools untuk mendeteksi penyusupan atau hal-hal

mencurigakan pada jaringan perusahaan, dan mengawasi setiap penggunaan

pada infrastruktur keamanan perusahaan, khususnya jika ada pengunaan

dari pihak yang tidak memiliki akses pada infrastruktur perusahaan. Dan

memastikan setiap ada kegiatan atau insiden selalu terhubung dengan

manajemen pengawasan dan insiden perusahaan.


DSS05.05-WP1 Permintaan Akses yang Sudah Disetujui

Gaps

Sudah ada pengelolaan terkait hak akses namun terlalu fleksibel terutama

terkait akses ruang Data Center dan access remote pada Pusat Jaringan

Komunikasi BMKG.

Rekomendasi

Pusat Jaringan Komunikasi direkomendasikan harus membuat ulang

peraturan yang mengatur mengenai mekanisme permintaan akses pada aset

ataupun Data Center, akses yang diberikan harus selalu tercatat dan terawasi.

Mekanisme ini haruslah menekankan pada keamanan untuk melindungi aset

dan Data Center. Pemberian akses harus berdasarkan kebutuhan bisnis dan

tidak boleh terlalu leluasa ataupun terlalu terbatas untuk mengakses aset

perusahaan yang dibutuhkannya.


DSS05.07-WP1 Pencatatan Kegiatan/Insiden Keamanan

Gaps

Sudah ada dokumentasi mengenai karakteristik dari insiden keamanan

namun belum terpusat terperinci.

190


Pada tahapan Plan Programme, peneliti telah mulai melakukan penentuan

gaps dan rekomendasi perbaikan dari hasil penghitungan Capability Level dan

pemenuhan evidence, dengan dilakukannya langkah-langkah tadi pada tahapan

sebelumnya, hasil yang didapat oleh peneliti adalah sebagai berikut :

1. Pada proses APO12, telah didapat nilai kapabilitas aktual 2.17 yang berada pada

level 2 (Managed Process), dan didapat nilai kapabilitas ekspektasinya sebesar

3.30 yang berada pada level 3 (Established Process). Hasil ini menunjukkan

adanya gap antara tingkat kapabilitas aktual dengan tingkat kapabilitas

ekspektasi sebesar 1 level dari level 2 ke level 3, gap tersebut berupa analisis

resiko saat ini, sudah tercantum ke dalam dokumen Profil Resiko, namun

skenario-skenario resiko TI belum terdokumentasi dengan baik dan belum

diperbarui secara rutin sehingga menyebabkan kurangnya persiapan-persiapan

terhadap resiko kejadian yang akan dialami dimasa yang akan datang dan sering

terjadinya insiden yang berulang. Maka rekomendasi yang diberikan adalah

Pusat Jaringan Komunikasi direkomendasikan harus mengelola dokumentasi

Rekomendasi

Membuat suatu dokumentasi mengenai karekteristik dari setiap insiden

keamanan yang terjadi baik di lingkungan internal perusahaan maupun

lingkungan eksternal perusahaan.

DSS05.07.01-WP2 Pencatatan Khusus Insiden Keamanan

Gaps

Sudah ada pencatatan yang khusus terkait insiden keamanan namun belum

terpusat dalam setiap insiden keamanan yang terjadi.

Rekomendasi

Membuat pencatatan khusus yang mencatat setiap insiden keamanan yang

terjadi di lingkungan internal dan eksternal perusahaan. Setiap insiden yang

terjadi diberikan ID pengenal yang unik.

191

dengan baik dan selalu memperbaiki dan memperbarui secara rutin skenario-

skenario resiko TI berdasarkan kejadian/insiden yang pernah terjadi di BMKG.








ekspektasi sebesar 1 level dari level 2 ke level 3, gap tersebut berupa sudah ada

peraturan SMKI pada pusat jaringan dan komunikasi BMKG dan

terdokumentasi dalam dokumen kebijakan keamanan informasi, namun belum

terimplimentasi dengan baik terutama pada manajemen permohonan/penentuan

hak akses terkait aset dan Data Center. Maka rekomendasi yang diberikan

adalah Pusat Jaringan Komunikasi direkomendasikan harus maksimal dalam





3. Pada proses DSS05, telah didapat nilai kapabilitas aktual 2.28 yang berada pada




192


manajemen hak akses pada dokumen kebijakan keamanan informasi namun

belum diterapkan ataupun ditinjau ulang, sebagai contoh masih adanya

fleksibilitas terhadap hak akses pihak ketiga pada saat jika terjadi insiden

ataupun maintenance, siapapun teknisi dapat masuk keruang Data Center

(bersama staff bidang terkait) jika berasal dari vendor yang telah bekerjasama

dengan BMKG. Maka rekomendasi yang diberikan adalah Pusat Jaringan

Komunikasi diharuskan melakukan atau mengevaluasi ulang terkait hak akses,

atau mungkin dapat menentukan ulang syarat-syarat penentuan pihak-pihak

yang berhak mendapatkan hak akses sesuai fungsinya. Hak akses dapat

dikerucutkan terutama terkait Data Center ataupun aset utama Pusat Jaringan

Komunikasi.

4.5.2 Pemetaan Proses COBIT dan ISO 27002

Sebelum penggunaan ISO 27002:2013 sebagai rekomendasi dan acuan

spesifik untuk Pusat Jaringan Komunikasi BMKG, perlu dipetakan antara Domain

COBIT 5 yang telah dipilih melalui penentuan Goal Cascading kedalam Klausul

ISO 27002:2013 yang paling relevan.

No COBIT 5 ISO 27002 Klausul Hasil

Pemetaan

1 APO12.01 A.5 Information Security

Policies

A.13 Secure

Communication and Data

Transfer

KLAUSUL 6

KLAUSUL 6

KLAUSUL 8

2 APO12.02

193

3 APO12.03 A.14.Secure Acquisition,

Development, and Support

of Information Systems

16.1 Management of

information security

incidents and

improvements

KLAUSUL 9

KLAUSUL 9

KLAUSUL 9

KLAUSUL 9

KLAUSUL 12

KLAUSUL 12

KLAUSUL 13

KLAUSUL 13

KLAUSUL 14

KLAUSUL 16

KLAUSUL 16

KLAUSUL 16

4 APO12.04

5 APO12.05

6 APO12.06

7 APO13.01 A.5 Information security

policy

A.6 Information Security

Organisation


Organisation

A.8 Asset Management



A.9 Access Controls and

Managing User Access



A.10 Cryptographic

Technology

A.10 Cryptographic

Technology

A.10 Cryptographic

Technology

A.10 Cryptographic

Technology

A.10 Cryptographic

Technology

A.10 Cryptographic

Technology

A.10 Cryptographic

Technology

A.11 Physical Security



8 APO13.02

9 APO13.03

10 DSSO5.01

11 DSSO5.02

12 DSSO5.03

194

13 DSSO5.04 A.11 Physical Security




A.12 Operational Security




A.13 Secure

Communications and Data

Transfer

A.13 Secure


Transfer

A.15 Security for Suppliers

and Third Parties


and Third Parties

14 DSSO5.05 A.6 Information Security

Organisation







A.10 Cryptographic

Technology

A.10 Cryptographic

Technology

15 DSSO5.06

16 DSSO5.07 A.15 Security for Suppliers

and Third Parties Tabel 4. 43 Mapping COBIT 5 to ISO 27002

Berikut adalah hasil pemetaan yang sudah dilakukan peneliti berdasarkan

ISACA dan jurnal Razieh Sheikhpour. Dari pemetaan diatas akan ditentukan apa

saja kontrol klausul yang relevan untuk digunakan sebagai rekomendasi perbaikan

TI pada Pusat Jaringan Komunikasi BMKG.

195

4.5.3 Perancangan Usulan Berdasarkan ISO 27002

Setelah peneliti melakukan analisis kesenjangan dan menemukan gap yang

terdapat pada Pusat Jaringan Komunikasi, peneliti harus menentukan rekomendasi

apa yang sesuai untuk melengkapi gap tersebut. Pada tahap ini peneliti membuat

rancangan usulan sesuai rekomendasi yaitu Panduan Implementasi Manajemen

Insiden, Rancangan Pengelolaan Hak Akses, dan SOP Ruang Data Center sebagai

pertimbangan pihak Pusat Jaringan Komunikasi dalam melakukan perbaikan.

4.5.3.1 Panduan Implementasi Manajemen Insiden

Usulan dari rekomendasi APO12 adalah Panduan Implementasi Manajemen

Insiden, usulan ini berisi prosedur-prosedur apa saja yang harus dilengkapi dan

langkah-langkah apa saja yang harus dijalankan dalam pendokumentasian insiden.

Manajemen insiden dan peningkatan keamanan informasi bertujuan untuk

memastikan pendekatan yang konsisten dan efektif untuk pengelolaan keamanan

informasi insiden, termasuk komunikasi tentang peristiwa dan kelemahan

keamanan.

Tanggung jawab dan prosedur manajemen harus ditetapkan untuk

memastikan proses yang cepat, efektif dan tanggapan tertib terhadap insiden

keamanan informasi.

Panduan implementasi

Pedoman berikut untuk tanggung jawab dan prosedur manajemen berkaitan

dengan informasi manajemen insiden keamanan harus dipertimbangkan:

196

b. Tanggung jawab manajemen harus ditetapkan untuk memastikan bahwa

prosedur berikut ini dikembangkan dan dikomunikasikan secara memadai

dalam organisasi:

1) prosedur untuk perencanaan dan persiapan respons insiden;

2) prosedur untuk memantau, mendeteksi, menganalisis dan melaporkan

peristiwa keamanan informasi dan insiden;

3) prosedur untuk kegiatan manajemen insiden pembajakan;

4) prosedur untuk menangani bukti forensik;

5) prosedur untuk penilaian dan keputusan tentang peristiwa keamanan

informasi dan penilaian kelemahan keamanan informasi;

6) prosedur untuk respons termasuk untuk eskalasi, pemulihan terkontrol dari

suatu insiden dan komunikasi dengan orang atau organisasi internal dan

eksternal;

c. Prosedur yang ditetapkan harus memastikan bahwa:

1) personel yang kompeten menangani masalah yang terkait dengan insiden

keamanan informasi di dalam organisasi;

2) titik kontak untuk deteksi dan pelaporan insiden keamanan diterapkan;

3) kontak yang sesuai dengan pihak berwenang, kelompok kepentingan

eksternal atau forum yang menangani masalah tersebut terkait dengan

insiden keamanan informasi dipertahankan;

d. Prosedur pelaporan harus mencakup:

1) menyiapkan formulir pelaporan acara keamanan informasi untuk

mendukung tindakan pelaporan dan untuk membantu orang yang

197

melaporkan dalam mengingat semua tindakan yang diperlukan jika terjadi

peristiwa keamanan informasi;

2) prosedur yang harus dilakukan jika terjadi peristiwa keamanan informasi

yaitu mencatat semua detail dengan segera, seperti jenis ketidakpatuhan

atau pelanggaran, kerusakan yang terjadi, dan segera melaporkan ke kontak

terkait dan hanya mengambil tindakan terkoordinasi;

3) referensi ke proses yang ditetapkan untuk melakukaan koordinasi dengan

karyawan yang berkomitmen bertanggungjawab dalam pelanggaran

keamanan;

4) mengusahakan proses feed back yang sesuai untuk memastikan bahwa

orang-orang yang melaporkan peristiwa keamanan informasi diberitahukan

hasilnya setelah masalah telah ditangani dan ditutup.

Tujuan untuk manajemen insiden keamanan informasi harus disepakati dengan

manajemen, dan harus dipastikan bahwa mereka yang bertanggung jawab atas

manajemen insiden keamanan informasi memahami prioritas organisasi untuk

menangani insiden keamanan informasi.

Aktivitas

Access

Management

Kontrol ISO

27002 Deskripsi Kontrol Aktifitas Penerapan

Incident

Identification

16.1.1

Responsibilitie

s and

procedures

Memastikan yang

dilaporkan

memang insiden

atau bukan

Melakukan

pengecekan terhadap

pelaporan yang

dilaporkan oleh user

apakah benar hal

tersebut adalah insiden

atau bukan.

16.1.1

Responsibilitie

Media pelaporan

yang digunakan

oleh pengguna

Memberikan formulir

pelaporan insiden

198

s and

procedures

berdasarkan media

yang digunakan.

Telepon: operator

penanganan insiden

akan menuliskannya

secara langsung

pada formulir

pendokumentasian

insiden.

Walk-in: pelapor

yang melaporkan

akan mengisi sendiri

formulir pelaporan

insiden.

Incident

Logging

16.1.2

Reporting

information

security events

Pencatatan

perekaman insiden

yang dialami

pelapor

(pencatatan log

insiden)

Memastikan pelapor

telah mengisi

formulir pelaporan

insiden.

Operator

penanganan insiden

menerima formulir

pelaporan insiden.

Melakukan

pencatatan pada

formulir

pendokumentasian

insiden.

Melakukan

pencatatan pada

formulir rekapitulasi

log insiden sebagai

dokumentasi insiden

yang nanti diberikan

kepada kasubid

sebagai laporan

berkala.

Incident

Categorisatio

n

16.1.4

Assessment of

and decision

on information

security events

Pengkategorisasia

n insiden Melakukan

pencatatan pada

formulir

pendokumentasian

insiden.

Melakukan

kategorisasi insiden

sesuai dengan

199

kategori yang

disediakan.

Prioritising

Incident

16.1.4

Assessment of

and decision

on information

security events

Memastikan

kategorisasi

insiden dilakukan

Melakukan

pencatatan pada

formulir

pendokumentasian

insiden.

Melakukan prioritas

insiden sesuai

dengan prioritas

yang telah

disediakan.

16.1.4

Assessment of

and decision

on information

security events

Memberi prioritas

insiden

Initial

Diagnosis

16.1.5

Response to

information

security

incidents

Melakukan

diagnosis awal

terhadap insiden

yang dilaporkan

Mencari diagnosis

awal dan solusi

sementara terhadap

insiden yang telah

dilaporkan.

Melakukan analisis

insiden dan

mencatatnya pada

formulir

pendokumentasian

insiden pada kolom

yang telah

disediakan.

Apabila operator

penanganan insiden

dapat menangani

insiden tersebut

sendiri maka tidak

perlu melakukan

kebijakan eskalasi.

Incident

Escalation

16.1.5

Response to

information

security

incidents

Melakukan

Functional

Escalation

Aktivitas ini

dilakukan apabila

operator penanganan

insiden tidak dapat

menemukan solusi

yang dilakukan pada

aktivitas inisial

diagnosis.

Mencatat pada

formulir

pendokumentasian

insiden pada kolom

yang telah

disediakan.

16.1.5

Response to

information

security

incidents

Melakukan

Hierarchical

Escalation

200

Investigation

and

Diagnosis,

Resolution

dan Recovery

16.1.5

Response to

information

security

incidents

Melakukan inisiasi

dari solusi

sementara dan

menyelesaikan

insiden dari solusi

yang telah

ditetapkan

Melakukan inisiasi

solusi sementara

untuk insiden

Menyelesaikan

insiden dengan

solusi yang telah

ditentukan

Mendokumentasika

n hasil insiden dan

solusi akhir pada

formulir

pendokumentasian

insiden

Incident

Closure

16.1.6

Learning from

information

security

incidents

Memberikan

laporan status

selesainya insiden

Melakukan

pendokumentasian

pada formulir

penutupan insiden

dan mengisi seluruh

konten yang telah

disediakan

Memberikan form

penutupan insiden

kepada user sebagai

bukti bahwa insiden

telah selesai dan

menutup kasus.

16.1.6

Learning from

information

security

incidents

Memastikan

pengguna puas

dengan

penanganan

insiden dan

menyetujui adanya

penutupan insiden


4.5.3.2 Rancangan Pengelolaan Hak Akses

Salah satu usulan rekomendasi terkait manajemen keamanan untuk Pusat

Jaringan Komunikasi adalah perbaikan pengelolaan hak akses. Berikut adalah

usulan perancangan pengelolaan hak akses yang dibuat peneliti berdasarkan ISO

27002 yang sudah disesuaikan dengan penelitian terdahulu dan sistem yang sudah

ada di Pusat Jaringan Komunikasi BMKG.

Aktivitas Access

Management

Kontrol ISO

27002

Deskripsi

Kontrol

Aktifitas Pada

Prosedur

Requesting

Access

9.2.1 User

registration and

de-registration

ID pengguna

yang bersifat

unique

Membuat akun

email pegawai

201

dengan domain

bmkg.go.id

Memastikan

pengguna

memiliki otorisasi

akses

Membuat akun

dengan

username dan

password awal

secara acak

Pencatatan

pengguna yang

melakukan

permintaan akses

Melakukan

pencatatan pada

formulir

perekaman

permintaan akses

Verification 6.1.2 Segregation

of duties

Melakukan

pengecekan

kesesuaian akses

terhadap masing-

masing actor

Melakukan

peninjauan

terhadap

kesesuaian akses

masing-masing

actor dan rolenya

dari daftar acuan

role

Melindungi asset

informasi dari

akses yang tidak

terotorisasi

Memastikan

bahwa role dan

akses yang

dimiliki pegawai

telah sesuai

9.4.3 Password

management

system

Menjamin

kerahasiaan

password

Memastikan

password

pegawai telah

terenkripsi dan

tercatat dalam

database

9.2.4

Management of

secret

authentication

information of

users

Melakukan

pengecekan ID

pengguna dan

status pengguna

Melihat

kesesuaian

antara SK

pegawai dengan

akses yang

diberikan kepada

pegawai dengan

melihat database

identitas

pegawai

Melakukan

verifikasi dan

otentikasi ID

pengguna

Mengirimkan

link verifikasi

kepada email

pegawai sebagai

202

bukti bahwa

akses yang akan

diberikan sesuai

dengan identitas

pegawai

Providing Rights 9.2.4

Management of

secret

authentication

information of

users

Memastikan

pengguna

menyetujui

perjanjian

kerahasiaan

informasi

Memberikan

daftar kebijakan

terkait

manajemen

akses kepada

masing-masing

pegawai beserta

sanksi terkait

9.3.1 Use of

secret

authentication

information

Memastikan

pengguna

memahami hak

akses yang

diperolehnya

Memberikan

daftar modul

yang dapat

diakses serta

yang tidak dapat

diakses kepada

masing-masing

pegawai

Pencatatan

pengguna yang

telah diberikan

akses

Melakukan

pencatatan pada

formulir

perekaman

pemberi akses

9.4.3 Password

management

system

Memastikan

pengguna

memahami aturan

mengenai

manajemen

password

Memberikan

daftar acuan

kepada pegawai

mengenai

kebijakan dalam

penggantian

password dan

konten password

yang sesuai

dengan standard

acuan

9.2.2 User access

provisioning

Memastikan

pengguna

memahami

kebijakan terkait

layanan akses

Memberikan

daftar acuan

mengenai

layanan akses

yang dapat

diakses dari

jaringan umum

maupun khusus

203

Monitoring

Identity Status

9.1.1 Access

control policy

Melakukan

pengecekan

kesesuaian akses

pengguna

berdasarkan

kebijakan kontrol

akses

Memastikan

akses pegawai

sesuai dengan

kontrol-kontrol

dalam acuan

9.2.5 Review of

user access rights

Melakukan

peninjauan ulang

terhadap hak

akses pengguna

secara berkala

Melakukan

pengecekan

akses pegawai

secara berkala

Melakukan

pencatatan status

pegawai dalam

proses penilaian

tes perilaku kerja

Mencatat hasil

pemantauan

status identitas

dalam formulir

Pencatatan

perubahan

identitas status

pengguna

Melakukan

pencatatan pada

formulir

pemantauan

status identitas

pengguna

Removing or

Restricting

Rights

9.2.6 Removal or

adjustment of

access rights

Memastikan hak

akses telah

dihapus atau

dibatasi sesaat

setelah kontrak

benar-benar

selesai

Melakukan

perubahan role

berdasarkan SK

pegawai terkait

Melakukan

pengecekan

perubahan role

sesuai dengan

status identitas

pegawai

Pencatatan

penghapusan

maupun

pembatasan akses

pengguna

Melakukan

pencatatan pada

formulir

perekaman

penghapusan

maupun

pembatasan

akses

204

9.4.5 Access

control to

program source

code

Memastikan

kontrol akses

berdasarkan read,

write, delete dan

execute

Memastikan

bahwa role dan

akses yang

dimiliki pegawai

telah selesai

Melakukan

pengecekan

perubahan role

sesuai dengan

status identitas

pegawai

Logging and

Tracking Access

9.4.2 Secure log-

on procedures

Memastikan

kesesuaian

pengguna

Melakukan

pengecekan

username dan

password

pegawai ketika

mengakses dan

memberikan

informasi error

apabila terdapat

ketidak sesuaian

Menampilkan

informasi

warning yang

menyatakan

bahwa computer

tersebut hanya

dapat diakses

oleh pengguna

yang terotorisasi

Melakukan

tindakan apabila

terdapat laporan

permasalahan

akses yang tidak

sesuai

Melakukan

pengecekan log

aktivitas

pegawai

Melakukan

penelusuran

terhadap akses

yang

mencurigakan

dengan teknologi

terkait

Pencatatan

perekaman

permasalahan

akses pengguna

Melakukan

pencatatan pada

formulir

perekaman

permasalahan

akses apabila

terdapat

205

permasalahan

akses Tabel 4. 45 Penyesuaian Aktifitas Pengelolaan Hak Akses dengan Control ISO 27002

Berikut adalah usulan alur permohonan hak akses sesuai dengan ISO 27002

yang harus dilakukan oleh Pusat Jaringan Komunikasi BMKG.

206

Gambar 4. 11 Rancangan Rekomendasi Alur Permohonan Hak Akses

Pemohon Admin Kasubid Operasional TI Perlengkapan

Waktu Output

1 Pemohon

mengajukan

permohonan hak

akses kepada admin

terkait (Staf

Fungsional IT

Support)

N/A

2 Admin bertanya

apakah pemohon

baru mengajukan

permohonan akses

atau pemohon sudah

memiliki akses

namun ingin

menambah akses

atau menghapus

akses

N/A

3 Pemohon mengisi

formulir registrasi

berupa data lengkap

sesuai data SK

Pegawai

Formulir

Registrasi

N/A

4 Pemohon mengisi

formulir

permohonan hak

akses berupa

penjelasan secara

terperinci hak akses

yang dimohon dan

untuk apa hak akses

tersebut

Formulir

Permohonan

Hak Akses

N/A

5 admin (Staf

Fungsional IT

Support) melakukan

peninjauan terkait

kesesuaian data

pemohon.

Formulir

Registrasi

N/A

6 admin akan

melakukan

pengklasifikasian

sesuai dengan

kepentingan dan

kebutuhan pemohon

Formulir

Permohonan

Hak Akses

N/A

7 Kasubid Operasional

TI menerima data

pemohon yang telah

ditinjau oleh admin

dan selanjutnya

dilakukan validasi

untuk memastikan

kesesuaian antara SK

dan tupoksi

pemohon dengan

akses yang diberikan

kepada pemohon.

Formulir

Kunjungan ke

Ruang Server

N/A

8 Setelah dianggap

layak dan sesuai,

Kasubid Operasional

TI memberikan

persetujuan kepada

admin untuk

pemberian hak akses

Formulir

Permohonan

Hak Akses

N/A

9 admin mengirimkan

link konfirmasi

permohonan hak

akses ke email

N/A Link Verifikasi

10 setelah mengklik link

konfirmasi, pemohon

menerima ID dan

Password sementara

serta daftar

kebijakan terkait

manajemen akses

dan daftar modul

yang dapat diakses

N/A ID, Pasword

Sementara,

Kebijakan

Manajemen

Akses, dan Daftar

Modul Akses

NO URAIAN KEGIATAN

PELAKSANA Mutu Baku

Keterangan

Mulai

Selesai

Ya

Tidak

Tidak

Ya

Tidak

Ya

207

1. Pemohon mengajukan permohonan hak akses kepada admin terkait (Staf

Fungsional IT Support).

2. Admin bertanya apakah pemohon baru mengajukan permohonan akses atau

pemohon sudah memiliki akses namun ingin menambah akses atau menghapus

akses.

3. Jika pemohon baru mengajukan permohonan hak akses, pemohon diharuskan

mengisi formulir registrasi berupa data lengkap sesuai data SK Pegawai.

4. Jika pemohon yang sudah memiliki hak akses namun ingin menambah akses

atau menghapus akses, pemohon bisa melewati poin 3 dan langsung mengisi

formulir permohonan hak akses berupa penjelasan secara terperinci hak akses

yang dimohon dan untuk apa hak akses tersebut.

5. Selanjutnya admin (Staf Fungsional IT Support) melakukan peninjauan terkait

kesesuaian data pemohon pada formulir registrasi. Jika terjadi ketidaksesuaian,

pemohon diharuskan memperbaiki dan memastikan kesesuaian data dengan

kembali melakukan permohonan ulang sesuai prosedur dari tahap 1.

6. Jika data sesuai, admin akan melakukan pengklasifikasian sesuai dengan

kepentingan dan kebutuhan pemohon.

7. Selanjutnya Kasubid Operasional TI menerima data pemohon yang telah

ditinjau oleh admin dan selanjutnya dilakukan validasi untuk memastikan

kesesuaian antara SK dan tupoksi pemohon dengan akses yang diberikan

kepada pemohon. Jika terjadi ketidaksesuaian, pemohon dapat memperbaiki

dan memastikan kesesuaian permohonan akses terhadap tupoksi pemohon

dengan kembali ke tahap 4.

208

8. Setelah dianggap layak dan sesuai, Kasubid Operasional TI memberikan

persetujuan kepada admin untuk pemberian hak akses.

9. admin mengirimkan link konfirmasi permohonan hak akses ke email.

10. setelah mengklik link konfirmasi, pemohon menerima ID dan Password

sementara serta daftar kebijakan terkait manajemen akses dan daftar modul

yang dapat diakses.

4.5.3.3 SOP Ruang Data Center

Usulan dari rekomendasi berikutnya terkait manajemen keamanan untuk

Pusat Jaringan Komunikasi adalah SOP Ruang Data Center. Berikut adalah usulan

perancangan SOP Ruang Data Center yang dibuat peneliti berdasarkan ISO 27002

yang sudah disesuaikan dengan penelitian terdahulu dan sistem yang sudah ada di

Pusat Jaringan Komunikasi BMKG.

209

STANDARD OPERATING PROCEDURE

(SOP)

A. Tujuan Umum

1. Memberikan suatu acuan dan pedoman bagi Bidang terkait mengenai

segala hal yang berkaitan dengan Data Center.

2. Semua pegawai diharapkan untuk mematuhi Standard Operating

Procedure ini agar memaksimalkan tingkat keamanan informasi pada

Pusat Jaringan Komunikasi. Ketidakpatuhan terhadap Standard

Operating Procedure ini akan berakibat kepada tindakan disiplin atau

sanksi sebagaimana mestinya.

3. Setiap pegawai diharapkan bisa ikut pro-aktif memberikan masukan dan

usulan perbaikan terhadap Standard Operating Procedure ini agar

tercapai suatu prosedur yang efektif dan efisien.

B. Ruang Lingkup

Ruang lingkup kegiatan dalam Standard Operating Procedure ini meliputi

seluruh hal terkait dengan Data Center Pusat Jaringan Komunikasi BMKG.

C. Penanggung Jawab & Departemen Terkait

Penanggung jawab atas pelaksanaan prosedur ini adalah Kasubid

Operasional Teknologi Informasi pada Pusat Jaringan Komunikasi BMKG.

D. Waktu Pelaksanaan

Prosedur ini dilaksanakan kapanpun dibutuhkan hal-hal yang berkaitan

dengan kunjungan Ruang Data Center.

210

E. Distribusi Prosedur

Standard Operating Procedure ini di distribusikan kepada Unit Kerja dan

User Penanggung jawab terkait.

F. Kebijakan

1. Kebijakan Umum

1.1 Kebijakan dan Prosedur ini akan dikaji ulang jika terjadi kekurangan

melalui persetujuan penanggung jawab.

1.2 Kasubid Operasional Teknologi Informasi bertanggung jawab

dalam hal:

1.2.1 Mengawasi dan memastikan bahwa implementasi prosedur

yang dirancang telah dijalankan secara konsisten.

1.2.2 Memberikan masukan kepada manajemen setiap kali ada

usulan perubahan dalam rangka perbaikan proses kerja.

2. Ketentuan Data Center

2.1 Semua yang berkaitan dengan Data Center harus sesuai dengan

Standard Operating Procedure (SOP) ini.

2.2 Data Center harus selalu dalam keadaan terkunci dengan

menggunakan security lock system. Jika terjadi trouble shoot pada

security lock system maka harus dilakukan penguncian secara

manual.

2.3 Akses masuk kedalam Data Center hanya dipegang oleh pegawai

berwenang yang memiliki akses khusus dan sesuai dengan

tupoksinya, yaitu:

211

2.3.1 Kepala Sub Bidang Operasional Teknologi Informasi

2.3.2 Staf Fungsional IT Support

2.3.3 Staf Fungsional Teknisi Server

2.4 Bagi siapapun (selain user pada point 2.3) yang hendak masuk ke

Data Center, maka harus mengisi form visitor (visitor log) dan

didampingi oleh user pemegang akses.

2.5 Visitor Log harus direview dan ditandatangani oleh Kasubid

Operasional Teknologi Informasi pada setiap akhir bulan.

2.6 Akses masuk ke dalam Data Center tidak boleh dipindah tangankan

ataupun bertambah tanpa melalui tahapan permohonan akses yang

sudah ditetapkan.

2.7 Data Center harus dilengkapi dengan Air Conditioner (AC) yang

beroperasi selama 24 jam dengan suhu maksimal 18-20 derajat

celcius. Jika terjadi pemadaman listrik minimal 15 menit, maka IT

Support atau Teknisi penanggungjawab harus melakukan koordinasi

dengan teknisi listrik untuk dilakukan back up tenaga listrik.

Sebagai pelengkap untuk SOP Ruang Data Center poin 2.4, berikut adalah alur

bagaimana untuk pihak yang berkepentingan dari luar dapat mengunjungi Ruang

Data Center.

212

Gambar 4. 12 Rancangan Rekomendasi Alur Kunjungan Data Center

213

4.5.4 Implikasi

Pada tahap ini peneliti akan menjelaskan implikasi terhadap penelitian ini,

adapun beberapa penjabaran sebagai berikut :

1. Implikasi dari hasil penelitian ini diharapkan Pusat Jaringan Komunikasi

BMKG dapat menjadikan usulan yang dirancang oleh peneliti sebagai

pertimbangan dalam penerapan manajemen insiden dan manajemen kontrol hak

akses, karena peneliti merancang berdasarkan acuan framework ISO 27002

yang berhubungan dengan penerapan framework sebelumnya yaitu ISO 27001

dan juga diharapkan dapat membantu mengatasi permasalahan yang saat ini

tengah dialami oleh Pusat Jaringan Komunikasi BMKG.

2. Implikasi selanjutnya adalah diharapkan penelitian ini dapat dijadikan referensi

peneliti-peneliti selanjutnya yang ingin mengevaluasi tata kelola keamanan

informasi menggunakan framework COBIT 5 dan ISO 27002.

3. Implikasi yang terakhir adalah diharapkan Pusat Jaringan Komunikasi juga

dapat menjadikan usulan perancangan ini sebagai tindakan preventif atau

tindakan pencegahan terhadap resiko kebocoran data dan mengurangi kejadian

yang sama terulang berkali-kali.

Dari ketiga poin diatas tentang implikasi penelitian ini, dapat ditarik kesimpulan

bahwa peneliti mengharapkan agar usulan perancangan yang dilakukan peneliti

dapat menjadi pertimbangan penerapan tata kelola TI dan diharapkan hasil dari

penelitian ini dapat membantu tindakan preventif yang diambil sebagai salah satu

tindakan pencegahan bocornya data Pusat Jaringan Komunikasi.

214

4.5.5 Perbandingan Penelitian Terdahulu



tersebut menggunakan COBIT 4 dan ISO 27002:2005 untuk mengevaluasi tata

kelola keamanan perusahaan dengan memetakan domain masing-masing

framework dan menghasilkan sebuah rekomendasi usulan berupa perancangan yang

diperlukan masing-masing peneliti. Pada penelitian (Gupta et al., 2013), penelitian

menambahkan framework keamanan DSCI untuk digabungkan dengan ISO / IEC

27002: 2005 dan COBIT 4.1. peneliti Gupta memberikan gambaran bahwa jika

kerangka kerja keamanan DSCI diikuti maka akan diketahui sejauh mana standar

lain dapat dicapai dan ini membantu meminimalkan biaya dan menghemat waktu.

Perbedaan dengan penelitian ini yaitu peneliti menggunakan framework COBIT

dan ISO 27002 terbaru yaitu COBIT 5 dan ISO 27002:2013 yang lebih lengkap dan

lebih baik. Serta lebih fleksibel dan sesuai dengan kebutuhan organisasi dimasa

sekarang.




melakukan evaluasi tata kelola TI, pada penelitian (Nastase Pavel, 2009) dengan

(Selo Adipta, 2016), dan (Sudhista, 2015), penelitian (Nastase Pavel, 2009)

menggunakan COBIT 4 dan hanya menghasilkan identifikasi penggunaan standar

dan praktik terbaik TI serta prioritas proses-proses sesuai dengan rencana aksi dan

merencanakan langkah-langkah pendekatan implementasi sedangkan penelitian

215

(Selo Adipta, 2016), dan (Sudhista, 2015) sudah menggunakan framework COBIT

terbaru yaitu COBIT 5 namun hanya menghasilkan penjelasan perbedaan dan

persamaan yang terdapat pada model framework COBIT, ITIL, dan ISO/IEC 27002

yang diintergrasikan. Sedangkan perbedaan dengan penelitian ini adalah, peneliti

sama-sama sudah menggunakan framework COBIT dan ISO 27002 terbaru namun

pada penelitian ini peneliti sudah menerapkan pemetaan dan juga sudah melakukan

evaluasi penghitungan Capability Level sesuai domain yang relevan hingga

mendapatkan hasil berupa perancangan usulan untuk rekomendasi perbaikan

menggunakan ISO 27002.

4.5.6 Limited Of Study

Pada tahap ini peneliti akan menjelaskan tentang keterbatasan yang dialami

dalam penelitian Evaluasi Tata Kelola Keamanan Teknologi Informasi pada Pusat

Jaringan Komunikasi. Berikut adalah beberapa perinciannya :

1. Dalam penelitian ini peneliti mengalami keterbatasan pada ruang lingkup dan

waktu penelitian, peneliti tidak memiliki cukup waktu untuk memaksimalkan

pemahaman terhadap pembuatan alur dan SOP, peneliti hanya memastikan

pemahaman terhadap COBIT 5 dan ISO 27002 terutama terkait keamanan

kontrol hak akses dan manajemen insiden. Peneliti melakukan perancangan dan

pembuatan SOP berdasarkan jurnal terkait yang menjadi literatur peneliti dalam

melakukan penelitian.

2. Keterbatasan yang dialami peneliti selanjutnya adalah peneliti hanya

menggunakan framework COBIT 5 untuk tahapan penentuan Goal Cascade dan

penghitungan Capability Level serta hanya berfokus pada 3 domain terpilih dari

216

5 domain terkait yaitu APO12 (Manage Risk), APO13 (Manage Security), dan

DSS05 (Manage Security Services). Selanjutnya peneliti hanya berfokus

menggunakan ISO 27002 sebagai acuan perancangan usulan dengan beberapa

kontrol terkait yang sudah dipilih berdasarkan rekomendasi yang telah

ditetapkan.

3. Keterbatasan selanjutnya adalah pada perancangan usulan, peneliti hanya

berfokus menggunakan framework ISO 27002 sebagai acuan karena framework

tersebut mencakup segala sesuatu yang berhubungan dengan teknis penerapan

keamanan tata kelola terutama kontrol akses, sedangkan kurang dalam

membahas manajemen insiden. Framework yang membahas secara mendalam

tentang resiko dan insiden adalah ISO 31000 yang diharapkan dapat diterapkan

oleh peneliti selanjutnya.

Dari ketiga poin diatas tentang keterbatasan yang peneliti alami dalam penelitian

ini, kesimpulannya adalah peneliti mengalami keterbatasan terhadap pemahaman

tentang perancangan manajemen insiden dan SOP terkait rekomendasi, serta

peneliti hanya berfokus pada 2 framework yang dibutuhkan untuk penelitian ini

yaitu COBIT 5 dan ISO 27002.

Inti dan rangkuman dalam penelitian evaluasi tata kelola keamanan

teknologi informasi ini adalah peneliti melakukan pengumpulan data sesuai

kebutuhan dan menggunakan 2 framework yaitu COBIT 5 dan ISO 27002. Dengan

menggunakan metode penerapan COBIT Lifecycle, peneliti berharap sudah

maksimal dalam melakukan proses evaluasi tata kelola keamanan teknologi

informasi, dan rekomendasi yang diusulkan ini dapat diterapkan di Pusat Jaringan

217

Komunikasi BMKG untuk mendukung tindakan preventif yang saat ini sedang

dilakukan. Penelitian ini menghasilkan usulan perancangan yang bisa membantu

Pusat Jaringan Komunikasi dalam mengelola Hak Akses dan Manajemen Insiden

sehingga dapat meminimalisir kejadian berupa kebocoran data ataupun terjadinya

insiden yang berulang-ulang. Hal ini tentunya juga dapat membantu dalam

memaksimalkan keamanan terhadap Data Center Pusat Jaringan Komunikasi

BMKG. Namun untuk membahas lebih dalam terkait manajemen insiden dan

manajemen resiko, ataupun terkait keamanan informasi yang lebih baik. Peneliti

dapat melakukan evaluasi tata kelola keamanan teknologi informasi dengan

menggunakan COBIT, ISO dan ITIL, terutama ISO 31000 yang menjelaskan lebih

mendalam tentang penerapan manajemen resiko dan insiden.

218

BAB V

PENUTUP

5.1 Kesimpulan

Berdasarkan hasil analisis yang telah diuraikan pada pembahasan

sebelumnya, berikut adalah simpulan yang dapat peneliti berikan dalam bab ini.







products telah ditetapkan, dikontrol dan dipelihara, namun harus dipastikan

bahwa performa proses yang berjalan telah mendukung pencapaian tujuan Pusat

Jaringan Komunikasi BMKG, adanya sistem layanan TI yang masih bermasalah

akan dilakukan proses perbaikan untuk menghasilkan layanan TI yang baik

ketika para stakeholder menggunakannya dengan batasan untuk mencapai


2. Hasil dari penelitian ini menunjukan capability level pada Proses APO12

(Manage Risk), APO13 (Manage Security), DSS05 (Manage Security Services)

di Pusat Jaringan Komunikasi saat ini berada pada level 2 (managed process)

dengan tingkat kapabilitas yang diharapkan berada di level 3 (established

process) dengan masing-masing gap sebesar 1,13, 1,10 dan 0,97. Pusat Jaringan

219

Komunikasi diharuskan untuk melengkapi Evidence atau dokumen-dokumen

terkait untuk dapat naik ke level 3.

3. Penelitian ini memberikan rekomendasi terkait keamanan TI berdasarkan

domain APO12, APO13 dan DSS05 pada framework COBIT 5.

4. Penelitian ini menghasilkan usulan perancangan pengelolaan manajemen

keamanan yang dibutuhkan berdasarkan dengan ISO 27002 yaitu Panduan

Implementasi Manajemen Insiden, Rancangan Pengelolaan Hak Akses,

SOP Ruang Data Center yang bisa digunakan sebagai acuan penerapan

ataupun pembuatan dokumen terkait.

5.2 Saran

Berdasarkan simpulan yang dijelaskan di atas, pada bab ini peneliti

memberikan saran yang dapat menjadi pertimbangan maupun bahan evaluasi bagi

Pusat Jaringan Komunikasi yakni sebagai berikut:

1. Pusat Jaringan Komunikasi disarankan untuk lebih serius memperhatikan dalam

mengelola masalah, pendokumentasian resiko dan insiden khususnya terkait

hak akses data maupun infrastruktur yang dapat menyebabkan kerugian.

2. Pusat Jaringan Komunikasi dianjurkan untuk membuat dokumentasi setelah

melaksanakan kegiatan yang berhubungan dengan data penting ataupun

infrastuktur, dokumentasi ini sangat berguna sebagai bahan evaluasi keamanan

dimasa yang akan datang.

3. Pusat Jaringan Komunikasi diharapkan dapat mempertimbangkan untuk

melakukan penerapan usulan dari rekomendasi proses yang diajukan peneliti.

220

4. Bagi peneliti selanjutnya yang melakukan evaluasi tata kelola keamanan

teknologi informasi di Pusat Jaringan Komunikasi BMKG dapat memilih

domain proses yang berbeda dalam COBIT 5 dan ISO 27002, menambahkan

ISO 31000 yang membahas terperinci mengenai manajemen resiko dan insiden

atau menggunakan framework lain seperti ITIL dan menggunakan skala yang

berbeda seperti Guttman.

221

DAFTAR PUSTAKA

Afandi, H. A. D. (2015). Audit Kemanan Informasi Menggunakan Iso 27002 Pada

Data Center Pt.Gigipatra Multimedia. Jurnal TIM Darmajaya, 01(02), 175–

191. Retrieved from

http://www.scirp.org/journal/PaperDownload.aspx?DOI=10.4236/jis.2013.

42011

Ariyani, D. N. W. S. (2013). Audit Teknologi Informasi dengan Kerangka Kerja

ISO 27002 dan COBIT 5 (Studi Kasus: Badan Kepegawaian daerah

Kabupaten Gianyar). 84, 487–492. Retrieved from

http://ir.obihiro.ac.jp/dspace/handle/10322/3933

Gupta, W., Dwivedi, S., & Chaurasiya, V. K. (2013). Available Online at

www.jgrcs.info MAPPING OF DATA SECURITY COUNCIL OF INDIA

SECURITY FRAMEWORK. 4(4), 147–154.

Humphreys, E. (2008). Information security management standards: Compliance,

governance and risk management. Information Security Technical Report,

13(4), 247–255. https://doi.org/10.1016/j.istr.2008.10.010

Iso, C. D. A. N., R, L. F., Setiawan, B., A, A. P., Informasi, J. S., Informasi, F. T.,

… Indonesia, S. (2014). Oajis_21_1379. (September).

John Walhoff. (2005). Combining COBIT, ISO/IEC 27002 and ITIL V3.

Komunikasi, P. J., Meteorologi, B., & Dan, K. (2015). ( IT SECURITY ).

Meteorologi, K. B., & Geofisika, D. A. N. (2009). PERKA BMKG.

Mughoffar, F., Ali, A. H. N., & Herdiyanti, A. (2013). Penyusunan template tata

kelola keamanan informasi berbasis iso/iec 27001:2005 dan patuh terhadap

cobit 5 management processes apo13 manage security. JURNAL TEKNIK

POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print), 2(1), 1–

6.

Nastase Pavel, N. F. (2009). Challenges Generated by the implemention of the it

standards COBIT, ITIL.

Putra, S. J. (2019). The process capability model for governance of the Election

Organizer Ethics Court system. 3(2), 93–98.

https://doi.org/10.15575/join.v3i2.266

Sheikhpour, R. (2016). An approach to map COBIT processes to ISO / IEC 27001

information security management controls An Approach to Map COBIT

Processes to ISO / IEC 27001 Information Security Management Controls.

(January 2012). Retrieved from

https://www.scopus.com/inward/record.uri?eid=2-s2.0-

84864750300&partnerID=40&md5=08047bea7ac58f09344cf97a19d7ed6

222

0

Sudhista. (2015). Evaluasi dan Rekomendasi Perbaikan Layanan InfrastrukturTI di

PT. FINNET INDONESIA Berdasarkan COBIT 5, ITIL 2011 dan ISO/IEC

15504.

The Ministry of Communication and Information Technology of the Republic of

Indonesia. (2017). Ministerial Regulation No.

41/PER/M.KOMINFO/11/2007 on the General Guidelines for National

Information and Communications Technology Governance.

Adikara, F. (2013). Implementasi Tata Kelola Teknologi Informasi Perguruan

Tinggi Berdasarkan COBIT 5 Pada Laboratorium Rekayasa Perangkat

Lunak Universitas Esa Unggul. Seminar Nasional Sistem Informasi

Indonesia, 2-4.

Arikunto, S. (2013). Manajemen Penelitian. Jakarta: Rineka Cipta.

Budiarta, I. S. (2016). Information System Development using Cobit 5 Framework.

international journal of engineering and emerging technology, 5.

Budiman, A. R. (2014). Kapita Selekta Kuesioner. Jakarta: Salemba Medika.

Ciptaningrum, D., Nugroho, E., & Adhipta, D. (2015). Audit Keamanan Sistem

Informasi Pada Kantor Pemerintah Kota Yogyakarta Menggunakan

COBIT 5. Seminar Nasional Teknologi Informasi dan Komunikasi.

Fauziah. (2010). Pengantar Teknologi Informasi. Bandung: CV Muara Indah.

Fitroh, Siregar, S., & Rustamaji, E. (2017). Determining Evaluated Domain

Process through Problem Identification using COBIT 5 Framework. 5th

International Conference on Cyber and IT Service Management (CITSM),

1-6.

Guritno, S. (2011). Theory and Application of IT Research: Metodologi Penelitian

Teknologi Informasi. Yogyakarta: Andi.

Hartono, J., & Abdillah, W. (2011). Sistem Tata Kelola Teknologi Informasi.

Yogyakarta: ANDI.

Hidayat, R. M. (2016). Usulan Tata Kelola Teknologi Informasi Berdasarkan

COBIT 5 Pada PT Bumi Technology Pratama (Fokus APO10, BAI04, dan

DSS03). Jakarta: UIN Syarif Hidayatullah.

Indonesia, P. R. (1970). Undang-Undang Nomor 1 tahun 1970. Keselamatan

Kerja.

Indrajit, R. (2014). Manajemen Organisasi dan Tata Kelola Teknologi Informasi.

Yogyakarta: Graha Ilmu.

223

SO I BSI (2013). Standards Publication Information technology - Security

techniques - Code of practice for information security control, UK.

ISACA. (2012). COBIT 5 Enabling Process. IT Governance Institute.

ITGI. (2007). IT Governance Implementation Guide 2nd. IT Governance Institute.

Jogiyanto, H., & Abdillah, W. (2014). Sistem Tatakelola Teknologi Informasi.

Yogyakarta: ANDI.

Laudon, K. C., & Jane , P. L. (2014). Management Information Systems:

Managing the Digital Firm, Thirteenth Edition. Pearson Education: United

States Of America.

Laudon, Kenneth, C., & Jane , P. L. (2014). Management Information Systems:

Managing the Digital Firm, Thirteenth Edition. Pearson Educated: United

States of America.

Magdalena, L. (2011). Analisis Problem Management pada IT Helpdesk dengan

inplementasi ITSM dan SLA (Studi Kasus: Citigrup Indonesia). JURNAL

DIGIT. Vol. 1, No 2, 97-112.

Mardjiono, D. E. (2009). Analisis Pengaruh Kepemimpinan, Pemanfaatan TI dan

Implementasi Struktur Organisasi yang Terdesentralisasi Terhadap Kinerja

Organisasi. Tesis Universitas Padjajaran.

Meng-Lai Yin, P. D. (2007). The Importance of Maintenance Planning - A Case

Study. IEEE, 484.

Neuman, W. L. (2013). Metodologi Penelitian Sosial: Pendekatan kualitatif dan

kuantitatif. Jakarta: PT. Indeks.

Nugroho, E. (2008). Sistem Informasi Manajemen: Konsep, Aplikasi dan

Perkembangan. Yogyakarta: ANDI.

Nugroho, H. (2014). Conceptual Model Of IT Governance For Higher Education

Based on COBIT 5 Framework. Journal od Theoritical and Applied

Information Technology.

Pearlson, K., & Saunders, C. (2004). Managing and Using Information Systems:

A Strategic Approach. 2nd Edition New Jersey: John Wiley and Sons.

Prasetya, F. (2014). Usulan Tata Kelola Teknologi Informasi Pada Rumah Sakit

Pusat Pertamina Menggunakan Framework COBIT 5 Fokus Pada Proses

Manage Innovation (APO04). Jakarta: UIN Syarif Hidayatullah Jakarta.

Rahmawati, D. (2016). Aplikasi Pendeteksi Fraud Pada Event Log Proses Bisnis

Pengadaan Barang dan Jasa Menggunakan Algoritma Heuristic Miner.

Jurusan Teknik Informatika, Xi.

224

Ramadhani, S. P., Herdiyanti, A., & Astuti, H. M. (2017). Pembuatan Perangkat

Audit Berbasis Risiko Berdasarkan COBIT 5 dan Service Standard Pada

Services Desk. Open Acces Journal of Information Systems, 57-70.

Sahbani, S. (2016). Evaluasi Tata Kelola Teknologi Informasi Berdasarkan

Framework COBIT 5 Pada Pusat Informasi dan Hubungan Masyarakat

Kementerian Agama RI (Fokus EDM03, APO01, MEA02). Jakarta: UIN

Syarif Hidayatullah.

Santoso, T. Y. (2017). Evaluasi Tata Kelola Teknologi Informasi Pada Badan

Informasi Geospasial (BIG) dengan Menggunakan Kerangka Kerja COBIT

5. Sistem Informasi Uin Syarif Hidayatullah Jakarta.

Subagyo, P. J. (2015). Metode Penelitian dalam Teori dan Praktik. Jakarta: Rineka

Cipta.

Surendro, K. (2009). Implementasi Tata Kelola Teknologi Informasi. Bandung.

Sutarman. (2009). Pengantar Teknologi Informasi. Jakarta: Bumi Aksara.

Tantra, R. (2012). Manajemen Proyek Sistem Informasi. Yogyakarta: ANDI.

Wibowo, S. A., Selo, & Adipta, D. (2016). Kombinasi Framework COBIT 5, ITIL

dan ISO 27002 Untuk Membangun Model Tata Kelola Teknologi

Informasi di Perguruan Tinggi. Seminar Nasional Teknologi Informasi dan

Komunikasi , 122-128.

Wulan, A. R. (2010). Pengertian dan Esensi Konsep Evaluasi, Asesmen, Tes dan

Pengukuran. FPMIPA Universitas Pendidikan Indonesia.

Sheikhpour, Razieh. (2016). An approach to map COBIT processes to ISO/IEC

27001 information security management controls. Yazd University, Iran.

Dr. Ir. Ni Wayan Sri Ariyani, MM. (2015). Audit Teknologi Informasi dengan

Kerangka Kerja ISO 27002 dan COBIT 5 (Studi Kasus: Badan

Kepegawaian Kabupaten Gianyar).

Gupta Watika, Dwivedi Shancita, Dr. Vijay Kumar Chaurasiya. (2013). MAPPING

OF DATA SECURITY COUNCIL OF INDIA SECURITY

FRAMEWORK WITH ISO/IEC 27002:2005 AND COBIT 4.1. India.

Mei Lenawati, Wing Wahyu, & Armadyah. (2017). Tata Kelola Keamanan

Informasi Pada PDAM Menggunakan ISO/IEC 27001:2013 Dan Cobit 5.

INB. (2013). ISO/IEC 27001 Information technology – Security techniques -

Information security management systems – Requirements. SWISS.

Faridl Mughoffar, Ir. Ahmad Holil Noor Ali, M.Kom, dan Anisah Herdiyanti,

S.Kom, M.Sc (2013). PENYUSUNAN TEMPLATE TATA KELOLA

KEAMANAN INFORMASI BERBASIS ISO/IEC 27001:2005 DAN

225

PATUH TERHADAP COBIT 5 MANAGEMENT PROCESSES APO13

MANAGE SECURITY.

226

LAMPIRAN – LAMPIRAN

227

Lampiran 1 Kuesioner Pra-Penelitian

230

Lampiran 2 Keterangan Level Kuisioner

PROCESS CAPABILITY LEVEL

Level 0 : Incomplete

process

: Pada level ini proses tidak diimplementasikan atau

gagal untuk mencapai tujuan dari proses. Ada

sedikit atau tidak ada bukti dari pencapaian

sistematis setiap tujuan proses.

Level 1 : Performed

process

: Pada tahap ini organisasi sudah

mengimplementasikan namun belum tercapainnya

ujuan.

Level 2 : Managed

process

: Proses pada level 1 diimplementasi ke dalam

sebuah pengaturan proses (direncanakan,

dimonitor, dan dievaluasi) dan produk kerja proses

tersebut dijalanlan, dikontrol, dan dikelola secara

tepat.

Level 3 : Established

process

: Proses pada level 2 diimplementasi menggunakan

proses yang terdefinisi dan mampu mencapai hasil

proses.

Level 4 : Predictable

process

: Proses pada level 3 dioperasikan dengan batasan-

batasan agar mampu meraih harapan dari proses

tersebut.

Level 5 : Optimizing

process

: Proses pada level 4 secara berkelanjutan

ditingkatkan untuk memenuhi tujuan bisnis

organisasi saat ini dan masa yang akan datang.

A : Proses tidak dilaksanakan atau gagal untuk mencapai tujuan.

B : Proses diimplementasikan tetapi belum mencapai tujuan.

C : Proses diimplementasikan tetapi masih direncanakan, dimonitor, dan

dievaluasi.

D : Proses telah diimplementasikan dan diharapkan mampu mencapai tujuan.

E : Proses dioperasikan dengan batasan-batasan dan mampu mencapai tujuan.

F : Proses ditingkatkan secara terus-menerus memenuhi tujuan bisnis

organisasi.

231

Lampiran 3 Kuisioner Penelitian I (Proses APO12)

KUESIONER 1

Analisa capability level pada proses APO12-Manage Risk (Mengelola Risiko)

Pusat Jaringan Komunikasi

Badan Meteorologi Klimatologi dan Geofisika

Kuesioner ini merupakan instrumen penelitian mahasiswa Program Studi Sistem

Informasi, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif

Hidayatullah Jakarta. Tujuan dari kuesioner ini adalah untuk memperoleh data dari

Badan Meteorologi Klimatologi dan Geofisika sebagai pihak yang terkait

khususnya pada bagian yang termasuk pada RACI COBIT 5 dalam APO12

(Manage Risk).

Kuesioner capability level ini dikembangkan untuk mengetahui tingkat kematangan

pada proses pengelolaan data baik untuk kondisi saat ini (as is), maupun untuk

kondisi yang diharapkan (to be), yang selanjutnya dapat dijadikan dasar yang cukup

untuk mengidentifikasi prioritas peningkatan (improvement).

Untuk mempermudah responden dalam menjawab, kuesioner ini didesain dalam

format pilihan ganda, yang terdiri dari beberapa pertanyaan. Pertanyaan-pertanyaan

tersebut dikelompokkan menurut atribut kematangan, dan pada setiap pertanyaan

memiliki 2 (dua) jawaban yang masing-masing mewakili kondisi terkini (as is) dan

kondisi yang diharapkan (to be). Masing-masing pertanyaan mempunyai 6 (enam)

pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut tertentu

pada proses pengelolaan konfigurasi. Pilihan tersebut terdiri dari a sampai f secara

berturut-turut yang merepresentasikan tingkat kematangan yang semakin

meningkat, yakni, a=0, b=1, c=2, d=3, e=4, dan f=5.

Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang

dianggap bisa mewakili kondisi kematangan baik yang mewakili kondisi saat ini

(as is) atau pun kondisi yang diharapkan (to be). Terkait dengan atribut kematangan

tertentu dalam proses pengelolaan data dengan memberikan tanda (√) pada tempat

yang tersedia. Dengan mengetahui posisi kematangan saat ini (as is) dan posisi yang

diharapkan (to be), selanjutnya akan dilakukan analisa yang diharapkan dapat

menjadi dasar dalam pendefinisian rancangan solusi untuk perbaikan dalam proses

pengelolaan konfigurasi.

Untuk kebutuhan di atas, diharapkan Bapak/Ibu sebagai responden untuk dapat

memberikan pilihan sebagai jawaban atas pertanyaan-pertanyaan yang diberikan

dalam kuesioner ini, untuk kemudian dapat diolah dalam penelitian ini.

232

Pengertian Proses:

APO12 adalah proses yang secara berkala menentukan, menilai, dan mengurangi

risiko penggunaan Teknologi Informasi (TI) agar tetap berada pada ambang batas

risiko penggunaan TI yang sudah ditetapkan oleh perusahaan.

Tujuan Proses:

1. Menggabungkan manajemen risiko penggunaan TI dengan Enterprise Risk

Management (ERM) secara keseluruhan.

2. Menyeimbangkan biaya dan keuntungan yang didapat dari risiko

penggunaan TI.

APO12.01 (Pengumpulan Data)

Menentukan dan mengumpulkan data yang relevan untuk mengefektifkan

identifikasi risiko terkait TI, analisis, dan pelaporan.

Aktivitas proses

Saat ini (As is) Yang diharapkan (To

be)

a b c d e f a b c d e f

Sejauh mana pengelolaan

sebuah metode untuk

pengumpulan,

penggolongan, dan

analisis data penggunaan

TI yang mencakup semua

kegiatan yang melibatkan

penggunaan TI.

Seperti apa tingkat

penyimpanan semua data,

baik dari lingkungan

internal atau pun eksternal

perusahaan yang dapat

memengaruhi manajemen

risiko TI.

Sejauh mana penelitian

terhadap semua rekam

jejak peristiwa yang terkait

risiko dan

kehilangan/pencurian data

Nama Responden

Jabatan Responden

233

dari berbagai sumber

dilakukan. (contohnya,

tren yang sedang

berkembang, database

perusahaan, dan insiden

pada industri yang sama

dengan perusahaan).

Seperti apa pengumpulan

dan penyimpanan semua

data yang terkait dengan

kegiatan/peristiwa yang

sudah/akan memengaruhi

penggunaan TI,

memengaruhi program TI,

memengaruhi

penyampaian suatu

proyek, dan penyampaian

pelayanan TI.

Seperti apa tingkat

pengelolaan data dan

penentuan faktor-faktor

penting pada

peristiwa/kegiatan

perusahaan.

Bagaimana penentuan

kondisi tertentu yang

ada/tidak ada saat terjadi

insiden/peristiwa suatu

risiko.

Bagaimana penentuan

kondisi yang ditemukan

pada aktivitas-aktivitas

yang memengaruhi

frekuensi

insiden/peristiwa risiko

tersebut, serta dampaknya

pada besarnya kerugian.

Sejauh mana tingkat

pelaksanaan analisis

secara berkala terhadap

faktor-faktor risiko untuk

mengetahui potensi

kemunculan risiko baru

dan memahami faktor-

faktor risiko

234

internal/eksternal yang

berhubungan.

APO12.02 (Analisis Risiko)

Memberikan informasi yang berguna untuk membantu proses pemilihan risiko yang

mempertimbangkan relevansi bisnis dari faktor-faktor risiko.

Aktivitas proses


be)


Seperti apa penetapaan

jangkauan wilayah dari

usaha-usaha analisis

risiko, dengan

mempertimbangkan faktor

dan aset bisnis yang

krusial serta keuntungan

finansialnya.

Bagaimana pembuatan

berbagai macam skenario

risiko TI (baik yang terjadi

berurutan atau secara tiba-

tiba).

Sejauh mana tingkat

penentuan cara untuk

menangani skenario-

skenario risiko TI

(tindakan-tindakan

tertentu, kemampuan, dan

penanganan terukur

lainnya).

Memperbarui secara rutin

skenario-skenario risiko

TI.

Memperkirakan frekuensi

dan besarnya

kerugian/keuntungan dari

skenario-skenario risiko TI

dengan

mempertimbangkan

semua faktor yang

memengaruhinya dan

risiko residual (risiko yang

tetap ada setelah

235

manajemen menerapkan

penanganan risiko).

Membandingkan risiko

residual terhadap ambang

batas risiko perusahaan.

Menentukan penanganan

risiko dari hasil

perbandingan risiko

residual dengan ambang


Melakukan analisis biaya

dari berbagai pilihan

penanganan risiko

(contohnya, menghindari,

mengurangi, mencegah,

memindahkan, dan

memanfaatkannya) agar

dapat melakukan

penanganan yang optimal.

Menentukan kebutuhan-

kebutuhan khusus pada

proyek atau program yang

akan menerapkan

penanganan risiko.

Menentukan kebutuhan

dan prediksi pada suatu

kegiatan khusus untuk

pencegahan risiko.

Mengesahkan hasil dari

analisis risiko yang sudah

diselaraskan dengan risiko

perusahaan- dan sudah

diteliti agar bebas dari

bias, sebelum

menggunakan analisis

risiko tersebut pada

pengambilan keputusan.

236

APO12.03 (Memelihara Profil Risiko)

Mengelola penyimpanan risiko-yang-sudah-diketahui dan atribut risiko (termasuk

perkiraan frekuensi, potensi dampaknya, dan penanganannya ) dan sumber-sumber

terkait, kapabilitas dan aktivitas-aktivitas pengendalian saat ini.

Aktivitas proses


be)


Sejauh mana pengadaan

inventaris proses-proses

bisnis, personel

pendukung, aplikasi,

infrastruktur, fasilitas,

catatan manual kritis,

vendor, supplier dan

outsourcer, dan dokumen

yang terkait dengan

proses-proses manajemen

pelayanan dan sumber-

sumber infrastruktur TI.

Bagaimana penentuan

layanan-layanan TI dan

sumber infrastruktur TI

yang bisa menopang

operasi dari proses-proses

bisnis.

Sejauh mana pelaksanaan

analisis ketergantungan

dan kelemahan dari


sumber infrastruktur yang

menopang operasi proses

bisnis.

Bagaimana

pengelompokkan terkait

skenario risiko TI saat ini

berdasarkan kategori, lini

bisnis, dan area fungsinya.

Sejauh mana pengumpulan

secara rutin terkait semua

informasi profil risiko

dalam satu dokumen profil

risiko.

Sejauh mana penetapan

terkait suatu kumpulan

237

indikator risiko yang bisa

mengenali dengan cepat

serta mengawasi risiko

saat ini dan tren risiko

yang sedang berkembang,

berdasarkan semua data

dari profil risiko.


terkait informasi dari

peristiwa/insiden risiko TI

yang telah terjadi untuk

disertakan pada profil

risiko perusahaan.


terkait informasi status

rencana penanganan risiko

untuk disertakan pada

profil risiko perusahaan.

APO12.04 (Memperjelas Risiko)

Menyediakan informasi keadaan penggunaan TI saat ini dan peluang-peluang yang

bisa dimanfaatkan oleh para stakeholder untuk penanganan risiko yang tepat.

Aktivitas proses


be)


Sejauh mana pelaporan

hasil analisis risiko kepada

semua stakeholder yang

terlibat, dalam bentuk

informasi yang berguna

untuk mendukung

pengambilan keputusan

perusahaan.

Pada pelaporan hasil

analisis risiko,

menyertakan

kemungkinan-

kemungkinan,

kerugian/keuntungan, dan

kemampuan perusahaan

agar manajemen dapat

menyeimbangkan antara

risiko dengan dampak

yang diberikannya.

238

Sejauh mana penyediaan

laporan tentang berbagai

macam kemungkinan

skenario risiko-bahkan

skenario terburuk, uji

kelayakan, pertimbangan

hukum dan peraturan yang

berlaku kepada para

pembuat keputusan.

Bagaimana pelaporan

profil risiko perusahaan

saat ini kepada semua

stakeholder (efektivitas

proses manajemen risiko,

efektivitas

pengendaliannya,

kesenjangan,

inkonsistensi,

ketergantungan, status

perbaikan, dan dampaknya

pada profil risiko)

Bagaimana peninjauan

ulang terkait hasil dari

penilaian aplikasi pihak

ketiga, audit internal, dan

penilaian quality

assurance (kualitas

layanan), kemudian

memetakannya pada profil

risiko.

Sejauh mana pemeriksaan

kesenjangan (gap) yang

sudah diidentifikasi pada

profil risiko, untuk

memastikan apa yang

dibutuhkan pada analisis

risiko tambahan.

Bagaimana melakukan

identifikasi peluang-

peluang pada risiko yang

saling berhubungan dan

dengan kapasitas risiko

yang sama, agar bisa

meningkatkan dampak

keuntungan yang

diberikan, secara berkala.

239

APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen Risiko )

Mengelola peluang-peluang untuk mengurangi risiko ke level yang bisa diterima

dalam bentuk portofolio.

Aktivitas proses


be)


Sejauh mana pemeliharaan

penyimpanan dari

aktivitas-aktivitas

pengendalian, agar bisa

dikelola dengan baik dan

tetap sejalan dengan

ambang batas risiko yang

sudah ditetapkan

perusahaan.

Sejauh mana tingkat

pengelompokkan

aktivitas-aktivitas

pengendalian agar

semuanya bisa dipetakan

pada laporan dan

dokumentasi risiko TI.

Memastikan setiap

pengawasan risiko sudah

terorganisir dengan baik

dan berada pada ambang

batas yang sudah

ditentukan.

Menentukan proposal-

proposal proyek yang

dirancang untuk

mengurangi risiko

dan/atau proyek yang

menghasilkan peluang-

peluang strategis

perusahaan, yang

mempertimbangkan

biaya/keuntungan serta

dampak pada profil risiko

saat ini dan pada peraturan

yang berlaku.

240

APO12.06 (Respon Terhadap Risiko)

Melakukan penanganan tepat waktu sesuai dengan pengukuran-pengukuran yang

efektif untuk membatasi dampak kerugian dari peristiwa/kejadian insiden TI.

Aktivitas proses


be)


Mengelola rencana

pengetesan pada

penanganan yang akan

diambil ketika ada

peristiwa/insiden risiko

yang bisa berdampak

serius pada bisnis.

Memastikan rencana

pengetesan memiliki

mekanisme pengaturan,

terkait dampak/efeknya

pada setiap lini

perusahaan.

Mengelompokkan insiden-

insiden yang sudah terjadi,

dan membandingkan

dampak nyatanya dengan

ambang batas risiko.

Melaporkan dampak dari

insiden yang terjadi

kepada para pengambil

keputusan.

Memperbarui profil risiko

saat terjadi insiden.

Menerapkan rencana

penanganan yang

tepat/cocok untuk

meminimalkan dampak

risiko dari insiden yang

terjadi.

Meneliti kerugian yang

pernah terjadi dan peluang

bisnis yang hilang serta

menentukan akar

masalahnya.

Menginformasikan akar

permasalahan, apa yang

dibutuhkan jika ada

241

penanganan risiko-

tambahan, dan

peningkatan/perbaikan

pada suatu proses kepada

para pengambil keputusan.

Memastikan bahwa

penyebab, kebutuhan

untuk penanganan, dan


suatu proses dimasukkan

dalam proses-proses tata

kelola/pengambilan

keputusan terkait risiko.

242

Lampiran 4 Kuisioner Penelitian II (Proses APO13)

KUESIONER 2

Analisa capability level pada proses APO13-Manage Security (Mengelola

Keamanan)






manajemen Gandengtangan.org sebagai pihak yang terkait khususnya pada bagian

yang termasuk pada RACI COBIT 5 dalam APO13-Manage Security.
















(as is) atau pun yang kondisi yang diharapkan (to be). Terkait dengan atribut

kematangan tertentu dalam proses pengelolaan data dengan memberikan tanda (√)

pada tempat yang tersedia. Dengan mengetahui posisi kematangan saat ini (as is)

dan posisi yang diharapkan (to be), selanjutnya akan dilakukan analisa yang

diharapkan dapat menjadi dasar dalam pendefinisian rancangan solusi untuk

perbaikan dalam proses pengelolaan konfigurasi.




243

Pengertian Proses:

APO13 adalah proses yang mendefinisikan, menjalankan, dan mengawasi sebuah

sistem untuk manajemen keamanan informasi.

Tujuan Proses:

Menjaga dampak dan peristiwa dari insiden keamanan informasi berada pada

ambang batas risiko yang sudah ditetapkan oleh perusahaan.

APO13.01 (Membuat dan Memelihara Sistem Manajemen Keamanan Informasi)

Membuat dan memelihara sistem manajemen keamanan informasi (SMKI) yang

menyediakan standar, formal, dan pendekatan manajemen keamanan informasi

yang berkelanjutan, menyediakan teknologi yang aman dan proses-proses bisnis

yang selaras dengan kebutuhan bisnis dan manajemen keamanan perusahaan.

Aktivitas proses


be)


Sejauh mana penentuan

jangkauan dan batasan dari

Sistem Manajemen

Keamanan Informasi

(SMKI) sesuai dengan

aturan dan karakteristik

dari perusahaan,

organisasi, lokasi, aset,

dan teknologi dari

perusahaan.

Bagaimana penyertaan

detail dari tingkat dasar

pembenaran untuk setiap

pengecualian pada

jangkauan SMKI.

Sejauh mana pembuatan

SMKI yang berkoordinasi

dengan peraturan

perusahaan dan selaras

dengan perusahaan,

Nama Responden

Jabatan Responden

244

organisasi, lokasi, aset dan

tekonlogi dari perusahaan.

Bagaimana tingkat

penyelarasan SMKI

dengan semua pendekatan

perusahaan pada

manajemen keamanan.

Sejauh mana tingkat

kewenangan pihak yang

mengelola SMKI untuk

menerapkan dan

menjalankan atau

mengubah SMKI.

Sejauh mana persiapan

dan pemeliharaan sebuah

laporan/dokumen

penerapan, yang

menjelaskan jangkauan

dari SMKI.


dan penginformasian

peran dan tanggung jawab

dari manajemen keamanan

informasi.

Sejauh mana komunikasi

pendekatan/peraturan

SMKI pada setiap lini

perusahaan.

APO13.02 (Menentukan dan Mengatur Rencana Penanganan Risiko Keamanan

Informasi)

Mengelola perencanaan keamanan informasi yang menjelaskan bagaimana risiko

keamanan informasi harus dikelola dan selaras dengan strategi dan infrastruktur

perusahaan. Memastikan bahwa rekomendasi untuk menerapkan peningkatan

keamanan berdasarkan kasus bisnis yang sudah disetujui dan diterapkan sebagai

bagian dari pengembangan pelayanan dan solusi, kemudian dijalankan sebagai

bagian dari operasi bisnis.

Aktivitas proses


be)


Sejauh mana perumusan

dan pemeliharaan terkait


245

keamanan informasi yang

selaras dengan tujuan

strategis dan arsitektur

perusahaan.

Bagaimana memastikan

rencana terkait

penanganan risiko

keamanan informasi dapat

menentukan solusi

keamanan yang cocok dan

optimal, sesuai dengan

sumber daya yang ada,

pertanggungjawaban dan

mengutamakan

pengelolaan risiko


sudah ditentukan.


(sebagai bagian dari

arsitektur perusahaan)

penyimpanan dari bagian-

bagian solusi yang

bertujuan untuk mengelola

risiko keamanan terkait.

Bagaimana usul/proposal

untuk menerapkan rencana

penanganan risiko

keamanan informasi, yang

didukung dengan kasus

bisnis yang sesuai,

pertimbangan pendanaan,

dan alokasi dari peran dan

pertanggungjawaban.

Bagaimana penyediaan

mekanisme untuk

memberi masukan kepada

perancangan dan

pengembangan praktik-

praktik manajemen dan

solusi-solusi terpilih dari


keamanan.


pengukuran efektivitas

dari praktik-praktik

manajemen terpilih dan

246

menentukan bagaimana

pengukuran ini digunakan

untuk menilai efektivitas

praktik dan hasil

pengulangannya (praktik

yang dilakukan terus-

menerus).

Bagaimana rekomendasi

pelatihan keamanan

informasi dan program-

program yang melatih

kesadaran keamanan

informasi.

Bagaimana

mengintegrasikan

perencanaan,

perancangan, penerapan

dan pengawasan dari

prosedur keamanan

informasi dan pengaturan

lainnya yang mampu

untuk menyediakan

pencegahan secara cepat,

deteksi dari peristiwa

keamanan- dan

penanganan terhadap

insiden-insiden keamanan.

APO13.03 (Mengawasi dan Meninjau Sistem Manajemen Keamanan Informasi

(SMKI))

Mengelola dan secara berkala mengomunikasikan kebutuhan dan keuntungan dari

peningkatan/perbaikan keamanan informasi yang berkelanjutan. Mengumpulkan

dan menganalisis data mengenai SMKI, dan meningkatkan efektivitas dari SMKI.

Mengampanyekan budaya keamanan dan peningkatannya secara berkelanjutan.

Aktivitas proses


be)


Bagaimana dalam

melakukan penilaian

efektivitas dari SMKI

termasuk menyelaraskan

peraturan-peraturan SMKI

dengan tujuan-tujuannya,

247

dan memeriksa kegiatan-

kegiatan keamanan.

Bagaimana dalam

mempertimbangkan hasil

dari audit keamanan,

insiden, dan hasil dari

pengukuran efektivitas,

saran dan umpan balik dari

semua pihak-pihak yang

berkepentingan.


terkait audit internal SMKI

yang sudah dijadwalkan

pada interval waktu

tertentu.

Bagaimana melakukan

peninjauan manajemen

SMKI secara berkala

untuk memastikan bahwa

jangkauannya tetap

memadai dan peningkatan

pada proses-proses SMKI

sudah diidentifikasi.


masukan pada

maintenance dari rencana-

rencana keamanan, yang

mempertimbangkan

temuan-temuan dari

aktivitas pengawasan dan

pemeriksaan.

Bagaimana melakukan

pencatatan dari

kegiatan/tindakan dan

peristiwa yang dapat

berdampak pada

efektivitas atau kinerja dari

SMKI.

248

Lampiran 5 Kuisioner Penelitian III (Proses DSS05)

KUESIONER 3

Analisa capability level pada proses DSS05-Manage Security Services

(Mengelola Keamanan Layanan)







yang termasuk pada RACI COBIT 5 dalam DSS05-Manage Security Services.

























Nama Responden

249

Pengertian Proses:

DSS05 adalah proses yang bertujuan untuk melindungi informasi perusahaan dan

menjaga agar level dari ambang batas risiko pada perusahaan selaras dengan

peraturan keamanan yang ada. Serta membuat dan mengelola peran keamanan

informasi dan hak akses dan melakukan pengawasan keamanan.

Tujuan Proses:

Meminimalkan dampak dari celah/kelemahan dan insiden keamanan informasi

pada bisnis.

DSS05.01 (Melindungi dari Malware)

Menerapkan dan mengelola pencegahan, penyelidikan dan perbaikan terukur pada

(Terutama melakukan pembaruan terkini pada patch keamanan dan pengendalian

virus) seluruh lini perusahaan untuk melindungi sistem informasi dan teknologi dari

malware (seperti, virus, worm, spyware, dan spam).

Aktivitas proses


be)


Sejauh mana pemberian

informasi mengenai

kesadaran terhadap

malicious software.

Bagaimana dalam

melakukan prosedur-

prosedur pencegahan

malware dan pihak-pihak

yang bertanggung jawab.

Bagaimana dalam

melakukan pemasangan

dan mengaktifkan tool-

tool perlindungan dari

malware pada semua

fasilitas pemrosesan,

dengan informasi

mengenai malware yang

terus diperbarui (secara

otomatis atau semi

otomatis).

Sejauh mana

pendistribusian terkait

software keamanan secara

Jabatan Responden

250

terpusat (versi dan patch-

nya) dengan menggunakan

pengaturan terpusat dan

manajemen perubahan.

Bagaimana dalam

melakukan penilaian dan

evaluasi terkait potensi

ancaman baru (contohnya,

meninjau ulang produk-

produk dari vendor dan

konsultan pelayanan

keamanan)

Sejauh mana terkait

penyaringan data yang

masuk, seperti email dan

downloads, untuk

melindungi dari informasi

yang tidak diinginkan

(seperti, spyware, phising

emails)

Sejauh mana pelatihan

secara rutin tentang

malware pada penggunaan

email dan penggunaan

internet.

Bagaimana melatih para

pengguna (karyawan)

untuk tidak melakukan

instalasi software yang

tidak dikenal atau software

yang tidak diizinkan oleh

perusahaan.

DSS05.02 (Mengelola Jaringan dan Konektivitas Keamanan)

Menggunakan pengukuran-pengukuran keamanan dan prosedur-prosedur

manajemen terkait untuk melindungi informasi pada semua metode konektivitas.

Aktivitas proses


be)



peraturan terkait

keamanan konektivitas

dengan

mempertimbangkan

251

penilaian risiko dan

kebutuhan bisnis.

Sejauh mana perizinan

terkait perangkat yang

sudah diotorisasi

perusahaan untuk

mengakses informasi dan

jaringan perusahaan.


perangkat yang dipakai

dalam perusahaan

dilindungi dengan

password untuk

menggunakannya.

Bagaimana penggunaan

mekanisme filter jaringan,

seperti firewall dan

software pendeteksi

gangguan, dengan

menerapkan peraturan

yang mengatur data yang

masuk dan keluar dari

perusahaan.

Bagaimana melakukan

enkripsi informasi pada

saat transfer atau

pengiriman informasi

sesuai dengan tingkat

kerahasiaannya.

Sejauh mana penerapan

protokol keamanan yang

sudah disetujui oleh

perusahaan pada

konektivitas jaringan.

Bagaimana pengaturan

konfigurasi jaringan

terkait penerapan standar

keamanan tertentu.

Bagaimana pembuatan

mekanisme khusus untuk

mendukung keamanan

pengiriman dan

penerimaan informasi.

Bagaimana melakukan

pengetesan secara berkala

terkait penetrasi untuk

252

memastikan perlindungan

keamanan pada jaringan

perusahaan.

Bagaimana melakukan


pada sistem keamanan

untuk memastikan

perlindungan keamanan

pada sistem kemanan

perusahaan berjalan

dengan baik.

DSS05.03 (Mengelola Keamanan Perangkat)

Memastikan setiap perangkat ( contohnya, laptop, dekstop, server, dan perangkat

mobile lainnya dan perangkat jaringan atau software) sudah aman (terlindungi)

sesuai dengan persyaratan keamanan pada pemrosesan, penyimpanan atau

pengiriman informasi.

Aktivitas proses


be)



sistem operasi yang

dipakai sudah mengikuti

standar keamanan tertentu

(contohnya, sudah

memakai antivirus dan di-

update secara berkala).

.


mekanisme penguncian

(perlindungan akses)

perangkat.

Bagaimana melakukan


tempat penyimpanan

informasi sesuai dengan

tingkat kerahasiaannya.


akses dan pengendalian

jarak jauh (remote access)

pada perangkat

perusahaan.


terkait konfigurasi

253

jaringan sesuai dengan

standar keamanan tertentu.

Bagaimana penerapan

penyaringan (filtering)

jaringan internet pada

semua perangkat yang

digunakan.



dibutuhkan untuk

menjalankan sistem

operasi (hardware,

software, dan data) sudah

terlindungi dengan baik

agar bisa digunakan dalam

setiap kondisi.


perlindungan fisik pada

setiap perangkat yang

digunakan (contohnya,

perlindungan dari

pencurian dan bencana

alam).


perangkat perusahaan

yang akan dijual atau tidak

akan digunakan lagi sudah

tidak lagi menyimpan

informasi atau akses

penting perusahaan.

DSS05.04 (Mengelola Identitas Pengguna dan Akses Jarak Jauh Perangkat)

Memastikan setiap pengguna mempunyai hak akses untuk informasi yang mereka

butuhkan terkait kebutuhan bisnis mereka dan melakukan koordinasi dengan unit

bisnis yang mengelola hak akses mereka sendiri dalam proses bisnis.

Aktivitas proses


be)


Bagaimana pengelolaan

terkait hak akses pengguna

berdasarkan fungsi bisnis

dan kebutuhan proses.

.

Bagaimana menyelaraskan

manajemen dari identitas

254

dan hak akses untuk

mengetahui peran dan

tanggung jawabnya,

berdasarkan prinsip-

prinsip hak akses paling

kecil, kebutuhan untuk hak

akses, dan kebutuhan

untuk mengetahui

informasi.

Bagaimana pemberian

nama unik/khusus untuk

setiap aktivitas

pemrosesan informasi

berdasarkan peran-peran

fungsinya.

Bagaimana melakukan

koordinasi dengan unit-

unit bisnis untuk

memastikan bahwa semua

peran sudah diketahui

dengan jelas, termasuk

peran yang menjelaskan

bisnis itu sendiri damal

aplikasi-aplikasi proses

bisnis.

Bagaimana memberikan

hak akses terhadap

informasi perusahaan

sesuai dengan hak akses

pengguna, dengan terlebih

dahulu berkoordinasipada

unit bisnis yang mangatur

hak penggunaan aplikasi

pada proses bisnis, untuk

memastikan hak akses

sudah diberikan secara

benar.


semua perubahan pada hak

akses (pembuatan,

perubahan, dan

penghapusan).

Sejauh mana pemisahan

dan pengaturan akun untuk

hak akses istimewa

(khusus).

255

Bagaimana melakukan

peninjauan ulang secara

berkala terkait manajemen

pada semua akun hak

akses dan akun hak akses

istimewa (khusus) terkait.


semua pengguna (internal,

eksternal, dan sementara)

dan semua aktivitas

mereka pada sistem TI

(aplikasi bisnis,

infrsstruktur TI, sistem

operasi, pengembangan,

dan maintenance)

Diberikan identitas yang

unik (berbeda-beda satu

sama lain).

Bagaimana proses

pemberian ID (identitas)

pada semua aktivitas

pemrosesan informasi oleh

pengguna secara unik

(berbeda-beda satu sama

lain)


terkait rekam jejak

terhadap pengaksesan

informasi perusahaan yang

bersifat rahasia dan sangat

sensitif.

DSS05.05 (Mengelola Akses pada Aset/Perangkat TI)

Membuat dan menerapkan prosedur untuk pemberian, pembatasan, dan pencabutan

akses pada area dan gedung berdasarkan pada kebutuhan bisnis, termasuk di saat-

saat darurat. Akses pada area dan gedung harus punya wewenang untuk bisa masuk

dan juga harus tetap diawasi. Semua ketentuan ini harus berlaku untuk semua staff,

staff sementara, klien, vendor, pengunjung atau setiap pihak luar lainnya.

Aktivitas proses


be)


Sejauh mana proses

permintaan dan pemberian

.

256

akses pada fasilitas-

fasilitas TI.

Bagaimana proses formal

(ID, formulir permintaan,

dan pemberian akses dari

manajemen TI pada tempat

yang dikunjungi) pada

pemrosesan akses fasilitas

TI, dokumen mengenai

akses tersebut harus

menjelaskan secara

spesifik area mana saja

yang bisa diakses.


profil (dokumen)

pengaksesan tetap aktual,

dengan

mempertimbangkan fungsi

kerja (ruangan server,

gedung, area, dan zona

tertentu) dan

tanggungjawab

pekerjaannya.

Sejauh mana pencatatan

dan pengawasan semua

titik akses pada fasilitas-

fasilitas TI, mendaftarkan

semua pengunjung

termasuk juga kontraktor

dan vendor.

Sejauh mana proses

mewajibkan setiap

karyawan untuk selalu

memakai ID card.


proses pembuatan ID card

melalui proses pemberian

akses yang benar dan

sesuai dengan fungsi

kerjanya.

Setiap pengunjung harus

ditemani selama dalam

masa kunjungan.

Jika ada seseorang yang

tidak dikenal dan tidak

menggunakan ID card,

257

lakukan pelaporan pada

pihak keamanan.

Setiap tempat/perangkat

TI yang sensitif dilindungi

dengan perangkat

keamanan pada pintu

masuk/keluar (Fingerprint

scanner, kartu akses dsb)

dan pemasangan kamera

keamanan.


pelatihan mengenai

kesadaran akan keamanan

fisik perangkat TI secara

berkala.

DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat Output)

Membuat pengamanan fisikal, kegiatan akuntansi/laporan dan manajemen

inventaris pada perangkat TI yang rentan/penting/sensitif, seperti formulir khusus,

negotiable instruments, printer khusus atau security token.

Aktivitas proses


be)



prosedur yang menentukan

penerimaan, penggunaan,

penghapusan dari formulir

khusus dan perangkat

output, baik yang masuk,

di dalam, dan yang keluar

dari perusahaan.

.

Bagaimana proses

pembuatan akses istimewa

pada dokumen-dokumen

sensitif dan perangkat

output dengan

mempertimbangkan

pemberian akses

seminimal mungkin,

menyeimbangkan risiko,

dan kebutuhan bisnis.


terkait penyimpanan

khusus untuk dokumen-

258

dokumen sensitif dan

perangkat-perangkat

output, serta melakukan

pemeriksaan ulang secara

berkala.

Sejauh mana perlindungan

tempat penyimpanan dari

formulir khusus dan

perangkat-perangkat

sensitif, misalnya dengan

menguncinya atau akses

khusus untuk

menggunakannya.

Bagaimana penghancuran

informasi-informasi

sensitif pada dokumen

atau data yang sudah tidak

terpakai (contohnya,

menghancurkan semua

dokumen yang berisikan

data-data sensitif sebelum

dibuang dan

menghancurkan perangkat

penyimpanan (flashdisk,

harddisk dll))

DSS05.07 (Mengawasi Infrastruktur untuk Peristiwa/Kejadian Terkait Keamanan)

Menggunakan perangkat pendeteksi gangguan, mengawasi infrastruktur untuk

pencegahan akses pihak yang tidak berwenang dan memastikan setiap

peristiwa/kejadian terintegrasi dengan proses pengawasan utama dan manajemen

insiden.

Aktivitas proses


be)


Sejauh mana aktifitas

pencatatan laporan

peristiwa terkait kemanan

dengan alat/software

pengawasan keamanan,

serta melakukan

identifikasi level informasi

yang akan disimpan

berdasarkan pada

pertimbangan risiko.

.

259

Sejauh mana proses

penyimpanan informasi

peristiwa keamanan dalam

jangka waktu tertentu

untuk membantu dalam

investigasi di masa yang

akan datang.

Bagaimana proses

penentuan dan

penjelaskan/penginformas

ian sifat dan karakteristik

dari insiden-insiden yang

berhubungan dengan

keamanan agar bisa

dengan mudah

diidentifikasi dan

dampaknya bisa dilakukan

penanganan yang tepat.

Secara berkala melakukan

peninjauan ulang pada

catatan peristiwa/kejadian


potensi-potensi insiden.


prosedur untuk

pengumpulan bukti yang

sesuai dengan

aturan/hukum


berlaku, dan memastikan

semua karyawan/staff

sudah mengetahui

persyaratan atau

kebutuhan-kebutuhan dari

prosedur.

Memastikan pencatatan

insiden keamanan

(pembuatan tiket) dibuat

tepat waktu saat proses

pengawasan

mengidentifikasi insiden

keamanan yang berpotensi

untuk menimbulkan

dampak yang lebih jauh.

260

Lampiran 7 Wawancara Penelitian

WAWANCARA PENELITIAN

Nama : Mas Frank

Jabatan : Staff Ahli

Tanggal : Kemayoran, April 2018

P: Penanya

N: Narasumber

P : apa jabatan atau tugas dan fungsi mas Frank di BMKG ?

N: jabatan saya secara struktural sebagai staff, namun dalam hal lain saya

menjadi pembantu pengelolaan dan perancangan tata kelola TI sekaligus

sebagai arsiparis dan ikut serta dalam pembuatan dokumentasi setiap

kegiatan yang dijalankan.

P: apa saja proses bisnis yang dikerjakan Pusat Jaringan Komunikasi dalam

BMKG ?

N: dalam hal ini Pusat Jaringan Komunikasi mengacu kepada tugas dan fungsi

Subbidang Manajemen Teknologi Informasi yaitu melakukan penyiapan

bahan perumusan kebijakan teknis, pemberian bimbingan teknis,


kegiatan fungsional dan kerja sama di bidang manajemen teknologi

261

informasi. Oleh karena itu kita sangat berfokus terhadap pengelolaan

kebijakan teknis terkait aset yang kita miliki terutama ruang Data Center.

P: Dalam pengelolaan dan perancangan tata kelola TI, apa saja kendala yang

dihadapi Pusat Jaringan Komunikasi?

N: Kendala yang saat ini tengah dialami adalah tentang pengelolaan hak akses

dan pengelolaan kunjungan terhadap ruang Data Center. Pusat Database di

BMKG terletak pada gedung A dan di kelola oleh Pusat Jaringan

Komunikasi, oleh karena itu kita dituntut dalam memaksimalkan keamanan

TI agar tidak terjadi kebocoran data ataupun kerusakan asset. Namun dalam

pelaksanaannya akses terhadap asset tersebut masih terlalu fleksibel dan

memiliki resiko yang tinggi, sebagai contoh setiap bidang pada Pusat

Jaringan Komunikasi memiliki vendor teknisi server yang berbeda beda

dalam mengelola server, sedangkan penempatan server hanya di satu

ruangan dan bergabung dengan server bagian lain, teknisi dari vendor

tersebut tidak selalu orang yang sama yang dikirim oleh vendor (kadang

berbeda orang) dan dapat masuk untuk maintenance atau perbaikan jika

dibutuhkan. Ini yang mengakibatkan resiko tinggi terhadap kebocoran data

dan asset fisik.

P: apa solusi dari divisi IT terkait permasalahan tersebut ?

N: untuk solusi sudah dilakukan sesuai dengan Profil Risiko yang dibuat Pusat

Jaringan Komunikasi. Hanya saja pengelolaan akses dan kunjungan masih

sebatas pendataan diri teknisi terkait.

262

P: Sampai saat ini, bagaimana penerapan IT dalam Pusat Jaringan

Komunikasi? apakah sudah optimal untuk mendukung kegiatan kerja unit

lain atau sebagaimana dengan tugas dan fungsinya ?

N: Sampai saat ini sudah mengimplementasikan IT dalam mendukung kegiatan

kerja Pusat Jaringan Komunikasi. Namun dalam pendokumentasian insiden,

klasifikasi insiden yang didokumentasikan hanya jika berdampak besar.

Banyak insiden kecil yang sanggup ditangani oleh teknisi BMKG yang

tidak didokumentasikan karena tidak berpengaruh terhadap kinerja BMKG.

Seperti contoh, sering terjadi deface terhadap web resmi BMKG namun

tidak di dokumentasikan karena hanya masuk ke front end aplikasi web nya

saja, sedangkan databasenya tetap aman.

P: Apakah ada tugas dan fungsi sesuai organinasi yang spesifik untuk

pemetaan responden sesuai RACI ?

N: Dalam hal ini belum ada penjabaran tugas dan fungsi hanya saja staff disini

sudah tau pekerjaannya apa dan melakukan apa, semua staff disini

mengikuti tugas dan fungsi Pusat Jaringan Komunikasi itu sendiri namun

beda hal nya dengan jabatan fungsional yaitu senior yang bertugas

memberikan arahan sesuai dengan pengalaman dan pengetahuannya. Coba

kamu tulis penjabaran arti dari setiap Rules and Organisational Structure

yang digabungkan dengan RACI. Nanti saya yang isi siapa saja orang yang

bertanggung jawab atau orang yang mengerti.

P: Business Process Owner adalah seseorang yang bertanggung jawab pada

proses kinerja untuk mewujudkan tujuannya, mendorong perbaikan proses

263

dan menyetujui perubahan proses. #N Bpk. Ali Mas’at, S.Si, M.kom

(Kepala Sub Bidang Manajemen Teknologi Informasi)

Chief Information Security Officer adalah Pejabat senior pada organisasi


bentuknya.. #N Bpk. Dudi Rojudin, ST (Kepala Sub Bidang Operasional

Teknologi Komunikasi)

Chief Risk Officer adalah Seseorang yang memiliki jabatan senior pada

organisasi yang bertanggung jawab untuk semua aspek manajemen resiko

di seluruh organisasi. Bertugas mengawasi resiko yang berhubungan

dengan TI. #N Bpk. Priyatna Kusumah, S.Kom, M.T.I. (Kepala Sub

Bidang Pengembangan Teknologi Informasi)

Head of IT Operation adalah Seorang individu senior yang bertanggung

jawab atas lingkungan dan infrastruktur operasional TI. #N Bpk. Akbar,

S.Kom, M.Kom (Kepala Sub Bidang Operasional Teknologi Informasi)

Information Security Manager adalah seorang individu yang mengelola,

desain, mengawasi dan/atau menilai keamanan informasi suatu organisasi.

#N Bpk. Dudi Rojudin, ST (Kepala Sub Bidang Operasional Teknologi

Komunikasi)

Chief Information Officer adalah Pejabat senior pada organisasi yang

bertanggung jawab untuk menyelaraskan TI dan strategi bisnis serta

akuntabel untuk perencanaan, sumber daya dan mengelola pengiriman

layanan dan solusi untuk mendukung tujuan TI organisasi. #N Bpk.

264

Priyatna Kusumah, S.Kom, M.T.I. (Kepala Sub Bidang Pengembangan

Teknologi Informasi)

265

Nama : Bpk. Ali Mas’at, S.Si, M.kom

Jabatan : Kepala Sub Bidang Manajemen Teknologi Informasi


P: Penanya

N: Narasumber

P: Apa tugas dan fungsi Kepala Sub Bidang Manajemen Teknologi Informasi

dalam Pusat Jaringan Komunikasi ?

N: Subbidang Manajemen Teknologi Informasi mempunyai tugas melakukan

penyiapan bahan perumusan kebijakan teknis, pemberian bimbingan teknis,



informasi.










266



P: Bagaimana keselarasan tujuan TI dengan fungsi bisnis Pusat Jaringan

Komunikasi?

N: sampai saat ini selaras dengan mengacu pada Renstra dan Kebijakan

Keamanan Informasi yang telah dibuat. Namun belum optimal dan masih

banyak yang harus ditingkatkan. Maka dari itu disini perlu dilakukan

penilaian, sudah sejauh manakah kematangan atau kemampuan TI Pusat

Jaringan Komunikasi untuk BMKG.

P: Apakah sudah pernah dilakukan audit di Pusat Jaringan Komunikasi atau

BMKG sendiri?

N: belum pernah dilakukan audit di Pusat Jaringan Komunikasi, namun BMKG

dan Pusat Jaringan Komunikasi sudah melakukan penerapan tata kelola TI

berdasarkan ISO 27001 yang diharuskan sesuai dengan peraturan

kementerian, namun masih banyak yang belum terealisasikan dan masih

dalam tahap penyesuaian. Oleh karena itu kita mengharapkan adanya audit

untuk mengetahui kekurangan dan prioritas perbaikan agar dapat

memaksimalkan penerapan tata kelola menggunakan Framework

berstandar Nasional maupun Internasional.

267

EVIDENCE/BUKTI

Lampiran 8 Profil Resiko Pusat Jaringan Komunikasi

Lampiran 9 Rencana Strategis Pusat Jaringan Komunikasi

268

Lampiran 10 Kebijakan Keamanan Informasi Pusat Jaringan Komunikasi

Lampiran 11 Blue Print Badan Meteorologi Klimatologi dan Geofisika

ii

PENGESAHAN SKRIPSI

iii

PERNYATAAN

iv

ABSTRAK

EKO YULIYANTO ADI WIBOWO - 1112093000072. “Evaluasi Tata Kelola

Keamanan Teknologi Informasi Menggunakan Framework COBIT 5 dan ISO

27002 (Studi Kasus: Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi

dan Geofisika).” di bawah bimbingan SYOPIANSYAH JAYA PUTRA dan SUCI

RATNAWATI.

Tata Kelola Keamanan Teknologi Informasi sangat dibutuhkan dalam upaya

penerapan Good Governance sebuah perusahaan terutama instansi pemerintah,

karna untuk meminimalisir dampak-dampak atau resiko yang akan dialami dan

untuk penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya

memastikan atau menjamin kelangsungan bisnis (business continuity),

meminimalisasi resiko bisnis (reduce business risk) dan memaksimalkan atau

mempercepat pengembalian investasi dan peluang bisnis. Masalah yang dihadapi

Pusat Jaringan Komunikasi adalah penerapan framework ISO 27001 belum

maksimal sehingga menyebabkan lemahnya manajemen kontrol hak akses,

perijinan kunjungan ruang Data Center terlalu fleksibel menyebabkan kurangnya

keamanan database dan infrastruktur serta rawannya pencurian data dan minimnya

pendokumentasian insiden yang mengakibatkan sering terjadinya insiden yang

berulang. Penelitian ini bertujuan menganalisis temuan gap dan memberikan

rekomendasi perbaikan menggunakan Framework COBIT 5 serta merancang

usulan perbaikan Keamanan Teknologi Informasi dengan framework ISO 27002.

Peneliti menggunakan 4 tahapan metode perancangan yang mengadopsi dari

COBIT lifecycle yaitu Initiate Programme, Define Problems and Opportinities,

Define Road Map dan Plan Programme Berfokus pada domain Manage Risk,

Manage Security dan Manage Security Services. Tools kuesioner menggunakan

skala pengukuran Likert. Hasil dari penelitian ini menunjukan capability level pada

Proses APO12 (Manage Risk), APO13 (Manage Security), DSS05 (Manage

Security Services) di Pusat Jaringan Komunikasi saat ini berada pada level 2

(managed process) dengan tingkat kapabilitas yang diharapkan berada di level 3

(established process) dengan masing-masing gap sebesar 1,13, 1,10 dan 0,97 serta

perancangan hasil rekomendasi berupa Panduan Implementasi Manajemen Insiden,

Rancangan Pengelolaan Hak Akses, dan SOP Ruang Data Center diadopsi

berdasarkan framework ISO 27002 yang dapat digunakan untuk panduan

memaksimalkan keamanan informasi.

Kata Kunci : Keamanan, Teknologi Informasi, Tata Kelola, COBIT 5, ISO 27002.

V Bab + 219 Halaman + 50 Tabel + 24 Gambar + Pustaka (43, 2005-2019) + 11

Lampiran

v

KATA PENGANTAR

Bismillaahirrohmaanirrohiim

Puji syukur kehadirat Allah SWT yang telah melimpahkan segala rahmat-

Nya, penulis diberikan nikmat sehat dan ilmu sehingga dapat melaksanakan, dan

menyelesaikan penulisan skripsi ini. Shalawat beserta salam semoga selalu tercurah

kepada junjungan Nabi Muhammad SAW beserta keluarga, sahabat, kerabat, serta

muslimin, dan muslimat, semoga kita semua mendapatkan syafa’at dari beliau di

akhirat kelak. Amin.

Skripsi ini berjudul “Evaluasi Tata Kelola Keamanan Teknologi

Informasi Menggunakan Framework COBIT 5 dan ISO 27002 (Studi Kasus:

Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi dan Geofisika)”,

yang disusun untuk memenuhi salah satu syarat dalam menyelesaikan program S1

pada program studi Sistem Informasi di Universitas Islam Negeri Syarif

Hidayatullah Jakarta.

Pada kesempatan ini, peneliti ingin mengucapkan terima kasih kepada

pihak-pihak yang telah banyak membantu, baik moril dan materil, dalam

menyelesaikan skripsi ini. Untuk itu perkenankanlah peneliti menyampaikan

ungkapan terima kasih kepada:

1. Ibu Prof. Dr. Lily Surayya Eka Putri, M. Env. Stud selaku Dekan Fakultas Sains

dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta.

vi

2. Pak A’ang Subiyakto, Ph.D selaku Ketua Program Studi Sistem Informasi


Jakarta.

3. Ibu Nida’ul Hasanati, MMSI selaku Sekertaris Program Studi Sistem Informasi


Jakarta.

4. Bapak Dr. Syopiansyah Jaya Putra, M.SI, selaku dosen pembimbing I yang

secara bijaksana dan kooperatif telah memberikan ilmu dan bimbingan dengan

sabar serta membantu, dan mendukung secara moral maupun teknis selama


5. Ibu Suci Ratnawati, M.TI, selaku dosen pembimbing II yang telah banyak

memberikan motivasi, ilmu baru, arahan serta bijaksana dan selalu meluangkan

waktu dalam membimbing proses penyusunan skripsi ini.

6. Dosen-dosen Program Studi Sistem Informasi yang telah memberikan ilmu,

motivasi, dan nasehat selama peneliti duduk di bangku perkuliahan.

7. Bapak. Ali Mas’at, S.Si, M.kom selaku Kepala Subbidang Manajemen


Klimatologi dan Geofisika, yang telah membantu peneliti dalam mendapatkan

izin untuk dapat melakukan penelitian di Pusat Jaringan Komunikasi.

8. Mas Frank dan Mbak Nunik selaku Staff Senior Subbidang Manajemen


Klimatologi dan Geofisika, selaku Pembimbing yang selalu sabar, bersedia

meluangkan waktunya dan telah banyak membantu peneliti dalam

vii

mengumpulkan kelengkapan data riset serta memberikan saran untuk skripsi

ini.

9. Staff Subbidang Manajemen Teknologi Informasi lainnya yang tidak dapat

peneliti sebutkan satu per satu yang selalu membantu dalam pelaksanaan

penelitian ini.

10. Bapak Suyatno dan Ibu Wantini, Orang tua yang sangat saya sayangi dan cintai,

terima kasih atas doa, dukungan, dan semuanya yang telah diberikan.

11. Adik saya Aprianto, terimakasih atas doa dan dukungannya baik moral maupun

bantuan tenaga yang diberikan selama proses penyelesaian skripsi ini

12. Kawan – Kawan Penikmat Semesta (PESTA) terima kasih atas seni pergabutan

selama ini dan menjelaskan kata “puncak” bukan hanya milik gunung dan

pelaminan saja.

13. Seseorang yang telah memberikan waktu untuk berbagi cerita, motivasi, do’a

dan teguran. Serta mengajarkan sabar, rindu, percaya, dan komunikasi jarak

jauh bagi penulis.

14. Seluruh pihak yang telah banyak membantu dalam penyelesaian skripsi ini yang

tidak bisa disebutkan namanya satu persatu, namun tidak mengurangi rasa

hormat dan rasa terima kasih.

Penulis sadar bahwa penyusunan skripsi ini masih jauh dari sempurna, maka

dari itu penulis menerima kritik dan saran yang konstruktif agar penyusunan skripsi

ini menjadi lebih baik lagi.

Akhir kata, semoga skripsi ini dapat bermanfaat bagi semua pihak terutama

teman-teman Sistem Informasi UIN Syarif Hidayatullah Jakarta, baik sebagai

viii

bahan karya tulis berupa informasi, perbandingan maupun dasar untuk penelitian

materi lebih lanjut.

Jakarta, 19 Maret 2019


1112093000072

ix

DAFTAR ISI

PENGESAHAN UJIAN ......................................................................................... i

PENGESAHAN SKRIPSI .................................................................................... ii

PERNYATAAN .................................................................................................... iii

ABSTRAK ............................................................................................................ iv

KATA PENGANTAR ........................................................................................... v

DAFTAR ISI ......................................................................................................... ix

DAFTAR GAMBAR .......................................................................................... xiv

DAFTAR TABEL ............................................................................................... xv

BAB I PENDAHULUAN ...................................................................................... 1

1.1 Latar Belakang Permasalahan .................................................................. 1

1.2 Identifikasi Masalah ................................................................................. 8

1.3 Batasan Masalah ....................................................................................... 9

1.4 Tujuan Penelitian ...................................................................................... 9

1.5 Manfaat Penelitian .................................................................................. 10

1.6 Metodologi Penelitian ............................................................................ 11

1.6.1 Metodologi Pengumpulan Data ...................................................... 11

1.6.2 Metodologi Analisis Data ............................................................... 11

1.6.2.1 Metode Penerapan Tata Kelola Teknologi Informasi ................. 12

1.7 Sistematika Penulisan ............................................................................. 13

BAB II LANDASAN TEORI ............................................................................. 15

2.1 Tata Kelola Keamanan Teknologi Informasi ......................................... 15

2.1.1 Teknologi Informasi ........................................................................ 15

2.1.2 Tata Kelola Teknologi Informasi .................................................... 15

2.1.2.1 Tujuan Tata Kelola Teknologi Informasi .................................... 16

2.1.3 Tata Kelola Teknologi Informasi Nasional ..................................... 17

2.1.4 Keamanan Teknologi Informasi ...................................................... 18

2.1.5 Pentingnya Keamanan Teknologi Informasi ................................... 19

2.2 Kerangka Kerja (Framework) Keamanan Teknologi Informasi ............ 20

2.2.1 BS 7799 ........................................................................................... 21

x

2.2.2 ITIL ................................................................................................. 21

2.2.3 COBIT ............................................................................................. 22

2.2.4 ISO 27000 Family ........................................................................... 24

2.3 Framework COBIT 5 ............................................................................. 25

2.3.1 Coverage COBIT 5 ......................................................................... 27

2.3.2 Perbedaan COBIT 5 dengan COBIT 4.1......................................... 30

2.3.3 Process Reference Model ................................................................ 31

2.3.3.1 Evaluate, Direct, and Monitor (EDM) ......................................... 32

2.3.3.2 Align, Plan, and Organise (APO) ................................................ 33

2.3.3.3 Build, Acquire, and Implementation (BAI) ................................. 34

2.3.3.4 Delivery, Service, and Support (DSS) ......................................... 35

2.3.3.5 Monitor, Evaluate, and Assess (MEA) ........................................ 35

2.3.4 Implementasi COBIT 5 ................................................................... 36

2.3.5 RACI ............................................................................................... 39

2.3.6 Process Assessment Model .............................................................. 45

2.3.6.1 Assessment Process Activities .................................................... 46

2.3.6.2 Indikator Kapabilitas Proses dalam COBIT 5 ............................. 48

2.3.7 Pemetaan Tujuan Terkait TI Terhadap Proses COBIT 5 ................ 49

2.3.8 Fokus Area Evaluasi Tata Kelola TI ............................................... 52

2.3.8.1 Proses APO 12 (Manage Risk) .................................................... 52

2.3.8.2 Proses APO 13 (Manage Security) .............................................. 52

2.3.8.3 Proses DSS05 (Manage Security Services) ................................. 53

2.4 Framework ISO 27002 ........................................................................... 53

2.4.1 Hubungan dengan ISO/IEC 27001 ................................................. 54

2.4.2 Struktur dan format ISO/IEC 27002: 2013 ..................................... 54

2.4.3 Content ISO/IEC 27002 .................................................................. 55

2.5 Pemetaan Proses COBIT kedalam Kontrol ISO ..................................... 69

2.6 Metode Perhitungan ............................................................................... 70

2.6.1 Skala Likert ..................................................................................... 70

2.6.2 Skala Rating Scale........................................................................... 71

2.6.3 Perhitungan Capability Level .......................................................... 73

2.7 Metode Pengumpulan Data .................................................................... 75

xi

2.8 Kajian Penelitian Sebelumnya ................................................................ 76

BAB III METODE PENELITIAN .................................................................... 79

3.1 Waktu dan Tempat Penelitian ................................................................ 79

3.2 Data dan Perangkat Penelitian ................................................................ 79

3.3 Metode Penelitian ................................................................................... 80

3.3.1 Desain Penelitian ............................................................................. 80

3.3.2 Metode Pengumpulan Data ............................................................. 80

3.3.3 Metode Analisis Data ...................................................................... 87

3.4 Metode Penerapan Tata Kelola Teknologi Informasi ............................ 87

3.4.1 Tahap 1 – Initiate Programme ........................................................ 87

3.4.2 Tahap 2 – Define Problems and Opportunities .............................. 88

3.4.3 Tahap 3 – Define Road Map ........................................................... 89

3.4.4 Tahap 4 – Plan Programme ............................................................ 90

3.5 Kerangka Berfikir Penelitian .................................................................. 90

BAB IV HASIL DAN PEMBAHASAN ............................................................ 92

4.1 Tahap 1 - Initiate Programme ................................................................ 92

4.1.1 Pengumpulan Data .......................................................................... 92


(BMKG)………………………………………..…………………………93

4.1.1.2 Struktur Organisasi Badan Meteorologi Klimatologi dan

Geofisika (BMKG)..................................................................................... 95


Geofisika (BMKG)..................................................................................... 96

4.1.2 Penentuan Goal Cascade dan RACI ............................................. 101

4.1.2.1 Pemetaan Domain Proses .......................................................... 101

4.1.2.2 Diagram RACI .......................................................................... 105

4.1.2.2.1 Identifikasi Diagram RACI Manage Risk (APO12) ............ 105

4.1.2.2.2 Identifikasi Diagram RACI Manage Security (APO13) ...... 107

4.1.2.2.3 Identifikasi Diagram RACI Manage Security Services

(DSS05) 108

4.2 Tahap 2 - Define Problems and Opportunities .................................... 110

4.2.1 Pengukuran Capability Level ........................................................ 111

4.2.1.1 Temuan Data ............................................................................. 111

xii

4.2.1.1.1 Temuan Data Proses APO12 (Manage Risk) ....................... 112

4.2.1.1.2 Temuan Data Proses APO13 (Manage Security) ................. 113

4.2.1.1.3 Temuan Data Proses DSS05 (Manage Security Services) ... 114

4.2.1.2 Pengolahan Data Responden ..................................................... 116

4.2.1.2.1 Pengolahan Data Responden APO12 (Manage Risk) .......... 117

4.2.1.2.2 Pengolahan Data Responden APO13 (Manage Security) .... 123

4.2.1.2.3 Pengolahan Data Responden DSS05 (Manage Security

Services) 126

4.2.1.3 Perhitungan Capability Level .................................................... 133

4.2.1.3.1 Perhitungan Capability Level APO12 (Manage Risk) ......... 133

4.2.1.3.2 Perhitungan Capability Level APO13 (Manage Security) ... 136

4.2.1.3.3 Perhitungan Capability Level DSS05 (Manage Security

Services)…… ....................................................................................... 137

4.2.2 Hasil Perhitungan Keseluruhan Capability Level ......................... 141

4.3 Tahap 3 - Define Road Map ................................................................. 147

4.3.1 Analisis Kesenjangan Kapabilitas Proses ..................................... 149



4.3.1.3 Pemenuhan Proses DSS05 ......................................................... 164

4.4 Tahap 4 - Plan Programme .................................................................. 174

4.5.1 Gap dan Rekomendasi................................................................... 175

4.4.1.1 Gaps dan Rekomendasi Proses APO12 (Manage Risk) ............ 175

4.4.1.2 Gaps dan Rekomendasi Proses APO13 (Manage Security) ...... 180

4.4.1.3 Gaps dan Rekomendasi Proses DSS05 (Manage Security

Services) ................................................................................................... 184

4.5.2 Pemetaan Proses COBIT dan ISO 27002 ..................................... 192

4.5.3 Perancangan Usulan Berdasarkan ISO 27002 .............................. 195

4.5.3.1 Panduan Implementasi Manajemen Insiden .............................. 195

4.5.3.2 Rancangan Pengelolaan Hak Akses .......................................... 200

4.5.3.3 SOP Ruang Data Center ............................................................ 208

4.5.4 Implikasi ........................................................................................ 213

4.5.5 Perbandingan Penelitian Terdahulu .............................................. 214

4.5.6 Limited Of Study ............................................................................ 215

xiii

BAB V PENUTUP ............................................................................................. 218

5.1 Kesimpulan ........................................................................................... 218

5.2 Saran ..................................................................................................... 219

DAFTAR PUSTAKA ........................................................................................ 221

LAMPIRAN – LAMPIRAN ............................................................................. 226

xiv

DAFTAR GAMBAR

Gambar 2.1 Struktur dan Peran Tata Kelola........................................................ 18

Gambar 2.2 Evolution of Scope .......................................................................... 23

Gambar 2.3 Coverage COBIT 5 (ISACA, 2012) ................................................ 27

Gambar 2.4 Process Reference Model (ISACA, 2012) ....................................... 32

Gambar 2.5 Siklus Hidup Implementasi COBIT 5 (ISACA, 2012) .................... 36

Gambar 2.6 RACI Chart APO12 (ISACA,2012:142) ......................................... 44

Gambar 2.7 Proses Assessment Process Activities (ISACA, 2012) ................... 46

Gambar 2.8 COBIT 5 Process Capability Model (ISACA, 2013:42) ................ 49

Gambar 2.9 Pemetaan IT-related goal pada COBIT 5 ........................................ 50

Gambar 2.10 Pemetaan IT-related goal pada COBIT 5 (lanjutan) ...................... 51

Gambar 2.11 Klausul ISO 27002 2013 ............................................................... 55

Gambar 2.12 ISO 27000 Family (Sumber: Sarno dan Iffano, 2009: 56) ............ 68

Gambar 3. 1 Kerangka Berpikir .......................................................................... 91

Gambar 4. 1 Struktur Organisasi ......................................................................... 95

Gambar 4. 2 Pemetaan IT Enterprise Goal COBIT 5 ........................................ 102

Gambar 4. 3 Pemetaan Proses Terkait COBIT 5 ............................................... 103



Gambar 4. 6 RACI Chart DSS05 (ISACA, 2012) ............................................. 108



Gambar 4. 9 Grafik Nilai Kapabilitas DSS05 ................................................... 145

Gambar 4. 10 Rancangan Rekomendasi Alur Permohonan Hak Akses ............ 205

Gambar 4. 11 Rancangan Rekomendasi Alur Kunjungan Data Center ............ 212

xv

DAFTAR TABEL

Tabel 2.1 Jumlah Klausul ISO 27002 .................................................................. 67

Tabel 2.2 Ketentuan Nilai Skala Likert ................................................................ 71

Tabel 2.3 Rating Levels (ISACA, 2012) .............................................................. 72

Tabel 2.4 Pemetaan Jawaban Nilai dan Tingkat Kapabilitas ............................... 74

Tabel 3. 1 Penelitian Sejenis ................................................................................ 87






















Tabel 4. 22 Nilai Kapabilitas dan Tingkat Kapabilitas DSS05 .......................... 144


xvi






Tabel 4. 29 Proses DSS05 PA 1.1 Process Performance ................................... 165

Tabel 4. 30 Proses DSS05 PA 2.1 Performance Management ........................... 169

Tabel 4. 31 Proses DSS05 PA 2.2 Product Management ................................... 171












Tabel 4. 43 Mapping COBIT 5 to ISO 27002 .................................................... 194


............................................................................................................................. 200

Tabel 4. 45 Penyesuaian Aktifitas Pengelolaan Hak Akses dengan Control ISO

27002 ................................................................................................................... 205

1

BAB I

PENDAHULUAN

1.1 Latar Belakang Permasalahan

Penggunaan teknologi informasi pada suatu instansi tentunya akan

membawa banyak keuntungan bagi instansi itu sendiri. Peningkatan peran

teknologi informasi nantinya harus berbanding lurus dengan investasi yang

dikeluarkan dan pencapaian visi instansi tersebut. Hal ini akan membutuhkan

perencanaan yang matang dalam pelaksanaan investasi teknologi informasi

nantinya. Untuk itulah diperlukan adanya tata kelola teknologi informasi yang baik

pada suatu instansi dimulai dari perencanaan sampai dengan implementasi agar

instansi tersebut dapat berjalan secara optimal (Jogiyanto, 2012).

Teknologi Informasi merupakan aset yang sangat berharga bagi suatu

perusahaan, dimana perannya telah mampu mengubah pola kerja, kinerja SDM dan

juga sistem manajemen dalam mengelola sebuah organisasi (Haewon, 2016).

Penerapan teknologi informasi (TI) pada proses bisnis suatu organisasi dipandang

mampu menjadi sebuah solusi yang nantinya dapat meningkatkan daya saing

perusahaan dalam industri (Nugroho H, 2014). Hal ini menyebabkan pentingnya

peningkatan peran TI agar selaras dengan investasi yang telah dikeluarkan. Upaya

ini tentu harus diimbangi dengan pengaturan dan pengelolaan yang tepat, sehingga

kerugian yang mungkin terjadi dapat dihindari. Kerugian yang dimaksud seperti

pengadaan investasi TI yang bernilai tinggi namun tidak diimbangi dengan nilai

balik yang menguntungkan bagi perusahaan. Hal tersebut tentu dapat berpengaruh

2

terhadap efektifitas dan efisiensi dalam pencapain tujuan dan strategi organisasi

(Mardjiono, 2009).

Pada jurnal (Putra, 2019) menjelaskan bahwa Tata Kelola Teknologi

Informasi (ITG) adalah bagian terpadu dari transformasi teknologi informasi dan

manajemen organisasi yang mencakup kepemimpinan, struktur, dan proses

organisasi untuk memastikan bahwa teknologi informasi dimanfaatkan seoptimal

mungkin. ITG juga diperlukan untuk mendapatkan nilai dari investasi TI mereka

dan menciptakan keunggulan kompetitif. Tata kelola TI mengubah kondisi

organisasi dalam mengambil keputusan, mengatur proses, dan menetapkan struktur

organisasi.

Keamanan informasi adalah perlindungan informasi dari berbagai ancaman

untuk memastikan kelangsungan bisnis, meminimalkan risiko bisnis, dan

memaksimalkan pengembalian investasi dan peluang bisnis (Sheikhpour, 2016), uji

tuntas harus dilakukan untuk memastikan risiko diketahui dan dikelola ketika

berurusan dengan aset perusahaan dan perlindungannya. Ini melibatkan uji tuntas

dalam mengidentifikasi dan menilai risiko keamanan bisnis dan informasi, serta

menerapkan sistem kontrol yang efektif, pemantauan dan tinjauan berkala

dilakukan untuk memastikan kontrol tetap efektif. dan jika tidak berjalan dengan

baik, harus dilakukan perbaikan dengan tepat dan cepat. Dengan kata lain, harus

ada proses tata kelola keamanan informasi yang berlaku khususnya untuk

melindungi aset informasi organisasi (Humphreys, 2008).

Ada beberapa framework pengelolaan teknologi informasi yang digunakan

secara luas dan salah satunya adalah IT Governance yang terdapat pada COBIT

3

(Control Objectives for Information and Related Technology). COBIT dapat

dikatakan sebagai kerangka kerja teknologi informasi yang dipublikasikan oleh

ISACA (Information System Audit and Control Association). COBIT berfungsi

mempertemukan semua bisnis kebutuhan kontrol dan isu-isu teknik. Di samping

itu, COBIT juga dirancang agar dapat menjadi alat bantu yang dapat memecahkan

permasalahan pada IT governance dalam memahami dan mengelola resiko serta

keuntungan yang behubungan dengan sumber daya informasi perusahaan.

Agar tata kelola keamanan informasi dapat berjalan dengan baik diperlukan

suatu standar untuk melakukan tata kelola tersebut (Tanuwijaya dan Sarno, 2010:

80). Menurut (Sarno dan Iffano, 2009: 59) tidak ada acuan baku mengenai standar

apa yang akan digunakan atau dipilih oleh perusahaan untuk melaksanakan audit

keamanan sistem informasi. ISO27002 adalah sebuah standar internasional yang

tidak terikat dengan peraturan negara manapun. Penggunaan standar ISO27002

adalah bersifat voluntary yang berarti bahwa masing-masing organisasi dapat

memilih praktik terbaik mana yang digunakan yang cocok dengan kebutuhan

organisasi. Selain itu, pertimbangan lainnya adalah ISO 27002 menyediakan

sertifikat implementasi Sistem Manajemen Keamanan Informasi (SMKI) yang

diakui secara internasional yang disebut Information Security Management Sistem

(ISMS) certification (Sarno dan Iffano, 2009:59-60).

COBIT 5 digunakan untuk memetakan permasalahan dengan proses-proses

terkait, memperoleh proses-proses yang berkaitan dengan tata kelola (governance),

serta melakukan assessment untuk menilai kondisi implementasi saat ini dan yang

diharapkan, sedangkan ISO 27002 memberikan rekomendasi praktik terbaik untuk

4

sistem manajemen keamanan informasi (ISMS, Information Security Management

System) yang didefinisikan dalam standar konteks C-I-A: confidentiality

(kerahasiaan), integrity (integritas), dan availabity (ketersediaan). Kerangka kerja

COBIT yang diterapkan bersama dengan ISO 27002, diharapkan dapat membantu

menyelesaikan masalah-masalah yang terjadi di BMKG khususnya manajemen

risiko dan manajemen keamanan yang sangat membutuhkan pengelolaan lebih

baik.

Terdapat beberapa fakta yang telah penulis dapatkan dari studi literatur dan

beberapa penelitian jurnal terkait dengan pengelolaan COBIT 5 dan ISO 27002,

penulis mendapatkan ide usulan pengelolaan menggunakan COBIT dan ISO 27002

karena berdasarkan tulisan (Ariyani, 2013) peningkatan perhatian pada unsur

keamanan dan penerapan teknologi informasi sangat penting demi keberlangsungan

suatu organisasi di era digital saat ini. (Sudhista, 2015) juga menerangkan bahwa

perbedaan dan persamaan yang terdapat pada model framework COBIT, ITIL, dan

ISO/IEC 27002 yang diintergrasikan akan merangkai sebuah usulan framework

yang komprehensif sehingga dapat digunakan untuk setiap organisasi., kemudian

peneliti juga melihat kutipan (Nastase Pavel, 2009) yaitu perusahaan harus

mempertimbangkan lingkungan TI saat ini dan banyaknya standar yang dapat

diterapkan pada sistem informasi, merupakan tantangan bagi setiap organisasi

untuk memilih serangkaian standar yang paling sesuai yang memenuhi kebutuhan

mereka. Peneliti (Gupta, Dwivedi, & Chaurasiya, 2013) memberikan gambaran

bahwa jika kerangka kerja keamanan tidak terapkan maka tidak akan diketahui

sejauh mana standar lain dapat dicapai dan ini membuat bertambahnya biaya dan

5

waktu yang dikeluarkan. (John Walhoff, 2005) juga berkesimpulan bahwa saat ini

setiap organisasi harus mampu menyediakan layanan TI secara efisien biaya,

berikut dengan risiko keamanan dan memenuhi persyaratan hukum. Pada

prinsipnya faktor-faktor itu sulit diterapkan, untuk itu perlu kombinasi ITIL,

COBIT dan ISO 17799. ITIL digunakan untuk mendefinisikan proses, COBIT

untuk metrik, tolak ukur dan audit sedangkan ISO 17799 digunakan untuk

mengatasi masalah keamanan untuk mengurangi resiko.


41/PER/MEN/KOMINFO/11/2007, dinyatakan bahwa untuk memastikan

penggunaan TIK benar-benar mendukung tujuan penyelenggaraan pemerintahan,

dengan memperhatikan efisiensi penggunaan sumberdaya dan pengelolaan risiko,

diperlukan Good Governance terkait dengan TIK, yang disebut sebagai Tata Kelola

TIK (The Ministry of Communication and Information Technology of the Republic

of Indonesia, 2017).







Kegiatan Meteorologi dan Geofísika pada awalnya hanya pada pengamatan cuaca



6








dan Bidang Manajemen Jaringan Komunikasi (Meteorologi & Geofisika, 2009).

Pusat Jaringan Komunikasi BMKG telah menggunakan standar ISO 27001

dalam pelaksanaan tata kelola teknologi informasi sesuai peraturan pemerintah,

yang mewajibkan lembaga pemerintahan menerapkan standar ISO 27001 karena

merupakan framework yang memiliki standar internasional (Komunikasi,

Meteorologi, & Dan, 2015). Penerapan standar menggunakan ISO 27001 ini telah

menghasilkan dokumen kebijakan keamanan informasi yang saat ini digunakan

sebagai acuan dan sedang coba diimplementasikan oleh Pusat Jaringan Komunikasi

BMKG. Namun setelah dilakukannya penerapan standar ISO 27001 3 tahun

belakangan ini, masih banyak standar yang belum bisa terimplementasi akibat

kurangnya pemahaman dan arahan teknis terhadap SDM terkait.

Akibat belum menyeluruhnya penerapan ISO 27001 adalah hak akses masih

terlalu fleksibel terkait aset ataupun Data Center karena kurangnya ketegasan dan

arahan teknis, karena sistem yang ada pada BMKG belum terintegrasi dengan baik

antara masing masing bidang, maka setiap bidang memiliki sistem dari vendor

berbeda dan server masing-masing yang ditempatkan didalam satu ruang Data

7

Center, itu juga yang membuat lamanya penanganan jika salah satu sistem pada

BMKG mengalami insiden, karena bidang terkait biasanya menghubungi vendor

developer untuk membantu menangani atau memperbaiki sistem tersebut, insiden

tersebut juga sering terjadi berulang dikarenakan minimnya pendokumentasian

terhadap insiden pada Pusat Jaringan Komunikasi BMKG.

Mengingat permasalahan yang dihadapi Pusat Jaringan Komunikasi BMKG

menyangkut kontrol akses dan resiko/insiden keamanan informasi serta standar ISO

27002 adalah penyempurna standar yang sebelumnya telah diterapkan yaitu ISO

27001 dan sangat fleksibel dikembangkan tergantung pada kebutuhan organisasi,

tujuan organisasi, persyaratan keamanan, proses bisnis, jumlah pegawai dan ukuran

struktur organisasi. Maka diharapkan dengan adanya pengelolaan keamanan

informasi pada Badan Meteorologi Klimatologi dan Geofisika menggunakan

framework COBIT 5 dan ISO 27002 dapat mengetahui kelemahan-kelemahan

sistem yang menjadi penyebab permasalahan keamanan informasi yang selama ini

terjadi. Selain dapat mengukur tingkat keamanan yang dimiliki Badan Meteorologi

Klimatologi dan Geofisika. Usulan menggunakan COBIT 5 dan ISO 27002 ini juga

menghasilkan rekomendasi tentang perbaikan yang harus dilakukan untuk

meningkatkan keamanan informasi pada perusahaan, serta menjadi pertimbangan

untuk menerapkan secara menyeluruh untuk memperoleh ISMS certification

dengan standar ISO 27002 pada masa mendatang.

8

Berdasarkan uraian diatas, maka penulis bermaksud untuk melakukan

penelitian dengan judul “Evaluasi Tata Kelola Keamanan Sistem Informasi

Menggunakan Framework COBIT 5 dan ISO 27002 (Studi Kasus: Pusat

Jaringan Komunikasi Badan Meteorologi Klimatologi dan Geofisika).”

1.2 Identifikasi Masalah

Berdasarkan uraian dari latar belakang diatas, maka identifikasi masalah

yang terdapat didalam BMKG di Pusat Jaringan Komunikasi, adalah:

1. Sudah adanya tata kelola manajemen keamanan menggunakan framework ISO

27001 namun penerapannya belum maksimal sehingga menyebabkan lemahnya

manajemen kontrol hak akses.

2. Perijinan terhadap kunjungan ruang Data Center terlalu fleksibel sehingga

menyebabkan kurangnya keamanan database dan infrastruktur serta rawannya

pencurian data didalam Data Center Pusat Jaringan Komunikasi BMKG.

3. Penerapan manajemen resiko dan pendokumentasian insiden yang minim

mengakibatkan sering terjadinya insiden yang berulang pada Pusat Jaringan

Komunikasi .

Atas landasan identifikasi masalah tersebut maka perumusan masalah dalam

penelitian ini adalah bagaimana kondisi Tata Kelola Keamanan Teknologi

Informasi berdasarkan framework Control Objectives For Information and Related

Technology (COBIT) 5 dan International Standards Organization (ISO) 27002 di

BMKG?

9

1.3 Batasan Masalah

Berdasarkan identifikasi masalah di atas, maka batasan masalah penelitian

ini, adalah:

a. Penelitian mengenai Evaluasi Tata Kelola Keamanan Teknologi Informasi ini

dilakukan pada Badan Meteorologi Klimatologi dan Geofisika bagian Pusat

Jaringan Komunikasi.

b. Penelitian ini menggunakan framework COBIT 5 untuk menghitung Capability

Level dan menggunakan Standar ISO 27002 sebagai pedoman perancangan

rekomendasi tata kelola keamanan teknologi informasi.

c. Peneliti hanya berfokus pada 3 domain dalam COBIT 5 sebagai acuan bahan

evaluasi yaitu APO12 (Manage Risk), APO13 (Manage Security) dan DSS05


d. Tahapan usulan penerapan tata kelola keamanan teknologi informasi yang

digunakan dalam penelitian ini adalah: Initiate Programme, Define Problems

and Opportunities, Define Road Map, Plan Programme.

e. Skala pengukuran Capability level pada penelitian ini menggunakan skala

Likert.

1.4 Tujuan Penelitian

Pada penelitian ini, terdapat dua jenis tujuan penelitian, yaitu tujuan umum

dan tujuan khusus. Tujuan umum penelitian adalah mengetahui kondisi tata kelola

keamanan teknologi informasi dan memberikan usulan perancangan berdasarkan

10

rekomendasi pada Pusat Jaringan Komunikasi BMKG. Sedangkan tujuan khusus

penelitian ini adalah sebagai berikut:

1. Mengetahui Capability Level tata kelola keamanan teknologi informasi saat ini

dengan yang diharapkan di Pusat Jaringan Komunikasi BMKG.

2. Menganalisis temuan-temuan gap dari hasil pengumpulan evidence terhadap

perhitungan Capability Level.

3. Memberikan rekomendasi perbaikan pengelolaan keamanan teknologi


COBIT 5.

4. Memberikan usulan rancangan perbaikan pengelolaan keamanan teknologi


standar ISO 27002.

1.5 Manfaat Penelitian

Adapun manfaat dari penelitian yang dilakukan adalah sebagai berikut:

1. Memberikan gambaran pada organisasi mengenai tata kelola teknologi

informasi yang baik (Good Governance) berdasarkan kerangka kerja COBIT 5

dan standar ISO 27002.

2. Membantu organisasi dalam mengelola keamanan teknologi informasi.

3. Menjadi pertimbangan penerapan Standar ISO 27002 secara keseluruhan untuk

memperoleh ISMS certification pada masa mendatang.

4. Menjadikan salah satu referensi bagi peneliti selanjutnya, khususnya dalam

melakukan evaluasi tata kelola keamanan teknologi informasi.

11

1.6 Metodologi Penelitian

Pada penelitian ini, penulis menggunakan beberapa metode pada saat

melakukan kegiatan penelitian. Penulis menggunakan metode-metode sebagai

berikut:

1.6.1 Metodologi Pengumpulan Data

1. Observasi

Observasi dilakukan dengan mengamati secara langsung wilayah penelitian

yang dilakukan, yaitu pada BMKG.

2. Wawancara

Wawancara yang dilakukan oleh peneliti untuk mengetahui kondisi umum

teknologi informasi pada BMKG.

3. Kuesioner

Kuesioner adalah teknik pengumpulan data yang dilakukan dengan cara

memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden

untuk dijawab (Sugiyono, 2012).

4. Studi Literatur

Studi literatur adalah kegiatan peneliti yang dilakukan dengan membaca dan

mempelajari bahan pustaka, seperti buku-buku, jurnal dan penelitian sejenis

yang sebelumnya telah dilakukan.

1.6.2 Metodologi Analisis Data

Penelitian ini menggunakan metode analisis data kualitatif yang

menekankan pada sumber data dan fakta. Kemudian data dikembangkan dengan

12

acuan pada 4 tahapan COBIT Lifecycle yaitu Initiate Programme, Define Problems

and Opportunities, Define Road Map, dan Plan Programme.

1.6.2.1 Metode Penerapan Tata Kelola Teknologi Informasi

Dalam penerapan tata kelola teknologi informasi terdapat beberapa tahapan

berdasarkan acuan pada kerangka kerja (framework) yaitu:

1. Tahap 1 – Initiate Programme

Pada tahap ini, peneliti melakukan pengumpulan data primer berupa

informasi terkait Profil Pusat Jaringan Komunikasi, tata kelola teknologi

informasi dan mengidentifikasi kebutuhan perubahan pada tingkat

manajemen eksekutif yang bertujuan untuk memperoleh pemahaman

tentang organisasi dan masalah saat ini yang dihadapi BMKG.


Tahap kedua adalah menjelaskan tentang kemampuan organisasi saat ini,

kekurangan yang dimiliki, pengelolaan yang diharapkan dan semua yang

berhubungan dengan tata kelola keamanan TI dan strategi organisasi.

3. Tahap 3 – Define Road Map

Pada tahapan ini, peneliti menetapkan target untuk perbaikan yang diikuti

dengan analisis gap untuk mengidentifikasi potensi solusi.

4. Tahap 4 – Plan Programme

Pada tahap ini menjelaskan tentang rencana dan solusi praktis untuk

organisasi dengan mendefinisikan rekomendasi perbaikan berdasarkan

framework COBIT 5 yang mendukung tujuan organisasi dan perubahan