skripsi evaluasi tata kelola keamanan teknologi...
TRANSCRIPT
SKRIPSI
“EVALUASI TATA KELOLA KEAMANAN TEKNOLOGI INFORMASI
MENGGUNAKAN FRAMEWORK
COBIT 5 DAN ISO 27002”
(STUDI KASUS : PUSAT JARINGAN KOMUNIKASI BADAN
METEOROLOGI KLIMATOLOGI DAN GEOFISIKA)
SKRIPSI
Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Strata Satu
Program Studi Sistem Informasi Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
EKO YULIYANTO ADI WIBOWO
1112093000072
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2019
SKRIPSI
“EVALUASI TATA KELOLA KEAMANAN TEKNOLOGI INFORMASI
MENGGUNAKAN FRAMEWORK
COBIT 5 DAN ISO 27002”
(STUDI KASUS : PUSAT JARINGAN KOMUNIKASI BADAN METEOROLOGI
KLIMATOLOGI DAN GEOFISIKA)
SKRIPSI
Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Strata Satu
Program Studi Sistem Informasi Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
EKO YULIYANTO ADI WIBOWO
1112093000072
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2019
ii
PENGESAHAN SKRIPSI
iii
PERNYATAAN
iv
ABSTRAK
EKO YULIYANTO ADI WIBOWO - 1112093000072. “Evaluasi Tata Kelola
Keamanan Teknologi Informasi Menggunakan Framework COBIT 5 dan ISO
27002 (Studi Kasus: Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi
dan Geofisika).” di bawah bimbingan SYOPIANSYAH JAYA PUTRA dan SUCI
RATNAWATI.
Tata Kelola Keamanan Teknologi Informasi sangat dibutuhkan dalam upaya
penerapan Good Governance sebuah perusahaan terutama instansi pemerintah,
karna untuk meminimalisir dampak-dampak atau resiko yang akan dialami dan
untuk penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya
memastikan atau menjamin kelangsungan bisnis (business continuity),
meminimalisasi resiko bisnis (reduce business risk) dan memaksimalkan atau
mempercepat pengembalian investasi dan peluang bisnis. Masalah yang dihadapi
Pusat Jaringan Komunikasi adalah penerapan framework ISO 27001 belum
maksimal sehingga menyebabkan lemahnya manajemen kontrol hak akses,
perijinan kunjungan ruang Data Center terlalu fleksibel menyebabkan kurangnya
keamanan database dan infrastruktur serta rawannya pencurian data dan minimnya
pendokumentasian insiden yang mengakibatkan sering terjadinya insiden yang
berulang. Penelitian ini bertujuan menganalisis temuan gap dan memberikan
rekomendasi perbaikan menggunakan Framework COBIT 5 serta merancang
usulan perbaikan Keamanan Teknologi Informasi dengan framework ISO 27002.
Peneliti menggunakan 4 tahapan metode perancangan yang mengadopsi dari
COBIT lifecycle yaitu Initiate Programme, Define Problems and Opportinities,
Define Road Map dan Plan Programme Berfokus pada domain Manage Risk,
Manage Security dan Manage Security Services. Tools kuesioner menggunakan
skala pengukuran Likert. Hasil dari penelitian ini menunjukan capability level pada
Proses APO12 (Manage Risk), APO13 (Manage Security), DSS05 (Manage
Security Services) di Pusat Jaringan Komunikasi saat ini berada pada level 2
(managed process) dengan tingkat kapabilitas yang diharapkan berada di level 3
(established process) dengan masing-masing gap sebesar 1,13, 1,10 dan 0,97 serta
perancangan hasil rekomendasi berupa Panduan Implementasi Manajemen Insiden,
Rancangan Pengelolaan Hak Akses, dan SOP Ruang Data Center diadopsi
berdasarkan framework ISO 27002 yang dapat digunakan untuk panduan
memaksimalkan keamanan informasi.
Kata Kunci : Keamanan, Teknologi Informasi, Tata Kelola, COBIT 5, ISO 27002.
V Bab + 219 Halaman + 50 Tabel + 24 Gambar + Pustaka (43, 2005-2019) + 11
Lampiran
v
KATA PENGANTAR
Bismillaahirrohmaanirrohiim
Puji syukur kehadirat Allah SWT yang telah melimpahkan segala rahmat-
Nya, penulis diberikan nikmat sehat dan ilmu sehingga dapat melaksanakan, dan
menyelesaikan penulisan skripsi ini. Shalawat beserta salam semoga selalu tercurah
kepada junjungan Nabi Muhammad SAW beserta keluarga, sahabat, kerabat, serta
muslimin, dan muslimat, semoga kita semua mendapatkan syafa’at dari beliau di
akhirat kelak. Amin.
Skripsi ini berjudul “Evaluasi Tata Kelola Keamanan Teknologi
Informasi Menggunakan Framework COBIT 5 dan ISO 27002 (Studi Kasus:
Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi dan Geofisika)”,
yang disusun untuk memenuhi salah satu syarat dalam menyelesaikan program S1
pada program studi Sistem Informasi di Universitas Islam Negeri Syarif
Hidayatullah Jakarta.
Pada kesempatan ini, peneliti ingin mengucapkan terima kasih kepada
pihak-pihak yang telah banyak membantu, baik moril dan materil, dalam
menyelesaikan skripsi ini. Untuk itu perkenankanlah peneliti menyampaikan
ungkapan terima kasih kepada:
1. Ibu Prof. Dr. Lily Surayya Eka Putri, M. Env. Stud selaku Dekan Fakultas Sains
dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta.
vi
2. Pak A’ang Subiyakto, Ph.D selaku Ketua Program Studi Sistem Informasi
Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah
Jakarta.
3. Ibu Nida’ul Hasanati, MMSI selaku Sekertaris Program Studi Sistem Informasi
Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah
Jakarta.
4. Bapak Dr. Syopiansyah Jaya Putra, M.SI, selaku dosen pembimbing I yang
secara bijaksana dan kooperatif telah memberikan ilmu dan bimbingan dengan
sabar serta membantu, dan mendukung secara moral maupun teknis selama
penyusunan skripsi ini.
5. Ibu Suci Ratnawati, M.TI, selaku dosen pembimbing II yang telah banyak
memberikan motivasi, ilmu baru, arahan serta bijaksana dan selalu meluangkan
waktu dalam membimbing proses penyusunan skripsi ini.
6. Dosen-dosen Program Studi Sistem Informasi yang telah memberikan ilmu,
motivasi, dan nasehat selama peneliti duduk di bangku perkuliahan.
7. Bapak. Ali Mas’at, S.Si, M.kom selaku Kepala Subbidang Manajemen
Teknologi Informasi di Pusat Jaringan Komunikasi pada Badan Meteorologi
Klimatologi dan Geofisika, yang telah membantu peneliti dalam mendapatkan
izin untuk dapat melakukan penelitian di Pusat Jaringan Komunikasi.
8. Mas Frank dan Mbak Nunik selaku Staff Senior Subbidang Manajemen
Teknologi Informasi di Pusat Jaringan Komunikasi pada Badan Meteorologi
Klimatologi dan Geofisika, selaku Pembimbing yang selalu sabar, bersedia
meluangkan waktunya dan telah banyak membantu peneliti dalam
vii
mengumpulkan kelengkapan data riset serta memberikan saran untuk skripsi
ini.
9. Staff Subbidang Manajemen Teknologi Informasi lainnya yang tidak dapat
peneliti sebutkan satu per satu yang selalu membantu dalam pelaksanaan
penelitian ini.
10. Bapak Suyatno dan Ibu Wantini, Orang tua yang sangat saya sayangi dan cintai,
terima kasih atas doa, dukungan, dan semuanya yang telah diberikan.
11. Adik saya Aprianto, terimakasih atas doa dan dukungannya baik moral maupun
bantuan tenaga yang diberikan selama proses penyelesaian skripsi ini
12. Kawan – Kawan Penikmat Semesta (PESTA) terima kasih atas seni pergabutan
selama ini dan menjelaskan kata “puncak” bukan hanya milik gunung dan
pelaminan saja.
13. Seseorang yang telah memberikan waktu untuk berbagi cerita, motivasi, do’a
dan teguran. Serta mengajarkan sabar, rindu, percaya, dan komunikasi jarak
jauh bagi penulis.
14. Seluruh pihak yang telah banyak membantu dalam penyelesaian skripsi ini yang
tidak bisa disebutkan namanya satu persatu, namun tidak mengurangi rasa
hormat dan rasa terima kasih.
Penulis sadar bahwa penyusunan skripsi ini masih jauh dari sempurna, maka
dari itu penulis menerima kritik dan saran yang konstruktif agar penyusunan skripsi
ini menjadi lebih baik lagi.
Akhir kata, semoga skripsi ini dapat bermanfaat bagi semua pihak terutama
teman-teman Sistem Informasi UIN Syarif Hidayatullah Jakarta, baik sebagai
viii
bahan karya tulis berupa informasi, perbandingan maupun dasar untuk penelitian
materi lebih lanjut.
Jakarta, 19 Maret 2019
EKO YULIYANTO ADI WIBOWO
1112093000072
ix
DAFTAR ISI
PENGESAHAN UJIAN ......................................................................................... i
PENGESAHAN SKRIPSI .................................................................................... ii
PERNYATAAN .................................................................................................... iii
ABSTRAK ............................................................................................................ iv
KATA PENGANTAR ........................................................................................... v
DAFTAR ISI ......................................................................................................... ix
DAFTAR GAMBAR .......................................................................................... xiv
DAFTAR TABEL ............................................................................................... xv
BAB I PENDAHULUAN ...................................................................................... 1
1.1 Latar Belakang Permasalahan .................................................................. 1
1.2 Identifikasi Masalah ................................................................................. 8
1.3 Batasan Masalah ....................................................................................... 9
1.4 Tujuan Penelitian ...................................................................................... 9
1.5 Manfaat Penelitian .................................................................................. 10
1.6 Metodologi Penelitian ............................................................................ 11
1.6.1 Metodologi Pengumpulan Data ...................................................... 11
1.6.2 Metodologi Analisis Data ............................................................... 11
1.6.2.1 Metode Penerapan Tata Kelola Teknologi Informasi ................. 12
1.7 Sistematika Penulisan ............................................................................. 13
BAB II LANDASAN TEORI ............................................................................. 15
2.1 Tata Kelola Keamanan Teknologi Informasi ......................................... 15
2.1.1 Teknologi Informasi ........................................................................ 15
2.1.2 Tata Kelola Teknologi Informasi .................................................... 15
2.1.2.1 Tujuan Tata Kelola Teknologi Informasi .................................... 16
2.1.3 Tata Kelola Teknologi Informasi Nasional ..................................... 17
2.1.4 Keamanan Teknologi Informasi ...................................................... 18
2.1.5 Pentingnya Keamanan Teknologi Informasi ................................... 19
2.2 Kerangka Kerja (Framework) Keamanan Teknologi Informasi ............ 20
2.2.1 BS 7799 ........................................................................................... 21
x
2.2.2 ITIL ................................................................................................. 21
2.2.3 COBIT ............................................................................................. 22
2.2.4 ISO 27000 Family ........................................................................... 24
2.3 Framework COBIT 5 ............................................................................. 25
2.3.1 Coverage COBIT 5 ......................................................................... 27
2.3.2 Perbedaan COBIT 5 dengan COBIT 4.1......................................... 30
2.3.3 Process Reference Model ................................................................ 31
2.3.3.1 Evaluate, Direct, and Monitor (EDM) ......................................... 32
2.3.3.2 Align, Plan, and Organise (APO) ................................................ 33
2.3.3.3 Build, Acquire, and Implementation (BAI) ................................. 34
2.3.3.4 Delivery, Service, and Support (DSS) ......................................... 35
2.3.3.5 Monitor, Evaluate, and Assess (MEA) ........................................ 35
2.3.4 Implementasi COBIT 5 ................................................................... 36
2.3.5 RACI ............................................................................................... 39
2.3.6 Process Assessment Model .............................................................. 45
2.3.6.1 Assessment Process Activities .................................................... 46
2.3.6.2 Indikator Kapabilitas Proses dalam COBIT 5 ............................. 48
2.3.7 Pemetaan Tujuan Terkait TI Terhadap Proses COBIT 5 ................ 49
2.3.8 Fokus Area Evaluasi Tata Kelola TI ............................................... 52
2.3.8.1 Proses APO 12 (Manage Risk) .................................................... 52
2.3.8.2 Proses APO 13 (Manage Security) .............................................. 52
2.3.8.3 Proses DSS05 (Manage Security Services) ................................. 53
2.4 Framework ISO 27002 ........................................................................... 53
2.4.1 Hubungan dengan ISO/IEC 27001 ................................................. 54
2.4.2 Struktur dan format ISO/IEC 27002: 2013 ..................................... 54
2.4.3 Content ISO/IEC 27002 .................................................................. 55
2.5 Pemetaan Proses COBIT kedalam Kontrol ISO ..................................... 69
2.6 Metode Perhitungan ............................................................................... 70
2.6.1 Skala Likert ..................................................................................... 70
2.6.2 Skala Rating Scale........................................................................... 71
2.6.3 Perhitungan Capability Level .......................................................... 73
2.7 Metode Pengumpulan Data .................................................................... 75
xi
2.8 Kajian Penelitian Sebelumnya ................................................................ 76
BAB III METODE PENELITIAN .................................................................... 79
3.1 Waktu dan Tempat Penelitian ................................................................ 79
3.2 Data dan Perangkat Penelitian ................................................................ 79
3.3 Metode Penelitian ................................................................................... 80
3.3.1 Desain Penelitian ............................................................................. 80
3.3.2 Metode Pengumpulan Data ............................................................. 80
3.3.3 Metode Analisis Data ...................................................................... 87
3.4 Metode Penerapan Tata Kelola Teknologi Informasi ............................ 87
3.4.1 Tahap 1 – Initiate Programme ........................................................ 87
3.4.2 Tahap 2 – Define Problems and Opportunities .............................. 88
3.4.3 Tahap 3 – Define Road Map ........................................................... 89
3.4.4 Tahap 4 – Plan Programme ............................................................ 90
3.5 Kerangka Berfikir Penelitian .................................................................. 90
BAB IV HASIL DAN PEMBAHASAN ............................................................ 92
4.1 Tahap 1 - Initiate Programme ................................................................ 92
4.1.1 Pengumpulan Data .......................................................................... 92
4.1.1.1 Gambaran Umum Badan Meteorologi Klimatologi dan Geofisika
(BMKG)………………………………………..…………………………93
4.1.1.2 Struktur Organisasi Badan Meteorologi Klimatologi dan
Geofisika (BMKG)..................................................................................... 95
4.1.1.3 Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi dan
Geofisika (BMKG)..................................................................................... 96
4.1.2 Penentuan Goal Cascade dan RACI ............................................. 101
4.1.2.1 Pemetaan Domain Proses .......................................................... 101
4.1.2.2 Diagram RACI .......................................................................... 105
4.1.2.2.1 Identifikasi Diagram RACI Manage Risk (APO12) ............ 105
4.1.2.2.2 Identifikasi Diagram RACI Manage Security (APO13) ...... 107
4.1.2.2.3 Identifikasi Diagram RACI Manage Security Services
(DSS05) 108
4.2 Tahap 2 - Define Problems and Opportunities .................................... 110
4.2.1 Pengukuran Capability Level ........................................................ 111
4.2.1.1 Temuan Data ............................................................................. 111
xii
4.2.1.1.1 Temuan Data Proses APO12 (Manage Risk) ....................... 112
4.2.1.1.2 Temuan Data Proses APO13 (Manage Security) ................. 113
4.2.1.1.3 Temuan Data Proses DSS05 (Manage Security Services) ... 114
4.2.1.2 Pengolahan Data Responden ..................................................... 116
4.2.1.2.1 Pengolahan Data Responden APO12 (Manage Risk) .......... 117
4.2.1.2.2 Pengolahan Data Responden APO13 (Manage Security) .... 123
4.2.1.2.3 Pengolahan Data Responden DSS05 (Manage Security
Services) 126
4.2.1.3 Perhitungan Capability Level .................................................... 133
4.2.1.3.1 Perhitungan Capability Level APO12 (Manage Risk) ......... 133
4.2.1.3.2 Perhitungan Capability Level APO13 (Manage Security) ... 136
4.2.1.3.3 Perhitungan Capability Level DSS05 (Manage Security
Services)…… ....................................................................................... 137
4.2.2 Hasil Perhitungan Keseluruhan Capability Level ......................... 141
4.3 Tahap 3 - Define Road Map ................................................................. 147
4.3.1 Analisis Kesenjangan Kapabilitas Proses ..................................... 149
4.3.1.1 Pemenuhan Proses APO12 ........................................................ 149
4.3.1.2 Pemenuhan Proses APO13 ........................................................ 158
4.3.1.3 Pemenuhan Proses DSS05 ......................................................... 164
4.4 Tahap 4 - Plan Programme .................................................................. 174
4.5.1 Gap dan Rekomendasi................................................................... 175
4.4.1.1 Gaps dan Rekomendasi Proses APO12 (Manage Risk) ............ 175
4.4.1.2 Gaps dan Rekomendasi Proses APO13 (Manage Security) ...... 180
4.4.1.3 Gaps dan Rekomendasi Proses DSS05 (Manage Security
Services) ................................................................................................... 184
4.5.2 Pemetaan Proses COBIT dan ISO 27002 ..................................... 192
4.5.3 Perancangan Usulan Berdasarkan ISO 27002 .............................. 195
4.5.3.1 Panduan Implementasi Manajemen Insiden .............................. 195
4.5.3.2 Rancangan Pengelolaan Hak Akses .......................................... 200
4.5.3.3 SOP Ruang Data Center ............................................................ 208
4.5.4 Implikasi ........................................................................................ 213
4.5.5 Perbandingan Penelitian Terdahulu .............................................. 214
4.5.6 Limited Of Study ............................................................................ 215
xiii
BAB V PENUTUP ............................................................................................. 218
5.1 Kesimpulan ........................................................................................... 218
5.2 Saran ..................................................................................................... 219
DAFTAR PUSTAKA ........................................................................................ 221
LAMPIRAN – LAMPIRAN ............................................................................. 226
xiv
DAFTAR GAMBAR
Gambar 2.1 Struktur dan Peran Tata Kelola........................................................ 18
Gambar 2.2 Evolution of Scope .......................................................................... 23
Gambar 2.3 Coverage COBIT 5 (ISACA, 2012) ................................................ 27
Gambar 2.4 Process Reference Model (ISACA, 2012) ....................................... 32
Gambar 2.5 Siklus Hidup Implementasi COBIT 5 (ISACA, 2012) .................... 36
Gambar 2.6 RACI Chart APO12 (ISACA,2012:142) ......................................... 44
Gambar 2.7 Proses Assessment Process Activities (ISACA, 2012) ................... 46
Gambar 2.8 COBIT 5 Process Capability Model (ISACA, 2013:42) ................ 49
Gambar 2.9 Pemetaan IT-related goal pada COBIT 5 ........................................ 50
Gambar 2.10 Pemetaan IT-related goal pada COBIT 5 (lanjutan) ...................... 51
Gambar 2.11 Klausul ISO 27002 2013 ............................................................... 55
Gambar 2.12 ISO 27000 Family (Sumber: Sarno dan Iffano, 2009: 56) ............ 68
Gambar 3. 1 Kerangka Berpikir .......................................................................... 91
Gambar 4. 1 Struktur Organisasi ......................................................................... 95
Gambar 4. 2 Pemetaan IT Enterprise Goal COBIT 5 ........................................ 102
Gambar 4. 3 Pemetaan Proses Terkait COBIT 5 ............................................... 103
Gambar 4. 4 RACI Chart APO12 (ISACA, 2012) ............................................ 106
Gambar 4. 5 RACI Chart APO13 (ISACA, 2012) ............................................ 107
Gambar 4. 6 RACI Chart DSS05 (ISACA, 2012) ............................................. 108
Gambar 4. 7 Grafik Nilai Kapabilitas APO12 ................................................... 141
Gambar 4. 8 Grafik Nilai Kapabilitas APO13 ................................................... 143
Gambar 4. 9 Grafik Nilai Kapabilitas DSS05 ................................................... 145
Gambar 4. 10 Rancangan Rekomendasi Alur Permohonan Hak Akses ............ 205
Gambar 4. 11 Rancangan Rekomendasi Alur Kunjungan Data Center ............ 212
xv
DAFTAR TABEL
Tabel 2.1 Jumlah Klausul ISO 27002 .................................................................. 67
Tabel 2.2 Ketentuan Nilai Skala Likert ................................................................ 71
Tabel 2.3 Rating Levels (ISACA, 2012) .............................................................. 72
Tabel 2.4 Pemetaan Jawaban Nilai dan Tingkat Kapabilitas ............................... 74
Tabel 3. 1 Penelitian Sejenis ................................................................................ 87
Tabel 4. 1 Responden Terpilih APO12 .............................................................. 106
Tabel 4. 2 Responden Terpilih APO13 .............................................................. 108
Tabel 4. 3 Responden Terpilih APO13 .............................................................. 109
Tabel 4. 4 Rekapitulasi Jawaban Kuesioner Capability Level APO12.01 ......... 117
Tabel 4. 5 Rekapitulasi Jawaban Kuesioner Capability Level APO12.02 ......... 118
Tabel 4. 6 Rekapitulasi Jawaban Kuesioner Capability Level APO12.03 ......... 119
Tabel 4. 7 Rekapitulasi Jawaban Kuesioner Capability Level APO12.04 ......... 120
Tabel 4. 8 Rekapitulasi Jawaban Kuesioner Capability Level APO12.05 ......... 121
Tabel 4. 9 Rekapitulasi Jawaban Kuesioner Capability Level APO12.06 ......... 122
Tabel 4. 10 Rekapitulasi Jawaban Kuesioner Capability Level APO13.01 ....... 123
Tabel 4. 11 Rekapitulasi Jawaban Kuesioner Capability Level APO13.02 ....... 124
Tabel 4. 12 Rekapitulasi Jawaban Kuesioner Capability Level APO13.03 ....... 125
Tabel 4. 13 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.01 ........ 126
Tabel 4. 14 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.02 ........ 127
Tabel 4. 15 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.03 ........ 128
Tabel 4. 16 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.04 ........ 129
Tabel 4. 17 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.05 ........ 130
Tabel 4. 18 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.06 ........ 131
Tabel 4. 19 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.07 ........ 132
Tabel 4. 20 Nilai Kapabilitas dan Tingkat Kapabilitas APO12 ......................... 141
Tabel 4. 21 Nilai Kapabilitas dan Tingkat Kapabilitas APO13 ......................... 143
Tabel 4. 22 Nilai Kapabilitas dan Tingkat Kapabilitas DSS05 .......................... 144
Tabel 4. 23 Proses APO12 PA 1.1 Process Performance ................................... 151
xvi
Tabel 4. 24 Proses APO12 PA 2.1 Performance Management .......................... 155
Tabel 4. 25 Proses APO12 PA 2.2 Product Management .................................. 156
Tabel 4. 26 Proses APO13 PA 1.1 Process Performance ................................... 159
Tabel 4. 27 Proses APO13 PA 2.1 Performance Management .......................... 161
Tabel 4. 28 Proses APO13 PA 2.2 Product Management .................................. 163
Tabel 4. 29 Proses DSS05 PA 1.1 Process Performance ................................... 165
Tabel 4. 30 Proses DSS05 PA 2.1 Performance Management ........................... 169
Tabel 4. 31 Proses DSS05 PA 2.2 Product Management ................................... 171
Tabel 4. 32 Gaps dan Rekomendasi APO12.02 ................................................. 178
Tabel 4. 33 Gaps dan Rekomendasi APO12.03 ................................................. 179
Tabel 4. 34 Gaps dan Rekomendasi APO12.04 ................................................. 179
Tabel 4. 35 Gaps dan Rekomendasi APO12.05 ................................................. 180
Tabel 4. 36 Gaps dan Rekomendasi APO13.01 ................................................. 183
Tabel 4. 37 Gaps dan Rekomendasi APO13.03 ................................................. 183
Tabel 4. 38 Gaps dan Rekomendasi DSS05.01 .................................................. 187
Tabel 4. 39 Gaps dan Rekomendasi DSS05.03 .................................................. 188
Tabel 4. 40 Gaps dan Rekomendasi DSS05.04 .................................................. 188
Tabel 4. 41 Gaps dan Rekomendasi DSS05.05 .................................................. 189
Tabel 4. 42 Gaps dan Rekomendasi DSS05.07 .................................................. 190
Tabel 4. 43 Mapping COBIT 5 to ISO 27002 .................................................... 194
Tabel 4. 44 Penyesuaian Aktifitas Manajemen Insiden dengan Control ISO 27002
............................................................................................................................. 200
Tabel 4. 45 Penyesuaian Aktifitas Pengelolaan Hak Akses dengan Control ISO
27002 ................................................................................................................... 205
1
BAB I
PENDAHULUAN
1.1 Latar Belakang Permasalahan
Penggunaan teknologi informasi pada suatu instansi tentunya akan
membawa banyak keuntungan bagi instansi itu sendiri. Peningkatan peran
teknologi informasi nantinya harus berbanding lurus dengan investasi yang
dikeluarkan dan pencapaian visi instansi tersebut. Hal ini akan membutuhkan
perencanaan yang matang dalam pelaksanaan investasi teknologi informasi
nantinya. Untuk itulah diperlukan adanya tata kelola teknologi informasi yang baik
pada suatu instansi dimulai dari perencanaan sampai dengan implementasi agar
instansi tersebut dapat berjalan secara optimal (Jogiyanto, 2012).
Teknologi Informasi merupakan aset yang sangat berharga bagi suatu
perusahaan, dimana perannya telah mampu mengubah pola kerja, kinerja SDM dan
juga sistem manajemen dalam mengelola sebuah organisasi (Haewon, 2016).
Penerapan teknologi informasi (TI) pada proses bisnis suatu organisasi dipandang
mampu menjadi sebuah solusi yang nantinya dapat meningkatkan daya saing
perusahaan dalam industri (Nugroho H, 2014). Hal ini menyebabkan pentingnya
peningkatan peran TI agar selaras dengan investasi yang telah dikeluarkan. Upaya
ini tentu harus diimbangi dengan pengaturan dan pengelolaan yang tepat, sehingga
kerugian yang mungkin terjadi dapat dihindari. Kerugian yang dimaksud seperti
pengadaan investasi TI yang bernilai tinggi namun tidak diimbangi dengan nilai
balik yang menguntungkan bagi perusahaan. Hal tersebut tentu dapat berpengaruh
2
terhadap efektifitas dan efisiensi dalam pencapain tujuan dan strategi organisasi
(Mardjiono, 2009).
Pada jurnal (Putra, 2019) menjelaskan bahwa Tata Kelola Teknologi
Informasi (ITG) adalah bagian terpadu dari transformasi teknologi informasi dan
manajemen organisasi yang mencakup kepemimpinan, struktur, dan proses
organisasi untuk memastikan bahwa teknologi informasi dimanfaatkan seoptimal
mungkin. ITG juga diperlukan untuk mendapatkan nilai dari investasi TI mereka
dan menciptakan keunggulan kompetitif. Tata kelola TI mengubah kondisi
organisasi dalam mengambil keputusan, mengatur proses, dan menetapkan struktur
organisasi.
Keamanan informasi adalah perlindungan informasi dari berbagai ancaman
untuk memastikan kelangsungan bisnis, meminimalkan risiko bisnis, dan
memaksimalkan pengembalian investasi dan peluang bisnis (Sheikhpour, 2016), uji
tuntas harus dilakukan untuk memastikan risiko diketahui dan dikelola ketika
berurusan dengan aset perusahaan dan perlindungannya. Ini melibatkan uji tuntas
dalam mengidentifikasi dan menilai risiko keamanan bisnis dan informasi, serta
menerapkan sistem kontrol yang efektif, pemantauan dan tinjauan berkala
dilakukan untuk memastikan kontrol tetap efektif. dan jika tidak berjalan dengan
baik, harus dilakukan perbaikan dengan tepat dan cepat. Dengan kata lain, harus
ada proses tata kelola keamanan informasi yang berlaku khususnya untuk
melindungi aset informasi organisasi (Humphreys, 2008).
Ada beberapa framework pengelolaan teknologi informasi yang digunakan
secara luas dan salah satunya adalah IT Governance yang terdapat pada COBIT
3
(Control Objectives for Information and Related Technology). COBIT dapat
dikatakan sebagai kerangka kerja teknologi informasi yang dipublikasikan oleh
ISACA (Information System Audit and Control Association). COBIT berfungsi
mempertemukan semua bisnis kebutuhan kontrol dan isu-isu teknik. Di samping
itu, COBIT juga dirancang agar dapat menjadi alat bantu yang dapat memecahkan
permasalahan pada IT governance dalam memahami dan mengelola resiko serta
keuntungan yang behubungan dengan sumber daya informasi perusahaan.
Agar tata kelola keamanan informasi dapat berjalan dengan baik diperlukan
suatu standar untuk melakukan tata kelola tersebut (Tanuwijaya dan Sarno, 2010:
80). Menurut (Sarno dan Iffano, 2009: 59) tidak ada acuan baku mengenai standar
apa yang akan digunakan atau dipilih oleh perusahaan untuk melaksanakan audit
keamanan sistem informasi. ISO27002 adalah sebuah standar internasional yang
tidak terikat dengan peraturan negara manapun. Penggunaan standar ISO27002
adalah bersifat voluntary yang berarti bahwa masing-masing organisasi dapat
memilih praktik terbaik mana yang digunakan yang cocok dengan kebutuhan
organisasi. Selain itu, pertimbangan lainnya adalah ISO 27002 menyediakan
sertifikat implementasi Sistem Manajemen Keamanan Informasi (SMKI) yang
diakui secara internasional yang disebut Information Security Management Sistem
(ISMS) certification (Sarno dan Iffano, 2009:59-60).
COBIT 5 digunakan untuk memetakan permasalahan dengan proses-proses
terkait, memperoleh proses-proses yang berkaitan dengan tata kelola (governance),
serta melakukan assessment untuk menilai kondisi implementasi saat ini dan yang
diharapkan, sedangkan ISO 27002 memberikan rekomendasi praktik terbaik untuk
4
sistem manajemen keamanan informasi (ISMS, Information Security Management
System) yang didefinisikan dalam standar konteks C-I-A: confidentiality
(kerahasiaan), integrity (integritas), dan availabity (ketersediaan). Kerangka kerja
COBIT yang diterapkan bersama dengan ISO 27002, diharapkan dapat membantu
menyelesaikan masalah-masalah yang terjadi di BMKG khususnya manajemen
risiko dan manajemen keamanan yang sangat membutuhkan pengelolaan lebih
baik.
Terdapat beberapa fakta yang telah penulis dapatkan dari studi literatur dan
beberapa penelitian jurnal terkait dengan pengelolaan COBIT 5 dan ISO 27002,
penulis mendapatkan ide usulan pengelolaan menggunakan COBIT dan ISO 27002
karena berdasarkan tulisan (Ariyani, 2013) peningkatan perhatian pada unsur
keamanan dan penerapan teknologi informasi sangat penting demi keberlangsungan
suatu organisasi di era digital saat ini. (Sudhista, 2015) juga menerangkan bahwa
perbedaan dan persamaan yang terdapat pada model framework COBIT, ITIL, dan
ISO/IEC 27002 yang diintergrasikan akan merangkai sebuah usulan framework
yang komprehensif sehingga dapat digunakan untuk setiap organisasi., kemudian
peneliti juga melihat kutipan (Nastase Pavel, 2009) yaitu perusahaan harus
mempertimbangkan lingkungan TI saat ini dan banyaknya standar yang dapat
diterapkan pada sistem informasi, merupakan tantangan bagi setiap organisasi
untuk memilih serangkaian standar yang paling sesuai yang memenuhi kebutuhan
mereka. Peneliti (Gupta, Dwivedi, & Chaurasiya, 2013) memberikan gambaran
bahwa jika kerangka kerja keamanan tidak terapkan maka tidak akan diketahui
sejauh mana standar lain dapat dicapai dan ini membuat bertambahnya biaya dan
5
waktu yang dikeluarkan. (John Walhoff, 2005) juga berkesimpulan bahwa saat ini
setiap organisasi harus mampu menyediakan layanan TI secara efisien biaya,
berikut dengan risiko keamanan dan memenuhi persyaratan hukum. Pada
prinsipnya faktor-faktor itu sulit diterapkan, untuk itu perlu kombinasi ITIL,
COBIT dan ISO 17799. ITIL digunakan untuk mendefinisikan proses, COBIT
untuk metrik, tolak ukur dan audit sedangkan ISO 17799 digunakan untuk
mengatasi masalah keamanan untuk mengurangi resiko.
Berdasarkan peraturan Menteri Komunikasi dan Informatika Nomor
41/PER/MEN/KOMINFO/11/2007, dinyatakan bahwa untuk memastikan
penggunaan TIK benar-benar mendukung tujuan penyelenggaraan pemerintahan,
dengan memperhatikan efisiensi penggunaan sumberdaya dan pengelolaan risiko,
diperlukan Good Governance terkait dengan TIK, yang disebut sebagai Tata Kelola
TIK (The Ministry of Communication and Information Technology of the Republic
of Indonesia, 2017).
Badan Meteorologi Klimatologi dan Geofisika sebagai Lembaga
Pemerintah Non Departemen (LPND) adalah instansi pelayanan dan penyediaan
informasi di bidang meteorologi, klimatologi dan geofisika. Berdasarkan
Keputusan Presiden Republik Indonesia Nomor 46 dan Nomor 48 Tahun 2002
struktur organisasinya diubah menjadi Lembaga Pemerintah Non Departemen
(LPND) dengan nama tetap Badan Meteorologi Klimatologi dan Geofísika.
Kegiatan Meteorologi dan Geofísika pada awalnya hanya pada pengamatan cuaca
atau hujan. Namun kemudian meningkat dan mencakup berbagai kegiatan, seperti
pengamatan Medan magnit, seismatik dan meteorologi untuk berbagai macam
6
keperluan. BMKG memiliki berbagai macam unit kerja TI dan Non-TI salah
satunya adalah Pusat Jaringan Komunikasi. Pusat Jaringan Komunikasi adalah
salah satu unit kerja IT dari BMKG yang mempunyai tugas melaksanakan
pengelolaan operasional jaringan komunikasi, melakukan pengembangan terhadap
jaringan komunikasi yang ada serta mengelola manajemen jaringan komunikasi
pada BMKG. Pusat Jaringan Komunikasi memiliki tiga bidang yaitu Bidang
Operasional Jaringan Komunikasi, Bidang Pengembangan Jaringan Komunikasi
dan Bidang Manajemen Jaringan Komunikasi (Meteorologi & Geofisika, 2009).
Pusat Jaringan Komunikasi BMKG telah menggunakan standar ISO 27001
dalam pelaksanaan tata kelola teknologi informasi sesuai peraturan pemerintah,
yang mewajibkan lembaga pemerintahan menerapkan standar ISO 27001 karena
merupakan framework yang memiliki standar internasional (Komunikasi,
Meteorologi, & Dan, 2015). Penerapan standar menggunakan ISO 27001 ini telah
menghasilkan dokumen kebijakan keamanan informasi yang saat ini digunakan
sebagai acuan dan sedang coba diimplementasikan oleh Pusat Jaringan Komunikasi
BMKG. Namun setelah dilakukannya penerapan standar ISO 27001 3 tahun
belakangan ini, masih banyak standar yang belum bisa terimplementasi akibat
kurangnya pemahaman dan arahan teknis terhadap SDM terkait.
Akibat belum menyeluruhnya penerapan ISO 27001 adalah hak akses masih
terlalu fleksibel terkait aset ataupun Data Center karena kurangnya ketegasan dan
arahan teknis, karena sistem yang ada pada BMKG belum terintegrasi dengan baik
antara masing masing bidang, maka setiap bidang memiliki sistem dari vendor
berbeda dan server masing-masing yang ditempatkan didalam satu ruang Data
7
Center, itu juga yang membuat lamanya penanganan jika salah satu sistem pada
BMKG mengalami insiden, karena bidang terkait biasanya menghubungi vendor
developer untuk membantu menangani atau memperbaiki sistem tersebut, insiden
tersebut juga sering terjadi berulang dikarenakan minimnya pendokumentasian
terhadap insiden pada Pusat Jaringan Komunikasi BMKG.
Mengingat permasalahan yang dihadapi Pusat Jaringan Komunikasi BMKG
menyangkut kontrol akses dan resiko/insiden keamanan informasi serta standar ISO
27002 adalah penyempurna standar yang sebelumnya telah diterapkan yaitu ISO
27001 dan sangat fleksibel dikembangkan tergantung pada kebutuhan organisasi,
tujuan organisasi, persyaratan keamanan, proses bisnis, jumlah pegawai dan ukuran
struktur organisasi. Maka diharapkan dengan adanya pengelolaan keamanan
informasi pada Badan Meteorologi Klimatologi dan Geofisika menggunakan
framework COBIT 5 dan ISO 27002 dapat mengetahui kelemahan-kelemahan
sistem yang menjadi penyebab permasalahan keamanan informasi yang selama ini
terjadi. Selain dapat mengukur tingkat keamanan yang dimiliki Badan Meteorologi
Klimatologi dan Geofisika. Usulan menggunakan COBIT 5 dan ISO 27002 ini juga
menghasilkan rekomendasi tentang perbaikan yang harus dilakukan untuk
meningkatkan keamanan informasi pada perusahaan, serta menjadi pertimbangan
untuk menerapkan secara menyeluruh untuk memperoleh ISMS certification
dengan standar ISO 27002 pada masa mendatang.
8
Berdasarkan uraian diatas, maka penulis bermaksud untuk melakukan
penelitian dengan judul “Evaluasi Tata Kelola Keamanan Sistem Informasi
Menggunakan Framework COBIT 5 dan ISO 27002 (Studi Kasus: Pusat
Jaringan Komunikasi Badan Meteorologi Klimatologi dan Geofisika).”
1.2 Identifikasi Masalah
Berdasarkan uraian dari latar belakang diatas, maka identifikasi masalah
yang terdapat didalam BMKG di Pusat Jaringan Komunikasi, adalah:
1. Sudah adanya tata kelola manajemen keamanan menggunakan framework ISO
27001 namun penerapannya belum maksimal sehingga menyebabkan lemahnya
manajemen kontrol hak akses.
2. Perijinan terhadap kunjungan ruang Data Center terlalu fleksibel sehingga
menyebabkan kurangnya keamanan database dan infrastruktur serta rawannya
pencurian data didalam Data Center Pusat Jaringan Komunikasi BMKG.
3. Penerapan manajemen resiko dan pendokumentasian insiden yang minim
mengakibatkan sering terjadinya insiden yang berulang pada Pusat Jaringan
Komunikasi .
Atas landasan identifikasi masalah tersebut maka perumusan masalah dalam
penelitian ini adalah bagaimana kondisi Tata Kelola Keamanan Teknologi
Informasi berdasarkan framework Control Objectives For Information and Related
Technology (COBIT) 5 dan International Standards Organization (ISO) 27002 di
BMKG?
9
1.3 Batasan Masalah
Berdasarkan identifikasi masalah di atas, maka batasan masalah penelitian
ini, adalah:
a. Penelitian mengenai Evaluasi Tata Kelola Keamanan Teknologi Informasi ini
dilakukan pada Badan Meteorologi Klimatologi dan Geofisika bagian Pusat
Jaringan Komunikasi.
b. Penelitian ini menggunakan framework COBIT 5 untuk menghitung Capability
Level dan menggunakan Standar ISO 27002 sebagai pedoman perancangan
rekomendasi tata kelola keamanan teknologi informasi.
c. Peneliti hanya berfokus pada 3 domain dalam COBIT 5 sebagai acuan bahan
evaluasi yaitu APO12 (Manage Risk), APO13 (Manage Security) dan DSS05
(Manage Security Services).
d. Tahapan usulan penerapan tata kelola keamanan teknologi informasi yang
digunakan dalam penelitian ini adalah: Initiate Programme, Define Problems
and Opportunities, Define Road Map, Plan Programme.
e. Skala pengukuran Capability level pada penelitian ini menggunakan skala
Likert.
1.4 Tujuan Penelitian
Pada penelitian ini, terdapat dua jenis tujuan penelitian, yaitu tujuan umum
dan tujuan khusus. Tujuan umum penelitian adalah mengetahui kondisi tata kelola
keamanan teknologi informasi dan memberikan usulan perancangan berdasarkan
10
rekomendasi pada Pusat Jaringan Komunikasi BMKG. Sedangkan tujuan khusus
penelitian ini adalah sebagai berikut:
1. Mengetahui Capability Level tata kelola keamanan teknologi informasi saat ini
dengan yang diharapkan di Pusat Jaringan Komunikasi BMKG.
2. Menganalisis temuan-temuan gap dari hasil pengumpulan evidence terhadap
perhitungan Capability Level.
3. Memberikan rekomendasi perbaikan pengelolaan keamanan teknologi
informasi di Pusat Jaringan Komunikasi BMKG berdasarkan kerangka kerja
COBIT 5.
4. Memberikan usulan rancangan perbaikan pengelolaan keamanan teknologi
informasi di Pusat Jaringan Komunikasi BMKG berdasarkan kerangka kerja
standar ISO 27002.
1.5 Manfaat Penelitian
Adapun manfaat dari penelitian yang dilakukan adalah sebagai berikut:
1. Memberikan gambaran pada organisasi mengenai tata kelola teknologi
informasi yang baik (Good Governance) berdasarkan kerangka kerja COBIT 5
dan standar ISO 27002.
2. Membantu organisasi dalam mengelola keamanan teknologi informasi.
3. Menjadi pertimbangan penerapan Standar ISO 27002 secara keseluruhan untuk
memperoleh ISMS certification pada masa mendatang.
4. Menjadikan salah satu referensi bagi peneliti selanjutnya, khususnya dalam
melakukan evaluasi tata kelola keamanan teknologi informasi.
11
1.6 Metodologi Penelitian
Pada penelitian ini, penulis menggunakan beberapa metode pada saat
melakukan kegiatan penelitian. Penulis menggunakan metode-metode sebagai
berikut:
1.6.1 Metodologi Pengumpulan Data
1. Observasi
Observasi dilakukan dengan mengamati secara langsung wilayah penelitian
yang dilakukan, yaitu pada BMKG.
2. Wawancara
Wawancara yang dilakukan oleh peneliti untuk mengetahui kondisi umum
teknologi informasi pada BMKG.
3. Kuesioner
Kuesioner adalah teknik pengumpulan data yang dilakukan dengan cara
memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden
untuk dijawab (Sugiyono, 2012).
4. Studi Literatur
Studi literatur adalah kegiatan peneliti yang dilakukan dengan membaca dan
mempelajari bahan pustaka, seperti buku-buku, jurnal dan penelitian sejenis
yang sebelumnya telah dilakukan.
1.6.2 Metodologi Analisis Data
Penelitian ini menggunakan metode analisis data kualitatif yang
menekankan pada sumber data dan fakta. Kemudian data dikembangkan dengan
12
acuan pada 4 tahapan COBIT Lifecycle yaitu Initiate Programme, Define Problems
and Opportunities, Define Road Map, dan Plan Programme.
1.6.2.1 Metode Penerapan Tata Kelola Teknologi Informasi
Dalam penerapan tata kelola teknologi informasi terdapat beberapa tahapan
berdasarkan acuan pada kerangka kerja (framework) yaitu:
1. Tahap 1 – Initiate Programme
Pada tahap ini, peneliti melakukan pengumpulan data primer berupa
informasi terkait Profil Pusat Jaringan Komunikasi, tata kelola teknologi
informasi dan mengidentifikasi kebutuhan perubahan pada tingkat
manajemen eksekutif yang bertujuan untuk memperoleh pemahaman
tentang organisasi dan masalah saat ini yang dihadapi BMKG.
2. Tahap 2 – Define Problems and Opportunities
Tahap kedua adalah menjelaskan tentang kemampuan organisasi saat ini,
kekurangan yang dimiliki, pengelolaan yang diharapkan dan semua yang
berhubungan dengan tata kelola keamanan TI dan strategi organisasi.
3. Tahap 3 – Define Road Map
Pada tahapan ini, peneliti menetapkan target untuk perbaikan yang diikuti
dengan analisis gap untuk mengidentifikasi potensi solusi.
4. Tahap 4 – Plan Programme
Pada tahap ini menjelaskan tentang rencana dan solusi praktis untuk
organisasi dengan mendefinisikan rekomendasi perbaikan berdasarkan
framework COBIT 5 yang mendukung tujuan organisasi dan perubahan
13
rencana pengembangan untuk kemudian menghasilkan dokumen usulan tata
kelola keamanan teknologi informasi berdasarkan framework ISO 27002.
1.7 Sistematika Penulisan
Dalam penyusunan laporan ini pembahasan terbagi dalam lima bab yang
secara singkat akan diuraikan sebagai berikut:
BAB I PENDAHULUAN
Pada bab ini berisikan latar belakang permasalah, identifikasi
masalah, rumusan masalah, batasan masalah, tujuan penelitian,
manfaat penelitian, metodologi penelitian, serta sistematika
penulisan.
BAB II LANDASAN TEORI
Pada bab ini membahas definisi dan teori-teori yang digunakan
sebagai acuan atau dasar dalam penelitian yang berhubungan
dengan Tata Kelola TI berupa, pengertian keamanan teknologi
informasi, pengertian tata kelola TI, penjelasan beberapa
framework keamanan TI, definisi skala perhitungan Capability
Level serta definisi metode penerapan dengan menggunakan
kerangka kerja COBIT 5 dan ISO 27002.
BAB III METODOLOGI PENELITIAN
Pada bab ini peneliti menguraikan tentang metodologi COBIT
Lifecycle yang berfokus pada 4 tahapan yaitu Initiate
Programme, Define Problems and Opportunities, Define
14
Roadmap, dan Plan Programme yang digunakan dalam
melakukan penelitian dan menampilkan kerangka berpikir dalam
penyusunan skripsi ini.
BAB IV HASIL DAN PEMBAHASAN
Pada bab ini peneliti menguraikan secara singkat tentang profil
perusahaan serta hasil dari penelitian capability level tata kelola
teknologi informasi saat ini (as is) dan yang diharapkan (to be)
yang berawal dari perhitungan kuesioner hingga pemenuhan
dokumen sesuai dengan tingkat level yang dicapai berdasarkan
framework COBIT 5 dan juga menentukan rekomendasi serta
perancangan usulan pengelolaan Teknologi Informasi
berdasarkan framework ISO 27002. Bab ini juga berisi tentang
Implikasi dari penelitian ini serta Limited Of Study yang berisi
tentang keterbatas apa saja yang dialami peneliti.
BAB V PENUTUP
Bab ini merupakan penutup yang berisi kesimpulan dari
pembahasan pada bab sebelumnya dan saran untuk perbaikan
dalam penerapan tata kelola teknologi informasi di BMKG.
15
BAB II
LANDASAN TEORI
2.1 Tata Kelola Keamanan Teknologi Informasi
Tata Kelola Keamanan Teknologi Informasi sangat penting dan sangat
dibutuhkan oleh perusahaan terutama instansi pemerintahan, ada beberapa
penjelasan mengenai tata kelola keamanan teknologi informasi, berikut adalah
penjabarannya :
2.1.1 Teknologi Informasi
Teknologi informasi adalah penerapan teknologi komputer yang berfungsi
untuk menciptakan, menyimpan, mempertukarkan dan menggunakan informasi
dalam berbagai bentuk (Fauziah, 2010).
Teknologi informasi merupakan sebuah bentuk umum yang
menggambarkan setiap teknologi yang membantu menghasilkan, memanipulasi,
menyimpan, mengkomunikasikan dan menyampaikan informasi (Seesar, 2010).
Berdasarkan uraian dari para ahli tersebut maka dapat disimpulkan
teknologi informasi adalah sebuah penerapan komputerisasi terhadap penyampaian
informasi serta untuk mendukung agar setiap informasi dapat diterima sesuai
kebutuhan pengguna.
2.1.2 Tata Kelola Teknologi Informasi
Tata Kelola Teknologi Informasi memiliki beberapa referensi pengertian
menurut para ahli.
16
IT Governance (tata kelola TI) merupakan suatu bagian internal dari tata
kelola perusahaan yang terdiri atas kepemimpinan, struktur dan proses
organisasional yang memastikan bahwa TI organisasi berlanjut serta meningkatkan
tujuan dan strategi organisasi (ITGI, 2007)
Kemudian menurut Jogiyanto dan Abdillah (2011), tata kelola TI sebagai
suatu struktur dan proses pengambilan keputusan TI di tingkat korporat untuk
mengerahkan perilaku yang diinginkan dari insan TI dan memastikan keberhasilan
TI dalam rangka penciptaan nilai bagi para stakeholder.
Berdasarkan dari dua referensi ahli diatas, penulis menyimpulkan bahwa
Tata Kelola Teknologi Informasi adalah proses bagaimana suatu perusahaan
memaksimalkan teknologi informasi yang digunakan untuk dapat membantu
mencapai tujuan perusahaan.
2.1.2.1 Tujuan Tata Kelola Teknologi Informasi
Tujuan tata kelola teknologi informasi adalah mengontrol penggunaannya
dalam memastikan bahwa kinerja TI memenuhi dan sesusai dengan tujuan sebagai
berikut (Surendro, 2009):
1. Menyelaraskan teknologi informasi dengan strategi organisasi serta realisasi
dan keuntungan-keuntungan yang telah dijanjikan dari penerapan TI.
2. Penggunaan teknologi informasi memungkinkan perusahaan mengeksploitasi
kesempatan yang ada dan memaksimalkan keuntungan.
3. Penggunaan sumber daya TI yang bertanggung jawab.
4. Penanganan manajemen resiko yang terkait IT secara tepat.
17
2.1.3 Tata Kelola Teknologi Informasi Nasional
Penyelenggaraan pemerintah dalam rangka pelayanan publik memerlukan
Good Governance. Implementasi Good Governance akan menjamin transparansi,
efisiensi, dan efektivitas penyelenggaraan pemerintah. Dengan sisi lain, pengguna
TIK pada institusi pemerintah sudah dilakukan sejak lama dan terus berkembang.
Untuk memastikan pengguna TIK tersebut benar-benar mendukung tujuan
penyelenggaraan pemerintah, dengan memperhatikan efisiensi penggunaan sumber
daya dan pengelolaan risiko (Detiknas, 2007).
Berdasarkan peraturan Menteri Komunikasi dan Informatika Nomor
41/PER/MEN/KOMINFO/11/2007, Terdapat 5 lingkup proses tata kelola yaitu:
1. Perencanaan Sistem
Proses ini menangani identifikasi kebutuhan organisasi dan formulasi inisiatif-
inisiatif TIK apa saja yang dapat memenuhi kebutuhan organisasi tersebut.
2. Manajemen Belanja/Investasi
Proses ini menangani pengelolaan investasi/belanja TIK.
3. Realisasi Sistem
Proses ini menangani pemilihan, penetapan, pengembangan/akuisisi sistem
TIK, serta manajemen proyek TIK.
4. Pengoperasian Sistem
Proses ini menangani operasi TIK yang memberikan jaminan tingkat layanan
dan keamanan sistem TIK yang dioperasikan.
5. Pemeliharaan Sistem
18
Proses ini menangani pemeliharaan aset-aset TIK untuk mendukung
pengoperasian sistem yang optimal.
Dalam penerapan tata kelola TIK nasional, telah dirancang sebuah model
tata kelola TIK Nasional yang difokuskan pada pengelolaan proses-proses TIK
melalui mekanisme pengarahan dan monitoring & evaluasi. Model keseluruhan tata
kelola TIK Nasional tersebut digambarkan seperti berikut.
Gambar 2.1 Struktur dan Peran Tata Kelola
2.1.4 Keamanan Teknologi Informasi
Keamanan teknologi informasi adalah sebuah rencana untuk mencegah
risiko yang berhubungan dengan pemrosesan informasi. Rencana tersebut terdiri
dari 3 buah elemen dasar yakni, Confidentiality (Pencegahan dari pengguna yang
tidak berhak mengakses informasi), Integrity (memastikan bahwa informasi yang
19
ada itu akurat, utuh, dan tidak berubah), dan Availability (memastikan pengguna
dapat mengakses informasi yang mereka butuhkan). Tiga elemen ini saling
berhubungan untuk melindungi informasi yang harus dilindungi sebagai aset yang
sama pentingnya seperti aset bisnis lainnya (Wylder, 2003)
Keamanan Teknologi Informasi adalah sebuah program yang bertujuan
untuk melindungi sumber daya-sumber daya yang penting dalam suatu organisasi,
seperti informasi, hardware, dan software dengan cara memilah dalam penggunaan
aplikasi keamanan yang tepat. Keamanan Sistem Informasi membantu organisasi
untuk memenuhi visi dan misi organisasi dengan melindungi aset fisik dan aset
finansial, reputasi organisasi, posisi hukum, para pekerja, dan aset-aset lain yang
terukur maupun yang tidak (Peltier, 2013).
Dengan membaca penjelasan mengenai Keamanan Teknologi Informasi di
atas, kita dapat menarik kesimpulan bahwa yang dimaksud dengan Keamanan
Teknologi Informasi adalah sebuah rencana yang digunakan untuk melindungi
semua aset-aset penting perusahaan dengan menggunakan konsep Confidentiality,
Integrity, dan Availability (CIA) dalam membantu perusahaan untuk mencapai
tujuan bisnis mereka.
2.1.5 Pentingnya Keamanan Teknologi Informasi
Keamanan teknologi informasi terutama terkait data penting menjadi hal
yang krusial bagi lembaga pemerintahan yang menggunakan internet sebagai
komponen utama dalam operational pelayanan. Kebutuhan industri untuk internet
yang aman berbanding terbalik dengan fakta bahwa kasus keamanan di internet
20
terus terjadi dan berulang. Selain itu, kasus pembobolan keamanan yang terjadi
pada suatu instansi pemerintahan sangat merugikan. Oleh Karena itu, keamanan
informasi harus menjadi hal penting yang perlu diutamakan karena sudah
mempengaruhi seluruh aspek kinerja pelayanan instansi pemerintahan (Garg,
Curtis, & Halper, 2003).
Menurut (Andersen, 2015) berikut adalah beberapa faktor yang
menyebabkan kebutuhan akan pentingnya keamanan pada sistem informasi:
1. Untuk memenuhi peraturan dan perundang-undangan
2. Semakin meningkatnya kegiatan pencurian data
3. Semakin meningkatnya kegiatan hacktivism
4. Semakin meningkatnya wilayah ancaman dari internet
5. Tren konsumerisme TI, seperti penggunaan perangkat pribadi pada lingkungan
perusahaan. (Bring Your Own Device (BYOD))
2.2 Kerangka Kerja (Framework) Keamanan Teknologi Informasi
Kerangka kerja (framework) adalah suatu struktur konseptual dasar yang
digunakan untuk memecahkan atau menangani suatu masalah. Dalam bidang
perangkat lunak (software) digunakan untuk menggambarkan suatu desain sistem.
Sedangkan pada bidang manajemen kerangka kerja (framework) digunakan untuk
menggambarkan suatu konsep yang memungkinkan penanganan berbagai jenis atau
entitas bisnis.
21
2.2.1 BS 7799
BS 7799 adalah sebuah standar yang dipublikasikan oleh British Standard
Institution (BSI) Group pada tahun 1995. Standar ini ditulis oleh United Kingdom
Government’s Department of Trade and Industry (DTI), yang terdiri dari beberapa
bagian. Bagian pertamanya yang merupakan panduan untuk keamanan sistem
informasi, telah diperbaiki lagi pada 1998 dan menjadi rujukan ISO pada ISO17799
(British Standard Institution, 2017). Bagian keduanya dipublikasikan pada tahun
1999, yang dikenal dengan sebutan BSS 7799 part 2 dengan judul “Information
Security Management System – Spesification with Guidance for use”. BSS 7799
part 2 ini fokus pada bagaimana untuk menerapkan manajemen keamanan sistem
informasi, berdasarkan pada struktur dan kontrol manajemen keamanan informasi
yang diidentifikasi oleh BSS 7799-2, yang nantinya akan menjadi rujukan
dibentuknya ISO 27001. Pada tahun 2002, BSS 7799-2 mulai memperkenalkan
plan-do-check-act (PDCA) (Deming quality assurance model), dan
mengkombinasikannya dengan standar-standar lainnya seperti ISO 9000.
2.2.2 ITIL
ITIL adalah kepanjangan dari The Information Technology Infrastructure
Library. ITIL mulai digunakan pada tahun 1980-an, ketika pemerintah Britania
Raya Menganggap bahwa level dari servis TI yang tersedia tidak memadai. ITIL
adalah suatu kumpulan konsep dan praktik untuk manajemen servis teknologi
informasi, pengembangan teknologi informasi, dan operasional TI, di mana ada
bagiannya yang fokus pada keamanan (Axelos, 2017). ITIL sebenarnya adalah
sebuah kumpulan dari berbagai buku yang setiap bukunya mencakup suatu praktik
22
khusus dalam suatu manajemen servis TI, yang dibentuk oleh W. Edwards Deming
bersama dengan plan-do-check-act (PDCA) cycle temuannya juga. ITIL terdiri dari
8 komponen utama yakni: Service Support, Service Delivery, ICT Infrastructure
Management, Security Management, Application Management, Software Asset
Management, Planning to Implement Service Management, dan Small-Scale
Implementation.
2.2.3 COBIT
Pada tahun 1996 COBIT versi 1 muncul dengan lingkup wilayah Audit.
Selanjutnya pada tahun 1998, COBIT versi 2 pun muncul yang menekankan pada
wilayah Control. Kemudian COBIT versi 3 menyusul di tahun 2000 dengan
cakupan wilayah pada area Management. Dan pada tahun 2005 muncul COBIT
versi 4 yang diperbarui lagi pada bulan Mei 2007 menjadi COBIT versi 4.1 dengan
pedoman pada tata kelola TI. Selanjutnya pada tahun 2012 dirilislah COBIT versi
5 dengan penekanan pada tata kelola TI di perusahaan yang masih dipakai sampai
saat ini. COBIT juga mengeluarkan panduan khusus untuk keamanan informasi
pada COBIT 5 for Information Security dalam salah satu lini standar yang
disediakan oleh COBIT.
23
Gambar 2.2 Evolution of Scope
COBIT adalah suatu kerangka praktik prima di bidang teknologi informasi.
COBIT menyediakan bagi manajer, auditor TI, dan pengguna dengan ukuran-
ukuran, indikator, dan proses suatu kerangka praktik prima yang dapat membantu
memaksimalkan manfaat yang dapat diperoleh dari teknologi informasi dan
sekaligus untuk membangun suatu sistem pengelolaan dan pengendalian teknologi
informasi di suatu organisasi (Nugroho, 2008).
COBIT adalah kepanjangan dari Control Objectives for Information and
Related Technology, adalah seperangkat pedoman umum (best practice) untuk
manajemen TI yang dibuat oleh Information System Audit and Control Association
(ISACA), dan IT Governance Institute (ITGI), serangkaian langkah yang diterima
secara umum, indikator, proses dan praktik terbaik untuk membantu mereka dalam
memaksimalkan manfaat yang diperoleh melalui penggunaan TI dan
pengembangan tata kelola TI yang sesuai dan pengendalian dalam perusahaan
(Jogiyanto & Abdillah, 2011).
24
2.2.4 ISO 27000 Family
Dokumen ISO 27000 Series (mengacu kepada beberapa seri
dalam range 27000) merupakan standard dalam information security management
system yang dikembangan oleh International Organization for
standardization (ISO). Dalam sejarahnya ISO 27000 Series tidak lepas dari
standard sebelumnya yang terkait juga dengan keamanan informasi yakini
BS (British Standard) 7799 dan ISO 17799. Pemindahan seri ini bertujuan untuk
mengelompokkan seri-seri terkait standard keamanan informasi dalam satu seri.
Berikut adalah penjelasan dari beberapa seri dari ISO 27000 family :
1. ISO /IEC 27000 Mencakup daftar kata dan istilah yang digunakan dalama
standard
2. ISO/IEC 27001 (BS 7799-2) : Mencakup spesifikasi dari ISMS based ISO
27000 dan menyediakan model untuk implementasi, operasi, monitoring,
reviewing, maintaining, dan improvement dari ISMS. Contoh bab Management
responsibility, Internal Audits, ISMS Improvement dan lain-lain.
3. ISO/IEC 27002 (ISO 17799) : Mencakup detail dari control yang ada/Code of
practices. Contoh Bab (Risk Assessment and Treatment, Asset Management,
Access Control, Business Continuity dan lain-lain.
4. ISO/IEC 27003 : Mencakup panduan mengenai bagaimana
mengimplementasikan ISMS yang mencakup konsep PDCA. Contoh Bab
seperti : Critical Success Factor, Panduan menggunakan PDCA, Panduan
dalam Proses PDCA.
25
5. ISO/IEC 27004 : Standard yang memberikan panduan tentang metode
pengukuran, bagaimana mengukur efektifitas dari ISMS yang telah
terimplementasi dan panduang memilih metrics dalam proses alignment dengan
ISO 270002
6. ISO /IEC 27005 Standard yang memberikan panduan mengenai implementasi
Information Security Risk Management dan kebutuhan lain dalam sertifikasi
ISO 27000. Contoh bab seperti ISR (Information Security Risk) Assessment,
ISR Treatment, ISR Acceptance, ISR Communication, ISR communication and
Review.
7. ISO/IEC 27006:2007 Information technology — Security techniques –
mencakup audit terhadap ISMS dan sertifikasi dari ISMS beserta kriteria
sertifikasi dari ISMS.
2.3 Framework COBIT 5
COBIT (Control Objective for Information and related Technology)
merupakan sekumpulan dokumentasi dan panduan untuk mengimplementasikan IT
Governance, kerangka kerja yang membantu auditor, manajemen dan pengguna
(user) untuk menjembatani (gap) antara resiko bisnis, kebutuhan kontrol dan
permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT Governance
Institute (ITGI) yang merupakan bagian dari Information System Audit and Control
Association (ISACA.2012).
Surendro (2009) menjelaskan tentang karakteristik utama dan prinsip yang
mendasari COBIT, yaitu karakteristik utamanya adalah fokus pada bisnis, orientasi
pada proses, berbasis kontrol dan dikendalikan oleh pengukuran, sedangkan prinsip
26
yang mendasarinya adalah untuk menyediakan informasi yang diperlukan
organisasi dalam mewujudkan tujuannya, organisasi perlu mengelola dan
mengendalikan sumber daya teknologi informasi dengan menggunakan
sekumpulan proses-proses yang terstruktur untuk memberikan layanan informasi
yang diperlukan.
Seiring berkembangnya teknologi COBIT pun juga ikut meningkatkan
perkembangannya. COBIT mengalami beberapa perubahan versi dari titik poin
mulai dari COBIT 1 sampai pada COBIT 5 saat ini. Control Objectives for
Information and related Technology (COBIT) merupakan best practice yang
menyediakan kebijakan yang jelas untuk IT Governance. COBIT menyediakan
kerangka IT Governance dan petunjuk Control Objective yang detail untuk
manajemen, stakeholder, user, dan auditor. Information Systems Audit and Control
Association (ISACA) dibentuk pada tahun 1967, ketika sekelompok kecil orang
dengan pekerjaan kontrol audit yang sama dalam sistem komputer yang menjadi
semakin penting untuk operasi organisasi membahas perlunya sumber informasi
terpusat dalam bidang TI.pada tahun 1969 kelompok auditor tersebut tergabung
dalam Asosiasi Electronic Data Processing (EDP). Pada tahun 1976 asosiasi
membentuk yayasan pendidikan untuk melakukan upaya penelitian besar-besaran
untuk memperluas pengetahuan dan nilai-nilai tata kelola TI. ISACA merilis
COBIT pertama pada tahun 1996, hanya berfokus sebagai suatu pekerjaan audit.
Berkembang ke versi COBIT 2, COBIT merefleksikan kontrol peningkatan
sejumlah dokumen sumber, revisi pada tingkat tinggi dan tujuan pengendalian rinci
dan tambahan seperangkat alat implementasi yang telah dipublikasikan pada tahun
27
1998. Sedangkan pada versi COBIT 3 ditandai dengan adanya Informasi
Technology Governance Institute (ITGI) yang dibentuk oleh ISACA pada tahun
1998 dan memberikan pemahaman lebih dan mengadopsi prinsip prinsip
pengaturan TI. Melalui ITGI penambahan pedoman untuk COBIT 3 dan fokusnya
diperluas pada manajemen TI. Pada COBIT versi 4 ditingkatkan pada IT
Governance (Grembergen dan Haes, 2009).
2.3.1 Coverage COBIT 5
Menurut ISACA, COBIT 5 merupakan generasi terbaru dari panduan
ISACA yang membahas mengenai tata kelola dan manajemen TI. COBIT 5 dibuat
berdasarkan pengalaman penggunaan COBIT selama lebih dari 15 tahun oleh
banyak organisasi dan penggunan dari bidang bisnis, komunitas TI, risiko, asuransi,
dan keamanan TI perusahaan (ISACA, 2012).
Gambar 2.3 Coverage COBIT 5 (ISACA, 2012)
28
Pengembangan COBIT 5 adalah untuk mengatasi kebutuhan-kebutuhan
penting seperti:
1. Membantu stakeholder dalam menentukan apa yang mereka harapkan dari
informasi dan teknologi terkait seperti keuntungan apa, pada tingkat risiko
berapa, dan pada biaya berapa dan bagaimana prioritas mereka dalam menjamin
bahwa nilai tambah yang diharapkan benar-benar tersampaikan. Beberapa pihak
lebih menyukai keuntungan dalam jangka pendek sementara pihak lain lebih
menyukai keuntungan jangka panjang. Beberapa pihak siap untuk mengambil
risiko tinggi sementara beberapa pihak tidak. Perbedaan ini dan terkadang
konflik mengenai harapan harus dihadapi secara efektif. Stakeholder tidak
hanya ingin terlibat lebih banyak tapi juga menginginkan transparansi terkait
bagaimana ini akan terjadi dan bagaimana hasil yang akan diperoleh.
2. Membahas peningkatan ketergantungan kesuksesan organisasi pada organisasi
lain dan rekan TI, seperti outsource, pemasok, konsultan, klien, cloud, dan
penyedia layanan lain, serta pada beragam alat internal dan mekanisme untuk
memberikan nilai tambah yang diharapkan.
3. Mengatasi jumlah informasi yang meningkat secara signifikan. Bagaimana
perusahan memilih informasi yang relevan dan kredibel yang akan
mengarahkan organisasi kepada keputusan bisnis yang efektif dan efisien.
Informasi juga perlu untuk dikelola secara efektif dan model informasi yang
efektif dapat membantu untuk mencapainya.
4. Mengatasi TI yang semakin meresap kedalam organisasi. TI semakin menjadi
bagian penting dari bisnis. Seringkali TI yang terpisah tidak cukup memuaskan
29
walaupun sudah sejalan dengan bisnis. TI perlu menjadi bagian penting dari
proyek bisnis, struktur organisasi, managemen risiko, kebijakan, kemampuan
proses dan sebagainya. Tugas dari CIO dan fungsi TI sedang berkembang
sehingga semakin banyak orang dalam organisasi yang memiliki kemampuan
TI akan dilibatkan dalam keputusan dan operasi TI. TI dan bisnis harus
diintegrasikan dengan lebih baik.
5. Menyediakan panduan lebih jauh dalam area inovasi dan teknologi baru. Hal
ini berkaitan dengan kreativitas, penemuan, pengembangan produk baru,
membuat produk saat ini lebih menarik bagi pelanggan, dan meraih tipe
pelanggan baru. Inovasi juga menyiratkan perampingan pengembangan produk,
produksi dan proses supply chain agar dapat memberikan produk ke pasar
dengan tingkat efisiensi, kecepatan, dan kualitas yang lebih baik.
6. Mendukung perpaduan bisnis dan TI secara menyeluruh, dan mendukung
semua aspek yang mengarah pada tata kelola dan manajemen TI organisasi yang
efektif, seperti struktur organisasi, kebijakan, dan budaya.
7. Mendapatkan kontrol yang lebih baik berkaitan dengan solusi TI.
8. Memberikan manfaat bagi perusahan, antara lain:
a. Nilai tambah melalui penggunanaan TI yang efektif dan inovatif.
b. Kepuasan pengguna dengan keterlibatan dan layanan TI yang baik.
c. Kesesuaian dengan peraturan, regulasi, persetujuan, dan kebijakan internal.
d. Peningkatan hubungan antara kebutuhan bisnis dengan tujuan TI.
9. Menghubungkan dan bila relevan, menyesuaikan dengan framework dan
standar lain seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO dan ISO. Hal
30
ini akan membantu stakeholder mengerti bagaimana kaitan berbagai
framework, berbagai standar antar satu sama lain, dan bagaimana mereka bisa
digunakan bersama-sama.
10. Mengintegrasikan semua framework dan panduan ISACA dengan fokus pada
COBIT, Val IT dan Risk IT, tetapi juga mempertimbangkan BMIS, ITAF, dan
TGF sehingga COBIT 5 mencakup seluruh organisasi dan menyediakan dasar
untuk integrasi dengan framework dan standar lain menjadi satu kesatuan
framework.
2.3.2 Perbedaan COBIT 5 dengan COBIT 4.1
Diantara COBIT 5 dengan COBIT 4.1 memiliki perbedaan yang
dideskripsikan sebagai berikut (ISACA, 2012):
1. Governance of Enterprise IT (GEIT) adalah prinsip baru dalam Tata kelola TI
pada organisasi dimana COBIT 5 lebih mengarah pada prinsip ketimbang
dengan proses.
2. COBIT 5 menekankan pada enabler. Pada COBIT 4.1 tidak menyebutkan
sebagai enabler sedangkan COBIT 5 menyebutkan secara spesifik bagian
enable.
3. COBIT 5 mendefinisikan model referensi proses yang baru dengan tambahan
domain governance dan beberapa proses yang baru dan modifikasi dari proses
pada versi sebelumnya. COBIT 5 mengintegrasikan konten pada COBIT 4.1,
Risk IT dan Val IT.
4. COBIT 5 menyelaraskan dengan best practices yang ada seperti ITIL v3 dan
TOGAF.
31
5. COBIT 5 menyediakan diagram RACI yang menjelaskan peran dan tanggung
jawab dengan cara yang sama seperti COBIT 4.1, Risk IT dan Val IT. Namun,
COBIT 5 memberikan diagram yang lebih lengkap, detail dan rentang yang
lebih jelas dari setiap pihak baik TI maupun bisnis untuk setiap praktik
manajemen.
2.3.3 Process Reference Model
Dalam COBIT 5 ini, model referensi proses merupakan penerus dari model
proses COBIT 4.1, dengan mengintegrasikan dengan baik proses model dari Risk
IT dan model proses Val IT (ISACA, 2012).
ISACA menjelaskan sebuah proses didefinisikan sebagai kumpulan praktek
atau aktivitas yang dipengaruhi oleh kebijakan dan prosedur perusahaan. Dimana
masukan-masukan itu diambil dari sejumlah sumber (termasuk proses lainnya),
memanipulasi input dan menghasilkan output. Dalam COBIT 5 deskripsi proses ini
juga menggambarkan tentang proses apa yang dilakukan dan gambaran tingkat
tinggi bagaimana proses menyelesaikan tujuannya. Berikut ini gambar yang
menunjukkan perangkat lengkap 5 Domain dan 37 proses tata kelola dan
manajemen proses dalam COBIT 5 (ISACA, 2012).
32
Gambar 2.4 Process Reference Model (ISACA, 2012)
2.3.3.1 Evaluate, Direct, and Monitor (EDM)
Proses tata kelola ini berurusan dengan tujuan tata pemangku kepentingan
dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek
dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan
arahan kepada TI dan pemantauan hasilnya. Berikut domain proses EDM:
1. EDM01 Ensure Governance Framework Setting and Maintenance
(Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola)
2. EDM02 Ensure Benefits Delivery (Memastikan Memberi Manfaat)
3. EDM03 Ensure Risk Optimisation (Memastikan Pengoptimalan Risiko)
4. EDM04 Ensure Resource Optimisation (Memastikan Pengoptimalan Sumber
Daya)
5. EDM05 Ensure Stakeholder Transparency (Memastikan Transparansi
Pemangku Kepentingan)
33
2.3.3.2 Align, Plan, and Organise (APO)
Memberikan arah untuk pengiriman solusi (BAI) dan penyediaan layanan
dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan
mengidentifikasi kekhawatiran cara terbaik TI agar dapat berkontribusi pada
pencapaian tujuan bisnis. Realisasi visi strategis perlu direncanakan,
dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi
yang tepat, serta infrastruktur teknologi, harus dimasukkan ke dalam tempatnya.
Berikut domain proses APO:
1. APO01 Manage The IT Management Framework (Mengelola Kerangka
Manajemen TI)
2. APO02 Manage Strategy (Mengelola Strategi)
3. APO03 Manage Enterprise Architecture (Mengelola Arsitektur Bisnis)
4. APO04 Manage Innovation (Mengelola Perubahan)
5. APO05 Manage Portfolio (Mengelola Dokumen)
6. APO06 Manage Budget and Costs (Mengelola Anggaran dan Biaya)
7. APO07 Manage Human Resources (Mengelola Sumber Daya Manusia)
8. APO08 Manage Relationships (Mengelola Relasi)
9. APO09 Manage Service Agreements (Mengelola Perjanjian Layanan)
10. APO10 Manage Suppliers (Mengelola Pemasok)
11. APO11 Manage Quality (Mengelola Kualitas)
12. APO12 Manage Risk (Mengelola Risiko)
13. APO13 Manage Security (Mengelola Keamanan)
34
2.3.3.3 Build, Acquire, and Implementation (BAI)
Memberikan solusi dan melewatinya sehingga akan berubah menjadi
layanan. Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi,
dikembangkan atau diperoleh, serta diimplementasikan dan terintegrasi ke dalam
proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga dicakup oleh
domain ini, untuk memastikan bahwa solusi terus memenuhi tujuan bisnis. Berikut
domain proses BAI:
1. BAI01 Manage Programmes and Project (Mengelola Program Dan Proyek)
2. BAI02 Manage Requirements Definition (Mengelola Definisi Persyaratan)
3. BAI03 Manage Solutions Identification and Build (Mengelola Identifikasi
Solusi dan Pembangunan)
4. BAI04 Manage Availability and Capacity (Mengelola Ketersediaan dan
Kapasitas)
5. BAI05 Manage Organisational Change Enablement (Mengelola
Pemberdayaan Organisasi Perubahan)
6. BAI06 Manage Changes (Mengelola Perubahan)
7. BAI07 Manage Change Acceptance and Transitioning (Mengelola Penerimaan
Perubahan dan Transisi)
8. BAI08 Manage Knowledge (Mengelola Pengetahuan)
9. BAI09 Manage Assets (Mengelola Kepemilikan)
10. BAI10 Manage Configuration (Mengelola Susunan)
35
2.3.3.4 Delivery, Service, and Support (DSS)
Menerima solusi dan dapat digunakan bagi pengguna akhir. Domain ini
berkaitan dengan pengiriman aktual dan dukungan layanan yang dibutuhkan, yang
meliputi pelayanan, pengelolaan keamanan dan kelangsungan, dukungan layanan
bagi pengguna, dan manajemen data dan fasilitas operasional. Berikut domain
proses DSS:
1. DSS01 Manage Operations (Mengelola Operasi)
2. DSS02 Manage Service Requests and Incidents (Mengelola Layanan
Permohonan dan Kecelakaan)
3. DSS03 Manage Problems (Mengelola Masalah)
4. DSS04 Manage Continuity (Mengelola Keberlangsungan)
5. DSS05 Manage Security Services (Mengelola Jasa Keamanan)
6. DSS06 Manage Business Process Controls (Mengelola Kontrol Proses Bisnis)
2.3.3.5 Monitor, Evaluate, and Assess (MEA)
Monitor semua proses untuk memastikan bahwa arah yang disediakan
diikuti. Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk
mengontrol kualitas dan kepatuhan mereka. Domain ini tertuju pada manajemen
kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata
kelola. Berikut domain proses MEA:
1. MEA01 Monitor, Evaluate and Assess Performance and Conformance
(Memantau, Evaluasi dan Menilai Kinerja Dan Penyesuaian)
2. MEA02 Monitor, Evaluate and Assess The System of Internal Control
(Memantau, Evaluasi dan Menilai Sistem Pengendalian Internal)
36
3. MEA03 Monitor, Evaluate and Assess Compliance with External Requirements
(Memantau, Evaluasi dan Menilai Kepatuhan dengan Persyaratan Eksternal)
2.3.4 Implementasi COBIT 5
Menurut ISACA, Siklus hidup implementasi menyediakan cara bagi suatu
perusahaan untuk menggunakan COBIT dalam mengatasi kompleksitas dan
tantangan. Lazimnya kedua hal tersebut ditemui selama penerapan dilapangan
(ISACA, 2012) COBIT 5 memiliki tujuh tahapan yang terdapat dalam siklus hidup
implementasi COBIT, berikut penjelasan tahapan-tahapan tersebut:
Gambar 2.5 Siklus Hidup Implementasi COBIT 5 (ISACA, 2012)
1. Tahap 1 - Initiate Progamme
Tahap 1 mengidentifikasikan penggerak perubahan dan menciptakan
keinginan untuk berubah di level manajemen eksekutif, yang kemudian
diwujudkan berupa kasus bisnis. Penggerak perubahan dapat berupa kejadian
internal maupun eksternal, dan kondisi atau isu penting yang memberikan
37
dorongan untuk berubah. Kejadian, tren, masalah kinerja, implementasi
perangkat lunak, dan bahkan tujuan dari perusahan dapat menjadi penggerak
perubahan.
Resiko yang terkait dengan implementasi dari program ini sendiri akan
dideskripsikan di dalam kasus bisnis, dan dikelola sepanjang siklus hidupnya.
Menyiapkan, menjaga, dan mengawasi kasus bisnis sangatlah mendasar dan
penting untuk pembenaran, mendukung, dan kemudian memastikan hasil akhir
yang sukses dari segala inisiatif, termasuk pengembangan GEIT. Mereka
memastikan fokus yang berkelanjutan terhadap keuntungan dari program dan
perwujudannya.
2. Tahap 2 – Define Problems and Opportunities
Tahap 2 membuat agar tujuan TI dengan strategi dan risiko perusahaan
sejajar, dan memprioritaskan tujuan perusahaan, tujuan TI, dan proses TI yang
paling penting. COBIT 5 menyediakan panduan pemetaan tujuan perusahaan
terhadap tujuan TI terhadap proses TI untuk membantu penyeleksian. Dengan
mengetahui tujuan perusahaan dan TI, proses penting yang harus mencapai
tingkat kapabilitas tertentu dapat diketahui. Manajemen perlu tahu kapabilitas
yang ada saat ini dan dimana kekurangan terjadi. Hal ini dapat dicapai dengan
cara melakukan penilaian kapabilitas proses terhadap proses-proses yang
terpilih.
3. Tahap 3 - Define Road Map
Tahap 3 menetapkan target untuk peningkatan, diikuti oleh analisis selisih
untuk mengidentifikasi solusi potensial. Beberapa solusi akan berupa quick
38
wins dan beberapa berupa tugas jangka panjang yang lebih sulit. Prioritas harus
diberikan kepada proyek yang lebih mudah untuk dicapai dan lebih mungkin
memberikan keuntungan yang paling besar. Tugas jangka panjang perlu
dipecah menjadi bagian-bagian yang lebih mudah untuk diselesaikan.
4. Tahap 4 - Plan Programme
Tahap 4 merencanakan solusi praktis yang layak dijalankan dengan
mendefinisikan proyek yang didukung dengan kasus bisnis yang dapat
dibenarkan dan mengembangkan rencana perubahan untuk implementasi.
Kasus bisnis yang dibuat dengan baik akan membantu memastikan bahwa
keuntungan proyek teridentifikasi, dan diawasi secara terus menerus.
5. Tahap 5 - Execute Plan
Tahap 5 mengubah solusi yang disarankan menjadi kegiatan hari per hari
dan menetapkan perhitungan dan sistem pemantauan untuk memastikan
kesesuaian dengan bisnis tercapai dan kinerja dapat diukur. Kesuksesan
membutuhkan pendekatan, kesadaran dan komunikasi, pengertian dan
komitmen dari manajemen tingkat tinggi dan kepemilikan dari pemilik proses
TI dan bisnis yang terpengaruh.
6. Tahap 6 - Realede Benefits
Tahap 6 berfokus dalam transisi berkelanjutan dari pengelolaan dan praktik
manajemen yang telah ditingkatkan ke operasi bisnis normal dan pemantauan
pencapaian dari peningkatan menggunakan metrik kinerja dan keuntungan yang
diharapkan.
39
7. Tahap 7 - Review Effectiveness
Tahap 7 mengevaluasi kesuksesan dari inisiatif secara umum,
mengidentifikasi kebutuhan tata kelola atau manajemen lebih jauh, dan
meningkatkan kebutuhan akan peningkatan secara terus-menerus. Tahap ini
juga memprioritaskan kesempatan lebih banyak untuk meningkatkan GEIT.
2.3.5 RACI
RACI Chart adalah matrik dari semua aktifitas dan wewenang pada
organisasi yang membantu dalam mengambil keputusan. Berikut ini penjelasan
mengenai RACI Chart (ISACA, 2012).
1. Responsible
Tanggung jawab (responsible) menjelaskan tentang siapa yang
mendapatkan tugas yang harus dilakukan. Hal ini merujuk pada peran utama
atau penanggung jawab pada kegiatan operasional, memenuhi kebutuhan dan
menciptakan hasil yang diinginkan dari organisasi.
2. Accountable
Akuntabel (accountable) menjelaskan tentang siapa yang bertanggung
jawab atas keberhasilan tugas. Hal ini merujuk pada pertanggung jawaban
secara keseluruhan atas tugas yang telah dilakukan.
3. Consulted
Konsultasi (consulted) menjelaskan tentang siapa yang memberikan
masukan. Hal ini merujuk pada peran yang bertanggung jawab untuk
memperoleh informasi dari unit lain atau mitra eksternal. Masukan harus
dipertimbangkan dan pengambilan tindakan yang tepat.
40
4. Informed
Informasi (informed) menjelaskan tentang siapa yang menerima informasi.
Hal ini merujuk pada peran yang bertanggung jawab untuk menerima informasi
yang tepat untuk mengawasi setiap tugas yang dilakukan.
Berikut ini penjelasan mengenai pihak-pihak yang terlibat dalam struktur
COBIT 5 (ISACA, 2012:76), yaitu:
a. Board adalah kelompok eksekutif paling senior atau direktur noneksekutif dari
organisasi yang bertanggung jawab untuk tata kelola organisasi dan memiliki
kontrol keseluruhan sumber daya.
b. Chief Excutive Officer (CEO) adalah orang yang memiliki kedudukan tinggi
yang bertanggung jawab dari manajemen keseluruhan organisasi.
c. Chief Financial Officer (CFO) adalah seseorang yang memiliki jabatan senior
pada organisasi yang bertanggung jawab untuk semua aspek manajemen
keuangan, termasuk resiko dan kontrol keuangan dan rekening terpercaya dan
akurat.
d. Chief Operating Officer (COO) adalah seseorang yang memiliki jabatan senior
pada organisasi yang bertanggung jawab untuk operasi organisasi.
e. Chief Risk Officer (CRO) adalah seseorang yang memiliki jabatan senior pada
organisasi yang bertanggung jawab untuk semua aspek manajemen resiko di
seluruh organisasi. Bertugas mengawasi resiko yang berhubungan dengan TI.
f. Chief Information Officer (CIO) adalah pejabat senior pada organisasi yang
bertanggung jawab untuk menyelaraskan TI dan strategi bisnis dan akuntabel
41
untuk perencanaan, sumber daya dan mengelola pengirima layanan dan solusi
untuk mendukung tujuan TI organisasi.
g. Chief Information Security Officer (CISO) adalah pejabat senior pada organisasi
yang bertanggung jawab untuk keamanan informasi organisasi dalam segala
bentuknya.
h. Business Executive adalah sebuah manajemen individu senior yang
bertanggung jawab untuk operasi unit bisnis tertentu atau anak organisasi.
i. Business Process Owner adalah seseorang yang bertanggung jawab pada proses
kinerja untuk mewujudkan tujuannya, mendorong perbaikan proses dan
menyetujui perubahan proses.
j. Strategy (IT Executive) Committee adalah sekelompok eksekutif senior yang
ditujukan oleh dewan untuk memastikan bahwa dewan terlibat dalam
pengambilan keputusan yang berkaitan dengan TI. Komite ini bertanggung
jawab untuk mengelola portfolio investasi IT-enabled, layanan TI dan asset TI.
k. Steering Committee (Project and Programme) adalah sekelompok pemangku
kepentingan dan ahli yang bertanggung jawab untuk bimbingan program dan
proyek, termasuk pengelolaan dan pemantauan rencana, alokasi sumber daya
dan manajemen program dan risiko proyek.
l. Architecture Board adalah sekelompok pemangku kepentingan dan ahli yang
bertanggung jawab pada organisasi terkait arsitektur dan keputusan untuk
menetapkan kebijakan dan standar arsitektur.
42
m. Enterprise Risk Committee adalah kelompok eksekutif dari organisasi yang
bertanggung jawab untuk kolaborasi tingkat organisasi untuk mendukung
manajemen resiko organisasi.
n. Head of Human Resources adalah pejabat senior pada organisasi yang
bertanggung jawab untuk perencanaan dan kebijakan terhadap semua sumber
daya manusia di organisasi.
o. Compliance adalah seseorang yang bertanggung jawab untuk bimbingan pada
hukum, peraturan dan kepatuhan terhadap kontrak.
p. Audit adalah seseorang yang bertanggung jawab atas penyediaan audit internal.
q. Head of Architecture adalah seorang individu senior untuk proses arsitektur
enterprise.
r. Head of Development adalah seorang individu senior yang bertanggung jawab
terkait proses TI, proses pembangunan solusi.
s. Head of IT Operations adalah seorang individu senior yang bertanggung jawab
atas lingkungan dan infrastruktur operasional TI.
t. Head of IT Administration adalah seorang individu senior yang bertanggung
jawab terkait TI, catatan dan bertanggung jawab untuk mendukung TI terkait
masalah administratif.
u. Programme and Project Management Office (PMO) adalah seseorang yang
bertanggung jawab untuk mendukung program dan proyek manajer,
mengumpulkan, menilai dan melaporkan informasi tentang pelaksanaan
program dan proyek konstituen.
43
v. Value Management Office (VMO) adalah seseorang yang bertindak sebagai
secretariat untuk mengelola portfolio investasi dan layanan, termasuk menilai
dan memberi nasihat tentang peluang investasi, manajemen control dan
menciptakan nilai dari investasi dan jasa.
w. Service Manager adalah seorang individu yang mengelola pengembangan,
implementasi, evaluasi dan pengelolaan berkelanjutan baru dan yang sudah ada.
x. Information Security Manage adalah seorang individu yang mengelola, desain,
mengawasi dan/atau menilai keamanan informasi suatu organisasi.
y. Business Continuity Manager adalah seorang individu yang mengelola,
merancang, mengawasi dan/atau menilai kemampuan kelangsungan usaha
suatu organisasi, untuk memastikan bahwa fungsi organisasi tetap beroperasi
pada saat kritis.
z. Privacy Officer adalah seorang yang bertanggung jawab untuk mematau risiko
dan dampak bisnis undang-undang privasi dan untuk membimbing dan
koordinasi pelaksanaan kebijakan dan kegiatan yang akan memastikan bahwa
arahan privasi terpenuhi. Privacy Officer juga disebut sebagai petugas
perlindungan data.
Berikut ini merupakan salah satu matrik RACI Charts yang terdapat di
dalam framework COBIT 5:
44
Gambar 2.6 RACI Chart APO12 (ISACA,2012:142)
Pada tabel pemetaan RACI Charts terdapat 3 bagian saling terhubung dalam
penentuan pihak-pihak yang terlibat dalam struktur COBIT 5:
1. Tabel Key Management Practice adalah aktifitas-aktifitas didalam domain yang
akan menjadi acuan, sekaligus penentuan kuesioner yang akan diberikan kepada
pihak-pihak terkait.
2. Kolom R A C I adalah bagian inti dalam pemetaan RACI Charts yang telah
ditentukan oleh COBIT untuk sebagai penyesuaian proses terkait terhadap
pihak-pihak terkait yang saling berhubungan.
3. Tabel Pihak Terkait adalah Acuan yang ditawarkan COBIT untuk mengetahui
siapa saja pihak yang terkait dan relevan dengan proses yang disediakan oleh
COBIT
Kegunaan RACI Chart untuk organisasi yang dikelola adalah:
1. Mengidentifikasi beban kerja yang telah ditugaskan kepada karyawan atau
departemen tertentu.
Tabel Key Management
Practice
Tabel Pihak Terkait
Kolom R A C I
45
2. Memastikan bahwa proses tertentu tidak terlalu dominan.
3. Memastikan bahwa anggota baru dijelaskan tentang peran dan tanggung jawab.
4. Menentukan keseimbangan yang tepat antara garis dan tanggung jawab proyek.
5. Mendistribusikan kerja antara kelompok untuk mendapatkan efisiensi kerja
yang lebih baik.
6. Terbuka untuk menyelesaikan konflik dan diskusi.
2.3.6 Process Assessment Model
Menurut ISACA, Process Assessment Model (PAM) merupakan sebuah
model yang compatible untuk tujuan penilaian kemampuan proses, berdasarkan
satu atau lebih dari model referensi (ISACA, 2012).
Model ini merupakan dasar untuk penilaian kemampuan proses TI suatu
perusahaan pada COBIT 5 dan program pelatihan dan sertifikasi bagi para penilai.
Proses penilaian ini dibuktikan dengan mengaktifkan proses penilaian yang dapat
diandalkan, konsisten dan berulang di bidang tata kelola dan manajemen TI.
Model penilaian memungkinkan penilaian oleh perusahaan untuk
mendukung perbaikan proses. Penilai dapat memisahkan bagian-bagian untuk
memilih proses yang akan dinilai. Pemetaan ini meliputi:
a) Menghubungkan tujuan perusahaan dengan tujuan TI perusahaan
b) Menghubungkan tujuan TI perusahaan dengan tujuan proses TI
c) Sebuah Framework untuk memilih bidang area
COBIT 5 PAM yang mendukung kinerja penilaian dengan memberikan
indikator untuk bimbingan pada interpretasi dari tujuan proses perusahaan. COBIT
5 PAM terdiri dari satu set indikator kinerja proses dan kemampuan proses.
46
Indikator-indikator yang digunakan sebagai dasar untuk mengumpulkan bukti
objektif yang memungkinkan penilai untuk menetapkan peringkat (ISACA, 2012).
2.3.6.1 Assessment Process Activities
Assessment Process Activities merupakan tahapan-tahapan aktifitas dalam
melakukan proses penilaian capability level untuk perusahaan (ISACA, 2012):
Gambar 2.7 Proses Assessment Process Activities (ISACA, 2012)
Initiation
Initiation merupakan tahapan pertama dalam Assessment Process Activities
yang ada pada Process Assessment Model COBIT 5. Bertujuan untuk
menjelaskan hasil identifikasi dari beberapa informasi yang dapat dikumpulkan.
Planning the Assessment
Tahap kedua adalah dilakukan rencana penilaian yang bertujuan untuk
mendapatkan hasil evaluasi penilaian capability level. Dengan memetakan
47
RACI Chart yang ada di COBIT dengan beberapa pegawai Pusat Jaringan
Komunikasi BMKG agar selaras dengan kebutuhan aktifitas penelitian yang
akan dinilai.
Briefing
Tahap ketiga adalah melakukan pengarahan kepada tim penilai sehingga
memahai masukan, proses dan keluaran dalam unit organisasi yang akan dinilai
yaitu Pusat Jaringan Komunikasi BMKG dengan cara menentukan jadwal,
kendala yang dihadapi dalam melakukan penilaian, peran dan tanggung jawab,
kebutuhan sumber daya, dan lainlain.
Data Collection
Tahap keempat adalah dilakukan pengumpulan data dari hasil temuan yang
terdapat pada Pusat Jaringan Komunikasi BMKG yang bertujuan untuk
mendapatkan bukti-bukti penilaian evaluasi pada aktifitas proses yang telah
dilakukan.
Data Validation
Tahap kelima adalah dilakukan validasi data yang bertujuan untuk mengetahui
hasil perhitungan kuisioner agar mendapatkan evaluasi penilaian capability
level.
Process Attribute Level
Tahap keenam adalah dilakukan proses memberi level pada atribut yang ada di
setiap indikator, yang bertujuan untuk menunjukkan hasil capability level dari
hasil perhitungan kuisioner pada tahap-tahap sebelumnya dan melakukan
analisis gap pada tahapan berikutnya.
48
Reporting the Result
Tahap ketujuh adalah dilakukan melaporkan hasil evaluasi yang bertujuan
untuk memberikan rekomendasi dengan COBIT 5, bahwa dalam praktik tata
kelola teknologi informasi pada COBIT 5 memiliki beberapa ketentuan yang
harus dipenuhi.
2.3.6.2 Indikator Kapabilitas Proses dalam COBIT 5
Menurut ISACA, indikator kapabilitas proses adalah kemampuan proses
dalam meraih tingkat kapabilitas yang ditentukan oleh atribut proses. Bukti atas
indikator kapabilitas proses akan mendukung penilaian atas pencapaian atribut
proses (ISACA, 2012).
Dimensi kapabilitas dalam model penilaian proses mencakup enam tingkat
kapabilitas. Di dalam enam tingkat tersebut terdapat indikator atribut proses.
Tingkat 0 tidak memiliki indikator apapun, karena tingkat 0 menyatakan
proses yang belum diimplementasikan atau proses yang gagal, meskipun sebagian,
untuk mencapai hasil akhirnya. Kegiatan penilaian membedakan antara penilaian
untuk level 1 dengan level yang lebih tinggi. Hal ini dilakukan karena level 1
menentukan apakah suatu proses mencapai tujuannya, dan oleh karena itu sangat
penting untuk dicapai, dan juga menjadi pondasi dalam meraih level yang lebih
tinggi.
Lalu untuk penilaian capability level (tingkat kemampuan) terbagi menjadi
beberapa tingkatan yaitu Level 0-Incomplete Process, Level 1-Performed Process,
Level 2-Managed Process, Level 3-Established Process, Level 4-Predictable
process, Level 5-Optimising Process (ISACA, 2012:42). Kemudian Tingkat
49
kemampuan prosesnya ditentukan atas dasar pencapaian atribut proses tertentu
yang sesuai dengan ISO/IEC 15504-2: 2003.
Gambar 2.8 COBIT 5 Process Capability Model (ISACA, 2013:42)
2.3.7 Pemetaan Tujuan Terkait TI Terhadap Proses COBIT 5
Berikut ini merupakan gambar mapping IT-related goals pada proses yang
terdapat dalam COBIT 5:
50
Gambar 2.9 Pemetaan IT-related goal pada COBIT 5
51
Gambar 2.10 Pemetaan IT-related goal pada COBIT 5 (lanjutan)
Keterangan:
P = Primary
S = Secondary
52
Dari gambar tersebut, terlihat 37 proses COBIT serta hubungan primary
maupun secondary antara proses-proses COBIT yang ada dengan panduan IT goals
secara umum.
2.3.8 Fokus Area Evaluasi Tata Kelola TI
Proses Evaluasi pada tata kelola teknologi informasi ditentukan berdasarkan
kebutuhan organisasi saat ini. Penentuan fokus proses dilakukan dengan cara
memetakan masalah-masalah yang ada di Pusat Jaringan Komunikasi BMKG
dengan tujuan terkait TI. Domain proses tersebut diantarnya adalah Proses APO12
(Manage Risk), APO13 (Manage Security), dan DSS05 (Manage Security
Services).
2.3.8.1 Proses APO 12 (Manage Risk)
Pengertian dari proses APO 12 menurut (ISACA, 2012) adalah proses
pengidentifikasian secara berkelanjutan, penilaian dan mengurangi risiko
penggunaan TI pada level yang dibolehkan oleh manajemen eksekutif perusahaan.
Tujuan dari proses ini adalah untuk menghubungkan manajemen risiko TI
perusahaan dengan keseluruhan manajemen sumberdaya perusahaan, dan
menyeimbangkan antara biaya dan keuntungan dari manajemen risiko TI
perusahaan (ISACA, 2012).
2.3.8.2 Proses APO 13 (Manage Security)
Pengertian dari proses APO 13 menurut (ISACA, 2012) adalah proses yang
menjelaskan operasi dan pengawasan sistem untuk keperluan manajemen
keamanan informasi.
53
Proses ini bertujuan untuk menjaga agar dampak dan insiden keamanan
informasi berada pada ambang batas perusahaan (ISACA, 2012).
2.3.8.3 Proses DSS05 (Manage Security Services)
Menurut (ISACA, 2012) pengertian dari proses DSS05 adalah melindungi
informasi perusahaan agar risiko yang disebabkan berada pada ambang batas
perusahaan dengan kaitannya pada peraturan keamanan. Serta membuat dan
merawat kewenangan akses keamanan informasi dan menjalankan pengawasan
keamanan.
Proses ini bertujuan untuk meminimalkan dampak operasional celah dan
insiden keamanan informasi terhadap bisnis (ISACA, 2012).
2.4 Framework ISO 27002
International Standards Organization (ISO) mengelompokkan standar
keamanan informasi yang umum dikenali secara internasional ke dalam struktur
penomoran yang standar yakni ISO 17799. ISO 17799 tahun 2005, resmi
dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu secara
resmi diubah menjadi ISO 27002 tahun 2005. Konten tersebut masih persis sama.
Standar ISO 17799: 2005 (sekarang dikenal sebagai ISO 27002: 2005)
dikembangkan oleh IT Security Subcommittee dan Technical Committee on
Information Technology (ISO 27002, 2005).
ISO 27002: 2005 berisi panduan yang menjelaskan contoh penerapan
keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar
mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan
seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan didalam ISO
54
27001. Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan berdasarkan
ISO 27001 terdiri dari 11 klausul kontrol keamanan (security control clauses), 39
objektif kontrol (control objectives) dan 133 kontrol keamanan/ kontrol (controls)
yang dapat dilihat dalam Tabel 2.1. Sedangkan untuk detail struktur dokumen
kontrol keamanan dari ISO 27001 dapat dilihat pada Lampiran.
2.4.1 Hubungan dengan ISO/IEC 27001
ISO/IEC 27001 secara formal mendefinisikan persyaratan wajib untuk
Sistem Manajemen Keamanan Informasi (ISMS). ISO/IEC 27002 digunakan untuk
menunjukkan kontrol keamanan informasi yang sesuai dalam ISMS, tetapi karena
ISO/IEC 27002 hanyalah sebuah kode praktik / pedoman daripada standar
sertifikasi, organisasi bebas untuk memilih dan menerapkan kontrol lain, atau
memang mengadopsi alternative suite lengkap kontrol keamanan informasi yang
mereka mau. Dalam praktiknya, sebagian besar organisasi yang mengadopsi
ISO/IEC 27001 juga mengadopsi ISO/IEC 27002.
2.4.2 Struktur dan format ISO/IEC 27002: 2013
ISO/IEC 27002 adalah kode praktik dokumen umum yang bersifat
penasihat, bukan spesifikasi formal seperti ISO/IEC 27001. Dokumen ini
merekomendasikan kontrol keamanan informasi yang membahas tujuan
pengendalian keamanan informasi yang timbul dari risiko terhadap kerahasiaan,
integritas, dan ketersediaan informasi. Organisasi yang mengadopsi ISO/IEC 27002
harus menilai risiko informasi mereka sendiri, memperjelas tujuan kontrol mereka
dan menerapkan kontrol yang sesuai (atau bentuk lain dari perlakuan risiko)
menggunakan standar untuk panduan.
55
Banyak kontrol dapat dimasukkan dalam beberapa bagian, tetapi untuk
menghindari duplikasi dan konflik, mereka yang memiliki wewenang ditugaskan
untuk memilih satu, atau dalam beberapa kasus dapat dilakukan referensi silang dari
tempat lain. Misalnya, sistem kontrol akses kartu untuk ruang komputer atau
arsip/lemari besi. Ruang komputer atau arsip/lemari besi adalah kontrol akses dan
kontrol fisik yang melibatkan teknologi ditambah manajemen/administrasi terkait
serta prosedur dan kebijakan penggunaan. Hal ini setidaknya merupakan struktur
yang cukup komprehensif dan mungkin tidak sempurna tetapi cukup baik secara
keseluruhan.
2.4.3 Content ISO/IEC 27002
Secara lebih detail, berikut adalah perincian yang meringkas 19 bagian atau
bab standar (21 jika Anda menyertakan kata pengantar dan bibliografi yang tidak
bernomor). Area blok secara kasar mencerminkan ukuran bagian.
Gambar 2.11 Klausul ISO 27002 2013
56
Foreward
Secara singkat menyebutkan ISO/IEC JTC1 / SC 27, komite yang menulis standar,
dan mencatat bahwa "edisi kedua ini membatalkan dan menggantikan edisi pertama
(ISO/IEC 27002: 2005), yang telah direvisi secara teknis dan struktural".
0. Introduction
Ini memaparkan latar belakang, menyebutkan tiga asal dari persyaratan
keamanan informasi, mencatat bahwa standar menawarkan panduan generik
dan berpotensi tidak lengkap yang harus ditafsirkan dalam konteks organisasi,
menyebutkan informasi dan siklus hidup sistem informasi, dan menunjuk ke
ISO/IEC 27000 untuk keseluruhan struktur.
1. Scope
Standar ini memberikan rekomendasi bagi mereka yang bertanggung jawab
untuk memilih, menerapkan dan mengelola keamanan informasi. Ini mungkin
digunakan atau mungkin tidak digunakan untuk mendukung ISMS yang
ditentukan dalam ISO/IEC 27001.
2. Normative References
ISO/IEC 27000 adalah satu-satunya standar yang dianggap mutlak tak
terpisahkan untuk penggunaan ISO/IEC 27002. Namun, berbagai standar lain
disebutkan dalam standar dan bibliografi.
3. Terms and Definitions
Semua istilah dan definisi spesialis sekarang didefinisikan dalam ISO/IEC
27000 dan paling berlaku di seluruh standar keluarga ISO/IEC 27000.
57
4. Structure of this Standard
a. Klausa Kontrol keamanan
Dalam klausa kontrol keamanan Dari 21 bagian atau bab standar, 14
menentukan tujuan pengendalian dan kontrol. 14 ini adalah “klausul kontrol
keamanan”. Ada struktur standar dalam setiap klausa kontrol: satu atau
beberapa subbagian tingkat pertama, masing-masing menyatakan tujuan
kontrol, dan setiap tujuan kontrol didukung secara bergantian oleh satu atau
lebih kontrol yang dinyatakan. Setiap kontrol diikuti oleh pedoman
penerapan terkait dan, dalam beberapa kasus, catatan penjelasan tambahan.
b. 35 Tujuan Kontrol
ISO/IEC 27002 menetapkan sekitar 35 tujuan kontrol (satu per 'kategori
kontrol keamanan') tentang perlunya melindungi kerahasiaan, integritas,
dan ketersediaan informasi. Tujuan kontrol berada pada tingkat yang cukup
tinggi dan, pada dasarnya, mencakup spesifikasi persyaratan fungsional
umum untuk arsitektur manajemen keamanan informasi organisasi.
Beberapa profesional akan secara serius membantah keabsahan tujuan
pengendalian, untuk menempatkannya dengan cara lain akan sulit untuk
menyatakan bahwa organisasi tidak perlu memenuhi tujuan pengendalian
yang dinyatakan secara umum. Namun, beberapa tujuan pengendalian tidak
berlaku dalam setiap kasus dan kata-kata generiknya tidak mungkin untuk
mencerminkan persyaratan yang tepat dari setiap organisasi. Inilah
sebabnya mengapa ISO/IEC 27001 membutuhkan SoA (Pernyataan
Keberlakuan), meletakkan secara jelas apa kontrol keamanan informasi
58
yang diperlukan atau tidak diperlukan oleh organisasi, serta status
penerapannya.
c. 114 +++ control
Masing-masing tujuan kontrol didukung oleh setidaknya satu kontrol,
memberikan total 114. Namun, angka utama agak menyesatkan karena
pedoman pelaksanaan merekomendasikan banyak kontrol aktual dalam
rinciannya. Tujuan kontrol yang berkaitan dengan sub-sub-bagian yang
relatif sederhana 9.4.2 "Prosedur log-on yang aman", misalnya, didukung
dengan memilih, menerapkan dan menggunakan teknik otentikasi yang
sesuai, tidak mengungkapkan informasi sensitif pada saat log-on, validasi
entri data, perlindungan terhadap serangan brute-force, logging, tidak
mentransmisikan password secara jelas melalui jaringan, waktu tidak aktif
sesi, dan pembatasan waktu akses. Apakah Anda menganggap bahwa
menjadi satu atau beberapa kontrol terserah Anda. Dapat dikatakan bahwa
ISO/IEC 27002 merekomendasikan ratusan kontrol keamanan informasi
yang berbeda, meskipun beberapa mendukung beberapa tujuan kontrol,
dengan kata lain beberapa kontrol memiliki beberapa tujuan.
Lebih jauh lagi, kata-kata di seluruh standar dengan jelas menyatakan atau
menyiratkan bahwa ini bukan kumpulan yang benar-benar komprehensif.
Suatu organisasi mungkin memiliki tujuan pengendalian keamanan
informasi baru yang sedikit berbeda atau sepenuhnya baru, yang
membutuhkan kontrol lain (kadang-kadang dikenal sebagai 'rangkaian
59
kontrol diperpanjang') sebagai pengganti atau di samping yang dinyatakan
dalam standar.
5. Information Security Policies
Manajemen harus menetapkan seperangkat kebijakan untuk memperjelas arah
mereka dan dukungan untuk keamanan informasi. Di tingkat atas, harus ada
"kebijakan keamanan informasi" secara keseluruhan sebagaimana ditentukan
dalam ISO/IEC 27001.
6. Organization of Information Security
a. Organisasi internal
Organisasi harus meletakkan peran dan tanggung jawab untuk keamanan
informasi, dan mengalokasikannya kepada individu. Jika relevan, tugas
harus dipisahkan antara peran dan individu untuk menghindari konflik
kepentingan dan mencegah kegiatan yang tidak pantas. Harus ada kontak
dengan otoritas eksternal yang relevan tentang masalah keamanan
informasi. Keamanan informasi harus menjadi bagian integral dari
manajemen semua jenis proyek.
b. Perangkat Seluler dan Teleworking
Harus ada kebijakan keamanan dan kontrol untuk perangkat seluler (seperti
laptop, PC tablet, perangkat TIK yang dapat dipakai, smartphone, gadget
USB, dan lainnya) dan teleworking (seperti telecommuting, pekerjaan
rumah, dan remote/tempat kerja virtual).
60
7. Human Resource Security
a. Sebelum Bekerja
Tanggung jawab keamanan informasi harus dipertimbangkan ketika
merekrut karyawan tetap, kontraktor dan staf sementara (misalnya melalui
deskripsi pekerjaan yang memadai, skrining pra-kerja) dan termasuk dalam
kontrak (misalnya syarat dan ketentuan kerja dan perjanjian yang
ditandatangani lainnya yang mendefinisikan peran dan tanggung jawab
keamanan, kewajiban kepatuhan dll.).
b. Selama Bekerja
Manajer harus memastikan bahwa karyawan dan kontraktor disadarkan dan
termotivasi untuk mematuhi kewajiban keamanan informasi mereka. Proses
disipliner formal diperlukan untuk menangani insiden keamanan informasi
yang diduga disebabkan oleh pekerja.
c. Penghentian dan Perubahan Pekerjaan
Aspek keamanan seseorang dari organisasi, atau perubahan peran yang
signifikan di dalamnya, harus dikelola, seperti mengembalikan informasi
dan peralatan perusahaan yang mereka miliki, memperbarui hak akses
mereka, dan mengingatkan mereka tentang kewajiban berkelanjutan mereka
di bawah privasi dan kekayaan intelektual hukum, ketentuan kontrak,
ditambah dengan harapan etika, dll.
61
8. Asset Management
a. Tanggung Jawab untuk Aset
Semua aset informasi harus diinventarisasi dan pemilik harus diidentifikasi
untuk dimintai pertanggungjawaban atas keamanan mereka. Kebijakan
“Penggunaan yang dapat diterima” harus ditetapkan, dan aset harus
dikembalikan ketika orang meninggalkan organisasi.
b. Klasifikasi Informasi
Informasi harus diklasifikasikan dan diberi label oleh pemiliknya sesuai
dengan perlindungan keamanan yang diperlukan, dan ditangani dengan
tepat.
c. Penanganan media
Media penyimpanan informasi harus dikelola, dikendalikan, dipindahkan,
dan diatur sedemikian rupa sehingga konten informasi dapat dikendalikan.
9. Access Control
a. Persyaratan Bisnis untuk Kontrol Akses
Persyaratan organisasi untuk mengontrol akses ke aset informasi harus
didokumentasikan dengan jelas dalam kebijakan dan prosedur kontrol
akses, terutama akses jaringan dan koneksi harus dibatasi.
b. Manajemen Akses Pengguna
Alokasi hak akses ke pengguna harus dikendalikan dari pendaftaran
pengguna awal hingga penghapusan hak akses ketika tidak lagi diperlukan,
termasuk pembatasan khusus untuk hak akses istimewa dan pengelolaan
62
kata sandi (sekarang disebut "informasi otentikasi rahasia") ditambah ulasan
rutin dan pembaruan hak akses.
c. Tanggung Jawab Pengguna
Pengguna harus dibuat sadar akan tanggung jawab mereka untuk
mempertahankan kontrol akses yang efektif, mis. memilih kata sandi yang
kuat dan menjaga kerahasiaannya.
d. Sistem dan Kontrol Akses Aplikasi
Akses informasi harus dibatasi sesuai dengan kebijakan kontrol akses,
keamanan log-on, manajemen kata sandi, kontrol atas utilitas istimewa dan
akses terbatas ke kode sumber program.
10. Cryptography
a. Kontrol kriptografi
Harus ada kebijakan tentang penggunaan enkripsi, ditambah otentikasi
kriptografi dan kontrol integritas seperti tanda tangan digital dan kode
otentikasi pesan, dan manajemen kunci kriptografi.
11. Physical and Enviromental Security
a. Area aman
Batas dan rintangan fisik yang ditetapkan dengan kontrol masuk fisik dan
prosedur kerja, harus melindungi gedung, kantor, ruangan, area
pengiriman/pemuatan, dll. Saran spesialis harus dicari mengenai
perlindungan terhadap kebakaran, banjir, gempa bumi, bom dll.
63
b. Peralatan
Peralatan ditambah utilitas pendukung (seperti daya dan pengkondisian
udara) dan pemasangan kabel harus dijamin dan dipelihara. Peralatan dan
informasi tidak boleh dikeluarkan dari lokasi kecuali diizinkan, dan harus
dilindungi secara memadai baik di dalam maupun di luar lokasi. Informasi
harus dihancurkan sebelum media penyimpanan dibuang atau digunakan
kembali. Peralatan yang tidak dijaga harus diamankan dan harus ada meja
yang jelas dan kebijakan layar jernih.
12. Operations Security
a. Prosedur dan Tanggung Jawab Operasional
Tanggung jawab dan prosedur operasi TI harus didokumentasikan.
Perubahan pada fasilitas dan sistem TI harus dikontrol. Kapasitas dan
kinerja harus dikelola. Pengembangan, pengujian dan sistem operasional
harus dipisahkan.
b. Perlindungan dari Malware
Kontrol malware diperlukan, termasuk kesadaran pengguna.
c. Backup
Cadangan yang sesuai harus diambil dan disimpan sesuai dengan kebijakan
cadangan.
d. Pencatatan dan Pemantauan
Pengguna sistem dan kegiatan administrator/operator, pengecualian,
kesalahan dan kejadian keamanan informasi harus dicatat dan dilindungi,
Jam harus disinkronkan.
64
e. Kontrol Operasional Perangkat Lunak
Instalasi perangkat lunak pada sistem operasional harus dikontrol.
f. Pengelolaan Kerentanan Teknis
Kerentanan teknis harus ditambal, dan harus ada aturan di tempat yang
mengatur pemasangan perangkat lunak oleh pengguna.
g. Pertimbangan Audit Sistem Informasi
Audit TI harus direncanakan dan dikendalikan untuk meminimalkan
dampak buruk pada sistem produksi, atau akses data yang tidak sesuai.
13. Communications Security
a. Manajemen Keamanan Jaringan
Jaringan dan layanan jaringan harus diamankan, misalnya dengan segregasi.
b. Transfer Informasi
Harus ada kebijakan, prosedur, dan perjanjian (misalnya perjanjian
kerahasiaan) tentang transfer informasi ke/dari pihak ketiga, termasuk
perpesanan elektronik.
14. System Acquisition, Development and Maintenance
a. Persyaratan Keamanan Sistem Informasi
Persyaratan kontrol keamanan harus dianalisis dan ditentukan, termasuk
aplikasi web dan transaksi.
b. Keamanan dalam Proses Pengembangan dan Dukungan
Aturan yang mengatur pengembangan perangkat lunak/sistem yang aman
harus didefinisikan sebagai kebijakan. Perubahan sistem (baik aplikasi dan
sistem operasi) harus dikontrol. Paket-paket perangkat lunak idealnya tidak
65
perlu dimodifikasi, dan prinsip-prinsip rekayasa sistem yang aman harus
diikuti. Lingkungan pengembangan harus diamankan, dan pengembangan
yang dialihdayakan harus dikontrol. Keamanan sistem harus diuji dan
kriteria penerimaan didefinisikan untuk memasukkan aspek keamanan.
c. Data Uji
Data uji harus dipilih / dibuat dan dikendalikan secara hati-hati.
15. Supplier Relationships
a. Keamanan Informasi dalam Hubungan Pemasok
Harus ada kebijakan, prosedur, kesadaran, dll. Untuk melindungi informasi
organisasi yang dapat diakses oleh agen outsourcing TI dan pemasok
eksternal lainnya di seluruh rantai pasokan, yang disepakati dalam kontrak
atau perjanjian.
b. Manajemen Pengiriman Layanan Pemasok
Penyampaian layanan oleh pemasok eksternal harus dipantau, dan
ditinjau/diaudit terhadap kontrak/perjanjian. Perubahan layanan harus
dikontrol.
16. Information Security Incident Management
a. Manajemen Insiden Keamanan Informasi dan Perbaikan
Harus ada tanggung jawab dan prosedur untuk mengelola (melaporkan,
menilai, menanggapi dan belajar dari) kejadian keamanan informasi,
insiden dan kelemahan secara konsisten dan efektif, dan mengumpulkan
bukti forensik.
66
17. Information Security Aspects of Bussiness Continuity
a. Kelanjutan Keamanan Informasi
Kesinambungan keamanan informasi harus direncanakan, diterapkan, dan
ditinjau sebagai bagian integral dari sistem manajemen kesinambungan
bisnis organisasi.
b. Redudansi
Fasilitas IT harus memiliki redundansi yang cukup untuk memenuhi
persyaratan ketersediaan.
18. Compliance
a. Kepatuhan dengan Persyaratan Hukum dan Kontrak
Organisasi harus mengidentifikasi dan mendokumentasikan kewajibannya
kepada pihak berwenang eksternal dan pihak ketiga lainnya dalam
kaitannya dengan keamanan informasi, termasuk kekayaan intelektual,
catatan, privasi/informasi identitas pribadi dan kriptografi.
b. Tinjauan Keamanan Informasi
Pengaturan keamanan informasi organisasi harus ditinjau secara
independen (diaudit) dan dilaporkan kepada manajemen. Manajer juga
harus secara rutin meninjau kepatuhan karyawan dan sistem terhadap
kebijakan keamanan, prosedur, dll. Dan memulai tindakan korektif jika
perlu.
Standar ISO 27002 menetapkan petunjuk dan prinsip umum untuk inisiasi,
implementasi, pemeliharaan dan peningkatan manajemen keamanan informasi pada
sebuah organisasi. Tujuan secara garis besar pada standar ini menyediakan petunjuk
67
umum pada tujuan manajemen keamanan informasi yang biasanya diterima. Tujuan
kontrol dan kontrol standar internasional ini dimaksudkan untuk dimplementasikan
untuk memenuhi persyaratan yang diidentifikasi oleh penilaian resiko. Standar
internasional ini dapat berfungsi sebagai petunjuk praktis untuk mengembangkan
standar keamanan organisasional dan praktik manajemen keamanan dan membantu
untuk membangun kepercayaan diri pada aktivitas antar organisasional. Standar ini
berisi 11 klausa kontrol keamanan yang secara bersama berisi 39 kategori
keamanan utama dan satu klausul pengantar memperkenalkan penilaian resiko dan
perlakuan. Masing-masing klausa terdiri dari sejumlah kategori keamanan utama.
Masing-masing kategori keamanan utama terdiri dari tujuan kontrol yang
menyatakan apa yang ingin dicapai dan satu atau lebih kontrol yang dapat
diterapkan untuk mencapai tujuan control.
Klausul Jumlah
Objektif Kontrol Kontrol
5 1 2
6 2 11
7 2 5
8 3 9
9 2 13
10 10 31
11 7 25
12 6 16
13 2 5
14 1 5
15 3 10
Jumlah : 11 Jumlah : 39 Jumlah : 133
Tabel 2.1 Jumlah Klausul ISO 27002
ISO 27002 tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi
menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang tepat
68
sesuai kebutuhanya, dengan mempertimbangkan hasil kajian resiko yang telah
dilakukanya (Direktorat Keamanan Informasi, 2011).
27000 Fundamental & Vocabulary
27005
RISK
MANAGEMENT
27001 : ISMS
27002 : Code of Practice for ISMS
27003 : Implementation Guidance
27004 : Metrics & Measurement
27006 : Guidelines on ISMS Accreditation
27007 : Guidelines on ISMS Auditing
Gambar 2.12 ISO 27000 Family (Sumber: Sarno dan Iffano, 2009: 56)
Standar tersebut memiliki fungsi dan peran masing-masing dan berkembang
ke seri lain yang paparan lebih lanjutnya akan dijelaskan sebagai berikut.
1. ISO 27000: merupakan dokumen yang berisikan definisi-definisi dalam bidang
keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO
27000.
2. ISO 27001: berisi persyaratan standar yang harus dipenuhi untuk membangun
SMKI.
3. ISO 27002: merupakan panduan praktis (code of practice) pelaksanaan, teknik,
dan implementasi sistem manajemen keamanan informasi perusahaan
berdasarkan ISO 27001.
4. ISO 27003: berisi panduan untuk perancangan dan penerapan SMKI agar
memenuhi persyaratan ISO 27001.
5. ISO 27004: berisi matriks dan metode pengukuran keberhasilan implementasi
SMKI.
6. ISO 27005: dokumen panduan pelaksanaan manajemen resiko.
7. ISO 27006: dokumen panduan untuk sertifikasi SMKI perusahaan.
69
8. ISO 27007: dokumen panduan audit SMKI perusahaan.
2.5 Pemetaan Proses COBIT kedalam Kontrol ISO
Perbedaan mendasar antara COBIT dan ISO 27002 adalah bahwa ISO
27002 hanya berfokus pada keamanan informasi, sedangkan COBIT difokuskan
pada kontrol teknologi informasi yang lebih umum. Dengan demikian, COBIT
memiliki cakupan yang lebih luas dari topik teknologi informasi umum, tetapi tidak
memiliki banyak persyaratan keamanan informasi rinci seperti ISO 27002. Jika
suatu organisasi menangani semua kontrol keamanan dalam ISO 27002, maka
mereka akan mencakup sebagian besar COBIT. Namun, COBIT mencakup
serangkaian masalah yang jauh lebih besar terkait dengan tata kelola teknologi
informasi, dan biasanya digunakan sebagai bagian dari kerangka kerja tata kelola
perusahaan secara keseluruhan.
COBIT berfungsi mempertemukan semua bisnis kebutuhan kontrol dan isu-
isu teknik. Di samping itu, COBIT juga dirancang agar dapat menjadi alat bantu
yang dapat memecahkan permasalahan pada IT governance dalam memahami dan
mengelola resiko serta keuntungan yang behubungan dengan sumber daya
informasi perusahaan. Agar tata kelola keamanan informasi dapat berjalan dengan
baik diperlukan suatu standar untuk melakukan tata kelola tersebut (Tanuwijaya
dan Sarno, 2010: 80). Menurut (Sarno dan Iffano, 2009: 59) tidak ada acuan baku
mengenai standar apa yang akan digunakan atau dipilih oleh perusahaan untuk
melaksanakan audit keamanan sistem informasi. ISO27002 adalah sebuah standar
internasional yang tidak terikat dengan peraturan negara manapun. Penggunaan
standar ISO27002 adalah bersifat voluntary yang berarti bahwa masing-masing
70
organisasi dapat memilih praktik terbaik mana yang digunakan yang cocok dengan
kebutuhan organisasi.
Salah satu bagian terpenting dari teknologi informasi dalam kerangka kerja
COBIT, adalah manajemen keamanan informasi yang mencakup kerahasiaan,
integritas, dan ketersediaan sumber daya. Karena masalah yang diangkat adalah
area yang dicakup oleh standar ISO/IEC 27002, pilihan terbaik untuk memenuhi
manajemen keamanan informasi adalah dengan menggunakan framework COBIT
5 untuk pemetaan proses-proses yang relevan serta menghitung Capability Level
Perusahaan, dan menggunakan standar ISO 27002 dalam pemberian usulan serta
pembuatan dokumen tata kelola keamanan informasi.
Tujuan pemetaan ini menyediakan cara terintegrasi untuk penggunaan
COBIT dan ISO/IEC 27002 secara komplementer untuk keamanan informasi.
Pemetaan ISO/IEC 27002 ke dalam proses COBIT memungkinkan organisasi untuk
menurunkan biaya keseluruhan untuk menjaga tingkat keamanan yang maksimal,
efisien dan efektif mengelola risiko dan mengurangi tingkat risiko secara
keseluruhan.
2.6 Metode Perhitungan
2.6.1 Skala Likert
Dalam penelitian ini penulis menggunakan Skala Likert sebagai metode
perhitungan pada instrumen penelitian. Skala Likert merupakan skala yang dapat
dipergunakan untuk mengukur sikap, pendapat, dan persepsi seseorang tentang
suatu gejala atau fenomena tertentu (Budiman & Riyanto, 2013)
71
Sependapat dengan Budiman dan Riyanto. Guritno mengemukakan skala
Likert digunakan untuk mengukur sikap, pendapat, dan persepsi seseorang atau
sekelompok orang tentang kejadian atau gejala sosial. Skala ini dikembangkan pada
tahun 1930 oleh Rensis Likert untuk memberikan ukuran sikap seseorang tingkat
ordinal (Guritno, 2011).
Skala Likert juga kerap digunakan dalam penelitian survey dengan orang
menyatakan sikap atau tanggapan lain sehubungan dengan kategori tingkat ordinal
(misal, setuju, tidak setuju) yang diperingatkan sepanjang kontinum (Neuman,
2013). Berikut keterangan nilai/skor skala Likert yang terdapat pada tabel berikut:
Alternatif Skor
Positif Negatif
Sangat Setuju 5 1
Setuju 4 2
Kurang Setuju 3 3
Tidak Setuju 2 4
Sangat Tidak Setuju 1 5
Tabel 2.2 Ketentuan Nilai Skala Likert
2.6.2 Skala Rating Scale
Atribut peringkat menggunakan skala peringkat standar yang terdiri dari:
1. N (Not achieve)
Kategori ini tidak ada atau hanya sedikit bukti atas pencapaian atribut proses
tersebut. Range nilai yang diraih pada kategori ini berkisar 0-15%.
72
2. P (Partially achieve)
Kategori ini terdapat beberapa bukti mengenai pendekatan, dan beberapa
pencapaian atribut atas proses tersebut. Range nilai yang diraih pada kategori
ini berkisar 15-50%.
3. L (Largely achieve)
Kategori ini terdapat bukti atas pendekatan sistematis, dan pencapaian
signifikan atas proses tersebut, meski mungkin masih ada kelemahan yang tidak
signifikan. Range nilai yang diraih pada kategori ini berkisar 50-85%.
4. F (Fully achieve)
Kategori ini terdapat bukti atas pendekatan sistematis dan lengkap, dan
pencapaian penuh atas atribut proses tersebut. Tidak ada kelemahan terkait
atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar 85-
100%.
Tabel 2.3 Rating Levels (ISACA, 2012)
Menutur ISACA, suatu proses cukup meraih kategori Largely achieved (L)
atau Fully achieved (F) untuk dapat dinyatakan bahwa proses tersebut telah meraih
suatu tingkat kapabilitas tersebut, namun proses tersebut harus meraih kategori
Fully achieved (F) untuk dapat melanjutkan penilaian ke tingkat kapabilitas
berikutnya, misalnya bagi suatu proses untuk meraih tingkat kapabilitas 3, maka
73
tingkat 1 dan 2 proses tersebut harus mencapai kategori Fully achieved (F)
sementara tingkat kapabilitas 3 cukup mencapai kategori Lagerly achieved (L) atau
Fully achieved (F) (ISACA, 2012).
2.6.3 Perhitungan Capability Level
Menurut Krisdanto Surendro pada bukunya yang berjudul “Implementasi
Tata Kelola TI” (2009). Dijelaskan tentang hasil dari perhitungan kuesioner yang
direkapitulasi untuk dapat merepresentasikan persentase dan Capability Level.
Maka dapat dijelaskan dengan rumus penilaian sebagai berikut:
1. Menghitung Rekapitulasi Jawaban Kuesioner
𝑪 =𝑯
𝑱𝑹× 𝟏𝟎𝟎%
Keterangan:
C : Rekapitulasi jawaban kuesioner Capability Level
(dalam bentuk persentase pada masing-masing pilihan
jawaban a, b, c, d, e atau f di masing-masing aktivitas).
H : Jumlah jawaban kuesioner Capability Level pada
masing-masing pilihan jawaban a, b, c, d, e atau f di
setiap aktivitas.
J
R
: Jumlah Responden/Narasumber.
2. Menghitung Nilai dan Level Kapabilitas
𝑁𝐾 =(𝑳𝑷𝒙𝑵𝒌𝒂+(𝑳𝑷𝒙𝑵𝒌𝒃)+(𝑳𝑷𝒙𝑵𝒌𝒄)+(𝑳𝑷𝒙𝑵𝒌𝒅)+(𝑳𝑷𝒙𝑵𝒌𝒆)+(𝑳𝑷𝒙𝑵𝒌𝒇)
100
Keterangan:
NK : Nilai kematangan pada proses TI.
74
LP : Level percentage (Tingkat persentase pada setiap distribusi
jawaban kuesioner II capability level).
Nk : Nilai kematangan yang tertera pada tabel pemetaan jawaban, nilai
dan tingkat kematangan.
Pada penelitian ini dilakukan pembedaan istilah antara nilai kapabilitas dan
tingkat kapabilitas. Nilai kapabilitas bisa bernilai tidak bulat (bilangan desimal),
yang merepresentasikan proses pencapaian menuju suatu tingkat kapabilitas
tertentu. Sedangkan tingkat kapabilitas lebih menunjukkan tahapan atau kelas yang
dicapai dalam proses kapabilitas, yang dinyatakan dalam bilangan bulat. (Surendro,
2009).
Untuk lebih memperjelas tingkat kapabilitas dapat dilihat pengasumsian
bahwa setiap sub proses memiliki nilai serta pembobotan terhadap tingkat
kapabilitas yang sama terhadap proses pada tabel 2.4.
Rentang Nilai Jawaban Nilai
Kapabilitas
Tingkat
Kapabilitas
0 – 0,50 A 0,00 0 (Incomplete
Process)
0,51 – 1,50 B 1,00 1 (Performed
Process)
1,51 – 2,50 C 2,00 2 (Managed
Process)
2,51 – 3,50 D 3,00 3 (Established
Process)
3,51 – 4,50 E 4,00 4 (Predictable
Process)
4,51 – 5,00 F 5,00 5 (Optimising
Process)
Tabel 2.4 Pemetaan Jawaban Nilai dan Tingkat Kapabilitas
75
2.7 Metode Pengumpulan Data
Data merupakan manifestasi dari informasi yang sengaja dicari untuk
dikumpulkan guna menjelaskan suatu peristiwa atau kegiatan lainnya.
Pengumpulan data pada dasarnya merupakan suatu kegiatan operasional agar
tindakannya masuk pada pengertian penelitian yang sebenarnya (Subagyo, 2015).
Secara umum metode pengumpulan data dapat dibagi atas beberapa jenis yaitu:
1. Wawancara
Salah satu metode pengumpulan data dilakukan melalui wawancara adalah
suatu kegiatan yang dilakukan untuk mendapatkan informasi secara langsung
dengan mengungkapkan pertanyaan-pertanyaan pada para responden.
Wawancara bermakna berhadapan langsung antara interviewer dengan
reponden dan kegiatannya dilakukan secara lisan (Subagyo, 2015).
2. Observasi
Bentuk alat pengumpul data yang lain dilakukan dengan cara
observasi/pengamatan. Observasi dilakukan sesusai dengan kebutuhan
penelitian mengingat tidak setiap penelitian menggunakan alat pengumpul data
demikian. Observasi adalah pengamatan yang dilakukan secara sengaja,
sistematis mengenai fenomena sosial dengan gejala-gejala psikis untuk
kemudian dilakukan pencatatan (Subagyo, 2015).
3. Kuesioner
Bentuk pengumpulan data selanjutnya adalah menggunakan kuesioner.
Instrumen ini merupakan alat pengumpulan data, sebagaimana alat pengumpul
data sebelumnya. Kuesioner diajukan pada responden dalam bentuk tertulis
76
disampaikan secara langsung ke alamat responden, kantor atau tempat lain
(Subagyo, 2015).
4. Tinjauan Pustaka
Kegiatan penelitian selalu bertitik tolak dari pengetahuan yang sudah ada. Hasil
penelitian yang sudah berhasil memperkaya khasanah pengetahuan yang ada
biasanya dilaporkan dalam bentuk jurnal-jurnal penelitian (Arikunto, 2013).
Kegiatan mendalami, mencermati, menelaah, dan mengidentifikasi
pengetahuan (baik itu dalam bentuk buku, laporan, jurnal, skripsi, tesis dan
semacamnya) itu disebut dengan kaji pustaka atau telaah pustaka (literature
review).
2.8 Kajian Penelitian Sebelumnya
Dibawah ini merupakan kajian dari penelitian-penelitian sebelumnya
tentang Evaluasi Tata Kelola Keamanan Teknologi Informasi menggunakan
framework terkait seperti COBIT ataupun ISO yang menjadi acuan peneliti dalam
melakukan penelitian ini :
Berdasarkan penelitian terdahulu yang dilakukan oleh peneliti (Sheikhpour,
2016), peneliti (Gupta et al., 2013), dan peneliti (Iso et al., 2014), para peneliti
tersebut menggunakan COBIT 4 dan ISO 27002 untuk mengevaluasi tata kelola
keamanan perusahaan dengan memetakan domain masing-masing framework dan
menghasilkan sebuah rekomendasi usulan berupa perancangan yang diperlukan
masing-masing peneliti. Namun terdapat perbedaan pada penelitian (Gupta et al.,
2013) karena penelitian tersebut menambahkan framework keamanan DSCI untuk
digabungkan dengan ISO / IEC 27002: 2005 dan COBIT 4.1. peneliti Gupta
77
memberikan gambaran bahwa jika kerangka kerja keamanan DSCI diikuti maka
akan diketahui sejauh mana standar lain dapat dicapai dan ini membantu
meminimalkan biaya dan menghemat waktu.
Kemudian berdasarkan penelitian terdahulu yang dilakukan oleh peneliti
(Nastase Pavel, 2009), peneliti (Selo Adipta, 2016), dan peneliti (Sudhista, 2015),
para peneliti tersebut menggunakan framework COBIT, ISO dan ITIL dalam
melakukan evaluasi tata kelola TI, namun terdapat perbedaan antara penelitian
(Nastase Pavel, 2009) dengan (Selo Adipta, 2016), dan (Sudhista, 2015), penelitian
(Nastase Pavel, 2009) menggunakan COBIT 4 dan hanya menghasilkan identifikasi
penggunaan standar dan praktik terbaik TI serta prioritas proses-proses sesuai
dengan rencana aksi dan merencanakan langkah-langkah pendekatan implementasi
sedangkan penelitian (Selo Adipta, 2016), dan (Sudhista, 2015) sudah
menggunakan framework COBIT terbaru yaitu COBIT 5 dan menghasilkan
penjelasan perbedaan dan persamaan yang terdapat pada model framework COBIT,
ITIL, dan ISO/IEC 27002 yang diintergrasikan dan merangkai sebuah usulan
framework yang komprehensif sehingga dapat digunakan untuk setiap perguruan
tinggi.
Selanjutnya penelitian terdahulu yang dilakukan oleh (Ariyani, 2013)
membahas tentang penerapan tata kelola keamanan teknologi informasi dengan
menggunakan COBIT 5 dan ISO/IEC 27002 yang berfokus pada Klausul 9 (access
control), serta Domain APO02 (define the information architecture), APO03
(determine technological direction) dan DSS05 (manage security services).
Penelitian ini bertujuan untuk peningkatan perhatian pada unsur keamanan dan
78
penerapan teknologi informasi dengan hasil dari penelitian ini didapatkan bahwa
nilai tingkat kematangan menggunakan framework ISO 27002 secara keseluruhan
SIMPEG memiliki nilai kematangan 2.49.
Kemudian penelitian terdahulu yang dilakukan oleh (Humphreys, 2008),
(Mughoffar, Ali, & Herdiyanti, 2013), dan (Afandi, 2015) membahas tentang tata
kelola keamanan teknologi informasi yang diterapkan menggunakan ISO 27001
dan ISO 27002 untuk memaksimalkan penerapan karena ISO 27001 dan ISO 27002
merupakan framework khusus terkait keamanan teknologi informasi. Namun pada
penelitian (Afandi, 2015) lebih berfokus pada kontrol yang dibutuhkan oleh
perusahaan yaitu Klausul A.8.1.3 syarat dan aturan kepegawaian, A.11.3.1
Penggunaan password, A.12.4.3 Pengendalian akses terhadap kode sumber
program, A.12.5.1 Prosedur pengendalian perubahan, A.10.6.1 Pengendalian
jaringan. Afandi memilih kontrol/klausul tertentu untuk memaksimalkan perbaikan
dan perancangan usulan sesuai kebutuhan perusahaan.
79
BAB III
METODE PENELITIAN
3.1 Waktu dan Tempat Penelitian
Tempat Penelitian : Pusat Jaringan Komunikasi, Badan Meteorologi
Klimatologi dan Geofisika (BMKG).
Alamat : Jl. Angkasa I, No.2 Kemayoran, Jakarta Pusat 10720.
Waktu Penelitian : April – Juni 2017.
3.2 Data dan Perangkat Penelitian
a. Data Formal
Data formal yang digunakan dalam Evaluasi Tata Kelola Teknologi Informasi
pada Pusat Jaringan Komunikasi BMKG adalah :
1. Data peraturan dan kebijakan terkait dengan Tata Kelola Teknologi
Informasi
2. Dokumen yang berkaitan dengan proses APO12, APO13, dan DSS05
sebagai evidence atau bukti.
b. Perangkat Penelitian
Perangkat yang digunakan pada penelitian ini adalah:
1. Hardware atau perangkat keras :
a. Satu unit Personal Computer (PC)
b. Satu unit Printer
2. Software atau perangkat lunak :
a. Sistem Operasi : Windows 7 Ultimate
80
b. Tools : Ms. Office dan GantChart.
c. Sisi web application: Google Chrome.
3.3 Metode Penelitian
3.3.1 Desain Penelitian
Penelitian ini menggunakan metode kualitatif dengan objek penelitian yang
alamiah. Objek penelitian yang alamiah berarti suatu objek yang tidak dimanipulasi
dan tidak direkayasa oleh peneliti, sehingga apa adanya sesuai kondisi pada Pusat
Jaringan Komunikasi Badan Meteorologi Klimatologi dan Geofisika. Objek
penelitian di BMKG ini terkait dengan pengelolaan teknologi informasi sedangkan
subjek penelitiannya adalah individu di BMKG yang menjadi narasumber
wawancara sekaligus responden dalam penelitian ini.
3.3.2 Metode Pengumpulan Data
Metode pengumpulan data pada penelitian di BMKG ini menggunakan dua
sumber data yang akan di analisa, yaitu data primer dan data sekunder. Adapun data
primer adalah data yang diperoleh langsung di tempat penelitian berupa observasi,
wawancara dan hasil kuisioner yang diberikan ke Pusat Jaringan Komunikasi
BMKG. Berikut penjelasan tahapan pengumpulan data primer yang dilakukan
peneliti:
a. Observasi
Observasi dilakukan pada Pusat Jaringan Komunikasi BMKG. Jenis
observasi yang dilakukan yaitu observasi nonpartisipan, peneliti tidak terlibat
dan hanya sebagai pengamat independen.
81
b. Wawancara
Wawancara dilakukan di BMKG dan dengan cara berdiskusi dengan Bpk.
Ali Mas’at, S.Si, M.kom sebagai Kepala Sub Bidang Manajemen Teknologi
Informasi BMKG dan dengan Mas Frank sebagai Staff Ahli sekaligus
pembimbing lapangan. Wawancara ini berguna untuk memperoleh data-data
yang diperlukan dalam analisis terhadap proses bisnis yang saat ini berjalan di
Badan Meteorologi Klimatologi dan Geofisika. Wawancara dilakukan dengan
menggunakan jenis wawancara Informal Conversation Interview. Pada jenis
Informal Conversation Interview, wawancara dilakukan dengan urutan dan
susunan kata yang telah ditentukan sebelumnya. Narasumber ditanyakan
pertanyaan yang bersifat ilmiah dengan konteks yang paling sesuai dengan
pengelolaan TI.
Pertanyaan yang diajukan berkaitan dengan tugas dan wewenang, tugas
pokok dan fungsi, ruang lingkup kerja di BMKG, layanan TI yang diterapkan,
permasalahan dan dampak dari penerapan keamanan system yang ada,
pengelolaan TI sejauh ini dan seperti apa harapan terhadap pengelolaan TI ke
depannya yang lebih baik.
c. Kuesioner
Kuesioner berisi pertanyaan tertulis yang diberikan kepada responden di
Pusat Jaringan Komunikasi BMKG. Pertanyaan yang dibuat pada kuesioner
mengacu pada kerangka kerja COBIT 5 dengan domain yang diambil adalah
APO (Align, Plan, and Organise) focus pada proses APO12 (Manage Risk),
APO13 (Manage Security) dan Delivery, Service and Support (DSS) yang
82
berfokus pada proses DSS05 (Manage Security Services). Penilaian tingkat
kematangan dari hasil kuesioner yang diberikan berdasarkan process capability
level yang terdiri dari level 0-5.
Kuesioner yang diberikan kepada responden berdasarkan Key Management
Practices (KMP) pada setiap proses yaitu proses APO (Align, Plan, and
Organise) focus pada proses APO12 (Manage Risk), APO13 (Manage Security)
dan Delivery, Service and Support (DSS) yang berfokus pada proses DSS05
(Manage Security Services).
Responden untuk kuesioner didapatkan dari identifikasi diagram RACI
yang digambarkan pada fungsional struktur COBIT 5 dan fungsional struktur
BMKG. Skala pengukuran kuesioner yang digunakan adalah skala Likert. Data
sekunder diperoleh dari kajian pustaka yang berhubungan dengan tata kelola
teknologi informasi. Data sekunder digambarkan pada studi literatur.
d. Studi Literatur
Studi literatur dilakukan dengan mempelajari teori-teori yang berkaitan
dengan tata kelola teknologi informasi khususnya framework COBIT 5 dan
Standar ISO 27002. Teori-teori tersebut berasal dari buku-buku, jurnal, ebook
dan penelitian-penelitian yang mendukung skripsi ini. Penelitian sejenis dengan
topik penelitian dapat dilihat pada tabel literatur sejenis. Studi literatur sejenis
diperoleh dari penelitian dengan topic yang sama mengenai tata kelola
teknologi informasi dan keamanan informasi. Topic penelitian yang sama
tersebut berasal dari UIN Syarif Hidayatullah Jakarta dan Universitas lainnya
seperti Universitas Indonesia, Universitas 10 September dan lain-lain. Studi
83
literatur yang menjadi acuan utama pada penelitian ini yaitu jurnal COBIT 5
yang dikeluarkan oleh ISACA pada tahun 2012-2013 dengan judul COBIT 5
Framework, COBIT 5 Enabling Process, COBIT 5 Implementation, COBIT 5
Process Assessment Model dan COBIT 5 Process Reference Guide.
No Peneliti
(Tahun) Judul Framework Tujuan Variabel Hasil
1. Razieh
Sheikhpour and
Nasser Modiri
(2016)
An Approach to
Map COBIT
Processes to
ISO/IEC 27001
Information
Security
Management
Controls.
COBIT 4.1 dan
ISO/IEC
27001
untuk memenuhi
manajemen keamanan
informasi dalam
infrastruktur COBIT
menggunakan standar
ISO/IEC27001.
Hasil dari penelitian ini
adalah mengeksplorasi
peran keamanan
informasi dalam
COBIT dan
menjelaskan
pendekatan pemetaan
proses COBIT ke
kontrol ISO /
IEC27001 untuk
manajemen keamanan
informasi.
2. Syopiansyah
Jaya Putra
The process
capability model
for governance of
the Election
Organizer Ethics
Court system
COBIT 5 Tujuan dari makalah
ini adalah untuk
menilai kondisi tingkat
kemampuan saat ini
dan yang diharapkan,
analisis kesenjangan
dan rekomendasi untuk
tata kelola yang baik
SIPEPP
Hasil studi ini dapat
digunakan untuk
mengevaluasi dan
meningkatkan kualitas
tata kelola yang baik
dalam implementasi
SIPEPP.
3. Dr. Ir. Ni
Wayan Sri
Ariyani, MM.
(2015)
Audit Teknologi
Informasi dengan
Kerangka Kerja
ISO 27002 dan
COBIT 5 (Studi
Kasus: Badan
Kepegawaian
Daerah
Kabupaten
Gianyar.
ISO 27002 dan
COBIT 5
Untuk peningkatan
perhatian pada unsur
keamanan dan
penerapan teknologi
informasi.
Klausul 9
(access
control),
APO02 (define
the information
architecture),
APO03
(determine
technological
direction) dan
DSS05 (ensure
system security)
Hasil dari penelitian ini
didapatkan bahwa nilai
tingkat kematangan
menggunakan
framework ISO 27002
adalah , secara
keseluruhan SIMPEG
memiliki nilai
kematangan 2.49.
4. Aldi Satriani
Wibowo, Selo
dan Dani
Adipta. (2016)
Kombinasi
Framework
COBIT 5, ITIL
dan ISO/IEC
27002 untuk
COBIT 5, ITIL
v3 dan
ISO/IEC
27002
semua yang
berhubungan dengan
TI menjadi bersinergi
dan mampu
memberikan nilai
Penjelasan perbedaan
dan persamaan yang
terdapat pada model
framework COBIT,
ITIL, dan ISO/IEC
84
Membangun
Model Tata
Kelola Teknologi
Informasi di
Perguruan Tinggi
tambah serta
pengembalian
investasi yang
diharapkan bagi
perguruan tinggi.
27002 yang
diintergrasikan dan
merangkai sebuah
usulan framework
yang komprehensif
sehingga dapat
digunakan untuk setiap
perguruan tinggi.
5. Watika Gupta,
Sanchita
Dwivedi and
Dr. Vijay
Kumar
Chaurasiya.
(2013)
MAPPING OF
DATA
SECURITY
COUNCIL OF
INDIA
SECURITY
FRAMEWORK
WITH ISO/IEC
27002:2005 AND
COBIT 4.1
ISO/IEC
27002:2005
dan COBIT 4.1
Penelitian ini bertujuan
memetakan Kerangka
Keamanan DSCI
dengan ISO / IEC
27002: 2005 dan
COBIT 4.1
memberikan gambaran
bahwa jika kerangka
kerja keamanan DSCI
diikuti maka sejauh
mana standar lain
dapat dicapai, Ini
membantu
meminimalkan biaya
dan menghemat waktu.
6. Mei Lenawati,
Wing Wahyu
Winarno,
Armadyah
Amborowati.
(2017)
Tata Kelola
Keamanan
Informasi Pada
PDAM
Menggunakan
ISO/IEC
27001:2013 Dan
Cobit 5
ISO/IEC
27001:2013
dan COBIT 5
Penelitian ini bertujuan
untuk membuat tata
kelola keamanan
informasi sesuai
dengan persyaratan
SMKI ISO 27001:2013
dan kerangka kerja
keamanan informasi
COBIT 5.
Penelitian ini
menghasilkan
beberapa keluaran
yaitu model referensi
proses; rekomendasi
proses bisnis dan
struktur organisasi; dan
langkah penerapan tata
kelolanya.
7. Faridl
Mughoffar, Ir.
Ahmad Holil
Noor Ali,
M.Kom, dan
Anisah
Herdiyanti,
S.Kom, M.Sc.
(2013)
PENYUSUNAN
TEMPLATE
TATA KELOLA
KEAMANAN
INFORMASI
BERBASIS
ISO/IEC
27001:2005 DAN
PATUH
TERHADAP
COBIT 5
MANAGEMENT
PROCESSES
APO13 MANAGE
SECURITY.
ISO/IEC
27001:2005
dan COBIT 5
memperkecil
munculnya risiko yang
berkaitan dengan aspek
keamanan informasi
seperti kerusakan
perangkat TI,
kehilangan data karena
pencurian dan risiko
lainnya.
APO13
MANAGE
SECURITY
template tata kelola
keamanan informasi
yang berfokus dengan
area pengamanan yang
diambil dari standar
COBIT 5 dan ISO/IEC
27001:2005
8. Sudhista
Febriawan
Wira Pratama.
(2015)
Evaluasi dan
Rekomendasi
Perbaikan
Layanan
InfrastrukturTI di
PT. FINNET
INDONESIA
Berdasarkan
COBIT 5, ITIL
v3 2011 dan
ISO/IEC
15504
Untuk
mengkombinasikan
ketiga metode tersebut
sebagai dimensi baru
akan kemungkinan
untuk menerapkan
standar pengukuran
Memaksimalkan
tujuan evaluasi tata
kelola teknologi sesuai
dengan kebutuhan PT
FINNET
INDONESIA. Hasil
yang didapat adalah
tingkat kapabilitas saat
85
COBIT 5, ITIL
2011 dan ISO/IEC
15504
kematangan COBIT 5
pada ITIL 2011.
ini dan rekomendasi
perbaikan.
9. Lailatul
Fitriana R,
Bambang
Setiawan,
Andre Parvian
A. (2014)
PEMBUATAN
PANDUAN
TATA KELOLA
PADA BIDANG
KEAMANAN
INFORMASI
DAN
PEMULIHAN
BENCANA
BERBASIS
COBIT 4.1 DAN
ISO 27002
COBIT 4.1 dan
ISO 27002
untuk memaksimalkan
manajemen keamanan
teknologi informasi di
Divisi TI Kementerian
XYZ.
Dokumen Tata Kelola
TI pada bidang
Keamanan dan
Pemulihan Bencana TI
dan Aplikasi
monitoring untuk
mengontrol kepatuhan
pada dokumen tata
kelola TI.
10. Oki Nurkholis USULAN
KEAMANAN
SISTEM
INFORMASI
PADA
PENYELENGGA
RA FINANCIAL
TECHNOLOGY
(FINTECH)
MENGGUNAKA
N COBIT 5
(STUDI KASUS:
GANDENGTAN
GAN.ORG)
COBIT 5 Melakukan evaluasi
terhadap keamanan
sistem informasi pada
perusahaan dengan
berdasarkan pada
framework COBIT 5.
Proses EDM03
(Ensure Risk
Optimatisation)
, APO12
(Manage Risk),
APO13
(Manage
Security),
BAI06 (Manage
Changes), dan
DSS05
(Manage
Security
Services)
Hasil penelitian ini
adalah panduan berupa
usulan keamanan
informasi berdasarkan
framework COBIT 5
untuk dapat memenuhi
persyaratan yang
diwajibkan oleh OJK
untuk para
penyelenggara Fintech
di Indonesia terkait
standar keamanan.
11. Penji Prasetya,
Adian Fatchur
Rochim, Ike
Pertiwi
Windasari
Desain dan
Implementasi
Standar
Operasional
Prosedur (SOP)
Keamanan Sistem
Informasi
Fakultas Teknik
Universitas
Diponegoro
Menggunakan
Standar ISO
27001
ISO/IEC
27001
Tugas akhir ini
bertujuan untuk
membuat kebijakan
dan Standard
Operating Procedure
(SOP) dan
mengevaluasi risiko
keamanan informasi
dalam aset organisasi.
Tugas akhir ini
menghasilkan tingkat
risiko yang terkandung
dalam nilai aset dan
menghasilkan
rekomendasi untuk
meningkatkan kontrol
keamanan dalam
keamanan informasi
aset berdasarkan
klausul ISO 27001.
12. Basofi Adi
Wicaksono,
Iwan
Kurniawan,
ST., MT, Rita
PERANCANGA
N
PERLINDUNGA
N PERANGKAT
LUNAK
SEBAGAI ASET
SNI ISO/IEC
27001:2009
untuk mengidentifikasi
risiko pada aset
perangkat lunak di
fakultas teknik
UNPAS dan membuat
rekomendasi
Klausul A.8.1.3
syarat dan
aturan
kepegawaian,
A.11.3.1
Penggunaan
password,
Hasil dari penelitian ini
adalah perancangan
perlindungan
perangkat lunak untuk
membantu pihak
Fakultas Teknik
86
Rijayanti, ST.,
MT
INFORMASI
TERHADAP
MALICIOUS
CODE DI
FAKULTAS
TEKNIK
UNIVERITAS
PASUNDAN
penanganan keamanan
aset perangkat lunak
yang ada di fakultas
teknik UNPAS.
A.12.4.3
Pengendalian
akses
terhadap kode
sumber
program,
A.12.5.1
Prosedur
pengendalian
perubahan,
A.10.6.1
Pengendalian
jaringan
Universitas Pasundan
dalam mencegah,
mengelola, dan
memonitoring aset
perangkat lunak dari
risiko yang ada.
13. Dheni Indra,
Apol Pribadi,
dan Eko Wahyu
Tyas
Pembuatan
Dokumen SOP
Keamanan Aset
Informasi Yang
Mengacu Pada
Kontrol Kerangka
Kerja ISO
27002:2013
(Studi Kasus : Cv
Cempaka
Tulungagung)
ISO/IEC
27002:2013
penelitian ini bertujuan
membuat sebuah
dokumen SOP yang
sesuai dengan
kebutuhan keamanan
informasi bagi
perusahaan CV
Cempaka berdasarkan
pada kontrol kerangka
kerja ISO27002:2013
Klausul 9.1.1
Access control
policy, 9.2.3
Management of
privileged
access right,
9.3.1 Use of
secret
authentication
information,
9.4.1
Information
access
restriction,
9.4.2 Secure
log-on
procedures, dan
9.4.3 Password
management
system
Penelitian ini
menghasilkan
dokumen SOP
keamanan aset
informasi yang terdiri
dari 4 Kebijakan, 6
prosedur, 4 Instruksi
Kerja dan 13 Formulir.
14. Professor
Pavel, PhD
Professor
Floarea, PhD
CHALLENGES
GENERATED BY
THE
IMPLEMENTATI
ON OF THE IT
STANDARDS
COBIT 4.1, ITIL
V3 AND ISO/IEC
27002 IN
ENTERPRISES
COBIT 4.1,
ITIL V3, dan
ISO/IEC
27002
Tujuan utama dari
makalah ini adalah
untuk menekankan
pentingnya
menerapkan praktik TI
terbaik di perusahaan
dan untuk
mengidentifikasi
tantangan utama yang
dihadapi manajer
ketika membuat
kerangka kerja kontrol
TI standar untuk
mencapai praktik
terbaik untuk
persyaratan bisnis.
Hasil dari penelitian ini
adalah identifikasi
penggunaan standar
dan praktik terbaik TI,
memprioritaskan
proses sesuai dengan
rencana aksi dan
merencanakan
langkah-langkah
pendekatan
implementasi.
15. Edward
Humphreys
Information
security
management
ISO/IEC
27001
mengeksplorasi apa
yang standar ISO/IEC
27001 tawarkan
Hasil dari penelitian ini
adalah perkembangan
yang perlu dihadapi
87
standards:
Compliance,
governance and
risk management
kepada organisasi,
manfaat apa yang
diperoleh, dan
bagaimana standar
tersebut membantu
kepatuhan
organisasi dan
bagaimana standar
internasional ini
berguna dalam
membantu
menyelesaikan
masalah ancaman
internal.
Tabel 3. 1 Penelitian Sejenis
3.3.3 Metode Analisis Data
Penelitian ini menggunakan teknik analisis data deskriptif kualitatif yang
menekankan pada sumber data dan fakta. Sumber data dijelaskan pada bagian
metode pengumpulan data dengan dua sumber data yaitu data primer dan data
sekunder. Berdasarkan data yang sudah dikumpulkan tersebut melalui observasi,
wawancara, kuesioner dan studi literatur maka tahapan selanjutnya adalah data
tersebut dianalisis untuk dikembangkan lagi. Seluruh data yang diperoleh di BMKG
dianalisis menggunakan skala pengukuran Likert dan Capability Level. Skala Likert
digunakan untuk menganalisis jawaban responden untuk kuesioner. Dari hasil
perhitungan skala Likert pada dianalisis kembali dengan menggunakan capability
level dengan acuan COBIT 5 untuk mengetahui tingkat kemampuan BMKG saat
ini dalam mengelola teknologi informasi.
3.4 Metode Penerapan Tata Kelola Teknologi Informasi
3.4.1 Tahap 1 – Initiate Programme
Pada tahap ini dilakukan identifikasi mengenai Profil Pusat Jaringan
Komunikasi BMKG. Hal ini berkaitan dengan tujuan, tugas dan wewenang yang
dilakukan serta konsep program kerja Pusat Jaringan Komunikasi BMKG pada saat
ini. Hal tersebut dinyatakan pada profil Pusat Jaringan Komunikasi BMKG,
88
struktur organisasi BMKG dan identifikasi diagram RACI untuk mengetahui
individu/kelompok yang memiliki peran pada COBIT 5 dan BMKG. Pada tahapan
ini perolehan data dari hasil wawancara dengan narasumber di BMKG berkaitan
dengan tugas dan wewenang, tugas pokok dan fungsi, permasalahan yang saat ini
tengah dihadapi serta struktur organisasi BMKG.
3.4.2 Tahap 2 – Define Problems and Opportunities
Pada tahap ini dilakukan penentuan Goal Cascading dan penentuan RACI
Chart kemudian pengukuran Capability Level, serta penentuan target tingkat
kapabilitas proses, langkah pertama adalah penentuan proses yang relevan terkait
dengan permasalahan yang saat ini tengah dihadapi BMKG dan penentuan tingkat
kemampuan BMKG saat ini berkaitan dengan kinerja TI. Penentuan proses
didapatkan dari hasil pemetaan IT Related Goal sedangkan penentuan tingkat
kemampuan saat ini (as is) didapatkan dari hasil kuesioner capability level yang
diberikan kepada pihak di BMKG berdasarkan pada fungsional struktur BMKG
mengacu pada fungsional struktur COBIT 5 dan bentuk kuesionernya telah peneliti
lampirkan pada lampiran 3, lampiran 4 dan lampiran 5. Pihak BMKG yang menjadi
responden pada kuesioner capability level di penelitian ini yaitu Bpk. Ali Mas’at,
S.Si, M.kom sebagai Kepala Sub Bidang Manajemen Teknologi Informasi, Bpk.
Dudi Rojudin, ST sebagai Kepala Sub Bidang Operasional Teknologi Komunikasi,
Bpk. Priyatna Kusumah, S.Kom, M.T.I. sebagai Kepala Sub Bidang Pengembangan
Teknologi Informasi dan Bpk. Akbar, S.Kom, M.Kom sebagai Kepala Sub Bidang
Operasional Teknologi Informasi. Pada tahap ini dijabarkan temuan-temuan
berkaitan dengan pengelolaan teknologi informasi pada proses pengelolaan resiko
89
TI, pengelolaan keamanan TI dan pengelolaan keamanan layanan TI. Dari hasil
temuan-temuan tersebut maka diperoleh tingkat kemampuan BMKG saat ini dalam
mengelola teknologi informasi berkaitan dengan pengelolaan yang dijabarkan
diatas.
3.4.3 Tahap 3 – Define Road Map
Pada tahap ini dilakukan pendefinisian target untuk perbaikan dari hasil
analisa gap pada hasil kuesioner capability level yang diberikan. Gap terjadi jika
ada perbedaan diantara nilai kemampuan saat ini, harapan dan kenyataan yang ada
di BMKG.
Perbaikan pada pengelolaan TI di BMKG didefinisikan berdasarkan
prioritas pada proyek yang akan dibangun dan dikembangkan. Hasil analisa gap
tersebut digunakan untuk mengidentifikasi potensi solusi bagi pengelolaan
teknologi informasi di BMKG.
Dari hasil temuan-temuan yang diperoleh pada kuesioner capability level
didapatkan tingkat kemampuan BMKG saat ini dalam mengelola teknologi
informasi. Kemudian dari hasil temuan-temuan tersebut dapat diperoleh gap jika
temuan dan penilaian yang diberikan tidak sesuai dengan kenyataan pada BMKG.
Pada tahap ini juga dijelaskan target kemampuan yang ingin dicapai oleh
organisasi, mengacu pada Process Assessment Model yang terdiri dari level 0-5.
Setelah ditemukan gap dari analisa hasil kuesioner capability level yang
diberikan, pada tahap ini peneliti mulai memetakan proses COBIT 5 yang telah
ditentukan kedalam Klausa pada ISO 27002 yang relevan. Untuk selanjutnya
digunakan sebagai acuan rekomendasi usulan tata kelola keamanan TI.
90
3.4.4 Tahap 4 – Plan Programme
Pada tahap ini dilakukan rencana program dan usulan dari hasil analisa
melalui wawancara dan kuesioner yang diberikan kepada responden di Pusat
Jaringan Komunikasi BMKG. Rencana program tersebut berdasarkan pada area
fokus yang dipilih dari framework COBIT 5 dan Standar ISO 27002. Rencana
program tersebut juga akan disesuaikan dengan tingkat kemampuan yang
diharapkan oleh Pusat Jaringan Komunikasi BMKG. Hal ini mengacu pada tahapan
COBIT Lifecycle pada COBIT 5 dan standar kontrol ISO 27002.
3.5 Kerangka Berfikir Penelitian
Dari identifikasi permasalahan yang dihadapi oleh perusahaan dan berbagai
referensi yang telah dikumpulkan dibuat suatu kerangka berfikir penelitian seperti
terlihat pada Gambar berikut ini.
91
Gambar 3. 1 Kerangka Berpikir
92
BAB IV
HASIL DAN PEMBAHASAN
4.1 Tahap 1 - Initiate Programme
Langkah pertama dalam melakukan pengelolaan terhadap teknologi
informasi di Pusat Jaringan Komunikasi BMKG adalah mengidentifikasi penggerak
atau pendorong pada organisasi. Penggerak pada organisasi tersebut dijelaskan
pada gambaran umum BMKG. Tujuannya adalah memperoleh pemahaman tentang
BMKG secara terperinci yang meliputi struktur organisasi, tujuan, tugas dan
wewenang. Dalam melakukan identifikasi penggerak organisasi, data yang
digunakan diperoleh dari hasil wawancara dengan pihak terkait di Pusat Jaringan
Komunikasi BMKG. Pada langkah ini juga digambarkan mengenai stakeholder
map matrix atau diagram RACI sebagai gambaran tugas di Pusat Jaringan
Komunikasi BMKG yang mengacu pada COBIT 5.
4.1.1 Pengumpulan Data
Pada tahapan pengumpulan data, peneliti melakukan pencarian
data/informasi terkait Pusat Jaringan Komunikasi berupa Gambaran Umum Badan
Meteorologi Klimatologi dan Geofisika, Struktur Organisasi Badan Meteorologi
Klimatologi dan Geofisika, serta Tugas dan Fungsi Pusat Jaringan Komunikasi
Badan Meteorologi Klimatologi dan Geofisika.
93
4.1.1.1 Gambaran Umum Badan Meteorologi Klimatologi dan Geofisika
(BMKG)
Badan Meteorologi Klimatologi dan Geofisika sebagai Lembaga
Pemerintah Non Departemen (LPND) adalah instansi pelayanan dan penyediaan
informasi di bidang meteorologi, klimatologi dan geofisika. Berdasarkan
Keputusan Presiden Republik Indonesia Nomor 46 dan Nomor 48 Tahun 2002
struktur organisasinya diubah menjadi Lembaga Pemerintah Non Departemen
(LPND) dengan nama tetap Badan Meteorologi Klimatologi dan Geofísika.
Kegiatan meteorologi dan Geofísica pada awalnya hanya pada pengamatan cuaca
atau hujan. Namun kemudian meningkat dan mencakup berbagai kegiatan, seperti
pengamatan Medan magnit, seismatik dan meteorologi untuk berbagai macam
keperluan. BMKG memiliki berbagai macam unit kerja TI dan Non-TI salah
satunya adalah Pusat Jaringan Komunikasi. Pusat Jaringan Komunikasi adalah
salah satu unit kerja IT dari BMKG yang mempunyai tugas melaksanakan
pengelolaan operasional jaringan komunikasi, melakukan pengembangan terhadap
jaringan komunikasi yang ada serta mengelola manajemen jaringan komunikasi
pada BMKG. Pusat Jaringan Komunikasi memiliki tiga bidang yaitu Bidang
Operasional Jaringan Komunikasi, Bidang Pengembangan Jaringan Komunikasi
dan Bidang Manajemen Jaringan Komunikasi.
1. Tugas
a. pengkajian, dan penyusunan kebijakan nasional di bidang meteorologi,
klimatologi, kualitas udara, dan geofisika.
94
b. koordinasi kegiatan fungsional di bidang meteorologi, klimatologi, kualitas
udara, dan geofisika.
c. memfasilitasi, dan pembinaan terhadap kegiatan instansi pemerintah, dan
swasta di bidang meteorologi, klimatologi, kualitas udara, dan geofisika.
d. penyelenggaraan pengamatan, pengumpulan, dan penyebaran, pengolahan,
dan analisis serta pelayanan di bidang meteorologi, klimatologi, kualitas
udara, dan geofisika.
e. penyelenggaraan kegiatan kerjasama di bidang meteorologi, klimatologi,
kualitas udara, dan geofisika.
f. penyelenggaraan pembinaan, dan pelayanan administrasi umum di bidang
perencanaan umum, ketatausahaan, organisasi, dan tatalaksana,
kepegawaian, keuangan, kearsipan, hukum, persandian, perlengkapan, dan
rumah tangga.
2. Wewenang
a. penyusunan rencana nasional secara makro di bidangnya.
b. perumusan kebijakan di bidangnya untuk mendukung pembangunan secara
makro.
c. penetapan sistem informasi di bidangnya.
d. penetapan standar teknis peralatan serta pelayanan meteorologi
penerbangan, dan maritim.
e. pengaturan sistem jaringan pengamatan meteorologi, dan klimatologi.
f. pemberian jasa meteorologi, dan klimatologi.
g. pengamatan, dan pemberian jasa geofisika.
95
h. pengamatan, dan pemberian jasa kualitas udara.
i. pengaturan sistem jaringan pengamatan geofisika.
j. penetapan standar teknis peralatan meteorologi, klimatologi, kualitas udara,
dan geofisika.
4.1.1.2 Struktur Organisasi Badan Meteorologi Klimatologi dan Geofisika
(BMKG)
Gambar 4. 1 Struktur Organisasi
96
4.1.1.3 Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi dan
Geofisika (BMKG)
Menindaklanjuti Visi Kedeputian Bidang Instrumentasi Kalibrasi Rekayasa
dan Jaringan Komunikasi yaitu “Mewujudkan sistem peralatan pengamatan
Otomatis yang menghasilkan data akurat dan terintegrasi untuk mendukung layanan
meteorologi, klimatologi, dan geofisika.”, Pusat Jaringan Komunikasi memiliki visi
yaitu “Meningkatkan kapasitas pengelolaan sistem jaringan komunikasi yang
terintegrasi”. Untuk mewujudkan visi Pusat Jaringan Komunikasi, maka ditetapkan
misi yang menggambarkan tindakan nyata sesuai dengan tugas pokok dan fungsi
serta kewenangannya, yaitu “Terjaminnya layanan jaringan komunikasi yang
prima”.
Selain visi dan misi tersebut, Pusat Jaringan Komunikasi juga memiliki
tugas dan fungsi, Berikut adalah penjabaran mengenai tugas dan fungsi Pusat
Jaringan Komunikasi BMKG, yaitu:
1. Pusat Jaringan Komunikasi
a. Pusat Jaringan Komunikasi mempunyai tugas melaksanakan perumusan
dan pelaksanaan kebijakan teknis, pemberian bimbingan teknis, pembinaan
teknis dan pengendalian terhadap kebijakan teknis, koordinasi kegiatan
fungsional dan kerja sama, pengembangan, pengelolaan dan pemeliharaan
di bidang jaringan komunikasi.
b. Dalam melaksanakan tugas sebagaimana dimaksud, Pusat Jaringan
Komunikasi menyelenggarakan fungsi :
97
1. Penyiapan pelaksanaan kebijakan teknis, pengelolaan, pemeliharaan,
koordinasi kegiatan fungsional dan kerja sama di bidang operasional
jaringan komunikasi;
2. penyiapan pembangunan, pengembangan, koordinasi kegiatan
fungsional dan kerja sama di bidang pengembangan jaringan
komunikasi; dan
3. penyiapan perumusan kebijakan teknis, pemberian bimbingan teknis,
pembinaan teknis dan pengendalian terhadap kebijakan teknis,
koordinasi kegiatan fungsional dan kerja sama di bidang manajemen
jaringan komunikasi.
2. Bidang Operasional Jaringan Komunikasi
a. Bidang Operasional Jaringan Komunikasi mempunyai tugas melaksanakan
penyiapan pelaksanaan kebijakan teknis, pengelolaan, pemeliharaan,
koordinasi kegiatan fungsional dan kerja sama di bidang operasional
jaringan komunikasi.
b. Dalam melaksanakan tugas sebagaimana dimaksud, Bidang Operasional
Jaringan Komunikasi menyelenggarakan fungsi :
1. Penyiapan bahan pelaksanaan kebijakan teknis, pengelolaan,
pemeliharaan, koordinasi kegiatan fungsional dan kerja sama di bidang
operasional teknologi komunikasi; dan
98
2. Penyiapan bahan pelaksanaan kebijakan teknis, pengelolaan,
pemeliharaan, koordinasi kegiatan fungsional dan kerja sama di bidang
operasional teknologi informasi.
Bidang Operasional Jaringan Komunikasi terdiri atas :
a. Subbidang Operasional Teknologi Komunikasi; dan
b. Subbidang Operasional Teknologi Informasi.
1. Subbidang Operasional Teknologi Komunikasi mempunyai tugas
melakukan penyiapan bahan pelaksanaan kebijakan teknis, pengelolaan,
pemeliharaan, koordinasi kegiatan fungsional dan kerja sama di bidang
operasional teknologi komunikasi.
2. Subbidang Operasional Teknologi Informasi mempunyai tugas
melakukan penyiapan bahan pelaksanaan kebijakan teknis, pengelolaan,
pemeliharaan, koordinasi kegiatan fungsional dan kerja sama di bidang
operasional teknologi informasi.
3. Bidang Pengembangan Jaringan Komunikasi
a. Bidang Pengembangan Jaringan Komunikasi mempunyai tugas
melaksanakan penyiapan pembangunan, pengembangan, koordinasi
kegiatan fungsional dan kerja sama di bidang pengembangan jaringan
komunikasi.
b. Dalam melaksanakan tugas sebagaimana dimaksud dalam, Bidang
Pengembangan Jaringan Komunikasi menyelenggarakan fungsi :
99
1. penyiapan bahan pembangunan, pengembangan, koordinasi kegiatan
fungsional dan kerja sama di bidang pengembangan teknologi
komunikasi; dan
2. penyiapan bahan pembangunan, pengembangan. koordinasi kegiatan
fungsional dan kerja sama di bidang pengembangan teknologi
informasi.
Bidang Pengembangan Jaringan Komunikasi terdiri atas :
a. Subbidang Pengembangan Teknologi Komunikasi; dan
b. Subbidang Pengembangan Teknologi Informasi.
1. Subbidang Pengembangan Teknologi Komunikasi mempunyai tugas
melakukan penyiapan bahan pembangunan, pengembangan, koordinasi
kegiatan fungsional dan kerja sama di bidang pengembangan teknologi
komunikasi.
2. Subbidang Pengembangan Teknologi Informasi mempunyai tugas
melakukan penyiapan bahan pembangunan, pengembangan, koordinasi
kegiatan fungsional dan kerja sama di bidang pengembangan teknologi
informasi.
4. Bidang Manajemen Jaringan Komunikasi
a. Bidang Manajemen Jaringan Komunikasi mempunyai tugas melaksanakan
penyiapan perumusan kebijakan teknis, pemberian bimbingan teknis,
pembinaan teknis dan pengendalian terhadap kebijakan teknis, koordinasi
kegiatan fungsional dan kerja sama, di bidang manajemen jaringan
komunikasi.
100
b. Dalam melaksanakan tugas sebagaimana dimaksud, Bidang Manajemen
Jaringan Komunikasi menyelenggarakan fungsi:
1. penyiapan bahan perumusan kebijakan teknis, pemberian bimbingan
teknis, pembinaan teknis dan pengendalian terhadap kebijakan teknis,
koordinasi kegiatan fungsional dan kerja sama di bidang manajemen
teknologi komunikasi; dan
2. penyiapan bahan perumusan kebijakan teknis, pemberian bimbingan
teknis, pembinaan teknis dan pengendalian terhadap kebijakan teknis,
koordinasi kegiatan fungsional dan kerja sama di bidang manajemen
teknologi informasi.
Bidang Manajemen Jaringan Komunikasi terdiri atas :
a. Subbidang Manajemen Teknologi Komunikasi; dan
b. Subbidang Manajemen Teknologi Informasi.
1. Subbidang Manajemen Teknologi Komunikasi mempunyai tugas
melakukan penyiapan bahan perumusan kebijakan teknis, pemberian
bimbingan teknis, pembinaan teknis dan pengendalian terhadap
kebijakan teknis, koordinasi kegiatan fungsional dan kerja sama di
bidang manajemen teknologi komunikasi.
2. Subbidang Manajemen Teknologi Informasi mempunyai tugas
melakukan penyiapan bahan perumusan kebijakan teknis, pemberian
bimbingan teknis, pembinaan teknis dan pengendalian terhadap
kebijakan teknis, koordinasi kegiatan fungsional dan kerja sama di
bidang manajemen teknologi informasi.
101
4.1.2 Penentuan Goal Cascade dan RACI
Pada tahapan Penentuan Goal Cascade dan RACI, ada beberapa langkah
yang dilakukan oleh peneliti untuk mengetahui proses apa yang relevan dengan
masalah yang saat ini dialami oleh Pusat Jaringan Komunikasi, langkah-langkah
tersebut antara lain Pemetaan Domain Proses dan Penentuan Diagram RACI.
4.1.2.1 Pemetaan Domain Proses
Untuk melakukan tahapan penghitungan Capability Level menggunakan
COBIT 5, perlu dilakukan beberapa tahapan yaitu dengan melihat fakta-fakta yang
ada dan masalah yang dihadapi pada Pusat Jaringan Komunikasi BMKG, lalu
dilakukan pemetaan Enterprise goals berdasarkan COBIT 5 pada Pusat Jaringan
Komunikasi BMKG, dengan hasil yang dipilih adalah Managed Bussiness Risk
(Safeguarding of Assets). Selanjutnya, dilakukan pemetaan terhadap IT-related
goals berdasarkan COBIT 5 pada Pusat Jaringan Komunikasi BMKG dengan hasil
yang dipilih adalah Security of Information, Processing Infrastructure and
Applications.
102
Gambar 4. 2 Pemetaan IT Enterprise Goal COBIT 5
Sehingga berdasarkan pada pemetaan tersebut, peneliti dan pihak
Pusjarkom BMKG menentukan proses yang akan dikaji lebih lanjut, dalam
penelitian ini adalah APO12 (Manage Risk) , APO13 (Manage Security), dan
DSS05 (Manage Security Services) sesuai dengan kebutuhan Pusat Jaringan
Komunikasi.
103
104
Gambar 4. 3 Pemetaan Proses Terkait COBIT 5
Dalam konteks pemetaan proses untuk ISO 27002 yang akan digunakan
dalam usulan rekomendasi, disini penulis akan memetakan sesuai dengan kesamaan
proses yang akan dibahas dan tentunya terkait dengan tata kelola keamanan
teknologi informasi untuk Pusat Jaringan Komunikasi BMKG.
105
4.1.2.2 Diagram RACI
Diagram RACI menggambarkan peran-peran dari para pemangku
kepentingan dalam Pusat Jaringan Komunikasi BMKG yang terkait langsung
dengan proses yang diambil dalam pengelolaan TI. Dalam pemetaan proses
penghitungan Capability Level menggunakan COBIT 5 di Pusat Jaringan
Komunikasi BMKG adalah proses pada domain APO yaitu APO12 (Manage Risk),
APO13 (Manage Security), dan domain DSS yaitu DSS05 (Manage Security
Services). Peran-peran pada diagram RACI tersebut kemudian dipetakan kedalam
peran-peran yang ada pada Pusat Jaringan Komunikasi BMKG sesuai dengan
struktur organisasi yang ada. Diagram RACI ini digunakan untuk penggambaran
responden dalam kuesioner Capability Level yang akan diberikan.
4.1.2.2.1 Identifikasi Diagram RACI Manage Risk (APO12)
Untuk mengetahui responden-responden yang sesuai dengan struktur
organisasi perusahaan dan standar COBIT 5, peneliti melakukan pemetaan RACI
Chart Proses APO12 (Manage Risk) sebagai berikut :
106
Gambar 4. 4 RACI Chart APO12 (ISACA, 2012)
Berdasarkan RACI Chart proses APO12, penulis mendapatkan 4 (empat)
responden yang sesuai dengan definisi yang tercantum dalam COBIT 5. Keempat
responden tersebut tercantum dalam tabel dibawah ini.
No Fungsional Struktur COBIT
5
Fungsional Struktur
BMKG
1. Chief Information Security
Officer
Kepala Sub Bidang
Operasional Teknologi
Komunikasi
2. Business Process Owners Kepala Sub Bidang
Manajemen Teknologi
Informasi
3. Chief Risk Officer Kepala Sub Bidang
Pengembangan
Teknologi Informasi
4. Head IT Operation Kepala Sub Bidang
Operasional Teknologi
Informasi
Tabel 4. 1 Responden Terpilih APO12
107
4.1.2.2.2 Identifikasi Diagram RACI Manage Security (APO13)
Untuk mengetahui responden-responden yang sesuai dengan struktur
organisasi perusahaan dan standar COBIT 5, peneliti melakukan pemetaan RACI
Chart Proses APO13 (Manage Security) sebagai berikut :
Gambar 4. 5 RACI Chart APO13 (ISACA, 2012)
Berdasarkan RACI Chart proses APO13, penulis mendapatkan 4 (empat)
responden yang sesuai dengan definisi yang tercantum dalam COBIT 5. Keempat
responden tersebut tercantum dalam tabel dibawah ini.
108
No Fungsional Struktur COBIT 5 Fungsional Struktur
BMKG
1. Information Security Manager Kepala Sub Bidang
Operasional Teknologi
Komunikasi
2. Business Process Owners Kepala Sub Bidang
Manajemen Teknologi
Informasi
3. Chief Information Officer Kepala Sub Bidang
Pengembangan
Teknologi Informasi
4. Head IT Operation Kepala Sub Bidang
Operasional Teknologi
Informasi
Tabel 4. 2 Responden Terpilih APO13
4.1.2.2.3 Identifikasi Diagram RACI Manage Security Services (DSS05)
Untuk mengetahui responden-responden yang sesuai dengan struktur
organisasi perusahaan dan standar COBIT 5, peneliti melakukan pemetaan RACI
Chart Proses APO13 (Manage Security) sebagai berikut :
Gambar 4. 6 RACI Chart DSS05 (ISACA, 2012)
109
Berdasarkan RACI Chart proses DSS05, penulis mendapatkan 4 (empat)
responden yang sesuai dengan definisi yang tercantum dalam COBIT 5. Keempat
responden tersebut tercantum dalam tabel dibawah ini.
No Fungsional Struktur COBIT 5 Fungsional Struktur
BMKG
1. Information Security Manager Kepala Sub Bidang
Operasional Teknologi
Komunikasi
2. Business Process Owners Kepala Sub Bidang
Manajemen Teknologi
Informasi
3. Head IT Operations Kepala Sub Bidang
Operasional Teknologi
Informasi
4 Head Development Kepala Sub Bidang
Pengembangan
Teknologi Informasi
Tabel 4. 3 Responden Terpilih APO13
Setelah dilakukan penjabaran pada tahapan Initiate Programme diatas,
peneliti menyimpulkan pada tahapan ini peneliti melakukan langkah-langkah
pengumpulan data untuk membantu menentukan dan memperjelas fakta-fakta serta
masalah apa yang saat ini dialami oleh Pusat Jaringan Komunikasi, dan hasil data
yang didapat peneliti adalah :
1. Gambaran Umum Badan Meteorologi Klimatologi dan Geofisika (BMKG)
2. Struktur Organisasi Badan Meteorologi Klimatologi dan Geofisika (BMKG)
3. Tugas dan Fungsi Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi
dan Geofisika (BMKG)
Setelah mendapatkan data yang dibutuhkan, peneliti melanjutkan langkah yang
harus dilakukan pada tahapan Initiate Programme ini yaitu Penentuan Goal
110
Cascade, penentuan proses COBIT 5 yang relevan dengan masalah yang dihadapi
Pusat Jaringan Komunikasi, dan didapat hasil sebagai berikut :
1. Enterprise Goals yang dipilih adalah Managed Bussiness Risk (Safeguarding
of Assets).
2. IT-related goals yang dipilih adalah Security of Information, Processing
Infrastructure and Applications.
3. Menghasilkan domain pilihan yaitu APO12 (Manage Risk), APO13 (Manage
Security), dan DSS05 (Manage Security Services).
4. Mendapatkan responden yang sesuai dari identifikasi RACI yaitu Kepala Sub
Bidang Operasional Teknologi Komunikasi, Kepala Sub Bidang Manajemen
Teknologi Informasi, Kepala Sub Bidang Pengembangan Teknologi Informasi,
Kepala Sub Bidang Operasional Teknologi Informasi.
4.2 Tahap 2 - Define Problems and Opportunities
Pada tahap ini dilakukan penentuan tingkat kemampuan Pusat Jaringan
Komunikasi BMKG saat ini dalam mengelola teknologi informasi. Penentuan
tingkat kemampuan saat ini (as is) dilakukan melalui kuesioner capability level
yang diberikan kepada responden yang telah ditentukan sebelumnya. Berikut ini
daftar hasil pengolahan data responden pada proses manajemen resiko TI (APO12),
manajemen keamanan (APO13) dan manajemen keamanan layanan (DSS05).
111
4.2.1 Pengukuran Capability Level
Pada tahapan Pengukuran Capability Level, peneliti harus melakukan
langkah-langkah berupa penjelasan Temuan Data, kemudian Pengolahan Data
Responden, setelah itu baru dapat dilakukan langkah selanjutnya yaitu Perhitungan
Capability Level. Setelah dilakukan Perhitungan Capability Level, pada langkah
terakhir tahap ini peneliti menjelaskan hasil Perhitungan Keseluruhan Capability
Level.
4.2.1.1 Temuan Data
Pengumpulan data ini berdasarkan pada setiap aktivitas dari proses terpilih,
yakni APO12 (Manage Risk), APO13 (Manage Security), DSS05 (Manage Security
Services). Data ini yang menggambarkan kondisi aktual perusahaan di setiap
aktivitas dan akan dibandingkan dengan tingkat ekspektasi perusahaan, sehingga
gap antara kondisi aktual dan ekspektasi perusahaan dapat diketahui untuk
selanjutnya dapat diberikan rekomendasi agar perusahaan dapat melakukan
pemenuhan untuk mencapai kondisi ekspektasi perusahaan. Kondisi aktual ini
didapatkan dari hasil jawaban kuesioner yang diberikan pada para responden
terpilih yang sudah dijelaskan pada bab 3.
Sebelum pengisian kuesioner, penulis terlebih dahulu menjelaskan
mengenai tingkat kapabilitas yang menjadi acuan penilaian pada kuesioner kepada
responden sehingga mereka dapat mengerti tentang tingkat as is dan tingkat to be
pada kuesioner. Dalam pengisian kuesioner pun penulis menemani responden
sehingga jika ada hal-hal yang tidak dimengerti oleh responden, mereka dapat
112
langsung menanyakannya. Dari 3 proses yang dipilih pada proses evaluasi, semua
proses yakni APO12 (Manage Risk), APO13 (Manage Security), dan DSS05
(Manage Security Services) mendapatkan rata-rata nilai ekpektasi yang berada pada
level 3 (Established Process). Nilai ekspektasi pada level 3 ini dipilih oleh
perusahaan yang dalam hal ini diwakili oleh para responden, karena mereka ingin
memastikan semua proses tersebut sudah memenuhi semua standar atau work
products yang ada. Berikut data yang ditemukan pada setiap proses:
4.2.1.1.1 Temuan Data Proses APO12 (Manage Risk)
a. APO12.01 (Pengumpulan Data)
Pusat Jaringan Komunikasi BMKG sudah mempunyai database penyimpanan
data eksternal dan data internal yang terkait dengan risiko TI. Pusat Jaringan
Komunikasi BMKG juga sudah melakukan pengumpulan dan penyimpanan
semua data yang terkait dengan penggunaan TI.
b. APO12.02 (Analisa Risiko)
Pusat Jaringan Komunikasi BMKG sudah melakukan perencanaan terkait
dengan aktivitas analisa risiko.
c. APO12.03 (Memelihara Profil Risiko)
Pusat Jaringan Komunikasi BMKG sudah mempunyai inventaris untuk
dokumen-dokumen mengenai manajemen pelayanan dan infrastruktur TI. Pusat
113
Jaringan Komunikasi BMKG juga sudah menentukan serta menggunakan
layanan-layanan pendukung/aplikasi untuk menopang proses bisnis.
d. APO12.04 (Memperjelas Risiko)
Pusat Jaringan Komunikasi BMKG memiliki data tentang risiko apa saja yang
dimungkinkan dapat terjadi.
e. APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen Risiko)
Pusat Jaringan Komunikasi BMKG memiliki daftar kemungkinan risiko
sebagai acuan pembuatan portofolio risiko.
f. APO12.06 (Respon Terhadap Risiko)
Perusahaan sudah pernah melakukan rencana pengetesan peristiwa/insiden
yang mempunyai risiko serius, yakni dengan melakukan staging. Dan sudah ada
proses pelaporan kepada para pengambil keputusan mengenai dampak dari
suatu insiden.
4.2.1.1.2 Temuan Data Proses APO13 (Manage Security)
a. APO13.01 (Membuat dan Memelihara Sistem Manajemen Keamanan
Informasi)
Pusat Jaringan Komunikasi BMKG melakukan sertifikasi ISO 27001 terkait
Sistem Manajemen Keamanan Informasi.
114
b. APO13.02 (Menentukan dan Mengatur Rencana Penanganan Risiko Keamanan
Informasi)
Pusat Jaringan Komunikasi BMKG sudah membahas mengenai rencana
penanganan risiko keamanan informasi dalam rapat mingguan/bulanan
perusahaan.
c. APO13.03 (Mengawasi dan Meninjau Sistem Manajemen Keamanan
Informasi)
Pusat Jaringan Komunikasi BMKG memiliki teknisi terkait pengawasan dan
peninjauan Sistem Manajemen Keamanan Informasi.
4.2.1.1.3 Temuan Data Proses DSS05 (Manage Security Services)
a. DSS05.01 (Melindungi dari Malware)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan
tools/software security serta menggunakan penyaringan email yang tersedia
pada aplikasi yang digunakan oleh perusahaan.
b. DSS05.02 (Mengelola Jaringan dan Konektivitas Keamanan)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan
pengamanan berupa penggunaan password serta melakukan tes penetrasi.
Namun penggunaan password masih belum dikelola dengan optimal serta
aktivitas pengetesan penetrasi jaringan pun masih memiliki kekurangan.
115
c. DSS05.03 (Mengelola Keamanan Perangkat)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan beberapa
standar keamanan seperti penggunaan sistem operasi yang selalu di-update,
penggunaan enkripsi, serta pengelolaan remote access, namun masih berada
dalam tahap awal.
d. DSS05.04 (Mengelola Identitas Pengguna dan Akses Jarak Jauh Perangkat)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan
pengelolaan akun untuk mengakses sumber daya perusahaan namun masih
belum optimal.
e. DSS05.05 (Mengelola Akses Pada Aset/Perangkat TI)
Pada proses ini Pusat Jaringan Komunikasi BMKG masih berada dalam tahap
awal, aktivitas yang sudah dilakukan hanya sebatas penjagaan oleh pihak
keamanan/security.
f. DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat Output)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan
penyimpanan khusus terkait dokumen/data sensitif dan adanya mekanisme
penghapusan atau penghancuran data sensitif yang sudah tidak digunakan lagi.
116
g. DSS05.07 (Mengawasi Infrastruktur untuk Peristiwa/Kejadian yang Terkait
dengan Keamanan)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah melakukan aktivitas
pencatatan/penyimpanan mengenai informasi peristiwa/insiden yang terkait
dengan keamanan namun masih belum dimanfaatkan dengan baik oleh Pusat
Jaringan Komunikasi BMKG.
4.2.1.2 Pengolahan Data Responden
Tahap ini menjelaskan hasil jawaban responden terhadap setiap aktivitas
proses yang dievaluasi. Berdasarkan jawaban kuesioner ini dapat dilihat bagaimana
kondisi saat ini dan kondisi yang diharapkan pada Pusat Jaringan Komunikasi
BMKG. Selanjutnya hasil rekapitulasi ini akan memberikan gambaran gap yang
ada antara kondisi saat ini dan kondisi yang diharapkan.
117
4.2.1.2.1 Pengolahan Data Responden APO12 (Manage Risk)
a. APO12.01 (Pengumpulan Data)
Tabel 4. 4 Rekapitulasi Jawaban Kuesioner Capability Level APO12.01
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 56.25%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 62.50%.
118
b. APO12.02 (Analisa Risiko)
Tabel 4. 5 Rekapitulasi Jawaban Kuesioner Capability Level APO12.02
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “d”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 47.73%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 65.91%.
119
c. APO12.03 (Memelihara Profil Risiko)
Tabel 4. 6 Rekapitulasi Jawaban Kuesioner Capability Level APO12.03
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 62.50%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 62,50%.
120
d. APO12.04 (Memperjelas Risiko)
Tabel 4. 7 Rekapitulasi Jawaban Kuesioner Capability Level APO12.04
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 57,14%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 75%.
121
e. APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen Risiko)
Tabel 4. 8 Rekapitulasi Jawaban Kuesioner Capability Level APO12.05
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 62,50%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 75%.
122
f. APO12.06 (Respon Terhadap Risiko)
Tabel 4. 9 Rekapitulasi Jawaban Kuesioner Capability Level APO12.06
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 55.56%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 86.11%.
123
4.2.1.2.2 Pengolahan Data Responden APO13 (Manage Security)
a. APO13.01 (Membuat dan Memelihara Sistem Manajemen Keamanan
Informasi)
Tabel 4. 10 Rekapitulasi Jawaban Kuesioner Capability Level APO13.01
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 65.63%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 78.13%.
124
b. APO13.02 (Menentukan dan Mengatur Rencana Penanganan Risiko Keamanan
Informasi)
Tabel 4. 11 Rekapitulasi Jawaban Kuesioner Capability Level APO13.02
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 56.25%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 75%.
125
c. APO13.03 (Mengawasi dan Meninjau Sistem Manajemen Keamanan
Informasi)
Tabel 4. 12 Rekapitulasi Jawaban Kuesioner Capability Level APO13.03
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 75%, sementara kondisi
yang akan datang (to be) jumlah responden terbanyak mengharapkan perihal
mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja tata kelola
perusahaan berada pada jawaban “e” atau berada di tingkat kapabilitas 3
(Established Process) dengan persentase distribusi jawaban 70.83%.
126
4.2.1.2.3 Pengolahan Data Responden DSS05 (Manage Security Services)
a. DSS05.01 (Melindungi dari Malware)
Tabel 4. 13 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.01
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 75%, sementara kondisi
yang akan datang (to be) jumlah responden terbanyak mengharapkan perihal
mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja tata kelola
perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas 3
(Established Process) dengan persentase distribusi jawaban 81.25%.
127
b. DSS05.02 (Mengelola Jaringan dan Konektivitas Keamanan)
Tabel 4. 14 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.02
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 75%, sementara kondisi
yang akan datang (to be) jumlah responden terbanyak mengharapkan perihal
mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja tata kelola
perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas 3
(Established Process) dengan persentase distribusi jawaban 77.50%.
128
c. DSS05.03 (Mengelola Keamanan Perangkat)
Tabel 4. 15 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.03
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 75%, sementara kondisi
yang akan datang (to be) jumlah responden terbanyak mengharapkan perihal
mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja tata kelola
perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas 3
(Established Process) dengan persentase distribusi jawaban 61.11%.
129
d. DSS05.04 (Mengelola Identitas Pengguna dan Akses Jarak Jauh Perangkat)
Tabel 4. 16 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.04
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 65.91%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 77.78%.
130
e. DSS05.05 (Mengelola Akses Pada Aset/Perangkat TI)
Tabel 4. 17 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.05
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 67.50%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 70%.
131
f. DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat Output)
Tabel 4. 18 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.06
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 65%, sementara kondisi
yang akan datang (to be) jumlah responden terbanyak mengharapkan perihal
mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja tata kelola
perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas 3
(Established Process) dengan persentase distribusi jawaban 75%.
132
g. DSS05.07 (Mengawasi Infrastruktur untuk Peristiwa/Kejadian yang Terkait
dengan Keamanan)
Tabel 4. 19 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.07
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 54.17%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 75%.
133
4.2.1.3 Perhitungan Capability Level
Berikut ini adalah hasil nilai kapabilitas proses APO12, APO13 dan DSS05,
yang didapat dengan menggunakan rumus penilaian yang dijelaskan sebelumnya di
BAB II skripsi ini:
4.2.1.3.1 Perhitungan Capability Level APO12 (Manage Risk)
a. Nilai Kapabilitas APO12.01 (Pengumpulan Data).
As is :
𝑁𝐾 = (3.13𝑥0) + (56.25𝑥2) + (28.13𝑥3) + (12.50𝑥4)
100 = 2.47
To be :
𝑁𝐾 = (62.50𝑥3) + (37.50𝑥4)
100 = 3.38
Nilai kapabilitas kondisi saat ini (as is) pada APO12.01 yaitu 2,47 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.38 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
b. Nilai Kapabilitas APO12.02 (Analisa Risiko).
As is :
𝑁𝐾 = (15.91𝑥0) + (4.55𝑥1) + (29.55𝑥2) + (47.73𝑥3) + (2.27𝑥4)
100 = 2.16
To be :
𝑁𝐾 = (2.27𝑥2) + (65.91𝑥3) + (31.82𝑥4)
100 = 3.3
Nilai kapabilitas kondisi saat ini (as is) pada APO12.02 yaitu 2,16 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
134
kondisi ekspektasi (to be) adalah 3.3 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
c. Nilai Kapabilitas APO012.03 (Memelihara Profil Risiko).
As is :
𝑁𝐾 = (9.38𝑥1) + (62.50𝑥2) + (25.00𝑥3) + (3.13𝑥4)
100 = 2.22
To be :
𝑁𝐾 = (3.13𝑥2) + (62.50𝑥3) + (21.88𝑥4) + (12.50𝑥5)
100 = 3.44
Nilai kapabilitas kondisi saat ini (as is) pada APO12.03 yaitu 2,22 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.44 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
d. Nilai Kapabilitas APO12.04 (Memperjelas Risiko).
As is :
𝑁𝐾 = (14.29𝑥0) + (3.57𝑥1) + (57.14𝑥2) + (14.29𝑥3) + (10.71𝑥4)
100 = 2.04
To be :
𝑁𝐾 = (75.00𝑥3) + (21.43𝑥4) + (3.57𝑥5)
100 = 3.3
Nilai kapabilitas kondisi saat ini (as is) pada APO12.04 yaitu 2,04 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.3 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
135
e. Nilai Kapabilitas APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen
Risiko).
As is :
𝑁𝐾 = (12.50𝑥0) + (62.50𝑥2) + (12.50𝑥3) + (12.50𝑥4)
100 = 2.1
To be :
𝑁𝐾 = (75.00𝑥3) + (25.00𝑥4)
100 = 3.3
Nilai kapabilitas kondisi saat ini (as is) pada APO12.05 yaitu 2,1 artinya tingkat
kapabilitasnya terdapat pada level 2 (Managed Process), sementara kondisi
ekspektasi (to be) adalah 3.3 dengan kata lain tingkat kapabilitasnya berada di
level 3 (Established Process).
f. Nilai Kapabilitas APO12.06 (Respon Terhadap Risiko).
As is :
𝑁𝐾 = (16.67𝑥0) + (55.56𝑥2) + (22.22𝑥3) + (5.56𝑥4)
100 = 2.00
To be :
𝑁𝐾 = (86.11𝑥3) + (13.89𝑥4)
100 = 3.1
Nilai kapabilitas kondisi saat ini (as is) pada APO12.06 yaitu 2,00 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.1 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
136
4.2.1.3.2 Perhitungan Capability Level APO13 (Manage Security)
a. Nilai Kapabilitas APO13.01 (Membuat dan Memelihara Sistem Manajemen
Keamanan Informasi).
As is :
𝑁𝐾 = (9.38𝑥1) + (65.63𝑥2) + (21.88𝑥3) + (3.13𝑥4)
100 = 2.19
To be :
𝑁𝐾 = (78.13𝑥3) + (21.88𝑥4)
100 = 3.22
Nilai kapabilitas kondisi saat ini (as is) pada APO13.01 yaitu 2,19 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.22 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
b. Nilai Kapabilitas APO13.02 (Menentukan dan Mengatur Rencana Penanganan
Risiko Keamanan Informasi).
As is :
𝑁𝐾 = (9.38𝑥0) + (56.25𝑥2) + (31.25𝑥3) + (3.13𝑥4)
100 = 2.19
To be :
𝑁𝐾 = (75.00𝑥3) + (21.88𝑥4) + (3.13𝑥5)
100 = 3.28
Nilai kapabilitas kondisi saat ini (as is) pada APO13.02 yaitu 2,19 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.28 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
137
c. Nilai Kapabilitas APO13.03 (Mengawasi dan Meninjau Sistem Manajemen
Keamanan Informasi).
As is :
𝑁𝐾 = (4.17𝑥0) + (75.00𝑥2) + (16.67𝑥3) + (4.17𝑥4)
100 = 2.17
To be :
𝑁𝐾 = (70.83𝑥3) + (25.00𝑥4) + (4.17𝑥5)
100 = 3.33
Nilai kapabilitas kondisi saat ini (as is) pada APO13.03 yaitu 2,17 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.33 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
4.2.1.3.3 Perhitungan Capability Level DSS05 (Manage Security Services)
a. Nilai Kapabilitas DSS05.01 (Melindungi dari Malware).
As is :
𝑁𝐾 = (75.00𝑥2) + (21.88𝑥3) + (3.13𝑥4)
100 = 2.28
To be :
𝑁𝐾 = (81.25𝑥3) + (18.75𝑥4)
100 = 3.19
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.01 yaitu 2,28 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.19 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
138
b. Nilai Kapabilitas DSS05.02 (Mengelola Jaringan dan Konektivitas
Keamanan).
As is :
𝑁𝐾 = (75.00𝑥2) + (22.50𝑥3) + (2.50𝑥4)
100 = 2.28
To be :
𝑁𝐾 = (77.50𝑥3) + (20.00𝑥4) + (2.50𝑥5)
100 = 3.3
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.02 yaitu 2,28 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.3 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
c. Nilai Kapabilitas DSS05.03 (Mengelola Keamanan Perangkat).
As is :
𝑁𝐾 = (75.00𝑥2) + (19.44𝑥3) + (5.56𝑥4)
100 = 2.31
To be :
𝑁𝐾 = (61.11𝑥3) + (38.89𝑥4)
100 = 3.39
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.03 yaitu 2,31 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.39 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
139
d. Nilai Kapabilitas DSS05.04 (Mengelola Identitas Pengguna dan Akses Jarak
Jauh Perangkat).
As is :
𝑁𝐾 = (65.91𝑥2) + (34.19𝑥3)
100 = 2.34
To be :
𝑁𝐾 = (77.78𝑥3) + (22.22𝑥4)
100 = 3.20
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.04 yaitu 2,34 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.20 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
e. Nilai Kapabilitas DSS05.05 (Mengelola Akses Pada Aset/Perangkat TI).
As is :
𝑁𝐾 = (67.50𝑥2) + (30.00𝑥3) + (2.50𝑥4)
100 = 2.40
To be :
𝑁𝐾 = (70.00𝑥3) + (22.50𝑥4) + (7.50𝑥5)
100 = 3.40
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.05 yaitu 2,40 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.40 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
140
f. Nilai Kapabilitas DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat
Output).
As is :
𝑁𝐾 = (65.00𝑥2) + (30.00𝑥3) + (5.00𝑥4)
100 = 2.40
To be :
𝑁𝐾 = (75.00𝑥3) + (20.00𝑥4) + (5.00𝑥5)
100 = 3.30
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.06 yaitu 2,40 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.30 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
g. Nilai Kapabilitas DSS05.07 (Mengawasi Infrastruktur untuk
Peristiwa/Kejadian yang Terkait dengan Keamanan).
As is :
𝑁𝐾 = (4.17𝑥0) + (4.17𝑥1) + (54.17𝑥2) + (33.33𝑥3) + (4.17𝑥4)
100 = 2.29
To be :
𝑁𝐾 = (75.00𝑥3) + (20.83𝑥4) + (4.17𝑥5)
100 = 3.29
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.07 yaitu 2,29 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.29 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
141
4.2.2 Hasil Perhitungan Keseluruhan Capability Level
Pada bagian ini akan dilakukan penentuan tingkat kapabilitas setiap proses
sesuai dengan model kapabilitas COBIT 5. Penentuan ini dilakukan dengan cara
membulatkan bilangan-bilangan yang didapatkan dari perhitungan nilai kapabilitas
sebelumnya. Misal, nilai kapabilitas yang didapatkan adalah 2.38 maka nilai ini
masuk dalam level 2 dalam model kapabilitas COBIT 5 dengan memiliki gap
sebesar 0.12 untuk mencapai level 3.
1. Penentuan Tingkat Kapabilitas Proses APO12 (Manage Risk)
0
1
2
3
4APO12.01
APO12.02
APO12.03
APO12.04
APO12.05
APO12.06
Chart Title
as is to be
Tabel 4. 20 Nilai Kapabilitas dan Tingkat Kapabilitas APO12
Gambar 4. 7 Grafik Nilai Kapabilitas APO12
142
Berdasarkan tabel dan grafik diatas menggambarkan bahwa nilai
kapabilitas kondisi as is proses APO12 (Manage Risk) pada Pusat Jaringan
Komunikasi BMKG adalah 2.17, dengan kata lain proses tersebut berada pada
tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa pada
proses APO12 Pusat Jaringan Komunikasi BMKG telah mengimplementasikannya
dengan pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap
work products telah ditetapkan, dikontrol dan dipelihara. Hal itu dapat dilihat dari
Pusat Jaringan Komunikasi yang selalu melakukan identifikasi dan pengawasan
terhadap perjanjian layanan untuk kebutuhan layanan baru. Kemudian dilaporkan
kepada Bidang Manajemen Operasional TI untuk melakukan tindakan perbaikan
sistem layanan.
Sementara itu, nilai kapabilitas to be yang didapatkan pada proses APO12
(Manage Risk) adalah 3.30, dengan kata lain proses tersebut berada pada tingkat
kapabilitas 3 (Established Process). Level ini menunjukkan, proses yang berjalan
harus dipastikan bahwa performa proses tersebut telah mendukung pencapaian
tujuan Pusat Jaringan Komunikasi BMKG, adanya sistem layanan TI yang masih
bermasalah akan dilakukan proses perbaikan untuk menghasilkan layanan TI yang
baik ketika para stakeholder menggunakannya dengan batasan untuk mencapai
tujuan yang diharapkan.
143
2. Penentuan Tingkat Kapabilitas Proses APO13 (Manage Security)
Berdasarkan tabel dan grafik diatas menggambarkan bahwa nilai
kapabilitas kondisi as is proses APO13 (Manage Security) pada Pusat Jaringan
Komunikasi BMKG adalah 2.18, dengan kata lain proses tersebut berada pada
tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa pada
proses APO13 Pusat Jaringan Komunikasi BMKG telah mengimplementasikannya
dengan pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap
work products telah ditetapkan, dikontrol dan dipelihara. Hal itu dapat dilihat dari
0
1
2
3
4APO13.01
APO13.02APO13.03
Chart Title
as is to be
Tabel 4. 21 Nilai Kapabilitas dan Tingkat Kapabilitas APO13
Gambar 4. 8 Grafik Nilai Kapabilitas APO13
144
Pusat Jaringan Komunikasi yang selalu melakukan identifikasi dan pengawasan
terhadap perjanjian layanan untuk kebutuhan layanan baru. Kemudian dilaporkan
kepada Bidang Manajemen Operasional TI untuk melakukan tindakan perbaikan
sistem layanan.
Sementara itu, nilai kapabilitas to be yang didapatkan oleh Pusat Jaringan
Komunikasi BMKG pada proses APO13 (Manage Security) adalah 3.28, dengan
kata lain proses tersebut berada pada tingkat kapabilitas 3 (Established process).
Level ini menunjukkan, proses yang berjalan harus dipastikan bahwa performa
proses tersebut telah mendukung pencapaian tujuan Pusat Jaringan Komunikasi
BMKG, adanya sistem layanan TI yang masih bermasalah akan dilakukan proses
perbaikan untuk menghasilkan layanan TI yang baik ketika para stakeholder
menggunakannya dengan batasan untuk mencapai tujuan yang diharapkan.
3. Penentuan Tingkat Kapabilitas Proses DSS05 (Manage Security Services)
Tabel 4. 22 Nilai Kapabilitas dan Tingkat Kapabilitas DSS05
145
Berdasarkan tabel dan grafik diatas menggambarkan bahwa nilai
kapabilitas kondisi as is proses DSS05 (Manage Security Services) pada Pusat
Jaringan Komunikasi BMKG adalah 2.33, dengan kata lain proses tersebut berada
pada tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa pada
proses DSS05 Pusat Jaringan Komunikasi BMKG telah mengimplementasikannya
dengan pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap
work products telah ditetapkan, dikontrol dan dipelihara. Hal itu dapat dilihat dari
Pusat Jaringan Komunikasi yang selalu melakukan identifikasi dan pengawasan
terhadap perjanjian layanan untuk kebutuhan layanan baru. Kemudian dilaporkan
kepada Bidang Manajemen Operasional TI untuk melakukan tindakan perbaikan
sistem layanan.
Sementara itu, nilai kapabilitas to be yang didapatkan oleh Pusat Jaringan
Komunikasi BMKG pada proses DSS05 (Manage Security Services) adalah 3.30,
dengan kata lain proses tersebut berada pada tingkat kapabilitas 3 (Established
0
1
2
3
4DSS05.01
DSS05.02
DSS05.03
DSS05.04DSS05.05
DSS05.06
DSS05.07
Chart Title
as is to be
Gambar 4. 9 Grafik Nilai Kapabilitas DSS05
146
Process). Level ini menunjukkan, proses yang berjalan harus dipastikan bahwa
performa proses tersebut telah mendukung pencapaian tujuan Pusat Jaringan
Komunikasi BMKG, adanya sistem layanan TI yang masih bermasalah akan
dilakukan proses perbaikan untuk menghasilkan layanan TI yang baik ketika para
stakeholder menggunakannya dengan batasan untuk mencapai tujuan yang
diharapkan.
Setelah dilakukan penjabaran pada tahapan Define Problems and
Opportunities diatas, peneliti menyimpulkan ada beberapa hasil yang peneliti
dapatkan dari langkah-langkah penghitungan Capability Level yang dilakukan pada
tahapan ini, berikut adalah hasilnya :
1. Temuan data berdasarkan proses-proses terpilih dari domain COBIT 5 yang
disesuaikan dengan kondisi aktual Pusat Jaringan Komunikasi saat ini.
2. Hasil nilai rata-rata keseluruhan Capability Level Pusat Jaringan Komunikasi
BMKG saat ini pada domain APO12 (Manage Risk), APO13 (Manage
Security), dan DSS05 (Manage Security Services) adalah 2.22, dan berada pada
tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa Pusat
Jaringan Komunikasi BMKG telah mengimplementasikannya dengan
147
pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap work
products telah ditetapkan, dikontrol dan dipelihara.
Hasil nilai rata-rata keseluruhan Capability Level Pusat Jaringan
Komunikasi BMKG yang diharapkan pada domain APO12 (Manage Risk), APO13
(Manage Security), dan DSS05 (Manage Security Services) adalah 3.29, dan berada
pada tingkat kapabilitas 3 (Established Process). Level ini menunjukkan, proses
yang berjalan harus dipastikan bahwa performa proses tersebut telah mendukung
pencapaian tujuan Pusat Jaringan Komunikasi BMKG, adanya sistem layanan TI
yang masih bermasalah akan dilakukan proses perbaikan untuk menghasilkan
layanan TI yang baik ketika para stakeholder menggunakannya dengan batasan
untuk mencapai tujuan yang diharapkan.
4.3 Tahap 3 - Define Road Map
Pada tahap sebelumnya sudah dilakukan proses perhitungan untuk
mendapatkan nilai kapabilitas dan tingkat kapabilitas baik aktual maupun
ekspektasi dari semua proses pada penelitian ini. Hasil tersebut bagaimanapun
01234APO12
APO13DSS05
Chart Title
as is to be
Gambar 4. 10 Grafik Nilai Rata-Rata Kapabilitas Pusat Jaringan
Komunikasi
148
didapatkan berdasarkan pada pandangan perusahaan yakni, berasal dari jawaban
kuesioner oleh para responden sedangkan COBIT 5 menekankan pada evidence
based untuk menetapkan tingkat kapabilitas dari suatu proses. Maka hasil
perhitungan tersebut masih belum dapat dijadikan sebagai hasil final dari tingkat
kapabilitas perusahaan.
Oleh Karena itu, pada tahap define road map ini penulis akan melakukan
penelusuran untuk setiap pemenuhan syarat-syarat atau atribut-atribut pencapaian
level dalam model kapabilitas COBIT 5. Proses penelusuran bukti ini berdasarkan
pada Process Assessment Model (PAM) yang ada pada COBIT 5. Tingkat
kapabilitas pada proses penelusuran ini akan ditentukan melalui pencapaian
atribut-atribut yang sudah dijelaskan pada bab 2.
Berdasarkan hasil perhitungan sebelumnya, didapatkan tingkat kapabilitas
masing-masing proses adalah: APO12 (Manage Risk) berada pada level 2
(Managed Process), APO13 (Manage Security) berada pada level 2 (Managed
Process), dan DSS05 (Manage Security Services) berada pada level 2 (Managed
Process). Dari hasil ini penulis mendapatkan hasil bahwa semua proses pada
penelitian ini berada pada tingkat kapabilitas di level 2 (Managed Process), hal ini
dapat dilihat dari adanya menggunakan framework ISO 27001 namun belum
sepenuhnya terpenuhi karena banyak factor yang menghambat Pusat Jaringan
Komunikasi BMKG.
Dari hasil tersebut maka proses pemenuhan yang akan dilakukan di sini
adalah proses pemenuhan untuk level di atas level 2 yakni, level 3 (Established
149
Process). Selanjutnya penulis akan melakukan penelusuran bukti berdasarkan pada
work products yang ada pada setiap Best Practices (subproses) pada setiap proses.
Untuk kemudian mencari apakah semua work products sudah ada pada setiap Best
Practices di setiap proses? Persentase pemenuhan work products ini yang akan
menjadi acuan apakah proses tersebut sudah memenuhi syarat pencapaian di level
3 (Established Process) atau belum. Kriteria penilaian pemenuhan ini akan merujuk
pada rating scale yang sudah dijelaskan pada bab 2.
4.3.1 Analisis Kesenjangan Kapabilitas Proses
Pada tahapan ini akan dilakukan penelusuran evidence yang dilakukan
untuk menyesuaikan hasil penghitungan Capability Level dengan bukti yang harus
dilengkapi oleh Pusat Jaringan Komunikasi. Dari penelusuran tersebut akan
ditemukan gap jika terjadi ketidak sesuaian evidence terhadap nilai Capability
Level.
4.3.1.1 Pemenuhan Proses APO12
Selanjutnya adalah proses penelusuran pemenuhan level 1 (performed
process) pada proses APO12 yang disesuaikan dengan process attributes (PA) 1.1
process performance.
Best
Practices
Work Products Exist Evidence Skor
APO12.01
Pengumpulan
Data
Data Tentang
Risiko √ Profil Resiko
Data Tentang
Kejadian/Insiden
- -
150
Isu Tentang
Risiko
√ Renstra
APO12.02
Analisa
Risiko
Jangkauan
Analisa Risiko √ Renstra
Skenario Risiko
TI √ Profil Resiko
Hasil Analisa
Risiko √ Profil Resiko
APO12.03
Pemeliharaan
Profil Risiko
Dokumentasi
Skenario Risiko
Sesuai Fungsi
Bisnisnya
√ Profil Resiko
Kumpulan Profil
Risiko Berisi
Status dan
Tindakan yang
Diambil
√ Profil Resiko
APO12.04
Memperjelas
Risiko
Laporan Analisa
Risiko dan Profil
Risiko untuk
Stakeholder
√ Profil Resiko
Tinjauan Ulang dari Penilaian Risiko oleh
Pihak Ketiga
√ Profil Resiko
Peluang untuk
Penerimaan
Risiko yang
Lebih Besar
√ Profil Resiko
APO12.05
Portofolio
Kegiatan
Manajemen
Risiko
Proposal untuk
Mengurangi
Risiko √ Profil Resiko
APO12.06
Respon
Terhadap
Risiko
Rencana
Penanganan
Insiden Risiko
√ Profil Resiko
151
Pemberitahuan
Dampak Risiko √ Profil Resiko
Akar Penyebab
Risiko
√ Profil Resiko
Rata-rata Skor 93.3%
Tabel 4. 23 Proses APO12 PA 1.1 Process Performance
Berikut ini adalah tindakan terkait work products yang telah dijelaskan pada tabel
diatas.
1. APO12.01 Pengumpulan Data
a. Data Tentang Resiko
Adanya Dokumen Profil Resiko di Pusat Jaringan Komunikasi BMKG yang
berisi data-data berupa isu resiko, cara penanganan resiko dan data lain
tentang resiko.
b. Data Tentang Kejadian/Insiden
Pusat Jaringan Komunikasi BMKG sudah melakukan pendataan tentang
kejadian/insiden namun belum berjalan dan belum dikelola dengan baik.
c. Isu Tentang Resiko
Isu tentang resiko sudah terencana pada dokumen Rencana Strategis Pusat
Jaringan Komunikasi BMKG sebagai acuan dalam perencanaan
penanganan risiko.
2. APO12.02 Analisa Resiko
a. Jangkauan Analisa Resiko
Pusat Jaringan Komunikasi BMKG sudah mempersiapkan kemungkinan-
kemungkinan lingkup apa saja yang dapat dijangkau setiap resiko dalam
Dokumen Rencana Strategis Pusat Jaringan Komunikasi BMKG.
152
b. Skenario Resiko TI
Pusat Jaringan Komunikasi BMKG memiliki Dokumen Profil Resiko yang
salah satunya berisi tentang Risk Asset Register sebagai perencanaan
skenario resiko TI.
c. Hasil Analisa Resiko
Hasil Analisa Resiko semua tercatat pada dokumen Profil Resiko Pusat
Jaringan Komunikasi BMKG.
3. APO12.03 Pemeliharaan Profil Resiko
a. Dokumentasi Skenario Resiko Sesuai Fungsi Bisnisnya
Dokumen Profil Resiko menjelaskan beberapa dokumentasi skenario resiko
sesuai fungsi bisnis Pusat Jaringan Komunikasi BMKG.
b. Kumpulan Profil Resiko Berisi Status dan Tindakan yang Diambil
Pusat Jaringan Komunikasi BMKG memiliki kumpulan profil resiko berisi
status dan tindakan yang diambil secara terperinci dalam dokumen profil
resiko.
4. APO12.04 Memperjelas Resiko
a. Laporan Analisa Resiko dan Profil Resiko untuk Stakeholder
Dalam penggunaan dokumen profil resiko, Pusat Jaringan Komunikasi
BMKG juga menjadikan dokumen tersebut sebagai acuan pembuatan
laporan analisis resiko yang ditujukan untuk Stakeholder.
153
b. Tinjauan Ulang dari Penilaian Resiko oleh Pihak Ketiga
Belum adanya dokumen peninjauan ulang terhadap data-data resiko terkait
pihak ketiga yang kemungkinan dapat terjadi di Pusat Jaringan Komunikasi
BMKG.
c. Peluang untuk Penerimaan Resiko yang Lebih Besar
Dokumen Profil Resiko dibuat salah satunya untuk mempersiapkan
penerimaan resiko yang lebih besar agar dapat ditangani dengan benar.
5. APO12.05 Portofolio Kegiatan Manajemen Resiko
a. Proposal untuk Mengurangi Resiko
Semua kegiatan manajemen resiko tersimpan dan terdokumentasi pada
dokumen profil resiko yang dapat digunakan sebagai acuan pengajuan
proposal untuk mengurangi resiko.
6. APO12.06 Respon Terhadap Resiko
a. Rencana Penanganan Insiden Resiko
Dalam dokumen Profil Resiko berisi data Risk Treatment Asset yang
membahas tentang rencana penanganan insiden resiko pada Pusat Jaringan
Komunikasi BMKG.
b. Pemberitahuan Dampak Resiko
Pemberitahuan dampak resiko dijelaskan dalam dokumen profil resiko yang
ditujukan untuk acuan penanganan resiko yang akan terjadi pada Pusat
Jaringan Komunikasi BMKG.
154
c. Akar Penyebab Resiko
Dokumen Profil Resiko juga menjelaskan akar penyebab resiko yang sudah
diperkirakan dalam table Risk Assets Register untuk melengkapi
standarisasi penilaian resiko.
Pada PA 1.1 process performance diatas, Pusat Jaringan Komunikasi
BMKG mendapatkan skor 93.3% yang masuk dalam tingkat penilaian fully
achieved. Dengan kata lain, penilaian pada proses APO12 dapat melanjutkan ke
level selanjutnya yaitu level 2 (managed process). Penilaian terhadap pencapaian
level 2 didasarkan pada PA 2.1 performance management dan PA 2.2 work product
management. Berikut ini adalah tabel penjelasan pencapaian Pusat Jaringan
Komunikasi dalam level 2 pada proses APO12.
Generic Practices Generic Work
Products
Exist Evidence
Identify the objectives Tujuan penyelesaian
manajemen resiko TI
√ Profil Resiko
Plan and monitor the
performance
Perencanaan terkait
manajemen resiko TI
√ Renstra
Adjust the performance Penyesuaian solusi
untuk manajemen
resiko TI
√ Profil Resiko
Define
responsibilites and
authorities
Peran tanggung jawab
atau komunikasi atas
manajemen resiko TI - -
Identify and make
available
Ketersediaan sumber
daya √ Renstra
155
Manage the
interfaces
Pengelolaan hubungan
pihak terkait
- -
Rata-rata Skor 66.66%
Tabel 4. 24 Proses APO12 PA 2.1 Performance Management
Berikut ini adalah penjelasan tindakan yang dilakukan Pusat Jaringan
Komunikasi BMKG dalam memenuhi PA 2.1 performance management pada
proses APO12.
a. Identify the Objectives
Tujuan penyelesaian permintaan manajemen resiko TI ada di dalam salah satu
subbab yang terdapat pada dokumen Profil Resiko sebagai acuan dan
perencanaan untuk penanganan resiko selanjutnya.
b. Plan and Monitor the Performance
Perencanaan dan monitoring terkait manajemen resiko TI terdapat di dalam
dokumen Rencana Strategi yang menjelaskan bagaimana cara penanganan
resiko dan apakah penanganan insiden dapat diselesaikan sesuai dengan jadwal
yang ditentukan atau tidak.
c. Adjust the Performance
Penyesuaian solusi terkait manajemen resiko TI terdapat dalam dokumen Profil
Resiko, pada dokumen tersebut dijelaskan bagaimana pemilihan penanganan
terbaik terhadap resiko TI yang mungkin akan dialami.
d. Define Responsibilites and Authorities
Belum ada dokumen terkait yang membahas tentang manajemen resiko TI
terutama pada tahapan penerapan dan pelatihan stakeholder.
156
e. Identify and Make Available
Pada dokumen Rencana Strategi telah dijelaskan identifikasi sumber daya dan
informasi yang dibutuhkan serta siapa yang bertanggungjawab akan menangani
jika terjadi insiden pada Pusat Jaringan Komunikasi BMKG.
f. Manage the Interface
Pusat Jaringan Komunikasi sudah mendefinisikan setiap tugas dari tujuan dan
sasaran terkait TI. Namun belum adanya manajemen hubungan antara semua
pihak yang terlibat dalam setiap proses bisnis Pusat Jaringan Komunikasi.
Generic Practices Generic Work Products Exist Evidence
Define the requirements
for the work products
Rencana kebutuhan hasil kerja √ Renstra
Define the requirements
for documentation and
control
Dokumentasi terkait manajemen
resiko TI √ Profil Resiko
Identify, document and
control Pengelolaan dokumen
manajemen resiko TI √ Profil Resiko
Review and adjust work
products Evaluasi hasil penyelesaian
terkait manajemen resiko TI - -
Rata-rata Skor 75%
Tabel 4. 25 Proses APO12 PA 2.2 Product Management
Berikut ini adalah penjelasan tindakan yang dilakukan Pusat Jaringan
Komunikasi BMKG dalam memenuhi PA 2.2 Work Product Management APO12.
a. Define the Requirements for the Work Products
157
Dalam Rencana Strategi dijelaskan beberapa perencanaan terkait Manajemen
Resiko TI secara jelas, seperti apa saja resiko yang bias ditimbulkan dari sebuah
insiden begitupun bagaimana cara penanganannya.
b. Define the Requirements for Documentation and Control
Sudah ada dokumentasi terkait resiko TI yang dituangkan didalam dokumen
profil resiko yang selanjutnya dapat diolah menjadi informasi atau acuan lebih
lanjut.
c. Identify, Document and Control
Terkait dengan identifikasi dan pengelolaan manajemen resiko TI, semua telah
dijelaskan pada dokumen Profil Resiko yang terdiri dari beberapa rincian
perkiraan, cara penanganan dan waktu pemulihan.
d. Review and Adjust Work Products
Belum adanya aktivitas penyesuaian hasil kerja untuk memenuhi kebutuhan
yang telah didefinisikan berupa komunikasi antar unit atau bidang lain terkait
manajemen resiko. Belum terdokumentasi dengan baik karena proses evaluasi
terhadap hasil kerja tersebut membutuhkan persetujuan unit atau bidang lain.
Berdasarkan pencapaian PA 2.1 process performance dan PA 2.2 work
product management yang dipaparkan pada kedua tabel di atas. Maka diketahui
skor pencapaian pada PA 2.1 process performance adalah 66.66% yang termasuk
dalam tingkat penilaian F (largely achieved). Sementara skor yang diketahui pada
PA 2.2 work product management adalah 75% yang masuk ke dalam tingkat
penilaian L (largely achieved). Tingkat penilaian L menunjukkan bahwa Pusat
Jaringan Komunikasi sudah memenuhi syarat-syarat pencapaian level 2 (Managed
158
Process). Rata-rata persentase hasil dari PA 2.1 dan PA 2.2 menunjukkan skor
70.05% yang termasuk ke dalam tingkat penilaian L (largely achieved). Namun
tidak bisa melanjutkan penilaian ke level 3 atau selanjutnya, karena syarat yang
harus dipenuhi adalah mecapai tingkat penilaian fully achieved pada level 2.
4.3.1.2 Pemenuhan Proses APO13
Pada bagian ini akan dilakukan proses penelusuran pemenuhan level 1
(performed process) pada proses APO13 (manage security) yang disesuaikan
dengan process attributes (PA) 1.1 process performance.
Best Practices Work Products Exist Evidence Skor
APO13.01
Pemeliharaan
Sistem Manajemen
Keamanan
Informasi (SMKI)
Peraturan
SMKI √
Kebijakan
Keamanan
Informasi
Jangkauan
SMKI √
Kebijakan
Keamanan
Informasi
APO13.02
Mengelola
Rencana
Penanganan Risiko
Keamanan
Informasi
Informasi
Mengenai
Penanganan
Risiko
Keamanan
√ Profil Resiko
Informasi
Keamanan
Berdasarkan
Kasus Bisnis
√
Dokumen
(Blue Print)
Teknologi
Informasi
APO13.03
Mengawasi Sistem
Manajemen Laporan Audit
SMKI
√
Kebijakan
Keamanan
Informasi
159
Keamanan
Informasi (SMKI) Rekomendasi untuk Peningkatan
SMKI
√
Kebijakan
Keamanan
Informasi
Rata-rata Skor 100%
Tabel 4.26 Proses APO13 PA 1.1 Process Performance
Berikut ini adalah tindakan terkait work products yang telah dijelaskan pada tabel
diatas.
1. APO13.01 Pemeliharaan Sistem Manajemen Keamanan Informasi
a. Peraturan SMKI
Adanya peraturan pemeliharaan SMKI di Pusat Jaringan Komunikasi
BMKG yang mencakup berbagai kegiatan yang wajib dipenuhi didalam
dokumen Kebijakan Keamanan Informasi.
b. Jangkauan SMKI
Jangkauan pemeliharaan SMKI mencakup ruang lingkup di Pusat Jaringan
Komunikasi BMKG berdasarkan dokumen Kebijakan Keamanan
Informasi.
2. APO13.02 Mengelola Rencana Penanganan Resiko Keamanan Informasi
a. Informasi Mengenai Penanganan Resiko Keamanan
Informasi mengenai penanganan resiko keamanan terlampir pada dokumen
profil resiko Pusat Jaringan Komunikasi BMKG.
b. Informasi Keamanan Berdasarkan Kasus Bisnis
Dokumen Kebijakan Keamanan Informasi telah menjelaskan Informasi
Keamanan berdasarkan kasus bisnis sesuai tupoksi Pusat Jaringan
Komunikasi BMKG.
160
3. APO13.03 Mengawasi Sistem Manajemen Keamanan Informasi (SMKI)
a. Laporan Audit SMKI
Hasil dokumentasi laporan audit SMKI berupa dokumen Kebijakan
Keamanan Informasi yang saat ini sedang coba diterapkan oleh Pusat
Jaringan Komunikasi BMKG.
b. Rekomendasi untuk Peningkatan SMKI
Audit SMKI menggunakan ISO 27001 menghasilkan rekomendasi untuk
peningkatan SMKI yang saat ini coba diterapkan Pusat Jaringan
Komunikasi BMKG namun masih belum semua kegiatan terealisasikan.
Pada PA 1.1 process performance diatas, Pusat Jaringan Komunikasi
BMKG mendapatkan skor 100% yang masuk dalam tingkat penilaian fully
achieved. Dengan kata lain, penilaian pada proses APO13 dapat melanjutkan ke
level selanjutnya yaitu level 2 (managed process). Penilaian terhadap pencapaian
level 2 didasarkan pada PA 2.1 performance management dan PA 2.2 work product
management. Berikut ini adalah tabel penjelasan pencapaian Pusat Jaringan
Komunikasi BMKG dalam level 2 pada proses APO13.
Generic Practices Generic Work Products Exist Evidence
Identify the
objectives
Tujuan identifikasi
penyelesaian manajemen
keamanan terkait TI
√ Blue Print Teknologi
Informasi
Plan and monitor the
performance
Perencanaan perbaikan
manajemen keamanan terkait
TI
√ Blue Print Teknologi
Informasi
161
Adjust the
performance
Penyesuaian solusi untuk
manajemen keamanan terkait
TI
√ Kebijakan Keamanan
Informasi
Define
responsibilites and
authorities
Peran tanggung jawab atau
komunikasi atas manajemen
keamanan terkait TI √
Kebijakan Keamanan
Informasi
Identify and make
available
Ketersediaan sumber daya √
Kebijakan Keamanan
Informasi
Manage the
interfaces
Pengelolaan hubungan pihak
terkait
- -
Rata-rata Skor 83.33%
Tabel 4. 27 Proses APO13 PA 2.1 Performance Management
Berikut ini adalah penjelasan tindakan yang dilakukan Pusat Jaringan
Komunikasi dalam memenuhi PA 2.1 performance management pada proses
APO13.
a. Identify the Objectives
Tujuan penyelesaian permintaan keamanan informasi ada di dalam dokumen
Blue Print Teknologi Informasi sebagai rancangan 5 tahun kedepan .
b. Plan and Monitor the Performance
Rencana monitoring keamanan informasi terdapat di dalam dokumen Blue Print
Teknologi Informasi yang menjelaskan bagaimana penerapan keamanan aset
dan sistem informasi.
162
c. Adjust the Performance
Penyesuaian kinerja untuk perbaikan terhadap manajemen keamanan terkait TI
terdapat dalam dokumen kebijakan keamanan informasi untuk meminimalisir
terjadinya masalah keamanan.
d. Define Responsibilites and Authorities
Pusat Jaringan Komunikasi BMKG telah mentetapkan personal/pihak yang
dianggap berkompeten dalam bidangnya dan otoritas terhadap individu yang
akan menangani masalah, insiden, dan keamanan terkait TI tersusun dalam
struktur organisasi non-fungsional untuk manajemen keamanan informasi.
e. Identify and Make Available
Identifikasi sumber daya dan informasi yang dibutuhkan serta siapa yang akan
bertanggungjawab terkait keamanan TI ada di dalam dokumen Kebijakan
Keamanan Informasi.
f. Manage the Interface
Sudah ada pengelolaan hubungan pihak terkait terutama terhadap keamanan TI,
namun belum sepenuhnya diterapkan oleh Pusat Jaringan Komunikasi.
Generic Practices Generic Work Products Exist Evidence
Define the
requirements for the
work products
Rencana kebutuhan hasil
kerja √ Kebijakan Keamanan
Informasi
Define the
requirements for
documentation and
control
Dokumentasi insiden dan
manajemen keamanan
terkait TI
√ -
Identify, document and
control
Pengelolaan dokumen
manajemen keamanan
terkait TI
- -
163
Review and adjust
work products
Evaluasi hasil penyelesaian
manajemen keamanan
terkait TI
- -
Rata-rata Skor 50%
Tabel 4. 28 Proses APO13 PA 2.2 Product Management
Berikut ini adalah penjelasan tindakan yang dilakukan PUSAT JARINGAN
KOMUNIKASI dalam memenuhi PA 2.2 Work Product Management APO12.
a. Define the Requirements for the Work Products
Dalam dokumen Kebijakan Keamanan Informasi dijelaskan berbagai kategori
keamanan terkait TI yang dalam penyelesaiannya sudah terdapat kriteria
kebutuhan penanganannya.
b. Define the Requirements for Documentation and Control
Belum ada dokumentasi insiden dan manajemen keamanan terkait TI yang
mencakup keseluruhan data insiden, masih minimnya pendokumentasian terkait
insiden keamanan TI.
c. Identify, Document and Control
Pusat Jaringan Komunikasi masih belum maksimal dalam mengelola
dokumentasi insiden dan manajemen keamanan sebagai acuan dan persiapan
menghadapi insiden lain.
d. Review and Adjust Work Products
Pusat Jaringan Komunikasi belum melakukan evaluasi terhadap dokumentasi
insiden dan manajemen keamanan untuk selanjutnya bisa dijadikan acuan atau
perbaikan terhadap keamanan TI.
164
Berdasarkan pencapaian PA 2.1 process performance dan PA 2.2 work
product management yang dipaparkan pada kedua tabel di atas. Maka diketahui
skor pencapaian pada PA 2.1 process performance adalah 83.33% yang termasuk
dalam tingkat penilaian L (largely achieved). Sementara skor yang diketahui pada
PA 2.2 work product management adalah 50% yang masuk ke dalam tingkat
penilaian L (largely achieved). Tingkat penilaian L menunjukkan bahwa Pusat
Jaringan Komunikasi BMKG sudah memenuhi syarat-syarat pencapaian level 2
(Managed Process). Rata-rata persentase hasil dari PA 2.1 dan PA 2.2
menunjukkan skor 66.65% yang termasuk ke dalam tingkat penilaian L (largely
achieved). Namun tidak bisa melanjutkan penilaian ke level 3 atau selanjutnya,
karena syarat yang harus dipenuhi adalah mecapai tingkat penilaian fully achieved
pada level 2.
4.3.1.3 Pemenuhan Proses DSS05
Selanjutnya akan dilakukan proses penelusuran pemenuhan level 1
(performed process) pada proses DSS05 yang disesuaikan dengan process
attributes (PA) 1.1 process performance.
Best Practices Work Products Exist Evidence Skor
DSS05.01
Perlindungan
dari
Malware
Peraturan
Pencegahan
Malware
√
Kebijakan
Keamanan
Informasi
Evaluasi Potensi
Ancaman √ Profil Resiko
DSS05.02
Pengelolaan
Jaringan dan
Konektivitas
Peraturan
Keamanan
Sambungan
(Konektivitas)
√
Kebijakan
Keamanan
Informasi
165
Hasil dari Tes
Penetrasi - -
DSS05.03
Mengelola
Keamanan
Perangkat
Peraturan Keamanan pada Perangkat yang Digunakan
Perusahaan
√
Kebijakan
Keamanan
Informasi
DSS05.04
Pengelolaan
Identitas
Pengguna dan
Remote Access
Hak Akses yang
Sudah Disetujui √
Kebijakan
Keamanan
Informasi
Hasil Peninjuan
Ulang Terhadap
Hak
Akses yang
Sudah
Diberikan
- -
DSS05.05
Pengelolaan
Akses pada
Aset/Perangkat
TI
Permintaan
Akses yang
Sudah Disetujui
√
Kebijakan
Keamanan
Informasi
Rekaman/Pencata
tan Pengaksesan √
Kebijakan
Keamanan
Informasi
DSS05.06
Pengelolaan
Dokumen
Sensitif dan
Perangkat
Output
Penyimpanan
untuk Dokumen
Sensitif dan
Perangkat
√
Kebijakan
Keamanan
Informasi
Akses Khusus
√
Kebijakan
Keamanan
Informasi
DSS05.07
Pengawasan
Infrastruktur
Keamanan
Pencatatan
Kegiatan/Insiden
Keamanan
√
Kebijakan
Keamanan
Informasi
Karakteristik
Insiden
Keamanan √
Dokumen (Blue
Print) Teknologi
Informasi
Pencatatan
Khusus Insiden
Keamanan
√ Dokumen Profil
Resiko
Rata-rata Skor 85.7%
Tabel 4. 29 Proses DSS05 PA 1.1 Process Performance
166
Berikut ini adalah tindakan terkait work products yang telah dijelaskan pada tabel
diatas.
1. DSS05.01 Perlindungan dari Malware
a. Peraturan Pencegahan Malware
Pada Dokumen Kebijakan keamanan Informasi telah dijelaskan secara rinci
tentang peraturan-peraturan pencegahan Malware namun belum diterapkan
sepenuhnya oleh Pusat Jaringan Komunikasi BMKG.
b. Evaluasi Potensi Ancaman
Evaluasi potensi ancaman telah dijelaskan dan diperkirakan pada Dokumen
Blue Print Teknologi Informasi untuk periode 2014-2019.
2. Pengelolaan Jaringan dan Konektivitas
a. Peraturan Keamanan Sambungan (Konektivitas)
Pusat Jaringan Komunikasi BMKG sudah menerapkan Firewall pada setiap
jaringan yang terhubung langsung ke Data Center untuk memastikan
keamanan sambungan (konektivitas).
b. Hasil Dari Tes Penetrasi
Pusat Jaringan Komunikasi BMKG rutin melakukan Tes Penetrasi namun
tidak memberikan dokumen sebagai bukti kepada peneliti karena beberapa
faktor keamanan.
3. Mengelola Keamanan Perangkat
a. Peraturan Keamanan pada Perangkat yang digunakan Perusahaan
Pengelolaan Keamanan Perangkat dijelaskan dengan rinci pada dokumen
Kebijakan Keamanan Informasi sebagai pedoman mengelola keamanan
perangkat Pusat Jaringan Komunikasi BMKG.
167
4. Pengelolaan Identitas Pengguna dan Remote Access
a. Hak Akses yang Sudah Disetujui
Terdapat rincian Hak Akses untuk SDM tertentu pada dokumen kebijakan
keamanan informasi terhadap perangkat yang sesuai dengan kemampuan
SDM tersebut dan tentunya sudah melalu persetujuan bagian terkait.
b. Hasil Peninjauan Ulang Hak Akses yang Sudah Diberikan
Data perihal Hak Akses yang tertera pada dokumen kebijakan keamanan
informasi sudah melewati verifikasi dan validasi kesesuaian terhadap SDM
yang ditunjuk.
5. Pengelolaan Akses Pada Aset/Perangkat TI
a. Permintaan Akses yang Sudah Disetujui
Pada dokumen kebijakan keamanan informasi dijelaskan bahwa setiap
bagian berhak melakukan permintaan Hak Akses kepada bagian
Operational TI untuk keperluan atau kebutuhan tertentu sesuai dengan
tupoksi bagian tersebut dan harus melalui persetujuan dari pemangku
kepentingan.
b. Rekaman/Pencatatan Pengaksesan
Pada dokumen kebijakan keamanan informasi dijelaskan segala bentuk log
pengaksesan harus dicatat dan didokumentasikan sebagai salah satu bentuk
persyaratan keamanan BMKG.
168
6. Pengelolaan Dokumen Sensitif dan Perangkat Output
a. Penyimpanan untuk Dokumen Sensitif dan Perangkat
Rincian perencanaan penyimpanan untuk dokumen sensitif dan perangkat
tersusun pada dokumen kebijakan keamanan informasi untuk
mempermudah pencarian dokumen.
b. Akses Khusus
Syarat-syarat penentuan akses khusus telah dijabarkan dalam dokumen
kebijakan keamanan informasi untuk memastikan bahwa pemberian akses
khusus hanya untuk SDM tertentu sesuai kebutuhan.
7. Pengawasan Infrastruktur Keamanan
a. Pencatatan Kegiatan/Insiden Keamanan
Dokumen Kebijakan Keamanan Informasi adalah dokumentasi yang juga
memuat tentang pencatatan Kegiatan/Insiden Keamanan yang pernah
terjadi dan bagaimana statusnya saat ini.
b. Karakteristik Insiden keamanan
Karakteristik insiden keamanan sudah diperkirakan oleh Pusat Jaringan
Komunikasi BMKG pada dokumen Blue Print Teknologi Informasi sesuai
dengan faktor-faktor apa saja yang dapat memicu insiden keamanan.
c. Pencatatan Khusus Insiden Keamanan
Pencatatan khusus tentang insiden keamanan telah terlampir pada dokumen
profil resiko TI bersama dengan data data resiko yang telah diperkirakan
sebagai acuan.
169
Pada PA 1.1 process performance diatas, Pusat Jaringan Komunikasi
BMKG mendapatkan skor 85.7% yang masuk dalam tingkat penilaian fully
achieved. Dengan kata lain, penilaian pada proses DSS05 dapat melanjutkan ke
level selanjutnya yaitu level 2 (managed process). Penilaian terhadap pencapaian
level 2 didasarkan pada PA 2.1 performance management dan PA 2.2 work product
management. Berikut ini adalah tabel penjelasan pencapaian Pusat Jaringan
Komunikasi BMKG dalam level 2 pada proses DSS05.
Generic Practices Generic Work Products Exist Evidence
Identify the objectives Tujuan penyelesaian manajemen
keamanan layanan terkait TI
√
Blue Print
Teknologi
Informasi
Plan and monitor the
performance
Perencanaan perbaikan manajemen
keamanan layanan terkait TI
√
Blue Print
Teknologi
Informasi
Adjust the
performance
Penyesuaian solusi untuk
manajemen keamanan layanan
terkait TI
√ Profil Resiko
Define
responsibilites and
authorities
Peran tanggung jawab atau
komunikasi atas manajemen
keamanan layanan terkait TI √
Kebijakan
Keamanan
Informasi
Identify and make
available
Ketersediaan sumber daya
√
Kebijakan
Keamanan
Informasi
Manage the
interfaces
Pengelolaan hubungan pihak terkait
- -
Rata-rata Skor 83.33%
Tabel 4. 30 Proses DSS05 PA 2.1 Performance Management
170
Berikut ini adalah penjelasan tindakan yang dilakukan Pusat Jaringan
Komunikasi dalam memenuhi PA 2.1 performance management pada proses
DSS05.
a. Identify the Objectives
Tujuan penyelesaian manajemen keamanan layanan terkait TI ada di dalam
Blue Print Teknologi Informasi yang direncanakan untuk penerapan keamanan
layanan TI jangka panjang.
b. Plan and Monitor the Performance
Perencanaan perbaikan manajemen keamanan layanan TI juga terdapat di dalam
dokumen Blue Print Teknologi Informasi yang menjelaskan apakah
penanganan insiden keamanan terkait TI dapat diselesaikan sesuai dengan
jadwal yang ditentukan atau tidak.
c. Adjust the Performance
Belum ada penyesuaian kinerja untuk perbaikan terhadap manajemen
keamanan terkait TI terutama pengelolaan hak akses asset maupun Data Center
untuk meminimalisir terjadinya masalah keamanan.
d. Define Responsibilites and Authorities
Pusat Jaringan Komunikasi BMKG telah mentetapkan personal/pihak yang
dianggap berkompeten dalam bidang keamanan terkait TI dan otoritas terhadap
individu yang akan menangani masalah, insiden, dan penyajian layanan
tersusun dalam struktur organisasi non-fungsional untuk manajemen keamanan
layanan.
171
e. Identify and Make Available
Identifikasi sumber daya dan informasi yang dibutuhkan serta siapa yang akan
menangani insiden ada di dalam dokumen kebijakan keamanan informasi.
f. Manage the Interface
Sudah adanya pengelolaan terkait pihak ketiga tentang manajemen keamanan
namun belum seluruhnya terkontrol dengan baik, sebagai contoh yaitu hak
akses yang masih terlalu fleksibel dan kurang menekankan ketegasan terhadap
vendor TI yang melakukan kerjasama dengan pihak pusjarkom BMKG.
Generic Practices Generic Work Products Exist Evidence
Define the
requirements for the
work products
Rencana kebutuhan hasil
kerja √ Kebijakan Keamanan
Informasi
Define the
requirements for
documentation and
control
Dokumentasi manajemen
keamanan layanan terkait TI √ -
Identify, document
and control
Pengelolaan dokumen
manajemen keamanan
layanan terkait TI
√ -
Review and adjust
work products
Evaluasi hasil penyelesaian
manajemen keamanan
layanan terkait TI
√ -
Rata-rata Skor 25%
Tabel 4. 31 Proses DSS05 PA 2.2 Product Management
Berikut ini adalah penjelasan tindakan yang dilakukan PUSAT JARINGAN
KOMUNIKASI dalam memenuhi PA 2.2 Work Product Management DSS05.
172
a. Define the Requirements for the Work Products
Dalam Kebijakan Keamanan Informasi terdapat kategori insiden dan layanan,
yang dalam penyelesaiannya sudah terdapat kriteria kebutuhan penanganannya.
b. Define the Requirements for Documentation and Control
Manajemen layanan terkait TI belum diterapkan secara menyeluruh terutama
pada dokumentasi akses kontrol aset maupun Data Center yang menyebabkan
tidak adanya log daftar pengaksesan terperinci.
c. Identify, Document and Control
Pengelolaan terkait keamanan baik keamanan aset, Data Center maupun
keamanan layanan belum dilakukan dengan baik yang menyebabkan kurang
ketatnya akses terhadap data dan informasi.
d. Review and Adjust Work Products
Perlu dilakukan evaluasi menyeluruh mengenai keamanan layanan karna belum
pernah dilakukan evaluasi terhadap manajemen keamanan TI di Pusat Jaringan
Komunikasi.
Berdasarkan pencapaian PA 2.1 process performance dan PA 2.2 work
product management yang dipaparkan pada kedua tabel di atas. Maka diketahui
skor pencapaian pada PA 2.1 process performance adalah 83.33% yang termasuk
dalam tingkat penilaian L (largely achieved). Sementara skor yang diketahui pada
PA 2.2 work product management adalah 25% yang masuk ke dalam tingkat
penilaian (largely achieved). Tingkat penilaian L menunjukkan bahwa PUSAT
JARINGAN KOMUNIKASI sudah memenuhi syarat-syarat pencapaian level 2
(managed process). Rata-rata persentase hasil dari PA 2.1 dan PA 2.2 menunjukkan
173
skor 54.16% yang termasuk ke dalam tingkat penilaian L (largely
achieved).Namun tidak bisa melanjutkan penilaian ke level 3 atau selanjutnya,
karena syarat yang harus dipenuhi adalah mecapai tingkat penilaian fully achieved
pada level 2.
Setelah dilakukan penjabaran pada tahapan Define Roadmap diatas, peneliti
menyimpulkan Pada tahapan ini yang peneliti telah lakukan adalah mengerjakan
langkah-langkah selanjutnya yaitu analisis kesenjangan kapabilitas proses dengan
mengumpulkan bukti-bukti yang dibutuhkan sesuai dengan yang telah ditentukan
oleh framework COBIT 5, pengumpulan evidence untuk membantu peneliti
menentukan gap yang ada, dan hasil yang didapat peneliti adalah :
1. Dalam pengumpulan evidence yang dilakukan oleh peneliti pada proses
APO12, work products Data Tentang Kejadian/Insiden sudah dimiliki oleh
Pusat Jaringan Komunikasi namun belum bisa diterapkan dengan maksimal,
seperti pendokumentasian insiden TI hanya dilakukan jika terjadi insiden skala
besar, sedangkan insiden skala kecil seperti deface pada web resmi BMKG
tidak terdokumentasi karna dianggap tidak menimbulkan resiko bahaya besar,
masalah tersebut yang menyebabkan terjadinya insiden berulang karna tidak
ada upaya pencegahan dari pihak Pusat Jaringan Komunikasi.
2. Dalam pengumpulan evidence yang dilakukan oleh peneliti pada proses
APO13, penerapan terkait SMKI sudah berjalan namun belum maksimal karena
masih terjadi beberapa masalah yang disebabkan oleh kurangnya manajemen
keamanan dan minimnya pendokumentasian insiden.
174
3. Dalam pengumpulan evidence yang dilakukan oleh peneliti pada proses DSS05,
work products Hasil Tes Penetrasi dan Hasil Peninjuan Ulang Terhadap Hak
Akses yang Sudah Diberikan belum diterapkan secara maksimal oleh Pusat
Jaringan Komunikasi, ini yang menyebabkan dalam pengelolaan hak akses
masih sangat fleksibel terutama dalam hak akses Ruang Data Center.
4.4 Tahap 4 - Plan Programme
Setelah penulis mendapatkan hasil dari tingkat kapabilitas aktual dan
tingkat ekspektasi dari setiap proses pada penelitian ini, tahap selanjutnya adalah
melakukan proses plan programme yakni, menjelaskan mengenai kesenjangan
(gaps) pada setiap proses serta memberikan dan menjelaskan rekomendasi
kepada perusahaan untuk dapat mencapai tingkat kapabilitas ekspektasi. Gaps
didapatkan dari jarak nilai kapabilitas aktual ke nilai kapabilitas ekspektasi. Dan
rekomendasi diberikan berdasarkan pada syarat-syarat pemenuhan untuk
mencapai nilai tingkat kapabilitas ekspektasi.
Sesuai dengan hasil penelusuran berdasarkan skala Likert dan rating scale
di atas yang menghasilkan nilai kapabilitas aktual sebagai berikut: proses APO12
(Manage Risk) mendapatkan nilai 2.17 yang berada pada level 2 (Managed
Process), proses APO13 (Manage Security) mendapatkan nilai 2.18 yang berada
pada level 2 (Managed Process), proses DSS05 (Manage Security Services)
mendapatkan nilai 2.33 yang berada pada level 2 (Managed Process). Sedangkan
untuk tingkat kapabilitas ekspektasi dari kelima proses mendapatkan hasil pada
level 3 (Established Process). Oleh Karena itu, ada gap sebesar 1 level dari setiap
175
tingkat kapabilitas aktual ke tingkat kapabilitas ekspektasi untuk masing-masing
proses yakni level 2 (Managed Process) ke level 3 (Established Process).
Oleh karena itu rekomendasi yang diberikan akan mengusulkan untuk
memenuhi semua work products yang ada pada level 2 (Managed Process) di
ketiga proses tersebut sesuai dengan PA 2.1 process performances agar dapat
mencukupi syarat atribut untuk berada pada level 3 (Established Process).
4.5.1 Gap dan Rekomendasi
Di bagian ini akan dijelaskan mengenai gaps antara tingkat kapabilitas
aktual dengan tingkat kapabilitas ekspektasi dan rekomendasi yang akan
menjelaskan apa saja yang dibutuhkan oleh perusahaan untuk dapat menghilangkan
kesenjangan tersebut dan mencapai tingkat kapabilitas ekspektasi. Rekomendasi
yang diberikan akan mencakup dua bagian yakni, rekomendasi untuk memenuhi
process attribute di setiap proses dan rekomendasi yang berdasarkan dengan Best
Practice pada setiap proses.
4.4.1.1 Gaps dan Rekomendasi Proses APO12 (Manage Risk)
Proses APO12 (Manage Risk) mendapatkan nilai kapabilitas aktual 2.17
yang berada pada level 2 (Managed Process), dan nilai kapabilitas ekspektasinya
mendapatkan nilai 3.30 yang berada pada level 3 (Established Process). Hasil ini
menunjukkan adanya gap antara tingkat kapabilitas aktual dengan tingkat
kapabilitas ekspektasi sebesar 1 level dari level 2 ke level 3. Maka rekomendasi
yang diberikan adalah untuk memenuhi persyaratan agar dapat mencapai level
ekspektasi tersebut. Berikut rekomendasi yang diberikan:
176
1. Process Attribute
Pada PA 1.1 process performance di proses APO12 (Manage Risk)
mendapatkan skor 93.3% (fully achieved). Skor ini menunjukkan bahwa Pusat
Jaringan Komunikasi sudah memenuhi standar work product terkait Process
Attribute 1.1 Process performance APO12 (Manage Risk), pusjarkom sudah
mempertimbangkan mengenai analisa tentang risiko. Di tahap ini kegiatan
manajemen risiko sudah tersusun rapih pada dokumen rencana strategi Pusat
Jaringan Komunikasi bersama dengan bukti dokumentasi dalam bentuk dokumen
profil resiko, pusjarkom sudah hampir memenuhi semua work products PA 1.1
process performance pada APO12 yakni, data tentang risiko, data tentang
kejadian/insiden, isu tentang resiko, jangkauan analisa resiko, skenario resiko TI,
hasil analisa resiko, dokumentasi skenario resiko sesuai fungsi bisnisnya, kumpulan
profil resiko berisi status dan tindakan yang diambil, laporan analisa resiko dan
profil resiko untuk stakeholder, peluang untuk penerimaan resiko yang lebih besar,
proposal untuk mengurangi resiko, rencana penanganan insiden resiko,
pemberitahuan dampak resiko dan akar penyebab resiko namun masih ada gap
berupa 1 work products yang belum dimiliki oleh pusjarkom yaitu tinjauan ulang
dari penilaian resiko oleh pihak ketiga yang digunakan sebagai evaluasi terhadap
data-data resiko yang kemungkinan dapat terjadi berkaitan dengan pihak ketiga.
Pada PA 2.1 performance management dan PA 2.2 work product
management di proses APO12 (Manage Risk) mendapatkan skor rata-rata 70.05%
(largely achieved). Skor ini menunjukkan bahwa Pusat Jaringan Komunikasi belum
memenuhi standar work product terkait Process Attribute 2.1 performance
177
management dan PA 2.2 work product management APO12 (Manage Risk). Pada
generic work product tentang peran tanggung jawab atau komunikasi atas
manajemen resiko TI, pusjarkom belum memiliki dokumen terkait resiko/insiden.
Oleh karena itu, peran tanggung jawab terhadap manajemen resiko bergantung
kepada setiap masing-masing bidang pemangku kepentingan, belum ada
perancangan dokumen khusus yang menangani tentang manajemen resiko
keseluruhan terutama tentang pengelolaan insiden teknologi informasi yang dapat
dijadikan acuan untuk meminimalisir dan mempersiapkan insiden yang berulang
atau beresiko tinggi di Pusat Jaringan Komunikasi. Salah satu faktor ini juga
disebabkan oleh belum adanya manajemen pengelolaan pihak terkait yang dapat
mengintegrasikan atau menghubungkan masing-masing bidang untuk mengelola
manajemen insiden/resiko.
Untuk membuat work product tersebut, perusahaan perlu untuk terlebih
dahulu membentuk manajemen risiko yang terintegrasi yang akan membuat
peraturan-peraturan terkait manajemen risiko. Setelah itu barulah perusahaan dapat
menentukan apa saja yang harus dilakukan atau bahkan mungkin dievaluasi dari
manajemen risiko sebelumnya. Setiap hasil dari analisa dan pengukuran risiko oleh
manajemen risiko juga harus dicatat dan dilaporkan kepada para kepala bagian
terkait.
2. Best Practice
a. APO12.01 (Pengumpulan Data)
Secara berkala melakukan analisa dan penentuan dari risiko
penggunaan TI pada pusjarkom untuk masa sekarang dan pada masa depan.
178
Menentukan apakah ambang batas risiko yang ditetapkan sudah sesuai
dengan kapasitas pusjarkom serta risiko dari penggunaan TI pada pusjarkom
BMKG sudah disesuaikan dengan value dari tupoksinya.
Tabel 4. 32 Gaps dan Rekomendasi APO12.01
b. APO12.02 (Analisa Risiko)
Memberikan informasi-informasi yang dapat membantu dalam
pengambilan keputusan yang sesuai dengan pedoman risiko perusahaan.
c. APO12.03 (Memelihara Profil Risiko)
Melakukan pemeliharaan terhadap database yang menyimpan
semua informasi risiko perusahaan.
Best Practice Keterangan
APO12.01-GWP1 Pengumpulan Data
Gaps
Analisis resiko saat ini, sudah tercantum ke dalam dokumen Profil Resiko,
namun skenario-skenario resiko TI belum terdokumentasi dengan baik dan
belum diperbarui secara rutin sehingga menyebabkan kurangnya persiapan-
persiapan terhadap resiko kejadian yang akan dialami dimasa yang akan
datang dan sering terjadinya insiden yang berulang.
Rekomendasi
Untuk itu Pusat Jaringan Komunikasi direkomendasikan harus mengelola
dokumentasi dengan baik dan selalu memperbaiki dan memperbarui secara
rutin skenario-skenario resiko TI berdasarkan kejadian/insiden yang pernah
terjadi di BMKG.
Dan melakukan evaluasi terkait kesenjangan baseline analisis resiko saat ini.
Kemudian hasil evaluasi ini harus dengan tegas ditindaklanjuti sebagai
perbandingan di kebutuhan masa depan.
Best Practice Keterangan
APO12.03-WP1 Dokumentasi Skenario Resiko Sesuai Fungsi
Bisnisnya
Gaps
179
Tabel 4. 33 Gaps dan Rekomendasi APO12.03
d. APO12.04 (Memperjelas Risiko)
Menyediakan semua informasi yang berhubungan dengan risiko TI
secara berkala kepada semua stakeholder perusahaan agar dapat diambil
tindakan yang tepat terhadap setiap risiko TI yang ada.
Tabel 4. 34 Gaps dan Rekomendasi APO12.04
e. APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen Risiko)
Mengelola setiap kemungkinan untuk pengurangan risiko
(kelonggaran pada ambang batas risiko) yang dituangkan dalam bentuk
sebuah portofolio.
Pendokumentasian skenario resiko saat ini sudah tercantum ke dalam
dokumen Profil Resiko, namun saat ini pendokumentasian belum
dikelompokan berdasarkan kategori dan area fungsinya, hanya berdasarkan
perkiraan besarnya akibat yang akan terjadi disetiap bidang.
Rekomendasi
Untuk itu Pusat Jaringan Komunikasi direkomendasikan harus membuat
suatu dokumen terperinci dan lebih detail terkait skenario resiko TI. Agar
selanjutnya dapat digunakan sebagai acuan terhadap persiapan kejadian-
kejadian atau insiden yang kemungkinan akan dialami oleh Pusat Jaringan
Komunikasi BMKG.
Best Practice Keterangan
APO12.04-WP2 Tinjauan Ulang dari Penilaian Resiko oleh Pihak
Ketiga
Gaps
Pusat Jaringan Komunikasi belum melakukan tinjauan ulang terhadap
penilaian resiko pihak ketiga ditandai dengan belum adanya hasil output
tinjauan tersebut.
Rekomendasi
Pusat Jaringan Komunikasi direkomendasikan harus melakukan peninjauan
ulang terkait penilaian resiko oleh pihak ketiga, terutama terhadap resiko-
resiko yang sangat rentan dan mudah terjadi insiden melalui pihak ketiga
ataupun pihak diluar Pusat Jaringan Komunikasi BMKG.
180
Tabel 4. 35 Gaps dan Rekomendasi APO12.05
f. APO12.06 (Respon Terhadap Risiko)
Melakukan penanganan secara berkala dan dengan tindakan yang
terukur untuk mengurangi kerugian dari penggunaan TI.
4.4.1.2 Gaps dan Rekomendasi Proses APO13 (Manage Security)
Proses APO13 (Manage Security) mendapatkan nilai kapabilitas aktual 2.19
yang berada pada level 2 (Managed Process), dan tingkat kapabilitas ekspektasinya
mendapatkan nilai 3.22 yang berada pada level 3 (Established Process). Hasil ini
menunjukkan adanya gap antara tingkat kapabilitas aktual dengan tingkat
kapabilitas ekspektasi sebesar 1 level dari level 2 ke level 3. Maka rekomendasi
yang diberikan untuk memenuhi persyaratan untuk dapat mencapai level
eksepektasi tersebut. Berikut rekomendasi yang diberikan:
1. Process Attribute
Pada PA 1.1 process performance di proses APO13 (Manage Security)
mendapatkan skor 100% (Fully Achieved). Pusjarkom sudah memenuhi
keseluruhan work product yakni, peraturan SMKI, jangkauan SMKI, informasi
mengenai penanganan resiko keamanan, informasi keamanan berdasarkan kasus
Best Practice Keterangan
APO12.05-WP1 Proposal untuk Mengurangi Resiko
Gaps
Pusat Jaringan Komunikasi belum mempunyai proposal untuk mengurangi
resiko, namun menggunakan dokumen profil resiko sebagai acuan untuk
mengurangi resiko.
Rekomendasi
Pusat Jaringan Komunikasi direkomendasikan harus membuat mekanisme
atau peraturan yang mengatur pengajuan proposal untuk kegiatan yang dapat
mengurangi risiko pada perusahaan.
181
bisnis, laporan audit SMKI, dan rekomendasi untuk peningkatan SMKI. Dengan
kata lain pusjarkom BMKG sudah memenuhi standar work product terkait Process
Attribute 1.1 Process performance APO13 (Manage Security).
Pada PA 2.1 performance management dan PA 2.2 work product
management di proses APO13 (Manage Security) mendapatkan skor rata-rata
66.65% (largely achieved). Skor ini menunjukkan bahwa Pusat Jaringan
Komunikasi belum memenuhi standar work product terkait Process Attribute 2.1
performance management dan PA 2.2 work product management APO12 (Manage
Risk). Pusat Jaringan Komunikasi BMKG sudah mempunyai atau menerapkan
sistem manajemen keamanan informasi (SMKI) namun belum berjalan dengan
baik. Perlindungan untuk keamanan informasi di pusjarkom BMKG sudah berupa
penggunaan password, akun untuk hak akses, dan software-software antivirus,
fireguard dan antimalware tanpa melakukan pengelolaan terhadap itu semua.
Belum terealisasikannya pengelolaan dokumentasi terkait SMKI dalam pusjarkom
BMKG ini menyebabkan kurangnya persiapan terhadap insiden-insiden baru dan
terjadinya permasalahan yang berulang-ulang terutama pada keamanan sistem
informasi. Lemahnya keamanan Data Center juga merupakan salah satu dampak
kurangnya pengelolaan terkait hak akses dan pembatasan akses pihak luar.
Pusjarkom harus membuat perencanaan untuk sistem manajemen keamanan
informasi dan juga perlu untuk membuat suatu aturan tertulis yang mengatur sistem
manajemen keamanan informasi dan cakupan wilayah kerja dari SMKI pada
lingkungan pusjarkom. Dan untuk melengkapi work products yang lainnya, Pusat
Jaringan Komunikasi perlu mengatur ulang atau merancang terkait keamanan aset
182
dan hak akses dan juga harus membuat proses penilaian seperti audit atau evaluasi
untuk dapat dilaporkan pada para pembuat keputusan dan juga untuk dapat
mengetahui kekurangan apa saja yang ada pada SMKI, sehingga dapat diberikan
rekomendasi-rekomendasi untuk meningkatkan kinerja dari SMKI.
2. Best Practice
a. APO13.01 (Memelihara Sistem Manajemen Keamanan Sistem Informasi
(SMKI))
Melakukan pemeliharaan pada sistem manajemen keamanan
informasi (SMKI) yang mampu menyediakan standarisasi, dokumen, dan
informasi untuk manajemen keamanan perusahaan, serta menyediakan
penggunaan teknologi yang aman dan membuat proses bisnis yang sesuai
dengan kebutuhan bisnis dan manajemen keamanan perusahaan.
Best Practice Keterangan
APO13.01-WP1 Membuat dan Memelihara Sistem Manajemen
Keamanan Sistem Informasi (SMKI)
Gaps
Sudah ada peraturan SMKI pada Pusat Jaringan Komunikasi BMKG dan
terdokumentasi dalam dokumen kebijakan keamanan informasi, namun
belum terimplimentasi dengan baik terutama pada manajemen
permohonan/penentuan hak akses terkait aset dan Data Center.
Rekomendasi
Pusat Jaringan Komunikasi direkomendasikan harus maksimal dalam
penerapan SMKI untuk memastikan keamanan terhadap sistem informasi
terjaga dengan baik, serta memastikan segala sesuatu terkait keamanan
informasi terdokumentasi dan terpantau untuk dievaluasi dan dijadikan acuan
perbaikan agar dapat meminimalisir resiko-resiko TI.
APO13.01-WP2 Jangkauan SMKI
Gaps
Belum ada peraturan yang menjelaskan jangkauan dari kerja SMKI
Rekomendasi
183
Tabel 4. 36 Gaps dan Rekomendasi APO13.01
b. APO13.02 (Mengatur Rencana Penanganan Risiko Keamanan Informasi)
Pada Best Practice ini perusahaan sudah memenuhi semua work
products yang ada pada PA 1.1 APO13.
c. APO13.03 (Mengawasi dan Meninjau Sistem Manajemen Keamanan
Informasi (SMKI))
Mengatur dan menginformasikan tentang kebutuhan dan
keuntungan dari peningkatan pada keamanan informasi. Mengumpulkan
dan melakukan analisa data mengenai SMKI, serta melakukan perbaikan
untuk efektivitas dari SMKI. Dan melakukan kampanye untuk
membiasakan budaya keamanan informasi di lingkungan perusahaan.
Tabel 4. 37 Gaps dan Rekomendasi APO13.03
Pusat Jaringan Komunikasi direkomendasikan membuat peraturan yang
menjelaskan mengenai ruang lingkup dan cakupan wilayah kerja dari SMKI.
Peraturan ini harus secara jelas mengatur apa saja wewenang yang dapat
dilakukan dan yang tidak boleh dilakukan dari aktivitas SMKI pada
lingkungan Pusat Jaringan Komunikasi BMKG.
Best Practice Keterangan
APO13.03-WP2 Rekomendasi untuk Peningkatan SMKI
Gaps
Pusat Jaringan Komunikasi sudah membuat rekomendasi untuk peningkatan
SMKI yang berupa dokumen kebijakan keamanan informasi, namun
rekomendasi terkait TI tersebut belum semuanya dilakukan secara teknis.
Rekomendasi
Pusat Jaringan Komunikasi harus menerapkan rekomendasi yang sudah
dibuat dari hasil evaluasi sehingga dapat memaksimalkan kinerja dan
meminimalisir resiko terkait TI.
184
4.4.1.3 Gaps dan Rekomendasi Proses DSS05 (Manage Security Services)
Proses proses DSS05 (Manage Security Services) mendapatkan nilai
kapabilitas aktual 2.28 yang berada pada level 2 (Managed Process), dan tingkat
kapabilitas ekspektasinya mendapatkan nilai 3.19 yang berada pada level 3
(Established Process). Hasil ini menunjukkan adanya gap antara tingkat kapabilitas
aktual dengan tingkat kapabilitas ekspektasi sebesar 1 level dari level 2 ke level 3.
Maka rekomendasi yang diberikan adalah untuk memenuhi atribut persyaratan agar
dapat mencapai level ekspektasi tersebut. Berikut rekomendasi yang diberikan:
1. Process Attribute
Pada PA 1.1 process performance di proses DSS05 (Manage Security
Services) mendapatkan skor 92.8% (fully achieved). Pusjarkom sudah memenuhi
12 work products dari 14 work products yang ada yakni, peraturan pencegahan
malware, evaluasi potensi ancaman, peraturan keamanan sambungan
(konektivitas), peraturan keamanan pada prangkat yang digunakan perusahaan, hak
akses yang sudah disetujui, permintaan akses yang sudah disetujui,
rekaman/pencatatan pengaksesan, penyimpanan untuk dokumen sensitif dan
perangkat, akses khusus, pencatatan kegiatan insiden/kejadian keamanan,
karakteristik insiden keamanan dan pencatatan khusus insiden keamanan namun
masih ada gap berupa 2 work products yang belum dimiliki oleh pusjarkom yaitu
hasil dari tes penetrasi dan hasil peninjauan ulang terhadap hak akses yang sudah
diberikan.
Walaupun pusjarkom sudah melindungi konektivitas jaringan dengan
cukup kuat, Pusjarkom belum melakukan tes penetrasi terhadap sistem yang
185
berakibat seringnya terjadi tracking atau percobaan masuk kedalam halaman utama
sistem. Memang data base pada sistem akan tetap terjaga dengan baik karna
firewall yang cukup kuat. Namun kekurangan ini juga merupakan kebocoran yang
akan menjadi masalah untuk pusjarkom di masa yang akan datang. Perusahaan juga
perlu untuk melakukan evaluasi terhadap setiap potensi ancaman dari malware baik
dari lingkungan luar maupun di dalam pusjarkom. Selain itu pusjarkom juga
diharuskan untuk mendokumentasikan hasil peninjauan ulang terhadap hak akses
yang sudah diberikan untuk memastikan bahwa akses yang diberikan telah sesuai
dengan SDM dan kebutuhan tupoksinya.
Peraturan tertulis tentang penggunaan perangkat atau aset BMKG juga
perlu dibuat untuk memastikan keamanan dari perangkat/aset tersebut dan
mencegah potensi dari insiden keamanan lainnya. Mengenai setiap hak akses yang
sudah diberikan oleh pusjarkom perlu dilakukan evaluasi secara berkala terhadap
pemberian hak akses tersebut, apakah diperlukan perubahan hak akses atau
tindakan lainnya.
Pusjarkom juga harus membuat sistem atau mekanisme yang mengatur
permintaan untuk mengakses aset dari atau diluar pusjarkom BMKG. Sistem ini
harus melibatkan atau mendapatkan persetujuan dari pemimpin perusahaan dalam
pemberian aksesnya. Dan segala pengaksesan yang dilakukan pada aset perusahaan
baik dari internal maupun eksternal perusahaan harus dicatat dan
didokumentasikan.
186
Pada PA 2.1 performance management dan PA 2.2 work product
management di proses DSS05 (Manage Security Services) mendapatkan skor rata-
rata 54.16% (largely achieved). Skor ini menunjukkan bahwa Pusat Jaringan
Komunikasi belum memenuhi standar work product terkait Process Attribute 2.1
performance management dan PA 2.2 work product management APO12 (Manage
Risk). Pusjarkom belum melakukan pendokumentasian hak akses untuk evaluasi
terutama terhadap pihak ketiga, pusjarkom hanya mengutus teknisi dari pihak
pusjarkom untuk menemani dan memberikan hak akses jika dibutuhkan oleh pihak
ketiga terutama perihal akses terhadap Data Center tanpa melakukan verifikasi
ataupun memberikan SOP kepada pihak ketiga.
Pusjarkom harus melakukan analisa atau evaluasi secara berkala terkait
setiap hak akses atau kegiatan apa pun yang terkait dengan keamanan untuk dapat
mengetahui karakteristik dari setiap insiden keamanan yang sudah atau mungkin
akan terjadi. Dan perlu dibuatkan pencatatan khusus seperti semacam dokumen
untuk keamanan informasi.
2. Best Practice
a. DSS05.01 (Melindungi dari Malware)
Menerapkan dan mengelola langkah-langkah pencegahan,
investigasi dan perbaikan (khususnya pada pemberian akses terhadap sistem
ataupun aset di pusjarkom) pada setiap lini perusahaan untuk melindungi
semua aset perusahaan dari insiden keamanan.
187
Tabel 4. 38 Gaps dan Rekomendasi DSS05.01
b. DSS05.02 (Mengelola Jaringan dan Konektivitas)
Menggunakan prosedur dan analisa keamanan untuk melindungi
semua metode dan konektivitas yang ada pada perusahaan.
c. DSS05.03 (Mengelola Keamanan Perangkat)
Memastikan semua perangkat perusahaan sudah dilindungi dengan
baik, minimal setara atau lebih besar dari standar penerapan keamanan dari
informasi yang diproses, disimpan, dan informasi yang dikirim.
Best Practice Keterangan
DSS05.01-WP1 Peraturan Pencegahan Malware
Gaps
Sudah ada peraturan pencegahan Malware pada dokumen Kebijakan
Keamanan Informasi namun prosedur-prosedur pencegahan malware
tersebut belum sepenuhnya diterapkan, sebagai contoh belum adanya
tinjauan ulang produk-produk dari vendor dan konsultan pelayanan
keamanan.
Rekomendasi
Pusat Jaringan Komunikasi direkomendasikan harus mendistribusikan terkait
software keamanan secara terpusat (versi dan patch-nya) dengan
menggunakan pengaturan terpusat serta harus menyaring data yang masuk
untuk melindungi dari informasi yang tidak diinginkan (spyware, phising
email).
Best Practice Keterangan
DSS05.03-WP1 Peraturan Keamanan pada Perangkat yang Digunakan Perusahaan
Gaps
Pusat Jaringan Komunikasi sudah melakukan pengelolaan keamanan
perangkat namun kurang maksimal karena banyak kebijakan yang belum
diterapkan.
Rekomendasi
Pusat Jaringan Komunikasi harus membuat peraturan yang dapat berupa
SOP untuk mengatur mengenai kebijakan penggunaan perangkat di
perusahaan yang menekankan pada aspek keamanan informasi di perusahaan.
188
Tabel 4. 39 Gaps dan Rekomendasi DSS05.03
d. DSS05.04 (Mengelola Identitas Pengguna dan Remote Access)
Memastikan semua pihak mendapatkan hak akses sesuai dengan
kebutuhan bisnisnya.
Tabel 4. 40 Gaps dan Rekomendasi DSS05.04
e. DSS05.05 (Mengelola Akses pada Aset/Perangkat TI)
Membuat dan menerapkan prosedur untuk memberi, membatasi dan
mencabut akses pada aset perusahaan. Akses yang diberikan harus selalu
tercatat dan terawasi. Prosedur ini harus diterapkan atau berlaku untuk siapa
pun baik dari pihak internal maupun eksternal perusahaan.
Perangkat perusahaan tidak boleh dengan mudah untuk dapat digunakan oleh
pihak yang tidak memiliki akses pada pernagkat tersebut.
Best Practice Keterangan
DSS05.04-WP2 Hasil Peninjuan Ulang Terhadap Hak Akses yang
Sudah Diberikan
Gaps
Sudah ada manajemen hak akses pada dokumen kebijakan keamanan
informasi namun belum diterapkan ataupun ditinjau ulang, sebagai contoh
masih adanya fleksibilitas terhadap hak akses pihak ketiga pada saat jika
terjadi insiden ataupun maintenance, siapapun teknisi dapat masuk keruang
Data Center jika berasal dari vendor yang telah bekerjasama dengan BMKG.
Rekomendasi
Pusat Jaringan Komunikasi diharuskan melakukan atau mengevaluasi ulang
terkait hak akses, atau mungkin dapat menentukan ulang syarat-syarat
penentuan pihak-pihak yang berhak mendapatkan hak akses sesuai
fungsinya. Hak akses dapat dikerucutkan terutama terkait Data Center
ataupun aset utama Pusat Jaringan Komunikasi.
189
Tabel 4. 41 Gaps dan Rekomendasi DSS05.05
f. DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat Output)
Pada Best Practice ini perusahaan sudah memenuhi semua work
products yang ada pada PA 1.1 DSS05.06.
g. DSS05.07 (Mengawasi Infrastruktur Keamanan)
Menggunakan tools untuk mendeteksi penyusupan atau hal-hal
mencurigakan pada jaringan perusahaan, dan mengawasi setiap penggunaan
pada infrastruktur keamanan perusahaan, khususnya jika ada pengunaan
dari pihak yang tidak memiliki akses pada infrastruktur perusahaan. Dan
memastikan setiap ada kegiatan atau insiden selalu terhubung dengan
manajemen pengawasan dan insiden perusahaan.
Best Practice Keterangan
DSS05.05-WP1 Permintaan Akses yang Sudah Disetujui
Gaps
Sudah ada pengelolaan terkait hak akses namun terlalu fleksibel terutama
terkait akses ruang Data Center dan access remote pada Pusat Jaringan
Komunikasi BMKG.
Rekomendasi
Pusat Jaringan Komunikasi direkomendasikan harus membuat ulang
peraturan yang mengatur mengenai mekanisme permintaan akses pada aset
ataupun Data Center, akses yang diberikan harus selalu tercatat dan terawasi.
Mekanisme ini haruslah menekankan pada keamanan untuk melindungi aset
dan Data Center. Pemberian akses harus berdasarkan kebutuhan bisnis dan
tidak boleh terlalu leluasa ataupun terlalu terbatas untuk mengakses aset
perusahaan yang dibutuhkannya.
Best Practice Keterangan
DSS05.07-WP1 Pencatatan Kegiatan/Insiden Keamanan
Gaps
Sudah ada dokumentasi mengenai karakteristik dari insiden keamanan
namun belum terpusat terperinci.
190
Tabel 4. 42 Gaps dan Rekomendasi DSS05.07
Pada tahapan Plan Programme, peneliti telah mulai melakukan penentuan
gaps dan rekomendasi perbaikan dari hasil penghitungan Capability Level dan
pemenuhan evidence, dengan dilakukannya langkah-langkah tadi pada tahapan
sebelumnya, hasil yang didapat oleh peneliti adalah sebagai berikut :
1. Pada proses APO12, telah didapat nilai kapabilitas aktual 2.17 yang berada pada
level 2 (Managed Process), dan didapat nilai kapabilitas ekspektasinya sebesar
3.30 yang berada pada level 3 (Established Process). Hasil ini menunjukkan
adanya gap antara tingkat kapabilitas aktual dengan tingkat kapabilitas
ekspektasi sebesar 1 level dari level 2 ke level 3, gap tersebut berupa analisis
resiko saat ini, sudah tercantum ke dalam dokumen Profil Resiko, namun
skenario-skenario resiko TI belum terdokumentasi dengan baik dan belum
diperbarui secara rutin sehingga menyebabkan kurangnya persiapan-persiapan
terhadap resiko kejadian yang akan dialami dimasa yang akan datang dan sering
terjadinya insiden yang berulang. Maka rekomendasi yang diberikan adalah
Pusat Jaringan Komunikasi direkomendasikan harus mengelola dokumentasi
Rekomendasi
Membuat suatu dokumentasi mengenai karekteristik dari setiap insiden
keamanan yang terjadi baik di lingkungan internal perusahaan maupun
lingkungan eksternal perusahaan.
DSS05.07.01-WP2 Pencatatan Khusus Insiden Keamanan
Gaps
Sudah ada pencatatan yang khusus terkait insiden keamanan namun belum
terpusat dalam setiap insiden keamanan yang terjadi.
Rekomendasi
Membuat pencatatan khusus yang mencatat setiap insiden keamanan yang
terjadi di lingkungan internal dan eksternal perusahaan. Setiap insiden yang
terjadi diberikan ID pengenal yang unik.
191
dengan baik dan selalu memperbaiki dan memperbarui secara rutin skenario-
skenario resiko TI berdasarkan kejadian/insiden yang pernah terjadi di BMKG.
Dan melakukan evaluasi terkait kesenjangan baseline analisis resiko saat ini.
Kemudian hasil evaluasi ini harus dengan tegas ditindaklanjuti sebagai
perbandingan di kebutuhan masa depan.
2. Pada proses APO13, telah didapat nilai kapabilitas aktual 2.19 yang berada pada
level 2 (Managed Process), dan didapat nilai kapabilitas ekspektasinya sebesar
3.22 yang berada pada level 3 (Established Process). Hasil ini menunjukkan
adanya gap antara tingkat kapabilitas aktual dengan tingkat kapabilitas
ekspektasi sebesar 1 level dari level 2 ke level 3, gap tersebut berupa sudah ada
peraturan SMKI pada pusat jaringan dan komunikasi BMKG dan
terdokumentasi dalam dokumen kebijakan keamanan informasi, namun belum
terimplimentasi dengan baik terutama pada manajemen permohonan/penentuan
hak akses terkait aset dan Data Center. Maka rekomendasi yang diberikan
adalah Pusat Jaringan Komunikasi direkomendasikan harus maksimal dalam
penerapan SMKI untuk memastikan keamanan terhadap sistem informasi
terjaga dengan baik, serta memastikan segala sesuatu terkait keamanan
informasi terdokumentasi dan terpantau untuk dievaluasi dan dijadikan acuan
perbaikan agar dapat meminimalisir resiko-resiko TI.
3. Pada proses DSS05, telah didapat nilai kapabilitas aktual 2.28 yang berada pada
level 2 (Managed Process), dan didapat nilai kapabilitas ekspektasinya sebesar
3.19 yang berada pada level 3 (Established Process). Hasil ini menunjukkan
adanya gap antara tingkat kapabilitas aktual dengan tingkat kapabilitas
192
ekspektasi sebesar 1 level dari level 2 ke level 3, gap tersebut berupa sudah ada
manajemen hak akses pada dokumen kebijakan keamanan informasi namun
belum diterapkan ataupun ditinjau ulang, sebagai contoh masih adanya
fleksibilitas terhadap hak akses pihak ketiga pada saat jika terjadi insiden
ataupun maintenance, siapapun teknisi dapat masuk keruang Data Center
(bersama staff bidang terkait) jika berasal dari vendor yang telah bekerjasama
dengan BMKG. Maka rekomendasi yang diberikan adalah Pusat Jaringan
Komunikasi diharuskan melakukan atau mengevaluasi ulang terkait hak akses,
atau mungkin dapat menentukan ulang syarat-syarat penentuan pihak-pihak
yang berhak mendapatkan hak akses sesuai fungsinya. Hak akses dapat
dikerucutkan terutama terkait Data Center ataupun aset utama Pusat Jaringan
Komunikasi.
4.5.2 Pemetaan Proses COBIT dan ISO 27002
Sebelum penggunaan ISO 27002:2013 sebagai rekomendasi dan acuan
spesifik untuk Pusat Jaringan Komunikasi BMKG, perlu dipetakan antara Domain
COBIT 5 yang telah dipilih melalui penentuan Goal Cascading kedalam Klausul
ISO 27002:2013 yang paling relevan.
No COBIT 5 ISO 27002 Klausul Hasil
Pemetaan
1 APO12.01 A.5 Information Security
Policies
A.13 Secure
Communication and Data
Transfer
KLAUSUL 6
KLAUSUL 6
KLAUSUL 8
2 APO12.02
193
3 APO12.03 A.14.Secure Acquisition,
Development, and Support
of Information Systems
16.1 Management of
information security
incidents and
improvements
KLAUSUL 9
KLAUSUL 9
KLAUSUL 9
KLAUSUL 9
KLAUSUL 12
KLAUSUL 12
KLAUSUL 13
KLAUSUL 13
KLAUSUL 14
KLAUSUL 16
KLAUSUL 16
KLAUSUL 16
4 APO12.04
5 APO12.05
6 APO12.06
7 APO13.01 A.5 Information security
policy
A.6 Information Security
Organisation
A.6 Information Security
Organisation
A.8 Asset Management
A.8 Asset Management
A.8 Asset Management
A.9 Access Controls and
Managing User Access
A.9 Access Controls and
Managing User Access
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.11 Physical Security
A.11 Physical Security
A.11 Physical Security
8 APO13.02
9 APO13.03
10 DSSO5.01
11 DSSO5.02
12 DSSO5.03
194
13 DSSO5.04 A.11 Physical Security
A.11 Physical Security
A.11 Physical Security
A.11 Physical Security
A.12 Operational Security
A.12 Operational Security
A.12 Operational Security
A.12 Operational Security
A.13 Secure
Communications and Data
Transfer
A.13 Secure
Communications and Data
Transfer
A.15 Security for Suppliers
and Third Parties
A.15 Security for Suppliers
and Third Parties
14 DSSO5.05 A.6 Information Security
Organisation
A.9 Access Controls and
Managing User Access
A.9 Access Controls and
Managing User Access
A.9 Access Controls and
Managing User Access
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
15 DSSO5.06
16 DSSO5.07 A.15 Security for Suppliers
and Third Parties Tabel 4. 43 Mapping COBIT 5 to ISO 27002
Berikut adalah hasil pemetaan yang sudah dilakukan peneliti berdasarkan
ISACA dan jurnal Razieh Sheikhpour. Dari pemetaan diatas akan ditentukan apa
saja kontrol klausul yang relevan untuk digunakan sebagai rekomendasi perbaikan
TI pada Pusat Jaringan Komunikasi BMKG.
195
4.5.3 Perancangan Usulan Berdasarkan ISO 27002
Setelah peneliti melakukan analisis kesenjangan dan menemukan gap yang
terdapat pada Pusat Jaringan Komunikasi, peneliti harus menentukan rekomendasi
apa yang sesuai untuk melengkapi gap tersebut. Pada tahap ini peneliti membuat
rancangan usulan sesuai rekomendasi yaitu Panduan Implementasi Manajemen
Insiden, Rancangan Pengelolaan Hak Akses, dan SOP Ruang Data Center sebagai
pertimbangan pihak Pusat Jaringan Komunikasi dalam melakukan perbaikan.
4.5.3.1 Panduan Implementasi Manajemen Insiden
Usulan dari rekomendasi APO12 adalah Panduan Implementasi Manajemen
Insiden, usulan ini berisi prosedur-prosedur apa saja yang harus dilengkapi dan
langkah-langkah apa saja yang harus dijalankan dalam pendokumentasian insiden.
Manajemen insiden dan peningkatan keamanan informasi bertujuan untuk
memastikan pendekatan yang konsisten dan efektif untuk pengelolaan keamanan
informasi insiden, termasuk komunikasi tentang peristiwa dan kelemahan
keamanan.
Tanggung jawab dan prosedur manajemen harus ditetapkan untuk
memastikan proses yang cepat, efektif dan tanggapan tertib terhadap insiden
keamanan informasi.
Panduan implementasi
Pedoman berikut untuk tanggung jawab dan prosedur manajemen berkaitan
dengan informasi manajemen insiden keamanan harus dipertimbangkan:
196
b. Tanggung jawab manajemen harus ditetapkan untuk memastikan bahwa
prosedur berikut ini dikembangkan dan dikomunikasikan secara memadai
dalam organisasi:
1) prosedur untuk perencanaan dan persiapan respons insiden;
2) prosedur untuk memantau, mendeteksi, menganalisis dan melaporkan
peristiwa keamanan informasi dan insiden;
3) prosedur untuk kegiatan manajemen insiden pembajakan;
4) prosedur untuk menangani bukti forensik;
5) prosedur untuk penilaian dan keputusan tentang peristiwa keamanan
informasi dan penilaian kelemahan keamanan informasi;
6) prosedur untuk respons termasuk untuk eskalasi, pemulihan terkontrol dari
suatu insiden dan komunikasi dengan orang atau organisasi internal dan
eksternal;
c. Prosedur yang ditetapkan harus memastikan bahwa:
1) personel yang kompeten menangani masalah yang terkait dengan insiden
keamanan informasi di dalam organisasi;
2) titik kontak untuk deteksi dan pelaporan insiden keamanan diterapkan;
3) kontak yang sesuai dengan pihak berwenang, kelompok kepentingan
eksternal atau forum yang menangani masalah tersebut terkait dengan
insiden keamanan informasi dipertahankan;
d. Prosedur pelaporan harus mencakup:
1) menyiapkan formulir pelaporan acara keamanan informasi untuk
mendukung tindakan pelaporan dan untuk membantu orang yang
197
melaporkan dalam mengingat semua tindakan yang diperlukan jika terjadi
peristiwa keamanan informasi;
2) prosedur yang harus dilakukan jika terjadi peristiwa keamanan informasi
yaitu mencatat semua detail dengan segera, seperti jenis ketidakpatuhan
atau pelanggaran, kerusakan yang terjadi, dan segera melaporkan ke kontak
terkait dan hanya mengambil tindakan terkoordinasi;
3) referensi ke proses yang ditetapkan untuk melakukaan koordinasi dengan
karyawan yang berkomitmen bertanggungjawab dalam pelanggaran
keamanan;
4) mengusahakan proses feed back yang sesuai untuk memastikan bahwa
orang-orang yang melaporkan peristiwa keamanan informasi diberitahukan
hasilnya setelah masalah telah ditangani dan ditutup.
Tujuan untuk manajemen insiden keamanan informasi harus disepakati dengan
manajemen, dan harus dipastikan bahwa mereka yang bertanggung jawab atas
manajemen insiden keamanan informasi memahami prioritas organisasi untuk
menangani insiden keamanan informasi.
Aktivitas
Access
Management
Kontrol ISO
27002 Deskripsi Kontrol Aktifitas Penerapan
Incident
Identification
16.1.1
Responsibilitie
s and
procedures
Memastikan yang
dilaporkan
memang insiden
atau bukan
Melakukan
pengecekan terhadap
pelaporan yang
dilaporkan oleh user
apakah benar hal
tersebut adalah insiden
atau bukan.
16.1.1
Responsibilitie
Media pelaporan
yang digunakan
oleh pengguna
Memberikan formulir
pelaporan insiden
198
s and
procedures
berdasarkan media
yang digunakan.
Telepon: operator
penanganan insiden
akan menuliskannya
secara langsung
pada formulir
pendokumentasian
insiden.
Walk-in: pelapor
yang melaporkan
akan mengisi sendiri
formulir pelaporan
insiden.
Incident
Logging
16.1.2
Reporting
information
security events
Pencatatan
perekaman insiden
yang dialami
pelapor
(pencatatan log
insiden)
Memastikan pelapor
telah mengisi
formulir pelaporan
insiden.
Operator
penanganan insiden
menerima formulir
pelaporan insiden.
Melakukan
pencatatan pada
formulir
pendokumentasian
insiden.
Melakukan
pencatatan pada
formulir rekapitulasi
log insiden sebagai
dokumentasi insiden
yang nanti diberikan
kepada kasubid
sebagai laporan
berkala.
Incident
Categorisatio
n
16.1.4
Assessment of
and decision
on information
security events
Pengkategorisasia
n insiden Melakukan
pencatatan pada
formulir
pendokumentasian
insiden.
Melakukan
kategorisasi insiden
sesuai dengan
199
kategori yang
disediakan.
Prioritising
Incident
16.1.4
Assessment of
and decision
on information
security events
Memastikan
kategorisasi
insiden dilakukan
Melakukan
pencatatan pada
formulir
pendokumentasian
insiden.
Melakukan prioritas
insiden sesuai
dengan prioritas
yang telah
disediakan.
16.1.4
Assessment of
and decision
on information
security events
Memberi prioritas
insiden
Initial
Diagnosis
16.1.5
Response to
information
security
incidents
Melakukan
diagnosis awal
terhadap insiden
yang dilaporkan
Mencari diagnosis
awal dan solusi
sementara terhadap
insiden yang telah
dilaporkan.
Melakukan analisis
insiden dan
mencatatnya pada
formulir
pendokumentasian
insiden pada kolom
yang telah
disediakan.
Apabila operator
penanganan insiden
dapat menangani
insiden tersebut
sendiri maka tidak
perlu melakukan
kebijakan eskalasi.
Incident
Escalation
16.1.5
Response to
information
security
incidents
Melakukan
Functional
Escalation
Aktivitas ini
dilakukan apabila
operator penanganan
insiden tidak dapat
menemukan solusi
yang dilakukan pada
aktivitas inisial
diagnosis.
Mencatat pada
formulir
pendokumentasian
insiden pada kolom
yang telah
disediakan.
16.1.5
Response to
information
security
incidents
Melakukan
Hierarchical
Escalation
200
Investigation
and
Diagnosis,
Resolution
dan Recovery
16.1.5
Response to
information
security
incidents
Melakukan inisiasi
dari solusi
sementara dan
menyelesaikan
insiden dari solusi
yang telah
ditetapkan
Melakukan inisiasi
solusi sementara
untuk insiden
Menyelesaikan
insiden dengan
solusi yang telah
ditentukan
Mendokumentasika
n hasil insiden dan
solusi akhir pada
formulir
pendokumentasian
insiden
Incident
Closure
16.1.6
Learning from
information
security
incidents
Memberikan
laporan status
selesainya insiden
Melakukan
pendokumentasian
pada formulir
penutupan insiden
dan mengisi seluruh
konten yang telah
disediakan
Memberikan form
penutupan insiden
kepada user sebagai
bukti bahwa insiden
telah selesai dan
menutup kasus.
16.1.6
Learning from
information
security
incidents
Memastikan
pengguna puas
dengan
penanganan
insiden dan
menyetujui adanya
penutupan insiden
Tabel 4. 44 Penyesuaian Aktifitas Manajemen Insiden dengan Control ISO 27002
4.5.3.2 Rancangan Pengelolaan Hak Akses
Salah satu usulan rekomendasi terkait manajemen keamanan untuk Pusat
Jaringan Komunikasi adalah perbaikan pengelolaan hak akses. Berikut adalah
usulan perancangan pengelolaan hak akses yang dibuat peneliti berdasarkan ISO
27002 yang sudah disesuaikan dengan penelitian terdahulu dan sistem yang sudah
ada di Pusat Jaringan Komunikasi BMKG.
Aktivitas Access
Management
Kontrol ISO
27002
Deskripsi
Kontrol
Aktifitas Pada
Prosedur
Requesting
Access
9.2.1 User
registration and
de-registration
ID pengguna
yang bersifat
unique
Membuat akun
email pegawai
201
dengan domain
bmkg.go.id
Memastikan
pengguna
memiliki otorisasi
akses
Membuat akun
dengan
username dan
password awal
secara acak
Pencatatan
pengguna yang
melakukan
permintaan akses
Melakukan
pencatatan pada
formulir
perekaman
permintaan akses
Verification 6.1.2 Segregation
of duties
Melakukan
pengecekan
kesesuaian akses
terhadap masing-
masing actor
Melakukan
peninjauan
terhadap
kesesuaian akses
masing-masing
actor dan rolenya
dari daftar acuan
role
Melindungi asset
informasi dari
akses yang tidak
terotorisasi
Memastikan
bahwa role dan
akses yang
dimiliki pegawai
telah sesuai
9.4.3 Password
management
system
Menjamin
kerahasiaan
password
Memastikan
password
pegawai telah
terenkripsi dan
tercatat dalam
database
9.2.4
Management of
secret
authentication
information of
users
Melakukan
pengecekan ID
pengguna dan
status pengguna
Melihat
kesesuaian
antara SK
pegawai dengan
akses yang
diberikan kepada
pegawai dengan
melihat database
identitas
pegawai
Melakukan
verifikasi dan
otentikasi ID
pengguna
Mengirimkan
link verifikasi
kepada email
pegawai sebagai
202
bukti bahwa
akses yang akan
diberikan sesuai
dengan identitas
pegawai
Providing Rights 9.2.4
Management of
secret
authentication
information of
users
Memastikan
pengguna
menyetujui
perjanjian
kerahasiaan
informasi
Memberikan
daftar kebijakan
terkait
manajemen
akses kepada
masing-masing
pegawai beserta
sanksi terkait
9.3.1 Use of
secret
authentication
information
Memastikan
pengguna
memahami hak
akses yang
diperolehnya
Memberikan
daftar modul
yang dapat
diakses serta
yang tidak dapat
diakses kepada
masing-masing
pegawai
Pencatatan
pengguna yang
telah diberikan
akses
Melakukan
pencatatan pada
formulir
perekaman
pemberi akses
9.4.3 Password
management
system
Memastikan
pengguna
memahami aturan
mengenai
manajemen
password
Memberikan
daftar acuan
kepada pegawai
mengenai
kebijakan dalam
penggantian
password dan
konten password
yang sesuai
dengan standard
acuan
9.2.2 User access
provisioning
Memastikan
pengguna
memahami
kebijakan terkait
layanan akses
Memberikan
daftar acuan
mengenai
layanan akses
yang dapat
diakses dari
jaringan umum
maupun khusus
203
Monitoring
Identity Status
9.1.1 Access
control policy
Melakukan
pengecekan
kesesuaian akses
pengguna
berdasarkan
kebijakan kontrol
akses
Memastikan
akses pegawai
sesuai dengan
kontrol-kontrol
dalam acuan
9.2.5 Review of
user access rights
Melakukan
peninjauan ulang
terhadap hak
akses pengguna
secara berkala
Melakukan
pengecekan
akses pegawai
secara berkala
Melakukan
pencatatan status
pegawai dalam
proses penilaian
tes perilaku kerja
Mencatat hasil
pemantauan
status identitas
dalam formulir
Pencatatan
perubahan
identitas status
pengguna
Melakukan
pencatatan pada
formulir
pemantauan
status identitas
pengguna
Removing or
Restricting
Rights
9.2.6 Removal or
adjustment of
access rights
Memastikan hak
akses telah
dihapus atau
dibatasi sesaat
setelah kontrak
benar-benar
selesai
Melakukan
perubahan role
berdasarkan SK
pegawai terkait
Melakukan
pengecekan
perubahan role
sesuai dengan
status identitas
pegawai
Pencatatan
penghapusan
maupun
pembatasan akses
pengguna
Melakukan
pencatatan pada
formulir
perekaman
penghapusan
maupun
pembatasan
akses
204
9.4.5 Access
control to
program source
code
Memastikan
kontrol akses
berdasarkan read,
write, delete dan
execute
Memastikan
bahwa role dan
akses yang
dimiliki pegawai
telah selesai
Melakukan
pengecekan
perubahan role
sesuai dengan
status identitas
pegawai
Logging and
Tracking Access
9.4.2 Secure log-
on procedures
Memastikan
kesesuaian
pengguna
Melakukan
pengecekan
username dan
password
pegawai ketika
mengakses dan
memberikan
informasi error
apabila terdapat
ketidak sesuaian
Menampilkan
informasi
warning yang
menyatakan
bahwa computer
tersebut hanya
dapat diakses
oleh pengguna
yang terotorisasi
Melakukan
tindakan apabila
terdapat laporan
permasalahan
akses yang tidak
sesuai
Melakukan
pengecekan log
aktivitas
pegawai
Melakukan
penelusuran
terhadap akses
yang
mencurigakan
dengan teknologi
terkait
Pencatatan
perekaman
permasalahan
akses pengguna
Melakukan
pencatatan pada
formulir
perekaman
permasalahan
akses apabila
terdapat
205
permasalahan
akses Tabel 4. 45 Penyesuaian Aktifitas Pengelolaan Hak Akses dengan Control ISO 27002
Berikut adalah usulan alur permohonan hak akses sesuai dengan ISO 27002
yang harus dilakukan oleh Pusat Jaringan Komunikasi BMKG.
206
Gambar 4. 11 Rancangan Rekomendasi Alur Permohonan Hak Akses
Pemohon Admin Kasubid Operasional TI Perlengkapan
Waktu Output
1 Pemohon
mengajukan
permohonan hak
akses kepada admin
terkait (Staf
Fungsional IT
Support)
N/A
2 Admin bertanya
apakah pemohon
baru mengajukan
permohonan akses
atau pemohon sudah
memiliki akses
namun ingin
menambah akses
atau menghapus
akses
N/A
3 Pemohon mengisi
formulir registrasi
berupa data lengkap
sesuai data SK
Pegawai
Formulir
Registrasi
N/A
4 Pemohon mengisi
formulir
permohonan hak
akses berupa
penjelasan secara
terperinci hak akses
yang dimohon dan
untuk apa hak akses
tersebut
Formulir
Permohonan
Hak Akses
N/A
5 admin (Staf
Fungsional IT
Support) melakukan
peninjauan terkait
kesesuaian data
pemohon.
Formulir
Registrasi
N/A
6 admin akan
melakukan
pengklasifikasian
sesuai dengan
kepentingan dan
kebutuhan pemohon
Formulir
Permohonan
Hak Akses
N/A
7 Kasubid Operasional
TI menerima data
pemohon yang telah
ditinjau oleh admin
dan selanjutnya
dilakukan validasi
untuk memastikan
kesesuaian antara SK
dan tupoksi
pemohon dengan
akses yang diberikan
kepada pemohon.
Formulir
Kunjungan ke
Ruang Server
N/A
8 Setelah dianggap
layak dan sesuai,
Kasubid Operasional
TI memberikan
persetujuan kepada
admin untuk
pemberian hak akses
Formulir
Permohonan
Hak Akses
N/A
9 admin mengirimkan
link konfirmasi
permohonan hak
akses ke email
N/A Link Verifikasi
10 setelah mengklik link
konfirmasi, pemohon
menerima ID dan
Password sementara
serta daftar
kebijakan terkait
manajemen akses
dan daftar modul
yang dapat diakses
N/A ID, Pasword
Sementara,
Kebijakan
Manajemen
Akses, dan Daftar
Modul Akses
NO URAIAN KEGIATAN
PELAKSANA Mutu Baku
Keterangan
Mulai
Selesai
Ya
Tidak
Tidak
Ya
Tidak
Ya
207
1. Pemohon mengajukan permohonan hak akses kepada admin terkait (Staf
Fungsional IT Support).
2. Admin bertanya apakah pemohon baru mengajukan permohonan akses atau
pemohon sudah memiliki akses namun ingin menambah akses atau menghapus
akses.
3. Jika pemohon baru mengajukan permohonan hak akses, pemohon diharuskan
mengisi formulir registrasi berupa data lengkap sesuai data SK Pegawai.
4. Jika pemohon yang sudah memiliki hak akses namun ingin menambah akses
atau menghapus akses, pemohon bisa melewati poin 3 dan langsung mengisi
formulir permohonan hak akses berupa penjelasan secara terperinci hak akses
yang dimohon dan untuk apa hak akses tersebut.
5. Selanjutnya admin (Staf Fungsional IT Support) melakukan peninjauan terkait
kesesuaian data pemohon pada formulir registrasi. Jika terjadi ketidaksesuaian,
pemohon diharuskan memperbaiki dan memastikan kesesuaian data dengan
kembali melakukan permohonan ulang sesuai prosedur dari tahap 1.
6. Jika data sesuai, admin akan melakukan pengklasifikasian sesuai dengan
kepentingan dan kebutuhan pemohon.
7. Selanjutnya Kasubid Operasional TI menerima data pemohon yang telah
ditinjau oleh admin dan selanjutnya dilakukan validasi untuk memastikan
kesesuaian antara SK dan tupoksi pemohon dengan akses yang diberikan
kepada pemohon. Jika terjadi ketidaksesuaian, pemohon dapat memperbaiki
dan memastikan kesesuaian permohonan akses terhadap tupoksi pemohon
dengan kembali ke tahap 4.
208
8. Setelah dianggap layak dan sesuai, Kasubid Operasional TI memberikan
persetujuan kepada admin untuk pemberian hak akses.
9. admin mengirimkan link konfirmasi permohonan hak akses ke email.
10. setelah mengklik link konfirmasi, pemohon menerima ID dan Password
sementara serta daftar kebijakan terkait manajemen akses dan daftar modul
yang dapat diakses.
4.5.3.3 SOP Ruang Data Center
Usulan dari rekomendasi berikutnya terkait manajemen keamanan untuk
Pusat Jaringan Komunikasi adalah SOP Ruang Data Center. Berikut adalah usulan
perancangan SOP Ruang Data Center yang dibuat peneliti berdasarkan ISO 27002
yang sudah disesuaikan dengan penelitian terdahulu dan sistem yang sudah ada di
Pusat Jaringan Komunikasi BMKG.
209
STANDARD OPERATING PROCEDURE
(SOP)
A. Tujuan Umum
1. Memberikan suatu acuan dan pedoman bagi Bidang terkait mengenai
segala hal yang berkaitan dengan Data Center.
2. Semua pegawai diharapkan untuk mematuhi Standard Operating
Procedure ini agar memaksimalkan tingkat keamanan informasi pada
Pusat Jaringan Komunikasi. Ketidakpatuhan terhadap Standard
Operating Procedure ini akan berakibat kepada tindakan disiplin atau
sanksi sebagaimana mestinya.
3. Setiap pegawai diharapkan bisa ikut pro-aktif memberikan masukan dan
usulan perbaikan terhadap Standard Operating Procedure ini agar
tercapai suatu prosedur yang efektif dan efisien.
B. Ruang Lingkup
Ruang lingkup kegiatan dalam Standard Operating Procedure ini meliputi
seluruh hal terkait dengan Data Center Pusat Jaringan Komunikasi BMKG.
C. Penanggung Jawab & Departemen Terkait
Penanggung jawab atas pelaksanaan prosedur ini adalah Kasubid
Operasional Teknologi Informasi pada Pusat Jaringan Komunikasi BMKG.
D. Waktu Pelaksanaan
Prosedur ini dilaksanakan kapanpun dibutuhkan hal-hal yang berkaitan
dengan kunjungan Ruang Data Center.
210
E. Distribusi Prosedur
Standard Operating Procedure ini di distribusikan kepada Unit Kerja dan
User Penanggung jawab terkait.
F. Kebijakan
1. Kebijakan Umum
1.1 Kebijakan dan Prosedur ini akan dikaji ulang jika terjadi kekurangan
melalui persetujuan penanggung jawab.
1.2 Kasubid Operasional Teknologi Informasi bertanggung jawab
dalam hal:
1.2.1 Mengawasi dan memastikan bahwa implementasi prosedur
yang dirancang telah dijalankan secara konsisten.
1.2.2 Memberikan masukan kepada manajemen setiap kali ada
usulan perubahan dalam rangka perbaikan proses kerja.
2. Ketentuan Data Center
2.1 Semua yang berkaitan dengan Data Center harus sesuai dengan
Standard Operating Procedure (SOP) ini.
2.2 Data Center harus selalu dalam keadaan terkunci dengan
menggunakan security lock system. Jika terjadi trouble shoot pada
security lock system maka harus dilakukan penguncian secara
manual.
2.3 Akses masuk kedalam Data Center hanya dipegang oleh pegawai
berwenang yang memiliki akses khusus dan sesuai dengan
tupoksinya, yaitu:
211
2.3.1 Kepala Sub Bidang Operasional Teknologi Informasi
2.3.2 Staf Fungsional IT Support
2.3.3 Staf Fungsional Teknisi Server
2.4 Bagi siapapun (selain user pada point 2.3) yang hendak masuk ke
Data Center, maka harus mengisi form visitor (visitor log) dan
didampingi oleh user pemegang akses.
2.5 Visitor Log harus direview dan ditandatangani oleh Kasubid
Operasional Teknologi Informasi pada setiap akhir bulan.
2.6 Akses masuk ke dalam Data Center tidak boleh dipindah tangankan
ataupun bertambah tanpa melalui tahapan permohonan akses yang
sudah ditetapkan.
2.7 Data Center harus dilengkapi dengan Air Conditioner (AC) yang
beroperasi selama 24 jam dengan suhu maksimal 18-20 derajat
celcius. Jika terjadi pemadaman listrik minimal 15 menit, maka IT
Support atau Teknisi penanggungjawab harus melakukan koordinasi
dengan teknisi listrik untuk dilakukan back up tenaga listrik.
Sebagai pelengkap untuk SOP Ruang Data Center poin 2.4, berikut adalah alur
bagaimana untuk pihak yang berkepentingan dari luar dapat mengunjungi Ruang
Data Center.
212
Gambar 4. 12 Rancangan Rekomendasi Alur Kunjungan Data Center
213
4.5.4 Implikasi
Pada tahap ini peneliti akan menjelaskan implikasi terhadap penelitian ini,
adapun beberapa penjabaran sebagai berikut :
1. Implikasi dari hasil penelitian ini diharapkan Pusat Jaringan Komunikasi
BMKG dapat menjadikan usulan yang dirancang oleh peneliti sebagai
pertimbangan dalam penerapan manajemen insiden dan manajemen kontrol hak
akses, karena peneliti merancang berdasarkan acuan framework ISO 27002
yang berhubungan dengan penerapan framework sebelumnya yaitu ISO 27001
dan juga diharapkan dapat membantu mengatasi permasalahan yang saat ini
tengah dialami oleh Pusat Jaringan Komunikasi BMKG.
2. Implikasi selanjutnya adalah diharapkan penelitian ini dapat dijadikan referensi
peneliti-peneliti selanjutnya yang ingin mengevaluasi tata kelola keamanan
informasi menggunakan framework COBIT 5 dan ISO 27002.
3. Implikasi yang terakhir adalah diharapkan Pusat Jaringan Komunikasi juga
dapat menjadikan usulan perancangan ini sebagai tindakan preventif atau
tindakan pencegahan terhadap resiko kebocoran data dan mengurangi kejadian
yang sama terulang berkali-kali.
Dari ketiga poin diatas tentang implikasi penelitian ini, dapat ditarik kesimpulan
bahwa peneliti mengharapkan agar usulan perancangan yang dilakukan peneliti
dapat menjadi pertimbangan penerapan tata kelola TI dan diharapkan hasil dari
penelitian ini dapat membantu tindakan preventif yang diambil sebagai salah satu
tindakan pencegahan bocornya data Pusat Jaringan Komunikasi.
214
4.5.5 Perbandingan Penelitian Terdahulu
Berdasarkan penelitian terdahulu yang dilakukan oleh peneliti (Sheikhpour,
2016), peneliti (Gupta et al., 2013), dan peneliti (Iso et al., 2014), para peneliti
tersebut menggunakan COBIT 4 dan ISO 27002:2005 untuk mengevaluasi tata
kelola keamanan perusahaan dengan memetakan domain masing-masing
framework dan menghasilkan sebuah rekomendasi usulan berupa perancangan yang
diperlukan masing-masing peneliti. Pada penelitian (Gupta et al., 2013), penelitian
menambahkan framework keamanan DSCI untuk digabungkan dengan ISO / IEC
27002: 2005 dan COBIT 4.1. peneliti Gupta memberikan gambaran bahwa jika
kerangka kerja keamanan DSCI diikuti maka akan diketahui sejauh mana standar
lain dapat dicapai dan ini membantu meminimalkan biaya dan menghemat waktu.
Perbedaan dengan penelitian ini yaitu peneliti menggunakan framework COBIT
dan ISO 27002 terbaru yaitu COBIT 5 dan ISO 27002:2013 yang lebih lengkap dan
lebih baik. Serta lebih fleksibel dan sesuai dengan kebutuhan organisasi dimasa
sekarang.
Kemudian berdasarkan penelitian terdahulu yang dilakukan oleh peneliti
(Nastase Pavel, 2009), peneliti (Selo Adipta, 2016), dan peneliti (Sudhista, 2015),
para peneliti tersebut menggunakan framework COBIT, ISO dan ITIL dalam
melakukan evaluasi tata kelola TI, pada penelitian (Nastase Pavel, 2009) dengan
(Selo Adipta, 2016), dan (Sudhista, 2015), penelitian (Nastase Pavel, 2009)
menggunakan COBIT 4 dan hanya menghasilkan identifikasi penggunaan standar
dan praktik terbaik TI serta prioritas proses-proses sesuai dengan rencana aksi dan
merencanakan langkah-langkah pendekatan implementasi sedangkan penelitian
215
(Selo Adipta, 2016), dan (Sudhista, 2015) sudah menggunakan framework COBIT
terbaru yaitu COBIT 5 namun hanya menghasilkan penjelasan perbedaan dan
persamaan yang terdapat pada model framework COBIT, ITIL, dan ISO/IEC 27002
yang diintergrasikan. Sedangkan perbedaan dengan penelitian ini adalah, peneliti
sama-sama sudah menggunakan framework COBIT dan ISO 27002 terbaru namun
pada penelitian ini peneliti sudah menerapkan pemetaan dan juga sudah melakukan
evaluasi penghitungan Capability Level sesuai domain yang relevan hingga
mendapatkan hasil berupa perancangan usulan untuk rekomendasi perbaikan
menggunakan ISO 27002.
4.5.6 Limited Of Study
Pada tahap ini peneliti akan menjelaskan tentang keterbatasan yang dialami
dalam penelitian Evaluasi Tata Kelola Keamanan Teknologi Informasi pada Pusat
Jaringan Komunikasi. Berikut adalah beberapa perinciannya :
1. Dalam penelitian ini peneliti mengalami keterbatasan pada ruang lingkup dan
waktu penelitian, peneliti tidak memiliki cukup waktu untuk memaksimalkan
pemahaman terhadap pembuatan alur dan SOP, peneliti hanya memastikan
pemahaman terhadap COBIT 5 dan ISO 27002 terutama terkait keamanan
kontrol hak akses dan manajemen insiden. Peneliti melakukan perancangan dan
pembuatan SOP berdasarkan jurnal terkait yang menjadi literatur peneliti dalam
melakukan penelitian.
2. Keterbatasan yang dialami peneliti selanjutnya adalah peneliti hanya
menggunakan framework COBIT 5 untuk tahapan penentuan Goal Cascade dan
penghitungan Capability Level serta hanya berfokus pada 3 domain terpilih dari
216
5 domain terkait yaitu APO12 (Manage Risk), APO13 (Manage Security), dan
DSS05 (Manage Security Services). Selanjutnya peneliti hanya berfokus
menggunakan ISO 27002 sebagai acuan perancangan usulan dengan beberapa
kontrol terkait yang sudah dipilih berdasarkan rekomendasi yang telah
ditetapkan.
3. Keterbatasan selanjutnya adalah pada perancangan usulan, peneliti hanya
berfokus menggunakan framework ISO 27002 sebagai acuan karena framework
tersebut mencakup segala sesuatu yang berhubungan dengan teknis penerapan
keamanan tata kelola terutama kontrol akses, sedangkan kurang dalam
membahas manajemen insiden. Framework yang membahas secara mendalam
tentang resiko dan insiden adalah ISO 31000 yang diharapkan dapat diterapkan
oleh peneliti selanjutnya.
Dari ketiga poin diatas tentang keterbatasan yang peneliti alami dalam penelitian
ini, kesimpulannya adalah peneliti mengalami keterbatasan terhadap pemahaman
tentang perancangan manajemen insiden dan SOP terkait rekomendasi, serta
peneliti hanya berfokus pada 2 framework yang dibutuhkan untuk penelitian ini
yaitu COBIT 5 dan ISO 27002.
Inti dan rangkuman dalam penelitian evaluasi tata kelola keamanan
teknologi informasi ini adalah peneliti melakukan pengumpulan data sesuai
kebutuhan dan menggunakan 2 framework yaitu COBIT 5 dan ISO 27002. Dengan
menggunakan metode penerapan COBIT Lifecycle, peneliti berharap sudah
maksimal dalam melakukan proses evaluasi tata kelola keamanan teknologi
informasi, dan rekomendasi yang diusulkan ini dapat diterapkan di Pusat Jaringan
217
Komunikasi BMKG untuk mendukung tindakan preventif yang saat ini sedang
dilakukan. Penelitian ini menghasilkan usulan perancangan yang bisa membantu
Pusat Jaringan Komunikasi dalam mengelola Hak Akses dan Manajemen Insiden
sehingga dapat meminimalisir kejadian berupa kebocoran data ataupun terjadinya
insiden yang berulang-ulang. Hal ini tentunya juga dapat membantu dalam
memaksimalkan keamanan terhadap Data Center Pusat Jaringan Komunikasi
BMKG. Namun untuk membahas lebih dalam terkait manajemen insiden dan
manajemen resiko, ataupun terkait keamanan informasi yang lebih baik. Peneliti
dapat melakukan evaluasi tata kelola keamanan teknologi informasi dengan
menggunakan COBIT, ISO dan ITIL, terutama ISO 31000 yang menjelaskan lebih
mendalam tentang penerapan manajemen resiko dan insiden.
218
BAB V
PENUTUP
5.1 Kesimpulan
Berdasarkan hasil analisis yang telah diuraikan pada pembahasan
sebelumnya, berikut adalah simpulan yang dapat peneliti berikan dalam bab ini.
1. Hasil nilai rata-rata keseluruhan Capability Level Pusat Jaringan Komunikasi
BMKG saat ini pada domain APO12 (Manage Risk), APO13 (Manage
Security), dan DSS05 (Manage Security Services) adalah 2.22, dan berada pada
tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa Pusat
Jaringan Komunikasi BMKG telah mengimplementasikannya dengan
pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap work
products telah ditetapkan, dikontrol dan dipelihara, namun harus dipastikan
bahwa performa proses yang berjalan telah mendukung pencapaian tujuan Pusat
Jaringan Komunikasi BMKG, adanya sistem layanan TI yang masih bermasalah
akan dilakukan proses perbaikan untuk menghasilkan layanan TI yang baik
ketika para stakeholder menggunakannya dengan batasan untuk mencapai
tujuan yang diharapkan.
2. Hasil dari penelitian ini menunjukan capability level pada Proses APO12
(Manage Risk), APO13 (Manage Security), DSS05 (Manage Security Services)
di Pusat Jaringan Komunikasi saat ini berada pada level 2 (managed process)
dengan tingkat kapabilitas yang diharapkan berada di level 3 (established
process) dengan masing-masing gap sebesar 1,13, 1,10 dan 0,97. Pusat Jaringan
219
Komunikasi diharuskan untuk melengkapi Evidence atau dokumen-dokumen
terkait untuk dapat naik ke level 3.
3. Penelitian ini memberikan rekomendasi terkait keamanan TI berdasarkan
domain APO12, APO13 dan DSS05 pada framework COBIT 5.
4. Penelitian ini menghasilkan usulan perancangan pengelolaan manajemen
keamanan yang dibutuhkan berdasarkan dengan ISO 27002 yaitu Panduan
Implementasi Manajemen Insiden, Rancangan Pengelolaan Hak Akses,
SOP Ruang Data Center yang bisa digunakan sebagai acuan penerapan
ataupun pembuatan dokumen terkait.
5.2 Saran
Berdasarkan simpulan yang dijelaskan di atas, pada bab ini peneliti
memberikan saran yang dapat menjadi pertimbangan maupun bahan evaluasi bagi
Pusat Jaringan Komunikasi yakni sebagai berikut:
1. Pusat Jaringan Komunikasi disarankan untuk lebih serius memperhatikan dalam
mengelola masalah, pendokumentasian resiko dan insiden khususnya terkait
hak akses data maupun infrastruktur yang dapat menyebabkan kerugian.
2. Pusat Jaringan Komunikasi dianjurkan untuk membuat dokumentasi setelah
melaksanakan kegiatan yang berhubungan dengan data penting ataupun
infrastuktur, dokumentasi ini sangat berguna sebagai bahan evaluasi keamanan
dimasa yang akan datang.
3. Pusat Jaringan Komunikasi diharapkan dapat mempertimbangkan untuk
melakukan penerapan usulan dari rekomendasi proses yang diajukan peneliti.
220
4. Bagi peneliti selanjutnya yang melakukan evaluasi tata kelola keamanan
teknologi informasi di Pusat Jaringan Komunikasi BMKG dapat memilih
domain proses yang berbeda dalam COBIT 5 dan ISO 27002, menambahkan
ISO 31000 yang membahas terperinci mengenai manajemen resiko dan insiden
atau menggunakan framework lain seperti ITIL dan menggunakan skala yang
berbeda seperti Guttman.
221
DAFTAR PUSTAKA
Afandi, H. A. D. (2015). Audit Kemanan Informasi Menggunakan Iso 27002 Pada
Data Center Pt.Gigipatra Multimedia. Jurnal TIM Darmajaya, 01(02), 175–
191. Retrieved from
http://www.scirp.org/journal/PaperDownload.aspx?DOI=10.4236/jis.2013.
42011
Ariyani, D. N. W. S. (2013). Audit Teknologi Informasi dengan Kerangka Kerja
ISO 27002 dan COBIT 5 (Studi Kasus: Badan Kepegawaian daerah
Kabupaten Gianyar). 84, 487–492. Retrieved from
http://ir.obihiro.ac.jp/dspace/handle/10322/3933
Gupta, W., Dwivedi, S., & Chaurasiya, V. K. (2013). Available Online at
www.jgrcs.info MAPPING OF DATA SECURITY COUNCIL OF INDIA
SECURITY FRAMEWORK. 4(4), 147–154.
Humphreys, E. (2008). Information security management standards: Compliance,
governance and risk management. Information Security Technical Report,
13(4), 247–255. https://doi.org/10.1016/j.istr.2008.10.010
Iso, C. D. A. N., R, L. F., Setiawan, B., A, A. P., Informasi, J. S., Informasi, F. T.,
… Indonesia, S. (2014). Oajis_21_1379. (September).
John Walhoff. (2005). Combining COBIT, ISO/IEC 27002 and ITIL V3.
Komunikasi, P. J., Meteorologi, B., & Dan, K. (2015). ( IT SECURITY ).
Meteorologi, K. B., & Geofisika, D. A. N. (2009). PERKA BMKG.
Mughoffar, F., Ali, A. H. N., & Herdiyanti, A. (2013). Penyusunan template tata
kelola keamanan informasi berbasis iso/iec 27001:2005 dan patuh terhadap
cobit 5 management processes apo13 manage security. JURNAL TEKNIK
POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print), 2(1), 1–
6.
Nastase Pavel, N. F. (2009). Challenges Generated by the implemention of the it
standards COBIT, ITIL.
Putra, S. J. (2019). The process capability model for governance of the Election
Organizer Ethics Court system. 3(2), 93–98.
https://doi.org/10.15575/join.v3i2.266
Sheikhpour, R. (2016). An approach to map COBIT processes to ISO / IEC 27001
information security management controls An Approach to Map COBIT
Processes to ISO / IEC 27001 Information Security Management Controls.
(January 2012). Retrieved from
https://www.scopus.com/inward/record.uri?eid=2-s2.0-
84864750300&partnerID=40&md5=08047bea7ac58f09344cf97a19d7ed6
222
0
Sudhista. (2015). Evaluasi dan Rekomendasi Perbaikan Layanan InfrastrukturTI di
PT. FINNET INDONESIA Berdasarkan COBIT 5, ITIL 2011 dan ISO/IEC
15504.
The Ministry of Communication and Information Technology of the Republic of
Indonesia. (2017). Ministerial Regulation No.
41/PER/M.KOMINFO/11/2007 on the General Guidelines for National
Information and Communications Technology Governance.
Adikara, F. (2013). Implementasi Tata Kelola Teknologi Informasi Perguruan
Tinggi Berdasarkan COBIT 5 Pada Laboratorium Rekayasa Perangkat
Lunak Universitas Esa Unggul. Seminar Nasional Sistem Informasi
Indonesia, 2-4.
Arikunto, S. (2013). Manajemen Penelitian. Jakarta: Rineka Cipta.
Budiarta, I. S. (2016). Information System Development using Cobit 5 Framework.
international journal of engineering and emerging technology, 5.
Budiman, A. R. (2014). Kapita Selekta Kuesioner. Jakarta: Salemba Medika.
Ciptaningrum, D., Nugroho, E., & Adhipta, D. (2015). Audit Keamanan Sistem
Informasi Pada Kantor Pemerintah Kota Yogyakarta Menggunakan
COBIT 5. Seminar Nasional Teknologi Informasi dan Komunikasi.
Fauziah. (2010). Pengantar Teknologi Informasi. Bandung: CV Muara Indah.
Fitroh, Siregar, S., & Rustamaji, E. (2017). Determining Evaluated Domain
Process through Problem Identification using COBIT 5 Framework. 5th
International Conference on Cyber and IT Service Management (CITSM),
1-6.
Guritno, S. (2011). Theory and Application of IT Research: Metodologi Penelitian
Teknologi Informasi. Yogyakarta: Andi.
Hartono, J., & Abdillah, W. (2011). Sistem Tata Kelola Teknologi Informasi.
Yogyakarta: ANDI.
Hidayat, R. M. (2016). Usulan Tata Kelola Teknologi Informasi Berdasarkan
COBIT 5 Pada PT Bumi Technology Pratama (Fokus APO10, BAI04, dan
DSS03). Jakarta: UIN Syarif Hidayatullah.
Indonesia, P. R. (1970). Undang-Undang Nomor 1 tahun 1970. Keselamatan
Kerja.
Indrajit, R. (2014). Manajemen Organisasi dan Tata Kelola Teknologi Informasi.
Yogyakarta: Graha Ilmu.
223
SO I BSI (2013). Standards Publication Information technology - Security
techniques - Code of practice for information security control, UK.
ISACA. (2012). COBIT 5 Enabling Process. IT Governance Institute.
ITGI. (2007). IT Governance Implementation Guide 2nd. IT Governance Institute.
Jogiyanto, H., & Abdillah, W. (2014). Sistem Tatakelola Teknologi Informasi.
Yogyakarta: ANDI.
Laudon, K. C., & Jane , P. L. (2014). Management Information Systems:
Managing the Digital Firm, Thirteenth Edition. Pearson Education: United
States Of America.
Laudon, Kenneth, C., & Jane , P. L. (2014). Management Information Systems:
Managing the Digital Firm, Thirteenth Edition. Pearson Educated: United
States of America.
Magdalena, L. (2011). Analisis Problem Management pada IT Helpdesk dengan
inplementasi ITSM dan SLA (Studi Kasus: Citigrup Indonesia). JURNAL
DIGIT. Vol. 1, No 2, 97-112.
Mardjiono, D. E. (2009). Analisis Pengaruh Kepemimpinan, Pemanfaatan TI dan
Implementasi Struktur Organisasi yang Terdesentralisasi Terhadap Kinerja
Organisasi. Tesis Universitas Padjajaran.
Meng-Lai Yin, P. D. (2007). The Importance of Maintenance Planning - A Case
Study. IEEE, 484.
Neuman, W. L. (2013). Metodologi Penelitian Sosial: Pendekatan kualitatif dan
kuantitatif. Jakarta: PT. Indeks.
Nugroho, E. (2008). Sistem Informasi Manajemen: Konsep, Aplikasi dan
Perkembangan. Yogyakarta: ANDI.
Nugroho, H. (2014). Conceptual Model Of IT Governance For Higher Education
Based on COBIT 5 Framework. Journal od Theoritical and Applied
Information Technology.
Pearlson, K., & Saunders, C. (2004). Managing and Using Information Systems:
A Strategic Approach. 2nd Edition New Jersey: John Wiley and Sons.
Prasetya, F. (2014). Usulan Tata Kelola Teknologi Informasi Pada Rumah Sakit
Pusat Pertamina Menggunakan Framework COBIT 5 Fokus Pada Proses
Manage Innovation (APO04). Jakarta: UIN Syarif Hidayatullah Jakarta.
Rahmawati, D. (2016). Aplikasi Pendeteksi Fraud Pada Event Log Proses Bisnis
Pengadaan Barang dan Jasa Menggunakan Algoritma Heuristic Miner.
Jurusan Teknik Informatika, Xi.
224
Ramadhani, S. P., Herdiyanti, A., & Astuti, H. M. (2017). Pembuatan Perangkat
Audit Berbasis Risiko Berdasarkan COBIT 5 dan Service Standard Pada
Services Desk. Open Acces Journal of Information Systems, 57-70.
Sahbani, S. (2016). Evaluasi Tata Kelola Teknologi Informasi Berdasarkan
Framework COBIT 5 Pada Pusat Informasi dan Hubungan Masyarakat
Kementerian Agama RI (Fokus EDM03, APO01, MEA02). Jakarta: UIN
Syarif Hidayatullah.
Santoso, T. Y. (2017). Evaluasi Tata Kelola Teknologi Informasi Pada Badan
Informasi Geospasial (BIG) dengan Menggunakan Kerangka Kerja COBIT
5. Sistem Informasi Uin Syarif Hidayatullah Jakarta.
Subagyo, P. J. (2015). Metode Penelitian dalam Teori dan Praktik. Jakarta: Rineka
Cipta.
Surendro, K. (2009). Implementasi Tata Kelola Teknologi Informasi. Bandung.
Sutarman. (2009). Pengantar Teknologi Informasi. Jakarta: Bumi Aksara.
Tantra, R. (2012). Manajemen Proyek Sistem Informasi. Yogyakarta: ANDI.
Wibowo, S. A., Selo, & Adipta, D. (2016). Kombinasi Framework COBIT 5, ITIL
dan ISO 27002 Untuk Membangun Model Tata Kelola Teknologi
Informasi di Perguruan Tinggi. Seminar Nasional Teknologi Informasi dan
Komunikasi , 122-128.
Wulan, A. R. (2010). Pengertian dan Esensi Konsep Evaluasi, Asesmen, Tes dan
Pengukuran. FPMIPA Universitas Pendidikan Indonesia.
Sheikhpour, Razieh. (2016). An approach to map COBIT processes to ISO/IEC
27001 information security management controls. Yazd University, Iran.
Dr. Ir. Ni Wayan Sri Ariyani, MM. (2015). Audit Teknologi Informasi dengan
Kerangka Kerja ISO 27002 dan COBIT 5 (Studi Kasus: Badan
Kepegawaian Kabupaten Gianyar).
Gupta Watika, Dwivedi Shancita, Dr. Vijay Kumar Chaurasiya. (2013). MAPPING
OF DATA SECURITY COUNCIL OF INDIA SECURITY
FRAMEWORK WITH ISO/IEC 27002:2005 AND COBIT 4.1. India.
Mei Lenawati, Wing Wahyu, & Armadyah. (2017). Tata Kelola Keamanan
Informasi Pada PDAM Menggunakan ISO/IEC 27001:2013 Dan Cobit 5.
INB. (2013). ISO/IEC 27001 Information technology – Security techniques -
Information security management systems – Requirements. SWISS.
Faridl Mughoffar, Ir. Ahmad Holil Noor Ali, M.Kom, dan Anisah Herdiyanti,
S.Kom, M.Sc (2013). PENYUSUNAN TEMPLATE TATA KELOLA
KEAMANAN INFORMASI BERBASIS ISO/IEC 27001:2005 DAN
225
PATUH TERHADAP COBIT 5 MANAGEMENT PROCESSES APO13
MANAGE SECURITY.
226
LAMPIRAN – LAMPIRAN
227
Lampiran 1 Kuesioner Pra-Penelitian
228
229
230
Lampiran 2 Keterangan Level Kuisioner
PROCESS CAPABILITY LEVEL
Level 0 : Incomplete
process
: Pada level ini proses tidak diimplementasikan atau
gagal untuk mencapai tujuan dari proses. Ada
sedikit atau tidak ada bukti dari pencapaian
sistematis setiap tujuan proses.
Level 1 : Performed
process
: Pada tahap ini organisasi sudah
mengimplementasikan namun belum tercapainnya
ujuan.
Level 2 : Managed
process
: Proses pada level 1 diimplementasi ke dalam
sebuah pengaturan proses (direncanakan,
dimonitor, dan dievaluasi) dan produk kerja proses
tersebut dijalanlan, dikontrol, dan dikelola secara
tepat.
Level 3 : Established
process
: Proses pada level 2 diimplementasi menggunakan
proses yang terdefinisi dan mampu mencapai hasil
proses.
Level 4 : Predictable
process
: Proses pada level 3 dioperasikan dengan batasan-
batasan agar mampu meraih harapan dari proses
tersebut.
Level 5 : Optimizing
process
: Proses pada level 4 secara berkelanjutan
ditingkatkan untuk memenuhi tujuan bisnis
organisasi saat ini dan masa yang akan datang.
A : Proses tidak dilaksanakan atau gagal untuk mencapai tujuan.
B : Proses diimplementasikan tetapi belum mencapai tujuan.
C : Proses diimplementasikan tetapi masih direncanakan, dimonitor, dan
dievaluasi.
D : Proses telah diimplementasikan dan diharapkan mampu mencapai tujuan.
E : Proses dioperasikan dengan batasan-batasan dan mampu mencapai tujuan.
F : Proses ditingkatkan secara terus-menerus memenuhi tujuan bisnis
organisasi.
231
Lampiran 3 Kuisioner Penelitian I (Proses APO12)
KUESIONER 1
Analisa capability level pada proses APO12-Manage Risk (Mengelola Risiko)
Pusat Jaringan Komunikasi
Badan Meteorologi Klimatologi dan Geofisika
Kuesioner ini merupakan instrumen penelitian mahasiswa Program Studi Sistem
Informasi, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif
Hidayatullah Jakarta. Tujuan dari kuesioner ini adalah untuk memperoleh data dari
Badan Meteorologi Klimatologi dan Geofisika sebagai pihak yang terkait
khususnya pada bagian yang termasuk pada RACI COBIT 5 dalam APO12
(Manage Risk).
Kuesioner capability level ini dikembangkan untuk mengetahui tingkat kematangan
pada proses pengelolaan data baik untuk kondisi saat ini (as is), maupun untuk
kondisi yang diharapkan (to be), yang selanjutnya dapat dijadikan dasar yang cukup
untuk mengidentifikasi prioritas peningkatan (improvement).
Untuk mempermudah responden dalam menjawab, kuesioner ini didesain dalam
format pilihan ganda, yang terdiri dari beberapa pertanyaan. Pertanyaan-pertanyaan
tersebut dikelompokkan menurut atribut kematangan, dan pada setiap pertanyaan
memiliki 2 (dua) jawaban yang masing-masing mewakili kondisi terkini (as is) dan
kondisi yang diharapkan (to be). Masing-masing pertanyaan mempunyai 6 (enam)
pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut tertentu
pada proses pengelolaan konfigurasi. Pilihan tersebut terdiri dari a sampai f secara
berturut-turut yang merepresentasikan tingkat kematangan yang semakin
meningkat, yakni, a=0, b=1, c=2, d=3, e=4, dan f=5.
Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang
dianggap bisa mewakili kondisi kematangan baik yang mewakili kondisi saat ini
(as is) atau pun kondisi yang diharapkan (to be). Terkait dengan atribut kematangan
tertentu dalam proses pengelolaan data dengan memberikan tanda (√) pada tempat
yang tersedia. Dengan mengetahui posisi kematangan saat ini (as is) dan posisi yang
diharapkan (to be), selanjutnya akan dilakukan analisa yang diharapkan dapat
menjadi dasar dalam pendefinisian rancangan solusi untuk perbaikan dalam proses
pengelolaan konfigurasi.
Untuk kebutuhan di atas, diharapkan Bapak/Ibu sebagai responden untuk dapat
memberikan pilihan sebagai jawaban atas pertanyaan-pertanyaan yang diberikan
dalam kuesioner ini, untuk kemudian dapat diolah dalam penelitian ini.
232
Pengertian Proses:
APO12 adalah proses yang secara berkala menentukan, menilai, dan mengurangi
risiko penggunaan Teknologi Informasi (TI) agar tetap berada pada ambang batas
risiko penggunaan TI yang sudah ditetapkan oleh perusahaan.
Tujuan Proses:
1. Menggabungkan manajemen risiko penggunaan TI dengan Enterprise Risk
Management (ERM) secara keseluruhan.
2. Menyeimbangkan biaya dan keuntungan yang didapat dari risiko
penggunaan TI.
APO12.01 (Pengumpulan Data)
Menentukan dan mengumpulkan data yang relevan untuk mengefektifkan
identifikasi risiko terkait TI, analisis, dan pelaporan.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pengelolaan
sebuah metode untuk
pengumpulan,
penggolongan, dan
analisis data penggunaan
TI yang mencakup semua
kegiatan yang melibatkan
penggunaan TI.
Seperti apa tingkat
penyimpanan semua data,
baik dari lingkungan
internal atau pun eksternal
perusahaan yang dapat
memengaruhi manajemen
risiko TI.
Sejauh mana penelitian
terhadap semua rekam
jejak peristiwa yang terkait
risiko dan
kehilangan/pencurian data
Nama Responden
Jabatan Responden
233
dari berbagai sumber
dilakukan. (contohnya,
tren yang sedang
berkembang, database
perusahaan, dan insiden
pada industri yang sama
dengan perusahaan).
Seperti apa pengumpulan
dan penyimpanan semua
data yang terkait dengan
kegiatan/peristiwa yang
sudah/akan memengaruhi
penggunaan TI,
memengaruhi program TI,
memengaruhi
penyampaian suatu
proyek, dan penyampaian
pelayanan TI.
Seperti apa tingkat
pengelolaan data dan
penentuan faktor-faktor
penting pada
peristiwa/kegiatan
perusahaan.
Bagaimana penentuan
kondisi tertentu yang
ada/tidak ada saat terjadi
insiden/peristiwa suatu
risiko.
Bagaimana penentuan
kondisi yang ditemukan
pada aktivitas-aktivitas
yang memengaruhi
frekuensi
insiden/peristiwa risiko
tersebut, serta dampaknya
pada besarnya kerugian.
Sejauh mana tingkat
pelaksanaan analisis
secara berkala terhadap
faktor-faktor risiko untuk
mengetahui potensi
kemunculan risiko baru
dan memahami faktor-
faktor risiko
234
internal/eksternal yang
berhubungan.
APO12.02 (Analisis Risiko)
Memberikan informasi yang berguna untuk membantu proses pemilihan risiko yang
mempertimbangkan relevansi bisnis dari faktor-faktor risiko.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Seperti apa penetapaan
jangkauan wilayah dari
usaha-usaha analisis
risiko, dengan
mempertimbangkan faktor
dan aset bisnis yang
krusial serta keuntungan
finansialnya.
Bagaimana pembuatan
berbagai macam skenario
risiko TI (baik yang terjadi
berurutan atau secara tiba-
tiba).
Sejauh mana tingkat
penentuan cara untuk
menangani skenario-
skenario risiko TI
(tindakan-tindakan
tertentu, kemampuan, dan
penanganan terukur
lainnya).
Memperbarui secara rutin
skenario-skenario risiko
TI.
Memperkirakan frekuensi
dan besarnya
kerugian/keuntungan dari
skenario-skenario risiko TI
dengan
mempertimbangkan
semua faktor yang
memengaruhinya dan
risiko residual (risiko yang
tetap ada setelah
235
manajemen menerapkan
penanganan risiko).
Membandingkan risiko
residual terhadap ambang
batas risiko perusahaan.
Menentukan penanganan
risiko dari hasil
perbandingan risiko
residual dengan ambang
batas risiko perusahaan.
Melakukan analisis biaya
dari berbagai pilihan
penanganan risiko
(contohnya, menghindari,
mengurangi, mencegah,
memindahkan, dan
memanfaatkannya) agar
dapat melakukan
penanganan yang optimal.
Menentukan kebutuhan-
kebutuhan khusus pada
proyek atau program yang
akan menerapkan
penanganan risiko.
Menentukan kebutuhan
dan prediksi pada suatu
kegiatan khusus untuk
pencegahan risiko.
Mengesahkan hasil dari
analisis risiko yang sudah
diselaraskan dengan risiko
perusahaan- dan sudah
diteliti agar bebas dari
bias, sebelum
menggunakan analisis
risiko tersebut pada
pengambilan keputusan.
236
APO12.03 (Memelihara Profil Risiko)
Mengelola penyimpanan risiko-yang-sudah-diketahui dan atribut risiko (termasuk
perkiraan frekuensi, potensi dampaknya, dan penanganannya ) dan sumber-sumber
terkait, kapabilitas dan aktivitas-aktivitas pengendalian saat ini.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pengadaan
inventaris proses-proses
bisnis, personel
pendukung, aplikasi,
infrastruktur, fasilitas,
catatan manual kritis,
vendor, supplier dan
outsourcer, dan dokumen
yang terkait dengan
proses-proses manajemen
pelayanan dan sumber-
sumber infrastruktur TI.
Bagaimana penentuan
layanan-layanan TI dan
sumber infrastruktur TI
yang bisa menopang
operasi dari proses-proses
bisnis.
Sejauh mana pelaksanaan
analisis ketergantungan
dan kelemahan dari
layanan-layanan TI dan
sumber infrastruktur yang
menopang operasi proses
bisnis.
Bagaimana
pengelompokkan terkait
skenario risiko TI saat ini
berdasarkan kategori, lini
bisnis, dan area fungsinya.
Sejauh mana pengumpulan
secara rutin terkait semua
informasi profil risiko
dalam satu dokumen profil
risiko.
Sejauh mana penetapan
terkait suatu kumpulan
237
indikator risiko yang bisa
mengenali dengan cepat
serta mengawasi risiko
saat ini dan tren risiko
yang sedang berkembang,
berdasarkan semua data
dari profil risiko.
Sejauh mana pengumpulan
terkait informasi dari
peristiwa/insiden risiko TI
yang telah terjadi untuk
disertakan pada profil
risiko perusahaan.
Sejauh mana pengumpulan
terkait informasi status
rencana penanganan risiko
untuk disertakan pada
profil risiko perusahaan.
APO12.04 (Memperjelas Risiko)
Menyediakan informasi keadaan penggunaan TI saat ini dan peluang-peluang yang
bisa dimanfaatkan oleh para stakeholder untuk penanganan risiko yang tepat.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pelaporan
hasil analisis risiko kepada
semua stakeholder yang
terlibat, dalam bentuk
informasi yang berguna
untuk mendukung
pengambilan keputusan
perusahaan.
Pada pelaporan hasil
analisis risiko,
menyertakan
kemungkinan-
kemungkinan,
kerugian/keuntungan, dan
kemampuan perusahaan
agar manajemen dapat
menyeimbangkan antara
risiko dengan dampak
yang diberikannya.
238
Sejauh mana penyediaan
laporan tentang berbagai
macam kemungkinan
skenario risiko-bahkan
skenario terburuk, uji
kelayakan, pertimbangan
hukum dan peraturan yang
berlaku kepada para
pembuat keputusan.
Bagaimana pelaporan
profil risiko perusahaan
saat ini kepada semua
stakeholder (efektivitas
proses manajemen risiko,
efektivitas
pengendaliannya,
kesenjangan,
inkonsistensi,
ketergantungan, status
perbaikan, dan dampaknya
pada profil risiko)
Bagaimana peninjauan
ulang terkait hasil dari
penilaian aplikasi pihak
ketiga, audit internal, dan
penilaian quality
assurance (kualitas
layanan), kemudian
memetakannya pada profil
risiko.
Sejauh mana pemeriksaan
kesenjangan (gap) yang
sudah diidentifikasi pada
profil risiko, untuk
memastikan apa yang
dibutuhkan pada analisis
risiko tambahan.
Bagaimana melakukan
identifikasi peluang-
peluang pada risiko yang
saling berhubungan dan
dengan kapasitas risiko
yang sama, agar bisa
meningkatkan dampak
keuntungan yang
diberikan, secara berkala.
239
APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen Risiko )
Mengelola peluang-peluang untuk mengurangi risiko ke level yang bisa diterima
dalam bentuk portofolio.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pemeliharaan
penyimpanan dari
aktivitas-aktivitas
pengendalian, agar bisa
dikelola dengan baik dan
tetap sejalan dengan
ambang batas risiko yang
sudah ditetapkan
perusahaan.
Sejauh mana tingkat
pengelompokkan
aktivitas-aktivitas
pengendalian agar
semuanya bisa dipetakan
pada laporan dan
dokumentasi risiko TI.
Memastikan setiap
pengawasan risiko sudah
terorganisir dengan baik
dan berada pada ambang
batas yang sudah
ditentukan.
Menentukan proposal-
proposal proyek yang
dirancang untuk
mengurangi risiko
dan/atau proyek yang
menghasilkan peluang-
peluang strategis
perusahaan, yang
mempertimbangkan
biaya/keuntungan serta
dampak pada profil risiko
saat ini dan pada peraturan
yang berlaku.
240
APO12.06 (Respon Terhadap Risiko)
Melakukan penanganan tepat waktu sesuai dengan pengukuran-pengukuran yang
efektif untuk membatasi dampak kerugian dari peristiwa/kejadian insiden TI.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Mengelola rencana
pengetesan pada
penanganan yang akan
diambil ketika ada
peristiwa/insiden risiko
yang bisa berdampak
serius pada bisnis.
Memastikan rencana
pengetesan memiliki
mekanisme pengaturan,
terkait dampak/efeknya
pada setiap lini
perusahaan.
Mengelompokkan insiden-
insiden yang sudah terjadi,
dan membandingkan
dampak nyatanya dengan
ambang batas risiko.
Melaporkan dampak dari
insiden yang terjadi
kepada para pengambil
keputusan.
Memperbarui profil risiko
saat terjadi insiden.
Menerapkan rencana
penanganan yang
tepat/cocok untuk
meminimalkan dampak
risiko dari insiden yang
terjadi.
Meneliti kerugian yang
pernah terjadi dan peluang
bisnis yang hilang serta
menentukan akar
masalahnya.
Menginformasikan akar
permasalahan, apa yang
dibutuhkan jika ada
241
penanganan risiko-
tambahan, dan
peningkatan/perbaikan
pada suatu proses kepada
para pengambil keputusan.
Memastikan bahwa
penyebab, kebutuhan
untuk penanganan, dan
peningkatan/perbaikan
suatu proses dimasukkan
dalam proses-proses tata
kelola/pengambilan
keputusan terkait risiko.
242
Lampiran 4 Kuisioner Penelitian II (Proses APO13)
KUESIONER 2
Analisa capability level pada proses APO13-Manage Security (Mengelola
Keamanan)
Pusat Jaringan Komunikasi
Badan Meteorologi Klimatologi dan Geofisika
Kuesioner ini merupakan instrumen penelitian mahasiswa Program Studi Sistem
Informasi, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif
Hidayatullah Jakarta. Tujuan dari kuesioner ini adalah untuk memperoleh data dari
manajemen Gandengtangan.org sebagai pihak yang terkait khususnya pada bagian
yang termasuk pada RACI COBIT 5 dalam APO13-Manage Security.
Kuesioner capability level ini dikembangkan untuk mengetahui tingkat kematangan
pada proses pengelolaan data baik untuk kondisi saat ini (as is), maupun untuk
kondisi yang diharapkan (to be), yang selanjutnya dapat dijadikan dasar yang cukup
untuk mengidentifikasi prioritas peningkatan (improvement).
Untuk mempermudah responden dalam menjawab, kuesioner ini didesain dalam
format pilihan ganda, yang terdiri dari beberapa pertanyaan. Pertanyaan-pertanyaan
tersebut dikelompokkan menurut atribut kematangan, dan pada setiap pertanyaan
memiliki 2 (dua) jawaban yang masing-masing mewakili kondisi terkini (as is) dan
kondisi yang diharapkan (to be). Masing-masing pertanyaan mempunyai 6 (enam)
pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut tertentu
pada proses pengelolaan konfigurasi. Pilihan tersebut terdiri dari a sampai f secara
berturut-turut yang merepresentasikan tingkat kematangan yang semakin
meningkat, yakni, a=0, b=1, c=2, d=3, e=4, dan f=5.
Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang
dianggap bisa mewakili kondisi kematangan baik yang mewakili kondisi saat ini
(as is) atau pun yang kondisi yang diharapkan (to be). Terkait dengan atribut
kematangan tertentu dalam proses pengelolaan data dengan memberikan tanda (√)
pada tempat yang tersedia. Dengan mengetahui posisi kematangan saat ini (as is)
dan posisi yang diharapkan (to be), selanjutnya akan dilakukan analisa yang
diharapkan dapat menjadi dasar dalam pendefinisian rancangan solusi untuk
perbaikan dalam proses pengelolaan konfigurasi.
Untuk kebutuhan di atas, diharapkan Bapak/Ibu sebagai responden untuk dapat
memberikan pilihan sebagai jawaban atas pertanyaan-pertanyaan yang diberikan
dalam kuesioner ini, untuk kemudian dapat diolah dalam penelitian ini.
243
Pengertian Proses:
APO13 adalah proses yang mendefinisikan, menjalankan, dan mengawasi sebuah
sistem untuk manajemen keamanan informasi.
Tujuan Proses:
Menjaga dampak dan peristiwa dari insiden keamanan informasi berada pada
ambang batas risiko yang sudah ditetapkan oleh perusahaan.
APO13.01 (Membuat dan Memelihara Sistem Manajemen Keamanan Informasi)
Membuat dan memelihara sistem manajemen keamanan informasi (SMKI) yang
menyediakan standar, formal, dan pendekatan manajemen keamanan informasi
yang berkelanjutan, menyediakan teknologi yang aman dan proses-proses bisnis
yang selaras dengan kebutuhan bisnis dan manajemen keamanan perusahaan.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana penentuan
jangkauan dan batasan dari
Sistem Manajemen
Keamanan Informasi
(SMKI) sesuai dengan
aturan dan karakteristik
dari perusahaan,
organisasi, lokasi, aset,
dan teknologi dari
perusahaan.
Bagaimana penyertaan
detail dari tingkat dasar
pembenaran untuk setiap
pengecualian pada
jangkauan SMKI.
Sejauh mana pembuatan
SMKI yang berkoordinasi
dengan peraturan
perusahaan dan selaras
dengan perusahaan,
Nama Responden
Jabatan Responden
244
organisasi, lokasi, aset dan
tekonlogi dari perusahaan.
Bagaimana tingkat
penyelarasan SMKI
dengan semua pendekatan
perusahaan pada
manajemen keamanan.
Sejauh mana tingkat
kewenangan pihak yang
mengelola SMKI untuk
menerapkan dan
menjalankan atau
mengubah SMKI.
Sejauh mana persiapan
dan pemeliharaan sebuah
laporan/dokumen
penerapan, yang
menjelaskan jangkauan
dari SMKI.
Sejauh mana penentuan
dan penginformasian
peran dan tanggung jawab
dari manajemen keamanan
informasi.
Sejauh mana komunikasi
pendekatan/peraturan
SMKI pada setiap lini
perusahaan.
APO13.02 (Menentukan dan Mengatur Rencana Penanganan Risiko Keamanan
Informasi)
Mengelola perencanaan keamanan informasi yang menjelaskan bagaimana risiko
keamanan informasi harus dikelola dan selaras dengan strategi dan infrastruktur
perusahaan. Memastikan bahwa rekomendasi untuk menerapkan peningkatan
keamanan berdasarkan kasus bisnis yang sudah disetujui dan diterapkan sebagai
bagian dari pengembangan pelayanan dan solusi, kemudian dijalankan sebagai
bagian dari operasi bisnis.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana perumusan
dan pemeliharaan terkait
rencana penanganan risiko
245
keamanan informasi yang
selaras dengan tujuan
strategis dan arsitektur
perusahaan.
Bagaimana memastikan
rencana terkait
penanganan risiko
keamanan informasi dapat
menentukan solusi
keamanan yang cocok dan
optimal, sesuai dengan
sumber daya yang ada,
pertanggungjawaban dan
mengutamakan
pengelolaan risiko
keamanan informasi yang
sudah ditentukan.
Sejauh mana pemeliharaan
(sebagai bagian dari
arsitektur perusahaan)
penyimpanan dari bagian-
bagian solusi yang
bertujuan untuk mengelola
risiko keamanan terkait.
Bagaimana usul/proposal
untuk menerapkan rencana
penanganan risiko
keamanan informasi, yang
didukung dengan kasus
bisnis yang sesuai,
pertimbangan pendanaan,
dan alokasi dari peran dan
pertanggungjawaban.
Bagaimana penyediaan
mekanisme untuk
memberi masukan kepada
perancangan dan
pengembangan praktik-
praktik manajemen dan
solusi-solusi terpilih dari
rencana penanganan risiko
keamanan.
Sejauh mana penentuan
pengukuran efektivitas
dari praktik-praktik
manajemen terpilih dan
246
menentukan bagaimana
pengukuran ini digunakan
untuk menilai efektivitas
praktik dan hasil
pengulangannya (praktik
yang dilakukan terus-
menerus).
Bagaimana rekomendasi
pelatihan keamanan
informasi dan program-
program yang melatih
kesadaran keamanan
informasi.
Bagaimana
mengintegrasikan
perencanaan,
perancangan, penerapan
dan pengawasan dari
prosedur keamanan
informasi dan pengaturan
lainnya yang mampu
untuk menyediakan
pencegahan secara cepat,
deteksi dari peristiwa
keamanan- dan
penanganan terhadap
insiden-insiden keamanan.
APO13.03 (Mengawasi dan Meninjau Sistem Manajemen Keamanan Informasi
(SMKI))
Mengelola dan secara berkala mengomunikasikan kebutuhan dan keuntungan dari
peningkatan/perbaikan keamanan informasi yang berkelanjutan. Mengumpulkan
dan menganalisis data mengenai SMKI, dan meningkatkan efektivitas dari SMKI.
Mengampanyekan budaya keamanan dan peningkatannya secara berkelanjutan.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Bagaimana dalam
melakukan penilaian
efektivitas dari SMKI
termasuk menyelaraskan
peraturan-peraturan SMKI
dengan tujuan-tujuannya,
247
dan memeriksa kegiatan-
kegiatan keamanan.
Bagaimana dalam
mempertimbangkan hasil
dari audit keamanan,
insiden, dan hasil dari
pengukuran efektivitas,
saran dan umpan balik dari
semua pihak-pihak yang
berkepentingan.
Sejauh mana pengadaan
terkait audit internal SMKI
yang sudah dijadwalkan
pada interval waktu
tertentu.
Bagaimana melakukan
peninjauan manajemen
SMKI secara berkala
untuk memastikan bahwa
jangkauannya tetap
memadai dan peningkatan
pada proses-proses SMKI
sudah diidentifikasi.
Bagaimana penyediaan
masukan pada
maintenance dari rencana-
rencana keamanan, yang
mempertimbangkan
temuan-temuan dari
aktivitas pengawasan dan
pemeriksaan.
Bagaimana melakukan
pencatatan dari
kegiatan/tindakan dan
peristiwa yang dapat
berdampak pada
efektivitas atau kinerja dari
SMKI.
248
Lampiran 5 Kuisioner Penelitian III (Proses DSS05)
KUESIONER 3
Analisa capability level pada proses DSS05-Manage Security Services
(Mengelola Keamanan Layanan)
Pusat Jaringan Komunikasi
Badan Meteorologi Klimatologi dan Geofisika
Kuesioner ini merupakan instrumen penelitian mahasiswa Program Studi Sistem
Informasi, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif
Hidayatullah Jakarta. Tujuan dari kuesioner ini adalah untuk memperoleh data dari
manajemen Gandengtangan.org sebagai pihak yang terkait khususnya pada bagian
yang termasuk pada RACI COBIT 5 dalam DSS05-Manage Security Services.
Kuesioner capability level ini dikembangkan untuk mengetahui tingkat kematangan
pada proses pengelolaan data baik untuk kondisi saat ini (as is), maupun untuk
kondisi yang diharapkan (to be), yang selanjutnya dapat dijadikan dasar yang cukup
untuk mengidentifikasi prioritas peningkatan (improvement).
Untuk mempermudah responden dalam menjawab, kuesioner ini didesain dalam
format pilihan ganda, yang terdiri dari beberapa pertanyaan. Pertanyaan-pertanyaan
tersebut dikelompokkan menurut atribut kematangan, dan pada setiap pertanyaan
memiliki 2 (dua) jawaban yang masing-masing mewakili kondisi terkini (as is) dan
kondisi yang diharapkan (to be). Masing-masing pertanyaan mempunyai 6 (enam)
pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut tertentu
pada proses pengelolaan konfigurasi. Pilihan tersebut terdiri dari a sampai f secara
berturut-turut yang merepresentasikan tingkat kematangan yang semakin
meningkat, yakni, a=0, b=1, c=2, d=3, e=4, dan f=5.
Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang
dianggap bisa mewakili kondisi kematangan baik yang mewakili kondisi saat ini
(as is) atau pun yang kondisi yang diharapkan (to be). Terkait dengan atribut
kematangan tertentu dalam proses pengelolaan data dengan memberikan tanda (√)
pada tempat yang tersedia. Dengan mengetahui posisi kematangan saat ini (as is)
dan posisi yang diharapkan (to be), selanjutnya akan dilakukan analisa yang
diharapkan dapat menjadi dasar dalam pendefinisian rancangan solusi untuk
perbaikan dalam proses pengelolaan konfigurasi.
Untuk kebutuhan di atas, diharapkan Bapak/Ibu sebagai responden untuk dapat
memberikan pilihan sebagai jawaban atas pertanyaan-pertanyaan yang diberikan
dalam kuesioner ini, untuk kemudian dapat diolah dalam penelitian ini.
Nama Responden
249
Pengertian Proses:
DSS05 adalah proses yang bertujuan untuk melindungi informasi perusahaan dan
menjaga agar level dari ambang batas risiko pada perusahaan selaras dengan
peraturan keamanan yang ada. Serta membuat dan mengelola peran keamanan
informasi dan hak akses dan melakukan pengawasan keamanan.
Tujuan Proses:
Meminimalkan dampak dari celah/kelemahan dan insiden keamanan informasi
pada bisnis.
DSS05.01 (Melindungi dari Malware)
Menerapkan dan mengelola pencegahan, penyelidikan dan perbaikan terukur pada
(Terutama melakukan pembaruan terkini pada patch keamanan dan pengendalian
virus) seluruh lini perusahaan untuk melindungi sistem informasi dan teknologi dari
malware (seperti, virus, worm, spyware, dan spam).
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pemberian
informasi mengenai
kesadaran terhadap
malicious software.
Bagaimana dalam
melakukan prosedur-
prosedur pencegahan
malware dan pihak-pihak
yang bertanggung jawab.
Bagaimana dalam
melakukan pemasangan
dan mengaktifkan tool-
tool perlindungan dari
malware pada semua
fasilitas pemrosesan,
dengan informasi
mengenai malware yang
terus diperbarui (secara
otomatis atau semi
otomatis).
Sejauh mana
pendistribusian terkait
software keamanan secara
Jabatan Responden
250
terpusat (versi dan patch-
nya) dengan menggunakan
pengaturan terpusat dan
manajemen perubahan.
Bagaimana dalam
melakukan penilaian dan
evaluasi terkait potensi
ancaman baru (contohnya,
meninjau ulang produk-
produk dari vendor dan
konsultan pelayanan
keamanan)
Sejauh mana terkait
penyaringan data yang
masuk, seperti email dan
downloads, untuk
melindungi dari informasi
yang tidak diinginkan
(seperti, spyware, phising
emails)
Sejauh mana pelatihan
secara rutin tentang
malware pada penggunaan
email dan penggunaan
internet.
Bagaimana melatih para
pengguna (karyawan)
untuk tidak melakukan
instalasi software yang
tidak dikenal atau software
yang tidak diizinkan oleh
perusahaan.
DSS05.02 (Mengelola Jaringan dan Konektivitas Keamanan)
Menggunakan pengukuran-pengukuran keamanan dan prosedur-prosedur
manajemen terkait untuk melindungi informasi pada semua metode konektivitas.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pengelolaan
peraturan terkait
keamanan konektivitas
dengan
mempertimbangkan
251
penilaian risiko dan
kebutuhan bisnis.
Sejauh mana perizinan
terkait perangkat yang
sudah diotorisasi
perusahaan untuk
mengakses informasi dan
jaringan perusahaan.
Bagaimana memastikan
perangkat yang dipakai
dalam perusahaan
dilindungi dengan
password untuk
menggunakannya.
Bagaimana penggunaan
mekanisme filter jaringan,
seperti firewall dan
software pendeteksi
gangguan, dengan
menerapkan peraturan
yang mengatur data yang
masuk dan keluar dari
perusahaan.
Bagaimana melakukan
enkripsi informasi pada
saat transfer atau
pengiriman informasi
sesuai dengan tingkat
kerahasiaannya.
Sejauh mana penerapan
protokol keamanan yang
sudah disetujui oleh
perusahaan pada
konektivitas jaringan.
Bagaimana pengaturan
konfigurasi jaringan
terkait penerapan standar
keamanan tertentu.
Bagaimana pembuatan
mekanisme khusus untuk
mendukung keamanan
pengiriman dan
penerimaan informasi.
Bagaimana melakukan
pengetesan secara berkala
terkait penetrasi untuk
252
memastikan perlindungan
keamanan pada jaringan
perusahaan.
Bagaimana melakukan
pengetesan secara berkala
pada sistem keamanan
untuk memastikan
perlindungan keamanan
pada sistem kemanan
perusahaan berjalan
dengan baik.
DSS05.03 (Mengelola Keamanan Perangkat)
Memastikan setiap perangkat ( contohnya, laptop, dekstop, server, dan perangkat
mobile lainnya dan perangkat jaringan atau software) sudah aman (terlindungi)
sesuai dengan persyaratan keamanan pada pemrosesan, penyimpanan atau
pengiriman informasi.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Bagaimana memastikan
sistem operasi yang
dipakai sudah mengikuti
standar keamanan tertentu
(contohnya, sudah
memakai antivirus dan di-
update secara berkala).
.
Sejauh mana penerapan
mekanisme penguncian
(perlindungan akses)
perangkat.
Bagaimana melakukan
enkripsi informasi pada
tempat penyimpanan
informasi sesuai dengan
tingkat kerahasiaannya.
Bagaimana pengaturan
akses dan pengendalian
jarak jauh (remote access)
pada perangkat
perusahaan.
Sejauh mana pengelolaan
terkait konfigurasi
253
jaringan sesuai dengan
standar keamanan tertentu.
Bagaimana penerapan
penyaringan (filtering)
jaringan internet pada
semua perangkat yang
digunakan.
Bagaimana memastikan
semua perangkat yang
dibutuhkan untuk
menjalankan sistem
operasi (hardware,
software, dan data) sudah
terlindungi dengan baik
agar bisa digunakan dalam
setiap kondisi.
Bagaimana penyediaan
perlindungan fisik pada
setiap perangkat yang
digunakan (contohnya,
perlindungan dari
pencurian dan bencana
alam).
Bagaimana memastikan
perangkat perusahaan
yang akan dijual atau tidak
akan digunakan lagi sudah
tidak lagi menyimpan
informasi atau akses
penting perusahaan.
DSS05.04 (Mengelola Identitas Pengguna dan Akses Jarak Jauh Perangkat)
Memastikan setiap pengguna mempunyai hak akses untuk informasi yang mereka
butuhkan terkait kebutuhan bisnis mereka dan melakukan koordinasi dengan unit
bisnis yang mengelola hak akses mereka sendiri dalam proses bisnis.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Bagaimana pengelolaan
terkait hak akses pengguna
berdasarkan fungsi bisnis
dan kebutuhan proses.
.
Bagaimana menyelaraskan
manajemen dari identitas
254
dan hak akses untuk
mengetahui peran dan
tanggung jawabnya,
berdasarkan prinsip-
prinsip hak akses paling
kecil, kebutuhan untuk hak
akses, dan kebutuhan
untuk mengetahui
informasi.
Bagaimana pemberian
nama unik/khusus untuk
setiap aktivitas
pemrosesan informasi
berdasarkan peran-peran
fungsinya.
Bagaimana melakukan
koordinasi dengan unit-
unit bisnis untuk
memastikan bahwa semua
peran sudah diketahui
dengan jelas, termasuk
peran yang menjelaskan
bisnis itu sendiri damal
aplikasi-aplikasi proses
bisnis.
Bagaimana memberikan
hak akses terhadap
informasi perusahaan
sesuai dengan hak akses
pengguna, dengan terlebih
dahulu berkoordinasipada
unit bisnis yang mangatur
hak penggunaan aplikasi
pada proses bisnis, untuk
memastikan hak akses
sudah diberikan secara
benar.
Sejauh mana pengelolaan
semua perubahan pada hak
akses (pembuatan,
perubahan, dan
penghapusan).
Sejauh mana pemisahan
dan pengaturan akun untuk
hak akses istimewa
(khusus).
255
Bagaimana melakukan
peninjauan ulang secara
berkala terkait manajemen
pada semua akun hak
akses dan akun hak akses
istimewa (khusus) terkait.
Bagaimana memastikan
semua pengguna (internal,
eksternal, dan sementara)
dan semua aktivitas
mereka pada sistem TI
(aplikasi bisnis,
infrsstruktur TI, sistem
operasi, pengembangan,
dan maintenance)
Diberikan identitas yang
unik (berbeda-beda satu
sama lain).
Bagaimana proses
pemberian ID (identitas)
pada semua aktivitas
pemrosesan informasi oleh
pengguna secara unik
(berbeda-beda satu sama
lain)
Sejauh mana pengelolaan
terkait rekam jejak
terhadap pengaksesan
informasi perusahaan yang
bersifat rahasia dan sangat
sensitif.
DSS05.05 (Mengelola Akses pada Aset/Perangkat TI)
Membuat dan menerapkan prosedur untuk pemberian, pembatasan, dan pencabutan
akses pada area dan gedung berdasarkan pada kebutuhan bisnis, termasuk di saat-
saat darurat. Akses pada area dan gedung harus punya wewenang untuk bisa masuk
dan juga harus tetap diawasi. Semua ketentuan ini harus berlaku untuk semua staff,
staff sementara, klien, vendor, pengunjung atau setiap pihak luar lainnya.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana proses
permintaan dan pemberian
.
256
akses pada fasilitas-
fasilitas TI.
Bagaimana proses formal
(ID, formulir permintaan,
dan pemberian akses dari
manajemen TI pada tempat
yang dikunjungi) pada
pemrosesan akses fasilitas
TI, dokumen mengenai
akses tersebut harus
menjelaskan secara
spesifik area mana saja
yang bisa diakses.
Bagaimana memastikan
profil (dokumen)
pengaksesan tetap aktual,
dengan
mempertimbangkan fungsi
kerja (ruangan server,
gedung, area, dan zona
tertentu) dan
tanggungjawab
pekerjaannya.
Sejauh mana pencatatan
dan pengawasan semua
titik akses pada fasilitas-
fasilitas TI, mendaftarkan
semua pengunjung
termasuk juga kontraktor
dan vendor.
Sejauh mana proses
mewajibkan setiap
karyawan untuk selalu
memakai ID card.
Bagaimana memastikan
proses pembuatan ID card
melalui proses pemberian
akses yang benar dan
sesuai dengan fungsi
kerjanya.
Setiap pengunjung harus
ditemani selama dalam
masa kunjungan.
Jika ada seseorang yang
tidak dikenal dan tidak
menggunakan ID card,
257
lakukan pelaporan pada
pihak keamanan.
Setiap tempat/perangkat
TI yang sensitif dilindungi
dengan perangkat
keamanan pada pintu
masuk/keluar (Fingerprint
scanner, kartu akses dsb)
dan pemasangan kamera
keamanan.
Sejauh mana pelaksanaan
pelatihan mengenai
kesadaran akan keamanan
fisik perangkat TI secara
berkala.
DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat Output)
Membuat pengamanan fisikal, kegiatan akuntansi/laporan dan manajemen
inventaris pada perangkat TI yang rentan/penting/sensitif, seperti formulir khusus,
negotiable instruments, printer khusus atau security token.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pembuatan
prosedur yang menentukan
penerimaan, penggunaan,
penghapusan dari formulir
khusus dan perangkat
output, baik yang masuk,
di dalam, dan yang keluar
dari perusahaan.
.
Bagaimana proses
pembuatan akses istimewa
pada dokumen-dokumen
sensitif dan perangkat
output dengan
mempertimbangkan
pemberian akses
seminimal mungkin,
menyeimbangkan risiko,
dan kebutuhan bisnis.
Sejauh mana pembuatan
terkait penyimpanan
khusus untuk dokumen-
258
dokumen sensitif dan
perangkat-perangkat
output, serta melakukan
pemeriksaan ulang secara
berkala.
Sejauh mana perlindungan
tempat penyimpanan dari
formulir khusus dan
perangkat-perangkat
sensitif, misalnya dengan
menguncinya atau akses
khusus untuk
menggunakannya.
Bagaimana penghancuran
informasi-informasi
sensitif pada dokumen
atau data yang sudah tidak
terpakai (contohnya,
menghancurkan semua
dokumen yang berisikan
data-data sensitif sebelum
dibuang dan
menghancurkan perangkat
penyimpanan (flashdisk,
harddisk dll))
DSS05.07 (Mengawasi Infrastruktur untuk Peristiwa/Kejadian Terkait Keamanan)
Menggunakan perangkat pendeteksi gangguan, mengawasi infrastruktur untuk
pencegahan akses pihak yang tidak berwenang dan memastikan setiap
peristiwa/kejadian terintegrasi dengan proses pengawasan utama dan manajemen
insiden.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana aktifitas
pencatatan laporan
peristiwa terkait kemanan
dengan alat/software
pengawasan keamanan,
serta melakukan
identifikasi level informasi
yang akan disimpan
berdasarkan pada
pertimbangan risiko.
.
259
Sejauh mana proses
penyimpanan informasi
peristiwa keamanan dalam
jangka waktu tertentu
untuk membantu dalam
investigasi di masa yang
akan datang.
Bagaimana proses
penentuan dan
penjelaskan/penginformas
ian sifat dan karakteristik
dari insiden-insiden yang
berhubungan dengan
keamanan agar bisa
dengan mudah
diidentifikasi dan
dampaknya bisa dilakukan
penanganan yang tepat.
Secara berkala melakukan
peninjauan ulang pada
catatan peristiwa/kejadian
untuk mengidentifikasi
potensi-potensi insiden.
Sejauh mana pengelolaan
prosedur untuk
pengumpulan bukti yang
sesuai dengan
aturan/hukum
pengumpulan bukti yang
berlaku, dan memastikan
semua karyawan/staff
sudah mengetahui
persyaratan atau
kebutuhan-kebutuhan dari
prosedur.
Memastikan pencatatan
insiden keamanan
(pembuatan tiket) dibuat
tepat waktu saat proses
pengawasan
mengidentifikasi insiden
keamanan yang berpotensi
untuk menimbulkan
dampak yang lebih jauh.
260
Lampiran 7 Wawancara Penelitian
WAWANCARA PENELITIAN
Nama : Mas Frank
Jabatan : Staff Ahli
Tanggal : Kemayoran, April 2018
P: Penanya
N: Narasumber
P : apa jabatan atau tugas dan fungsi mas Frank di BMKG ?
N: jabatan saya secara struktural sebagai staff, namun dalam hal lain saya
menjadi pembantu pengelolaan dan perancangan tata kelola TI sekaligus
sebagai arsiparis dan ikut serta dalam pembuatan dokumentasi setiap
kegiatan yang dijalankan.
P: apa saja proses bisnis yang dikerjakan Pusat Jaringan Komunikasi dalam
BMKG ?
N: dalam hal ini Pusat Jaringan Komunikasi mengacu kepada tugas dan fungsi
Subbidang Manajemen Teknologi Informasi yaitu melakukan penyiapan
bahan perumusan kebijakan teknis, pemberian bimbingan teknis,
pembinaan teknis dan pengendalian terhadap kebijakan teknis, koordinasi
kegiatan fungsional dan kerja sama di bidang manajemen teknologi
261
informasi. Oleh karena itu kita sangat berfokus terhadap pengelolaan
kebijakan teknis terkait aset yang kita miliki terutama ruang Data Center.
P: Dalam pengelolaan dan perancangan tata kelola TI, apa saja kendala yang
dihadapi Pusat Jaringan Komunikasi?
N: Kendala yang saat ini tengah dialami adalah tentang pengelolaan hak akses
dan pengelolaan kunjungan terhadap ruang Data Center. Pusat Database di
BMKG terletak pada gedung A dan di kelola oleh Pusat Jaringan
Komunikasi, oleh karena itu kita dituntut dalam memaksimalkan keamanan
TI agar tidak terjadi kebocoran data ataupun kerusakan asset. Namun dalam
pelaksanaannya akses terhadap asset tersebut masih terlalu fleksibel dan
memiliki resiko yang tinggi, sebagai contoh setiap bidang pada Pusat
Jaringan Komunikasi memiliki vendor teknisi server yang berbeda beda
dalam mengelola server, sedangkan penempatan server hanya di satu
ruangan dan bergabung dengan server bagian lain, teknisi dari vendor
tersebut tidak selalu orang yang sama yang dikirim oleh vendor (kadang
berbeda orang) dan dapat masuk untuk maintenance atau perbaikan jika
dibutuhkan. Ini yang mengakibatkan resiko tinggi terhadap kebocoran data
dan asset fisik.
P: apa solusi dari divisi IT terkait permasalahan tersebut ?
N: untuk solusi sudah dilakukan sesuai dengan Profil Risiko yang dibuat Pusat
Jaringan Komunikasi. Hanya saja pengelolaan akses dan kunjungan masih
sebatas pendataan diri teknisi terkait.
262
P: Sampai saat ini, bagaimana penerapan IT dalam Pusat Jaringan
Komunikasi? apakah sudah optimal untuk mendukung kegiatan kerja unit
lain atau sebagaimana dengan tugas dan fungsinya ?
N: Sampai saat ini sudah mengimplementasikan IT dalam mendukung kegiatan
kerja Pusat Jaringan Komunikasi. Namun dalam pendokumentasian insiden,
klasifikasi insiden yang didokumentasikan hanya jika berdampak besar.
Banyak insiden kecil yang sanggup ditangani oleh teknisi BMKG yang
tidak didokumentasikan karena tidak berpengaruh terhadap kinerja BMKG.
Seperti contoh, sering terjadi deface terhadap web resmi BMKG namun
tidak di dokumentasikan karena hanya masuk ke front end aplikasi web nya
saja, sedangkan databasenya tetap aman.
P: Apakah ada tugas dan fungsi sesuai organinasi yang spesifik untuk
pemetaan responden sesuai RACI ?
N: Dalam hal ini belum ada penjabaran tugas dan fungsi hanya saja staff disini
sudah tau pekerjaannya apa dan melakukan apa, semua staff disini
mengikuti tugas dan fungsi Pusat Jaringan Komunikasi itu sendiri namun
beda hal nya dengan jabatan fungsional yaitu senior yang bertugas
memberikan arahan sesuai dengan pengalaman dan pengetahuannya. Coba
kamu tulis penjabaran arti dari setiap Rules and Organisational Structure
yang digabungkan dengan RACI. Nanti saya yang isi siapa saja orang yang
bertanggung jawab atau orang yang mengerti.
P: Business Process Owner adalah seseorang yang bertanggung jawab pada
proses kinerja untuk mewujudkan tujuannya, mendorong perbaikan proses
263
dan menyetujui perubahan proses. #N Bpk. Ali Mas’at, S.Si, M.kom
(Kepala Sub Bidang Manajemen Teknologi Informasi)
Chief Information Security Officer adalah Pejabat senior pada organisasi
yang bertanggung jawab untuk keamanan informasi organisasi dalam segala
bentuknya.. #N Bpk. Dudi Rojudin, ST (Kepala Sub Bidang Operasional
Teknologi Komunikasi)
Chief Risk Officer adalah Seseorang yang memiliki jabatan senior pada
organisasi yang bertanggung jawab untuk semua aspek manajemen resiko
di seluruh organisasi. Bertugas mengawasi resiko yang berhubungan
dengan TI. #N Bpk. Priyatna Kusumah, S.Kom, M.T.I. (Kepala Sub
Bidang Pengembangan Teknologi Informasi)
Head of IT Operation adalah Seorang individu senior yang bertanggung
jawab atas lingkungan dan infrastruktur operasional TI. #N Bpk. Akbar,
S.Kom, M.Kom (Kepala Sub Bidang Operasional Teknologi Informasi)
Information Security Manager adalah seorang individu yang mengelola,
desain, mengawasi dan/atau menilai keamanan informasi suatu organisasi.
#N Bpk. Dudi Rojudin, ST (Kepala Sub Bidang Operasional Teknologi
Komunikasi)
Chief Information Officer adalah Pejabat senior pada organisasi yang
bertanggung jawab untuk menyelaraskan TI dan strategi bisnis serta
akuntabel untuk perencanaan, sumber daya dan mengelola pengiriman
layanan dan solusi untuk mendukung tujuan TI organisasi. #N Bpk.
264
Priyatna Kusumah, S.Kom, M.T.I. (Kepala Sub Bidang Pengembangan
Teknologi Informasi)
265
Nama : Bpk. Ali Mas’at, S.Si, M.kom
Jabatan : Kepala Sub Bidang Manajemen Teknologi Informasi
Tanggal : Kemayoran, April 2018
P: Penanya
N: Narasumber
P: Apa tugas dan fungsi Kepala Sub Bidang Manajemen Teknologi Informasi
dalam Pusat Jaringan Komunikasi ?
N: Subbidang Manajemen Teknologi Informasi mempunyai tugas melakukan
penyiapan bahan perumusan kebijakan teknis, pemberian bimbingan teknis,
pembinaan teknis dan pengendalian terhadap kebijakan teknis, koordinasi
kegiatan fungsional dan kerja sama di bidang manajemen teknologi
informasi.
P: Sampai saat ini, bagaimana penerapan IT dalam Pusat Jaringan
Komunikasi? apakah sudah optimal untuk mendukung kegiatan kerja unit
lain atau sebagaimana dengan tugas dan fungsinya ?
N: Sampai saat ini sudah mengimplementasikan IT dalam mendukung kegiatan
kerja Pusat Jaringan Komunikasi. Namun dalam pendokumentasian insiden,
klasifikasi insiden yang didokumentasikan hanya jika berdampak besar.
Banyak insiden kecil yang sanggup ditangani oleh teknisi BMKG yang
tidak didokumentasikan karena tidak berpengaruh terhadap kinerja BMKG.
Seperti contoh, sering terjadi deface terhadap web resmi BMKG namun
266
tidak di dokumentasikan karena hanya masuk ke front end aplikasi web nya
saja, sedangkan databasenya tetap aman.
P: Bagaimana keselarasan tujuan TI dengan fungsi bisnis Pusat Jaringan
Komunikasi?
N: sampai saat ini selaras dengan mengacu pada Renstra dan Kebijakan
Keamanan Informasi yang telah dibuat. Namun belum optimal dan masih
banyak yang harus ditingkatkan. Maka dari itu disini perlu dilakukan
penilaian, sudah sejauh manakah kematangan atau kemampuan TI Pusat
Jaringan Komunikasi untuk BMKG.
P: Apakah sudah pernah dilakukan audit di Pusat Jaringan Komunikasi atau
BMKG sendiri?
N: belum pernah dilakukan audit di Pusat Jaringan Komunikasi, namun BMKG
dan Pusat Jaringan Komunikasi sudah melakukan penerapan tata kelola TI
berdasarkan ISO 27001 yang diharuskan sesuai dengan peraturan
kementerian, namun masih banyak yang belum terealisasikan dan masih
dalam tahap penyesuaian. Oleh karena itu kita mengharapkan adanya audit
untuk mengetahui kekurangan dan prioritas perbaikan agar dapat
memaksimalkan penerapan tata kelola menggunakan Framework
berstandar Nasional maupun Internasional.
267
EVIDENCE/BUKTI
Lampiran 8 Profil Resiko Pusat Jaringan Komunikasi
Lampiran 9 Rencana Strategis Pusat Jaringan Komunikasi
268
Lampiran 10 Kebijakan Keamanan Informasi Pusat Jaringan Komunikasi
Lampiran 11 Blue Print Badan Meteorologi Klimatologi dan Geofisika
269
270
271
272
273
ii
PENGESAHAN SKRIPSI
iii
PERNYATAAN
iv
ABSTRAK
EKO YULIYANTO ADI WIBOWO - 1112093000072. “Evaluasi Tata Kelola
Keamanan Teknologi Informasi Menggunakan Framework COBIT 5 dan ISO
27002 (Studi Kasus: Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi
dan Geofisika).” di bawah bimbingan SYOPIANSYAH JAYA PUTRA dan SUCI
RATNAWATI.
Tata Kelola Keamanan Teknologi Informasi sangat dibutuhkan dalam upaya
penerapan Good Governance sebuah perusahaan terutama instansi pemerintah,
karna untuk meminimalisir dampak-dampak atau resiko yang akan dialami dan
untuk penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya
memastikan atau menjamin kelangsungan bisnis (business continuity),
meminimalisasi resiko bisnis (reduce business risk) dan memaksimalkan atau
mempercepat pengembalian investasi dan peluang bisnis. Masalah yang dihadapi
Pusat Jaringan Komunikasi adalah penerapan framework ISO 27001 belum
maksimal sehingga menyebabkan lemahnya manajemen kontrol hak akses,
perijinan kunjungan ruang Data Center terlalu fleksibel menyebabkan kurangnya
keamanan database dan infrastruktur serta rawannya pencurian data dan minimnya
pendokumentasian insiden yang mengakibatkan sering terjadinya insiden yang
berulang. Penelitian ini bertujuan menganalisis temuan gap dan memberikan
rekomendasi perbaikan menggunakan Framework COBIT 5 serta merancang
usulan perbaikan Keamanan Teknologi Informasi dengan framework ISO 27002.
Peneliti menggunakan 4 tahapan metode perancangan yang mengadopsi dari
COBIT lifecycle yaitu Initiate Programme, Define Problems and Opportinities,
Define Road Map dan Plan Programme Berfokus pada domain Manage Risk,
Manage Security dan Manage Security Services. Tools kuesioner menggunakan
skala pengukuran Likert. Hasil dari penelitian ini menunjukan capability level pada
Proses APO12 (Manage Risk), APO13 (Manage Security), DSS05 (Manage
Security Services) di Pusat Jaringan Komunikasi saat ini berada pada level 2
(managed process) dengan tingkat kapabilitas yang diharapkan berada di level 3
(established process) dengan masing-masing gap sebesar 1,13, 1,10 dan 0,97 serta
perancangan hasil rekomendasi berupa Panduan Implementasi Manajemen Insiden,
Rancangan Pengelolaan Hak Akses, dan SOP Ruang Data Center diadopsi
berdasarkan framework ISO 27002 yang dapat digunakan untuk panduan
memaksimalkan keamanan informasi.
Kata Kunci : Keamanan, Teknologi Informasi, Tata Kelola, COBIT 5, ISO 27002.
V Bab + 219 Halaman + 50 Tabel + 24 Gambar + Pustaka (43, 2005-2019) + 11
Lampiran
v
KATA PENGANTAR
Bismillaahirrohmaanirrohiim
Puji syukur kehadirat Allah SWT yang telah melimpahkan segala rahmat-
Nya, penulis diberikan nikmat sehat dan ilmu sehingga dapat melaksanakan, dan
menyelesaikan penulisan skripsi ini. Shalawat beserta salam semoga selalu tercurah
kepada junjungan Nabi Muhammad SAW beserta keluarga, sahabat, kerabat, serta
muslimin, dan muslimat, semoga kita semua mendapatkan syafa’at dari beliau di
akhirat kelak. Amin.
Skripsi ini berjudul “Evaluasi Tata Kelola Keamanan Teknologi
Informasi Menggunakan Framework COBIT 5 dan ISO 27002 (Studi Kasus:
Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi dan Geofisika)”,
yang disusun untuk memenuhi salah satu syarat dalam menyelesaikan program S1
pada program studi Sistem Informasi di Universitas Islam Negeri Syarif
Hidayatullah Jakarta.
Pada kesempatan ini, peneliti ingin mengucapkan terima kasih kepada
pihak-pihak yang telah banyak membantu, baik moril dan materil, dalam
menyelesaikan skripsi ini. Untuk itu perkenankanlah peneliti menyampaikan
ungkapan terima kasih kepada:
1. Ibu Prof. Dr. Lily Surayya Eka Putri, M. Env. Stud selaku Dekan Fakultas Sains
dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta.
vi
2. Pak A’ang Subiyakto, Ph.D selaku Ketua Program Studi Sistem Informasi
Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah
Jakarta.
3. Ibu Nida’ul Hasanati, MMSI selaku Sekertaris Program Studi Sistem Informasi
Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah
Jakarta.
4. Bapak Dr. Syopiansyah Jaya Putra, M.SI, selaku dosen pembimbing I yang
secara bijaksana dan kooperatif telah memberikan ilmu dan bimbingan dengan
sabar serta membantu, dan mendukung secara moral maupun teknis selama
penyusunan skripsi ini.
5. Ibu Suci Ratnawati, M.TI, selaku dosen pembimbing II yang telah banyak
memberikan motivasi, ilmu baru, arahan serta bijaksana dan selalu meluangkan
waktu dalam membimbing proses penyusunan skripsi ini.
6. Dosen-dosen Program Studi Sistem Informasi yang telah memberikan ilmu,
motivasi, dan nasehat selama peneliti duduk di bangku perkuliahan.
7. Bapak. Ali Mas’at, S.Si, M.kom selaku Kepala Subbidang Manajemen
Teknologi Informasi di Pusat Jaringan Komunikasi pada Badan Meteorologi
Klimatologi dan Geofisika, yang telah membantu peneliti dalam mendapatkan
izin untuk dapat melakukan penelitian di Pusat Jaringan Komunikasi.
8. Mas Frank dan Mbak Nunik selaku Staff Senior Subbidang Manajemen
Teknologi Informasi di Pusat Jaringan Komunikasi pada Badan Meteorologi
Klimatologi dan Geofisika, selaku Pembimbing yang selalu sabar, bersedia
meluangkan waktunya dan telah banyak membantu peneliti dalam
vii
mengumpulkan kelengkapan data riset serta memberikan saran untuk skripsi
ini.
9. Staff Subbidang Manajemen Teknologi Informasi lainnya yang tidak dapat
peneliti sebutkan satu per satu yang selalu membantu dalam pelaksanaan
penelitian ini.
10. Bapak Suyatno dan Ibu Wantini, Orang tua yang sangat saya sayangi dan cintai,
terima kasih atas doa, dukungan, dan semuanya yang telah diberikan.
11. Adik saya Aprianto, terimakasih atas doa dan dukungannya baik moral maupun
bantuan tenaga yang diberikan selama proses penyelesaian skripsi ini
12. Kawan – Kawan Penikmat Semesta (PESTA) terima kasih atas seni pergabutan
selama ini dan menjelaskan kata “puncak” bukan hanya milik gunung dan
pelaminan saja.
13. Seseorang yang telah memberikan waktu untuk berbagi cerita, motivasi, do’a
dan teguran. Serta mengajarkan sabar, rindu, percaya, dan komunikasi jarak
jauh bagi penulis.
14. Seluruh pihak yang telah banyak membantu dalam penyelesaian skripsi ini yang
tidak bisa disebutkan namanya satu persatu, namun tidak mengurangi rasa
hormat dan rasa terima kasih.
Penulis sadar bahwa penyusunan skripsi ini masih jauh dari sempurna, maka
dari itu penulis menerima kritik dan saran yang konstruktif agar penyusunan skripsi
ini menjadi lebih baik lagi.
Akhir kata, semoga skripsi ini dapat bermanfaat bagi semua pihak terutama
teman-teman Sistem Informasi UIN Syarif Hidayatullah Jakarta, baik sebagai
viii
bahan karya tulis berupa informasi, perbandingan maupun dasar untuk penelitian
materi lebih lanjut.
Jakarta, 19 Maret 2019
EKO YULIYANTO ADI WIBOWO
1112093000072
ix
DAFTAR ISI
PENGESAHAN UJIAN ......................................................................................... i
PENGESAHAN SKRIPSI .................................................................................... ii
PERNYATAAN .................................................................................................... iii
ABSTRAK ............................................................................................................ iv
KATA PENGANTAR ........................................................................................... v
DAFTAR ISI ......................................................................................................... ix
DAFTAR GAMBAR .......................................................................................... xiv
DAFTAR TABEL ............................................................................................... xv
BAB I PENDAHULUAN ...................................................................................... 1
1.1 Latar Belakang Permasalahan .................................................................. 1
1.2 Identifikasi Masalah ................................................................................. 8
1.3 Batasan Masalah ....................................................................................... 9
1.4 Tujuan Penelitian ...................................................................................... 9
1.5 Manfaat Penelitian .................................................................................. 10
1.6 Metodologi Penelitian ............................................................................ 11
1.6.1 Metodologi Pengumpulan Data ...................................................... 11
1.6.2 Metodologi Analisis Data ............................................................... 11
1.6.2.1 Metode Penerapan Tata Kelola Teknologi Informasi ................. 12
1.7 Sistematika Penulisan ............................................................................. 13
BAB II LANDASAN TEORI ............................................................................. 15
2.1 Tata Kelola Keamanan Teknologi Informasi ......................................... 15
2.1.1 Teknologi Informasi ........................................................................ 15
2.1.2 Tata Kelola Teknologi Informasi .................................................... 15
2.1.2.1 Tujuan Tata Kelola Teknologi Informasi .................................... 16
2.1.3 Tata Kelola Teknologi Informasi Nasional ..................................... 17
2.1.4 Keamanan Teknologi Informasi ...................................................... 18
2.1.5 Pentingnya Keamanan Teknologi Informasi ................................... 19
2.2 Kerangka Kerja (Framework) Keamanan Teknologi Informasi ............ 20
2.2.1 BS 7799 ........................................................................................... 21
x
2.2.2 ITIL ................................................................................................. 21
2.2.3 COBIT ............................................................................................. 22
2.2.4 ISO 27000 Family ........................................................................... 24
2.3 Framework COBIT 5 ............................................................................. 25
2.3.1 Coverage COBIT 5 ......................................................................... 27
2.3.2 Perbedaan COBIT 5 dengan COBIT 4.1......................................... 30
2.3.3 Process Reference Model ................................................................ 31
2.3.3.1 Evaluate, Direct, and Monitor (EDM) ......................................... 32
2.3.3.2 Align, Plan, and Organise (APO) ................................................ 33
2.3.3.3 Build, Acquire, and Implementation (BAI) ................................. 34
2.3.3.4 Delivery, Service, and Support (DSS) ......................................... 35
2.3.3.5 Monitor, Evaluate, and Assess (MEA) ........................................ 35
2.3.4 Implementasi COBIT 5 ................................................................... 36
2.3.5 RACI ............................................................................................... 39
2.3.6 Process Assessment Model .............................................................. 45
2.3.6.1 Assessment Process Activities .................................................... 46
2.3.6.2 Indikator Kapabilitas Proses dalam COBIT 5 ............................. 48
2.3.7 Pemetaan Tujuan Terkait TI Terhadap Proses COBIT 5 ................ 49
2.3.8 Fokus Area Evaluasi Tata Kelola TI ............................................... 52
2.3.8.1 Proses APO 12 (Manage Risk) .................................................... 52
2.3.8.2 Proses APO 13 (Manage Security) .............................................. 52
2.3.8.3 Proses DSS05 (Manage Security Services) ................................. 53
2.4 Framework ISO 27002 ........................................................................... 53
2.4.1 Hubungan dengan ISO/IEC 27001 ................................................. 54
2.4.2 Struktur dan format ISO/IEC 27002: 2013 ..................................... 54
2.4.3 Content ISO/IEC 27002 .................................................................. 55
2.5 Pemetaan Proses COBIT kedalam Kontrol ISO ..................................... 69
2.6 Metode Perhitungan ............................................................................... 70
2.6.1 Skala Likert ..................................................................................... 70
2.6.2 Skala Rating Scale........................................................................... 71
2.6.3 Perhitungan Capability Level .......................................................... 73
2.7 Metode Pengumpulan Data .................................................................... 75
xi
2.8 Kajian Penelitian Sebelumnya ................................................................ 76
BAB III METODE PENELITIAN .................................................................... 79
3.1 Waktu dan Tempat Penelitian ................................................................ 79
3.2 Data dan Perangkat Penelitian ................................................................ 79
3.3 Metode Penelitian ................................................................................... 80
3.3.1 Desain Penelitian ............................................................................. 80
3.3.2 Metode Pengumpulan Data ............................................................. 80
3.3.3 Metode Analisis Data ...................................................................... 87
3.4 Metode Penerapan Tata Kelola Teknologi Informasi ............................ 87
3.4.1 Tahap 1 – Initiate Programme ........................................................ 87
3.4.2 Tahap 2 – Define Problems and Opportunities .............................. 88
3.4.3 Tahap 3 – Define Road Map ........................................................... 89
3.4.4 Tahap 4 – Plan Programme ............................................................ 90
3.5 Kerangka Berfikir Penelitian .................................................................. 90
BAB IV HASIL DAN PEMBAHASAN ............................................................ 92
4.1 Tahap 1 - Initiate Programme ................................................................ 92
4.1.1 Pengumpulan Data .......................................................................... 92
4.1.1.1 Gambaran Umum Badan Meteorologi Klimatologi dan Geofisika
(BMKG)………………………………………..…………………………93
4.1.1.2 Struktur Organisasi Badan Meteorologi Klimatologi dan
Geofisika (BMKG)..................................................................................... 95
4.1.1.3 Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi dan
Geofisika (BMKG)..................................................................................... 96
4.1.2 Penentuan Goal Cascade dan RACI ............................................. 101
4.1.2.1 Pemetaan Domain Proses .......................................................... 101
4.1.2.2 Diagram RACI .......................................................................... 105
4.1.2.2.1 Identifikasi Diagram RACI Manage Risk (APO12) ............ 105
4.1.2.2.2 Identifikasi Diagram RACI Manage Security (APO13) ...... 107
4.1.2.2.3 Identifikasi Diagram RACI Manage Security Services
(DSS05) 108
4.2 Tahap 2 - Define Problems and Opportunities .................................... 110
4.2.1 Pengukuran Capability Level ........................................................ 111
4.2.1.1 Temuan Data ............................................................................. 111
xii
4.2.1.1.1 Temuan Data Proses APO12 (Manage Risk) ....................... 112
4.2.1.1.2 Temuan Data Proses APO13 (Manage Security) ................. 113
4.2.1.1.3 Temuan Data Proses DSS05 (Manage Security Services) ... 114
4.2.1.2 Pengolahan Data Responden ..................................................... 116
4.2.1.2.1 Pengolahan Data Responden APO12 (Manage Risk) .......... 117
4.2.1.2.2 Pengolahan Data Responden APO13 (Manage Security) .... 123
4.2.1.2.3 Pengolahan Data Responden DSS05 (Manage Security
Services) 126
4.2.1.3 Perhitungan Capability Level .................................................... 133
4.2.1.3.1 Perhitungan Capability Level APO12 (Manage Risk) ......... 133
4.2.1.3.2 Perhitungan Capability Level APO13 (Manage Security) ... 136
4.2.1.3.3 Perhitungan Capability Level DSS05 (Manage Security
Services)…… ....................................................................................... 137
4.2.2 Hasil Perhitungan Keseluruhan Capability Level ......................... 141
4.3 Tahap 3 - Define Road Map ................................................................. 147
4.3.1 Analisis Kesenjangan Kapabilitas Proses ..................................... 149
4.3.1.1 Pemenuhan Proses APO12 ........................................................ 149
4.3.1.2 Pemenuhan Proses APO13 ........................................................ 158
4.3.1.3 Pemenuhan Proses DSS05 ......................................................... 164
4.4 Tahap 4 - Plan Programme .................................................................. 174
4.5.1 Gap dan Rekomendasi................................................................... 175
4.4.1.1 Gaps dan Rekomendasi Proses APO12 (Manage Risk) ............ 175
4.4.1.2 Gaps dan Rekomendasi Proses APO13 (Manage Security) ...... 180
4.4.1.3 Gaps dan Rekomendasi Proses DSS05 (Manage Security
Services) ................................................................................................... 184
4.5.2 Pemetaan Proses COBIT dan ISO 27002 ..................................... 192
4.5.3 Perancangan Usulan Berdasarkan ISO 27002 .............................. 195
4.5.3.1 Panduan Implementasi Manajemen Insiden .............................. 195
4.5.3.2 Rancangan Pengelolaan Hak Akses .......................................... 200
4.5.3.3 SOP Ruang Data Center ............................................................ 208
4.5.4 Implikasi ........................................................................................ 213
4.5.5 Perbandingan Penelitian Terdahulu .............................................. 214
4.5.6 Limited Of Study ............................................................................ 215
xiii
BAB V PENUTUP ............................................................................................. 218
5.1 Kesimpulan ........................................................................................... 218
5.2 Saran ..................................................................................................... 219
DAFTAR PUSTAKA ........................................................................................ 221
LAMPIRAN – LAMPIRAN ............................................................................. 226
xiv
DAFTAR GAMBAR
Gambar 2.1 Struktur dan Peran Tata Kelola........................................................ 18
Gambar 2.2 Evolution of Scope .......................................................................... 23
Gambar 2.3 Coverage COBIT 5 (ISACA, 2012) ................................................ 27
Gambar 2.4 Process Reference Model (ISACA, 2012) ....................................... 32
Gambar 2.5 Siklus Hidup Implementasi COBIT 5 (ISACA, 2012) .................... 36
Gambar 2.6 RACI Chart APO12 (ISACA,2012:142) ......................................... 44
Gambar 2.7 Proses Assessment Process Activities (ISACA, 2012) ................... 46
Gambar 2.8 COBIT 5 Process Capability Model (ISACA, 2013:42) ................ 49
Gambar 2.9 Pemetaan IT-related goal pada COBIT 5 ........................................ 50
Gambar 2.10 Pemetaan IT-related goal pada COBIT 5 (lanjutan) ...................... 51
Gambar 2.11 Klausul ISO 27002 2013 ............................................................... 55
Gambar 2.12 ISO 27000 Family (Sumber: Sarno dan Iffano, 2009: 56) ............ 68
Gambar 3. 1 Kerangka Berpikir .......................................................................... 91
Gambar 4. 1 Struktur Organisasi ......................................................................... 95
Gambar 4. 2 Pemetaan IT Enterprise Goal COBIT 5 ........................................ 102
Gambar 4. 3 Pemetaan Proses Terkait COBIT 5 ............................................... 103
Gambar 4. 4 RACI Chart APO12 (ISACA, 2012) ............................................ 106
Gambar 4. 5 RACI Chart APO13 (ISACA, 2012) ............................................ 107
Gambar 4. 6 RACI Chart DSS05 (ISACA, 2012) ............................................. 108
Gambar 4. 7 Grafik Nilai Kapabilitas APO12 ................................................... 141
Gambar 4. 8 Grafik Nilai Kapabilitas APO13 ................................................... 143
Gambar 4. 9 Grafik Nilai Kapabilitas DSS05 ................................................... 145
Gambar 4. 10 Rancangan Rekomendasi Alur Permohonan Hak Akses ............ 205
Gambar 4. 11 Rancangan Rekomendasi Alur Kunjungan Data Center ............ 212
xv
DAFTAR TABEL
Tabel 2.1 Jumlah Klausul ISO 27002 .................................................................. 67
Tabel 2.2 Ketentuan Nilai Skala Likert ................................................................ 71
Tabel 2.3 Rating Levels (ISACA, 2012) .............................................................. 72
Tabel 2.4 Pemetaan Jawaban Nilai dan Tingkat Kapabilitas ............................... 74
Tabel 3. 1 Penelitian Sejenis ................................................................................ 87
Tabel 4. 1 Responden Terpilih APO12 .............................................................. 106
Tabel 4. 2 Responden Terpilih APO13 .............................................................. 108
Tabel 4. 3 Responden Terpilih APO13 .............................................................. 109
Tabel 4. 4 Rekapitulasi Jawaban Kuesioner Capability Level APO12.01 ......... 117
Tabel 4. 5 Rekapitulasi Jawaban Kuesioner Capability Level APO12.02 ......... 118
Tabel 4. 6 Rekapitulasi Jawaban Kuesioner Capability Level APO12.03 ......... 119
Tabel 4. 7 Rekapitulasi Jawaban Kuesioner Capability Level APO12.04 ......... 120
Tabel 4. 8 Rekapitulasi Jawaban Kuesioner Capability Level APO12.05 ......... 121
Tabel 4. 9 Rekapitulasi Jawaban Kuesioner Capability Level APO12.06 ......... 122
Tabel 4. 10 Rekapitulasi Jawaban Kuesioner Capability Level APO13.01 ....... 123
Tabel 4. 11 Rekapitulasi Jawaban Kuesioner Capability Level APO13.02 ....... 124
Tabel 4. 12 Rekapitulasi Jawaban Kuesioner Capability Level APO13.03 ....... 125
Tabel 4. 13 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.01 ........ 126
Tabel 4. 14 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.02 ........ 127
Tabel 4. 15 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.03 ........ 128
Tabel 4. 16 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.04 ........ 129
Tabel 4. 17 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.05 ........ 130
Tabel 4. 18 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.06 ........ 131
Tabel 4. 19 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.07 ........ 132
Tabel 4. 20 Nilai Kapabilitas dan Tingkat Kapabilitas APO12 ......................... 141
Tabel 4. 21 Nilai Kapabilitas dan Tingkat Kapabilitas APO13 ......................... 143
Tabel 4. 22 Nilai Kapabilitas dan Tingkat Kapabilitas DSS05 .......................... 144
Tabel 4. 23 Proses APO12 PA 1.1 Process Performance ................................... 151
xvi
Tabel 4. 24 Proses APO12 PA 2.1 Performance Management .......................... 155
Tabel 4. 25 Proses APO12 PA 2.2 Product Management .................................. 156
Tabel 4. 26 Proses APO13 PA 1.1 Process Performance ................................... 159
Tabel 4. 27 Proses APO13 PA 2.1 Performance Management .......................... 161
Tabel 4. 28 Proses APO13 PA 2.2 Product Management .................................. 163
Tabel 4. 29 Proses DSS05 PA 1.1 Process Performance ................................... 165
Tabel 4. 30 Proses DSS05 PA 2.1 Performance Management ........................... 169
Tabel 4. 31 Proses DSS05 PA 2.2 Product Management ................................... 171
Tabel 4. 32 Gaps dan Rekomendasi APO12.02 ................................................. 178
Tabel 4. 33 Gaps dan Rekomendasi APO12.03 ................................................. 179
Tabel 4. 34 Gaps dan Rekomendasi APO12.04 ................................................. 179
Tabel 4. 35 Gaps dan Rekomendasi APO12.05 ................................................. 180
Tabel 4. 36 Gaps dan Rekomendasi APO13.01 ................................................. 183
Tabel 4. 37 Gaps dan Rekomendasi APO13.03 ................................................. 183
Tabel 4. 38 Gaps dan Rekomendasi DSS05.01 .................................................. 187
Tabel 4. 39 Gaps dan Rekomendasi DSS05.03 .................................................. 188
Tabel 4. 40 Gaps dan Rekomendasi DSS05.04 .................................................. 188
Tabel 4. 41 Gaps dan Rekomendasi DSS05.05 .................................................. 189
Tabel 4. 42 Gaps dan Rekomendasi DSS05.07 .................................................. 190
Tabel 4. 43 Mapping COBIT 5 to ISO 27002 .................................................... 194
Tabel 4. 44 Penyesuaian Aktifitas Manajemen Insiden dengan Control ISO 27002
............................................................................................................................. 200
Tabel 4. 45 Penyesuaian Aktifitas Pengelolaan Hak Akses dengan Control ISO
27002 ................................................................................................................... 205
1
BAB I
PENDAHULUAN
1.1 Latar Belakang Permasalahan
Penggunaan teknologi informasi pada suatu instansi tentunya akan
membawa banyak keuntungan bagi instansi itu sendiri. Peningkatan peran
teknologi informasi nantinya harus berbanding lurus dengan investasi yang
dikeluarkan dan pencapaian visi instansi tersebut. Hal ini akan membutuhkan
perencanaan yang matang dalam pelaksanaan investasi teknologi informasi
nantinya. Untuk itulah diperlukan adanya tata kelola teknologi informasi yang baik
pada suatu instansi dimulai dari perencanaan sampai dengan implementasi agar
instansi tersebut dapat berjalan secara optimal (Jogiyanto, 2012).
Teknologi Informasi merupakan aset yang sangat berharga bagi suatu
perusahaan, dimana perannya telah mampu mengubah pola kerja, kinerja SDM dan
juga sistem manajemen dalam mengelola sebuah organisasi (Haewon, 2016).
Penerapan teknologi informasi (TI) pada proses bisnis suatu organisasi dipandang
mampu menjadi sebuah solusi yang nantinya dapat meningkatkan daya saing
perusahaan dalam industri (Nugroho H, 2014). Hal ini menyebabkan pentingnya
peningkatan peran TI agar selaras dengan investasi yang telah dikeluarkan. Upaya
ini tentu harus diimbangi dengan pengaturan dan pengelolaan yang tepat, sehingga
kerugian yang mungkin terjadi dapat dihindari. Kerugian yang dimaksud seperti
pengadaan investasi TI yang bernilai tinggi namun tidak diimbangi dengan nilai
balik yang menguntungkan bagi perusahaan. Hal tersebut tentu dapat berpengaruh
2
terhadap efektifitas dan efisiensi dalam pencapain tujuan dan strategi organisasi
(Mardjiono, 2009).
Pada jurnal (Putra, 2019) menjelaskan bahwa Tata Kelola Teknologi
Informasi (ITG) adalah bagian terpadu dari transformasi teknologi informasi dan
manajemen organisasi yang mencakup kepemimpinan, struktur, dan proses
organisasi untuk memastikan bahwa teknologi informasi dimanfaatkan seoptimal
mungkin. ITG juga diperlukan untuk mendapatkan nilai dari investasi TI mereka
dan menciptakan keunggulan kompetitif. Tata kelola TI mengubah kondisi
organisasi dalam mengambil keputusan, mengatur proses, dan menetapkan struktur
organisasi.
Keamanan informasi adalah perlindungan informasi dari berbagai ancaman
untuk memastikan kelangsungan bisnis, meminimalkan risiko bisnis, dan
memaksimalkan pengembalian investasi dan peluang bisnis (Sheikhpour, 2016), uji
tuntas harus dilakukan untuk memastikan risiko diketahui dan dikelola ketika
berurusan dengan aset perusahaan dan perlindungannya. Ini melibatkan uji tuntas
dalam mengidentifikasi dan menilai risiko keamanan bisnis dan informasi, serta
menerapkan sistem kontrol yang efektif, pemantauan dan tinjauan berkala
dilakukan untuk memastikan kontrol tetap efektif. dan jika tidak berjalan dengan
baik, harus dilakukan perbaikan dengan tepat dan cepat. Dengan kata lain, harus
ada proses tata kelola keamanan informasi yang berlaku khususnya untuk
melindungi aset informasi organisasi (Humphreys, 2008).
Ada beberapa framework pengelolaan teknologi informasi yang digunakan
secara luas dan salah satunya adalah IT Governance yang terdapat pada COBIT
3
(Control Objectives for Information and Related Technology). COBIT dapat
dikatakan sebagai kerangka kerja teknologi informasi yang dipublikasikan oleh
ISACA (Information System Audit and Control Association). COBIT berfungsi
mempertemukan semua bisnis kebutuhan kontrol dan isu-isu teknik. Di samping
itu, COBIT juga dirancang agar dapat menjadi alat bantu yang dapat memecahkan
permasalahan pada IT governance dalam memahami dan mengelola resiko serta
keuntungan yang behubungan dengan sumber daya informasi perusahaan.
Agar tata kelola keamanan informasi dapat berjalan dengan baik diperlukan
suatu standar untuk melakukan tata kelola tersebut (Tanuwijaya dan Sarno, 2010:
80). Menurut (Sarno dan Iffano, 2009: 59) tidak ada acuan baku mengenai standar
apa yang akan digunakan atau dipilih oleh perusahaan untuk melaksanakan audit
keamanan sistem informasi. ISO27002 adalah sebuah standar internasional yang
tidak terikat dengan peraturan negara manapun. Penggunaan standar ISO27002
adalah bersifat voluntary yang berarti bahwa masing-masing organisasi dapat
memilih praktik terbaik mana yang digunakan yang cocok dengan kebutuhan
organisasi. Selain itu, pertimbangan lainnya adalah ISO 27002 menyediakan
sertifikat implementasi Sistem Manajemen Keamanan Informasi (SMKI) yang
diakui secara internasional yang disebut Information Security Management Sistem
(ISMS) certification (Sarno dan Iffano, 2009:59-60).
COBIT 5 digunakan untuk memetakan permasalahan dengan proses-proses
terkait, memperoleh proses-proses yang berkaitan dengan tata kelola (governance),
serta melakukan assessment untuk menilai kondisi implementasi saat ini dan yang
diharapkan, sedangkan ISO 27002 memberikan rekomendasi praktik terbaik untuk
4
sistem manajemen keamanan informasi (ISMS, Information Security Management
System) yang didefinisikan dalam standar konteks C-I-A: confidentiality
(kerahasiaan), integrity (integritas), dan availabity (ketersediaan). Kerangka kerja
COBIT yang diterapkan bersama dengan ISO 27002, diharapkan dapat membantu
menyelesaikan masalah-masalah yang terjadi di BMKG khususnya manajemen
risiko dan manajemen keamanan yang sangat membutuhkan pengelolaan lebih
baik.
Terdapat beberapa fakta yang telah penulis dapatkan dari studi literatur dan
beberapa penelitian jurnal terkait dengan pengelolaan COBIT 5 dan ISO 27002,
penulis mendapatkan ide usulan pengelolaan menggunakan COBIT dan ISO 27002
karena berdasarkan tulisan (Ariyani, 2013) peningkatan perhatian pada unsur
keamanan dan penerapan teknologi informasi sangat penting demi keberlangsungan
suatu organisasi di era digital saat ini. (Sudhista, 2015) juga menerangkan bahwa
perbedaan dan persamaan yang terdapat pada model framework COBIT, ITIL, dan
ISO/IEC 27002 yang diintergrasikan akan merangkai sebuah usulan framework
yang komprehensif sehingga dapat digunakan untuk setiap organisasi., kemudian
peneliti juga melihat kutipan (Nastase Pavel, 2009) yaitu perusahaan harus
mempertimbangkan lingkungan TI saat ini dan banyaknya standar yang dapat
diterapkan pada sistem informasi, merupakan tantangan bagi setiap organisasi
untuk memilih serangkaian standar yang paling sesuai yang memenuhi kebutuhan
mereka. Peneliti (Gupta, Dwivedi, & Chaurasiya, 2013) memberikan gambaran
bahwa jika kerangka kerja keamanan tidak terapkan maka tidak akan diketahui
sejauh mana standar lain dapat dicapai dan ini membuat bertambahnya biaya dan
5
waktu yang dikeluarkan. (John Walhoff, 2005) juga berkesimpulan bahwa saat ini
setiap organisasi harus mampu menyediakan layanan TI secara efisien biaya,
berikut dengan risiko keamanan dan memenuhi persyaratan hukum. Pada
prinsipnya faktor-faktor itu sulit diterapkan, untuk itu perlu kombinasi ITIL,
COBIT dan ISO 17799. ITIL digunakan untuk mendefinisikan proses, COBIT
untuk metrik, tolak ukur dan audit sedangkan ISO 17799 digunakan untuk
mengatasi masalah keamanan untuk mengurangi resiko.
Berdasarkan peraturan Menteri Komunikasi dan Informatika Nomor
41/PER/MEN/KOMINFO/11/2007, dinyatakan bahwa untuk memastikan
penggunaan TIK benar-benar mendukung tujuan penyelenggaraan pemerintahan,
dengan memperhatikan efisiensi penggunaan sumberdaya dan pengelolaan risiko,
diperlukan Good Governance terkait dengan TIK, yang disebut sebagai Tata Kelola
TIK (The Ministry of Communication and Information Technology of the Republic
of Indonesia, 2017).
Badan Meteorologi Klimatologi dan Geofisika sebagai Lembaga
Pemerintah Non Departemen (LPND) adalah instansi pelayanan dan penyediaan
informasi di bidang meteorologi, klimatologi dan geofisika. Berdasarkan
Keputusan Presiden Republik Indonesia Nomor 46 dan Nomor 48 Tahun 2002
struktur organisasinya diubah menjadi Lembaga Pemerintah Non Departemen
(LPND) dengan nama tetap Badan Meteorologi Klimatologi dan Geofísika.
Kegiatan Meteorologi dan Geofísika pada awalnya hanya pada pengamatan cuaca
atau hujan. Namun kemudian meningkat dan mencakup berbagai kegiatan, seperti
pengamatan Medan magnit, seismatik dan meteorologi untuk berbagai macam
6
keperluan. BMKG memiliki berbagai macam unit kerja TI dan Non-TI salah
satunya adalah Pusat Jaringan Komunikasi. Pusat Jaringan Komunikasi adalah
salah satu unit kerja IT dari BMKG yang mempunyai tugas melaksanakan
pengelolaan operasional jaringan komunikasi, melakukan pengembangan terhadap
jaringan komunikasi yang ada serta mengelola manajemen jaringan komunikasi
pada BMKG. Pusat Jaringan Komunikasi memiliki tiga bidang yaitu Bidang
Operasional Jaringan Komunikasi, Bidang Pengembangan Jaringan Komunikasi
dan Bidang Manajemen Jaringan Komunikasi (Meteorologi & Geofisika, 2009).
Pusat Jaringan Komunikasi BMKG telah menggunakan standar ISO 27001
dalam pelaksanaan tata kelola teknologi informasi sesuai peraturan pemerintah,
yang mewajibkan lembaga pemerintahan menerapkan standar ISO 27001 karena
merupakan framework yang memiliki standar internasional (Komunikasi,
Meteorologi, & Dan, 2015). Penerapan standar menggunakan ISO 27001 ini telah
menghasilkan dokumen kebijakan keamanan informasi yang saat ini digunakan
sebagai acuan dan sedang coba diimplementasikan oleh Pusat Jaringan Komunikasi
BMKG. Namun setelah dilakukannya penerapan standar ISO 27001 3 tahun
belakangan ini, masih banyak standar yang belum bisa terimplementasi akibat
kurangnya pemahaman dan arahan teknis terhadap SDM terkait.
Akibat belum menyeluruhnya penerapan ISO 27001 adalah hak akses masih
terlalu fleksibel terkait aset ataupun Data Center karena kurangnya ketegasan dan
arahan teknis, karena sistem yang ada pada BMKG belum terintegrasi dengan baik
antara masing masing bidang, maka setiap bidang memiliki sistem dari vendor
berbeda dan server masing-masing yang ditempatkan didalam satu ruang Data
7
Center, itu juga yang membuat lamanya penanganan jika salah satu sistem pada
BMKG mengalami insiden, karena bidang terkait biasanya menghubungi vendor
developer untuk membantu menangani atau memperbaiki sistem tersebut, insiden
tersebut juga sering terjadi berulang dikarenakan minimnya pendokumentasian
terhadap insiden pada Pusat Jaringan Komunikasi BMKG.
Mengingat permasalahan yang dihadapi Pusat Jaringan Komunikasi BMKG
menyangkut kontrol akses dan resiko/insiden keamanan informasi serta standar ISO
27002 adalah penyempurna standar yang sebelumnya telah diterapkan yaitu ISO
27001 dan sangat fleksibel dikembangkan tergantung pada kebutuhan organisasi,
tujuan organisasi, persyaratan keamanan, proses bisnis, jumlah pegawai dan ukuran
struktur organisasi. Maka diharapkan dengan adanya pengelolaan keamanan
informasi pada Badan Meteorologi Klimatologi dan Geofisika menggunakan
framework COBIT 5 dan ISO 27002 dapat mengetahui kelemahan-kelemahan
sistem yang menjadi penyebab permasalahan keamanan informasi yang selama ini
terjadi. Selain dapat mengukur tingkat keamanan yang dimiliki Badan Meteorologi
Klimatologi dan Geofisika. Usulan menggunakan COBIT 5 dan ISO 27002 ini juga
menghasilkan rekomendasi tentang perbaikan yang harus dilakukan untuk
meningkatkan keamanan informasi pada perusahaan, serta menjadi pertimbangan
untuk menerapkan secara menyeluruh untuk memperoleh ISMS certification
dengan standar ISO 27002 pada masa mendatang.
8
Berdasarkan uraian diatas, maka penulis bermaksud untuk melakukan
penelitian dengan judul “Evaluasi Tata Kelola Keamanan Sistem Informasi
Menggunakan Framework COBIT 5 dan ISO 27002 (Studi Kasus: Pusat
Jaringan Komunikasi Badan Meteorologi Klimatologi dan Geofisika).”
1.2 Identifikasi Masalah
Berdasarkan uraian dari latar belakang diatas, maka identifikasi masalah
yang terdapat didalam BMKG di Pusat Jaringan Komunikasi, adalah:
1. Sudah adanya tata kelola manajemen keamanan menggunakan framework ISO
27001 namun penerapannya belum maksimal sehingga menyebabkan lemahnya
manajemen kontrol hak akses.
2. Perijinan terhadap kunjungan ruang Data Center terlalu fleksibel sehingga
menyebabkan kurangnya keamanan database dan infrastruktur serta rawannya
pencurian data didalam Data Center Pusat Jaringan Komunikasi BMKG.
3. Penerapan manajemen resiko dan pendokumentasian insiden yang minim
mengakibatkan sering terjadinya insiden yang berulang pada Pusat Jaringan
Komunikasi .
Atas landasan identifikasi masalah tersebut maka perumusan masalah dalam
penelitian ini adalah bagaimana kondisi Tata Kelola Keamanan Teknologi
Informasi berdasarkan framework Control Objectives For Information and Related
Technology (COBIT) 5 dan International Standards Organization (ISO) 27002 di
BMKG?
9
1.3 Batasan Masalah
Berdasarkan identifikasi masalah di atas, maka batasan masalah penelitian
ini, adalah:
a. Penelitian mengenai Evaluasi Tata Kelola Keamanan Teknologi Informasi ini
dilakukan pada Badan Meteorologi Klimatologi dan Geofisika bagian Pusat
Jaringan Komunikasi.
b. Penelitian ini menggunakan framework COBIT 5 untuk menghitung Capability
Level dan menggunakan Standar ISO 27002 sebagai pedoman perancangan
rekomendasi tata kelola keamanan teknologi informasi.
c. Peneliti hanya berfokus pada 3 domain dalam COBIT 5 sebagai acuan bahan
evaluasi yaitu APO12 (Manage Risk), APO13 (Manage Security) dan DSS05
(Manage Security Services).
d. Tahapan usulan penerapan tata kelola keamanan teknologi informasi yang
digunakan dalam penelitian ini adalah: Initiate Programme, Define Problems
and Opportunities, Define Road Map, Plan Programme.
e. Skala pengukuran Capability level pada penelitian ini menggunakan skala
Likert.
1.4 Tujuan Penelitian
Pada penelitian ini, terdapat dua jenis tujuan penelitian, yaitu tujuan umum
dan tujuan khusus. Tujuan umum penelitian adalah mengetahui kondisi tata kelola
keamanan teknologi informasi dan memberikan usulan perancangan berdasarkan
10
rekomendasi pada Pusat Jaringan Komunikasi BMKG. Sedangkan tujuan khusus
penelitian ini adalah sebagai berikut:
1. Mengetahui Capability Level tata kelola keamanan teknologi informasi saat ini
dengan yang diharapkan di Pusat Jaringan Komunikasi BMKG.
2. Menganalisis temuan-temuan gap dari hasil pengumpulan evidence terhadap
perhitungan Capability Level.
3. Memberikan rekomendasi perbaikan pengelolaan keamanan teknologi
informasi di Pusat Jaringan Komunikasi BMKG berdasarkan kerangka kerja
COBIT 5.
4. Memberikan usulan rancangan perbaikan pengelolaan keamanan teknologi
informasi di Pusat Jaringan Komunikasi BMKG berdasarkan kerangka kerja
standar ISO 27002.
1.5 Manfaat Penelitian
Adapun manfaat dari penelitian yang dilakukan adalah sebagai berikut:
1. Memberikan gambaran pada organisasi mengenai tata kelola teknologi
informasi yang baik (Good Governance) berdasarkan kerangka kerja COBIT 5
dan standar ISO 27002.
2. Membantu organisasi dalam mengelola keamanan teknologi informasi.
3. Menjadi pertimbangan penerapan Standar ISO 27002 secara keseluruhan untuk
memperoleh ISMS certification pada masa mendatang.
4. Menjadikan salah satu referensi bagi peneliti selanjutnya, khususnya dalam
melakukan evaluasi tata kelola keamanan teknologi informasi.
11
1.6 Metodologi Penelitian
Pada penelitian ini, penulis menggunakan beberapa metode pada saat
melakukan kegiatan penelitian. Penulis menggunakan metode-metode sebagai
berikut:
1.6.1 Metodologi Pengumpulan Data
1. Observasi
Observasi dilakukan dengan mengamati secara langsung wilayah penelitian
yang dilakukan, yaitu pada BMKG.
2. Wawancara
Wawancara yang dilakukan oleh peneliti untuk mengetahui kondisi umum
teknologi informasi pada BMKG.
3. Kuesioner
Kuesioner adalah teknik pengumpulan data yang dilakukan dengan cara
memberi seperangkat pertanyaan atau pernyataan tertulis kepada responden
untuk dijawab (Sugiyono, 2012).
4. Studi Literatur
Studi literatur adalah kegiatan peneliti yang dilakukan dengan membaca dan
mempelajari bahan pustaka, seperti buku-buku, jurnal dan penelitian sejenis
yang sebelumnya telah dilakukan.
1.6.2 Metodologi Analisis Data
Penelitian ini menggunakan metode analisis data kualitatif yang
menekankan pada sumber data dan fakta. Kemudian data dikembangkan dengan
12
acuan pada 4 tahapan COBIT Lifecycle yaitu Initiate Programme, Define Problems
and Opportunities, Define Road Map, dan Plan Programme.
1.6.2.1 Metode Penerapan Tata Kelola Teknologi Informasi
Dalam penerapan tata kelola teknologi informasi terdapat beberapa tahapan
berdasarkan acuan pada kerangka kerja (framework) yaitu:
1. Tahap 1 – Initiate Programme
Pada tahap ini, peneliti melakukan pengumpulan data primer berupa
informasi terkait Profil Pusat Jaringan Komunikasi, tata kelola teknologi
informasi dan mengidentifikasi kebutuhan perubahan pada tingkat
manajemen eksekutif yang bertujuan untuk memperoleh pemahaman
tentang organisasi dan masalah saat ini yang dihadapi BMKG.
2. Tahap 2 – Define Problems and Opportunities
Tahap kedua adalah menjelaskan tentang kemampuan organisasi saat ini,
kekurangan yang dimiliki, pengelolaan yang diharapkan dan semua yang
berhubungan dengan tata kelola keamanan TI dan strategi organisasi.
3. Tahap 3 – Define Road Map
Pada tahapan ini, peneliti menetapkan target untuk perbaikan yang diikuti
dengan analisis gap untuk mengidentifikasi potensi solusi.
4. Tahap 4 – Plan Programme
Pada tahap ini menjelaskan tentang rencana dan solusi praktis untuk
organisasi dengan mendefinisikan rekomendasi perbaikan berdasarkan
framework COBIT 5 yang mendukung tujuan organisasi dan perubahan
13
rencana pengembangan untuk kemudian menghasilkan dokumen usulan tata
kelola keamanan teknologi informasi berdasarkan framework ISO 27002.
1.7 Sistematika Penulisan
Dalam penyusunan laporan ini pembahasan terbagi dalam lima bab yang
secara singkat akan diuraikan sebagai berikut:
BAB I PENDAHULUAN
Pada bab ini berisikan latar belakang permasalah, identifikasi
masalah, rumusan masalah, batasan masalah, tujuan penelitian,
manfaat penelitian, metodologi penelitian, serta sistematika
penulisan.
BAB II LANDASAN TEORI
Pada bab ini membahas definisi dan teori-teori yang digunakan
sebagai acuan atau dasar dalam penelitian yang berhubungan
dengan Tata Kelola TI berupa, pengertian keamanan teknologi
informasi, pengertian tata kelola TI, penjelasan beberapa
framework keamanan TI, definisi skala perhitungan Capability
Level serta definisi metode penerapan dengan menggunakan
kerangka kerja COBIT 5 dan ISO 27002.
BAB III METODOLOGI PENELITIAN
Pada bab ini peneliti menguraikan tentang metodologi COBIT
Lifecycle yang berfokus pada 4 tahapan yaitu Initiate
Programme, Define Problems and Opportunities, Define
14
Roadmap, dan Plan Programme yang digunakan dalam
melakukan penelitian dan menampilkan kerangka berpikir dalam
penyusunan skripsi ini.
BAB IV HASIL DAN PEMBAHASAN
Pada bab ini peneliti menguraikan secara singkat tentang profil
perusahaan serta hasil dari penelitian capability level tata kelola
teknologi informasi saat ini (as is) dan yang diharapkan (to be)
yang berawal dari perhitungan kuesioner hingga pemenuhan
dokumen sesuai dengan tingkat level yang dicapai berdasarkan
framework COBIT 5 dan juga menentukan rekomendasi serta
perancangan usulan pengelolaan Teknologi Informasi
berdasarkan framework ISO 27002. Bab ini juga berisi tentang
Implikasi dari penelitian ini serta Limited Of Study yang berisi
tentang keterbatas apa saja yang dialami peneliti.
BAB V PENUTUP
Bab ini merupakan penutup yang berisi kesimpulan dari
pembahasan pada bab sebelumnya dan saran untuk perbaikan
dalam penerapan tata kelola teknologi informasi di BMKG.
15
BAB II
LANDASAN TEORI
2.1 Tata Kelola Keamanan Teknologi Informasi
Tata Kelola Keamanan Teknologi Informasi sangat penting dan sangat
dibutuhkan oleh perusahaan terutama instansi pemerintahan, ada beberapa
penjelasan mengenai tata kelola keamanan teknologi informasi, berikut adalah
penjabarannya :
2.1.1 Teknologi Informasi
Teknologi informasi adalah penerapan teknologi komputer yang berfungsi
untuk menciptakan, menyimpan, mempertukarkan dan menggunakan informasi
dalam berbagai bentuk (Fauziah, 2010).
Teknologi informasi merupakan sebuah bentuk umum yang
menggambarkan setiap teknologi yang membantu menghasilkan, memanipulasi,
menyimpan, mengkomunikasikan dan menyampaikan informasi (Seesar, 2010).
Berdasarkan uraian dari para ahli tersebut maka dapat disimpulkan
teknologi informasi adalah sebuah penerapan komputerisasi terhadap penyampaian
informasi serta untuk mendukung agar setiap informasi dapat diterima sesuai
kebutuhan pengguna.
2.1.2 Tata Kelola Teknologi Informasi
Tata Kelola Teknologi Informasi memiliki beberapa referensi pengertian
menurut para ahli.
16
IT Governance (tata kelola TI) merupakan suatu bagian internal dari tata
kelola perusahaan yang terdiri atas kepemimpinan, struktur dan proses
organisasional yang memastikan bahwa TI organisasi berlanjut serta meningkatkan
tujuan dan strategi organisasi (ITGI, 2007)
Kemudian menurut Jogiyanto dan Abdillah (2011), tata kelola TI sebagai
suatu struktur dan proses pengambilan keputusan TI di tingkat korporat untuk
mengerahkan perilaku yang diinginkan dari insan TI dan memastikan keberhasilan
TI dalam rangka penciptaan nilai bagi para stakeholder.
Berdasarkan dari dua referensi ahli diatas, penulis menyimpulkan bahwa
Tata Kelola Teknologi Informasi adalah proses bagaimana suatu perusahaan
memaksimalkan teknologi informasi yang digunakan untuk dapat membantu
mencapai tujuan perusahaan.
2.1.2.1 Tujuan Tata Kelola Teknologi Informasi
Tujuan tata kelola teknologi informasi adalah mengontrol penggunaannya
dalam memastikan bahwa kinerja TI memenuhi dan sesusai dengan tujuan sebagai
berikut (Surendro, 2009):
1. Menyelaraskan teknologi informasi dengan strategi organisasi serta realisasi
dan keuntungan-keuntungan yang telah dijanjikan dari penerapan TI.
2. Penggunaan teknologi informasi memungkinkan perusahaan mengeksploitasi
kesempatan yang ada dan memaksimalkan keuntungan.
3. Penggunaan sumber daya TI yang bertanggung jawab.
4. Penanganan manajemen resiko yang terkait IT secara tepat.
17
2.1.3 Tata Kelola Teknologi Informasi Nasional
Penyelenggaraan pemerintah dalam rangka pelayanan publik memerlukan
Good Governance. Implementasi Good Governance akan menjamin transparansi,
efisiensi, dan efektivitas penyelenggaraan pemerintah. Dengan sisi lain, pengguna
TIK pada institusi pemerintah sudah dilakukan sejak lama dan terus berkembang.
Untuk memastikan pengguna TIK tersebut benar-benar mendukung tujuan
penyelenggaraan pemerintah, dengan memperhatikan efisiensi penggunaan sumber
daya dan pengelolaan risiko (Detiknas, 2007).
Berdasarkan peraturan Menteri Komunikasi dan Informatika Nomor
41/PER/MEN/KOMINFO/11/2007, Terdapat 5 lingkup proses tata kelola yaitu:
1. Perencanaan Sistem
Proses ini menangani identifikasi kebutuhan organisasi dan formulasi inisiatif-
inisiatif TIK apa saja yang dapat memenuhi kebutuhan organisasi tersebut.
2. Manajemen Belanja/Investasi
Proses ini menangani pengelolaan investasi/belanja TIK.
3. Realisasi Sistem
Proses ini menangani pemilihan, penetapan, pengembangan/akuisisi sistem
TIK, serta manajemen proyek TIK.
4. Pengoperasian Sistem
Proses ini menangani operasi TIK yang memberikan jaminan tingkat layanan
dan keamanan sistem TIK yang dioperasikan.
5. Pemeliharaan Sistem
18
Proses ini menangani pemeliharaan aset-aset TIK untuk mendukung
pengoperasian sistem yang optimal.
Dalam penerapan tata kelola TIK nasional, telah dirancang sebuah model
tata kelola TIK Nasional yang difokuskan pada pengelolaan proses-proses TIK
melalui mekanisme pengarahan dan monitoring & evaluasi. Model keseluruhan tata
kelola TIK Nasional tersebut digambarkan seperti berikut.
Gambar 2.1 Struktur dan Peran Tata Kelola
2.1.4 Keamanan Teknologi Informasi
Keamanan teknologi informasi adalah sebuah rencana untuk mencegah
risiko yang berhubungan dengan pemrosesan informasi. Rencana tersebut terdiri
dari 3 buah elemen dasar yakni, Confidentiality (Pencegahan dari pengguna yang
tidak berhak mengakses informasi), Integrity (memastikan bahwa informasi yang
19
ada itu akurat, utuh, dan tidak berubah), dan Availability (memastikan pengguna
dapat mengakses informasi yang mereka butuhkan). Tiga elemen ini saling
berhubungan untuk melindungi informasi yang harus dilindungi sebagai aset yang
sama pentingnya seperti aset bisnis lainnya (Wylder, 2003)
Keamanan Teknologi Informasi adalah sebuah program yang bertujuan
untuk melindungi sumber daya-sumber daya yang penting dalam suatu organisasi,
seperti informasi, hardware, dan software dengan cara memilah dalam penggunaan
aplikasi keamanan yang tepat. Keamanan Sistem Informasi membantu organisasi
untuk memenuhi visi dan misi organisasi dengan melindungi aset fisik dan aset
finansial, reputasi organisasi, posisi hukum, para pekerja, dan aset-aset lain yang
terukur maupun yang tidak (Peltier, 2013).
Dengan membaca penjelasan mengenai Keamanan Teknologi Informasi di
atas, kita dapat menarik kesimpulan bahwa yang dimaksud dengan Keamanan
Teknologi Informasi adalah sebuah rencana yang digunakan untuk melindungi
semua aset-aset penting perusahaan dengan menggunakan konsep Confidentiality,
Integrity, dan Availability (CIA) dalam membantu perusahaan untuk mencapai
tujuan bisnis mereka.
2.1.5 Pentingnya Keamanan Teknologi Informasi
Keamanan teknologi informasi terutama terkait data penting menjadi hal
yang krusial bagi lembaga pemerintahan yang menggunakan internet sebagai
komponen utama dalam operational pelayanan. Kebutuhan industri untuk internet
yang aman berbanding terbalik dengan fakta bahwa kasus keamanan di internet
20
terus terjadi dan berulang. Selain itu, kasus pembobolan keamanan yang terjadi
pada suatu instansi pemerintahan sangat merugikan. Oleh Karena itu, keamanan
informasi harus menjadi hal penting yang perlu diutamakan karena sudah
mempengaruhi seluruh aspek kinerja pelayanan instansi pemerintahan (Garg,
Curtis, & Halper, 2003).
Menurut (Andersen, 2015) berikut adalah beberapa faktor yang
menyebabkan kebutuhan akan pentingnya keamanan pada sistem informasi:
1. Untuk memenuhi peraturan dan perundang-undangan
2. Semakin meningkatnya kegiatan pencurian data
3. Semakin meningkatnya kegiatan hacktivism
4. Semakin meningkatnya wilayah ancaman dari internet
5. Tren konsumerisme TI, seperti penggunaan perangkat pribadi pada lingkungan
perusahaan. (Bring Your Own Device (BYOD))
2.2 Kerangka Kerja (Framework) Keamanan Teknologi Informasi
Kerangka kerja (framework) adalah suatu struktur konseptual dasar yang
digunakan untuk memecahkan atau menangani suatu masalah. Dalam bidang
perangkat lunak (software) digunakan untuk menggambarkan suatu desain sistem.
Sedangkan pada bidang manajemen kerangka kerja (framework) digunakan untuk
menggambarkan suatu konsep yang memungkinkan penanganan berbagai jenis atau
entitas bisnis.
21
2.2.1 BS 7799
BS 7799 adalah sebuah standar yang dipublikasikan oleh British Standard
Institution (BSI) Group pada tahun 1995. Standar ini ditulis oleh United Kingdom
Government’s Department of Trade and Industry (DTI), yang terdiri dari beberapa
bagian. Bagian pertamanya yang merupakan panduan untuk keamanan sistem
informasi, telah diperbaiki lagi pada 1998 dan menjadi rujukan ISO pada ISO17799
(British Standard Institution, 2017). Bagian keduanya dipublikasikan pada tahun
1999, yang dikenal dengan sebutan BSS 7799 part 2 dengan judul “Information
Security Management System – Spesification with Guidance for use”. BSS 7799
part 2 ini fokus pada bagaimana untuk menerapkan manajemen keamanan sistem
informasi, berdasarkan pada struktur dan kontrol manajemen keamanan informasi
yang diidentifikasi oleh BSS 7799-2, yang nantinya akan menjadi rujukan
dibentuknya ISO 27001. Pada tahun 2002, BSS 7799-2 mulai memperkenalkan
plan-do-check-act (PDCA) (Deming quality assurance model), dan
mengkombinasikannya dengan standar-standar lainnya seperti ISO 9000.
2.2.2 ITIL
ITIL adalah kepanjangan dari The Information Technology Infrastructure
Library. ITIL mulai digunakan pada tahun 1980-an, ketika pemerintah Britania
Raya Menganggap bahwa level dari servis TI yang tersedia tidak memadai. ITIL
adalah suatu kumpulan konsep dan praktik untuk manajemen servis teknologi
informasi, pengembangan teknologi informasi, dan operasional TI, di mana ada
bagiannya yang fokus pada keamanan (Axelos, 2017). ITIL sebenarnya adalah
sebuah kumpulan dari berbagai buku yang setiap bukunya mencakup suatu praktik
22
khusus dalam suatu manajemen servis TI, yang dibentuk oleh W. Edwards Deming
bersama dengan plan-do-check-act (PDCA) cycle temuannya juga. ITIL terdiri dari
8 komponen utama yakni: Service Support, Service Delivery, ICT Infrastructure
Management, Security Management, Application Management, Software Asset
Management, Planning to Implement Service Management, dan Small-Scale
Implementation.
2.2.3 COBIT
Pada tahun 1996 COBIT versi 1 muncul dengan lingkup wilayah Audit.
Selanjutnya pada tahun 1998, COBIT versi 2 pun muncul yang menekankan pada
wilayah Control. Kemudian COBIT versi 3 menyusul di tahun 2000 dengan
cakupan wilayah pada area Management. Dan pada tahun 2005 muncul COBIT
versi 4 yang diperbarui lagi pada bulan Mei 2007 menjadi COBIT versi 4.1 dengan
pedoman pada tata kelola TI. Selanjutnya pada tahun 2012 dirilislah COBIT versi
5 dengan penekanan pada tata kelola TI di perusahaan yang masih dipakai sampai
saat ini. COBIT juga mengeluarkan panduan khusus untuk keamanan informasi
pada COBIT 5 for Information Security dalam salah satu lini standar yang
disediakan oleh COBIT.
23
Gambar 2.2 Evolution of Scope
COBIT adalah suatu kerangka praktik prima di bidang teknologi informasi.
COBIT menyediakan bagi manajer, auditor TI, dan pengguna dengan ukuran-
ukuran, indikator, dan proses suatu kerangka praktik prima yang dapat membantu
memaksimalkan manfaat yang dapat diperoleh dari teknologi informasi dan
sekaligus untuk membangun suatu sistem pengelolaan dan pengendalian teknologi
informasi di suatu organisasi (Nugroho, 2008).
COBIT adalah kepanjangan dari Control Objectives for Information and
Related Technology, adalah seperangkat pedoman umum (best practice) untuk
manajemen TI yang dibuat oleh Information System Audit and Control Association
(ISACA), dan IT Governance Institute (ITGI), serangkaian langkah yang diterima
secara umum, indikator, proses dan praktik terbaik untuk membantu mereka dalam
memaksimalkan manfaat yang diperoleh melalui penggunaan TI dan
pengembangan tata kelola TI yang sesuai dan pengendalian dalam perusahaan
(Jogiyanto & Abdillah, 2011).
24
2.2.4 ISO 27000 Family
Dokumen ISO 27000 Series (mengacu kepada beberapa seri
dalam range 27000) merupakan standard dalam information security management
system yang dikembangan oleh International Organization for
standardization (ISO). Dalam sejarahnya ISO 27000 Series tidak lepas dari
standard sebelumnya yang terkait juga dengan keamanan informasi yakini
BS (British Standard) 7799 dan ISO 17799. Pemindahan seri ini bertujuan untuk
mengelompokkan seri-seri terkait standard keamanan informasi dalam satu seri.
Berikut adalah penjelasan dari beberapa seri dari ISO 27000 family :
1. ISO /IEC 27000 Mencakup daftar kata dan istilah yang digunakan dalama
standard
2. ISO/IEC 27001 (BS 7799-2) : Mencakup spesifikasi dari ISMS based ISO
27000 dan menyediakan model untuk implementasi, operasi, monitoring,
reviewing, maintaining, dan improvement dari ISMS. Contoh bab Management
responsibility, Internal Audits, ISMS Improvement dan lain-lain.
3. ISO/IEC 27002 (ISO 17799) : Mencakup detail dari control yang ada/Code of
practices. Contoh Bab (Risk Assessment and Treatment, Asset Management,
Access Control, Business Continuity dan lain-lain.
4. ISO/IEC 27003 : Mencakup panduan mengenai bagaimana
mengimplementasikan ISMS yang mencakup konsep PDCA. Contoh Bab
seperti : Critical Success Factor, Panduan menggunakan PDCA, Panduan
dalam Proses PDCA.
25
5. ISO/IEC 27004 : Standard yang memberikan panduan tentang metode
pengukuran, bagaimana mengukur efektifitas dari ISMS yang telah
terimplementasi dan panduang memilih metrics dalam proses alignment dengan
ISO 270002
6. ISO /IEC 27005 Standard yang memberikan panduan mengenai implementasi
Information Security Risk Management dan kebutuhan lain dalam sertifikasi
ISO 27000. Contoh bab seperti ISR (Information Security Risk) Assessment,
ISR Treatment, ISR Acceptance, ISR Communication, ISR communication and
Review.
7. ISO/IEC 27006:2007 Information technology — Security techniques –
mencakup audit terhadap ISMS dan sertifikasi dari ISMS beserta kriteria
sertifikasi dari ISMS.
2.3 Framework COBIT 5
COBIT (Control Objective for Information and related Technology)
merupakan sekumpulan dokumentasi dan panduan untuk mengimplementasikan IT
Governance, kerangka kerja yang membantu auditor, manajemen dan pengguna
(user) untuk menjembatani (gap) antara resiko bisnis, kebutuhan kontrol dan
permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT Governance
Institute (ITGI) yang merupakan bagian dari Information System Audit and Control
Association (ISACA.2012).
Surendro (2009) menjelaskan tentang karakteristik utama dan prinsip yang
mendasari COBIT, yaitu karakteristik utamanya adalah fokus pada bisnis, orientasi
pada proses, berbasis kontrol dan dikendalikan oleh pengukuran, sedangkan prinsip
26
yang mendasarinya adalah untuk menyediakan informasi yang diperlukan
organisasi dalam mewujudkan tujuannya, organisasi perlu mengelola dan
mengendalikan sumber daya teknologi informasi dengan menggunakan
sekumpulan proses-proses yang terstruktur untuk memberikan layanan informasi
yang diperlukan.
Seiring berkembangnya teknologi COBIT pun juga ikut meningkatkan
perkembangannya. COBIT mengalami beberapa perubahan versi dari titik poin
mulai dari COBIT 1 sampai pada COBIT 5 saat ini. Control Objectives for
Information and related Technology (COBIT) merupakan best practice yang
menyediakan kebijakan yang jelas untuk IT Governance. COBIT menyediakan
kerangka IT Governance dan petunjuk Control Objective yang detail untuk
manajemen, stakeholder, user, dan auditor. Information Systems Audit and Control
Association (ISACA) dibentuk pada tahun 1967, ketika sekelompok kecil orang
dengan pekerjaan kontrol audit yang sama dalam sistem komputer yang menjadi
semakin penting untuk operasi organisasi membahas perlunya sumber informasi
terpusat dalam bidang TI.pada tahun 1969 kelompok auditor tersebut tergabung
dalam Asosiasi Electronic Data Processing (EDP). Pada tahun 1976 asosiasi
membentuk yayasan pendidikan untuk melakukan upaya penelitian besar-besaran
untuk memperluas pengetahuan dan nilai-nilai tata kelola TI. ISACA merilis
COBIT pertama pada tahun 1996, hanya berfokus sebagai suatu pekerjaan audit.
Berkembang ke versi COBIT 2, COBIT merefleksikan kontrol peningkatan
sejumlah dokumen sumber, revisi pada tingkat tinggi dan tujuan pengendalian rinci
dan tambahan seperangkat alat implementasi yang telah dipublikasikan pada tahun
27
1998. Sedangkan pada versi COBIT 3 ditandai dengan adanya Informasi
Technology Governance Institute (ITGI) yang dibentuk oleh ISACA pada tahun
1998 dan memberikan pemahaman lebih dan mengadopsi prinsip prinsip
pengaturan TI. Melalui ITGI penambahan pedoman untuk COBIT 3 dan fokusnya
diperluas pada manajemen TI. Pada COBIT versi 4 ditingkatkan pada IT
Governance (Grembergen dan Haes, 2009).
2.3.1 Coverage COBIT 5
Menurut ISACA, COBIT 5 merupakan generasi terbaru dari panduan
ISACA yang membahas mengenai tata kelola dan manajemen TI. COBIT 5 dibuat
berdasarkan pengalaman penggunaan COBIT selama lebih dari 15 tahun oleh
banyak organisasi dan penggunan dari bidang bisnis, komunitas TI, risiko, asuransi,
dan keamanan TI perusahaan (ISACA, 2012).
Gambar 2.3 Coverage COBIT 5 (ISACA, 2012)
28
Pengembangan COBIT 5 adalah untuk mengatasi kebutuhan-kebutuhan
penting seperti:
1. Membantu stakeholder dalam menentukan apa yang mereka harapkan dari
informasi dan teknologi terkait seperti keuntungan apa, pada tingkat risiko
berapa, dan pada biaya berapa dan bagaimana prioritas mereka dalam menjamin
bahwa nilai tambah yang diharapkan benar-benar tersampaikan. Beberapa pihak
lebih menyukai keuntungan dalam jangka pendek sementara pihak lain lebih
menyukai keuntungan jangka panjang. Beberapa pihak siap untuk mengambil
risiko tinggi sementara beberapa pihak tidak. Perbedaan ini dan terkadang
konflik mengenai harapan harus dihadapi secara efektif. Stakeholder tidak
hanya ingin terlibat lebih banyak tapi juga menginginkan transparansi terkait
bagaimana ini akan terjadi dan bagaimana hasil yang akan diperoleh.
2. Membahas peningkatan ketergantungan kesuksesan organisasi pada organisasi
lain dan rekan TI, seperti outsource, pemasok, konsultan, klien, cloud, dan
penyedia layanan lain, serta pada beragam alat internal dan mekanisme untuk
memberikan nilai tambah yang diharapkan.
3. Mengatasi jumlah informasi yang meningkat secara signifikan. Bagaimana
perusahan memilih informasi yang relevan dan kredibel yang akan
mengarahkan organisasi kepada keputusan bisnis yang efektif dan efisien.
Informasi juga perlu untuk dikelola secara efektif dan model informasi yang
efektif dapat membantu untuk mencapainya.
4. Mengatasi TI yang semakin meresap kedalam organisasi. TI semakin menjadi
bagian penting dari bisnis. Seringkali TI yang terpisah tidak cukup memuaskan
29
walaupun sudah sejalan dengan bisnis. TI perlu menjadi bagian penting dari
proyek bisnis, struktur organisasi, managemen risiko, kebijakan, kemampuan
proses dan sebagainya. Tugas dari CIO dan fungsi TI sedang berkembang
sehingga semakin banyak orang dalam organisasi yang memiliki kemampuan
TI akan dilibatkan dalam keputusan dan operasi TI. TI dan bisnis harus
diintegrasikan dengan lebih baik.
5. Menyediakan panduan lebih jauh dalam area inovasi dan teknologi baru. Hal
ini berkaitan dengan kreativitas, penemuan, pengembangan produk baru,
membuat produk saat ini lebih menarik bagi pelanggan, dan meraih tipe
pelanggan baru. Inovasi juga menyiratkan perampingan pengembangan produk,
produksi dan proses supply chain agar dapat memberikan produk ke pasar
dengan tingkat efisiensi, kecepatan, dan kualitas yang lebih baik.
6. Mendukung perpaduan bisnis dan TI secara menyeluruh, dan mendukung
semua aspek yang mengarah pada tata kelola dan manajemen TI organisasi yang
efektif, seperti struktur organisasi, kebijakan, dan budaya.
7. Mendapatkan kontrol yang lebih baik berkaitan dengan solusi TI.
8. Memberikan manfaat bagi perusahan, antara lain:
a. Nilai tambah melalui penggunanaan TI yang efektif dan inovatif.
b. Kepuasan pengguna dengan keterlibatan dan layanan TI yang baik.
c. Kesesuaian dengan peraturan, regulasi, persetujuan, dan kebijakan internal.
d. Peningkatan hubungan antara kebutuhan bisnis dengan tujuan TI.
9. Menghubungkan dan bila relevan, menyesuaikan dengan framework dan
standar lain seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO dan ISO. Hal
30
ini akan membantu stakeholder mengerti bagaimana kaitan berbagai
framework, berbagai standar antar satu sama lain, dan bagaimana mereka bisa
digunakan bersama-sama.
10. Mengintegrasikan semua framework dan panduan ISACA dengan fokus pada
COBIT, Val IT dan Risk IT, tetapi juga mempertimbangkan BMIS, ITAF, dan
TGF sehingga COBIT 5 mencakup seluruh organisasi dan menyediakan dasar
untuk integrasi dengan framework dan standar lain menjadi satu kesatuan
framework.
2.3.2 Perbedaan COBIT 5 dengan COBIT 4.1
Diantara COBIT 5 dengan COBIT 4.1 memiliki perbedaan yang
dideskripsikan sebagai berikut (ISACA, 2012):
1. Governance of Enterprise IT (GEIT) adalah prinsip baru dalam Tata kelola TI
pada organisasi dimana COBIT 5 lebih mengarah pada prinsip ketimbang
dengan proses.
2. COBIT 5 menekankan pada enabler. Pada COBIT 4.1 tidak menyebutkan
sebagai enabler sedangkan COBIT 5 menyebutkan secara spesifik bagian
enable.
3. COBIT 5 mendefinisikan model referensi proses yang baru dengan tambahan
domain governance dan beberapa proses yang baru dan modifikasi dari proses
pada versi sebelumnya. COBIT 5 mengintegrasikan konten pada COBIT 4.1,
Risk IT dan Val IT.
4. COBIT 5 menyelaraskan dengan best practices yang ada seperti ITIL v3 dan
TOGAF.
31
5. COBIT 5 menyediakan diagram RACI yang menjelaskan peran dan tanggung
jawab dengan cara yang sama seperti COBIT 4.1, Risk IT dan Val IT. Namun,
COBIT 5 memberikan diagram yang lebih lengkap, detail dan rentang yang
lebih jelas dari setiap pihak baik TI maupun bisnis untuk setiap praktik
manajemen.
2.3.3 Process Reference Model
Dalam COBIT 5 ini, model referensi proses merupakan penerus dari model
proses COBIT 4.1, dengan mengintegrasikan dengan baik proses model dari Risk
IT dan model proses Val IT (ISACA, 2012).
ISACA menjelaskan sebuah proses didefinisikan sebagai kumpulan praktek
atau aktivitas yang dipengaruhi oleh kebijakan dan prosedur perusahaan. Dimana
masukan-masukan itu diambil dari sejumlah sumber (termasuk proses lainnya),
memanipulasi input dan menghasilkan output. Dalam COBIT 5 deskripsi proses ini
juga menggambarkan tentang proses apa yang dilakukan dan gambaran tingkat
tinggi bagaimana proses menyelesaikan tujuannya. Berikut ini gambar yang
menunjukkan perangkat lengkap 5 Domain dan 37 proses tata kelola dan
manajemen proses dalam COBIT 5 (ISACA, 2012).
32
Gambar 2.4 Process Reference Model (ISACA, 2012)
2.3.3.1 Evaluate, Direct, and Monitor (EDM)
Proses tata kelola ini berurusan dengan tujuan tata pemangku kepentingan
dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek
dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan
arahan kepada TI dan pemantauan hasilnya. Berikut domain proses EDM:
1. EDM01 Ensure Governance Framework Setting and Maintenance
(Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola)
2. EDM02 Ensure Benefits Delivery (Memastikan Memberi Manfaat)
3. EDM03 Ensure Risk Optimisation (Memastikan Pengoptimalan Risiko)
4. EDM04 Ensure Resource Optimisation (Memastikan Pengoptimalan Sumber
Daya)
5. EDM05 Ensure Stakeholder Transparency (Memastikan Transparansi
Pemangku Kepentingan)
33
2.3.3.2 Align, Plan, and Organise (APO)
Memberikan arah untuk pengiriman solusi (BAI) dan penyediaan layanan
dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan
mengidentifikasi kekhawatiran cara terbaik TI agar dapat berkontribusi pada
pencapaian tujuan bisnis. Realisasi visi strategis perlu direncanakan,
dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi
yang tepat, serta infrastruktur teknologi, harus dimasukkan ke dalam tempatnya.
Berikut domain proses APO:
1. APO01 Manage The IT Management Framework (Mengelola Kerangka
Manajemen TI)
2. APO02 Manage Strategy (Mengelola Strategi)
3. APO03 Manage Enterprise Architecture (Mengelola Arsitektur Bisnis)
4. APO04 Manage Innovation (Mengelola Perubahan)
5. APO05 Manage Portfolio (Mengelola Dokumen)
6. APO06 Manage Budget and Costs (Mengelola Anggaran dan Biaya)
7. APO07 Manage Human Resources (Mengelola Sumber Daya Manusia)
8. APO08 Manage Relationships (Mengelola Relasi)
9. APO09 Manage Service Agreements (Mengelola Perjanjian Layanan)
10. APO10 Manage Suppliers (Mengelola Pemasok)
11. APO11 Manage Quality (Mengelola Kualitas)
12. APO12 Manage Risk (Mengelola Risiko)
13. APO13 Manage Security (Mengelola Keamanan)
34
2.3.3.3 Build, Acquire, and Implementation (BAI)
Memberikan solusi dan melewatinya sehingga akan berubah menjadi
layanan. Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi,
dikembangkan atau diperoleh, serta diimplementasikan dan terintegrasi ke dalam
proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga dicakup oleh
domain ini, untuk memastikan bahwa solusi terus memenuhi tujuan bisnis. Berikut
domain proses BAI:
1. BAI01 Manage Programmes and Project (Mengelola Program Dan Proyek)
2. BAI02 Manage Requirements Definition (Mengelola Definisi Persyaratan)
3. BAI03 Manage Solutions Identification and Build (Mengelola Identifikasi
Solusi dan Pembangunan)
4. BAI04 Manage Availability and Capacity (Mengelola Ketersediaan dan
Kapasitas)
5. BAI05 Manage Organisational Change Enablement (Mengelola
Pemberdayaan Organisasi Perubahan)
6. BAI06 Manage Changes (Mengelola Perubahan)
7. BAI07 Manage Change Acceptance and Transitioning (Mengelola Penerimaan
Perubahan dan Transisi)
8. BAI08 Manage Knowledge (Mengelola Pengetahuan)
9. BAI09 Manage Assets (Mengelola Kepemilikan)
10. BAI10 Manage Configuration (Mengelola Susunan)
35
2.3.3.4 Delivery, Service, and Support (DSS)
Menerima solusi dan dapat digunakan bagi pengguna akhir. Domain ini
berkaitan dengan pengiriman aktual dan dukungan layanan yang dibutuhkan, yang
meliputi pelayanan, pengelolaan keamanan dan kelangsungan, dukungan layanan
bagi pengguna, dan manajemen data dan fasilitas operasional. Berikut domain
proses DSS:
1. DSS01 Manage Operations (Mengelola Operasi)
2. DSS02 Manage Service Requests and Incidents (Mengelola Layanan
Permohonan dan Kecelakaan)
3. DSS03 Manage Problems (Mengelola Masalah)
4. DSS04 Manage Continuity (Mengelola Keberlangsungan)
5. DSS05 Manage Security Services (Mengelola Jasa Keamanan)
6. DSS06 Manage Business Process Controls (Mengelola Kontrol Proses Bisnis)
2.3.3.5 Monitor, Evaluate, and Assess (MEA)
Monitor semua proses untuk memastikan bahwa arah yang disediakan
diikuti. Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk
mengontrol kualitas dan kepatuhan mereka. Domain ini tertuju pada manajemen
kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata
kelola. Berikut domain proses MEA:
1. MEA01 Monitor, Evaluate and Assess Performance and Conformance
(Memantau, Evaluasi dan Menilai Kinerja Dan Penyesuaian)
2. MEA02 Monitor, Evaluate and Assess The System of Internal Control
(Memantau, Evaluasi dan Menilai Sistem Pengendalian Internal)
36
3. MEA03 Monitor, Evaluate and Assess Compliance with External Requirements
(Memantau, Evaluasi dan Menilai Kepatuhan dengan Persyaratan Eksternal)
2.3.4 Implementasi COBIT 5
Menurut ISACA, Siklus hidup implementasi menyediakan cara bagi suatu
perusahaan untuk menggunakan COBIT dalam mengatasi kompleksitas dan
tantangan. Lazimnya kedua hal tersebut ditemui selama penerapan dilapangan
(ISACA, 2012) COBIT 5 memiliki tujuh tahapan yang terdapat dalam siklus hidup
implementasi COBIT, berikut penjelasan tahapan-tahapan tersebut:
Gambar 2.5 Siklus Hidup Implementasi COBIT 5 (ISACA, 2012)
1. Tahap 1 - Initiate Progamme
Tahap 1 mengidentifikasikan penggerak perubahan dan menciptakan
keinginan untuk berubah di level manajemen eksekutif, yang kemudian
diwujudkan berupa kasus bisnis. Penggerak perubahan dapat berupa kejadian
internal maupun eksternal, dan kondisi atau isu penting yang memberikan
37
dorongan untuk berubah. Kejadian, tren, masalah kinerja, implementasi
perangkat lunak, dan bahkan tujuan dari perusahan dapat menjadi penggerak
perubahan.
Resiko yang terkait dengan implementasi dari program ini sendiri akan
dideskripsikan di dalam kasus bisnis, dan dikelola sepanjang siklus hidupnya.
Menyiapkan, menjaga, dan mengawasi kasus bisnis sangatlah mendasar dan
penting untuk pembenaran, mendukung, dan kemudian memastikan hasil akhir
yang sukses dari segala inisiatif, termasuk pengembangan GEIT. Mereka
memastikan fokus yang berkelanjutan terhadap keuntungan dari program dan
perwujudannya.
2. Tahap 2 – Define Problems and Opportunities
Tahap 2 membuat agar tujuan TI dengan strategi dan risiko perusahaan
sejajar, dan memprioritaskan tujuan perusahaan, tujuan TI, dan proses TI yang
paling penting. COBIT 5 menyediakan panduan pemetaan tujuan perusahaan
terhadap tujuan TI terhadap proses TI untuk membantu penyeleksian. Dengan
mengetahui tujuan perusahaan dan TI, proses penting yang harus mencapai
tingkat kapabilitas tertentu dapat diketahui. Manajemen perlu tahu kapabilitas
yang ada saat ini dan dimana kekurangan terjadi. Hal ini dapat dicapai dengan
cara melakukan penilaian kapabilitas proses terhadap proses-proses yang
terpilih.
3. Tahap 3 - Define Road Map
Tahap 3 menetapkan target untuk peningkatan, diikuti oleh analisis selisih
untuk mengidentifikasi solusi potensial. Beberapa solusi akan berupa quick
38
wins dan beberapa berupa tugas jangka panjang yang lebih sulit. Prioritas harus
diberikan kepada proyek yang lebih mudah untuk dicapai dan lebih mungkin
memberikan keuntungan yang paling besar. Tugas jangka panjang perlu
dipecah menjadi bagian-bagian yang lebih mudah untuk diselesaikan.
4. Tahap 4 - Plan Programme
Tahap 4 merencanakan solusi praktis yang layak dijalankan dengan
mendefinisikan proyek yang didukung dengan kasus bisnis yang dapat
dibenarkan dan mengembangkan rencana perubahan untuk implementasi.
Kasus bisnis yang dibuat dengan baik akan membantu memastikan bahwa
keuntungan proyek teridentifikasi, dan diawasi secara terus menerus.
5. Tahap 5 - Execute Plan
Tahap 5 mengubah solusi yang disarankan menjadi kegiatan hari per hari
dan menetapkan perhitungan dan sistem pemantauan untuk memastikan
kesesuaian dengan bisnis tercapai dan kinerja dapat diukur. Kesuksesan
membutuhkan pendekatan, kesadaran dan komunikasi, pengertian dan
komitmen dari manajemen tingkat tinggi dan kepemilikan dari pemilik proses
TI dan bisnis yang terpengaruh.
6. Tahap 6 - Realede Benefits
Tahap 6 berfokus dalam transisi berkelanjutan dari pengelolaan dan praktik
manajemen yang telah ditingkatkan ke operasi bisnis normal dan pemantauan
pencapaian dari peningkatan menggunakan metrik kinerja dan keuntungan yang
diharapkan.
39
7. Tahap 7 - Review Effectiveness
Tahap 7 mengevaluasi kesuksesan dari inisiatif secara umum,
mengidentifikasi kebutuhan tata kelola atau manajemen lebih jauh, dan
meningkatkan kebutuhan akan peningkatan secara terus-menerus. Tahap ini
juga memprioritaskan kesempatan lebih banyak untuk meningkatkan GEIT.
2.3.5 RACI
RACI Chart adalah matrik dari semua aktifitas dan wewenang pada
organisasi yang membantu dalam mengambil keputusan. Berikut ini penjelasan
mengenai RACI Chart (ISACA, 2012).
1. Responsible
Tanggung jawab (responsible) menjelaskan tentang siapa yang
mendapatkan tugas yang harus dilakukan. Hal ini merujuk pada peran utama
atau penanggung jawab pada kegiatan operasional, memenuhi kebutuhan dan
menciptakan hasil yang diinginkan dari organisasi.
2. Accountable
Akuntabel (accountable) menjelaskan tentang siapa yang bertanggung
jawab atas keberhasilan tugas. Hal ini merujuk pada pertanggung jawaban
secara keseluruhan atas tugas yang telah dilakukan.
3. Consulted
Konsultasi (consulted) menjelaskan tentang siapa yang memberikan
masukan. Hal ini merujuk pada peran yang bertanggung jawab untuk
memperoleh informasi dari unit lain atau mitra eksternal. Masukan harus
dipertimbangkan dan pengambilan tindakan yang tepat.
40
4. Informed
Informasi (informed) menjelaskan tentang siapa yang menerima informasi.
Hal ini merujuk pada peran yang bertanggung jawab untuk menerima informasi
yang tepat untuk mengawasi setiap tugas yang dilakukan.
Berikut ini penjelasan mengenai pihak-pihak yang terlibat dalam struktur
COBIT 5 (ISACA, 2012:76), yaitu:
a. Board adalah kelompok eksekutif paling senior atau direktur noneksekutif dari
organisasi yang bertanggung jawab untuk tata kelola organisasi dan memiliki
kontrol keseluruhan sumber daya.
b. Chief Excutive Officer (CEO) adalah orang yang memiliki kedudukan tinggi
yang bertanggung jawab dari manajemen keseluruhan organisasi.
c. Chief Financial Officer (CFO) adalah seseorang yang memiliki jabatan senior
pada organisasi yang bertanggung jawab untuk semua aspek manajemen
keuangan, termasuk resiko dan kontrol keuangan dan rekening terpercaya dan
akurat.
d. Chief Operating Officer (COO) adalah seseorang yang memiliki jabatan senior
pada organisasi yang bertanggung jawab untuk operasi organisasi.
e. Chief Risk Officer (CRO) adalah seseorang yang memiliki jabatan senior pada
organisasi yang bertanggung jawab untuk semua aspek manajemen resiko di
seluruh organisasi. Bertugas mengawasi resiko yang berhubungan dengan TI.
f. Chief Information Officer (CIO) adalah pejabat senior pada organisasi yang
bertanggung jawab untuk menyelaraskan TI dan strategi bisnis dan akuntabel
41
untuk perencanaan, sumber daya dan mengelola pengirima layanan dan solusi
untuk mendukung tujuan TI organisasi.
g. Chief Information Security Officer (CISO) adalah pejabat senior pada organisasi
yang bertanggung jawab untuk keamanan informasi organisasi dalam segala
bentuknya.
h. Business Executive adalah sebuah manajemen individu senior yang
bertanggung jawab untuk operasi unit bisnis tertentu atau anak organisasi.
i. Business Process Owner adalah seseorang yang bertanggung jawab pada proses
kinerja untuk mewujudkan tujuannya, mendorong perbaikan proses dan
menyetujui perubahan proses.
j. Strategy (IT Executive) Committee adalah sekelompok eksekutif senior yang
ditujukan oleh dewan untuk memastikan bahwa dewan terlibat dalam
pengambilan keputusan yang berkaitan dengan TI. Komite ini bertanggung
jawab untuk mengelola portfolio investasi IT-enabled, layanan TI dan asset TI.
k. Steering Committee (Project and Programme) adalah sekelompok pemangku
kepentingan dan ahli yang bertanggung jawab untuk bimbingan program dan
proyek, termasuk pengelolaan dan pemantauan rencana, alokasi sumber daya
dan manajemen program dan risiko proyek.
l. Architecture Board adalah sekelompok pemangku kepentingan dan ahli yang
bertanggung jawab pada organisasi terkait arsitektur dan keputusan untuk
menetapkan kebijakan dan standar arsitektur.
42
m. Enterprise Risk Committee adalah kelompok eksekutif dari organisasi yang
bertanggung jawab untuk kolaborasi tingkat organisasi untuk mendukung
manajemen resiko organisasi.
n. Head of Human Resources adalah pejabat senior pada organisasi yang
bertanggung jawab untuk perencanaan dan kebijakan terhadap semua sumber
daya manusia di organisasi.
o. Compliance adalah seseorang yang bertanggung jawab untuk bimbingan pada
hukum, peraturan dan kepatuhan terhadap kontrak.
p. Audit adalah seseorang yang bertanggung jawab atas penyediaan audit internal.
q. Head of Architecture adalah seorang individu senior untuk proses arsitektur
enterprise.
r. Head of Development adalah seorang individu senior yang bertanggung jawab
terkait proses TI, proses pembangunan solusi.
s. Head of IT Operations adalah seorang individu senior yang bertanggung jawab
atas lingkungan dan infrastruktur operasional TI.
t. Head of IT Administration adalah seorang individu senior yang bertanggung
jawab terkait TI, catatan dan bertanggung jawab untuk mendukung TI terkait
masalah administratif.
u. Programme and Project Management Office (PMO) adalah seseorang yang
bertanggung jawab untuk mendukung program dan proyek manajer,
mengumpulkan, menilai dan melaporkan informasi tentang pelaksanaan
program dan proyek konstituen.
43
v. Value Management Office (VMO) adalah seseorang yang bertindak sebagai
secretariat untuk mengelola portfolio investasi dan layanan, termasuk menilai
dan memberi nasihat tentang peluang investasi, manajemen control dan
menciptakan nilai dari investasi dan jasa.
w. Service Manager adalah seorang individu yang mengelola pengembangan,
implementasi, evaluasi dan pengelolaan berkelanjutan baru dan yang sudah ada.
x. Information Security Manage adalah seorang individu yang mengelola, desain,
mengawasi dan/atau menilai keamanan informasi suatu organisasi.
y. Business Continuity Manager adalah seorang individu yang mengelola,
merancang, mengawasi dan/atau menilai kemampuan kelangsungan usaha
suatu organisasi, untuk memastikan bahwa fungsi organisasi tetap beroperasi
pada saat kritis.
z. Privacy Officer adalah seorang yang bertanggung jawab untuk mematau risiko
dan dampak bisnis undang-undang privasi dan untuk membimbing dan
koordinasi pelaksanaan kebijakan dan kegiatan yang akan memastikan bahwa
arahan privasi terpenuhi. Privacy Officer juga disebut sebagai petugas
perlindungan data.
Berikut ini merupakan salah satu matrik RACI Charts yang terdapat di
dalam framework COBIT 5:
44
Gambar 2.6 RACI Chart APO12 (ISACA,2012:142)
Pada tabel pemetaan RACI Charts terdapat 3 bagian saling terhubung dalam
penentuan pihak-pihak yang terlibat dalam struktur COBIT 5:
1. Tabel Key Management Practice adalah aktifitas-aktifitas didalam domain yang
akan menjadi acuan, sekaligus penentuan kuesioner yang akan diberikan kepada
pihak-pihak terkait.
2. Kolom R A C I adalah bagian inti dalam pemetaan RACI Charts yang telah
ditentukan oleh COBIT untuk sebagai penyesuaian proses terkait terhadap
pihak-pihak terkait yang saling berhubungan.
3. Tabel Pihak Terkait adalah Acuan yang ditawarkan COBIT untuk mengetahui
siapa saja pihak yang terkait dan relevan dengan proses yang disediakan oleh
COBIT
Kegunaan RACI Chart untuk organisasi yang dikelola adalah:
1. Mengidentifikasi beban kerja yang telah ditugaskan kepada karyawan atau
departemen tertentu.
Tabel Key Management
Practice
Tabel Pihak Terkait
Kolom R A C I
45
2. Memastikan bahwa proses tertentu tidak terlalu dominan.
3. Memastikan bahwa anggota baru dijelaskan tentang peran dan tanggung jawab.
4. Menentukan keseimbangan yang tepat antara garis dan tanggung jawab proyek.
5. Mendistribusikan kerja antara kelompok untuk mendapatkan efisiensi kerja
yang lebih baik.
6. Terbuka untuk menyelesaikan konflik dan diskusi.
2.3.6 Process Assessment Model
Menurut ISACA, Process Assessment Model (PAM) merupakan sebuah
model yang compatible untuk tujuan penilaian kemampuan proses, berdasarkan
satu atau lebih dari model referensi (ISACA, 2012).
Model ini merupakan dasar untuk penilaian kemampuan proses TI suatu
perusahaan pada COBIT 5 dan program pelatihan dan sertifikasi bagi para penilai.
Proses penilaian ini dibuktikan dengan mengaktifkan proses penilaian yang dapat
diandalkan, konsisten dan berulang di bidang tata kelola dan manajemen TI.
Model penilaian memungkinkan penilaian oleh perusahaan untuk
mendukung perbaikan proses. Penilai dapat memisahkan bagian-bagian untuk
memilih proses yang akan dinilai. Pemetaan ini meliputi:
a) Menghubungkan tujuan perusahaan dengan tujuan TI perusahaan
b) Menghubungkan tujuan TI perusahaan dengan tujuan proses TI
c) Sebuah Framework untuk memilih bidang area
COBIT 5 PAM yang mendukung kinerja penilaian dengan memberikan
indikator untuk bimbingan pada interpretasi dari tujuan proses perusahaan. COBIT
5 PAM terdiri dari satu set indikator kinerja proses dan kemampuan proses.
46
Indikator-indikator yang digunakan sebagai dasar untuk mengumpulkan bukti
objektif yang memungkinkan penilai untuk menetapkan peringkat (ISACA, 2012).
2.3.6.1 Assessment Process Activities
Assessment Process Activities merupakan tahapan-tahapan aktifitas dalam
melakukan proses penilaian capability level untuk perusahaan (ISACA, 2012):
Gambar 2.7 Proses Assessment Process Activities (ISACA, 2012)
Initiation
Initiation merupakan tahapan pertama dalam Assessment Process Activities
yang ada pada Process Assessment Model COBIT 5. Bertujuan untuk
menjelaskan hasil identifikasi dari beberapa informasi yang dapat dikumpulkan.
Planning the Assessment
Tahap kedua adalah dilakukan rencana penilaian yang bertujuan untuk
mendapatkan hasil evaluasi penilaian capability level. Dengan memetakan
47
RACI Chart yang ada di COBIT dengan beberapa pegawai Pusat Jaringan
Komunikasi BMKG agar selaras dengan kebutuhan aktifitas penelitian yang
akan dinilai.
Briefing
Tahap ketiga adalah melakukan pengarahan kepada tim penilai sehingga
memahai masukan, proses dan keluaran dalam unit organisasi yang akan dinilai
yaitu Pusat Jaringan Komunikasi BMKG dengan cara menentukan jadwal,
kendala yang dihadapi dalam melakukan penilaian, peran dan tanggung jawab,
kebutuhan sumber daya, dan lainlain.
Data Collection
Tahap keempat adalah dilakukan pengumpulan data dari hasil temuan yang
terdapat pada Pusat Jaringan Komunikasi BMKG yang bertujuan untuk
mendapatkan bukti-bukti penilaian evaluasi pada aktifitas proses yang telah
dilakukan.
Data Validation
Tahap kelima adalah dilakukan validasi data yang bertujuan untuk mengetahui
hasil perhitungan kuisioner agar mendapatkan evaluasi penilaian capability
level.
Process Attribute Level
Tahap keenam adalah dilakukan proses memberi level pada atribut yang ada di
setiap indikator, yang bertujuan untuk menunjukkan hasil capability level dari
hasil perhitungan kuisioner pada tahap-tahap sebelumnya dan melakukan
analisis gap pada tahapan berikutnya.
48
Reporting the Result
Tahap ketujuh adalah dilakukan melaporkan hasil evaluasi yang bertujuan
untuk memberikan rekomendasi dengan COBIT 5, bahwa dalam praktik tata
kelola teknologi informasi pada COBIT 5 memiliki beberapa ketentuan yang
harus dipenuhi.
2.3.6.2 Indikator Kapabilitas Proses dalam COBIT 5
Menurut ISACA, indikator kapabilitas proses adalah kemampuan proses
dalam meraih tingkat kapabilitas yang ditentukan oleh atribut proses. Bukti atas
indikator kapabilitas proses akan mendukung penilaian atas pencapaian atribut
proses (ISACA, 2012).
Dimensi kapabilitas dalam model penilaian proses mencakup enam tingkat
kapabilitas. Di dalam enam tingkat tersebut terdapat indikator atribut proses.
Tingkat 0 tidak memiliki indikator apapun, karena tingkat 0 menyatakan
proses yang belum diimplementasikan atau proses yang gagal, meskipun sebagian,
untuk mencapai hasil akhirnya. Kegiatan penilaian membedakan antara penilaian
untuk level 1 dengan level yang lebih tinggi. Hal ini dilakukan karena level 1
menentukan apakah suatu proses mencapai tujuannya, dan oleh karena itu sangat
penting untuk dicapai, dan juga menjadi pondasi dalam meraih level yang lebih
tinggi.
Lalu untuk penilaian capability level (tingkat kemampuan) terbagi menjadi
beberapa tingkatan yaitu Level 0-Incomplete Process, Level 1-Performed Process,
Level 2-Managed Process, Level 3-Established Process, Level 4-Predictable
process, Level 5-Optimising Process (ISACA, 2012:42). Kemudian Tingkat
49
kemampuan prosesnya ditentukan atas dasar pencapaian atribut proses tertentu
yang sesuai dengan ISO/IEC 15504-2: 2003.
Gambar 2.8 COBIT 5 Process Capability Model (ISACA, 2013:42)
2.3.7 Pemetaan Tujuan Terkait TI Terhadap Proses COBIT 5
Berikut ini merupakan gambar mapping IT-related goals pada proses yang
terdapat dalam COBIT 5:
50
Gambar 2.9 Pemetaan IT-related goal pada COBIT 5
51
Gambar 2.10 Pemetaan IT-related goal pada COBIT 5 (lanjutan)
Keterangan:
P = Primary
S = Secondary
52
Dari gambar tersebut, terlihat 37 proses COBIT serta hubungan primary
maupun secondary antara proses-proses COBIT yang ada dengan panduan IT goals
secara umum.
2.3.8 Fokus Area Evaluasi Tata Kelola TI
Proses Evaluasi pada tata kelola teknologi informasi ditentukan berdasarkan
kebutuhan organisasi saat ini. Penentuan fokus proses dilakukan dengan cara
memetakan masalah-masalah yang ada di Pusat Jaringan Komunikasi BMKG
dengan tujuan terkait TI. Domain proses tersebut diantarnya adalah Proses APO12
(Manage Risk), APO13 (Manage Security), dan DSS05 (Manage Security
Services).
2.3.8.1 Proses APO 12 (Manage Risk)
Pengertian dari proses APO 12 menurut (ISACA, 2012) adalah proses
pengidentifikasian secara berkelanjutan, penilaian dan mengurangi risiko
penggunaan TI pada level yang dibolehkan oleh manajemen eksekutif perusahaan.
Tujuan dari proses ini adalah untuk menghubungkan manajemen risiko TI
perusahaan dengan keseluruhan manajemen sumberdaya perusahaan, dan
menyeimbangkan antara biaya dan keuntungan dari manajemen risiko TI
perusahaan (ISACA, 2012).
2.3.8.2 Proses APO 13 (Manage Security)
Pengertian dari proses APO 13 menurut (ISACA, 2012) adalah proses yang
menjelaskan operasi dan pengawasan sistem untuk keperluan manajemen
keamanan informasi.
53
Proses ini bertujuan untuk menjaga agar dampak dan insiden keamanan
informasi berada pada ambang batas perusahaan (ISACA, 2012).
2.3.8.3 Proses DSS05 (Manage Security Services)
Menurut (ISACA, 2012) pengertian dari proses DSS05 adalah melindungi
informasi perusahaan agar risiko yang disebabkan berada pada ambang batas
perusahaan dengan kaitannya pada peraturan keamanan. Serta membuat dan
merawat kewenangan akses keamanan informasi dan menjalankan pengawasan
keamanan.
Proses ini bertujuan untuk meminimalkan dampak operasional celah dan
insiden keamanan informasi terhadap bisnis (ISACA, 2012).
2.4 Framework ISO 27002
International Standards Organization (ISO) mengelompokkan standar
keamanan informasi yang umum dikenali secara internasional ke dalam struktur
penomoran yang standar yakni ISO 17799. ISO 17799 tahun 2005, resmi
dipublikasikan pada tanggal 15 Juni 2005. Pada tanggal 1 Juli 2007, nama itu secara
resmi diubah menjadi ISO 27002 tahun 2005. Konten tersebut masih persis sama.
Standar ISO 17799: 2005 (sekarang dikenal sebagai ISO 27002: 2005)
dikembangkan oleh IT Security Subcommittee dan Technical Committee on
Information Technology (ISO 27002, 2005).
ISO 27002: 2005 berisi panduan yang menjelaskan contoh penerapan
keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar
mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan
seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan didalam ISO
54
27001. Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan berdasarkan
ISO 27001 terdiri dari 11 klausul kontrol keamanan (security control clauses), 39
objektif kontrol (control objectives) dan 133 kontrol keamanan/ kontrol (controls)
yang dapat dilihat dalam Tabel 2.1. Sedangkan untuk detail struktur dokumen
kontrol keamanan dari ISO 27001 dapat dilihat pada Lampiran.
2.4.1 Hubungan dengan ISO/IEC 27001
ISO/IEC 27001 secara formal mendefinisikan persyaratan wajib untuk
Sistem Manajemen Keamanan Informasi (ISMS). ISO/IEC 27002 digunakan untuk
menunjukkan kontrol keamanan informasi yang sesuai dalam ISMS, tetapi karena
ISO/IEC 27002 hanyalah sebuah kode praktik / pedoman daripada standar
sertifikasi, organisasi bebas untuk memilih dan menerapkan kontrol lain, atau
memang mengadopsi alternative suite lengkap kontrol keamanan informasi yang
mereka mau. Dalam praktiknya, sebagian besar organisasi yang mengadopsi
ISO/IEC 27001 juga mengadopsi ISO/IEC 27002.
2.4.2 Struktur dan format ISO/IEC 27002: 2013
ISO/IEC 27002 adalah kode praktik dokumen umum yang bersifat
penasihat, bukan spesifikasi formal seperti ISO/IEC 27001. Dokumen ini
merekomendasikan kontrol keamanan informasi yang membahas tujuan
pengendalian keamanan informasi yang timbul dari risiko terhadap kerahasiaan,
integritas, dan ketersediaan informasi. Organisasi yang mengadopsi ISO/IEC 27002
harus menilai risiko informasi mereka sendiri, memperjelas tujuan kontrol mereka
dan menerapkan kontrol yang sesuai (atau bentuk lain dari perlakuan risiko)
menggunakan standar untuk panduan.
55
Banyak kontrol dapat dimasukkan dalam beberapa bagian, tetapi untuk
menghindari duplikasi dan konflik, mereka yang memiliki wewenang ditugaskan
untuk memilih satu, atau dalam beberapa kasus dapat dilakukan referensi silang dari
tempat lain. Misalnya, sistem kontrol akses kartu untuk ruang komputer atau
arsip/lemari besi. Ruang komputer atau arsip/lemari besi adalah kontrol akses dan
kontrol fisik yang melibatkan teknologi ditambah manajemen/administrasi terkait
serta prosedur dan kebijakan penggunaan. Hal ini setidaknya merupakan struktur
yang cukup komprehensif dan mungkin tidak sempurna tetapi cukup baik secara
keseluruhan.
2.4.3 Content ISO/IEC 27002
Secara lebih detail, berikut adalah perincian yang meringkas 19 bagian atau
bab standar (21 jika Anda menyertakan kata pengantar dan bibliografi yang tidak
bernomor). Area blok secara kasar mencerminkan ukuran bagian.
Gambar 2.11 Klausul ISO 27002 2013
56
Foreward
Secara singkat menyebutkan ISO/IEC JTC1 / SC 27, komite yang menulis standar,
dan mencatat bahwa "edisi kedua ini membatalkan dan menggantikan edisi pertama
(ISO/IEC 27002: 2005), yang telah direvisi secara teknis dan struktural".
0. Introduction
Ini memaparkan latar belakang, menyebutkan tiga asal dari persyaratan
keamanan informasi, mencatat bahwa standar menawarkan panduan generik
dan berpotensi tidak lengkap yang harus ditafsirkan dalam konteks organisasi,
menyebutkan informasi dan siklus hidup sistem informasi, dan menunjuk ke
ISO/IEC 27000 untuk keseluruhan struktur.
1. Scope
Standar ini memberikan rekomendasi bagi mereka yang bertanggung jawab
untuk memilih, menerapkan dan mengelola keamanan informasi. Ini mungkin
digunakan atau mungkin tidak digunakan untuk mendukung ISMS yang
ditentukan dalam ISO/IEC 27001.
2. Normative References
ISO/IEC 27000 adalah satu-satunya standar yang dianggap mutlak tak
terpisahkan untuk penggunaan ISO/IEC 27002. Namun, berbagai standar lain
disebutkan dalam standar dan bibliografi.
3. Terms and Definitions
Semua istilah dan definisi spesialis sekarang didefinisikan dalam ISO/IEC
27000 dan paling berlaku di seluruh standar keluarga ISO/IEC 27000.
57
4. Structure of this Standard
a. Klausa Kontrol keamanan
Dalam klausa kontrol keamanan Dari 21 bagian atau bab standar, 14
menentukan tujuan pengendalian dan kontrol. 14 ini adalah “klausul kontrol
keamanan”. Ada struktur standar dalam setiap klausa kontrol: satu atau
beberapa subbagian tingkat pertama, masing-masing menyatakan tujuan
kontrol, dan setiap tujuan kontrol didukung secara bergantian oleh satu atau
lebih kontrol yang dinyatakan. Setiap kontrol diikuti oleh pedoman
penerapan terkait dan, dalam beberapa kasus, catatan penjelasan tambahan.
b. 35 Tujuan Kontrol
ISO/IEC 27002 menetapkan sekitar 35 tujuan kontrol (satu per 'kategori
kontrol keamanan') tentang perlunya melindungi kerahasiaan, integritas,
dan ketersediaan informasi. Tujuan kontrol berada pada tingkat yang cukup
tinggi dan, pada dasarnya, mencakup spesifikasi persyaratan fungsional
umum untuk arsitektur manajemen keamanan informasi organisasi.
Beberapa profesional akan secara serius membantah keabsahan tujuan
pengendalian, untuk menempatkannya dengan cara lain akan sulit untuk
menyatakan bahwa organisasi tidak perlu memenuhi tujuan pengendalian
yang dinyatakan secara umum. Namun, beberapa tujuan pengendalian tidak
berlaku dalam setiap kasus dan kata-kata generiknya tidak mungkin untuk
mencerminkan persyaratan yang tepat dari setiap organisasi. Inilah
sebabnya mengapa ISO/IEC 27001 membutuhkan SoA (Pernyataan
Keberlakuan), meletakkan secara jelas apa kontrol keamanan informasi
58
yang diperlukan atau tidak diperlukan oleh organisasi, serta status
penerapannya.
c. 114 +++ control
Masing-masing tujuan kontrol didukung oleh setidaknya satu kontrol,
memberikan total 114. Namun, angka utama agak menyesatkan karena
pedoman pelaksanaan merekomendasikan banyak kontrol aktual dalam
rinciannya. Tujuan kontrol yang berkaitan dengan sub-sub-bagian yang
relatif sederhana 9.4.2 "Prosedur log-on yang aman", misalnya, didukung
dengan memilih, menerapkan dan menggunakan teknik otentikasi yang
sesuai, tidak mengungkapkan informasi sensitif pada saat log-on, validasi
entri data, perlindungan terhadap serangan brute-force, logging, tidak
mentransmisikan password secara jelas melalui jaringan, waktu tidak aktif
sesi, dan pembatasan waktu akses. Apakah Anda menganggap bahwa
menjadi satu atau beberapa kontrol terserah Anda. Dapat dikatakan bahwa
ISO/IEC 27002 merekomendasikan ratusan kontrol keamanan informasi
yang berbeda, meskipun beberapa mendukung beberapa tujuan kontrol,
dengan kata lain beberapa kontrol memiliki beberapa tujuan.
Lebih jauh lagi, kata-kata di seluruh standar dengan jelas menyatakan atau
menyiratkan bahwa ini bukan kumpulan yang benar-benar komprehensif.
Suatu organisasi mungkin memiliki tujuan pengendalian keamanan
informasi baru yang sedikit berbeda atau sepenuhnya baru, yang
membutuhkan kontrol lain (kadang-kadang dikenal sebagai 'rangkaian
59
kontrol diperpanjang') sebagai pengganti atau di samping yang dinyatakan
dalam standar.
5. Information Security Policies
Manajemen harus menetapkan seperangkat kebijakan untuk memperjelas arah
mereka dan dukungan untuk keamanan informasi. Di tingkat atas, harus ada
"kebijakan keamanan informasi" secara keseluruhan sebagaimana ditentukan
dalam ISO/IEC 27001.
6. Organization of Information Security
a. Organisasi internal
Organisasi harus meletakkan peran dan tanggung jawab untuk keamanan
informasi, dan mengalokasikannya kepada individu. Jika relevan, tugas
harus dipisahkan antara peran dan individu untuk menghindari konflik
kepentingan dan mencegah kegiatan yang tidak pantas. Harus ada kontak
dengan otoritas eksternal yang relevan tentang masalah keamanan
informasi. Keamanan informasi harus menjadi bagian integral dari
manajemen semua jenis proyek.
b. Perangkat Seluler dan Teleworking
Harus ada kebijakan keamanan dan kontrol untuk perangkat seluler (seperti
laptop, PC tablet, perangkat TIK yang dapat dipakai, smartphone, gadget
USB, dan lainnya) dan teleworking (seperti telecommuting, pekerjaan
rumah, dan remote/tempat kerja virtual).
60
7. Human Resource Security
a. Sebelum Bekerja
Tanggung jawab keamanan informasi harus dipertimbangkan ketika
merekrut karyawan tetap, kontraktor dan staf sementara (misalnya melalui
deskripsi pekerjaan yang memadai, skrining pra-kerja) dan termasuk dalam
kontrak (misalnya syarat dan ketentuan kerja dan perjanjian yang
ditandatangani lainnya yang mendefinisikan peran dan tanggung jawab
keamanan, kewajiban kepatuhan dll.).
b. Selama Bekerja
Manajer harus memastikan bahwa karyawan dan kontraktor disadarkan dan
termotivasi untuk mematuhi kewajiban keamanan informasi mereka. Proses
disipliner formal diperlukan untuk menangani insiden keamanan informasi
yang diduga disebabkan oleh pekerja.
c. Penghentian dan Perubahan Pekerjaan
Aspek keamanan seseorang dari organisasi, atau perubahan peran yang
signifikan di dalamnya, harus dikelola, seperti mengembalikan informasi
dan peralatan perusahaan yang mereka miliki, memperbarui hak akses
mereka, dan mengingatkan mereka tentang kewajiban berkelanjutan mereka
di bawah privasi dan kekayaan intelektual hukum, ketentuan kontrak,
ditambah dengan harapan etika, dll.
61
8. Asset Management
a. Tanggung Jawab untuk Aset
Semua aset informasi harus diinventarisasi dan pemilik harus diidentifikasi
untuk dimintai pertanggungjawaban atas keamanan mereka. Kebijakan
“Penggunaan yang dapat diterima” harus ditetapkan, dan aset harus
dikembalikan ketika orang meninggalkan organisasi.
b. Klasifikasi Informasi
Informasi harus diklasifikasikan dan diberi label oleh pemiliknya sesuai
dengan perlindungan keamanan yang diperlukan, dan ditangani dengan
tepat.
c. Penanganan media
Media penyimpanan informasi harus dikelola, dikendalikan, dipindahkan,
dan diatur sedemikian rupa sehingga konten informasi dapat dikendalikan.
9. Access Control
a. Persyaratan Bisnis untuk Kontrol Akses
Persyaratan organisasi untuk mengontrol akses ke aset informasi harus
didokumentasikan dengan jelas dalam kebijakan dan prosedur kontrol
akses, terutama akses jaringan dan koneksi harus dibatasi.
b. Manajemen Akses Pengguna
Alokasi hak akses ke pengguna harus dikendalikan dari pendaftaran
pengguna awal hingga penghapusan hak akses ketika tidak lagi diperlukan,
termasuk pembatasan khusus untuk hak akses istimewa dan pengelolaan
62
kata sandi (sekarang disebut "informasi otentikasi rahasia") ditambah ulasan
rutin dan pembaruan hak akses.
c. Tanggung Jawab Pengguna
Pengguna harus dibuat sadar akan tanggung jawab mereka untuk
mempertahankan kontrol akses yang efektif, mis. memilih kata sandi yang
kuat dan menjaga kerahasiaannya.
d. Sistem dan Kontrol Akses Aplikasi
Akses informasi harus dibatasi sesuai dengan kebijakan kontrol akses,
keamanan log-on, manajemen kata sandi, kontrol atas utilitas istimewa dan
akses terbatas ke kode sumber program.
10. Cryptography
a. Kontrol kriptografi
Harus ada kebijakan tentang penggunaan enkripsi, ditambah otentikasi
kriptografi dan kontrol integritas seperti tanda tangan digital dan kode
otentikasi pesan, dan manajemen kunci kriptografi.
11. Physical and Enviromental Security
a. Area aman
Batas dan rintangan fisik yang ditetapkan dengan kontrol masuk fisik dan
prosedur kerja, harus melindungi gedung, kantor, ruangan, area
pengiriman/pemuatan, dll. Saran spesialis harus dicari mengenai
perlindungan terhadap kebakaran, banjir, gempa bumi, bom dll.
63
b. Peralatan
Peralatan ditambah utilitas pendukung (seperti daya dan pengkondisian
udara) dan pemasangan kabel harus dijamin dan dipelihara. Peralatan dan
informasi tidak boleh dikeluarkan dari lokasi kecuali diizinkan, dan harus
dilindungi secara memadai baik di dalam maupun di luar lokasi. Informasi
harus dihancurkan sebelum media penyimpanan dibuang atau digunakan
kembali. Peralatan yang tidak dijaga harus diamankan dan harus ada meja
yang jelas dan kebijakan layar jernih.
12. Operations Security
a. Prosedur dan Tanggung Jawab Operasional
Tanggung jawab dan prosedur operasi TI harus didokumentasikan.
Perubahan pada fasilitas dan sistem TI harus dikontrol. Kapasitas dan
kinerja harus dikelola. Pengembangan, pengujian dan sistem operasional
harus dipisahkan.
b. Perlindungan dari Malware
Kontrol malware diperlukan, termasuk kesadaran pengguna.
c. Backup
Cadangan yang sesuai harus diambil dan disimpan sesuai dengan kebijakan
cadangan.
d. Pencatatan dan Pemantauan
Pengguna sistem dan kegiatan administrator/operator, pengecualian,
kesalahan dan kejadian keamanan informasi harus dicatat dan dilindungi,
Jam harus disinkronkan.
64
e. Kontrol Operasional Perangkat Lunak
Instalasi perangkat lunak pada sistem operasional harus dikontrol.
f. Pengelolaan Kerentanan Teknis
Kerentanan teknis harus ditambal, dan harus ada aturan di tempat yang
mengatur pemasangan perangkat lunak oleh pengguna.
g. Pertimbangan Audit Sistem Informasi
Audit TI harus direncanakan dan dikendalikan untuk meminimalkan
dampak buruk pada sistem produksi, atau akses data yang tidak sesuai.
13. Communications Security
a. Manajemen Keamanan Jaringan
Jaringan dan layanan jaringan harus diamankan, misalnya dengan segregasi.
b. Transfer Informasi
Harus ada kebijakan, prosedur, dan perjanjian (misalnya perjanjian
kerahasiaan) tentang transfer informasi ke/dari pihak ketiga, termasuk
perpesanan elektronik.
14. System Acquisition, Development and Maintenance
a. Persyaratan Keamanan Sistem Informasi
Persyaratan kontrol keamanan harus dianalisis dan ditentukan, termasuk
aplikasi web dan transaksi.
b. Keamanan dalam Proses Pengembangan dan Dukungan
Aturan yang mengatur pengembangan perangkat lunak/sistem yang aman
harus didefinisikan sebagai kebijakan. Perubahan sistem (baik aplikasi dan
sistem operasi) harus dikontrol. Paket-paket perangkat lunak idealnya tidak
65
perlu dimodifikasi, dan prinsip-prinsip rekayasa sistem yang aman harus
diikuti. Lingkungan pengembangan harus diamankan, dan pengembangan
yang dialihdayakan harus dikontrol. Keamanan sistem harus diuji dan
kriteria penerimaan didefinisikan untuk memasukkan aspek keamanan.
c. Data Uji
Data uji harus dipilih / dibuat dan dikendalikan secara hati-hati.
15. Supplier Relationships
a. Keamanan Informasi dalam Hubungan Pemasok
Harus ada kebijakan, prosedur, kesadaran, dll. Untuk melindungi informasi
organisasi yang dapat diakses oleh agen outsourcing TI dan pemasok
eksternal lainnya di seluruh rantai pasokan, yang disepakati dalam kontrak
atau perjanjian.
b. Manajemen Pengiriman Layanan Pemasok
Penyampaian layanan oleh pemasok eksternal harus dipantau, dan
ditinjau/diaudit terhadap kontrak/perjanjian. Perubahan layanan harus
dikontrol.
16. Information Security Incident Management
a. Manajemen Insiden Keamanan Informasi dan Perbaikan
Harus ada tanggung jawab dan prosedur untuk mengelola (melaporkan,
menilai, menanggapi dan belajar dari) kejadian keamanan informasi,
insiden dan kelemahan secara konsisten dan efektif, dan mengumpulkan
bukti forensik.
66
17. Information Security Aspects of Bussiness Continuity
a. Kelanjutan Keamanan Informasi
Kesinambungan keamanan informasi harus direncanakan, diterapkan, dan
ditinjau sebagai bagian integral dari sistem manajemen kesinambungan
bisnis organisasi.
b. Redudansi
Fasilitas IT harus memiliki redundansi yang cukup untuk memenuhi
persyaratan ketersediaan.
18. Compliance
a. Kepatuhan dengan Persyaratan Hukum dan Kontrak
Organisasi harus mengidentifikasi dan mendokumentasikan kewajibannya
kepada pihak berwenang eksternal dan pihak ketiga lainnya dalam
kaitannya dengan keamanan informasi, termasuk kekayaan intelektual,
catatan, privasi/informasi identitas pribadi dan kriptografi.
b. Tinjauan Keamanan Informasi
Pengaturan keamanan informasi organisasi harus ditinjau secara
independen (diaudit) dan dilaporkan kepada manajemen. Manajer juga
harus secara rutin meninjau kepatuhan karyawan dan sistem terhadap
kebijakan keamanan, prosedur, dll. Dan memulai tindakan korektif jika
perlu.
Standar ISO 27002 menetapkan petunjuk dan prinsip umum untuk inisiasi,
implementasi, pemeliharaan dan peningkatan manajemen keamanan informasi pada
sebuah organisasi. Tujuan secara garis besar pada standar ini menyediakan petunjuk
67
umum pada tujuan manajemen keamanan informasi yang biasanya diterima. Tujuan
kontrol dan kontrol standar internasional ini dimaksudkan untuk dimplementasikan
untuk memenuhi persyaratan yang diidentifikasi oleh penilaian resiko. Standar
internasional ini dapat berfungsi sebagai petunjuk praktis untuk mengembangkan
standar keamanan organisasional dan praktik manajemen keamanan dan membantu
untuk membangun kepercayaan diri pada aktivitas antar organisasional. Standar ini
berisi 11 klausa kontrol keamanan yang secara bersama berisi 39 kategori
keamanan utama dan satu klausul pengantar memperkenalkan penilaian resiko dan
perlakuan. Masing-masing klausa terdiri dari sejumlah kategori keamanan utama.
Masing-masing kategori keamanan utama terdiri dari tujuan kontrol yang
menyatakan apa yang ingin dicapai dan satu atau lebih kontrol yang dapat
diterapkan untuk mencapai tujuan control.
Klausul Jumlah
Objektif Kontrol Kontrol
5 1 2
6 2 11
7 2 5
8 3 9
9 2 13
10 10 31
11 7 25
12 6 16
13 2 5
14 1 5
15 3 10
Jumlah : 11 Jumlah : 39 Jumlah : 133
Tabel 2.1 Jumlah Klausul ISO 27002
ISO 27002 tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi
menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang tepat
68
sesuai kebutuhanya, dengan mempertimbangkan hasil kajian resiko yang telah
dilakukanya (Direktorat Keamanan Informasi, 2011).
27000 Fundamental & Vocabulary
27005
RISK
MANAGEMENT
27001 : ISMS
27002 : Code of Practice for ISMS
27003 : Implementation Guidance
27004 : Metrics & Measurement
27006 : Guidelines on ISMS Accreditation
27007 : Guidelines on ISMS Auditing
Gambar 2.12 ISO 27000 Family (Sumber: Sarno dan Iffano, 2009: 56)
Standar tersebut memiliki fungsi dan peran masing-masing dan berkembang
ke seri lain yang paparan lebih lanjutnya akan dijelaskan sebagai berikut.
1. ISO 27000: merupakan dokumen yang berisikan definisi-definisi dalam bidang
keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO
27000.
2. ISO 27001: berisi persyaratan standar yang harus dipenuhi untuk membangun
SMKI.
3. ISO 27002: merupakan panduan praktis (code of practice) pelaksanaan, teknik,
dan implementasi sistem manajemen keamanan informasi perusahaan
berdasarkan ISO 27001.
4. ISO 27003: berisi panduan untuk perancangan dan penerapan SMKI agar
memenuhi persyaratan ISO 27001.
5. ISO 27004: berisi matriks dan metode pengukuran keberhasilan implementasi
SMKI.
6. ISO 27005: dokumen panduan pelaksanaan manajemen resiko.
7. ISO 27006: dokumen panduan untuk sertifikasi SMKI perusahaan.
69
8. ISO 27007: dokumen panduan audit SMKI perusahaan.
2.5 Pemetaan Proses COBIT kedalam Kontrol ISO
Perbedaan mendasar antara COBIT dan ISO 27002 adalah bahwa ISO
27002 hanya berfokus pada keamanan informasi, sedangkan COBIT difokuskan
pada kontrol teknologi informasi yang lebih umum. Dengan demikian, COBIT
memiliki cakupan yang lebih luas dari topik teknologi informasi umum, tetapi tidak
memiliki banyak persyaratan keamanan informasi rinci seperti ISO 27002. Jika
suatu organisasi menangani semua kontrol keamanan dalam ISO 27002, maka
mereka akan mencakup sebagian besar COBIT. Namun, COBIT mencakup
serangkaian masalah yang jauh lebih besar terkait dengan tata kelola teknologi
informasi, dan biasanya digunakan sebagai bagian dari kerangka kerja tata kelola
perusahaan secara keseluruhan.
COBIT berfungsi mempertemukan semua bisnis kebutuhan kontrol dan isu-
isu teknik. Di samping itu, COBIT juga dirancang agar dapat menjadi alat bantu
yang dapat memecahkan permasalahan pada IT governance dalam memahami dan
mengelola resiko serta keuntungan yang behubungan dengan sumber daya
informasi perusahaan. Agar tata kelola keamanan informasi dapat berjalan dengan
baik diperlukan suatu standar untuk melakukan tata kelola tersebut (Tanuwijaya
dan Sarno, 2010: 80). Menurut (Sarno dan Iffano, 2009: 59) tidak ada acuan baku
mengenai standar apa yang akan digunakan atau dipilih oleh perusahaan untuk
melaksanakan audit keamanan sistem informasi. ISO27002 adalah sebuah standar
internasional yang tidak terikat dengan peraturan negara manapun. Penggunaan
standar ISO27002 adalah bersifat voluntary yang berarti bahwa masing-masing
70
organisasi dapat memilih praktik terbaik mana yang digunakan yang cocok dengan
kebutuhan organisasi.
Salah satu bagian terpenting dari teknologi informasi dalam kerangka kerja
COBIT, adalah manajemen keamanan informasi yang mencakup kerahasiaan,
integritas, dan ketersediaan sumber daya. Karena masalah yang diangkat adalah
area yang dicakup oleh standar ISO/IEC 27002, pilihan terbaik untuk memenuhi
manajemen keamanan informasi adalah dengan menggunakan framework COBIT
5 untuk pemetaan proses-proses yang relevan serta menghitung Capability Level
Perusahaan, dan menggunakan standar ISO 27002 dalam pemberian usulan serta
pembuatan dokumen tata kelola keamanan informasi.
Tujuan pemetaan ini menyediakan cara terintegrasi untuk penggunaan
COBIT dan ISO/IEC 27002 secara komplementer untuk keamanan informasi.
Pemetaan ISO/IEC 27002 ke dalam proses COBIT memungkinkan organisasi untuk
menurunkan biaya keseluruhan untuk menjaga tingkat keamanan yang maksimal,
efisien dan efektif mengelola risiko dan mengurangi tingkat risiko secara
keseluruhan.
2.6 Metode Perhitungan
2.6.1 Skala Likert
Dalam penelitian ini penulis menggunakan Skala Likert sebagai metode
perhitungan pada instrumen penelitian. Skala Likert merupakan skala yang dapat
dipergunakan untuk mengukur sikap, pendapat, dan persepsi seseorang tentang
suatu gejala atau fenomena tertentu (Budiman & Riyanto, 2013)
71
Sependapat dengan Budiman dan Riyanto. Guritno mengemukakan skala
Likert digunakan untuk mengukur sikap, pendapat, dan persepsi seseorang atau
sekelompok orang tentang kejadian atau gejala sosial. Skala ini dikembangkan pada
tahun 1930 oleh Rensis Likert untuk memberikan ukuran sikap seseorang tingkat
ordinal (Guritno, 2011).
Skala Likert juga kerap digunakan dalam penelitian survey dengan orang
menyatakan sikap atau tanggapan lain sehubungan dengan kategori tingkat ordinal
(misal, setuju, tidak setuju) yang diperingatkan sepanjang kontinum (Neuman,
2013). Berikut keterangan nilai/skor skala Likert yang terdapat pada tabel berikut:
Alternatif Skor
Positif Negatif
Sangat Setuju 5 1
Setuju 4 2
Kurang Setuju 3 3
Tidak Setuju 2 4
Sangat Tidak Setuju 1 5
Tabel 2.2 Ketentuan Nilai Skala Likert
2.6.2 Skala Rating Scale
Atribut peringkat menggunakan skala peringkat standar yang terdiri dari:
1. N (Not achieve)
Kategori ini tidak ada atau hanya sedikit bukti atas pencapaian atribut proses
tersebut. Range nilai yang diraih pada kategori ini berkisar 0-15%.
72
2. P (Partially achieve)
Kategori ini terdapat beberapa bukti mengenai pendekatan, dan beberapa
pencapaian atribut atas proses tersebut. Range nilai yang diraih pada kategori
ini berkisar 15-50%.
3. L (Largely achieve)
Kategori ini terdapat bukti atas pendekatan sistematis, dan pencapaian
signifikan atas proses tersebut, meski mungkin masih ada kelemahan yang tidak
signifikan. Range nilai yang diraih pada kategori ini berkisar 50-85%.
4. F (Fully achieve)
Kategori ini terdapat bukti atas pendekatan sistematis dan lengkap, dan
pencapaian penuh atas atribut proses tersebut. Tidak ada kelemahan terkait
atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar 85-
100%.
Tabel 2.3 Rating Levels (ISACA, 2012)
Menutur ISACA, suatu proses cukup meraih kategori Largely achieved (L)
atau Fully achieved (F) untuk dapat dinyatakan bahwa proses tersebut telah meraih
suatu tingkat kapabilitas tersebut, namun proses tersebut harus meraih kategori
Fully achieved (F) untuk dapat melanjutkan penilaian ke tingkat kapabilitas
berikutnya, misalnya bagi suatu proses untuk meraih tingkat kapabilitas 3, maka
73
tingkat 1 dan 2 proses tersebut harus mencapai kategori Fully achieved (F)
sementara tingkat kapabilitas 3 cukup mencapai kategori Lagerly achieved (L) atau
Fully achieved (F) (ISACA, 2012).
2.6.3 Perhitungan Capability Level
Menurut Krisdanto Surendro pada bukunya yang berjudul “Implementasi
Tata Kelola TI” (2009). Dijelaskan tentang hasil dari perhitungan kuesioner yang
direkapitulasi untuk dapat merepresentasikan persentase dan Capability Level.
Maka dapat dijelaskan dengan rumus penilaian sebagai berikut:
1. Menghitung Rekapitulasi Jawaban Kuesioner
𝑪 =𝑯
𝑱𝑹× 𝟏𝟎𝟎%
Keterangan:
C : Rekapitulasi jawaban kuesioner Capability Level
(dalam bentuk persentase pada masing-masing pilihan
jawaban a, b, c, d, e atau f di masing-masing aktivitas).
H : Jumlah jawaban kuesioner Capability Level pada
masing-masing pilihan jawaban a, b, c, d, e atau f di
setiap aktivitas.
J
R
: Jumlah Responden/Narasumber.
2. Menghitung Nilai dan Level Kapabilitas
𝑁𝐾 =(𝑳𝑷𝒙𝑵𝒌𝒂+(𝑳𝑷𝒙𝑵𝒌𝒃)+(𝑳𝑷𝒙𝑵𝒌𝒄)+(𝑳𝑷𝒙𝑵𝒌𝒅)+(𝑳𝑷𝒙𝑵𝒌𝒆)+(𝑳𝑷𝒙𝑵𝒌𝒇)
100
Keterangan:
NK : Nilai kematangan pada proses TI.
74
LP : Level percentage (Tingkat persentase pada setiap distribusi
jawaban kuesioner II capability level).
Nk : Nilai kematangan yang tertera pada tabel pemetaan jawaban, nilai
dan tingkat kematangan.
Pada penelitian ini dilakukan pembedaan istilah antara nilai kapabilitas dan
tingkat kapabilitas. Nilai kapabilitas bisa bernilai tidak bulat (bilangan desimal),
yang merepresentasikan proses pencapaian menuju suatu tingkat kapabilitas
tertentu. Sedangkan tingkat kapabilitas lebih menunjukkan tahapan atau kelas yang
dicapai dalam proses kapabilitas, yang dinyatakan dalam bilangan bulat. (Surendro,
2009).
Untuk lebih memperjelas tingkat kapabilitas dapat dilihat pengasumsian
bahwa setiap sub proses memiliki nilai serta pembobotan terhadap tingkat
kapabilitas yang sama terhadap proses pada tabel 2.4.
Rentang Nilai Jawaban Nilai
Kapabilitas
Tingkat
Kapabilitas
0 – 0,50 A 0,00 0 (Incomplete
Process)
0,51 – 1,50 B 1,00 1 (Performed
Process)
1,51 – 2,50 C 2,00 2 (Managed
Process)
2,51 – 3,50 D 3,00 3 (Established
Process)
3,51 – 4,50 E 4,00 4 (Predictable
Process)
4,51 – 5,00 F 5,00 5 (Optimising
Process)
Tabel 2.4 Pemetaan Jawaban Nilai dan Tingkat Kapabilitas
75
2.7 Metode Pengumpulan Data
Data merupakan manifestasi dari informasi yang sengaja dicari untuk
dikumpulkan guna menjelaskan suatu peristiwa atau kegiatan lainnya.
Pengumpulan data pada dasarnya merupakan suatu kegiatan operasional agar
tindakannya masuk pada pengertian penelitian yang sebenarnya (Subagyo, 2015).
Secara umum metode pengumpulan data dapat dibagi atas beberapa jenis yaitu:
1. Wawancara
Salah satu metode pengumpulan data dilakukan melalui wawancara adalah
suatu kegiatan yang dilakukan untuk mendapatkan informasi secara langsung
dengan mengungkapkan pertanyaan-pertanyaan pada para responden.
Wawancara bermakna berhadapan langsung antara interviewer dengan
reponden dan kegiatannya dilakukan secara lisan (Subagyo, 2015).
2. Observasi
Bentuk alat pengumpul data yang lain dilakukan dengan cara
observasi/pengamatan. Observasi dilakukan sesusai dengan kebutuhan
penelitian mengingat tidak setiap penelitian menggunakan alat pengumpul data
demikian. Observasi adalah pengamatan yang dilakukan secara sengaja,
sistematis mengenai fenomena sosial dengan gejala-gejala psikis untuk
kemudian dilakukan pencatatan (Subagyo, 2015).
3. Kuesioner
Bentuk pengumpulan data selanjutnya adalah menggunakan kuesioner.
Instrumen ini merupakan alat pengumpulan data, sebagaimana alat pengumpul
data sebelumnya. Kuesioner diajukan pada responden dalam bentuk tertulis
76
disampaikan secara langsung ke alamat responden, kantor atau tempat lain
(Subagyo, 2015).
4. Tinjauan Pustaka
Kegiatan penelitian selalu bertitik tolak dari pengetahuan yang sudah ada. Hasil
penelitian yang sudah berhasil memperkaya khasanah pengetahuan yang ada
biasanya dilaporkan dalam bentuk jurnal-jurnal penelitian (Arikunto, 2013).
Kegiatan mendalami, mencermati, menelaah, dan mengidentifikasi
pengetahuan (baik itu dalam bentuk buku, laporan, jurnal, skripsi, tesis dan
semacamnya) itu disebut dengan kaji pustaka atau telaah pustaka (literature
review).
2.8 Kajian Penelitian Sebelumnya
Dibawah ini merupakan kajian dari penelitian-penelitian sebelumnya
tentang Evaluasi Tata Kelola Keamanan Teknologi Informasi menggunakan
framework terkait seperti COBIT ataupun ISO yang menjadi acuan peneliti dalam
melakukan penelitian ini :
Berdasarkan penelitian terdahulu yang dilakukan oleh peneliti (Sheikhpour,
2016), peneliti (Gupta et al., 2013), dan peneliti (Iso et al., 2014), para peneliti
tersebut menggunakan COBIT 4 dan ISO 27002 untuk mengevaluasi tata kelola
keamanan perusahaan dengan memetakan domain masing-masing framework dan
menghasilkan sebuah rekomendasi usulan berupa perancangan yang diperlukan
masing-masing peneliti. Namun terdapat perbedaan pada penelitian (Gupta et al.,
2013) karena penelitian tersebut menambahkan framework keamanan DSCI untuk
digabungkan dengan ISO / IEC 27002: 2005 dan COBIT 4.1. peneliti Gupta
77
memberikan gambaran bahwa jika kerangka kerja keamanan DSCI diikuti maka
akan diketahui sejauh mana standar lain dapat dicapai dan ini membantu
meminimalkan biaya dan menghemat waktu.
Kemudian berdasarkan penelitian terdahulu yang dilakukan oleh peneliti
(Nastase Pavel, 2009), peneliti (Selo Adipta, 2016), dan peneliti (Sudhista, 2015),
para peneliti tersebut menggunakan framework COBIT, ISO dan ITIL dalam
melakukan evaluasi tata kelola TI, namun terdapat perbedaan antara penelitian
(Nastase Pavel, 2009) dengan (Selo Adipta, 2016), dan (Sudhista, 2015), penelitian
(Nastase Pavel, 2009) menggunakan COBIT 4 dan hanya menghasilkan identifikasi
penggunaan standar dan praktik terbaik TI serta prioritas proses-proses sesuai
dengan rencana aksi dan merencanakan langkah-langkah pendekatan implementasi
sedangkan penelitian (Selo Adipta, 2016), dan (Sudhista, 2015) sudah
menggunakan framework COBIT terbaru yaitu COBIT 5 dan menghasilkan
penjelasan perbedaan dan persamaan yang terdapat pada model framework COBIT,
ITIL, dan ISO/IEC 27002 yang diintergrasikan dan merangkai sebuah usulan
framework yang komprehensif sehingga dapat digunakan untuk setiap perguruan
tinggi.
Selanjutnya penelitian terdahulu yang dilakukan oleh (Ariyani, 2013)
membahas tentang penerapan tata kelola keamanan teknologi informasi dengan
menggunakan COBIT 5 dan ISO/IEC 27002 yang berfokus pada Klausul 9 (access
control), serta Domain APO02 (define the information architecture), APO03
(determine technological direction) dan DSS05 (manage security services).
Penelitian ini bertujuan untuk peningkatan perhatian pada unsur keamanan dan
78
penerapan teknologi informasi dengan hasil dari penelitian ini didapatkan bahwa
nilai tingkat kematangan menggunakan framework ISO 27002 secara keseluruhan
SIMPEG memiliki nilai kematangan 2.49.
Kemudian penelitian terdahulu yang dilakukan oleh (Humphreys, 2008),
(Mughoffar, Ali, & Herdiyanti, 2013), dan (Afandi, 2015) membahas tentang tata
kelola keamanan teknologi informasi yang diterapkan menggunakan ISO 27001
dan ISO 27002 untuk memaksimalkan penerapan karena ISO 27001 dan ISO 27002
merupakan framework khusus terkait keamanan teknologi informasi. Namun pada
penelitian (Afandi, 2015) lebih berfokus pada kontrol yang dibutuhkan oleh
perusahaan yaitu Klausul A.8.1.3 syarat dan aturan kepegawaian, A.11.3.1
Penggunaan password, A.12.4.3 Pengendalian akses terhadap kode sumber
program, A.12.5.1 Prosedur pengendalian perubahan, A.10.6.1 Pengendalian
jaringan. Afandi memilih kontrol/klausul tertentu untuk memaksimalkan perbaikan
dan perancangan usulan sesuai kebutuhan perusahaan.
79
BAB III
METODE PENELITIAN
3.1 Waktu dan Tempat Penelitian
Tempat Penelitian : Pusat Jaringan Komunikasi, Badan Meteorologi
Klimatologi dan Geofisika (BMKG).
Alamat : Jl. Angkasa I, No.2 Kemayoran, Jakarta Pusat 10720.
Waktu Penelitian : April – Juni 2017.
3.2 Data dan Perangkat Penelitian
a. Data Formal
Data formal yang digunakan dalam Evaluasi Tata Kelola Teknologi Informasi
pada Pusat Jaringan Komunikasi BMKG adalah :
1. Data peraturan dan kebijakan terkait dengan Tata Kelola Teknologi
Informasi
2. Dokumen yang berkaitan dengan proses APO12, APO13, dan DSS05
sebagai evidence atau bukti.
b. Perangkat Penelitian
Perangkat yang digunakan pada penelitian ini adalah:
1. Hardware atau perangkat keras :
a. Satu unit Personal Computer (PC)
b. Satu unit Printer
2. Software atau perangkat lunak :
a. Sistem Operasi : Windows 7 Ultimate
80
b. Tools : Ms. Office dan GantChart.
c. Sisi web application: Google Chrome.
3.3 Metode Penelitian
3.3.1 Desain Penelitian
Penelitian ini menggunakan metode kualitatif dengan objek penelitian yang
alamiah. Objek penelitian yang alamiah berarti suatu objek yang tidak dimanipulasi
dan tidak direkayasa oleh peneliti, sehingga apa adanya sesuai kondisi pada Pusat
Jaringan Komunikasi Badan Meteorologi Klimatologi dan Geofisika. Objek
penelitian di BMKG ini terkait dengan pengelolaan teknologi informasi sedangkan
subjek penelitiannya adalah individu di BMKG yang menjadi narasumber
wawancara sekaligus responden dalam penelitian ini.
3.3.2 Metode Pengumpulan Data
Metode pengumpulan data pada penelitian di BMKG ini menggunakan dua
sumber data yang akan di analisa, yaitu data primer dan data sekunder. Adapun data
primer adalah data yang diperoleh langsung di tempat penelitian berupa observasi,
wawancara dan hasil kuisioner yang diberikan ke Pusat Jaringan Komunikasi
BMKG. Berikut penjelasan tahapan pengumpulan data primer yang dilakukan
peneliti:
a. Observasi
Observasi dilakukan pada Pusat Jaringan Komunikasi BMKG. Jenis
observasi yang dilakukan yaitu observasi nonpartisipan, peneliti tidak terlibat
dan hanya sebagai pengamat independen.
81
b. Wawancara
Wawancara dilakukan di BMKG dan dengan cara berdiskusi dengan Bpk.
Ali Mas’at, S.Si, M.kom sebagai Kepala Sub Bidang Manajemen Teknologi
Informasi BMKG dan dengan Mas Frank sebagai Staff Ahli sekaligus
pembimbing lapangan. Wawancara ini berguna untuk memperoleh data-data
yang diperlukan dalam analisis terhadap proses bisnis yang saat ini berjalan di
Badan Meteorologi Klimatologi dan Geofisika. Wawancara dilakukan dengan
menggunakan jenis wawancara Informal Conversation Interview. Pada jenis
Informal Conversation Interview, wawancara dilakukan dengan urutan dan
susunan kata yang telah ditentukan sebelumnya. Narasumber ditanyakan
pertanyaan yang bersifat ilmiah dengan konteks yang paling sesuai dengan
pengelolaan TI.
Pertanyaan yang diajukan berkaitan dengan tugas dan wewenang, tugas
pokok dan fungsi, ruang lingkup kerja di BMKG, layanan TI yang diterapkan,
permasalahan dan dampak dari penerapan keamanan system yang ada,
pengelolaan TI sejauh ini dan seperti apa harapan terhadap pengelolaan TI ke
depannya yang lebih baik.
c. Kuesioner
Kuesioner berisi pertanyaan tertulis yang diberikan kepada responden di
Pusat Jaringan Komunikasi BMKG. Pertanyaan yang dibuat pada kuesioner
mengacu pada kerangka kerja COBIT 5 dengan domain yang diambil adalah
APO (Align, Plan, and Organise) focus pada proses APO12 (Manage Risk),
APO13 (Manage Security) dan Delivery, Service and Support (DSS) yang
82
berfokus pada proses DSS05 (Manage Security Services). Penilaian tingkat
kematangan dari hasil kuesioner yang diberikan berdasarkan process capability
level yang terdiri dari level 0-5.
Kuesioner yang diberikan kepada responden berdasarkan Key Management
Practices (KMP) pada setiap proses yaitu proses APO (Align, Plan, and
Organise) focus pada proses APO12 (Manage Risk), APO13 (Manage Security)
dan Delivery, Service and Support (DSS) yang berfokus pada proses DSS05
(Manage Security Services).
Responden untuk kuesioner didapatkan dari identifikasi diagram RACI
yang digambarkan pada fungsional struktur COBIT 5 dan fungsional struktur
BMKG. Skala pengukuran kuesioner yang digunakan adalah skala Likert. Data
sekunder diperoleh dari kajian pustaka yang berhubungan dengan tata kelola
teknologi informasi. Data sekunder digambarkan pada studi literatur.
d. Studi Literatur
Studi literatur dilakukan dengan mempelajari teori-teori yang berkaitan
dengan tata kelola teknologi informasi khususnya framework COBIT 5 dan
Standar ISO 27002. Teori-teori tersebut berasal dari buku-buku, jurnal, ebook
dan penelitian-penelitian yang mendukung skripsi ini. Penelitian sejenis dengan
topik penelitian dapat dilihat pada tabel literatur sejenis. Studi literatur sejenis
diperoleh dari penelitian dengan topic yang sama mengenai tata kelola
teknologi informasi dan keamanan informasi. Topic penelitian yang sama
tersebut berasal dari UIN Syarif Hidayatullah Jakarta dan Universitas lainnya
seperti Universitas Indonesia, Universitas 10 September dan lain-lain. Studi
83
literatur yang menjadi acuan utama pada penelitian ini yaitu jurnal COBIT 5
yang dikeluarkan oleh ISACA pada tahun 2012-2013 dengan judul COBIT 5
Framework, COBIT 5 Enabling Process, COBIT 5 Implementation, COBIT 5
Process Assessment Model dan COBIT 5 Process Reference Guide.
No Peneliti
(Tahun) Judul Framework Tujuan Variabel Hasil
1. Razieh
Sheikhpour and
Nasser Modiri
(2016)
An Approach to
Map COBIT
Processes to
ISO/IEC 27001
Information
Security
Management
Controls.
COBIT 4.1 dan
ISO/IEC
27001
untuk memenuhi
manajemen keamanan
informasi dalam
infrastruktur COBIT
menggunakan standar
ISO/IEC27001.
Hasil dari penelitian ini
adalah mengeksplorasi
peran keamanan
informasi dalam
COBIT dan
menjelaskan
pendekatan pemetaan
proses COBIT ke
kontrol ISO /
IEC27001 untuk
manajemen keamanan
informasi.
2. Syopiansyah
Jaya Putra
The process
capability model
for governance of
the Election
Organizer Ethics
Court system
COBIT 5 Tujuan dari makalah
ini adalah untuk
menilai kondisi tingkat
kemampuan saat ini
dan yang diharapkan,
analisis kesenjangan
dan rekomendasi untuk
tata kelola yang baik
SIPEPP
Hasil studi ini dapat
digunakan untuk
mengevaluasi dan
meningkatkan kualitas
tata kelola yang baik
dalam implementasi
SIPEPP.
3. Dr. Ir. Ni
Wayan Sri
Ariyani, MM.
(2015)
Audit Teknologi
Informasi dengan
Kerangka Kerja
ISO 27002 dan
COBIT 5 (Studi
Kasus: Badan
Kepegawaian
Daerah
Kabupaten
Gianyar.
ISO 27002 dan
COBIT 5
Untuk peningkatan
perhatian pada unsur
keamanan dan
penerapan teknologi
informasi.
Klausul 9
(access
control),
APO02 (define
the information
architecture),
APO03
(determine
technological
direction) dan
DSS05 (ensure
system security)
Hasil dari penelitian ini
didapatkan bahwa nilai
tingkat kematangan
menggunakan
framework ISO 27002
adalah , secara
keseluruhan SIMPEG
memiliki nilai
kematangan 2.49.
4. Aldi Satriani
Wibowo, Selo
dan Dani
Adipta. (2016)
Kombinasi
Framework
COBIT 5, ITIL
dan ISO/IEC
27002 untuk
COBIT 5, ITIL
v3 dan
ISO/IEC
27002
semua yang
berhubungan dengan
TI menjadi bersinergi
dan mampu
memberikan nilai
Penjelasan perbedaan
dan persamaan yang
terdapat pada model
framework COBIT,
ITIL, dan ISO/IEC
84
Membangun
Model Tata
Kelola Teknologi
Informasi di
Perguruan Tinggi
tambah serta
pengembalian
investasi yang
diharapkan bagi
perguruan tinggi.
27002 yang
diintergrasikan dan
merangkai sebuah
usulan framework
yang komprehensif
sehingga dapat
digunakan untuk setiap
perguruan tinggi.
5. Watika Gupta,
Sanchita
Dwivedi and
Dr. Vijay
Kumar
Chaurasiya.
(2013)
MAPPING OF
DATA
SECURITY
COUNCIL OF
INDIA
SECURITY
FRAMEWORK
WITH ISO/IEC
27002:2005 AND
COBIT 4.1
ISO/IEC
27002:2005
dan COBIT 4.1
Penelitian ini bertujuan
memetakan Kerangka
Keamanan DSCI
dengan ISO / IEC
27002: 2005 dan
COBIT 4.1
memberikan gambaran
bahwa jika kerangka
kerja keamanan DSCI
diikuti maka sejauh
mana standar lain
dapat dicapai, Ini
membantu
meminimalkan biaya
dan menghemat waktu.
6. Mei Lenawati,
Wing Wahyu
Winarno,
Armadyah
Amborowati.
(2017)
Tata Kelola
Keamanan
Informasi Pada
PDAM
Menggunakan
ISO/IEC
27001:2013 Dan
Cobit 5
ISO/IEC
27001:2013
dan COBIT 5
Penelitian ini bertujuan
untuk membuat tata
kelola keamanan
informasi sesuai
dengan persyaratan
SMKI ISO 27001:2013
dan kerangka kerja
keamanan informasi
COBIT 5.
Penelitian ini
menghasilkan
beberapa keluaran
yaitu model referensi
proses; rekomendasi
proses bisnis dan
struktur organisasi; dan
langkah penerapan tata
kelolanya.
7. Faridl
Mughoffar, Ir.
Ahmad Holil
Noor Ali,
M.Kom, dan
Anisah
Herdiyanti,
S.Kom, M.Sc.
(2013)
PENYUSUNAN
TEMPLATE
TATA KELOLA
KEAMANAN
INFORMASI
BERBASIS
ISO/IEC
27001:2005 DAN
PATUH
TERHADAP
COBIT 5
MANAGEMENT
PROCESSES
APO13 MANAGE
SECURITY.
ISO/IEC
27001:2005
dan COBIT 5
memperkecil
munculnya risiko yang
berkaitan dengan aspek
keamanan informasi
seperti kerusakan
perangkat TI,
kehilangan data karena
pencurian dan risiko
lainnya.
APO13
MANAGE
SECURITY
template tata kelola
keamanan informasi
yang berfokus dengan
area pengamanan yang
diambil dari standar
COBIT 5 dan ISO/IEC
27001:2005
8. Sudhista
Febriawan
Wira Pratama.
(2015)
Evaluasi dan
Rekomendasi
Perbaikan
Layanan
InfrastrukturTI di
PT. FINNET
INDONESIA
Berdasarkan
COBIT 5, ITIL
v3 2011 dan
ISO/IEC
15504
Untuk
mengkombinasikan
ketiga metode tersebut
sebagai dimensi baru
akan kemungkinan
untuk menerapkan
standar pengukuran
Memaksimalkan
tujuan evaluasi tata
kelola teknologi sesuai
dengan kebutuhan PT
FINNET
INDONESIA. Hasil
yang didapat adalah
tingkat kapabilitas saat
85
COBIT 5, ITIL
2011 dan ISO/IEC
15504
kematangan COBIT 5
pada ITIL 2011.
ini dan rekomendasi
perbaikan.
9. Lailatul
Fitriana R,
Bambang
Setiawan,
Andre Parvian
A. (2014)
PEMBUATAN
PANDUAN
TATA KELOLA
PADA BIDANG
KEAMANAN
INFORMASI
DAN
PEMULIHAN
BENCANA
BERBASIS
COBIT 4.1 DAN
ISO 27002
COBIT 4.1 dan
ISO 27002
untuk memaksimalkan
manajemen keamanan
teknologi informasi di
Divisi TI Kementerian
XYZ.
Dokumen Tata Kelola
TI pada bidang
Keamanan dan
Pemulihan Bencana TI
dan Aplikasi
monitoring untuk
mengontrol kepatuhan
pada dokumen tata
kelola TI.
10. Oki Nurkholis USULAN
KEAMANAN
SISTEM
INFORMASI
PADA
PENYELENGGA
RA FINANCIAL
TECHNOLOGY
(FINTECH)
MENGGUNAKA
N COBIT 5
(STUDI KASUS:
GANDENGTAN
GAN.ORG)
COBIT 5 Melakukan evaluasi
terhadap keamanan
sistem informasi pada
perusahaan dengan
berdasarkan pada
framework COBIT 5.
Proses EDM03
(Ensure Risk
Optimatisation)
, APO12
(Manage Risk),
APO13
(Manage
Security),
BAI06 (Manage
Changes), dan
DSS05
(Manage
Security
Services)
Hasil penelitian ini
adalah panduan berupa
usulan keamanan
informasi berdasarkan
framework COBIT 5
untuk dapat memenuhi
persyaratan yang
diwajibkan oleh OJK
untuk para
penyelenggara Fintech
di Indonesia terkait
standar keamanan.
11. Penji Prasetya,
Adian Fatchur
Rochim, Ike
Pertiwi
Windasari
Desain dan
Implementasi
Standar
Operasional
Prosedur (SOP)
Keamanan Sistem
Informasi
Fakultas Teknik
Universitas
Diponegoro
Menggunakan
Standar ISO
27001
ISO/IEC
27001
Tugas akhir ini
bertujuan untuk
membuat kebijakan
dan Standard
Operating Procedure
(SOP) dan
mengevaluasi risiko
keamanan informasi
dalam aset organisasi.
Tugas akhir ini
menghasilkan tingkat
risiko yang terkandung
dalam nilai aset dan
menghasilkan
rekomendasi untuk
meningkatkan kontrol
keamanan dalam
keamanan informasi
aset berdasarkan
klausul ISO 27001.
12. Basofi Adi
Wicaksono,
Iwan
Kurniawan,
ST., MT, Rita
PERANCANGA
N
PERLINDUNGA
N PERANGKAT
LUNAK
SEBAGAI ASET
SNI ISO/IEC
27001:2009
untuk mengidentifikasi
risiko pada aset
perangkat lunak di
fakultas teknik
UNPAS dan membuat
rekomendasi
Klausul A.8.1.3
syarat dan
aturan
kepegawaian,
A.11.3.1
Penggunaan
password,
Hasil dari penelitian ini
adalah perancangan
perlindungan
perangkat lunak untuk
membantu pihak
Fakultas Teknik
86
Rijayanti, ST.,
MT
INFORMASI
TERHADAP
MALICIOUS
CODE DI
FAKULTAS
TEKNIK
UNIVERITAS
PASUNDAN
penanganan keamanan
aset perangkat lunak
yang ada di fakultas
teknik UNPAS.
A.12.4.3
Pengendalian
akses
terhadap kode
sumber
program,
A.12.5.1
Prosedur
pengendalian
perubahan,
A.10.6.1
Pengendalian
jaringan
Universitas Pasundan
dalam mencegah,
mengelola, dan
memonitoring aset
perangkat lunak dari
risiko yang ada.
13. Dheni Indra,
Apol Pribadi,
dan Eko Wahyu
Tyas
Pembuatan
Dokumen SOP
Keamanan Aset
Informasi Yang
Mengacu Pada
Kontrol Kerangka
Kerja ISO
27002:2013
(Studi Kasus : Cv
Cempaka
Tulungagung)
ISO/IEC
27002:2013
penelitian ini bertujuan
membuat sebuah
dokumen SOP yang
sesuai dengan
kebutuhan keamanan
informasi bagi
perusahaan CV
Cempaka berdasarkan
pada kontrol kerangka
kerja ISO27002:2013
Klausul 9.1.1
Access control
policy, 9.2.3
Management of
privileged
access right,
9.3.1 Use of
secret
authentication
information,
9.4.1
Information
access
restriction,
9.4.2 Secure
log-on
procedures, dan
9.4.3 Password
management
system
Penelitian ini
menghasilkan
dokumen SOP
keamanan aset
informasi yang terdiri
dari 4 Kebijakan, 6
prosedur, 4 Instruksi
Kerja dan 13 Formulir.
14. Professor
Pavel, PhD
Professor
Floarea, PhD
CHALLENGES
GENERATED BY
THE
IMPLEMENTATI
ON OF THE IT
STANDARDS
COBIT 4.1, ITIL
V3 AND ISO/IEC
27002 IN
ENTERPRISES
COBIT 4.1,
ITIL V3, dan
ISO/IEC
27002
Tujuan utama dari
makalah ini adalah
untuk menekankan
pentingnya
menerapkan praktik TI
terbaik di perusahaan
dan untuk
mengidentifikasi
tantangan utama yang
dihadapi manajer
ketika membuat
kerangka kerja kontrol
TI standar untuk
mencapai praktik
terbaik untuk
persyaratan bisnis.
Hasil dari penelitian ini
adalah identifikasi
penggunaan standar
dan praktik terbaik TI,
memprioritaskan
proses sesuai dengan
rencana aksi dan
merencanakan
langkah-langkah
pendekatan
implementasi.
15. Edward
Humphreys
Information
security
management
ISO/IEC
27001
mengeksplorasi apa
yang standar ISO/IEC
27001 tawarkan
Hasil dari penelitian ini
adalah perkembangan
yang perlu dihadapi
87
standards:
Compliance,
governance and
risk management
kepada organisasi,
manfaat apa yang
diperoleh, dan
bagaimana standar
tersebut membantu
kepatuhan
organisasi dan
bagaimana standar
internasional ini
berguna dalam
membantu
menyelesaikan
masalah ancaman
internal.
Tabel 3. 1 Penelitian Sejenis
3.3.3 Metode Analisis Data
Penelitian ini menggunakan teknik analisis data deskriptif kualitatif yang
menekankan pada sumber data dan fakta. Sumber data dijelaskan pada bagian
metode pengumpulan data dengan dua sumber data yaitu data primer dan data
sekunder. Berdasarkan data yang sudah dikumpulkan tersebut melalui observasi,
wawancara, kuesioner dan studi literatur maka tahapan selanjutnya adalah data
tersebut dianalisis untuk dikembangkan lagi. Seluruh data yang diperoleh di BMKG
dianalisis menggunakan skala pengukuran Likert dan Capability Level. Skala Likert
digunakan untuk menganalisis jawaban responden untuk kuesioner. Dari hasil
perhitungan skala Likert pada dianalisis kembali dengan menggunakan capability
level dengan acuan COBIT 5 untuk mengetahui tingkat kemampuan BMKG saat
ini dalam mengelola teknologi informasi.
3.4 Metode Penerapan Tata Kelola Teknologi Informasi
3.4.1 Tahap 1 – Initiate Programme
Pada tahap ini dilakukan identifikasi mengenai Profil Pusat Jaringan
Komunikasi BMKG. Hal ini berkaitan dengan tujuan, tugas dan wewenang yang
dilakukan serta konsep program kerja Pusat Jaringan Komunikasi BMKG pada saat
ini. Hal tersebut dinyatakan pada profil Pusat Jaringan Komunikasi BMKG,
88
struktur organisasi BMKG dan identifikasi diagram RACI untuk mengetahui
individu/kelompok yang memiliki peran pada COBIT 5 dan BMKG. Pada tahapan
ini perolehan data dari hasil wawancara dengan narasumber di BMKG berkaitan
dengan tugas dan wewenang, tugas pokok dan fungsi, permasalahan yang saat ini
tengah dihadapi serta struktur organisasi BMKG.
3.4.2 Tahap 2 – Define Problems and Opportunities
Pada tahap ini dilakukan penentuan Goal Cascading dan penentuan RACI
Chart kemudian pengukuran Capability Level, serta penentuan target tingkat
kapabilitas proses, langkah pertama adalah penentuan proses yang relevan terkait
dengan permasalahan yang saat ini tengah dihadapi BMKG dan penentuan tingkat
kemampuan BMKG saat ini berkaitan dengan kinerja TI. Penentuan proses
didapatkan dari hasil pemetaan IT Related Goal sedangkan penentuan tingkat
kemampuan saat ini (as is) didapatkan dari hasil kuesioner capability level yang
diberikan kepada pihak di BMKG berdasarkan pada fungsional struktur BMKG
mengacu pada fungsional struktur COBIT 5 dan bentuk kuesionernya telah peneliti
lampirkan pada lampiran 3, lampiran 4 dan lampiran 5. Pihak BMKG yang menjadi
responden pada kuesioner capability level di penelitian ini yaitu Bpk. Ali Mas’at,
S.Si, M.kom sebagai Kepala Sub Bidang Manajemen Teknologi Informasi, Bpk.
Dudi Rojudin, ST sebagai Kepala Sub Bidang Operasional Teknologi Komunikasi,
Bpk. Priyatna Kusumah, S.Kom, M.T.I. sebagai Kepala Sub Bidang Pengembangan
Teknologi Informasi dan Bpk. Akbar, S.Kom, M.Kom sebagai Kepala Sub Bidang
Operasional Teknologi Informasi. Pada tahap ini dijabarkan temuan-temuan
berkaitan dengan pengelolaan teknologi informasi pada proses pengelolaan resiko
89
TI, pengelolaan keamanan TI dan pengelolaan keamanan layanan TI. Dari hasil
temuan-temuan tersebut maka diperoleh tingkat kemampuan BMKG saat ini dalam
mengelola teknologi informasi berkaitan dengan pengelolaan yang dijabarkan
diatas.
3.4.3 Tahap 3 – Define Road Map
Pada tahap ini dilakukan pendefinisian target untuk perbaikan dari hasil
analisa gap pada hasil kuesioner capability level yang diberikan. Gap terjadi jika
ada perbedaan diantara nilai kemampuan saat ini, harapan dan kenyataan yang ada
di BMKG.
Perbaikan pada pengelolaan TI di BMKG didefinisikan berdasarkan
prioritas pada proyek yang akan dibangun dan dikembangkan. Hasil analisa gap
tersebut digunakan untuk mengidentifikasi potensi solusi bagi pengelolaan
teknologi informasi di BMKG.
Dari hasil temuan-temuan yang diperoleh pada kuesioner capability level
didapatkan tingkat kemampuan BMKG saat ini dalam mengelola teknologi
informasi. Kemudian dari hasil temuan-temuan tersebut dapat diperoleh gap jika
temuan dan penilaian yang diberikan tidak sesuai dengan kenyataan pada BMKG.
Pada tahap ini juga dijelaskan target kemampuan yang ingin dicapai oleh
organisasi, mengacu pada Process Assessment Model yang terdiri dari level 0-5.
Setelah ditemukan gap dari analisa hasil kuesioner capability level yang
diberikan, pada tahap ini peneliti mulai memetakan proses COBIT 5 yang telah
ditentukan kedalam Klausa pada ISO 27002 yang relevan. Untuk selanjutnya
digunakan sebagai acuan rekomendasi usulan tata kelola keamanan TI.
90
3.4.4 Tahap 4 – Plan Programme
Pada tahap ini dilakukan rencana program dan usulan dari hasil analisa
melalui wawancara dan kuesioner yang diberikan kepada responden di Pusat
Jaringan Komunikasi BMKG. Rencana program tersebut berdasarkan pada area
fokus yang dipilih dari framework COBIT 5 dan Standar ISO 27002. Rencana
program tersebut juga akan disesuaikan dengan tingkat kemampuan yang
diharapkan oleh Pusat Jaringan Komunikasi BMKG. Hal ini mengacu pada tahapan
COBIT Lifecycle pada COBIT 5 dan standar kontrol ISO 27002.
3.5 Kerangka Berfikir Penelitian
Dari identifikasi permasalahan yang dihadapi oleh perusahaan dan berbagai
referensi yang telah dikumpulkan dibuat suatu kerangka berfikir penelitian seperti
terlihat pada Gambar berikut ini.
91
Gambar 3. 1 Kerangka Berpikir
92
BAB IV
HASIL DAN PEMBAHASAN
4.1 Tahap 1 - Initiate Programme
Langkah pertama dalam melakukan pengelolaan terhadap teknologi
informasi di Pusat Jaringan Komunikasi BMKG adalah mengidentifikasi penggerak
atau pendorong pada organisasi. Penggerak pada organisasi tersebut dijelaskan
pada gambaran umum BMKG. Tujuannya adalah memperoleh pemahaman tentang
BMKG secara terperinci yang meliputi struktur organisasi, tujuan, tugas dan
wewenang. Dalam melakukan identifikasi penggerak organisasi, data yang
digunakan diperoleh dari hasil wawancara dengan pihak terkait di Pusat Jaringan
Komunikasi BMKG. Pada langkah ini juga digambarkan mengenai stakeholder
map matrix atau diagram RACI sebagai gambaran tugas di Pusat Jaringan
Komunikasi BMKG yang mengacu pada COBIT 5.
4.1.1 Pengumpulan Data
Pada tahapan pengumpulan data, peneliti melakukan pencarian
data/informasi terkait Pusat Jaringan Komunikasi berupa Gambaran Umum Badan
Meteorologi Klimatologi dan Geofisika, Struktur Organisasi Badan Meteorologi
Klimatologi dan Geofisika, serta Tugas dan Fungsi Pusat Jaringan Komunikasi
Badan Meteorologi Klimatologi dan Geofisika.
93
4.1.1.1 Gambaran Umum Badan Meteorologi Klimatologi dan Geofisika
(BMKG)
Badan Meteorologi Klimatologi dan Geofisika sebagai Lembaga
Pemerintah Non Departemen (LPND) adalah instansi pelayanan dan penyediaan
informasi di bidang meteorologi, klimatologi dan geofisika. Berdasarkan
Keputusan Presiden Republik Indonesia Nomor 46 dan Nomor 48 Tahun 2002
struktur organisasinya diubah menjadi Lembaga Pemerintah Non Departemen
(LPND) dengan nama tetap Badan Meteorologi Klimatologi dan Geofísika.
Kegiatan meteorologi dan Geofísica pada awalnya hanya pada pengamatan cuaca
atau hujan. Namun kemudian meningkat dan mencakup berbagai kegiatan, seperti
pengamatan Medan magnit, seismatik dan meteorologi untuk berbagai macam
keperluan. BMKG memiliki berbagai macam unit kerja TI dan Non-TI salah
satunya adalah Pusat Jaringan Komunikasi. Pusat Jaringan Komunikasi adalah
salah satu unit kerja IT dari BMKG yang mempunyai tugas melaksanakan
pengelolaan operasional jaringan komunikasi, melakukan pengembangan terhadap
jaringan komunikasi yang ada serta mengelola manajemen jaringan komunikasi
pada BMKG. Pusat Jaringan Komunikasi memiliki tiga bidang yaitu Bidang
Operasional Jaringan Komunikasi, Bidang Pengembangan Jaringan Komunikasi
dan Bidang Manajemen Jaringan Komunikasi.
1. Tugas
a. pengkajian, dan penyusunan kebijakan nasional di bidang meteorologi,
klimatologi, kualitas udara, dan geofisika.
94
b. koordinasi kegiatan fungsional di bidang meteorologi, klimatologi, kualitas
udara, dan geofisika.
c. memfasilitasi, dan pembinaan terhadap kegiatan instansi pemerintah, dan
swasta di bidang meteorologi, klimatologi, kualitas udara, dan geofisika.
d. penyelenggaraan pengamatan, pengumpulan, dan penyebaran, pengolahan,
dan analisis serta pelayanan di bidang meteorologi, klimatologi, kualitas
udara, dan geofisika.
e. penyelenggaraan kegiatan kerjasama di bidang meteorologi, klimatologi,
kualitas udara, dan geofisika.
f. penyelenggaraan pembinaan, dan pelayanan administrasi umum di bidang
perencanaan umum, ketatausahaan, organisasi, dan tatalaksana,
kepegawaian, keuangan, kearsipan, hukum, persandian, perlengkapan, dan
rumah tangga.
2. Wewenang
a. penyusunan rencana nasional secara makro di bidangnya.
b. perumusan kebijakan di bidangnya untuk mendukung pembangunan secara
makro.
c. penetapan sistem informasi di bidangnya.
d. penetapan standar teknis peralatan serta pelayanan meteorologi
penerbangan, dan maritim.
e. pengaturan sistem jaringan pengamatan meteorologi, dan klimatologi.
f. pemberian jasa meteorologi, dan klimatologi.
g. pengamatan, dan pemberian jasa geofisika.
95
h. pengamatan, dan pemberian jasa kualitas udara.
i. pengaturan sistem jaringan pengamatan geofisika.
j. penetapan standar teknis peralatan meteorologi, klimatologi, kualitas udara,
dan geofisika.
4.1.1.2 Struktur Organisasi Badan Meteorologi Klimatologi dan Geofisika
(BMKG)
Gambar 4. 1 Struktur Organisasi
96
4.1.1.3 Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi dan
Geofisika (BMKG)
Menindaklanjuti Visi Kedeputian Bidang Instrumentasi Kalibrasi Rekayasa
dan Jaringan Komunikasi yaitu “Mewujudkan sistem peralatan pengamatan
Otomatis yang menghasilkan data akurat dan terintegrasi untuk mendukung layanan
meteorologi, klimatologi, dan geofisika.”, Pusat Jaringan Komunikasi memiliki visi
yaitu “Meningkatkan kapasitas pengelolaan sistem jaringan komunikasi yang
terintegrasi”. Untuk mewujudkan visi Pusat Jaringan Komunikasi, maka ditetapkan
misi yang menggambarkan tindakan nyata sesuai dengan tugas pokok dan fungsi
serta kewenangannya, yaitu “Terjaminnya layanan jaringan komunikasi yang
prima”.
Selain visi dan misi tersebut, Pusat Jaringan Komunikasi juga memiliki
tugas dan fungsi, Berikut adalah penjabaran mengenai tugas dan fungsi Pusat
Jaringan Komunikasi BMKG, yaitu:
1. Pusat Jaringan Komunikasi
a. Pusat Jaringan Komunikasi mempunyai tugas melaksanakan perumusan
dan pelaksanaan kebijakan teknis, pemberian bimbingan teknis, pembinaan
teknis dan pengendalian terhadap kebijakan teknis, koordinasi kegiatan
fungsional dan kerja sama, pengembangan, pengelolaan dan pemeliharaan
di bidang jaringan komunikasi.
b. Dalam melaksanakan tugas sebagaimana dimaksud, Pusat Jaringan
Komunikasi menyelenggarakan fungsi :
97
1. Penyiapan pelaksanaan kebijakan teknis, pengelolaan, pemeliharaan,
koordinasi kegiatan fungsional dan kerja sama di bidang operasional
jaringan komunikasi;
2. penyiapan pembangunan, pengembangan, koordinasi kegiatan
fungsional dan kerja sama di bidang pengembangan jaringan
komunikasi; dan
3. penyiapan perumusan kebijakan teknis, pemberian bimbingan teknis,
pembinaan teknis dan pengendalian terhadap kebijakan teknis,
koordinasi kegiatan fungsional dan kerja sama di bidang manajemen
jaringan komunikasi.
2. Bidang Operasional Jaringan Komunikasi
a. Bidang Operasional Jaringan Komunikasi mempunyai tugas melaksanakan
penyiapan pelaksanaan kebijakan teknis, pengelolaan, pemeliharaan,
koordinasi kegiatan fungsional dan kerja sama di bidang operasional
jaringan komunikasi.
b. Dalam melaksanakan tugas sebagaimana dimaksud, Bidang Operasional
Jaringan Komunikasi menyelenggarakan fungsi :
1. Penyiapan bahan pelaksanaan kebijakan teknis, pengelolaan,
pemeliharaan, koordinasi kegiatan fungsional dan kerja sama di bidang
operasional teknologi komunikasi; dan
98
2. Penyiapan bahan pelaksanaan kebijakan teknis, pengelolaan,
pemeliharaan, koordinasi kegiatan fungsional dan kerja sama di bidang
operasional teknologi informasi.
Bidang Operasional Jaringan Komunikasi terdiri atas :
a. Subbidang Operasional Teknologi Komunikasi; dan
b. Subbidang Operasional Teknologi Informasi.
1. Subbidang Operasional Teknologi Komunikasi mempunyai tugas
melakukan penyiapan bahan pelaksanaan kebijakan teknis, pengelolaan,
pemeliharaan, koordinasi kegiatan fungsional dan kerja sama di bidang
operasional teknologi komunikasi.
2. Subbidang Operasional Teknologi Informasi mempunyai tugas
melakukan penyiapan bahan pelaksanaan kebijakan teknis, pengelolaan,
pemeliharaan, koordinasi kegiatan fungsional dan kerja sama di bidang
operasional teknologi informasi.
3. Bidang Pengembangan Jaringan Komunikasi
a. Bidang Pengembangan Jaringan Komunikasi mempunyai tugas
melaksanakan penyiapan pembangunan, pengembangan, koordinasi
kegiatan fungsional dan kerja sama di bidang pengembangan jaringan
komunikasi.
b. Dalam melaksanakan tugas sebagaimana dimaksud dalam, Bidang
Pengembangan Jaringan Komunikasi menyelenggarakan fungsi :
99
1. penyiapan bahan pembangunan, pengembangan, koordinasi kegiatan
fungsional dan kerja sama di bidang pengembangan teknologi
komunikasi; dan
2. penyiapan bahan pembangunan, pengembangan. koordinasi kegiatan
fungsional dan kerja sama di bidang pengembangan teknologi
informasi.
Bidang Pengembangan Jaringan Komunikasi terdiri atas :
a. Subbidang Pengembangan Teknologi Komunikasi; dan
b. Subbidang Pengembangan Teknologi Informasi.
1. Subbidang Pengembangan Teknologi Komunikasi mempunyai tugas
melakukan penyiapan bahan pembangunan, pengembangan, koordinasi
kegiatan fungsional dan kerja sama di bidang pengembangan teknologi
komunikasi.
2. Subbidang Pengembangan Teknologi Informasi mempunyai tugas
melakukan penyiapan bahan pembangunan, pengembangan, koordinasi
kegiatan fungsional dan kerja sama di bidang pengembangan teknologi
informasi.
4. Bidang Manajemen Jaringan Komunikasi
a. Bidang Manajemen Jaringan Komunikasi mempunyai tugas melaksanakan
penyiapan perumusan kebijakan teknis, pemberian bimbingan teknis,
pembinaan teknis dan pengendalian terhadap kebijakan teknis, koordinasi
kegiatan fungsional dan kerja sama, di bidang manajemen jaringan
komunikasi.
100
b. Dalam melaksanakan tugas sebagaimana dimaksud, Bidang Manajemen
Jaringan Komunikasi menyelenggarakan fungsi:
1. penyiapan bahan perumusan kebijakan teknis, pemberian bimbingan
teknis, pembinaan teknis dan pengendalian terhadap kebijakan teknis,
koordinasi kegiatan fungsional dan kerja sama di bidang manajemen
teknologi komunikasi; dan
2. penyiapan bahan perumusan kebijakan teknis, pemberian bimbingan
teknis, pembinaan teknis dan pengendalian terhadap kebijakan teknis,
koordinasi kegiatan fungsional dan kerja sama di bidang manajemen
teknologi informasi.
Bidang Manajemen Jaringan Komunikasi terdiri atas :
a. Subbidang Manajemen Teknologi Komunikasi; dan
b. Subbidang Manajemen Teknologi Informasi.
1. Subbidang Manajemen Teknologi Komunikasi mempunyai tugas
melakukan penyiapan bahan perumusan kebijakan teknis, pemberian
bimbingan teknis, pembinaan teknis dan pengendalian terhadap
kebijakan teknis, koordinasi kegiatan fungsional dan kerja sama di
bidang manajemen teknologi komunikasi.
2. Subbidang Manajemen Teknologi Informasi mempunyai tugas
melakukan penyiapan bahan perumusan kebijakan teknis, pemberian
bimbingan teknis, pembinaan teknis dan pengendalian terhadap
kebijakan teknis, koordinasi kegiatan fungsional dan kerja sama di
bidang manajemen teknologi informasi.
101
4.1.2 Penentuan Goal Cascade dan RACI
Pada tahapan Penentuan Goal Cascade dan RACI, ada beberapa langkah
yang dilakukan oleh peneliti untuk mengetahui proses apa yang relevan dengan
masalah yang saat ini dialami oleh Pusat Jaringan Komunikasi, langkah-langkah
tersebut antara lain Pemetaan Domain Proses dan Penentuan Diagram RACI.
4.1.2.1 Pemetaan Domain Proses
Untuk melakukan tahapan penghitungan Capability Level menggunakan
COBIT 5, perlu dilakukan beberapa tahapan yaitu dengan melihat fakta-fakta yang
ada dan masalah yang dihadapi pada Pusat Jaringan Komunikasi BMKG, lalu
dilakukan pemetaan Enterprise goals berdasarkan COBIT 5 pada Pusat Jaringan
Komunikasi BMKG, dengan hasil yang dipilih adalah Managed Bussiness Risk
(Safeguarding of Assets). Selanjutnya, dilakukan pemetaan terhadap IT-related
goals berdasarkan COBIT 5 pada Pusat Jaringan Komunikasi BMKG dengan hasil
yang dipilih adalah Security of Information, Processing Infrastructure and
Applications.
102
Gambar 4. 2 Pemetaan IT Enterprise Goal COBIT 5
Sehingga berdasarkan pada pemetaan tersebut, peneliti dan pihak
Pusjarkom BMKG menentukan proses yang akan dikaji lebih lanjut, dalam
penelitian ini adalah APO12 (Manage Risk) , APO13 (Manage Security), dan
DSS05 (Manage Security Services) sesuai dengan kebutuhan Pusat Jaringan
Komunikasi.
103
104
Gambar 4. 3 Pemetaan Proses Terkait COBIT 5
Dalam konteks pemetaan proses untuk ISO 27002 yang akan digunakan
dalam usulan rekomendasi, disini penulis akan memetakan sesuai dengan kesamaan
proses yang akan dibahas dan tentunya terkait dengan tata kelola keamanan
teknologi informasi untuk Pusat Jaringan Komunikasi BMKG.
105
4.1.2.2 Diagram RACI
Diagram RACI menggambarkan peran-peran dari para pemangku
kepentingan dalam Pusat Jaringan Komunikasi BMKG yang terkait langsung
dengan proses yang diambil dalam pengelolaan TI. Dalam pemetaan proses
penghitungan Capability Level menggunakan COBIT 5 di Pusat Jaringan
Komunikasi BMKG adalah proses pada domain APO yaitu APO12 (Manage Risk),
APO13 (Manage Security), dan domain DSS yaitu DSS05 (Manage Security
Services). Peran-peran pada diagram RACI tersebut kemudian dipetakan kedalam
peran-peran yang ada pada Pusat Jaringan Komunikasi BMKG sesuai dengan
struktur organisasi yang ada. Diagram RACI ini digunakan untuk penggambaran
responden dalam kuesioner Capability Level yang akan diberikan.
4.1.2.2.1 Identifikasi Diagram RACI Manage Risk (APO12)
Untuk mengetahui responden-responden yang sesuai dengan struktur
organisasi perusahaan dan standar COBIT 5, peneliti melakukan pemetaan RACI
Chart Proses APO12 (Manage Risk) sebagai berikut :
106
Gambar 4. 4 RACI Chart APO12 (ISACA, 2012)
Berdasarkan RACI Chart proses APO12, penulis mendapatkan 4 (empat)
responden yang sesuai dengan definisi yang tercantum dalam COBIT 5. Keempat
responden tersebut tercantum dalam tabel dibawah ini.
No Fungsional Struktur COBIT
5
Fungsional Struktur
BMKG
1. Chief Information Security
Officer
Kepala Sub Bidang
Operasional Teknologi
Komunikasi
2. Business Process Owners Kepala Sub Bidang
Manajemen Teknologi
Informasi
3. Chief Risk Officer Kepala Sub Bidang
Pengembangan
Teknologi Informasi
4. Head IT Operation Kepala Sub Bidang
Operasional Teknologi
Informasi
Tabel 4. 1 Responden Terpilih APO12
107
4.1.2.2.2 Identifikasi Diagram RACI Manage Security (APO13)
Untuk mengetahui responden-responden yang sesuai dengan struktur
organisasi perusahaan dan standar COBIT 5, peneliti melakukan pemetaan RACI
Chart Proses APO13 (Manage Security) sebagai berikut :
Gambar 4. 5 RACI Chart APO13 (ISACA, 2012)
Berdasarkan RACI Chart proses APO13, penulis mendapatkan 4 (empat)
responden yang sesuai dengan definisi yang tercantum dalam COBIT 5. Keempat
responden tersebut tercantum dalam tabel dibawah ini.
108
No Fungsional Struktur COBIT 5 Fungsional Struktur
BMKG
1. Information Security Manager Kepala Sub Bidang
Operasional Teknologi
Komunikasi
2. Business Process Owners Kepala Sub Bidang
Manajemen Teknologi
Informasi
3. Chief Information Officer Kepala Sub Bidang
Pengembangan
Teknologi Informasi
4. Head IT Operation Kepala Sub Bidang
Operasional Teknologi
Informasi
Tabel 4. 2 Responden Terpilih APO13
4.1.2.2.3 Identifikasi Diagram RACI Manage Security Services (DSS05)
Untuk mengetahui responden-responden yang sesuai dengan struktur
organisasi perusahaan dan standar COBIT 5, peneliti melakukan pemetaan RACI
Chart Proses APO13 (Manage Security) sebagai berikut :
Gambar 4. 6 RACI Chart DSS05 (ISACA, 2012)
109
Berdasarkan RACI Chart proses DSS05, penulis mendapatkan 4 (empat)
responden yang sesuai dengan definisi yang tercantum dalam COBIT 5. Keempat
responden tersebut tercantum dalam tabel dibawah ini.
No Fungsional Struktur COBIT 5 Fungsional Struktur
BMKG
1. Information Security Manager Kepala Sub Bidang
Operasional Teknologi
Komunikasi
2. Business Process Owners Kepala Sub Bidang
Manajemen Teknologi
Informasi
3. Head IT Operations Kepala Sub Bidang
Operasional Teknologi
Informasi
4 Head Development Kepala Sub Bidang
Pengembangan
Teknologi Informasi
Tabel 4. 3 Responden Terpilih APO13
Setelah dilakukan penjabaran pada tahapan Initiate Programme diatas,
peneliti menyimpulkan pada tahapan ini peneliti melakukan langkah-langkah
pengumpulan data untuk membantu menentukan dan memperjelas fakta-fakta serta
masalah apa yang saat ini dialami oleh Pusat Jaringan Komunikasi, dan hasil data
yang didapat peneliti adalah :
1. Gambaran Umum Badan Meteorologi Klimatologi dan Geofisika (BMKG)
2. Struktur Organisasi Badan Meteorologi Klimatologi dan Geofisika (BMKG)
3. Tugas dan Fungsi Pusat Jaringan Komunikasi Badan Meteorologi Klimatologi
dan Geofisika (BMKG)
Setelah mendapatkan data yang dibutuhkan, peneliti melanjutkan langkah yang
harus dilakukan pada tahapan Initiate Programme ini yaitu Penentuan Goal
110
Cascade, penentuan proses COBIT 5 yang relevan dengan masalah yang dihadapi
Pusat Jaringan Komunikasi, dan didapat hasil sebagai berikut :
1. Enterprise Goals yang dipilih adalah Managed Bussiness Risk (Safeguarding
of Assets).
2. IT-related goals yang dipilih adalah Security of Information, Processing
Infrastructure and Applications.
3. Menghasilkan domain pilihan yaitu APO12 (Manage Risk), APO13 (Manage
Security), dan DSS05 (Manage Security Services).
4. Mendapatkan responden yang sesuai dari identifikasi RACI yaitu Kepala Sub
Bidang Operasional Teknologi Komunikasi, Kepala Sub Bidang Manajemen
Teknologi Informasi, Kepala Sub Bidang Pengembangan Teknologi Informasi,
Kepala Sub Bidang Operasional Teknologi Informasi.
4.2 Tahap 2 - Define Problems and Opportunities
Pada tahap ini dilakukan penentuan tingkat kemampuan Pusat Jaringan
Komunikasi BMKG saat ini dalam mengelola teknologi informasi. Penentuan
tingkat kemampuan saat ini (as is) dilakukan melalui kuesioner capability level
yang diberikan kepada responden yang telah ditentukan sebelumnya. Berikut ini
daftar hasil pengolahan data responden pada proses manajemen resiko TI (APO12),
manajemen keamanan (APO13) dan manajemen keamanan layanan (DSS05).
111
4.2.1 Pengukuran Capability Level
Pada tahapan Pengukuran Capability Level, peneliti harus melakukan
langkah-langkah berupa penjelasan Temuan Data, kemudian Pengolahan Data
Responden, setelah itu baru dapat dilakukan langkah selanjutnya yaitu Perhitungan
Capability Level. Setelah dilakukan Perhitungan Capability Level, pada langkah
terakhir tahap ini peneliti menjelaskan hasil Perhitungan Keseluruhan Capability
Level.
4.2.1.1 Temuan Data
Pengumpulan data ini berdasarkan pada setiap aktivitas dari proses terpilih,
yakni APO12 (Manage Risk), APO13 (Manage Security), DSS05 (Manage Security
Services). Data ini yang menggambarkan kondisi aktual perusahaan di setiap
aktivitas dan akan dibandingkan dengan tingkat ekspektasi perusahaan, sehingga
gap antara kondisi aktual dan ekspektasi perusahaan dapat diketahui untuk
selanjutnya dapat diberikan rekomendasi agar perusahaan dapat melakukan
pemenuhan untuk mencapai kondisi ekspektasi perusahaan. Kondisi aktual ini
didapatkan dari hasil jawaban kuesioner yang diberikan pada para responden
terpilih yang sudah dijelaskan pada bab 3.
Sebelum pengisian kuesioner, penulis terlebih dahulu menjelaskan
mengenai tingkat kapabilitas yang menjadi acuan penilaian pada kuesioner kepada
responden sehingga mereka dapat mengerti tentang tingkat as is dan tingkat to be
pada kuesioner. Dalam pengisian kuesioner pun penulis menemani responden
sehingga jika ada hal-hal yang tidak dimengerti oleh responden, mereka dapat
112
langsung menanyakannya. Dari 3 proses yang dipilih pada proses evaluasi, semua
proses yakni APO12 (Manage Risk), APO13 (Manage Security), dan DSS05
(Manage Security Services) mendapatkan rata-rata nilai ekpektasi yang berada pada
level 3 (Established Process). Nilai ekspektasi pada level 3 ini dipilih oleh
perusahaan yang dalam hal ini diwakili oleh para responden, karena mereka ingin
memastikan semua proses tersebut sudah memenuhi semua standar atau work
products yang ada. Berikut data yang ditemukan pada setiap proses:
4.2.1.1.1 Temuan Data Proses APO12 (Manage Risk)
a. APO12.01 (Pengumpulan Data)
Pusat Jaringan Komunikasi BMKG sudah mempunyai database penyimpanan
data eksternal dan data internal yang terkait dengan risiko TI. Pusat Jaringan
Komunikasi BMKG juga sudah melakukan pengumpulan dan penyimpanan
semua data yang terkait dengan penggunaan TI.
b. APO12.02 (Analisa Risiko)
Pusat Jaringan Komunikasi BMKG sudah melakukan perencanaan terkait
dengan aktivitas analisa risiko.
c. APO12.03 (Memelihara Profil Risiko)
Pusat Jaringan Komunikasi BMKG sudah mempunyai inventaris untuk
dokumen-dokumen mengenai manajemen pelayanan dan infrastruktur TI. Pusat
113
Jaringan Komunikasi BMKG juga sudah menentukan serta menggunakan
layanan-layanan pendukung/aplikasi untuk menopang proses bisnis.
d. APO12.04 (Memperjelas Risiko)
Pusat Jaringan Komunikasi BMKG memiliki data tentang risiko apa saja yang
dimungkinkan dapat terjadi.
e. APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen Risiko)
Pusat Jaringan Komunikasi BMKG memiliki daftar kemungkinan risiko
sebagai acuan pembuatan portofolio risiko.
f. APO12.06 (Respon Terhadap Risiko)
Perusahaan sudah pernah melakukan rencana pengetesan peristiwa/insiden
yang mempunyai risiko serius, yakni dengan melakukan staging. Dan sudah ada
proses pelaporan kepada para pengambil keputusan mengenai dampak dari
suatu insiden.
4.2.1.1.2 Temuan Data Proses APO13 (Manage Security)
a. APO13.01 (Membuat dan Memelihara Sistem Manajemen Keamanan
Informasi)
Pusat Jaringan Komunikasi BMKG melakukan sertifikasi ISO 27001 terkait
Sistem Manajemen Keamanan Informasi.
114
b. APO13.02 (Menentukan dan Mengatur Rencana Penanganan Risiko Keamanan
Informasi)
Pusat Jaringan Komunikasi BMKG sudah membahas mengenai rencana
penanganan risiko keamanan informasi dalam rapat mingguan/bulanan
perusahaan.
c. APO13.03 (Mengawasi dan Meninjau Sistem Manajemen Keamanan
Informasi)
Pusat Jaringan Komunikasi BMKG memiliki teknisi terkait pengawasan dan
peninjauan Sistem Manajemen Keamanan Informasi.
4.2.1.1.3 Temuan Data Proses DSS05 (Manage Security Services)
a. DSS05.01 (Melindungi dari Malware)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan
tools/software security serta menggunakan penyaringan email yang tersedia
pada aplikasi yang digunakan oleh perusahaan.
b. DSS05.02 (Mengelola Jaringan dan Konektivitas Keamanan)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan
pengamanan berupa penggunaan password serta melakukan tes penetrasi.
Namun penggunaan password masih belum dikelola dengan optimal serta
aktivitas pengetesan penetrasi jaringan pun masih memiliki kekurangan.
115
c. DSS05.03 (Mengelola Keamanan Perangkat)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan beberapa
standar keamanan seperti penggunaan sistem operasi yang selalu di-update,
penggunaan enkripsi, serta pengelolaan remote access, namun masih berada
dalam tahap awal.
d. DSS05.04 (Mengelola Identitas Pengguna dan Akses Jarak Jauh Perangkat)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan
pengelolaan akun untuk mengakses sumber daya perusahaan namun masih
belum optimal.
e. DSS05.05 (Mengelola Akses Pada Aset/Perangkat TI)
Pada proses ini Pusat Jaringan Komunikasi BMKG masih berada dalam tahap
awal, aktivitas yang sudah dilakukan hanya sebatas penjagaan oleh pihak
keamanan/security.
f. DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat Output)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah menerapkan
penyimpanan khusus terkait dokumen/data sensitif dan adanya mekanisme
penghapusan atau penghancuran data sensitif yang sudah tidak digunakan lagi.
116
g. DSS05.07 (Mengawasi Infrastruktur untuk Peristiwa/Kejadian yang Terkait
dengan Keamanan)
Pada proses ini Pusat Jaringan Komunikasi BMKG sudah melakukan aktivitas
pencatatan/penyimpanan mengenai informasi peristiwa/insiden yang terkait
dengan keamanan namun masih belum dimanfaatkan dengan baik oleh Pusat
Jaringan Komunikasi BMKG.
4.2.1.2 Pengolahan Data Responden
Tahap ini menjelaskan hasil jawaban responden terhadap setiap aktivitas
proses yang dievaluasi. Berdasarkan jawaban kuesioner ini dapat dilihat bagaimana
kondisi saat ini dan kondisi yang diharapkan pada Pusat Jaringan Komunikasi
BMKG. Selanjutnya hasil rekapitulasi ini akan memberikan gambaran gap yang
ada antara kondisi saat ini dan kondisi yang diharapkan.
117
4.2.1.2.1 Pengolahan Data Responden APO12 (Manage Risk)
a. APO12.01 (Pengumpulan Data)
Tabel 4. 4 Rekapitulasi Jawaban Kuesioner Capability Level APO12.01
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 56.25%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 62.50%.
118
b. APO12.02 (Analisa Risiko)
Tabel 4. 5 Rekapitulasi Jawaban Kuesioner Capability Level APO12.02
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “d”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 47.73%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 65.91%.
119
c. APO12.03 (Memelihara Profil Risiko)
Tabel 4. 6 Rekapitulasi Jawaban Kuesioner Capability Level APO12.03
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 62.50%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 62,50%.
120
d. APO12.04 (Memperjelas Risiko)
Tabel 4. 7 Rekapitulasi Jawaban Kuesioner Capability Level APO12.04
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 57,14%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 75%.
121
e. APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen Risiko)
Tabel 4. 8 Rekapitulasi Jawaban Kuesioner Capability Level APO12.05
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 62,50%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 75%.
122
f. APO12.06 (Respon Terhadap Risiko)
Tabel 4. 9 Rekapitulasi Jawaban Kuesioner Capability Level APO12.06
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 55.56%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 86.11%.
123
4.2.1.2.2 Pengolahan Data Responden APO13 (Manage Security)
a. APO13.01 (Membuat dan Memelihara Sistem Manajemen Keamanan
Informasi)
Tabel 4. 10 Rekapitulasi Jawaban Kuesioner Capability Level APO13.01
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 65.63%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 78.13%.
124
b. APO13.02 (Menentukan dan Mengatur Rencana Penanganan Risiko Keamanan
Informasi)
Tabel 4. 11 Rekapitulasi Jawaban Kuesioner Capability Level APO13.02
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 56.25%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 75%.
125
c. APO13.03 (Mengawasi dan Meninjau Sistem Manajemen Keamanan
Informasi)
Tabel 4. 12 Rekapitulasi Jawaban Kuesioner Capability Level APO13.03
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 75%, sementara kondisi
yang akan datang (to be) jumlah responden terbanyak mengharapkan perihal
mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja tata kelola
perusahaan berada pada jawaban “e” atau berada di tingkat kapabilitas 3
(Established Process) dengan persentase distribusi jawaban 70.83%.
126
4.2.1.2.3 Pengolahan Data Responden DSS05 (Manage Security Services)
a. DSS05.01 (Melindungi dari Malware)
Tabel 4. 13 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.01
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 75%, sementara kondisi
yang akan datang (to be) jumlah responden terbanyak mengharapkan perihal
mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja tata kelola
perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas 3
(Established Process) dengan persentase distribusi jawaban 81.25%.
127
b. DSS05.02 (Mengelola Jaringan dan Konektivitas Keamanan)
Tabel 4. 14 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.02
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 75%, sementara kondisi
yang akan datang (to be) jumlah responden terbanyak mengharapkan perihal
mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja tata kelola
perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas 3
(Established Process) dengan persentase distribusi jawaban 77.50%.
128
c. DSS05.03 (Mengelola Keamanan Perangkat)
Tabel 4. 15 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.03
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 75%, sementara kondisi
yang akan datang (to be) jumlah responden terbanyak mengharapkan perihal
mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja tata kelola
perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas 3
(Established Process) dengan persentase distribusi jawaban 61.11%.
129
d. DSS05.04 (Mengelola Identitas Pengguna dan Akses Jarak Jauh Perangkat)
Tabel 4. 16 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.04
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 65.91%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 77.78%.
130
e. DSS05.05 (Mengelola Akses Pada Aset/Perangkat TI)
Tabel 4. 17 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.05
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 67.50%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 70%.
131
f. DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat Output)
Tabel 4. 18 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.06
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 65%, sementara kondisi
yang akan datang (to be) jumlah responden terbanyak mengharapkan perihal
mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja tata kelola
perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas 3
(Established Process) dengan persentase distribusi jawaban 75%.
132
g. DSS05.07 (Mengawasi Infrastruktur untuk Peristiwa/Kejadian yang Terkait
dengan Keamanan)
Tabel 4. 19 Rekapitulasi Jawaban Kuesioner Capability Level DSS05.07
Berdasarkan tabel di atas, maka dapat diketahui bahwa mayoritas responden
menilai kondisi saat ini (as is) dalam hal mengevaluasi pengaturan dan
pemeliharaan kerangka kerja tata kelola perusahaan berada pada jawaban “c”
dengan kata lain jika jawaban tersebut dipetakan ke dalam Capability Level maka
berada di tingkat 2 (Managed Process) dengan persentase 54.17%, sementara
kondisi yang akan datang (to be) jumlah responden terbanyak mengharapkan
perihal mengenai kegiatan evaluasi pengaturan dan pemeliharaan kerangka kerja
tata kelola perusahaan berada pada jawaban “d” atau berada di tingkat kapabilitas
3 (Established Process) dengan persentase distribusi jawaban 75%.
133
4.2.1.3 Perhitungan Capability Level
Berikut ini adalah hasil nilai kapabilitas proses APO12, APO13 dan DSS05,
yang didapat dengan menggunakan rumus penilaian yang dijelaskan sebelumnya di
BAB II skripsi ini:
4.2.1.3.1 Perhitungan Capability Level APO12 (Manage Risk)
a. Nilai Kapabilitas APO12.01 (Pengumpulan Data).
As is :
𝑁𝐾 = (3.13𝑥0) + (56.25𝑥2) + (28.13𝑥3) + (12.50𝑥4)
100 = 2.47
To be :
𝑁𝐾 = (62.50𝑥3) + (37.50𝑥4)
100 = 3.38
Nilai kapabilitas kondisi saat ini (as is) pada APO12.01 yaitu 2,47 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.38 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
b. Nilai Kapabilitas APO12.02 (Analisa Risiko).
As is :
𝑁𝐾 = (15.91𝑥0) + (4.55𝑥1) + (29.55𝑥2) + (47.73𝑥3) + (2.27𝑥4)
100 = 2.16
To be :
𝑁𝐾 = (2.27𝑥2) + (65.91𝑥3) + (31.82𝑥4)
100 = 3.3
Nilai kapabilitas kondisi saat ini (as is) pada APO12.02 yaitu 2,16 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
134
kondisi ekspektasi (to be) adalah 3.3 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
c. Nilai Kapabilitas APO012.03 (Memelihara Profil Risiko).
As is :
𝑁𝐾 = (9.38𝑥1) + (62.50𝑥2) + (25.00𝑥3) + (3.13𝑥4)
100 = 2.22
To be :
𝑁𝐾 = (3.13𝑥2) + (62.50𝑥3) + (21.88𝑥4) + (12.50𝑥5)
100 = 3.44
Nilai kapabilitas kondisi saat ini (as is) pada APO12.03 yaitu 2,22 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.44 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
d. Nilai Kapabilitas APO12.04 (Memperjelas Risiko).
As is :
𝑁𝐾 = (14.29𝑥0) + (3.57𝑥1) + (57.14𝑥2) + (14.29𝑥3) + (10.71𝑥4)
100 = 2.04
To be :
𝑁𝐾 = (75.00𝑥3) + (21.43𝑥4) + (3.57𝑥5)
100 = 3.3
Nilai kapabilitas kondisi saat ini (as is) pada APO12.04 yaitu 2,04 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.3 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
135
e. Nilai Kapabilitas APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen
Risiko).
As is :
𝑁𝐾 = (12.50𝑥0) + (62.50𝑥2) + (12.50𝑥3) + (12.50𝑥4)
100 = 2.1
To be :
𝑁𝐾 = (75.00𝑥3) + (25.00𝑥4)
100 = 3.3
Nilai kapabilitas kondisi saat ini (as is) pada APO12.05 yaitu 2,1 artinya tingkat
kapabilitasnya terdapat pada level 2 (Managed Process), sementara kondisi
ekspektasi (to be) adalah 3.3 dengan kata lain tingkat kapabilitasnya berada di
level 3 (Established Process).
f. Nilai Kapabilitas APO12.06 (Respon Terhadap Risiko).
As is :
𝑁𝐾 = (16.67𝑥0) + (55.56𝑥2) + (22.22𝑥3) + (5.56𝑥4)
100 = 2.00
To be :
𝑁𝐾 = (86.11𝑥3) + (13.89𝑥4)
100 = 3.1
Nilai kapabilitas kondisi saat ini (as is) pada APO12.06 yaitu 2,00 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.1 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
136
4.2.1.3.2 Perhitungan Capability Level APO13 (Manage Security)
a. Nilai Kapabilitas APO13.01 (Membuat dan Memelihara Sistem Manajemen
Keamanan Informasi).
As is :
𝑁𝐾 = (9.38𝑥1) + (65.63𝑥2) + (21.88𝑥3) + (3.13𝑥4)
100 = 2.19
To be :
𝑁𝐾 = (78.13𝑥3) + (21.88𝑥4)
100 = 3.22
Nilai kapabilitas kondisi saat ini (as is) pada APO13.01 yaitu 2,19 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.22 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
b. Nilai Kapabilitas APO13.02 (Menentukan dan Mengatur Rencana Penanganan
Risiko Keamanan Informasi).
As is :
𝑁𝐾 = (9.38𝑥0) + (56.25𝑥2) + (31.25𝑥3) + (3.13𝑥4)
100 = 2.19
To be :
𝑁𝐾 = (75.00𝑥3) + (21.88𝑥4) + (3.13𝑥5)
100 = 3.28
Nilai kapabilitas kondisi saat ini (as is) pada APO13.02 yaitu 2,19 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.28 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
137
c. Nilai Kapabilitas APO13.03 (Mengawasi dan Meninjau Sistem Manajemen
Keamanan Informasi).
As is :
𝑁𝐾 = (4.17𝑥0) + (75.00𝑥2) + (16.67𝑥3) + (4.17𝑥4)
100 = 2.17
To be :
𝑁𝐾 = (70.83𝑥3) + (25.00𝑥4) + (4.17𝑥5)
100 = 3.33
Nilai kapabilitas kondisi saat ini (as is) pada APO13.03 yaitu 2,17 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.33 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
4.2.1.3.3 Perhitungan Capability Level DSS05 (Manage Security Services)
a. Nilai Kapabilitas DSS05.01 (Melindungi dari Malware).
As is :
𝑁𝐾 = (75.00𝑥2) + (21.88𝑥3) + (3.13𝑥4)
100 = 2.28
To be :
𝑁𝐾 = (81.25𝑥3) + (18.75𝑥4)
100 = 3.19
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.01 yaitu 2,28 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.19 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
138
b. Nilai Kapabilitas DSS05.02 (Mengelola Jaringan dan Konektivitas
Keamanan).
As is :
𝑁𝐾 = (75.00𝑥2) + (22.50𝑥3) + (2.50𝑥4)
100 = 2.28
To be :
𝑁𝐾 = (77.50𝑥3) + (20.00𝑥4) + (2.50𝑥5)
100 = 3.3
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.02 yaitu 2,28 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.3 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
c. Nilai Kapabilitas DSS05.03 (Mengelola Keamanan Perangkat).
As is :
𝑁𝐾 = (75.00𝑥2) + (19.44𝑥3) + (5.56𝑥4)
100 = 2.31
To be :
𝑁𝐾 = (61.11𝑥3) + (38.89𝑥4)
100 = 3.39
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.03 yaitu 2,31 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.39 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
139
d. Nilai Kapabilitas DSS05.04 (Mengelola Identitas Pengguna dan Akses Jarak
Jauh Perangkat).
As is :
𝑁𝐾 = (65.91𝑥2) + (34.19𝑥3)
100 = 2.34
To be :
𝑁𝐾 = (77.78𝑥3) + (22.22𝑥4)
100 = 3.20
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.04 yaitu 2,34 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.20 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
e. Nilai Kapabilitas DSS05.05 (Mengelola Akses Pada Aset/Perangkat TI).
As is :
𝑁𝐾 = (67.50𝑥2) + (30.00𝑥3) + (2.50𝑥4)
100 = 2.40
To be :
𝑁𝐾 = (70.00𝑥3) + (22.50𝑥4) + (7.50𝑥5)
100 = 3.40
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.05 yaitu 2,40 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.40 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
140
f. Nilai Kapabilitas DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat
Output).
As is :
𝑁𝐾 = (65.00𝑥2) + (30.00𝑥3) + (5.00𝑥4)
100 = 2.40
To be :
𝑁𝐾 = (75.00𝑥3) + (20.00𝑥4) + (5.00𝑥5)
100 = 3.30
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.06 yaitu 2,40 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.30 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
g. Nilai Kapabilitas DSS05.07 (Mengawasi Infrastruktur untuk
Peristiwa/Kejadian yang Terkait dengan Keamanan).
As is :
𝑁𝐾 = (4.17𝑥0) + (4.17𝑥1) + (54.17𝑥2) + (33.33𝑥3) + (4.17𝑥4)
100 = 2.29
To be :
𝑁𝐾 = (75.00𝑥3) + (20.83𝑥4) + (4.17𝑥5)
100 = 3.29
Nilai kapabilitas kondisi saat ini (as is) pada DSS05.07 yaitu 2,29 artinya
tingkat kapabilitasnya terdapat pada level 2 (Managed Process), sementara
kondisi ekspektasi (to be) adalah 3.29 dengan kata lain tingkat kapabilitasnya
berada di level 3 (Established Process).
141
4.2.2 Hasil Perhitungan Keseluruhan Capability Level
Pada bagian ini akan dilakukan penentuan tingkat kapabilitas setiap proses
sesuai dengan model kapabilitas COBIT 5. Penentuan ini dilakukan dengan cara
membulatkan bilangan-bilangan yang didapatkan dari perhitungan nilai kapabilitas
sebelumnya. Misal, nilai kapabilitas yang didapatkan adalah 2.38 maka nilai ini
masuk dalam level 2 dalam model kapabilitas COBIT 5 dengan memiliki gap
sebesar 0.12 untuk mencapai level 3.
1. Penentuan Tingkat Kapabilitas Proses APO12 (Manage Risk)
0
1
2
3
4APO12.01
APO12.02
APO12.03
APO12.04
APO12.05
APO12.06
Chart Title
as is to be
Tabel 4. 20 Nilai Kapabilitas dan Tingkat Kapabilitas APO12
Gambar 4. 7 Grafik Nilai Kapabilitas APO12
142
Berdasarkan tabel dan grafik diatas menggambarkan bahwa nilai
kapabilitas kondisi as is proses APO12 (Manage Risk) pada Pusat Jaringan
Komunikasi BMKG adalah 2.17, dengan kata lain proses tersebut berada pada
tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa pada
proses APO12 Pusat Jaringan Komunikasi BMKG telah mengimplementasikannya
dengan pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap
work products telah ditetapkan, dikontrol dan dipelihara. Hal itu dapat dilihat dari
Pusat Jaringan Komunikasi yang selalu melakukan identifikasi dan pengawasan
terhadap perjanjian layanan untuk kebutuhan layanan baru. Kemudian dilaporkan
kepada Bidang Manajemen Operasional TI untuk melakukan tindakan perbaikan
sistem layanan.
Sementara itu, nilai kapabilitas to be yang didapatkan pada proses APO12
(Manage Risk) adalah 3.30, dengan kata lain proses tersebut berada pada tingkat
kapabilitas 3 (Established Process). Level ini menunjukkan, proses yang berjalan
harus dipastikan bahwa performa proses tersebut telah mendukung pencapaian
tujuan Pusat Jaringan Komunikasi BMKG, adanya sistem layanan TI yang masih
bermasalah akan dilakukan proses perbaikan untuk menghasilkan layanan TI yang
baik ketika para stakeholder menggunakannya dengan batasan untuk mencapai
tujuan yang diharapkan.
143
2. Penentuan Tingkat Kapabilitas Proses APO13 (Manage Security)
Berdasarkan tabel dan grafik diatas menggambarkan bahwa nilai
kapabilitas kondisi as is proses APO13 (Manage Security) pada Pusat Jaringan
Komunikasi BMKG adalah 2.18, dengan kata lain proses tersebut berada pada
tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa pada
proses APO13 Pusat Jaringan Komunikasi BMKG telah mengimplementasikannya
dengan pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap
work products telah ditetapkan, dikontrol dan dipelihara. Hal itu dapat dilihat dari
0
1
2
3
4APO13.01
APO13.02APO13.03
Chart Title
as is to be
Tabel 4. 21 Nilai Kapabilitas dan Tingkat Kapabilitas APO13
Gambar 4. 8 Grafik Nilai Kapabilitas APO13
144
Pusat Jaringan Komunikasi yang selalu melakukan identifikasi dan pengawasan
terhadap perjanjian layanan untuk kebutuhan layanan baru. Kemudian dilaporkan
kepada Bidang Manajemen Operasional TI untuk melakukan tindakan perbaikan
sistem layanan.
Sementara itu, nilai kapabilitas to be yang didapatkan oleh Pusat Jaringan
Komunikasi BMKG pada proses APO13 (Manage Security) adalah 3.28, dengan
kata lain proses tersebut berada pada tingkat kapabilitas 3 (Established process).
Level ini menunjukkan, proses yang berjalan harus dipastikan bahwa performa
proses tersebut telah mendukung pencapaian tujuan Pusat Jaringan Komunikasi
BMKG, adanya sistem layanan TI yang masih bermasalah akan dilakukan proses
perbaikan untuk menghasilkan layanan TI yang baik ketika para stakeholder
menggunakannya dengan batasan untuk mencapai tujuan yang diharapkan.
3. Penentuan Tingkat Kapabilitas Proses DSS05 (Manage Security Services)
Tabel 4. 22 Nilai Kapabilitas dan Tingkat Kapabilitas DSS05
145
Berdasarkan tabel dan grafik diatas menggambarkan bahwa nilai
kapabilitas kondisi as is proses DSS05 (Manage Security Services) pada Pusat
Jaringan Komunikasi BMKG adalah 2.33, dengan kata lain proses tersebut berada
pada tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa pada
proses DSS05 Pusat Jaringan Komunikasi BMKG telah mengimplementasikannya
dengan pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap
work products telah ditetapkan, dikontrol dan dipelihara. Hal itu dapat dilihat dari
Pusat Jaringan Komunikasi yang selalu melakukan identifikasi dan pengawasan
terhadap perjanjian layanan untuk kebutuhan layanan baru. Kemudian dilaporkan
kepada Bidang Manajemen Operasional TI untuk melakukan tindakan perbaikan
sistem layanan.
Sementara itu, nilai kapabilitas to be yang didapatkan oleh Pusat Jaringan
Komunikasi BMKG pada proses DSS05 (Manage Security Services) adalah 3.30,
dengan kata lain proses tersebut berada pada tingkat kapabilitas 3 (Established
0
1
2
3
4DSS05.01
DSS05.02
DSS05.03
DSS05.04DSS05.05
DSS05.06
DSS05.07
Chart Title
as is to be
Gambar 4. 9 Grafik Nilai Kapabilitas DSS05
146
Process). Level ini menunjukkan, proses yang berjalan harus dipastikan bahwa
performa proses tersebut telah mendukung pencapaian tujuan Pusat Jaringan
Komunikasi BMKG, adanya sistem layanan TI yang masih bermasalah akan
dilakukan proses perbaikan untuk menghasilkan layanan TI yang baik ketika para
stakeholder menggunakannya dengan batasan untuk mencapai tujuan yang
diharapkan.
Setelah dilakukan penjabaran pada tahapan Define Problems and
Opportunities diatas, peneliti menyimpulkan ada beberapa hasil yang peneliti
dapatkan dari langkah-langkah penghitungan Capability Level yang dilakukan pada
tahapan ini, berikut adalah hasilnya :
1. Temuan data berdasarkan proses-proses terpilih dari domain COBIT 5 yang
disesuaikan dengan kondisi aktual Pusat Jaringan Komunikasi saat ini.
2. Hasil nilai rata-rata keseluruhan Capability Level Pusat Jaringan Komunikasi
BMKG saat ini pada domain APO12 (Manage Risk), APO13 (Manage
Security), dan DSS05 (Manage Security Services) adalah 2.22, dan berada pada
tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa Pusat
Jaringan Komunikasi BMKG telah mengimplementasikannya dengan
147
pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap work
products telah ditetapkan, dikontrol dan dipelihara.
Hasil nilai rata-rata keseluruhan Capability Level Pusat Jaringan
Komunikasi BMKG yang diharapkan pada domain APO12 (Manage Risk), APO13
(Manage Security), dan DSS05 (Manage Security Services) adalah 3.29, dan berada
pada tingkat kapabilitas 3 (Established Process). Level ini menunjukkan, proses
yang berjalan harus dipastikan bahwa performa proses tersebut telah mendukung
pencapaian tujuan Pusat Jaringan Komunikasi BMKG, adanya sistem layanan TI
yang masih bermasalah akan dilakukan proses perbaikan untuk menghasilkan
layanan TI yang baik ketika para stakeholder menggunakannya dengan batasan
untuk mencapai tujuan yang diharapkan.
4.3 Tahap 3 - Define Road Map
Pada tahap sebelumnya sudah dilakukan proses perhitungan untuk
mendapatkan nilai kapabilitas dan tingkat kapabilitas baik aktual maupun
ekspektasi dari semua proses pada penelitian ini. Hasil tersebut bagaimanapun
01234APO12
APO13DSS05
Chart Title
as is to be
Gambar 4. 10 Grafik Nilai Rata-Rata Kapabilitas Pusat Jaringan
Komunikasi
148
didapatkan berdasarkan pada pandangan perusahaan yakni, berasal dari jawaban
kuesioner oleh para responden sedangkan COBIT 5 menekankan pada evidence
based untuk menetapkan tingkat kapabilitas dari suatu proses. Maka hasil
perhitungan tersebut masih belum dapat dijadikan sebagai hasil final dari tingkat
kapabilitas perusahaan.
Oleh Karena itu, pada tahap define road map ini penulis akan melakukan
penelusuran untuk setiap pemenuhan syarat-syarat atau atribut-atribut pencapaian
level dalam model kapabilitas COBIT 5. Proses penelusuran bukti ini berdasarkan
pada Process Assessment Model (PAM) yang ada pada COBIT 5. Tingkat
kapabilitas pada proses penelusuran ini akan ditentukan melalui pencapaian
atribut-atribut yang sudah dijelaskan pada bab 2.
Berdasarkan hasil perhitungan sebelumnya, didapatkan tingkat kapabilitas
masing-masing proses adalah: APO12 (Manage Risk) berada pada level 2
(Managed Process), APO13 (Manage Security) berada pada level 2 (Managed
Process), dan DSS05 (Manage Security Services) berada pada level 2 (Managed
Process). Dari hasil ini penulis mendapatkan hasil bahwa semua proses pada
penelitian ini berada pada tingkat kapabilitas di level 2 (Managed Process), hal ini
dapat dilihat dari adanya menggunakan framework ISO 27001 namun belum
sepenuhnya terpenuhi karena banyak factor yang menghambat Pusat Jaringan
Komunikasi BMKG.
Dari hasil tersebut maka proses pemenuhan yang akan dilakukan di sini
adalah proses pemenuhan untuk level di atas level 2 yakni, level 3 (Established
149
Process). Selanjutnya penulis akan melakukan penelusuran bukti berdasarkan pada
work products yang ada pada setiap Best Practices (subproses) pada setiap proses.
Untuk kemudian mencari apakah semua work products sudah ada pada setiap Best
Practices di setiap proses? Persentase pemenuhan work products ini yang akan
menjadi acuan apakah proses tersebut sudah memenuhi syarat pencapaian di level
3 (Established Process) atau belum. Kriteria penilaian pemenuhan ini akan merujuk
pada rating scale yang sudah dijelaskan pada bab 2.
4.3.1 Analisis Kesenjangan Kapabilitas Proses
Pada tahapan ini akan dilakukan penelusuran evidence yang dilakukan
untuk menyesuaikan hasil penghitungan Capability Level dengan bukti yang harus
dilengkapi oleh Pusat Jaringan Komunikasi. Dari penelusuran tersebut akan
ditemukan gap jika terjadi ketidak sesuaian evidence terhadap nilai Capability
Level.
4.3.1.1 Pemenuhan Proses APO12
Selanjutnya adalah proses penelusuran pemenuhan level 1 (performed
process) pada proses APO12 yang disesuaikan dengan process attributes (PA) 1.1
process performance.
Best
Practices
Work Products Exist Evidence Skor
APO12.01
Pengumpulan
Data
Data Tentang
Risiko √ Profil Resiko
Data Tentang
Kejadian/Insiden
- -
150
Isu Tentang
Risiko
√ Renstra
APO12.02
Analisa
Risiko
Jangkauan
Analisa Risiko √ Renstra
Skenario Risiko
TI √ Profil Resiko
Hasil Analisa
Risiko √ Profil Resiko
APO12.03
Pemeliharaan
Profil Risiko
Dokumentasi
Skenario Risiko
Sesuai Fungsi
Bisnisnya
√ Profil Resiko
Kumpulan Profil
Risiko Berisi
Status dan
Tindakan yang
Diambil
√ Profil Resiko
APO12.04
Memperjelas
Risiko
Laporan Analisa
Risiko dan Profil
Risiko untuk
Stakeholder
√ Profil Resiko
Tinjauan Ulang dari Penilaian Risiko oleh
Pihak Ketiga
√ Profil Resiko
Peluang untuk
Penerimaan
Risiko yang
Lebih Besar
√ Profil Resiko
APO12.05
Portofolio
Kegiatan
Manajemen
Risiko
Proposal untuk
Mengurangi
Risiko √ Profil Resiko
APO12.06
Respon
Terhadap
Risiko
Rencana
Penanganan
Insiden Risiko
√ Profil Resiko
151
Pemberitahuan
Dampak Risiko √ Profil Resiko
Akar Penyebab
Risiko
√ Profil Resiko
Rata-rata Skor 93.3%
Tabel 4. 23 Proses APO12 PA 1.1 Process Performance
Berikut ini adalah tindakan terkait work products yang telah dijelaskan pada tabel
diatas.
1. APO12.01 Pengumpulan Data
a. Data Tentang Resiko
Adanya Dokumen Profil Resiko di Pusat Jaringan Komunikasi BMKG yang
berisi data-data berupa isu resiko, cara penanganan resiko dan data lain
tentang resiko.
b. Data Tentang Kejadian/Insiden
Pusat Jaringan Komunikasi BMKG sudah melakukan pendataan tentang
kejadian/insiden namun belum berjalan dan belum dikelola dengan baik.
c. Isu Tentang Resiko
Isu tentang resiko sudah terencana pada dokumen Rencana Strategis Pusat
Jaringan Komunikasi BMKG sebagai acuan dalam perencanaan
penanganan risiko.
2. APO12.02 Analisa Resiko
a. Jangkauan Analisa Resiko
Pusat Jaringan Komunikasi BMKG sudah mempersiapkan kemungkinan-
kemungkinan lingkup apa saja yang dapat dijangkau setiap resiko dalam
Dokumen Rencana Strategis Pusat Jaringan Komunikasi BMKG.
152
b. Skenario Resiko TI
Pusat Jaringan Komunikasi BMKG memiliki Dokumen Profil Resiko yang
salah satunya berisi tentang Risk Asset Register sebagai perencanaan
skenario resiko TI.
c. Hasil Analisa Resiko
Hasil Analisa Resiko semua tercatat pada dokumen Profil Resiko Pusat
Jaringan Komunikasi BMKG.
3. APO12.03 Pemeliharaan Profil Resiko
a. Dokumentasi Skenario Resiko Sesuai Fungsi Bisnisnya
Dokumen Profil Resiko menjelaskan beberapa dokumentasi skenario resiko
sesuai fungsi bisnis Pusat Jaringan Komunikasi BMKG.
b. Kumpulan Profil Resiko Berisi Status dan Tindakan yang Diambil
Pusat Jaringan Komunikasi BMKG memiliki kumpulan profil resiko berisi
status dan tindakan yang diambil secara terperinci dalam dokumen profil
resiko.
4. APO12.04 Memperjelas Resiko
a. Laporan Analisa Resiko dan Profil Resiko untuk Stakeholder
Dalam penggunaan dokumen profil resiko, Pusat Jaringan Komunikasi
BMKG juga menjadikan dokumen tersebut sebagai acuan pembuatan
laporan analisis resiko yang ditujukan untuk Stakeholder.
153
b. Tinjauan Ulang dari Penilaian Resiko oleh Pihak Ketiga
Belum adanya dokumen peninjauan ulang terhadap data-data resiko terkait
pihak ketiga yang kemungkinan dapat terjadi di Pusat Jaringan Komunikasi
BMKG.
c. Peluang untuk Penerimaan Resiko yang Lebih Besar
Dokumen Profil Resiko dibuat salah satunya untuk mempersiapkan
penerimaan resiko yang lebih besar agar dapat ditangani dengan benar.
5. APO12.05 Portofolio Kegiatan Manajemen Resiko
a. Proposal untuk Mengurangi Resiko
Semua kegiatan manajemen resiko tersimpan dan terdokumentasi pada
dokumen profil resiko yang dapat digunakan sebagai acuan pengajuan
proposal untuk mengurangi resiko.
6. APO12.06 Respon Terhadap Resiko
a. Rencana Penanganan Insiden Resiko
Dalam dokumen Profil Resiko berisi data Risk Treatment Asset yang
membahas tentang rencana penanganan insiden resiko pada Pusat Jaringan
Komunikasi BMKG.
b. Pemberitahuan Dampak Resiko
Pemberitahuan dampak resiko dijelaskan dalam dokumen profil resiko yang
ditujukan untuk acuan penanganan resiko yang akan terjadi pada Pusat
Jaringan Komunikasi BMKG.
154
c. Akar Penyebab Resiko
Dokumen Profil Resiko juga menjelaskan akar penyebab resiko yang sudah
diperkirakan dalam table Risk Assets Register untuk melengkapi
standarisasi penilaian resiko.
Pada PA 1.1 process performance diatas, Pusat Jaringan Komunikasi
BMKG mendapatkan skor 93.3% yang masuk dalam tingkat penilaian fully
achieved. Dengan kata lain, penilaian pada proses APO12 dapat melanjutkan ke
level selanjutnya yaitu level 2 (managed process). Penilaian terhadap pencapaian
level 2 didasarkan pada PA 2.1 performance management dan PA 2.2 work product
management. Berikut ini adalah tabel penjelasan pencapaian Pusat Jaringan
Komunikasi dalam level 2 pada proses APO12.
Generic Practices Generic Work
Products
Exist Evidence
Identify the objectives Tujuan penyelesaian
manajemen resiko TI
√ Profil Resiko
Plan and monitor the
performance
Perencanaan terkait
manajemen resiko TI
√ Renstra
Adjust the performance Penyesuaian solusi
untuk manajemen
resiko TI
√ Profil Resiko
Define
responsibilites and
authorities
Peran tanggung jawab
atau komunikasi atas
manajemen resiko TI - -
Identify and make
available
Ketersediaan sumber
daya √ Renstra
155
Manage the
interfaces
Pengelolaan hubungan
pihak terkait
- -
Rata-rata Skor 66.66%
Tabel 4. 24 Proses APO12 PA 2.1 Performance Management
Berikut ini adalah penjelasan tindakan yang dilakukan Pusat Jaringan
Komunikasi BMKG dalam memenuhi PA 2.1 performance management pada
proses APO12.
a. Identify the Objectives
Tujuan penyelesaian permintaan manajemen resiko TI ada di dalam salah satu
subbab yang terdapat pada dokumen Profil Resiko sebagai acuan dan
perencanaan untuk penanganan resiko selanjutnya.
b. Plan and Monitor the Performance
Perencanaan dan monitoring terkait manajemen resiko TI terdapat di dalam
dokumen Rencana Strategi yang menjelaskan bagaimana cara penanganan
resiko dan apakah penanganan insiden dapat diselesaikan sesuai dengan jadwal
yang ditentukan atau tidak.
c. Adjust the Performance
Penyesuaian solusi terkait manajemen resiko TI terdapat dalam dokumen Profil
Resiko, pada dokumen tersebut dijelaskan bagaimana pemilihan penanganan
terbaik terhadap resiko TI yang mungkin akan dialami.
d. Define Responsibilites and Authorities
Belum ada dokumen terkait yang membahas tentang manajemen resiko TI
terutama pada tahapan penerapan dan pelatihan stakeholder.
156
e. Identify and Make Available
Pada dokumen Rencana Strategi telah dijelaskan identifikasi sumber daya dan
informasi yang dibutuhkan serta siapa yang bertanggungjawab akan menangani
jika terjadi insiden pada Pusat Jaringan Komunikasi BMKG.
f. Manage the Interface
Pusat Jaringan Komunikasi sudah mendefinisikan setiap tugas dari tujuan dan
sasaran terkait TI. Namun belum adanya manajemen hubungan antara semua
pihak yang terlibat dalam setiap proses bisnis Pusat Jaringan Komunikasi.
Generic Practices Generic Work Products Exist Evidence
Define the requirements
for the work products
Rencana kebutuhan hasil kerja √ Renstra
Define the requirements
for documentation and
control
Dokumentasi terkait manajemen
resiko TI √ Profil Resiko
Identify, document and
control Pengelolaan dokumen
manajemen resiko TI √ Profil Resiko
Review and adjust work
products Evaluasi hasil penyelesaian
terkait manajemen resiko TI - -
Rata-rata Skor 75%
Tabel 4. 25 Proses APO12 PA 2.2 Product Management
Berikut ini adalah penjelasan tindakan yang dilakukan Pusat Jaringan
Komunikasi BMKG dalam memenuhi PA 2.2 Work Product Management APO12.
a. Define the Requirements for the Work Products
157
Dalam Rencana Strategi dijelaskan beberapa perencanaan terkait Manajemen
Resiko TI secara jelas, seperti apa saja resiko yang bias ditimbulkan dari sebuah
insiden begitupun bagaimana cara penanganannya.
b. Define the Requirements for Documentation and Control
Sudah ada dokumentasi terkait resiko TI yang dituangkan didalam dokumen
profil resiko yang selanjutnya dapat diolah menjadi informasi atau acuan lebih
lanjut.
c. Identify, Document and Control
Terkait dengan identifikasi dan pengelolaan manajemen resiko TI, semua telah
dijelaskan pada dokumen Profil Resiko yang terdiri dari beberapa rincian
perkiraan, cara penanganan dan waktu pemulihan.
d. Review and Adjust Work Products
Belum adanya aktivitas penyesuaian hasil kerja untuk memenuhi kebutuhan
yang telah didefinisikan berupa komunikasi antar unit atau bidang lain terkait
manajemen resiko. Belum terdokumentasi dengan baik karena proses evaluasi
terhadap hasil kerja tersebut membutuhkan persetujuan unit atau bidang lain.
Berdasarkan pencapaian PA 2.1 process performance dan PA 2.2 work
product management yang dipaparkan pada kedua tabel di atas. Maka diketahui
skor pencapaian pada PA 2.1 process performance adalah 66.66% yang termasuk
dalam tingkat penilaian F (largely achieved). Sementara skor yang diketahui pada
PA 2.2 work product management adalah 75% yang masuk ke dalam tingkat
penilaian L (largely achieved). Tingkat penilaian L menunjukkan bahwa Pusat
Jaringan Komunikasi sudah memenuhi syarat-syarat pencapaian level 2 (Managed
158
Process). Rata-rata persentase hasil dari PA 2.1 dan PA 2.2 menunjukkan skor
70.05% yang termasuk ke dalam tingkat penilaian L (largely achieved). Namun
tidak bisa melanjutkan penilaian ke level 3 atau selanjutnya, karena syarat yang
harus dipenuhi adalah mecapai tingkat penilaian fully achieved pada level 2.
4.3.1.2 Pemenuhan Proses APO13
Pada bagian ini akan dilakukan proses penelusuran pemenuhan level 1
(performed process) pada proses APO13 (manage security) yang disesuaikan
dengan process attributes (PA) 1.1 process performance.
Best Practices Work Products Exist Evidence Skor
APO13.01
Pemeliharaan
Sistem Manajemen
Keamanan
Informasi (SMKI)
Peraturan
SMKI √
Kebijakan
Keamanan
Informasi
Jangkauan
SMKI √
Kebijakan
Keamanan
Informasi
APO13.02
Mengelola
Rencana
Penanganan Risiko
Keamanan
Informasi
Informasi
Mengenai
Penanganan
Risiko
Keamanan
√ Profil Resiko
Informasi
Keamanan
Berdasarkan
Kasus Bisnis
√
Dokumen
(Blue Print)
Teknologi
Informasi
APO13.03
Mengawasi Sistem
Manajemen Laporan Audit
SMKI
√
Kebijakan
Keamanan
Informasi
159
Keamanan
Informasi (SMKI) Rekomendasi untuk Peningkatan
SMKI
√
Kebijakan
Keamanan
Informasi
Rata-rata Skor 100%
Tabel 4.26 Proses APO13 PA 1.1 Process Performance
Berikut ini adalah tindakan terkait work products yang telah dijelaskan pada tabel
diatas.
1. APO13.01 Pemeliharaan Sistem Manajemen Keamanan Informasi
a. Peraturan SMKI
Adanya peraturan pemeliharaan SMKI di Pusat Jaringan Komunikasi
BMKG yang mencakup berbagai kegiatan yang wajib dipenuhi didalam
dokumen Kebijakan Keamanan Informasi.
b. Jangkauan SMKI
Jangkauan pemeliharaan SMKI mencakup ruang lingkup di Pusat Jaringan
Komunikasi BMKG berdasarkan dokumen Kebijakan Keamanan
Informasi.
2. APO13.02 Mengelola Rencana Penanganan Resiko Keamanan Informasi
a. Informasi Mengenai Penanganan Resiko Keamanan
Informasi mengenai penanganan resiko keamanan terlampir pada dokumen
profil resiko Pusat Jaringan Komunikasi BMKG.
b. Informasi Keamanan Berdasarkan Kasus Bisnis
Dokumen Kebijakan Keamanan Informasi telah menjelaskan Informasi
Keamanan berdasarkan kasus bisnis sesuai tupoksi Pusat Jaringan
Komunikasi BMKG.
160
3. APO13.03 Mengawasi Sistem Manajemen Keamanan Informasi (SMKI)
a. Laporan Audit SMKI
Hasil dokumentasi laporan audit SMKI berupa dokumen Kebijakan
Keamanan Informasi yang saat ini sedang coba diterapkan oleh Pusat
Jaringan Komunikasi BMKG.
b. Rekomendasi untuk Peningkatan SMKI
Audit SMKI menggunakan ISO 27001 menghasilkan rekomendasi untuk
peningkatan SMKI yang saat ini coba diterapkan Pusat Jaringan
Komunikasi BMKG namun masih belum semua kegiatan terealisasikan.
Pada PA 1.1 process performance diatas, Pusat Jaringan Komunikasi
BMKG mendapatkan skor 100% yang masuk dalam tingkat penilaian fully
achieved. Dengan kata lain, penilaian pada proses APO13 dapat melanjutkan ke
level selanjutnya yaitu level 2 (managed process). Penilaian terhadap pencapaian
level 2 didasarkan pada PA 2.1 performance management dan PA 2.2 work product
management. Berikut ini adalah tabel penjelasan pencapaian Pusat Jaringan
Komunikasi BMKG dalam level 2 pada proses APO13.
Generic Practices Generic Work Products Exist Evidence
Identify the
objectives
Tujuan identifikasi
penyelesaian manajemen
keamanan terkait TI
√ Blue Print Teknologi
Informasi
Plan and monitor the
performance
Perencanaan perbaikan
manajemen keamanan terkait
TI
√ Blue Print Teknologi
Informasi
161
Adjust the
performance
Penyesuaian solusi untuk
manajemen keamanan terkait
TI
√ Kebijakan Keamanan
Informasi
Define
responsibilites and
authorities
Peran tanggung jawab atau
komunikasi atas manajemen
keamanan terkait TI √
Kebijakan Keamanan
Informasi
Identify and make
available
Ketersediaan sumber daya √
Kebijakan Keamanan
Informasi
Manage the
interfaces
Pengelolaan hubungan pihak
terkait
- -
Rata-rata Skor 83.33%
Tabel 4. 27 Proses APO13 PA 2.1 Performance Management
Berikut ini adalah penjelasan tindakan yang dilakukan Pusat Jaringan
Komunikasi dalam memenuhi PA 2.1 performance management pada proses
APO13.
a. Identify the Objectives
Tujuan penyelesaian permintaan keamanan informasi ada di dalam dokumen
Blue Print Teknologi Informasi sebagai rancangan 5 tahun kedepan .
b. Plan and Monitor the Performance
Rencana monitoring keamanan informasi terdapat di dalam dokumen Blue Print
Teknologi Informasi yang menjelaskan bagaimana penerapan keamanan aset
dan sistem informasi.
162
c. Adjust the Performance
Penyesuaian kinerja untuk perbaikan terhadap manajemen keamanan terkait TI
terdapat dalam dokumen kebijakan keamanan informasi untuk meminimalisir
terjadinya masalah keamanan.
d. Define Responsibilites and Authorities
Pusat Jaringan Komunikasi BMKG telah mentetapkan personal/pihak yang
dianggap berkompeten dalam bidangnya dan otoritas terhadap individu yang
akan menangani masalah, insiden, dan keamanan terkait TI tersusun dalam
struktur organisasi non-fungsional untuk manajemen keamanan informasi.
e. Identify and Make Available
Identifikasi sumber daya dan informasi yang dibutuhkan serta siapa yang akan
bertanggungjawab terkait keamanan TI ada di dalam dokumen Kebijakan
Keamanan Informasi.
f. Manage the Interface
Sudah ada pengelolaan hubungan pihak terkait terutama terhadap keamanan TI,
namun belum sepenuhnya diterapkan oleh Pusat Jaringan Komunikasi.
Generic Practices Generic Work Products Exist Evidence
Define the
requirements for the
work products
Rencana kebutuhan hasil
kerja √ Kebijakan Keamanan
Informasi
Define the
requirements for
documentation and
control
Dokumentasi insiden dan
manajemen keamanan
terkait TI
√ -
Identify, document and
control
Pengelolaan dokumen
manajemen keamanan
terkait TI
- -
163
Review and adjust
work products
Evaluasi hasil penyelesaian
manajemen keamanan
terkait TI
- -
Rata-rata Skor 50%
Tabel 4. 28 Proses APO13 PA 2.2 Product Management
Berikut ini adalah penjelasan tindakan yang dilakukan PUSAT JARINGAN
KOMUNIKASI dalam memenuhi PA 2.2 Work Product Management APO12.
a. Define the Requirements for the Work Products
Dalam dokumen Kebijakan Keamanan Informasi dijelaskan berbagai kategori
keamanan terkait TI yang dalam penyelesaiannya sudah terdapat kriteria
kebutuhan penanganannya.
b. Define the Requirements for Documentation and Control
Belum ada dokumentasi insiden dan manajemen keamanan terkait TI yang
mencakup keseluruhan data insiden, masih minimnya pendokumentasian terkait
insiden keamanan TI.
c. Identify, Document and Control
Pusat Jaringan Komunikasi masih belum maksimal dalam mengelola
dokumentasi insiden dan manajemen keamanan sebagai acuan dan persiapan
menghadapi insiden lain.
d. Review and Adjust Work Products
Pusat Jaringan Komunikasi belum melakukan evaluasi terhadap dokumentasi
insiden dan manajemen keamanan untuk selanjutnya bisa dijadikan acuan atau
perbaikan terhadap keamanan TI.
164
Berdasarkan pencapaian PA 2.1 process performance dan PA 2.2 work
product management yang dipaparkan pada kedua tabel di atas. Maka diketahui
skor pencapaian pada PA 2.1 process performance adalah 83.33% yang termasuk
dalam tingkat penilaian L (largely achieved). Sementara skor yang diketahui pada
PA 2.2 work product management adalah 50% yang masuk ke dalam tingkat
penilaian L (largely achieved). Tingkat penilaian L menunjukkan bahwa Pusat
Jaringan Komunikasi BMKG sudah memenuhi syarat-syarat pencapaian level 2
(Managed Process). Rata-rata persentase hasil dari PA 2.1 dan PA 2.2
menunjukkan skor 66.65% yang termasuk ke dalam tingkat penilaian L (largely
achieved). Namun tidak bisa melanjutkan penilaian ke level 3 atau selanjutnya,
karena syarat yang harus dipenuhi adalah mecapai tingkat penilaian fully achieved
pada level 2.
4.3.1.3 Pemenuhan Proses DSS05
Selanjutnya akan dilakukan proses penelusuran pemenuhan level 1
(performed process) pada proses DSS05 yang disesuaikan dengan process
attributes (PA) 1.1 process performance.
Best Practices Work Products Exist Evidence Skor
DSS05.01
Perlindungan
dari
Malware
Peraturan
Pencegahan
Malware
√
Kebijakan
Keamanan
Informasi
Evaluasi Potensi
Ancaman √ Profil Resiko
DSS05.02
Pengelolaan
Jaringan dan
Konektivitas
Peraturan
Keamanan
Sambungan
(Konektivitas)
√
Kebijakan
Keamanan
Informasi
165
Hasil dari Tes
Penetrasi - -
DSS05.03
Mengelola
Keamanan
Perangkat
Peraturan Keamanan pada Perangkat yang Digunakan
Perusahaan
√
Kebijakan
Keamanan
Informasi
DSS05.04
Pengelolaan
Identitas
Pengguna dan
Remote Access
Hak Akses yang
Sudah Disetujui √
Kebijakan
Keamanan
Informasi
Hasil Peninjuan
Ulang Terhadap
Hak
Akses yang
Sudah
Diberikan
- -
DSS05.05
Pengelolaan
Akses pada
Aset/Perangkat
TI
Permintaan
Akses yang
Sudah Disetujui
√
Kebijakan
Keamanan
Informasi
Rekaman/Pencata
tan Pengaksesan √
Kebijakan
Keamanan
Informasi
DSS05.06
Pengelolaan
Dokumen
Sensitif dan
Perangkat
Output
Penyimpanan
untuk Dokumen
Sensitif dan
Perangkat
√
Kebijakan
Keamanan
Informasi
Akses Khusus
√
Kebijakan
Keamanan
Informasi
DSS05.07
Pengawasan
Infrastruktur
Keamanan
Pencatatan
Kegiatan/Insiden
Keamanan
√
Kebijakan
Keamanan
Informasi
Karakteristik
Insiden
Keamanan √
Dokumen (Blue
Print) Teknologi
Informasi
Pencatatan
Khusus Insiden
Keamanan
√ Dokumen Profil
Resiko
Rata-rata Skor 85.7%
Tabel 4. 29 Proses DSS05 PA 1.1 Process Performance
166
Berikut ini adalah tindakan terkait work products yang telah dijelaskan pada tabel
diatas.
1. DSS05.01 Perlindungan dari Malware
a. Peraturan Pencegahan Malware
Pada Dokumen Kebijakan keamanan Informasi telah dijelaskan secara rinci
tentang peraturan-peraturan pencegahan Malware namun belum diterapkan
sepenuhnya oleh Pusat Jaringan Komunikasi BMKG.
b. Evaluasi Potensi Ancaman
Evaluasi potensi ancaman telah dijelaskan dan diperkirakan pada Dokumen
Blue Print Teknologi Informasi untuk periode 2014-2019.
2. Pengelolaan Jaringan dan Konektivitas
a. Peraturan Keamanan Sambungan (Konektivitas)
Pusat Jaringan Komunikasi BMKG sudah menerapkan Firewall pada setiap
jaringan yang terhubung langsung ke Data Center untuk memastikan
keamanan sambungan (konektivitas).
b. Hasil Dari Tes Penetrasi
Pusat Jaringan Komunikasi BMKG rutin melakukan Tes Penetrasi namun
tidak memberikan dokumen sebagai bukti kepada peneliti karena beberapa
faktor keamanan.
3. Mengelola Keamanan Perangkat
a. Peraturan Keamanan pada Perangkat yang digunakan Perusahaan
Pengelolaan Keamanan Perangkat dijelaskan dengan rinci pada dokumen
Kebijakan Keamanan Informasi sebagai pedoman mengelola keamanan
perangkat Pusat Jaringan Komunikasi BMKG.
167
4. Pengelolaan Identitas Pengguna dan Remote Access
a. Hak Akses yang Sudah Disetujui
Terdapat rincian Hak Akses untuk SDM tertentu pada dokumen kebijakan
keamanan informasi terhadap perangkat yang sesuai dengan kemampuan
SDM tersebut dan tentunya sudah melalu persetujuan bagian terkait.
b. Hasil Peninjauan Ulang Hak Akses yang Sudah Diberikan
Data perihal Hak Akses yang tertera pada dokumen kebijakan keamanan
informasi sudah melewati verifikasi dan validasi kesesuaian terhadap SDM
yang ditunjuk.
5. Pengelolaan Akses Pada Aset/Perangkat TI
a. Permintaan Akses yang Sudah Disetujui
Pada dokumen kebijakan keamanan informasi dijelaskan bahwa setiap
bagian berhak melakukan permintaan Hak Akses kepada bagian
Operational TI untuk keperluan atau kebutuhan tertentu sesuai dengan
tupoksi bagian tersebut dan harus melalui persetujuan dari pemangku
kepentingan.
b. Rekaman/Pencatatan Pengaksesan
Pada dokumen kebijakan keamanan informasi dijelaskan segala bentuk log
pengaksesan harus dicatat dan didokumentasikan sebagai salah satu bentuk
persyaratan keamanan BMKG.
168
6. Pengelolaan Dokumen Sensitif dan Perangkat Output
a. Penyimpanan untuk Dokumen Sensitif dan Perangkat
Rincian perencanaan penyimpanan untuk dokumen sensitif dan perangkat
tersusun pada dokumen kebijakan keamanan informasi untuk
mempermudah pencarian dokumen.
b. Akses Khusus
Syarat-syarat penentuan akses khusus telah dijabarkan dalam dokumen
kebijakan keamanan informasi untuk memastikan bahwa pemberian akses
khusus hanya untuk SDM tertentu sesuai kebutuhan.
7. Pengawasan Infrastruktur Keamanan
a. Pencatatan Kegiatan/Insiden Keamanan
Dokumen Kebijakan Keamanan Informasi adalah dokumentasi yang juga
memuat tentang pencatatan Kegiatan/Insiden Keamanan yang pernah
terjadi dan bagaimana statusnya saat ini.
b. Karakteristik Insiden keamanan
Karakteristik insiden keamanan sudah diperkirakan oleh Pusat Jaringan
Komunikasi BMKG pada dokumen Blue Print Teknologi Informasi sesuai
dengan faktor-faktor apa saja yang dapat memicu insiden keamanan.
c. Pencatatan Khusus Insiden Keamanan
Pencatatan khusus tentang insiden keamanan telah terlampir pada dokumen
profil resiko TI bersama dengan data data resiko yang telah diperkirakan
sebagai acuan.
169
Pada PA 1.1 process performance diatas, Pusat Jaringan Komunikasi
BMKG mendapatkan skor 85.7% yang masuk dalam tingkat penilaian fully
achieved. Dengan kata lain, penilaian pada proses DSS05 dapat melanjutkan ke
level selanjutnya yaitu level 2 (managed process). Penilaian terhadap pencapaian
level 2 didasarkan pada PA 2.1 performance management dan PA 2.2 work product
management. Berikut ini adalah tabel penjelasan pencapaian Pusat Jaringan
Komunikasi BMKG dalam level 2 pada proses DSS05.
Generic Practices Generic Work Products Exist Evidence
Identify the objectives Tujuan penyelesaian manajemen
keamanan layanan terkait TI
√
Blue Print
Teknologi
Informasi
Plan and monitor the
performance
Perencanaan perbaikan manajemen
keamanan layanan terkait TI
√
Blue Print
Teknologi
Informasi
Adjust the
performance
Penyesuaian solusi untuk
manajemen keamanan layanan
terkait TI
√ Profil Resiko
Define
responsibilites and
authorities
Peran tanggung jawab atau
komunikasi atas manajemen
keamanan layanan terkait TI √
Kebijakan
Keamanan
Informasi
Identify and make
available
Ketersediaan sumber daya
√
Kebijakan
Keamanan
Informasi
Manage the
interfaces
Pengelolaan hubungan pihak terkait
- -
Rata-rata Skor 83.33%
Tabel 4. 30 Proses DSS05 PA 2.1 Performance Management
170
Berikut ini adalah penjelasan tindakan yang dilakukan Pusat Jaringan
Komunikasi dalam memenuhi PA 2.1 performance management pada proses
DSS05.
a. Identify the Objectives
Tujuan penyelesaian manajemen keamanan layanan terkait TI ada di dalam
Blue Print Teknologi Informasi yang direncanakan untuk penerapan keamanan
layanan TI jangka panjang.
b. Plan and Monitor the Performance
Perencanaan perbaikan manajemen keamanan layanan TI juga terdapat di dalam
dokumen Blue Print Teknologi Informasi yang menjelaskan apakah
penanganan insiden keamanan terkait TI dapat diselesaikan sesuai dengan
jadwal yang ditentukan atau tidak.
c. Adjust the Performance
Belum ada penyesuaian kinerja untuk perbaikan terhadap manajemen
keamanan terkait TI terutama pengelolaan hak akses asset maupun Data Center
untuk meminimalisir terjadinya masalah keamanan.
d. Define Responsibilites and Authorities
Pusat Jaringan Komunikasi BMKG telah mentetapkan personal/pihak yang
dianggap berkompeten dalam bidang keamanan terkait TI dan otoritas terhadap
individu yang akan menangani masalah, insiden, dan penyajian layanan
tersusun dalam struktur organisasi non-fungsional untuk manajemen keamanan
layanan.
171
e. Identify and Make Available
Identifikasi sumber daya dan informasi yang dibutuhkan serta siapa yang akan
menangani insiden ada di dalam dokumen kebijakan keamanan informasi.
f. Manage the Interface
Sudah adanya pengelolaan terkait pihak ketiga tentang manajemen keamanan
namun belum seluruhnya terkontrol dengan baik, sebagai contoh yaitu hak
akses yang masih terlalu fleksibel dan kurang menekankan ketegasan terhadap
vendor TI yang melakukan kerjasama dengan pihak pusjarkom BMKG.
Generic Practices Generic Work Products Exist Evidence
Define the
requirements for the
work products
Rencana kebutuhan hasil
kerja √ Kebijakan Keamanan
Informasi
Define the
requirements for
documentation and
control
Dokumentasi manajemen
keamanan layanan terkait TI √ -
Identify, document
and control
Pengelolaan dokumen
manajemen keamanan
layanan terkait TI
√ -
Review and adjust
work products
Evaluasi hasil penyelesaian
manajemen keamanan
layanan terkait TI
√ -
Rata-rata Skor 25%
Tabel 4. 31 Proses DSS05 PA 2.2 Product Management
Berikut ini adalah penjelasan tindakan yang dilakukan PUSAT JARINGAN
KOMUNIKASI dalam memenuhi PA 2.2 Work Product Management DSS05.
172
a. Define the Requirements for the Work Products
Dalam Kebijakan Keamanan Informasi terdapat kategori insiden dan layanan,
yang dalam penyelesaiannya sudah terdapat kriteria kebutuhan penanganannya.
b. Define the Requirements for Documentation and Control
Manajemen layanan terkait TI belum diterapkan secara menyeluruh terutama
pada dokumentasi akses kontrol aset maupun Data Center yang menyebabkan
tidak adanya log daftar pengaksesan terperinci.
c. Identify, Document and Control
Pengelolaan terkait keamanan baik keamanan aset, Data Center maupun
keamanan layanan belum dilakukan dengan baik yang menyebabkan kurang
ketatnya akses terhadap data dan informasi.
d. Review and Adjust Work Products
Perlu dilakukan evaluasi menyeluruh mengenai keamanan layanan karna belum
pernah dilakukan evaluasi terhadap manajemen keamanan TI di Pusat Jaringan
Komunikasi.
Berdasarkan pencapaian PA 2.1 process performance dan PA 2.2 work
product management yang dipaparkan pada kedua tabel di atas. Maka diketahui
skor pencapaian pada PA 2.1 process performance adalah 83.33% yang termasuk
dalam tingkat penilaian L (largely achieved). Sementara skor yang diketahui pada
PA 2.2 work product management adalah 25% yang masuk ke dalam tingkat
penilaian (largely achieved). Tingkat penilaian L menunjukkan bahwa PUSAT
JARINGAN KOMUNIKASI sudah memenuhi syarat-syarat pencapaian level 2
(managed process). Rata-rata persentase hasil dari PA 2.1 dan PA 2.2 menunjukkan
173
skor 54.16% yang termasuk ke dalam tingkat penilaian L (largely
achieved).Namun tidak bisa melanjutkan penilaian ke level 3 atau selanjutnya,
karena syarat yang harus dipenuhi adalah mecapai tingkat penilaian fully achieved
pada level 2.
Setelah dilakukan penjabaran pada tahapan Define Roadmap diatas, peneliti
menyimpulkan Pada tahapan ini yang peneliti telah lakukan adalah mengerjakan
langkah-langkah selanjutnya yaitu analisis kesenjangan kapabilitas proses dengan
mengumpulkan bukti-bukti yang dibutuhkan sesuai dengan yang telah ditentukan
oleh framework COBIT 5, pengumpulan evidence untuk membantu peneliti
menentukan gap yang ada, dan hasil yang didapat peneliti adalah :
1. Dalam pengumpulan evidence yang dilakukan oleh peneliti pada proses
APO12, work products Data Tentang Kejadian/Insiden sudah dimiliki oleh
Pusat Jaringan Komunikasi namun belum bisa diterapkan dengan maksimal,
seperti pendokumentasian insiden TI hanya dilakukan jika terjadi insiden skala
besar, sedangkan insiden skala kecil seperti deface pada web resmi BMKG
tidak terdokumentasi karna dianggap tidak menimbulkan resiko bahaya besar,
masalah tersebut yang menyebabkan terjadinya insiden berulang karna tidak
ada upaya pencegahan dari pihak Pusat Jaringan Komunikasi.
2. Dalam pengumpulan evidence yang dilakukan oleh peneliti pada proses
APO13, penerapan terkait SMKI sudah berjalan namun belum maksimal karena
masih terjadi beberapa masalah yang disebabkan oleh kurangnya manajemen
keamanan dan minimnya pendokumentasian insiden.
174
3. Dalam pengumpulan evidence yang dilakukan oleh peneliti pada proses DSS05,
work products Hasil Tes Penetrasi dan Hasil Peninjuan Ulang Terhadap Hak
Akses yang Sudah Diberikan belum diterapkan secara maksimal oleh Pusat
Jaringan Komunikasi, ini yang menyebabkan dalam pengelolaan hak akses
masih sangat fleksibel terutama dalam hak akses Ruang Data Center.
4.4 Tahap 4 - Plan Programme
Setelah penulis mendapatkan hasil dari tingkat kapabilitas aktual dan
tingkat ekspektasi dari setiap proses pada penelitian ini, tahap selanjutnya adalah
melakukan proses plan programme yakni, menjelaskan mengenai kesenjangan
(gaps) pada setiap proses serta memberikan dan menjelaskan rekomendasi
kepada perusahaan untuk dapat mencapai tingkat kapabilitas ekspektasi. Gaps
didapatkan dari jarak nilai kapabilitas aktual ke nilai kapabilitas ekspektasi. Dan
rekomendasi diberikan berdasarkan pada syarat-syarat pemenuhan untuk
mencapai nilai tingkat kapabilitas ekspektasi.
Sesuai dengan hasil penelusuran berdasarkan skala Likert dan rating scale
di atas yang menghasilkan nilai kapabilitas aktual sebagai berikut: proses APO12
(Manage Risk) mendapatkan nilai 2.17 yang berada pada level 2 (Managed
Process), proses APO13 (Manage Security) mendapatkan nilai 2.18 yang berada
pada level 2 (Managed Process), proses DSS05 (Manage Security Services)
mendapatkan nilai 2.33 yang berada pada level 2 (Managed Process). Sedangkan
untuk tingkat kapabilitas ekspektasi dari kelima proses mendapatkan hasil pada
level 3 (Established Process). Oleh Karena itu, ada gap sebesar 1 level dari setiap
175
tingkat kapabilitas aktual ke tingkat kapabilitas ekspektasi untuk masing-masing
proses yakni level 2 (Managed Process) ke level 3 (Established Process).
Oleh karena itu rekomendasi yang diberikan akan mengusulkan untuk
memenuhi semua work products yang ada pada level 2 (Managed Process) di
ketiga proses tersebut sesuai dengan PA 2.1 process performances agar dapat
mencukupi syarat atribut untuk berada pada level 3 (Established Process).
4.5.1 Gap dan Rekomendasi
Di bagian ini akan dijelaskan mengenai gaps antara tingkat kapabilitas
aktual dengan tingkat kapabilitas ekspektasi dan rekomendasi yang akan
menjelaskan apa saja yang dibutuhkan oleh perusahaan untuk dapat menghilangkan
kesenjangan tersebut dan mencapai tingkat kapabilitas ekspektasi. Rekomendasi
yang diberikan akan mencakup dua bagian yakni, rekomendasi untuk memenuhi
process attribute di setiap proses dan rekomendasi yang berdasarkan dengan Best
Practice pada setiap proses.
4.4.1.1 Gaps dan Rekomendasi Proses APO12 (Manage Risk)
Proses APO12 (Manage Risk) mendapatkan nilai kapabilitas aktual 2.17
yang berada pada level 2 (Managed Process), dan nilai kapabilitas ekspektasinya
mendapatkan nilai 3.30 yang berada pada level 3 (Established Process). Hasil ini
menunjukkan adanya gap antara tingkat kapabilitas aktual dengan tingkat
kapabilitas ekspektasi sebesar 1 level dari level 2 ke level 3. Maka rekomendasi
yang diberikan adalah untuk memenuhi persyaratan agar dapat mencapai level
ekspektasi tersebut. Berikut rekomendasi yang diberikan:
176
1. Process Attribute
Pada PA 1.1 process performance di proses APO12 (Manage Risk)
mendapatkan skor 93.3% (fully achieved). Skor ini menunjukkan bahwa Pusat
Jaringan Komunikasi sudah memenuhi standar work product terkait Process
Attribute 1.1 Process performance APO12 (Manage Risk), pusjarkom sudah
mempertimbangkan mengenai analisa tentang risiko. Di tahap ini kegiatan
manajemen risiko sudah tersusun rapih pada dokumen rencana strategi Pusat
Jaringan Komunikasi bersama dengan bukti dokumentasi dalam bentuk dokumen
profil resiko, pusjarkom sudah hampir memenuhi semua work products PA 1.1
process performance pada APO12 yakni, data tentang risiko, data tentang
kejadian/insiden, isu tentang resiko, jangkauan analisa resiko, skenario resiko TI,
hasil analisa resiko, dokumentasi skenario resiko sesuai fungsi bisnisnya, kumpulan
profil resiko berisi status dan tindakan yang diambil, laporan analisa resiko dan
profil resiko untuk stakeholder, peluang untuk penerimaan resiko yang lebih besar,
proposal untuk mengurangi resiko, rencana penanganan insiden resiko,
pemberitahuan dampak resiko dan akar penyebab resiko namun masih ada gap
berupa 1 work products yang belum dimiliki oleh pusjarkom yaitu tinjauan ulang
dari penilaian resiko oleh pihak ketiga yang digunakan sebagai evaluasi terhadap
data-data resiko yang kemungkinan dapat terjadi berkaitan dengan pihak ketiga.
Pada PA 2.1 performance management dan PA 2.2 work product
management di proses APO12 (Manage Risk) mendapatkan skor rata-rata 70.05%
(largely achieved). Skor ini menunjukkan bahwa Pusat Jaringan Komunikasi belum
memenuhi standar work product terkait Process Attribute 2.1 performance
177
management dan PA 2.2 work product management APO12 (Manage Risk). Pada
generic work product tentang peran tanggung jawab atau komunikasi atas
manajemen resiko TI, pusjarkom belum memiliki dokumen terkait resiko/insiden.
Oleh karena itu, peran tanggung jawab terhadap manajemen resiko bergantung
kepada setiap masing-masing bidang pemangku kepentingan, belum ada
perancangan dokumen khusus yang menangani tentang manajemen resiko
keseluruhan terutama tentang pengelolaan insiden teknologi informasi yang dapat
dijadikan acuan untuk meminimalisir dan mempersiapkan insiden yang berulang
atau beresiko tinggi di Pusat Jaringan Komunikasi. Salah satu faktor ini juga
disebabkan oleh belum adanya manajemen pengelolaan pihak terkait yang dapat
mengintegrasikan atau menghubungkan masing-masing bidang untuk mengelola
manajemen insiden/resiko.
Untuk membuat work product tersebut, perusahaan perlu untuk terlebih
dahulu membentuk manajemen risiko yang terintegrasi yang akan membuat
peraturan-peraturan terkait manajemen risiko. Setelah itu barulah perusahaan dapat
menentukan apa saja yang harus dilakukan atau bahkan mungkin dievaluasi dari
manajemen risiko sebelumnya. Setiap hasil dari analisa dan pengukuran risiko oleh
manajemen risiko juga harus dicatat dan dilaporkan kepada para kepala bagian
terkait.
2. Best Practice
a. APO12.01 (Pengumpulan Data)
Secara berkala melakukan analisa dan penentuan dari risiko
penggunaan TI pada pusjarkom untuk masa sekarang dan pada masa depan.
178
Menentukan apakah ambang batas risiko yang ditetapkan sudah sesuai
dengan kapasitas pusjarkom serta risiko dari penggunaan TI pada pusjarkom
BMKG sudah disesuaikan dengan value dari tupoksinya.
Tabel 4. 32 Gaps dan Rekomendasi APO12.01
b. APO12.02 (Analisa Risiko)
Memberikan informasi-informasi yang dapat membantu dalam
pengambilan keputusan yang sesuai dengan pedoman risiko perusahaan.
c. APO12.03 (Memelihara Profil Risiko)
Melakukan pemeliharaan terhadap database yang menyimpan
semua informasi risiko perusahaan.
Best Practice Keterangan
APO12.01-GWP1 Pengumpulan Data
Gaps
Analisis resiko saat ini, sudah tercantum ke dalam dokumen Profil Resiko,
namun skenario-skenario resiko TI belum terdokumentasi dengan baik dan
belum diperbarui secara rutin sehingga menyebabkan kurangnya persiapan-
persiapan terhadap resiko kejadian yang akan dialami dimasa yang akan
datang dan sering terjadinya insiden yang berulang.
Rekomendasi
Untuk itu Pusat Jaringan Komunikasi direkomendasikan harus mengelola
dokumentasi dengan baik dan selalu memperbaiki dan memperbarui secara
rutin skenario-skenario resiko TI berdasarkan kejadian/insiden yang pernah
terjadi di BMKG.
Dan melakukan evaluasi terkait kesenjangan baseline analisis resiko saat ini.
Kemudian hasil evaluasi ini harus dengan tegas ditindaklanjuti sebagai
perbandingan di kebutuhan masa depan.
Best Practice Keterangan
APO12.03-WP1 Dokumentasi Skenario Resiko Sesuai Fungsi
Bisnisnya
Gaps
179
Tabel 4. 33 Gaps dan Rekomendasi APO12.03
d. APO12.04 (Memperjelas Risiko)
Menyediakan semua informasi yang berhubungan dengan risiko TI
secara berkala kepada semua stakeholder perusahaan agar dapat diambil
tindakan yang tepat terhadap setiap risiko TI yang ada.
Tabel 4. 34 Gaps dan Rekomendasi APO12.04
e. APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen Risiko)
Mengelola setiap kemungkinan untuk pengurangan risiko
(kelonggaran pada ambang batas risiko) yang dituangkan dalam bentuk
sebuah portofolio.
Pendokumentasian skenario resiko saat ini sudah tercantum ke dalam
dokumen Profil Resiko, namun saat ini pendokumentasian belum
dikelompokan berdasarkan kategori dan area fungsinya, hanya berdasarkan
perkiraan besarnya akibat yang akan terjadi disetiap bidang.
Rekomendasi
Untuk itu Pusat Jaringan Komunikasi direkomendasikan harus membuat
suatu dokumen terperinci dan lebih detail terkait skenario resiko TI. Agar
selanjutnya dapat digunakan sebagai acuan terhadap persiapan kejadian-
kejadian atau insiden yang kemungkinan akan dialami oleh Pusat Jaringan
Komunikasi BMKG.
Best Practice Keterangan
APO12.04-WP2 Tinjauan Ulang dari Penilaian Resiko oleh Pihak
Ketiga
Gaps
Pusat Jaringan Komunikasi belum melakukan tinjauan ulang terhadap
penilaian resiko pihak ketiga ditandai dengan belum adanya hasil output
tinjauan tersebut.
Rekomendasi
Pusat Jaringan Komunikasi direkomendasikan harus melakukan peninjauan
ulang terkait penilaian resiko oleh pihak ketiga, terutama terhadap resiko-
resiko yang sangat rentan dan mudah terjadi insiden melalui pihak ketiga
ataupun pihak diluar Pusat Jaringan Komunikasi BMKG.
180
Tabel 4. 35 Gaps dan Rekomendasi APO12.05
f. APO12.06 (Respon Terhadap Risiko)
Melakukan penanganan secara berkala dan dengan tindakan yang
terukur untuk mengurangi kerugian dari penggunaan TI.
4.4.1.2 Gaps dan Rekomendasi Proses APO13 (Manage Security)
Proses APO13 (Manage Security) mendapatkan nilai kapabilitas aktual 2.19
yang berada pada level 2 (Managed Process), dan tingkat kapabilitas ekspektasinya
mendapatkan nilai 3.22 yang berada pada level 3 (Established Process). Hasil ini
menunjukkan adanya gap antara tingkat kapabilitas aktual dengan tingkat
kapabilitas ekspektasi sebesar 1 level dari level 2 ke level 3. Maka rekomendasi
yang diberikan untuk memenuhi persyaratan untuk dapat mencapai level
eksepektasi tersebut. Berikut rekomendasi yang diberikan:
1. Process Attribute
Pada PA 1.1 process performance di proses APO13 (Manage Security)
mendapatkan skor 100% (Fully Achieved). Pusjarkom sudah memenuhi
keseluruhan work product yakni, peraturan SMKI, jangkauan SMKI, informasi
mengenai penanganan resiko keamanan, informasi keamanan berdasarkan kasus
Best Practice Keterangan
APO12.05-WP1 Proposal untuk Mengurangi Resiko
Gaps
Pusat Jaringan Komunikasi belum mempunyai proposal untuk mengurangi
resiko, namun menggunakan dokumen profil resiko sebagai acuan untuk
mengurangi resiko.
Rekomendasi
Pusat Jaringan Komunikasi direkomendasikan harus membuat mekanisme
atau peraturan yang mengatur pengajuan proposal untuk kegiatan yang dapat
mengurangi risiko pada perusahaan.
181
bisnis, laporan audit SMKI, dan rekomendasi untuk peningkatan SMKI. Dengan
kata lain pusjarkom BMKG sudah memenuhi standar work product terkait Process
Attribute 1.1 Process performance APO13 (Manage Security).
Pada PA 2.1 performance management dan PA 2.2 work product
management di proses APO13 (Manage Security) mendapatkan skor rata-rata
66.65% (largely achieved). Skor ini menunjukkan bahwa Pusat Jaringan
Komunikasi belum memenuhi standar work product terkait Process Attribute 2.1
performance management dan PA 2.2 work product management APO12 (Manage
Risk). Pusat Jaringan Komunikasi BMKG sudah mempunyai atau menerapkan
sistem manajemen keamanan informasi (SMKI) namun belum berjalan dengan
baik. Perlindungan untuk keamanan informasi di pusjarkom BMKG sudah berupa
penggunaan password, akun untuk hak akses, dan software-software antivirus,
fireguard dan antimalware tanpa melakukan pengelolaan terhadap itu semua.
Belum terealisasikannya pengelolaan dokumentasi terkait SMKI dalam pusjarkom
BMKG ini menyebabkan kurangnya persiapan terhadap insiden-insiden baru dan
terjadinya permasalahan yang berulang-ulang terutama pada keamanan sistem
informasi. Lemahnya keamanan Data Center juga merupakan salah satu dampak
kurangnya pengelolaan terkait hak akses dan pembatasan akses pihak luar.
Pusjarkom harus membuat perencanaan untuk sistem manajemen keamanan
informasi dan juga perlu untuk membuat suatu aturan tertulis yang mengatur sistem
manajemen keamanan informasi dan cakupan wilayah kerja dari SMKI pada
lingkungan pusjarkom. Dan untuk melengkapi work products yang lainnya, Pusat
Jaringan Komunikasi perlu mengatur ulang atau merancang terkait keamanan aset
182
dan hak akses dan juga harus membuat proses penilaian seperti audit atau evaluasi
untuk dapat dilaporkan pada para pembuat keputusan dan juga untuk dapat
mengetahui kekurangan apa saja yang ada pada SMKI, sehingga dapat diberikan
rekomendasi-rekomendasi untuk meningkatkan kinerja dari SMKI.
2. Best Practice
a. APO13.01 (Memelihara Sistem Manajemen Keamanan Sistem Informasi
(SMKI))
Melakukan pemeliharaan pada sistem manajemen keamanan
informasi (SMKI) yang mampu menyediakan standarisasi, dokumen, dan
informasi untuk manajemen keamanan perusahaan, serta menyediakan
penggunaan teknologi yang aman dan membuat proses bisnis yang sesuai
dengan kebutuhan bisnis dan manajemen keamanan perusahaan.
Best Practice Keterangan
APO13.01-WP1 Membuat dan Memelihara Sistem Manajemen
Keamanan Sistem Informasi (SMKI)
Gaps
Sudah ada peraturan SMKI pada Pusat Jaringan Komunikasi BMKG dan
terdokumentasi dalam dokumen kebijakan keamanan informasi, namun
belum terimplimentasi dengan baik terutama pada manajemen
permohonan/penentuan hak akses terkait aset dan Data Center.
Rekomendasi
Pusat Jaringan Komunikasi direkomendasikan harus maksimal dalam
penerapan SMKI untuk memastikan keamanan terhadap sistem informasi
terjaga dengan baik, serta memastikan segala sesuatu terkait keamanan
informasi terdokumentasi dan terpantau untuk dievaluasi dan dijadikan acuan
perbaikan agar dapat meminimalisir resiko-resiko TI.
APO13.01-WP2 Jangkauan SMKI
Gaps
Belum ada peraturan yang menjelaskan jangkauan dari kerja SMKI
Rekomendasi
183
Tabel 4. 36 Gaps dan Rekomendasi APO13.01
b. APO13.02 (Mengatur Rencana Penanganan Risiko Keamanan Informasi)
Pada Best Practice ini perusahaan sudah memenuhi semua work
products yang ada pada PA 1.1 APO13.
c. APO13.03 (Mengawasi dan Meninjau Sistem Manajemen Keamanan
Informasi (SMKI))
Mengatur dan menginformasikan tentang kebutuhan dan
keuntungan dari peningkatan pada keamanan informasi. Mengumpulkan
dan melakukan analisa data mengenai SMKI, serta melakukan perbaikan
untuk efektivitas dari SMKI. Dan melakukan kampanye untuk
membiasakan budaya keamanan informasi di lingkungan perusahaan.
Tabel 4. 37 Gaps dan Rekomendasi APO13.03
Pusat Jaringan Komunikasi direkomendasikan membuat peraturan yang
menjelaskan mengenai ruang lingkup dan cakupan wilayah kerja dari SMKI.
Peraturan ini harus secara jelas mengatur apa saja wewenang yang dapat
dilakukan dan yang tidak boleh dilakukan dari aktivitas SMKI pada
lingkungan Pusat Jaringan Komunikasi BMKG.
Best Practice Keterangan
APO13.03-WP2 Rekomendasi untuk Peningkatan SMKI
Gaps
Pusat Jaringan Komunikasi sudah membuat rekomendasi untuk peningkatan
SMKI yang berupa dokumen kebijakan keamanan informasi, namun
rekomendasi terkait TI tersebut belum semuanya dilakukan secara teknis.
Rekomendasi
Pusat Jaringan Komunikasi harus menerapkan rekomendasi yang sudah
dibuat dari hasil evaluasi sehingga dapat memaksimalkan kinerja dan
meminimalisir resiko terkait TI.
184
4.4.1.3 Gaps dan Rekomendasi Proses DSS05 (Manage Security Services)
Proses proses DSS05 (Manage Security Services) mendapatkan nilai
kapabilitas aktual 2.28 yang berada pada level 2 (Managed Process), dan tingkat
kapabilitas ekspektasinya mendapatkan nilai 3.19 yang berada pada level 3
(Established Process). Hasil ini menunjukkan adanya gap antara tingkat kapabilitas
aktual dengan tingkat kapabilitas ekspektasi sebesar 1 level dari level 2 ke level 3.
Maka rekomendasi yang diberikan adalah untuk memenuhi atribut persyaratan agar
dapat mencapai level ekspektasi tersebut. Berikut rekomendasi yang diberikan:
1. Process Attribute
Pada PA 1.1 process performance di proses DSS05 (Manage Security
Services) mendapatkan skor 92.8% (fully achieved). Pusjarkom sudah memenuhi
12 work products dari 14 work products yang ada yakni, peraturan pencegahan
malware, evaluasi potensi ancaman, peraturan keamanan sambungan
(konektivitas), peraturan keamanan pada prangkat yang digunakan perusahaan, hak
akses yang sudah disetujui, permintaan akses yang sudah disetujui,
rekaman/pencatatan pengaksesan, penyimpanan untuk dokumen sensitif dan
perangkat, akses khusus, pencatatan kegiatan insiden/kejadian keamanan,
karakteristik insiden keamanan dan pencatatan khusus insiden keamanan namun
masih ada gap berupa 2 work products yang belum dimiliki oleh pusjarkom yaitu
hasil dari tes penetrasi dan hasil peninjauan ulang terhadap hak akses yang sudah
diberikan.
Walaupun pusjarkom sudah melindungi konektivitas jaringan dengan
cukup kuat, Pusjarkom belum melakukan tes penetrasi terhadap sistem yang
185
berakibat seringnya terjadi tracking atau percobaan masuk kedalam halaman utama
sistem. Memang data base pada sistem akan tetap terjaga dengan baik karna
firewall yang cukup kuat. Namun kekurangan ini juga merupakan kebocoran yang
akan menjadi masalah untuk pusjarkom di masa yang akan datang. Perusahaan juga
perlu untuk melakukan evaluasi terhadap setiap potensi ancaman dari malware baik
dari lingkungan luar maupun di dalam pusjarkom. Selain itu pusjarkom juga
diharuskan untuk mendokumentasikan hasil peninjauan ulang terhadap hak akses
yang sudah diberikan untuk memastikan bahwa akses yang diberikan telah sesuai
dengan SDM dan kebutuhan tupoksinya.
Peraturan tertulis tentang penggunaan perangkat atau aset BMKG juga
perlu dibuat untuk memastikan keamanan dari perangkat/aset tersebut dan
mencegah potensi dari insiden keamanan lainnya. Mengenai setiap hak akses yang
sudah diberikan oleh pusjarkom perlu dilakukan evaluasi secara berkala terhadap
pemberian hak akses tersebut, apakah diperlukan perubahan hak akses atau
tindakan lainnya.
Pusjarkom juga harus membuat sistem atau mekanisme yang mengatur
permintaan untuk mengakses aset dari atau diluar pusjarkom BMKG. Sistem ini
harus melibatkan atau mendapatkan persetujuan dari pemimpin perusahaan dalam
pemberian aksesnya. Dan segala pengaksesan yang dilakukan pada aset perusahaan
baik dari internal maupun eksternal perusahaan harus dicatat dan
didokumentasikan.
186
Pada PA 2.1 performance management dan PA 2.2 work product
management di proses DSS05 (Manage Security Services) mendapatkan skor rata-
rata 54.16% (largely achieved). Skor ini menunjukkan bahwa Pusat Jaringan
Komunikasi belum memenuhi standar work product terkait Process Attribute 2.1
performance management dan PA 2.2 work product management APO12 (Manage
Risk). Pusjarkom belum melakukan pendokumentasian hak akses untuk evaluasi
terutama terhadap pihak ketiga, pusjarkom hanya mengutus teknisi dari pihak
pusjarkom untuk menemani dan memberikan hak akses jika dibutuhkan oleh pihak
ketiga terutama perihal akses terhadap Data Center tanpa melakukan verifikasi
ataupun memberikan SOP kepada pihak ketiga.
Pusjarkom harus melakukan analisa atau evaluasi secara berkala terkait
setiap hak akses atau kegiatan apa pun yang terkait dengan keamanan untuk dapat
mengetahui karakteristik dari setiap insiden keamanan yang sudah atau mungkin
akan terjadi. Dan perlu dibuatkan pencatatan khusus seperti semacam dokumen
untuk keamanan informasi.
2. Best Practice
a. DSS05.01 (Melindungi dari Malware)
Menerapkan dan mengelola langkah-langkah pencegahan,
investigasi dan perbaikan (khususnya pada pemberian akses terhadap sistem
ataupun aset di pusjarkom) pada setiap lini perusahaan untuk melindungi
semua aset perusahaan dari insiden keamanan.
187
Tabel 4. 38 Gaps dan Rekomendasi DSS05.01
b. DSS05.02 (Mengelola Jaringan dan Konektivitas)
Menggunakan prosedur dan analisa keamanan untuk melindungi
semua metode dan konektivitas yang ada pada perusahaan.
c. DSS05.03 (Mengelola Keamanan Perangkat)
Memastikan semua perangkat perusahaan sudah dilindungi dengan
baik, minimal setara atau lebih besar dari standar penerapan keamanan dari
informasi yang diproses, disimpan, dan informasi yang dikirim.
Best Practice Keterangan
DSS05.01-WP1 Peraturan Pencegahan Malware
Gaps
Sudah ada peraturan pencegahan Malware pada dokumen Kebijakan
Keamanan Informasi namun prosedur-prosedur pencegahan malware
tersebut belum sepenuhnya diterapkan, sebagai contoh belum adanya
tinjauan ulang produk-produk dari vendor dan konsultan pelayanan
keamanan.
Rekomendasi
Pusat Jaringan Komunikasi direkomendasikan harus mendistribusikan terkait
software keamanan secara terpusat (versi dan patch-nya) dengan
menggunakan pengaturan terpusat serta harus menyaring data yang masuk
untuk melindungi dari informasi yang tidak diinginkan (spyware, phising
email).
Best Practice Keterangan
DSS05.03-WP1 Peraturan Keamanan pada Perangkat yang Digunakan Perusahaan
Gaps
Pusat Jaringan Komunikasi sudah melakukan pengelolaan keamanan
perangkat namun kurang maksimal karena banyak kebijakan yang belum
diterapkan.
Rekomendasi
Pusat Jaringan Komunikasi harus membuat peraturan yang dapat berupa
SOP untuk mengatur mengenai kebijakan penggunaan perangkat di
perusahaan yang menekankan pada aspek keamanan informasi di perusahaan.
188
Tabel 4. 39 Gaps dan Rekomendasi DSS05.03
d. DSS05.04 (Mengelola Identitas Pengguna dan Remote Access)
Memastikan semua pihak mendapatkan hak akses sesuai dengan
kebutuhan bisnisnya.
Tabel 4. 40 Gaps dan Rekomendasi DSS05.04
e. DSS05.05 (Mengelola Akses pada Aset/Perangkat TI)
Membuat dan menerapkan prosedur untuk memberi, membatasi dan
mencabut akses pada aset perusahaan. Akses yang diberikan harus selalu
tercatat dan terawasi. Prosedur ini harus diterapkan atau berlaku untuk siapa
pun baik dari pihak internal maupun eksternal perusahaan.
Perangkat perusahaan tidak boleh dengan mudah untuk dapat digunakan oleh
pihak yang tidak memiliki akses pada pernagkat tersebut.
Best Practice Keterangan
DSS05.04-WP2 Hasil Peninjuan Ulang Terhadap Hak Akses yang
Sudah Diberikan
Gaps
Sudah ada manajemen hak akses pada dokumen kebijakan keamanan
informasi namun belum diterapkan ataupun ditinjau ulang, sebagai contoh
masih adanya fleksibilitas terhadap hak akses pihak ketiga pada saat jika
terjadi insiden ataupun maintenance, siapapun teknisi dapat masuk keruang
Data Center jika berasal dari vendor yang telah bekerjasama dengan BMKG.
Rekomendasi
Pusat Jaringan Komunikasi diharuskan melakukan atau mengevaluasi ulang
terkait hak akses, atau mungkin dapat menentukan ulang syarat-syarat
penentuan pihak-pihak yang berhak mendapatkan hak akses sesuai
fungsinya. Hak akses dapat dikerucutkan terutama terkait Data Center
ataupun aset utama Pusat Jaringan Komunikasi.
189
Tabel 4. 41 Gaps dan Rekomendasi DSS05.05
f. DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat Output)
Pada Best Practice ini perusahaan sudah memenuhi semua work
products yang ada pada PA 1.1 DSS05.06.
g. DSS05.07 (Mengawasi Infrastruktur Keamanan)
Menggunakan tools untuk mendeteksi penyusupan atau hal-hal
mencurigakan pada jaringan perusahaan, dan mengawasi setiap penggunaan
pada infrastruktur keamanan perusahaan, khususnya jika ada pengunaan
dari pihak yang tidak memiliki akses pada infrastruktur perusahaan. Dan
memastikan setiap ada kegiatan atau insiden selalu terhubung dengan
manajemen pengawasan dan insiden perusahaan.
Best Practice Keterangan
DSS05.05-WP1 Permintaan Akses yang Sudah Disetujui
Gaps
Sudah ada pengelolaan terkait hak akses namun terlalu fleksibel terutama
terkait akses ruang Data Center dan access remote pada Pusat Jaringan
Komunikasi BMKG.
Rekomendasi
Pusat Jaringan Komunikasi direkomendasikan harus membuat ulang
peraturan yang mengatur mengenai mekanisme permintaan akses pada aset
ataupun Data Center, akses yang diberikan harus selalu tercatat dan terawasi.
Mekanisme ini haruslah menekankan pada keamanan untuk melindungi aset
dan Data Center. Pemberian akses harus berdasarkan kebutuhan bisnis dan
tidak boleh terlalu leluasa ataupun terlalu terbatas untuk mengakses aset
perusahaan yang dibutuhkannya.
Best Practice Keterangan
DSS05.07-WP1 Pencatatan Kegiatan/Insiden Keamanan
Gaps
Sudah ada dokumentasi mengenai karakteristik dari insiden keamanan
namun belum terpusat terperinci.
190
Tabel 4. 42 Gaps dan Rekomendasi DSS05.07
Pada tahapan Plan Programme, peneliti telah mulai melakukan penentuan
gaps dan rekomendasi perbaikan dari hasil penghitungan Capability Level dan
pemenuhan evidence, dengan dilakukannya langkah-langkah tadi pada tahapan
sebelumnya, hasil yang didapat oleh peneliti adalah sebagai berikut :
1. Pada proses APO12, telah didapat nilai kapabilitas aktual 2.17 yang berada pada
level 2 (Managed Process), dan didapat nilai kapabilitas ekspektasinya sebesar
3.30 yang berada pada level 3 (Established Process). Hasil ini menunjukkan
adanya gap antara tingkat kapabilitas aktual dengan tingkat kapabilitas
ekspektasi sebesar 1 level dari level 2 ke level 3, gap tersebut berupa analisis
resiko saat ini, sudah tercantum ke dalam dokumen Profil Resiko, namun
skenario-skenario resiko TI belum terdokumentasi dengan baik dan belum
diperbarui secara rutin sehingga menyebabkan kurangnya persiapan-persiapan
terhadap resiko kejadian yang akan dialami dimasa yang akan datang dan sering
terjadinya insiden yang berulang. Maka rekomendasi yang diberikan adalah
Pusat Jaringan Komunikasi direkomendasikan harus mengelola dokumentasi
Rekomendasi
Membuat suatu dokumentasi mengenai karekteristik dari setiap insiden
keamanan yang terjadi baik di lingkungan internal perusahaan maupun
lingkungan eksternal perusahaan.
DSS05.07.01-WP2 Pencatatan Khusus Insiden Keamanan
Gaps
Sudah ada pencatatan yang khusus terkait insiden keamanan namun belum
terpusat dalam setiap insiden keamanan yang terjadi.
Rekomendasi
Membuat pencatatan khusus yang mencatat setiap insiden keamanan yang
terjadi di lingkungan internal dan eksternal perusahaan. Setiap insiden yang
terjadi diberikan ID pengenal yang unik.
191
dengan baik dan selalu memperbaiki dan memperbarui secara rutin skenario-
skenario resiko TI berdasarkan kejadian/insiden yang pernah terjadi di BMKG.
Dan melakukan evaluasi terkait kesenjangan baseline analisis resiko saat ini.
Kemudian hasil evaluasi ini harus dengan tegas ditindaklanjuti sebagai
perbandingan di kebutuhan masa depan.
2. Pada proses APO13, telah didapat nilai kapabilitas aktual 2.19 yang berada pada
level 2 (Managed Process), dan didapat nilai kapabilitas ekspektasinya sebesar
3.22 yang berada pada level 3 (Established Process). Hasil ini menunjukkan
adanya gap antara tingkat kapabilitas aktual dengan tingkat kapabilitas
ekspektasi sebesar 1 level dari level 2 ke level 3, gap tersebut berupa sudah ada
peraturan SMKI pada pusat jaringan dan komunikasi BMKG dan
terdokumentasi dalam dokumen kebijakan keamanan informasi, namun belum
terimplimentasi dengan baik terutama pada manajemen permohonan/penentuan
hak akses terkait aset dan Data Center. Maka rekomendasi yang diberikan
adalah Pusat Jaringan Komunikasi direkomendasikan harus maksimal dalam
penerapan SMKI untuk memastikan keamanan terhadap sistem informasi
terjaga dengan baik, serta memastikan segala sesuatu terkait keamanan
informasi terdokumentasi dan terpantau untuk dievaluasi dan dijadikan acuan
perbaikan agar dapat meminimalisir resiko-resiko TI.
3. Pada proses DSS05, telah didapat nilai kapabilitas aktual 2.28 yang berada pada
level 2 (Managed Process), dan didapat nilai kapabilitas ekspektasinya sebesar
3.19 yang berada pada level 3 (Established Process). Hasil ini menunjukkan
adanya gap antara tingkat kapabilitas aktual dengan tingkat kapabilitas
192
ekspektasi sebesar 1 level dari level 2 ke level 3, gap tersebut berupa sudah ada
manajemen hak akses pada dokumen kebijakan keamanan informasi namun
belum diterapkan ataupun ditinjau ulang, sebagai contoh masih adanya
fleksibilitas terhadap hak akses pihak ketiga pada saat jika terjadi insiden
ataupun maintenance, siapapun teknisi dapat masuk keruang Data Center
(bersama staff bidang terkait) jika berasal dari vendor yang telah bekerjasama
dengan BMKG. Maka rekomendasi yang diberikan adalah Pusat Jaringan
Komunikasi diharuskan melakukan atau mengevaluasi ulang terkait hak akses,
atau mungkin dapat menentukan ulang syarat-syarat penentuan pihak-pihak
yang berhak mendapatkan hak akses sesuai fungsinya. Hak akses dapat
dikerucutkan terutama terkait Data Center ataupun aset utama Pusat Jaringan
Komunikasi.
4.5.2 Pemetaan Proses COBIT dan ISO 27002
Sebelum penggunaan ISO 27002:2013 sebagai rekomendasi dan acuan
spesifik untuk Pusat Jaringan Komunikasi BMKG, perlu dipetakan antara Domain
COBIT 5 yang telah dipilih melalui penentuan Goal Cascading kedalam Klausul
ISO 27002:2013 yang paling relevan.
No COBIT 5 ISO 27002 Klausul Hasil
Pemetaan
1 APO12.01 A.5 Information Security
Policies
A.13 Secure
Communication and Data
Transfer
KLAUSUL 6
KLAUSUL 6
KLAUSUL 8
2 APO12.02
193
3 APO12.03 A.14.Secure Acquisition,
Development, and Support
of Information Systems
16.1 Management of
information security
incidents and
improvements
KLAUSUL 9
KLAUSUL 9
KLAUSUL 9
KLAUSUL 9
KLAUSUL 12
KLAUSUL 12
KLAUSUL 13
KLAUSUL 13
KLAUSUL 14
KLAUSUL 16
KLAUSUL 16
KLAUSUL 16
4 APO12.04
5 APO12.05
6 APO12.06
7 APO13.01 A.5 Information security
policy
A.6 Information Security
Organisation
A.6 Information Security
Organisation
A.8 Asset Management
A.8 Asset Management
A.8 Asset Management
A.9 Access Controls and
Managing User Access
A.9 Access Controls and
Managing User Access
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
A.11 Physical Security
A.11 Physical Security
A.11 Physical Security
8 APO13.02
9 APO13.03
10 DSSO5.01
11 DSSO5.02
12 DSSO5.03
194
13 DSSO5.04 A.11 Physical Security
A.11 Physical Security
A.11 Physical Security
A.11 Physical Security
A.12 Operational Security
A.12 Operational Security
A.12 Operational Security
A.12 Operational Security
A.13 Secure
Communications and Data
Transfer
A.13 Secure
Communications and Data
Transfer
A.15 Security for Suppliers
and Third Parties
A.15 Security for Suppliers
and Third Parties
14 DSSO5.05 A.6 Information Security
Organisation
A.9 Access Controls and
Managing User Access
A.9 Access Controls and
Managing User Access
A.9 Access Controls and
Managing User Access
A.10 Cryptographic
Technology
A.10 Cryptographic
Technology
15 DSSO5.06
16 DSSO5.07 A.15 Security for Suppliers
and Third Parties Tabel 4. 43 Mapping COBIT 5 to ISO 27002
Berikut adalah hasil pemetaan yang sudah dilakukan peneliti berdasarkan
ISACA dan jurnal Razieh Sheikhpour. Dari pemetaan diatas akan ditentukan apa
saja kontrol klausul yang relevan untuk digunakan sebagai rekomendasi perbaikan
TI pada Pusat Jaringan Komunikasi BMKG.
195
4.5.3 Perancangan Usulan Berdasarkan ISO 27002
Setelah peneliti melakukan analisis kesenjangan dan menemukan gap yang
terdapat pada Pusat Jaringan Komunikasi, peneliti harus menentukan rekomendasi
apa yang sesuai untuk melengkapi gap tersebut. Pada tahap ini peneliti membuat
rancangan usulan sesuai rekomendasi yaitu Panduan Implementasi Manajemen
Insiden, Rancangan Pengelolaan Hak Akses, dan SOP Ruang Data Center sebagai
pertimbangan pihak Pusat Jaringan Komunikasi dalam melakukan perbaikan.
4.5.3.1 Panduan Implementasi Manajemen Insiden
Usulan dari rekomendasi APO12 adalah Panduan Implementasi Manajemen
Insiden, usulan ini berisi prosedur-prosedur apa saja yang harus dilengkapi dan
langkah-langkah apa saja yang harus dijalankan dalam pendokumentasian insiden.
Manajemen insiden dan peningkatan keamanan informasi bertujuan untuk
memastikan pendekatan yang konsisten dan efektif untuk pengelolaan keamanan
informasi insiden, termasuk komunikasi tentang peristiwa dan kelemahan
keamanan.
Tanggung jawab dan prosedur manajemen harus ditetapkan untuk
memastikan proses yang cepat, efektif dan tanggapan tertib terhadap insiden
keamanan informasi.
Panduan implementasi
Pedoman berikut untuk tanggung jawab dan prosedur manajemen berkaitan
dengan informasi manajemen insiden keamanan harus dipertimbangkan:
196
b. Tanggung jawab manajemen harus ditetapkan untuk memastikan bahwa
prosedur berikut ini dikembangkan dan dikomunikasikan secara memadai
dalam organisasi:
1) prosedur untuk perencanaan dan persiapan respons insiden;
2) prosedur untuk memantau, mendeteksi, menganalisis dan melaporkan
peristiwa keamanan informasi dan insiden;
3) prosedur untuk kegiatan manajemen insiden pembajakan;
4) prosedur untuk menangani bukti forensik;
5) prosedur untuk penilaian dan keputusan tentang peristiwa keamanan
informasi dan penilaian kelemahan keamanan informasi;
6) prosedur untuk respons termasuk untuk eskalasi, pemulihan terkontrol dari
suatu insiden dan komunikasi dengan orang atau organisasi internal dan
eksternal;
c. Prosedur yang ditetapkan harus memastikan bahwa:
1) personel yang kompeten menangani masalah yang terkait dengan insiden
keamanan informasi di dalam organisasi;
2) titik kontak untuk deteksi dan pelaporan insiden keamanan diterapkan;
3) kontak yang sesuai dengan pihak berwenang, kelompok kepentingan
eksternal atau forum yang menangani masalah tersebut terkait dengan
insiden keamanan informasi dipertahankan;
d. Prosedur pelaporan harus mencakup:
1) menyiapkan formulir pelaporan acara keamanan informasi untuk
mendukung tindakan pelaporan dan untuk membantu orang yang
197
melaporkan dalam mengingat semua tindakan yang diperlukan jika terjadi
peristiwa keamanan informasi;
2) prosedur yang harus dilakukan jika terjadi peristiwa keamanan informasi
yaitu mencatat semua detail dengan segera, seperti jenis ketidakpatuhan
atau pelanggaran, kerusakan yang terjadi, dan segera melaporkan ke kontak
terkait dan hanya mengambil tindakan terkoordinasi;
3) referensi ke proses yang ditetapkan untuk melakukaan koordinasi dengan
karyawan yang berkomitmen bertanggungjawab dalam pelanggaran
keamanan;
4) mengusahakan proses feed back yang sesuai untuk memastikan bahwa
orang-orang yang melaporkan peristiwa keamanan informasi diberitahukan
hasilnya setelah masalah telah ditangani dan ditutup.
Tujuan untuk manajemen insiden keamanan informasi harus disepakati dengan
manajemen, dan harus dipastikan bahwa mereka yang bertanggung jawab atas
manajemen insiden keamanan informasi memahami prioritas organisasi untuk
menangani insiden keamanan informasi.
Aktivitas
Access
Management
Kontrol ISO
27002 Deskripsi Kontrol Aktifitas Penerapan
Incident
Identification
16.1.1
Responsibilitie
s and
procedures
Memastikan yang
dilaporkan
memang insiden
atau bukan
Melakukan
pengecekan terhadap
pelaporan yang
dilaporkan oleh user
apakah benar hal
tersebut adalah insiden
atau bukan.
16.1.1
Responsibilitie
Media pelaporan
yang digunakan
oleh pengguna
Memberikan formulir
pelaporan insiden
198
s and
procedures
berdasarkan media
yang digunakan.
Telepon: operator
penanganan insiden
akan menuliskannya
secara langsung
pada formulir
pendokumentasian
insiden.
Walk-in: pelapor
yang melaporkan
akan mengisi sendiri
formulir pelaporan
insiden.
Incident
Logging
16.1.2
Reporting
information
security events
Pencatatan
perekaman insiden
yang dialami
pelapor
(pencatatan log
insiden)
Memastikan pelapor
telah mengisi
formulir pelaporan
insiden.
Operator
penanganan insiden
menerima formulir
pelaporan insiden.
Melakukan
pencatatan pada
formulir
pendokumentasian
insiden.
Melakukan
pencatatan pada
formulir rekapitulasi
log insiden sebagai
dokumentasi insiden
yang nanti diberikan
kepada kasubid
sebagai laporan
berkala.
Incident
Categorisatio
n
16.1.4
Assessment of
and decision
on information
security events
Pengkategorisasia
n insiden Melakukan
pencatatan pada
formulir
pendokumentasian
insiden.
Melakukan
kategorisasi insiden
sesuai dengan
199
kategori yang
disediakan.
Prioritising
Incident
16.1.4
Assessment of
and decision
on information
security events
Memastikan
kategorisasi
insiden dilakukan
Melakukan
pencatatan pada
formulir
pendokumentasian
insiden.
Melakukan prioritas
insiden sesuai
dengan prioritas
yang telah
disediakan.
16.1.4
Assessment of
and decision
on information
security events
Memberi prioritas
insiden
Initial
Diagnosis
16.1.5
Response to
information
security
incidents
Melakukan
diagnosis awal
terhadap insiden
yang dilaporkan
Mencari diagnosis
awal dan solusi
sementara terhadap
insiden yang telah
dilaporkan.
Melakukan analisis
insiden dan
mencatatnya pada
formulir
pendokumentasian
insiden pada kolom
yang telah
disediakan.
Apabila operator
penanganan insiden
dapat menangani
insiden tersebut
sendiri maka tidak
perlu melakukan
kebijakan eskalasi.
Incident
Escalation
16.1.5
Response to
information
security
incidents
Melakukan
Functional
Escalation
Aktivitas ini
dilakukan apabila
operator penanganan
insiden tidak dapat
menemukan solusi
yang dilakukan pada
aktivitas inisial
diagnosis.
Mencatat pada
formulir
pendokumentasian
insiden pada kolom
yang telah
disediakan.
16.1.5
Response to
information
security
incidents
Melakukan
Hierarchical
Escalation
200
Investigation
and
Diagnosis,
Resolution
dan Recovery
16.1.5
Response to
information
security
incidents
Melakukan inisiasi
dari solusi
sementara dan
menyelesaikan
insiden dari solusi
yang telah
ditetapkan
Melakukan inisiasi
solusi sementara
untuk insiden
Menyelesaikan
insiden dengan
solusi yang telah
ditentukan
Mendokumentasika
n hasil insiden dan
solusi akhir pada
formulir
pendokumentasian
insiden
Incident
Closure
16.1.6
Learning from
information
security
incidents
Memberikan
laporan status
selesainya insiden
Melakukan
pendokumentasian
pada formulir
penutupan insiden
dan mengisi seluruh
konten yang telah
disediakan
Memberikan form
penutupan insiden
kepada user sebagai
bukti bahwa insiden
telah selesai dan
menutup kasus.
16.1.6
Learning from
information
security
incidents
Memastikan
pengguna puas
dengan
penanganan
insiden dan
menyetujui adanya
penutupan insiden
Tabel 4. 44 Penyesuaian Aktifitas Manajemen Insiden dengan Control ISO 27002
4.5.3.2 Rancangan Pengelolaan Hak Akses
Salah satu usulan rekomendasi terkait manajemen keamanan untuk Pusat
Jaringan Komunikasi adalah perbaikan pengelolaan hak akses. Berikut adalah
usulan perancangan pengelolaan hak akses yang dibuat peneliti berdasarkan ISO
27002 yang sudah disesuaikan dengan penelitian terdahulu dan sistem yang sudah
ada di Pusat Jaringan Komunikasi BMKG.
Aktivitas Access
Management
Kontrol ISO
27002
Deskripsi
Kontrol
Aktifitas Pada
Prosedur
Requesting
Access
9.2.1 User
registration and
de-registration
ID pengguna
yang bersifat
unique
Membuat akun
email pegawai
201
dengan domain
bmkg.go.id
Memastikan
pengguna
memiliki otorisasi
akses
Membuat akun
dengan
username dan
password awal
secara acak
Pencatatan
pengguna yang
melakukan
permintaan akses
Melakukan
pencatatan pada
formulir
perekaman
permintaan akses
Verification 6.1.2 Segregation
of duties
Melakukan
pengecekan
kesesuaian akses
terhadap masing-
masing actor
Melakukan
peninjauan
terhadap
kesesuaian akses
masing-masing
actor dan rolenya
dari daftar acuan
role
Melindungi asset
informasi dari
akses yang tidak
terotorisasi
Memastikan
bahwa role dan
akses yang
dimiliki pegawai
telah sesuai
9.4.3 Password
management
system
Menjamin
kerahasiaan
password
Memastikan
password
pegawai telah
terenkripsi dan
tercatat dalam
database
9.2.4
Management of
secret
authentication
information of
users
Melakukan
pengecekan ID
pengguna dan
status pengguna
Melihat
kesesuaian
antara SK
pegawai dengan
akses yang
diberikan kepada
pegawai dengan
melihat database
identitas
pegawai
Melakukan
verifikasi dan
otentikasi ID
pengguna
Mengirimkan
link verifikasi
kepada email
pegawai sebagai
202
bukti bahwa
akses yang akan
diberikan sesuai
dengan identitas
pegawai
Providing Rights 9.2.4
Management of
secret
authentication
information of
users
Memastikan
pengguna
menyetujui
perjanjian
kerahasiaan
informasi
Memberikan
daftar kebijakan
terkait
manajemen
akses kepada
masing-masing
pegawai beserta
sanksi terkait
9.3.1 Use of
secret
authentication
information
Memastikan
pengguna
memahami hak
akses yang
diperolehnya
Memberikan
daftar modul
yang dapat
diakses serta
yang tidak dapat
diakses kepada
masing-masing
pegawai
Pencatatan
pengguna yang
telah diberikan
akses
Melakukan
pencatatan pada
formulir
perekaman
pemberi akses
9.4.3 Password
management
system
Memastikan
pengguna
memahami aturan
mengenai
manajemen
password
Memberikan
daftar acuan
kepada pegawai
mengenai
kebijakan dalam
penggantian
password dan
konten password
yang sesuai
dengan standard
acuan
9.2.2 User access
provisioning
Memastikan
pengguna
memahami
kebijakan terkait
layanan akses
Memberikan
daftar acuan
mengenai
layanan akses
yang dapat
diakses dari
jaringan umum
maupun khusus
203
Monitoring
Identity Status
9.1.1 Access
control policy
Melakukan
pengecekan
kesesuaian akses
pengguna
berdasarkan
kebijakan kontrol
akses
Memastikan
akses pegawai
sesuai dengan
kontrol-kontrol
dalam acuan
9.2.5 Review of
user access rights
Melakukan
peninjauan ulang
terhadap hak
akses pengguna
secara berkala
Melakukan
pengecekan
akses pegawai
secara berkala
Melakukan
pencatatan status
pegawai dalam
proses penilaian
tes perilaku kerja
Mencatat hasil
pemantauan
status identitas
dalam formulir
Pencatatan
perubahan
identitas status
pengguna
Melakukan
pencatatan pada
formulir
pemantauan
status identitas
pengguna
Removing or
Restricting
Rights
9.2.6 Removal or
adjustment of
access rights
Memastikan hak
akses telah
dihapus atau
dibatasi sesaat
setelah kontrak
benar-benar
selesai
Melakukan
perubahan role
berdasarkan SK
pegawai terkait
Melakukan
pengecekan
perubahan role
sesuai dengan
status identitas
pegawai
Pencatatan
penghapusan
maupun
pembatasan akses
pengguna
Melakukan
pencatatan pada
formulir
perekaman
penghapusan
maupun
pembatasan
akses
204
9.4.5 Access
control to
program source
code
Memastikan
kontrol akses
berdasarkan read,
write, delete dan
execute
Memastikan
bahwa role dan
akses yang
dimiliki pegawai
telah selesai
Melakukan
pengecekan
perubahan role
sesuai dengan
status identitas
pegawai
Logging and
Tracking Access
9.4.2 Secure log-
on procedures
Memastikan
kesesuaian
pengguna
Melakukan
pengecekan
username dan
password
pegawai ketika
mengakses dan
memberikan
informasi error
apabila terdapat
ketidak sesuaian
Menampilkan
informasi
warning yang
menyatakan
bahwa computer
tersebut hanya
dapat diakses
oleh pengguna
yang terotorisasi
Melakukan
tindakan apabila
terdapat laporan
permasalahan
akses yang tidak
sesuai
Melakukan
pengecekan log
aktivitas
pegawai
Melakukan
penelusuran
terhadap akses
yang
mencurigakan
dengan teknologi
terkait
Pencatatan
perekaman
permasalahan
akses pengguna
Melakukan
pencatatan pada
formulir
perekaman
permasalahan
akses apabila
terdapat
205
permasalahan
akses Tabel 4. 45 Penyesuaian Aktifitas Pengelolaan Hak Akses dengan Control ISO 27002
Berikut adalah usulan alur permohonan hak akses sesuai dengan ISO 27002
yang harus dilakukan oleh Pusat Jaringan Komunikasi BMKG.
206
Gambar 4. 11 Rancangan Rekomendasi Alur Permohonan Hak Akses
Pemohon Admin Kasubid Operasional TI Perlengkapan
Waktu Output
1 Pemohon
mengajukan
permohonan hak
akses kepada admin
terkait (Staf
Fungsional IT
Support)
N/A
2 Admin bertanya
apakah pemohon
baru mengajukan
permohonan akses
atau pemohon sudah
memiliki akses
namun ingin
menambah akses
atau menghapus
akses
N/A
3 Pemohon mengisi
formulir registrasi
berupa data lengkap
sesuai data SK
Pegawai
Formulir
Registrasi
N/A
4 Pemohon mengisi
formulir
permohonan hak
akses berupa
penjelasan secara
terperinci hak akses
yang dimohon dan
untuk apa hak akses
tersebut
Formulir
Permohonan
Hak Akses
N/A
5 admin (Staf
Fungsional IT
Support) melakukan
peninjauan terkait
kesesuaian data
pemohon.
Formulir
Registrasi
N/A
6 admin akan
melakukan
pengklasifikasian
sesuai dengan
kepentingan dan
kebutuhan pemohon
Formulir
Permohonan
Hak Akses
N/A
7 Kasubid Operasional
TI menerima data
pemohon yang telah
ditinjau oleh admin
dan selanjutnya
dilakukan validasi
untuk memastikan
kesesuaian antara SK
dan tupoksi
pemohon dengan
akses yang diberikan
kepada pemohon.
Formulir
Kunjungan ke
Ruang Server
N/A
8 Setelah dianggap
layak dan sesuai,
Kasubid Operasional
TI memberikan
persetujuan kepada
admin untuk
pemberian hak akses
Formulir
Permohonan
Hak Akses
N/A
9 admin mengirimkan
link konfirmasi
permohonan hak
akses ke email
N/A Link Verifikasi
10 setelah mengklik link
konfirmasi, pemohon
menerima ID dan
Password sementara
serta daftar
kebijakan terkait
manajemen akses
dan daftar modul
yang dapat diakses
N/A ID, Pasword
Sementara,
Kebijakan
Manajemen
Akses, dan Daftar
Modul Akses
NO URAIAN KEGIATAN
PELAKSANA Mutu Baku
Keterangan
Mulai
Selesai
Ya
Tidak
Tidak
Ya
Tidak
Ya
207
1. Pemohon mengajukan permohonan hak akses kepada admin terkait (Staf
Fungsional IT Support).
2. Admin bertanya apakah pemohon baru mengajukan permohonan akses atau
pemohon sudah memiliki akses namun ingin menambah akses atau menghapus
akses.
3. Jika pemohon baru mengajukan permohonan hak akses, pemohon diharuskan
mengisi formulir registrasi berupa data lengkap sesuai data SK Pegawai.
4. Jika pemohon yang sudah memiliki hak akses namun ingin menambah akses
atau menghapus akses, pemohon bisa melewati poin 3 dan langsung mengisi
formulir permohonan hak akses berupa penjelasan secara terperinci hak akses
yang dimohon dan untuk apa hak akses tersebut.
5. Selanjutnya admin (Staf Fungsional IT Support) melakukan peninjauan terkait
kesesuaian data pemohon pada formulir registrasi. Jika terjadi ketidaksesuaian,
pemohon diharuskan memperbaiki dan memastikan kesesuaian data dengan
kembali melakukan permohonan ulang sesuai prosedur dari tahap 1.
6. Jika data sesuai, admin akan melakukan pengklasifikasian sesuai dengan
kepentingan dan kebutuhan pemohon.
7. Selanjutnya Kasubid Operasional TI menerima data pemohon yang telah
ditinjau oleh admin dan selanjutnya dilakukan validasi untuk memastikan
kesesuaian antara SK dan tupoksi pemohon dengan akses yang diberikan
kepada pemohon. Jika terjadi ketidaksesuaian, pemohon dapat memperbaiki
dan memastikan kesesuaian permohonan akses terhadap tupoksi pemohon
dengan kembali ke tahap 4.
208
8. Setelah dianggap layak dan sesuai, Kasubid Operasional TI memberikan
persetujuan kepada admin untuk pemberian hak akses.
9. admin mengirimkan link konfirmasi permohonan hak akses ke email.
10. setelah mengklik link konfirmasi, pemohon menerima ID dan Password
sementara serta daftar kebijakan terkait manajemen akses dan daftar modul
yang dapat diakses.
4.5.3.3 SOP Ruang Data Center
Usulan dari rekomendasi berikutnya terkait manajemen keamanan untuk
Pusat Jaringan Komunikasi adalah SOP Ruang Data Center. Berikut adalah usulan
perancangan SOP Ruang Data Center yang dibuat peneliti berdasarkan ISO 27002
yang sudah disesuaikan dengan penelitian terdahulu dan sistem yang sudah ada di
Pusat Jaringan Komunikasi BMKG.
209
STANDARD OPERATING PROCEDURE
(SOP)
A. Tujuan Umum
1. Memberikan suatu acuan dan pedoman bagi Bidang terkait mengenai
segala hal yang berkaitan dengan Data Center.
2. Semua pegawai diharapkan untuk mematuhi Standard Operating
Procedure ini agar memaksimalkan tingkat keamanan informasi pada
Pusat Jaringan Komunikasi. Ketidakpatuhan terhadap Standard
Operating Procedure ini akan berakibat kepada tindakan disiplin atau
sanksi sebagaimana mestinya.
3. Setiap pegawai diharapkan bisa ikut pro-aktif memberikan masukan dan
usulan perbaikan terhadap Standard Operating Procedure ini agar
tercapai suatu prosedur yang efektif dan efisien.
B. Ruang Lingkup
Ruang lingkup kegiatan dalam Standard Operating Procedure ini meliputi
seluruh hal terkait dengan Data Center Pusat Jaringan Komunikasi BMKG.
C. Penanggung Jawab & Departemen Terkait
Penanggung jawab atas pelaksanaan prosedur ini adalah Kasubid
Operasional Teknologi Informasi pada Pusat Jaringan Komunikasi BMKG.
D. Waktu Pelaksanaan
Prosedur ini dilaksanakan kapanpun dibutuhkan hal-hal yang berkaitan
dengan kunjungan Ruang Data Center.
210
E. Distribusi Prosedur
Standard Operating Procedure ini di distribusikan kepada Unit Kerja dan
User Penanggung jawab terkait.
F. Kebijakan
1. Kebijakan Umum
1.1 Kebijakan dan Prosedur ini akan dikaji ulang jika terjadi kekurangan
melalui persetujuan penanggung jawab.
1.2 Kasubid Operasional Teknologi Informasi bertanggung jawab
dalam hal:
1.2.1 Mengawasi dan memastikan bahwa implementasi prosedur
yang dirancang telah dijalankan secara konsisten.
1.2.2 Memberikan masukan kepada manajemen setiap kali ada
usulan perubahan dalam rangka perbaikan proses kerja.
2. Ketentuan Data Center
2.1 Semua yang berkaitan dengan Data Center harus sesuai dengan
Standard Operating Procedure (SOP) ini.
2.2 Data Center harus selalu dalam keadaan terkunci dengan
menggunakan security lock system. Jika terjadi trouble shoot pada
security lock system maka harus dilakukan penguncian secara
manual.
2.3 Akses masuk kedalam Data Center hanya dipegang oleh pegawai
berwenang yang memiliki akses khusus dan sesuai dengan
tupoksinya, yaitu:
211
2.3.1 Kepala Sub Bidang Operasional Teknologi Informasi
2.3.2 Staf Fungsional IT Support
2.3.3 Staf Fungsional Teknisi Server
2.4 Bagi siapapun (selain user pada point 2.3) yang hendak masuk ke
Data Center, maka harus mengisi form visitor (visitor log) dan
didampingi oleh user pemegang akses.
2.5 Visitor Log harus direview dan ditandatangani oleh Kasubid
Operasional Teknologi Informasi pada setiap akhir bulan.
2.6 Akses masuk ke dalam Data Center tidak boleh dipindah tangankan
ataupun bertambah tanpa melalui tahapan permohonan akses yang
sudah ditetapkan.
2.7 Data Center harus dilengkapi dengan Air Conditioner (AC) yang
beroperasi selama 24 jam dengan suhu maksimal 18-20 derajat
celcius. Jika terjadi pemadaman listrik minimal 15 menit, maka IT
Support atau Teknisi penanggungjawab harus melakukan koordinasi
dengan teknisi listrik untuk dilakukan back up tenaga listrik.
Sebagai pelengkap untuk SOP Ruang Data Center poin 2.4, berikut adalah alur
bagaimana untuk pihak yang berkepentingan dari luar dapat mengunjungi Ruang
Data Center.
212
Gambar 4. 12 Rancangan Rekomendasi Alur Kunjungan Data Center
213
4.5.4 Implikasi
Pada tahap ini peneliti akan menjelaskan implikasi terhadap penelitian ini,
adapun beberapa penjabaran sebagai berikut :
1. Implikasi dari hasil penelitian ini diharapkan Pusat Jaringan Komunikasi
BMKG dapat menjadikan usulan yang dirancang oleh peneliti sebagai
pertimbangan dalam penerapan manajemen insiden dan manajemen kontrol hak
akses, karena peneliti merancang berdasarkan acuan framework ISO 27002
yang berhubungan dengan penerapan framework sebelumnya yaitu ISO 27001
dan juga diharapkan dapat membantu mengatasi permasalahan yang saat ini
tengah dialami oleh Pusat Jaringan Komunikasi BMKG.
2. Implikasi selanjutnya adalah diharapkan penelitian ini dapat dijadikan referensi
peneliti-peneliti selanjutnya yang ingin mengevaluasi tata kelola keamanan
informasi menggunakan framework COBIT 5 dan ISO 27002.
3. Implikasi yang terakhir adalah diharapkan Pusat Jaringan Komunikasi juga
dapat menjadikan usulan perancangan ini sebagai tindakan preventif atau
tindakan pencegahan terhadap resiko kebocoran data dan mengurangi kejadian
yang sama terulang berkali-kali.
Dari ketiga poin diatas tentang implikasi penelitian ini, dapat ditarik kesimpulan
bahwa peneliti mengharapkan agar usulan perancangan yang dilakukan peneliti
dapat menjadi pertimbangan penerapan tata kelola TI dan diharapkan hasil dari
penelitian ini dapat membantu tindakan preventif yang diambil sebagai salah satu
tindakan pencegahan bocornya data Pusat Jaringan Komunikasi.
214
4.5.5 Perbandingan Penelitian Terdahulu
Berdasarkan penelitian terdahulu yang dilakukan oleh peneliti (Sheikhpour,
2016), peneliti (Gupta et al., 2013), dan peneliti (Iso et al., 2014), para peneliti
tersebut menggunakan COBIT 4 dan ISO 27002:2005 untuk mengevaluasi tata
kelola keamanan perusahaan dengan memetakan domain masing-masing
framework dan menghasilkan sebuah rekomendasi usulan berupa perancangan yang
diperlukan masing-masing peneliti. Pada penelitian (Gupta et al., 2013), penelitian
menambahkan framework keamanan DSCI untuk digabungkan dengan ISO / IEC
27002: 2005 dan COBIT 4.1. peneliti Gupta memberikan gambaran bahwa jika
kerangka kerja keamanan DSCI diikuti maka akan diketahui sejauh mana standar
lain dapat dicapai dan ini membantu meminimalkan biaya dan menghemat waktu.
Perbedaan dengan penelitian ini yaitu peneliti menggunakan framework COBIT
dan ISO 27002 terbaru yaitu COBIT 5 dan ISO 27002:2013 yang lebih lengkap dan
lebih baik. Serta lebih fleksibel dan sesuai dengan kebutuhan organisasi dimasa
sekarang.
Kemudian berdasarkan penelitian terdahulu yang dilakukan oleh peneliti
(Nastase Pavel, 2009), peneliti (Selo Adipta, 2016), dan peneliti (Sudhista, 2015),
para peneliti tersebut menggunakan framework COBIT, ISO dan ITIL dalam
melakukan evaluasi tata kelola TI, pada penelitian (Nastase Pavel, 2009) dengan
(Selo Adipta, 2016), dan (Sudhista, 2015), penelitian (Nastase Pavel, 2009)
menggunakan COBIT 4 dan hanya menghasilkan identifikasi penggunaan standar
dan praktik terbaik TI serta prioritas proses-proses sesuai dengan rencana aksi dan
merencanakan langkah-langkah pendekatan implementasi sedangkan penelitian
215
(Selo Adipta, 2016), dan (Sudhista, 2015) sudah menggunakan framework COBIT
terbaru yaitu COBIT 5 namun hanya menghasilkan penjelasan perbedaan dan
persamaan yang terdapat pada model framework COBIT, ITIL, dan ISO/IEC 27002
yang diintergrasikan. Sedangkan perbedaan dengan penelitian ini adalah, peneliti
sama-sama sudah menggunakan framework COBIT dan ISO 27002 terbaru namun
pada penelitian ini peneliti sudah menerapkan pemetaan dan juga sudah melakukan
evaluasi penghitungan Capability Level sesuai domain yang relevan hingga
mendapatkan hasil berupa perancangan usulan untuk rekomendasi perbaikan
menggunakan ISO 27002.
4.5.6 Limited Of Study
Pada tahap ini peneliti akan menjelaskan tentang keterbatasan yang dialami
dalam penelitian Evaluasi Tata Kelola Keamanan Teknologi Informasi pada Pusat
Jaringan Komunikasi. Berikut adalah beberapa perinciannya :
1. Dalam penelitian ini peneliti mengalami keterbatasan pada ruang lingkup dan
waktu penelitian, peneliti tidak memiliki cukup waktu untuk memaksimalkan
pemahaman terhadap pembuatan alur dan SOP, peneliti hanya memastikan
pemahaman terhadap COBIT 5 dan ISO 27002 terutama terkait keamanan
kontrol hak akses dan manajemen insiden. Peneliti melakukan perancangan dan
pembuatan SOP berdasarkan jurnal terkait yang menjadi literatur peneliti dalam
melakukan penelitian.
2. Keterbatasan yang dialami peneliti selanjutnya adalah peneliti hanya
menggunakan framework COBIT 5 untuk tahapan penentuan Goal Cascade dan
penghitungan Capability Level serta hanya berfokus pada 3 domain terpilih dari
216
5 domain terkait yaitu APO12 (Manage Risk), APO13 (Manage Security), dan
DSS05 (Manage Security Services). Selanjutnya peneliti hanya berfokus
menggunakan ISO 27002 sebagai acuan perancangan usulan dengan beberapa
kontrol terkait yang sudah dipilih berdasarkan rekomendasi yang telah
ditetapkan.
3. Keterbatasan selanjutnya adalah pada perancangan usulan, peneliti hanya
berfokus menggunakan framework ISO 27002 sebagai acuan karena framework
tersebut mencakup segala sesuatu yang berhubungan dengan teknis penerapan
keamanan tata kelola terutama kontrol akses, sedangkan kurang dalam
membahas manajemen insiden. Framework yang membahas secara mendalam
tentang resiko dan insiden adalah ISO 31000 yang diharapkan dapat diterapkan
oleh peneliti selanjutnya.
Dari ketiga poin diatas tentang keterbatasan yang peneliti alami dalam penelitian
ini, kesimpulannya adalah peneliti mengalami keterbatasan terhadap pemahaman
tentang perancangan manajemen insiden dan SOP terkait rekomendasi, serta
peneliti hanya berfokus pada 2 framework yang dibutuhkan untuk penelitian ini
yaitu COBIT 5 dan ISO 27002.
Inti dan rangkuman dalam penelitian evaluasi tata kelola keamanan
teknologi informasi ini adalah peneliti melakukan pengumpulan data sesuai
kebutuhan dan menggunakan 2 framework yaitu COBIT 5 dan ISO 27002. Dengan
menggunakan metode penerapan COBIT Lifecycle, peneliti berharap sudah
maksimal dalam melakukan proses evaluasi tata kelola keamanan teknologi
informasi, dan rekomendasi yang diusulkan ini dapat diterapkan di Pusat Jaringan
217
Komunikasi BMKG untuk mendukung tindakan preventif yang saat ini sedang
dilakukan. Penelitian ini menghasilkan usulan perancangan yang bisa membantu
Pusat Jaringan Komunikasi dalam mengelola Hak Akses dan Manajemen Insiden
sehingga dapat meminimalisir kejadian berupa kebocoran data ataupun terjadinya
insiden yang berulang-ulang. Hal ini tentunya juga dapat membantu dalam
memaksimalkan keamanan terhadap Data Center Pusat Jaringan Komunikasi
BMKG. Namun untuk membahas lebih dalam terkait manajemen insiden dan
manajemen resiko, ataupun terkait keamanan informasi yang lebih baik. Peneliti
dapat melakukan evaluasi tata kelola keamanan teknologi informasi dengan
menggunakan COBIT, ISO dan ITIL, terutama ISO 31000 yang menjelaskan lebih
mendalam tentang penerapan manajemen resiko dan insiden.
218
BAB V
PENUTUP
5.1 Kesimpulan
Berdasarkan hasil analisis yang telah diuraikan pada pembahasan
sebelumnya, berikut adalah simpulan yang dapat peneliti berikan dalam bab ini.
1. Hasil nilai rata-rata keseluruhan Capability Level Pusat Jaringan Komunikasi
BMKG saat ini pada domain APO12 (Manage Risk), APO13 (Manage
Security), dan DSS05 (Manage Security Services) adalah 2.22, dan berada pada
tingkat kapabilitas 2 (Managed Process). Level ini menunjukkan bahwa Pusat
Jaringan Komunikasi BMKG telah mengimplementasikannya dengan
pengelolaan yang baik (direncanakan, dipantau, dan diarahkan) dan setiap work
products telah ditetapkan, dikontrol dan dipelihara, namun harus dipastikan
bahwa performa proses yang berjalan telah mendukung pencapaian tujuan Pusat
Jaringan Komunikasi BMKG, adanya sistem layanan TI yang masih bermasalah
akan dilakukan proses perbaikan untuk menghasilkan layanan TI yang baik
ketika para stakeholder menggunakannya dengan batasan untuk mencapai
tujuan yang diharapkan.
2. Hasil dari penelitian ini menunjukan capability level pada Proses APO12
(Manage Risk), APO13 (Manage Security), DSS05 (Manage Security Services)
di Pusat Jaringan Komunikasi saat ini berada pada level 2 (managed process)
dengan tingkat kapabilitas yang diharapkan berada di level 3 (established
process) dengan masing-masing gap sebesar 1,13, 1,10 dan 0,97. Pusat Jaringan
219
Komunikasi diharuskan untuk melengkapi Evidence atau dokumen-dokumen
terkait untuk dapat naik ke level 3.
3. Penelitian ini memberikan rekomendasi terkait keamanan TI berdasarkan
domain APO12, APO13 dan DSS05 pada framework COBIT 5.
4. Penelitian ini menghasilkan usulan perancangan pengelolaan manajemen
keamanan yang dibutuhkan berdasarkan dengan ISO 27002 yaitu Panduan
Implementasi Manajemen Insiden, Rancangan Pengelolaan Hak Akses,
SOP Ruang Data Center yang bisa digunakan sebagai acuan penerapan
ataupun pembuatan dokumen terkait.
5.2 Saran
Berdasarkan simpulan yang dijelaskan di atas, pada bab ini peneliti
memberikan saran yang dapat menjadi pertimbangan maupun bahan evaluasi bagi
Pusat Jaringan Komunikasi yakni sebagai berikut:
1. Pusat Jaringan Komunikasi disarankan untuk lebih serius memperhatikan dalam
mengelola masalah, pendokumentasian resiko dan insiden khususnya terkait
hak akses data maupun infrastruktur yang dapat menyebabkan kerugian.
2. Pusat Jaringan Komunikasi dianjurkan untuk membuat dokumentasi setelah
melaksanakan kegiatan yang berhubungan dengan data penting ataupun
infrastuktur, dokumentasi ini sangat berguna sebagai bahan evaluasi keamanan
dimasa yang akan datang.
3. Pusat Jaringan Komunikasi diharapkan dapat mempertimbangkan untuk
melakukan penerapan usulan dari rekomendasi proses yang diajukan peneliti.
220
4. Bagi peneliti selanjutnya yang melakukan evaluasi tata kelola keamanan
teknologi informasi di Pusat Jaringan Komunikasi BMKG dapat memilih
domain proses yang berbeda dalam COBIT 5 dan ISO 27002, menambahkan
ISO 31000 yang membahas terperinci mengenai manajemen resiko dan insiden
atau menggunakan framework lain seperti ITIL dan menggunakan skala yang
berbeda seperti Guttman.
221
DAFTAR PUSTAKA
Afandi, H. A. D. (2015). Audit Kemanan Informasi Menggunakan Iso 27002 Pada
Data Center Pt.Gigipatra Multimedia. Jurnal TIM Darmajaya, 01(02), 175–
191. Retrieved from
http://www.scirp.org/journal/PaperDownload.aspx?DOI=10.4236/jis.2013.
42011
Ariyani, D. N. W. S. (2013). Audit Teknologi Informasi dengan Kerangka Kerja
ISO 27002 dan COBIT 5 (Studi Kasus: Badan Kepegawaian daerah
Kabupaten Gianyar). 84, 487–492. Retrieved from
http://ir.obihiro.ac.jp/dspace/handle/10322/3933
Gupta, W., Dwivedi, S., & Chaurasiya, V. K. (2013). Available Online at
www.jgrcs.info MAPPING OF DATA SECURITY COUNCIL OF INDIA
SECURITY FRAMEWORK. 4(4), 147–154.
Humphreys, E. (2008). Information security management standards: Compliance,
governance and risk management. Information Security Technical Report,
13(4), 247–255. https://doi.org/10.1016/j.istr.2008.10.010
Iso, C. D. A. N., R, L. F., Setiawan, B., A, A. P., Informasi, J. S., Informasi, F. T.,
… Indonesia, S. (2014). Oajis_21_1379. (September).
John Walhoff. (2005). Combining COBIT, ISO/IEC 27002 and ITIL V3.
Komunikasi, P. J., Meteorologi, B., & Dan, K. (2015). ( IT SECURITY ).
Meteorologi, K. B., & Geofisika, D. A. N. (2009). PERKA BMKG.
Mughoffar, F., Ali, A. H. N., & Herdiyanti, A. (2013). Penyusunan template tata
kelola keamanan informasi berbasis iso/iec 27001:2005 dan patuh terhadap
cobit 5 management processes apo13 manage security. JURNAL TEKNIK
POMITS Vol. 2, No. 1, (2013) ISSN: 2337-3539 (2301-9271 Print), 2(1), 1–
6.
Nastase Pavel, N. F. (2009). Challenges Generated by the implemention of the it
standards COBIT, ITIL.
Putra, S. J. (2019). The process capability model for governance of the Election
Organizer Ethics Court system. 3(2), 93–98.
https://doi.org/10.15575/join.v3i2.266
Sheikhpour, R. (2016). An approach to map COBIT processes to ISO / IEC 27001
information security management controls An Approach to Map COBIT
Processes to ISO / IEC 27001 Information Security Management Controls.
(January 2012). Retrieved from
https://www.scopus.com/inward/record.uri?eid=2-s2.0-
84864750300&partnerID=40&md5=08047bea7ac58f09344cf97a19d7ed6
222
0
Sudhista. (2015). Evaluasi dan Rekomendasi Perbaikan Layanan InfrastrukturTI di
PT. FINNET INDONESIA Berdasarkan COBIT 5, ITIL 2011 dan ISO/IEC
15504.
The Ministry of Communication and Information Technology of the Republic of
Indonesia. (2017). Ministerial Regulation No.
41/PER/M.KOMINFO/11/2007 on the General Guidelines for National
Information and Communications Technology Governance.
Adikara, F. (2013). Implementasi Tata Kelola Teknologi Informasi Perguruan
Tinggi Berdasarkan COBIT 5 Pada Laboratorium Rekayasa Perangkat
Lunak Universitas Esa Unggul. Seminar Nasional Sistem Informasi
Indonesia, 2-4.
Arikunto, S. (2013). Manajemen Penelitian. Jakarta: Rineka Cipta.
Budiarta, I. S. (2016). Information System Development using Cobit 5 Framework.
international journal of engineering and emerging technology, 5.
Budiman, A. R. (2014). Kapita Selekta Kuesioner. Jakarta: Salemba Medika.
Ciptaningrum, D., Nugroho, E., & Adhipta, D. (2015). Audit Keamanan Sistem
Informasi Pada Kantor Pemerintah Kota Yogyakarta Menggunakan
COBIT 5. Seminar Nasional Teknologi Informasi dan Komunikasi.
Fauziah. (2010). Pengantar Teknologi Informasi. Bandung: CV Muara Indah.
Fitroh, Siregar, S., & Rustamaji, E. (2017). Determining Evaluated Domain
Process through Problem Identification using COBIT 5 Framework. 5th
International Conference on Cyber and IT Service Management (CITSM),
1-6.
Guritno, S. (2011). Theory and Application of IT Research: Metodologi Penelitian
Teknologi Informasi. Yogyakarta: Andi.
Hartono, J., & Abdillah, W. (2011). Sistem Tata Kelola Teknologi Informasi.
Yogyakarta: ANDI.
Hidayat, R. M. (2016). Usulan Tata Kelola Teknologi Informasi Berdasarkan
COBIT 5 Pada PT Bumi Technology Pratama (Fokus APO10, BAI04, dan
DSS03). Jakarta: UIN Syarif Hidayatullah.
Indonesia, P. R. (1970). Undang-Undang Nomor 1 tahun 1970. Keselamatan
Kerja.
Indrajit, R. (2014). Manajemen Organisasi dan Tata Kelola Teknologi Informasi.
Yogyakarta: Graha Ilmu.
223
SO I BSI (2013). Standards Publication Information technology - Security
techniques - Code of practice for information security control, UK.
ISACA. (2012). COBIT 5 Enabling Process. IT Governance Institute.
ITGI. (2007). IT Governance Implementation Guide 2nd. IT Governance Institute.
Jogiyanto, H., & Abdillah, W. (2014). Sistem Tatakelola Teknologi Informasi.
Yogyakarta: ANDI.
Laudon, K. C., & Jane , P. L. (2014). Management Information Systems:
Managing the Digital Firm, Thirteenth Edition. Pearson Education: United
States Of America.
Laudon, Kenneth, C., & Jane , P. L. (2014). Management Information Systems:
Managing the Digital Firm, Thirteenth Edition. Pearson Educated: United
States of America.
Magdalena, L. (2011). Analisis Problem Management pada IT Helpdesk dengan
inplementasi ITSM dan SLA (Studi Kasus: Citigrup Indonesia). JURNAL
DIGIT. Vol. 1, No 2, 97-112.
Mardjiono, D. E. (2009). Analisis Pengaruh Kepemimpinan, Pemanfaatan TI dan
Implementasi Struktur Organisasi yang Terdesentralisasi Terhadap Kinerja
Organisasi. Tesis Universitas Padjajaran.
Meng-Lai Yin, P. D. (2007). The Importance of Maintenance Planning - A Case
Study. IEEE, 484.
Neuman, W. L. (2013). Metodologi Penelitian Sosial: Pendekatan kualitatif dan
kuantitatif. Jakarta: PT. Indeks.
Nugroho, E. (2008). Sistem Informasi Manajemen: Konsep, Aplikasi dan
Perkembangan. Yogyakarta: ANDI.
Nugroho, H. (2014). Conceptual Model Of IT Governance For Higher Education
Based on COBIT 5 Framework. Journal od Theoritical and Applied
Information Technology.
Pearlson, K., & Saunders, C. (2004). Managing and Using Information Systems:
A Strategic Approach. 2nd Edition New Jersey: John Wiley and Sons.
Prasetya, F. (2014). Usulan Tata Kelola Teknologi Informasi Pada Rumah Sakit
Pusat Pertamina Menggunakan Framework COBIT 5 Fokus Pada Proses
Manage Innovation (APO04). Jakarta: UIN Syarif Hidayatullah Jakarta.
Rahmawati, D. (2016). Aplikasi Pendeteksi Fraud Pada Event Log Proses Bisnis
Pengadaan Barang dan Jasa Menggunakan Algoritma Heuristic Miner.
Jurusan Teknik Informatika, Xi.
224
Ramadhani, S. P., Herdiyanti, A., & Astuti, H. M. (2017). Pembuatan Perangkat
Audit Berbasis Risiko Berdasarkan COBIT 5 dan Service Standard Pada
Services Desk. Open Acces Journal of Information Systems, 57-70.
Sahbani, S. (2016). Evaluasi Tata Kelola Teknologi Informasi Berdasarkan
Framework COBIT 5 Pada Pusat Informasi dan Hubungan Masyarakat
Kementerian Agama RI (Fokus EDM03, APO01, MEA02). Jakarta: UIN
Syarif Hidayatullah.
Santoso, T. Y. (2017). Evaluasi Tata Kelola Teknologi Informasi Pada Badan
Informasi Geospasial (BIG) dengan Menggunakan Kerangka Kerja COBIT
5. Sistem Informasi Uin Syarif Hidayatullah Jakarta.
Subagyo, P. J. (2015). Metode Penelitian dalam Teori dan Praktik. Jakarta: Rineka
Cipta.
Surendro, K. (2009). Implementasi Tata Kelola Teknologi Informasi. Bandung.
Sutarman. (2009). Pengantar Teknologi Informasi. Jakarta: Bumi Aksara.
Tantra, R. (2012). Manajemen Proyek Sistem Informasi. Yogyakarta: ANDI.
Wibowo, S. A., Selo, & Adipta, D. (2016). Kombinasi Framework COBIT 5, ITIL
dan ISO 27002 Untuk Membangun Model Tata Kelola Teknologi
Informasi di Perguruan Tinggi. Seminar Nasional Teknologi Informasi dan
Komunikasi , 122-128.
Wulan, A. R. (2010). Pengertian dan Esensi Konsep Evaluasi, Asesmen, Tes dan
Pengukuran. FPMIPA Universitas Pendidikan Indonesia.
Sheikhpour, Razieh. (2016). An approach to map COBIT processes to ISO/IEC
27001 information security management controls. Yazd University, Iran.
Dr. Ir. Ni Wayan Sri Ariyani, MM. (2015). Audit Teknologi Informasi dengan
Kerangka Kerja ISO 27002 dan COBIT 5 (Studi Kasus: Badan
Kepegawaian Kabupaten Gianyar).
Gupta Watika, Dwivedi Shancita, Dr. Vijay Kumar Chaurasiya. (2013). MAPPING
OF DATA SECURITY COUNCIL OF INDIA SECURITY
FRAMEWORK WITH ISO/IEC 27002:2005 AND COBIT 4.1. India.
Mei Lenawati, Wing Wahyu, & Armadyah. (2017). Tata Kelola Keamanan
Informasi Pada PDAM Menggunakan ISO/IEC 27001:2013 Dan Cobit 5.
INB. (2013). ISO/IEC 27001 Information technology – Security techniques -
Information security management systems – Requirements. SWISS.
Faridl Mughoffar, Ir. Ahmad Holil Noor Ali, M.Kom, dan Anisah Herdiyanti,
S.Kom, M.Sc (2013). PENYUSUNAN TEMPLATE TATA KELOLA
KEAMANAN INFORMASI BERBASIS ISO/IEC 27001:2005 DAN
225
PATUH TERHADAP COBIT 5 MANAGEMENT PROCESSES APO13
MANAGE SECURITY.
226
LAMPIRAN – LAMPIRAN
227
Lampiran 1 Kuesioner Pra-Penelitian
228
229
230
Lampiran 2 Keterangan Level Kuisioner
PROCESS CAPABILITY LEVEL
Level 0 : Incomplete
process
: Pada level ini proses tidak diimplementasikan atau
gagal untuk mencapai tujuan dari proses. Ada
sedikit atau tidak ada bukti dari pencapaian
sistematis setiap tujuan proses.
Level 1 : Performed
process
: Pada tahap ini organisasi sudah
mengimplementasikan namun belum tercapainnya
ujuan.
Level 2 : Managed
process
: Proses pada level 1 diimplementasi ke dalam
sebuah pengaturan proses (direncanakan,
dimonitor, dan dievaluasi) dan produk kerja proses
tersebut dijalanlan, dikontrol, dan dikelola secara
tepat.
Level 3 : Established
process
: Proses pada level 2 diimplementasi menggunakan
proses yang terdefinisi dan mampu mencapai hasil
proses.
Level 4 : Predictable
process
: Proses pada level 3 dioperasikan dengan batasan-
batasan agar mampu meraih harapan dari proses
tersebut.
Level 5 : Optimizing
process
: Proses pada level 4 secara berkelanjutan
ditingkatkan untuk memenuhi tujuan bisnis
organisasi saat ini dan masa yang akan datang.
A : Proses tidak dilaksanakan atau gagal untuk mencapai tujuan.
B : Proses diimplementasikan tetapi belum mencapai tujuan.
C : Proses diimplementasikan tetapi masih direncanakan, dimonitor, dan
dievaluasi.
D : Proses telah diimplementasikan dan diharapkan mampu mencapai tujuan.
E : Proses dioperasikan dengan batasan-batasan dan mampu mencapai tujuan.
F : Proses ditingkatkan secara terus-menerus memenuhi tujuan bisnis
organisasi.
231
Lampiran 3 Kuisioner Penelitian I (Proses APO12)
KUESIONER 1
Analisa capability level pada proses APO12-Manage Risk (Mengelola Risiko)
Pusat Jaringan Komunikasi
Badan Meteorologi Klimatologi dan Geofisika
Kuesioner ini merupakan instrumen penelitian mahasiswa Program Studi Sistem
Informasi, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif
Hidayatullah Jakarta. Tujuan dari kuesioner ini adalah untuk memperoleh data dari
Badan Meteorologi Klimatologi dan Geofisika sebagai pihak yang terkait
khususnya pada bagian yang termasuk pada RACI COBIT 5 dalam APO12
(Manage Risk).
Kuesioner capability level ini dikembangkan untuk mengetahui tingkat kematangan
pada proses pengelolaan data baik untuk kondisi saat ini (as is), maupun untuk
kondisi yang diharapkan (to be), yang selanjutnya dapat dijadikan dasar yang cukup
untuk mengidentifikasi prioritas peningkatan (improvement).
Untuk mempermudah responden dalam menjawab, kuesioner ini didesain dalam
format pilihan ganda, yang terdiri dari beberapa pertanyaan. Pertanyaan-pertanyaan
tersebut dikelompokkan menurut atribut kematangan, dan pada setiap pertanyaan
memiliki 2 (dua) jawaban yang masing-masing mewakili kondisi terkini (as is) dan
kondisi yang diharapkan (to be). Masing-masing pertanyaan mempunyai 6 (enam)
pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut tertentu
pada proses pengelolaan konfigurasi. Pilihan tersebut terdiri dari a sampai f secara
berturut-turut yang merepresentasikan tingkat kematangan yang semakin
meningkat, yakni, a=0, b=1, c=2, d=3, e=4, dan f=5.
Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang
dianggap bisa mewakili kondisi kematangan baik yang mewakili kondisi saat ini
(as is) atau pun kondisi yang diharapkan (to be). Terkait dengan atribut kematangan
tertentu dalam proses pengelolaan data dengan memberikan tanda (√) pada tempat
yang tersedia. Dengan mengetahui posisi kematangan saat ini (as is) dan posisi yang
diharapkan (to be), selanjutnya akan dilakukan analisa yang diharapkan dapat
menjadi dasar dalam pendefinisian rancangan solusi untuk perbaikan dalam proses
pengelolaan konfigurasi.
Untuk kebutuhan di atas, diharapkan Bapak/Ibu sebagai responden untuk dapat
memberikan pilihan sebagai jawaban atas pertanyaan-pertanyaan yang diberikan
dalam kuesioner ini, untuk kemudian dapat diolah dalam penelitian ini.
232
Pengertian Proses:
APO12 adalah proses yang secara berkala menentukan, menilai, dan mengurangi
risiko penggunaan Teknologi Informasi (TI) agar tetap berada pada ambang batas
risiko penggunaan TI yang sudah ditetapkan oleh perusahaan.
Tujuan Proses:
1. Menggabungkan manajemen risiko penggunaan TI dengan Enterprise Risk
Management (ERM) secara keseluruhan.
2. Menyeimbangkan biaya dan keuntungan yang didapat dari risiko
penggunaan TI.
APO12.01 (Pengumpulan Data)
Menentukan dan mengumpulkan data yang relevan untuk mengefektifkan
identifikasi risiko terkait TI, analisis, dan pelaporan.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pengelolaan
sebuah metode untuk
pengumpulan,
penggolongan, dan
analisis data penggunaan
TI yang mencakup semua
kegiatan yang melibatkan
penggunaan TI.
Seperti apa tingkat
penyimpanan semua data,
baik dari lingkungan
internal atau pun eksternal
perusahaan yang dapat
memengaruhi manajemen
risiko TI.
Sejauh mana penelitian
terhadap semua rekam
jejak peristiwa yang terkait
risiko dan
kehilangan/pencurian data
Nama Responden
Jabatan Responden
233
dari berbagai sumber
dilakukan. (contohnya,
tren yang sedang
berkembang, database
perusahaan, dan insiden
pada industri yang sama
dengan perusahaan).
Seperti apa pengumpulan
dan penyimpanan semua
data yang terkait dengan
kegiatan/peristiwa yang
sudah/akan memengaruhi
penggunaan TI,
memengaruhi program TI,
memengaruhi
penyampaian suatu
proyek, dan penyampaian
pelayanan TI.
Seperti apa tingkat
pengelolaan data dan
penentuan faktor-faktor
penting pada
peristiwa/kegiatan
perusahaan.
Bagaimana penentuan
kondisi tertentu yang
ada/tidak ada saat terjadi
insiden/peristiwa suatu
risiko.
Bagaimana penentuan
kondisi yang ditemukan
pada aktivitas-aktivitas
yang memengaruhi
frekuensi
insiden/peristiwa risiko
tersebut, serta dampaknya
pada besarnya kerugian.
Sejauh mana tingkat
pelaksanaan analisis
secara berkala terhadap
faktor-faktor risiko untuk
mengetahui potensi
kemunculan risiko baru
dan memahami faktor-
faktor risiko
234
internal/eksternal yang
berhubungan.
APO12.02 (Analisis Risiko)
Memberikan informasi yang berguna untuk membantu proses pemilihan risiko yang
mempertimbangkan relevansi bisnis dari faktor-faktor risiko.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Seperti apa penetapaan
jangkauan wilayah dari
usaha-usaha analisis
risiko, dengan
mempertimbangkan faktor
dan aset bisnis yang
krusial serta keuntungan
finansialnya.
Bagaimana pembuatan
berbagai macam skenario
risiko TI (baik yang terjadi
berurutan atau secara tiba-
tiba).
Sejauh mana tingkat
penentuan cara untuk
menangani skenario-
skenario risiko TI
(tindakan-tindakan
tertentu, kemampuan, dan
penanganan terukur
lainnya).
Memperbarui secara rutin
skenario-skenario risiko
TI.
Memperkirakan frekuensi
dan besarnya
kerugian/keuntungan dari
skenario-skenario risiko TI
dengan
mempertimbangkan
semua faktor yang
memengaruhinya dan
risiko residual (risiko yang
tetap ada setelah
235
manajemen menerapkan
penanganan risiko).
Membandingkan risiko
residual terhadap ambang
batas risiko perusahaan.
Menentukan penanganan
risiko dari hasil
perbandingan risiko
residual dengan ambang
batas risiko perusahaan.
Melakukan analisis biaya
dari berbagai pilihan
penanganan risiko
(contohnya, menghindari,
mengurangi, mencegah,
memindahkan, dan
memanfaatkannya) agar
dapat melakukan
penanganan yang optimal.
Menentukan kebutuhan-
kebutuhan khusus pada
proyek atau program yang
akan menerapkan
penanganan risiko.
Menentukan kebutuhan
dan prediksi pada suatu
kegiatan khusus untuk
pencegahan risiko.
Mengesahkan hasil dari
analisis risiko yang sudah
diselaraskan dengan risiko
perusahaan- dan sudah
diteliti agar bebas dari
bias, sebelum
menggunakan analisis
risiko tersebut pada
pengambilan keputusan.
236
APO12.03 (Memelihara Profil Risiko)
Mengelola penyimpanan risiko-yang-sudah-diketahui dan atribut risiko (termasuk
perkiraan frekuensi, potensi dampaknya, dan penanganannya ) dan sumber-sumber
terkait, kapabilitas dan aktivitas-aktivitas pengendalian saat ini.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pengadaan
inventaris proses-proses
bisnis, personel
pendukung, aplikasi,
infrastruktur, fasilitas,
catatan manual kritis,
vendor, supplier dan
outsourcer, dan dokumen
yang terkait dengan
proses-proses manajemen
pelayanan dan sumber-
sumber infrastruktur TI.
Bagaimana penentuan
layanan-layanan TI dan
sumber infrastruktur TI
yang bisa menopang
operasi dari proses-proses
bisnis.
Sejauh mana pelaksanaan
analisis ketergantungan
dan kelemahan dari
layanan-layanan TI dan
sumber infrastruktur yang
menopang operasi proses
bisnis.
Bagaimana
pengelompokkan terkait
skenario risiko TI saat ini
berdasarkan kategori, lini
bisnis, dan area fungsinya.
Sejauh mana pengumpulan
secara rutin terkait semua
informasi profil risiko
dalam satu dokumen profil
risiko.
Sejauh mana penetapan
terkait suatu kumpulan
237
indikator risiko yang bisa
mengenali dengan cepat
serta mengawasi risiko
saat ini dan tren risiko
yang sedang berkembang,
berdasarkan semua data
dari profil risiko.
Sejauh mana pengumpulan
terkait informasi dari
peristiwa/insiden risiko TI
yang telah terjadi untuk
disertakan pada profil
risiko perusahaan.
Sejauh mana pengumpulan
terkait informasi status
rencana penanganan risiko
untuk disertakan pada
profil risiko perusahaan.
APO12.04 (Memperjelas Risiko)
Menyediakan informasi keadaan penggunaan TI saat ini dan peluang-peluang yang
bisa dimanfaatkan oleh para stakeholder untuk penanganan risiko yang tepat.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pelaporan
hasil analisis risiko kepada
semua stakeholder yang
terlibat, dalam bentuk
informasi yang berguna
untuk mendukung
pengambilan keputusan
perusahaan.
Pada pelaporan hasil
analisis risiko,
menyertakan
kemungkinan-
kemungkinan,
kerugian/keuntungan, dan
kemampuan perusahaan
agar manajemen dapat
menyeimbangkan antara
risiko dengan dampak
yang diberikannya.
238
Sejauh mana penyediaan
laporan tentang berbagai
macam kemungkinan
skenario risiko-bahkan
skenario terburuk, uji
kelayakan, pertimbangan
hukum dan peraturan yang
berlaku kepada para
pembuat keputusan.
Bagaimana pelaporan
profil risiko perusahaan
saat ini kepada semua
stakeholder (efektivitas
proses manajemen risiko,
efektivitas
pengendaliannya,
kesenjangan,
inkonsistensi,
ketergantungan, status
perbaikan, dan dampaknya
pada profil risiko)
Bagaimana peninjauan
ulang terkait hasil dari
penilaian aplikasi pihak
ketiga, audit internal, dan
penilaian quality
assurance (kualitas
layanan), kemudian
memetakannya pada profil
risiko.
Sejauh mana pemeriksaan
kesenjangan (gap) yang
sudah diidentifikasi pada
profil risiko, untuk
memastikan apa yang
dibutuhkan pada analisis
risiko tambahan.
Bagaimana melakukan
identifikasi peluang-
peluang pada risiko yang
saling berhubungan dan
dengan kapasitas risiko
yang sama, agar bisa
meningkatkan dampak
keuntungan yang
diberikan, secara berkala.
239
APO12.05 (Mendefinisikan Portofolio Kegiatan Manajemen Risiko )
Mengelola peluang-peluang untuk mengurangi risiko ke level yang bisa diterima
dalam bentuk portofolio.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pemeliharaan
penyimpanan dari
aktivitas-aktivitas
pengendalian, agar bisa
dikelola dengan baik dan
tetap sejalan dengan
ambang batas risiko yang
sudah ditetapkan
perusahaan.
Sejauh mana tingkat
pengelompokkan
aktivitas-aktivitas
pengendalian agar
semuanya bisa dipetakan
pada laporan dan
dokumentasi risiko TI.
Memastikan setiap
pengawasan risiko sudah
terorganisir dengan baik
dan berada pada ambang
batas yang sudah
ditentukan.
Menentukan proposal-
proposal proyek yang
dirancang untuk
mengurangi risiko
dan/atau proyek yang
menghasilkan peluang-
peluang strategis
perusahaan, yang
mempertimbangkan
biaya/keuntungan serta
dampak pada profil risiko
saat ini dan pada peraturan
yang berlaku.
240
APO12.06 (Respon Terhadap Risiko)
Melakukan penanganan tepat waktu sesuai dengan pengukuran-pengukuran yang
efektif untuk membatasi dampak kerugian dari peristiwa/kejadian insiden TI.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Mengelola rencana
pengetesan pada
penanganan yang akan
diambil ketika ada
peristiwa/insiden risiko
yang bisa berdampak
serius pada bisnis.
Memastikan rencana
pengetesan memiliki
mekanisme pengaturan,
terkait dampak/efeknya
pada setiap lini
perusahaan.
Mengelompokkan insiden-
insiden yang sudah terjadi,
dan membandingkan
dampak nyatanya dengan
ambang batas risiko.
Melaporkan dampak dari
insiden yang terjadi
kepada para pengambil
keputusan.
Memperbarui profil risiko
saat terjadi insiden.
Menerapkan rencana
penanganan yang
tepat/cocok untuk
meminimalkan dampak
risiko dari insiden yang
terjadi.
Meneliti kerugian yang
pernah terjadi dan peluang
bisnis yang hilang serta
menentukan akar
masalahnya.
Menginformasikan akar
permasalahan, apa yang
dibutuhkan jika ada
241
penanganan risiko-
tambahan, dan
peningkatan/perbaikan
pada suatu proses kepada
para pengambil keputusan.
Memastikan bahwa
penyebab, kebutuhan
untuk penanganan, dan
peningkatan/perbaikan
suatu proses dimasukkan
dalam proses-proses tata
kelola/pengambilan
keputusan terkait risiko.
242
Lampiran 4 Kuisioner Penelitian II (Proses APO13)
KUESIONER 2
Analisa capability level pada proses APO13-Manage Security (Mengelola
Keamanan)
Pusat Jaringan Komunikasi
Badan Meteorologi Klimatologi dan Geofisika
Kuesioner ini merupakan instrumen penelitian mahasiswa Program Studi Sistem
Informasi, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif
Hidayatullah Jakarta. Tujuan dari kuesioner ini adalah untuk memperoleh data dari
manajemen Gandengtangan.org sebagai pihak yang terkait khususnya pada bagian
yang termasuk pada RACI COBIT 5 dalam APO13-Manage Security.
Kuesioner capability level ini dikembangkan untuk mengetahui tingkat kematangan
pada proses pengelolaan data baik untuk kondisi saat ini (as is), maupun untuk
kondisi yang diharapkan (to be), yang selanjutnya dapat dijadikan dasar yang cukup
untuk mengidentifikasi prioritas peningkatan (improvement).
Untuk mempermudah responden dalam menjawab, kuesioner ini didesain dalam
format pilihan ganda, yang terdiri dari beberapa pertanyaan. Pertanyaan-pertanyaan
tersebut dikelompokkan menurut atribut kematangan, dan pada setiap pertanyaan
memiliki 2 (dua) jawaban yang masing-masing mewakili kondisi terkini (as is) dan
kondisi yang diharapkan (to be). Masing-masing pertanyaan mempunyai 6 (enam)
pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut tertentu
pada proses pengelolaan konfigurasi. Pilihan tersebut terdiri dari a sampai f secara
berturut-turut yang merepresentasikan tingkat kematangan yang semakin
meningkat, yakni, a=0, b=1, c=2, d=3, e=4, dan f=5.
Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang
dianggap bisa mewakili kondisi kematangan baik yang mewakili kondisi saat ini
(as is) atau pun yang kondisi yang diharapkan (to be). Terkait dengan atribut
kematangan tertentu dalam proses pengelolaan data dengan memberikan tanda (√)
pada tempat yang tersedia. Dengan mengetahui posisi kematangan saat ini (as is)
dan posisi yang diharapkan (to be), selanjutnya akan dilakukan analisa yang
diharapkan dapat menjadi dasar dalam pendefinisian rancangan solusi untuk
perbaikan dalam proses pengelolaan konfigurasi.
Untuk kebutuhan di atas, diharapkan Bapak/Ibu sebagai responden untuk dapat
memberikan pilihan sebagai jawaban atas pertanyaan-pertanyaan yang diberikan
dalam kuesioner ini, untuk kemudian dapat diolah dalam penelitian ini.
243
Pengertian Proses:
APO13 adalah proses yang mendefinisikan, menjalankan, dan mengawasi sebuah
sistem untuk manajemen keamanan informasi.
Tujuan Proses:
Menjaga dampak dan peristiwa dari insiden keamanan informasi berada pada
ambang batas risiko yang sudah ditetapkan oleh perusahaan.
APO13.01 (Membuat dan Memelihara Sistem Manajemen Keamanan Informasi)
Membuat dan memelihara sistem manajemen keamanan informasi (SMKI) yang
menyediakan standar, formal, dan pendekatan manajemen keamanan informasi
yang berkelanjutan, menyediakan teknologi yang aman dan proses-proses bisnis
yang selaras dengan kebutuhan bisnis dan manajemen keamanan perusahaan.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana penentuan
jangkauan dan batasan dari
Sistem Manajemen
Keamanan Informasi
(SMKI) sesuai dengan
aturan dan karakteristik
dari perusahaan,
organisasi, lokasi, aset,
dan teknologi dari
perusahaan.
Bagaimana penyertaan
detail dari tingkat dasar
pembenaran untuk setiap
pengecualian pada
jangkauan SMKI.
Sejauh mana pembuatan
SMKI yang berkoordinasi
dengan peraturan
perusahaan dan selaras
dengan perusahaan,
Nama Responden
Jabatan Responden
244
organisasi, lokasi, aset dan
tekonlogi dari perusahaan.
Bagaimana tingkat
penyelarasan SMKI
dengan semua pendekatan
perusahaan pada
manajemen keamanan.
Sejauh mana tingkat
kewenangan pihak yang
mengelola SMKI untuk
menerapkan dan
menjalankan atau
mengubah SMKI.
Sejauh mana persiapan
dan pemeliharaan sebuah
laporan/dokumen
penerapan, yang
menjelaskan jangkauan
dari SMKI.
Sejauh mana penentuan
dan penginformasian
peran dan tanggung jawab
dari manajemen keamanan
informasi.
Sejauh mana komunikasi
pendekatan/peraturan
SMKI pada setiap lini
perusahaan.
APO13.02 (Menentukan dan Mengatur Rencana Penanganan Risiko Keamanan
Informasi)
Mengelola perencanaan keamanan informasi yang menjelaskan bagaimana risiko
keamanan informasi harus dikelola dan selaras dengan strategi dan infrastruktur
perusahaan. Memastikan bahwa rekomendasi untuk menerapkan peningkatan
keamanan berdasarkan kasus bisnis yang sudah disetujui dan diterapkan sebagai
bagian dari pengembangan pelayanan dan solusi, kemudian dijalankan sebagai
bagian dari operasi bisnis.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana perumusan
dan pemeliharaan terkait
rencana penanganan risiko
245
keamanan informasi yang
selaras dengan tujuan
strategis dan arsitektur
perusahaan.
Bagaimana memastikan
rencana terkait
penanganan risiko
keamanan informasi dapat
menentukan solusi
keamanan yang cocok dan
optimal, sesuai dengan
sumber daya yang ada,
pertanggungjawaban dan
mengutamakan
pengelolaan risiko
keamanan informasi yang
sudah ditentukan.
Sejauh mana pemeliharaan
(sebagai bagian dari
arsitektur perusahaan)
penyimpanan dari bagian-
bagian solusi yang
bertujuan untuk mengelola
risiko keamanan terkait.
Bagaimana usul/proposal
untuk menerapkan rencana
penanganan risiko
keamanan informasi, yang
didukung dengan kasus
bisnis yang sesuai,
pertimbangan pendanaan,
dan alokasi dari peran dan
pertanggungjawaban.
Bagaimana penyediaan
mekanisme untuk
memberi masukan kepada
perancangan dan
pengembangan praktik-
praktik manajemen dan
solusi-solusi terpilih dari
rencana penanganan risiko
keamanan.
Sejauh mana penentuan
pengukuran efektivitas
dari praktik-praktik
manajemen terpilih dan
246
menentukan bagaimana
pengukuran ini digunakan
untuk menilai efektivitas
praktik dan hasil
pengulangannya (praktik
yang dilakukan terus-
menerus).
Bagaimana rekomendasi
pelatihan keamanan
informasi dan program-
program yang melatih
kesadaran keamanan
informasi.
Bagaimana
mengintegrasikan
perencanaan,
perancangan, penerapan
dan pengawasan dari
prosedur keamanan
informasi dan pengaturan
lainnya yang mampu
untuk menyediakan
pencegahan secara cepat,
deteksi dari peristiwa
keamanan- dan
penanganan terhadap
insiden-insiden keamanan.
APO13.03 (Mengawasi dan Meninjau Sistem Manajemen Keamanan Informasi
(SMKI))
Mengelola dan secara berkala mengomunikasikan kebutuhan dan keuntungan dari
peningkatan/perbaikan keamanan informasi yang berkelanjutan. Mengumpulkan
dan menganalisis data mengenai SMKI, dan meningkatkan efektivitas dari SMKI.
Mengampanyekan budaya keamanan dan peningkatannya secara berkelanjutan.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Bagaimana dalam
melakukan penilaian
efektivitas dari SMKI
termasuk menyelaraskan
peraturan-peraturan SMKI
dengan tujuan-tujuannya,
247
dan memeriksa kegiatan-
kegiatan keamanan.
Bagaimana dalam
mempertimbangkan hasil
dari audit keamanan,
insiden, dan hasil dari
pengukuran efektivitas,
saran dan umpan balik dari
semua pihak-pihak yang
berkepentingan.
Sejauh mana pengadaan
terkait audit internal SMKI
yang sudah dijadwalkan
pada interval waktu
tertentu.
Bagaimana melakukan
peninjauan manajemen
SMKI secara berkala
untuk memastikan bahwa
jangkauannya tetap
memadai dan peningkatan
pada proses-proses SMKI
sudah diidentifikasi.
Bagaimana penyediaan
masukan pada
maintenance dari rencana-
rencana keamanan, yang
mempertimbangkan
temuan-temuan dari
aktivitas pengawasan dan
pemeriksaan.
Bagaimana melakukan
pencatatan dari
kegiatan/tindakan dan
peristiwa yang dapat
berdampak pada
efektivitas atau kinerja dari
SMKI.
248
Lampiran 5 Kuisioner Penelitian III (Proses DSS05)
KUESIONER 3
Analisa capability level pada proses DSS05-Manage Security Services
(Mengelola Keamanan Layanan)
Pusat Jaringan Komunikasi
Badan Meteorologi Klimatologi dan Geofisika
Kuesioner ini merupakan instrumen penelitian mahasiswa Program Studi Sistem
Informasi, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif
Hidayatullah Jakarta. Tujuan dari kuesioner ini adalah untuk memperoleh data dari
manajemen Gandengtangan.org sebagai pihak yang terkait khususnya pada bagian
yang termasuk pada RACI COBIT 5 dalam DSS05-Manage Security Services.
Kuesioner capability level ini dikembangkan untuk mengetahui tingkat kematangan
pada proses pengelolaan data baik untuk kondisi saat ini (as is), maupun untuk
kondisi yang diharapkan (to be), yang selanjutnya dapat dijadikan dasar yang cukup
untuk mengidentifikasi prioritas peningkatan (improvement).
Untuk mempermudah responden dalam menjawab, kuesioner ini didesain dalam
format pilihan ganda, yang terdiri dari beberapa pertanyaan. Pertanyaan-pertanyaan
tersebut dikelompokkan menurut atribut kematangan, dan pada setiap pertanyaan
memiliki 2 (dua) jawaban yang masing-masing mewakili kondisi terkini (as is) dan
kondisi yang diharapkan (to be). Masing-masing pertanyaan mempunyai 6 (enam)
pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut tertentu
pada proses pengelolaan konfigurasi. Pilihan tersebut terdiri dari a sampai f secara
berturut-turut yang merepresentasikan tingkat kematangan yang semakin
meningkat, yakni, a=0, b=1, c=2, d=3, e=4, dan f=5.
Pada kolom “Jawaban”, responden dapat memilih salah satu jawaban yang
dianggap bisa mewakili kondisi kematangan baik yang mewakili kondisi saat ini
(as is) atau pun yang kondisi yang diharapkan (to be). Terkait dengan atribut
kematangan tertentu dalam proses pengelolaan data dengan memberikan tanda (√)
pada tempat yang tersedia. Dengan mengetahui posisi kematangan saat ini (as is)
dan posisi yang diharapkan (to be), selanjutnya akan dilakukan analisa yang
diharapkan dapat menjadi dasar dalam pendefinisian rancangan solusi untuk
perbaikan dalam proses pengelolaan konfigurasi.
Untuk kebutuhan di atas, diharapkan Bapak/Ibu sebagai responden untuk dapat
memberikan pilihan sebagai jawaban atas pertanyaan-pertanyaan yang diberikan
dalam kuesioner ini, untuk kemudian dapat diolah dalam penelitian ini.
Nama Responden
249
Pengertian Proses:
DSS05 adalah proses yang bertujuan untuk melindungi informasi perusahaan dan
menjaga agar level dari ambang batas risiko pada perusahaan selaras dengan
peraturan keamanan yang ada. Serta membuat dan mengelola peran keamanan
informasi dan hak akses dan melakukan pengawasan keamanan.
Tujuan Proses:
Meminimalkan dampak dari celah/kelemahan dan insiden keamanan informasi
pada bisnis.
DSS05.01 (Melindungi dari Malware)
Menerapkan dan mengelola pencegahan, penyelidikan dan perbaikan terukur pada
(Terutama melakukan pembaruan terkini pada patch keamanan dan pengendalian
virus) seluruh lini perusahaan untuk melindungi sistem informasi dan teknologi dari
malware (seperti, virus, worm, spyware, dan spam).
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pemberian
informasi mengenai
kesadaran terhadap
malicious software.
Bagaimana dalam
melakukan prosedur-
prosedur pencegahan
malware dan pihak-pihak
yang bertanggung jawab.
Bagaimana dalam
melakukan pemasangan
dan mengaktifkan tool-
tool perlindungan dari
malware pada semua
fasilitas pemrosesan,
dengan informasi
mengenai malware yang
terus diperbarui (secara
otomatis atau semi
otomatis).
Sejauh mana
pendistribusian terkait
software keamanan secara
Jabatan Responden
250
terpusat (versi dan patch-
nya) dengan menggunakan
pengaturan terpusat dan
manajemen perubahan.
Bagaimana dalam
melakukan penilaian dan
evaluasi terkait potensi
ancaman baru (contohnya,
meninjau ulang produk-
produk dari vendor dan
konsultan pelayanan
keamanan)
Sejauh mana terkait
penyaringan data yang
masuk, seperti email dan
downloads, untuk
melindungi dari informasi
yang tidak diinginkan
(seperti, spyware, phising
emails)
Sejauh mana pelatihan
secara rutin tentang
malware pada penggunaan
email dan penggunaan
internet.
Bagaimana melatih para
pengguna (karyawan)
untuk tidak melakukan
instalasi software yang
tidak dikenal atau software
yang tidak diizinkan oleh
perusahaan.
DSS05.02 (Mengelola Jaringan dan Konektivitas Keamanan)
Menggunakan pengukuran-pengukuran keamanan dan prosedur-prosedur
manajemen terkait untuk melindungi informasi pada semua metode konektivitas.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pengelolaan
peraturan terkait
keamanan konektivitas
dengan
mempertimbangkan
251
penilaian risiko dan
kebutuhan bisnis.
Sejauh mana perizinan
terkait perangkat yang
sudah diotorisasi
perusahaan untuk
mengakses informasi dan
jaringan perusahaan.
Bagaimana memastikan
perangkat yang dipakai
dalam perusahaan
dilindungi dengan
password untuk
menggunakannya.
Bagaimana penggunaan
mekanisme filter jaringan,
seperti firewall dan
software pendeteksi
gangguan, dengan
menerapkan peraturan
yang mengatur data yang
masuk dan keluar dari
perusahaan.
Bagaimana melakukan
enkripsi informasi pada
saat transfer atau
pengiriman informasi
sesuai dengan tingkat
kerahasiaannya.
Sejauh mana penerapan
protokol keamanan yang
sudah disetujui oleh
perusahaan pada
konektivitas jaringan.
Bagaimana pengaturan
konfigurasi jaringan
terkait penerapan standar
keamanan tertentu.
Bagaimana pembuatan
mekanisme khusus untuk
mendukung keamanan
pengiriman dan
penerimaan informasi.
Bagaimana melakukan
pengetesan secara berkala
terkait penetrasi untuk
252
memastikan perlindungan
keamanan pada jaringan
perusahaan.
Bagaimana melakukan
pengetesan secara berkala
pada sistem keamanan
untuk memastikan
perlindungan keamanan
pada sistem kemanan
perusahaan berjalan
dengan baik.
DSS05.03 (Mengelola Keamanan Perangkat)
Memastikan setiap perangkat ( contohnya, laptop, dekstop, server, dan perangkat
mobile lainnya dan perangkat jaringan atau software) sudah aman (terlindungi)
sesuai dengan persyaratan keamanan pada pemrosesan, penyimpanan atau
pengiriman informasi.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Bagaimana memastikan
sistem operasi yang
dipakai sudah mengikuti
standar keamanan tertentu
(contohnya, sudah
memakai antivirus dan di-
update secara berkala).
.
Sejauh mana penerapan
mekanisme penguncian
(perlindungan akses)
perangkat.
Bagaimana melakukan
enkripsi informasi pada
tempat penyimpanan
informasi sesuai dengan
tingkat kerahasiaannya.
Bagaimana pengaturan
akses dan pengendalian
jarak jauh (remote access)
pada perangkat
perusahaan.
Sejauh mana pengelolaan
terkait konfigurasi
253
jaringan sesuai dengan
standar keamanan tertentu.
Bagaimana penerapan
penyaringan (filtering)
jaringan internet pada
semua perangkat yang
digunakan.
Bagaimana memastikan
semua perangkat yang
dibutuhkan untuk
menjalankan sistem
operasi (hardware,
software, dan data) sudah
terlindungi dengan baik
agar bisa digunakan dalam
setiap kondisi.
Bagaimana penyediaan
perlindungan fisik pada
setiap perangkat yang
digunakan (contohnya,
perlindungan dari
pencurian dan bencana
alam).
Bagaimana memastikan
perangkat perusahaan
yang akan dijual atau tidak
akan digunakan lagi sudah
tidak lagi menyimpan
informasi atau akses
penting perusahaan.
DSS05.04 (Mengelola Identitas Pengguna dan Akses Jarak Jauh Perangkat)
Memastikan setiap pengguna mempunyai hak akses untuk informasi yang mereka
butuhkan terkait kebutuhan bisnis mereka dan melakukan koordinasi dengan unit
bisnis yang mengelola hak akses mereka sendiri dalam proses bisnis.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Bagaimana pengelolaan
terkait hak akses pengguna
berdasarkan fungsi bisnis
dan kebutuhan proses.
.
Bagaimana menyelaraskan
manajemen dari identitas
254
dan hak akses untuk
mengetahui peran dan
tanggung jawabnya,
berdasarkan prinsip-
prinsip hak akses paling
kecil, kebutuhan untuk hak
akses, dan kebutuhan
untuk mengetahui
informasi.
Bagaimana pemberian
nama unik/khusus untuk
setiap aktivitas
pemrosesan informasi
berdasarkan peran-peran
fungsinya.
Bagaimana melakukan
koordinasi dengan unit-
unit bisnis untuk
memastikan bahwa semua
peran sudah diketahui
dengan jelas, termasuk
peran yang menjelaskan
bisnis itu sendiri damal
aplikasi-aplikasi proses
bisnis.
Bagaimana memberikan
hak akses terhadap
informasi perusahaan
sesuai dengan hak akses
pengguna, dengan terlebih
dahulu berkoordinasipada
unit bisnis yang mangatur
hak penggunaan aplikasi
pada proses bisnis, untuk
memastikan hak akses
sudah diberikan secara
benar.
Sejauh mana pengelolaan
semua perubahan pada hak
akses (pembuatan,
perubahan, dan
penghapusan).
Sejauh mana pemisahan
dan pengaturan akun untuk
hak akses istimewa
(khusus).
255
Bagaimana melakukan
peninjauan ulang secara
berkala terkait manajemen
pada semua akun hak
akses dan akun hak akses
istimewa (khusus) terkait.
Bagaimana memastikan
semua pengguna (internal,
eksternal, dan sementara)
dan semua aktivitas
mereka pada sistem TI
(aplikasi bisnis,
infrsstruktur TI, sistem
operasi, pengembangan,
dan maintenance)
Diberikan identitas yang
unik (berbeda-beda satu
sama lain).
Bagaimana proses
pemberian ID (identitas)
pada semua aktivitas
pemrosesan informasi oleh
pengguna secara unik
(berbeda-beda satu sama
lain)
Sejauh mana pengelolaan
terkait rekam jejak
terhadap pengaksesan
informasi perusahaan yang
bersifat rahasia dan sangat
sensitif.
DSS05.05 (Mengelola Akses pada Aset/Perangkat TI)
Membuat dan menerapkan prosedur untuk pemberian, pembatasan, dan pencabutan
akses pada area dan gedung berdasarkan pada kebutuhan bisnis, termasuk di saat-
saat darurat. Akses pada area dan gedung harus punya wewenang untuk bisa masuk
dan juga harus tetap diawasi. Semua ketentuan ini harus berlaku untuk semua staff,
staff sementara, klien, vendor, pengunjung atau setiap pihak luar lainnya.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana proses
permintaan dan pemberian
.
256
akses pada fasilitas-
fasilitas TI.
Bagaimana proses formal
(ID, formulir permintaan,
dan pemberian akses dari
manajemen TI pada tempat
yang dikunjungi) pada
pemrosesan akses fasilitas
TI, dokumen mengenai
akses tersebut harus
menjelaskan secara
spesifik area mana saja
yang bisa diakses.
Bagaimana memastikan
profil (dokumen)
pengaksesan tetap aktual,
dengan
mempertimbangkan fungsi
kerja (ruangan server,
gedung, area, dan zona
tertentu) dan
tanggungjawab
pekerjaannya.
Sejauh mana pencatatan
dan pengawasan semua
titik akses pada fasilitas-
fasilitas TI, mendaftarkan
semua pengunjung
termasuk juga kontraktor
dan vendor.
Sejauh mana proses
mewajibkan setiap
karyawan untuk selalu
memakai ID card.
Bagaimana memastikan
proses pembuatan ID card
melalui proses pemberian
akses yang benar dan
sesuai dengan fungsi
kerjanya.
Setiap pengunjung harus
ditemani selama dalam
masa kunjungan.
Jika ada seseorang yang
tidak dikenal dan tidak
menggunakan ID card,
257
lakukan pelaporan pada
pihak keamanan.
Setiap tempat/perangkat
TI yang sensitif dilindungi
dengan perangkat
keamanan pada pintu
masuk/keluar (Fingerprint
scanner, kartu akses dsb)
dan pemasangan kamera
keamanan.
Sejauh mana pelaksanaan
pelatihan mengenai
kesadaran akan keamanan
fisik perangkat TI secara
berkala.
DSS05.06 (Mengelola Dokumen Sensitif dan Perangkat Output)
Membuat pengamanan fisikal, kegiatan akuntansi/laporan dan manajemen
inventaris pada perangkat TI yang rentan/penting/sensitif, seperti formulir khusus,
negotiable instruments, printer khusus atau security token.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana pembuatan
prosedur yang menentukan
penerimaan, penggunaan,
penghapusan dari formulir
khusus dan perangkat
output, baik yang masuk,
di dalam, dan yang keluar
dari perusahaan.
.
Bagaimana proses
pembuatan akses istimewa
pada dokumen-dokumen
sensitif dan perangkat
output dengan
mempertimbangkan
pemberian akses
seminimal mungkin,
menyeimbangkan risiko,
dan kebutuhan bisnis.
Sejauh mana pembuatan
terkait penyimpanan
khusus untuk dokumen-
258
dokumen sensitif dan
perangkat-perangkat
output, serta melakukan
pemeriksaan ulang secara
berkala.
Sejauh mana perlindungan
tempat penyimpanan dari
formulir khusus dan
perangkat-perangkat
sensitif, misalnya dengan
menguncinya atau akses
khusus untuk
menggunakannya.
Bagaimana penghancuran
informasi-informasi
sensitif pada dokumen
atau data yang sudah tidak
terpakai (contohnya,
menghancurkan semua
dokumen yang berisikan
data-data sensitif sebelum
dibuang dan
menghancurkan perangkat
penyimpanan (flashdisk,
harddisk dll))
DSS05.07 (Mengawasi Infrastruktur untuk Peristiwa/Kejadian Terkait Keamanan)
Menggunakan perangkat pendeteksi gangguan, mengawasi infrastruktur untuk
pencegahan akses pihak yang tidak berwenang dan memastikan setiap
peristiwa/kejadian terintegrasi dengan proses pengawasan utama dan manajemen
insiden.
Aktivitas proses
Saat ini (As is) Yang diharapkan (To
be)
a b c d e f a b c d e f
Sejauh mana aktifitas
pencatatan laporan
peristiwa terkait kemanan
dengan alat/software
pengawasan keamanan,
serta melakukan
identifikasi level informasi
yang akan disimpan
berdasarkan pada
pertimbangan risiko.
.
259
Sejauh mana proses
penyimpanan informasi
peristiwa keamanan dalam
jangka waktu tertentu
untuk membantu dalam
investigasi di masa yang
akan datang.
Bagaimana proses
penentuan dan
penjelaskan/penginformas
ian sifat dan karakteristik
dari insiden-insiden yang
berhubungan dengan
keamanan agar bisa
dengan mudah
diidentifikasi dan
dampaknya bisa dilakukan
penanganan yang tepat.
Secara berkala melakukan
peninjauan ulang pada
catatan peristiwa/kejadian
untuk mengidentifikasi
potensi-potensi insiden.
Sejauh mana pengelolaan
prosedur untuk
pengumpulan bukti yang
sesuai dengan
aturan/hukum
pengumpulan bukti yang
berlaku, dan memastikan
semua karyawan/staff
sudah mengetahui
persyaratan atau
kebutuhan-kebutuhan dari
prosedur.
Memastikan pencatatan
insiden keamanan
(pembuatan tiket) dibuat
tepat waktu saat proses
pengawasan
mengidentifikasi insiden
keamanan yang berpotensi
untuk menimbulkan
dampak yang lebih jauh.
260
Lampiran 7 Wawancara Penelitian
WAWANCARA PENELITIAN
Nama : Mas Frank
Jabatan : Staff Ahli
Tanggal : Kemayoran, April 2018
P: Penanya
N: Narasumber
P : apa jabatan atau tugas dan fungsi mas Frank di BMKG ?
N: jabatan saya secara struktural sebagai staff, namun dalam hal lain saya
menjadi pembantu pengelolaan dan perancangan tata kelola TI sekaligus
sebagai arsiparis dan ikut serta dalam pembuatan dokumentasi setiap
kegiatan yang dijalankan.
P: apa saja proses bisnis yang dikerjakan Pusat Jaringan Komunikasi dalam
BMKG ?
N: dalam hal ini Pusat Jaringan Komunikasi mengacu kepada tugas dan fungsi
Subbidang Manajemen Teknologi Informasi yaitu melakukan penyiapan
bahan perumusan kebijakan teknis, pemberian bimbingan teknis,
pembinaan teknis dan pengendalian terhadap kebijakan teknis, koordinasi
kegiatan fungsional dan kerja sama di bidang manajemen teknologi
261
informasi. Oleh karena itu kita sangat berfokus terhadap pengelolaan
kebijakan teknis terkait aset yang kita miliki terutama ruang Data Center.
P: Dalam pengelolaan dan perancangan tata kelola TI, apa saja kendala yang
dihadapi Pusat Jaringan Komunikasi?
N: Kendala yang saat ini tengah dialami adalah tentang pengelolaan hak akses
dan pengelolaan kunjungan terhadap ruang Data Center. Pusat Database di
BMKG terletak pada gedung A dan di kelola oleh Pusat Jaringan
Komunikasi, oleh karena itu kita dituntut dalam memaksimalkan keamanan
TI agar tidak terjadi kebocoran data ataupun kerusakan asset. Namun dalam
pelaksanaannya akses terhadap asset tersebut masih terlalu fleksibel dan
memiliki resiko yang tinggi, sebagai contoh setiap bidang pada Pusat
Jaringan Komunikasi memiliki vendor teknisi server yang berbeda beda
dalam mengelola server, sedangkan penempatan server hanya di satu
ruangan dan bergabung dengan server bagian lain, teknisi dari vendor
tersebut tidak selalu orang yang sama yang dikirim oleh vendor (kadang
berbeda orang) dan dapat masuk untuk maintenance atau perbaikan jika
dibutuhkan. Ini yang mengakibatkan resiko tinggi terhadap kebocoran data
dan asset fisik.
P: apa solusi dari divisi IT terkait permasalahan tersebut ?
N: untuk solusi sudah dilakukan sesuai dengan Profil Risiko yang dibuat Pusat
Jaringan Komunikasi. Hanya saja pengelolaan akses dan kunjungan masih
sebatas pendataan diri teknisi terkait.
262
P: Sampai saat ini, bagaimana penerapan IT dalam Pusat Jaringan
Komunikasi? apakah sudah optimal untuk mendukung kegiatan kerja unit
lain atau sebagaimana dengan tugas dan fungsinya ?
N: Sampai saat ini sudah mengimplementasikan IT dalam mendukung kegiatan
kerja Pusat Jaringan Komunikasi. Namun dalam pendokumentasian insiden,
klasifikasi insiden yang didokumentasikan hanya jika berdampak besar.
Banyak insiden kecil yang sanggup ditangani oleh teknisi BMKG yang
tidak didokumentasikan karena tidak berpengaruh terhadap kinerja BMKG.
Seperti contoh, sering terjadi deface terhadap web resmi BMKG namun
tidak di dokumentasikan karena hanya masuk ke front end aplikasi web nya
saja, sedangkan databasenya tetap aman.
P: Apakah ada tugas dan fungsi sesuai organinasi yang spesifik untuk
pemetaan responden sesuai RACI ?
N: Dalam hal ini belum ada penjabaran tugas dan fungsi hanya saja staff disini
sudah tau pekerjaannya apa dan melakukan apa, semua staff disini
mengikuti tugas dan fungsi Pusat Jaringan Komunikasi itu sendiri namun
beda hal nya dengan jabatan fungsional yaitu senior yang bertugas
memberikan arahan sesuai dengan pengalaman dan pengetahuannya. Coba
kamu tulis penjabaran arti dari setiap Rules and Organisational Structure
yang digabungkan dengan RACI. Nanti saya yang isi siapa saja orang yang
bertanggung jawab atau orang yang mengerti.
P: Business Process Owner adalah seseorang yang bertanggung jawab pada
proses kinerja untuk mewujudkan tujuannya, mendorong perbaikan proses
263
dan menyetujui perubahan proses. #N Bpk. Ali Mas’at, S.Si, M.kom
(Kepala Sub Bidang Manajemen Teknologi Informasi)
Chief Information Security Officer adalah Pejabat senior pada organisasi
yang bertanggung jawab untuk keamanan informasi organisasi dalam segala
bentuknya.. #N Bpk. Dudi Rojudin, ST (Kepala Sub Bidang Operasional
Teknologi Komunikasi)
Chief Risk Officer adalah Seseorang yang memiliki jabatan senior pada
organisasi yang bertanggung jawab untuk semua aspek manajemen resiko
di seluruh organisasi. Bertugas mengawasi resiko yang berhubungan
dengan TI. #N Bpk. Priyatna Kusumah, S.Kom, M.T.I. (Kepala Sub
Bidang Pengembangan Teknologi Informasi)
Head of IT Operation adalah Seorang individu senior yang bertanggung
jawab atas lingkungan dan infrastruktur operasional TI. #N Bpk. Akbar,
S.Kom, M.Kom (Kepala Sub Bidang Operasional Teknologi Informasi)
Information Security Manager adalah seorang individu yang mengelola,
desain, mengawasi dan/atau menilai keamanan informasi suatu organisasi.
#N Bpk. Dudi Rojudin, ST (Kepala Sub Bidang Operasional Teknologi
Komunikasi)
Chief Information Officer adalah Pejabat senior pada organisasi yang
bertanggung jawab untuk menyelaraskan TI dan strategi bisnis serta
akuntabel untuk perencanaan, sumber daya dan mengelola pengiriman
layanan dan solusi untuk mendukung tujuan TI organisasi. #N Bpk.
264
Priyatna Kusumah, S.Kom, M.T.I. (Kepala Sub Bidang Pengembangan
Teknologi Informasi)
265
Nama : Bpk. Ali Mas’at, S.Si, M.kom
Jabatan : Kepala Sub Bidang Manajemen Teknologi Informasi
Tanggal : Kemayoran, April 2018
P: Penanya
N: Narasumber
P: Apa tugas dan fungsi Kepala Sub Bidang Manajemen Teknologi Informasi
dalam Pusat Jaringan Komunikasi ?
N: Subbidang Manajemen Teknologi Informasi mempunyai tugas melakukan
penyiapan bahan perumusan kebijakan teknis, pemberian bimbingan teknis,
pembinaan teknis dan pengendalian terhadap kebijakan teknis, koordinasi
kegiatan fungsional dan kerja sama di bidang manajemen teknologi
informasi.
P: Sampai saat ini, bagaimana penerapan IT dalam Pusat Jaringan
Komunikasi? apakah sudah optimal untuk mendukung kegiatan kerja unit
lain atau sebagaimana dengan tugas dan fungsinya ?
N: Sampai saat ini sudah mengimplementasikan IT dalam mendukung kegiatan
kerja Pusat Jaringan Komunikasi. Namun dalam pendokumentasian insiden,
klasifikasi insiden yang didokumentasikan hanya jika berdampak besar.
Banyak insiden kecil yang sanggup ditangani oleh teknisi BMKG yang
tidak didokumentasikan karena tidak berpengaruh terhadap kinerja BMKG.
Seperti contoh, sering terjadi deface terhadap web resmi BMKG namun
266
tidak di dokumentasikan karena hanya masuk ke front end aplikasi web nya
saja, sedangkan databasenya tetap aman.
P: Bagaimana keselarasan tujuan TI dengan fungsi bisnis Pusat Jaringan
Komunikasi?
N: sampai saat ini selaras dengan mengacu pada Renstra dan Kebijakan
Keamanan Informasi yang telah dibuat. Namun belum optimal dan masih
banyak yang harus ditingkatkan. Maka dari itu disini perlu dilakukan
penilaian, sudah sejauh manakah kematangan atau kemampuan TI Pusat
Jaringan Komunikasi untuk BMKG.
P: Apakah sudah pernah dilakukan audit di Pusat Jaringan Komunikasi atau
BMKG sendiri?
N: belum pernah dilakukan audit di Pusat Jaringan Komunikasi, namun BMKG
dan Pusat Jaringan Komunikasi sudah melakukan penerapan tata kelola TI
berdasarkan ISO 27001 yang diharuskan sesuai dengan peraturan
kementerian, namun masih banyak yang belum terealisasikan dan masih
dalam tahap penyesuaian. Oleh karena itu kita mengharapkan adanya audit
untuk mengetahui kekurangan dan prioritas perbaikan agar dapat
memaksimalkan penerapan tata kelola menggunakan Framework
berstandar Nasional maupun Internasional.
267
EVIDENCE/BUKTI
Lampiran 8 Profil Resiko Pusat Jaringan Komunikasi
Lampiran 9 Rencana Strategis Pusat Jaringan Komunikasi
268
Lampiran 10 Kebijakan Keamanan Informasi Pusat Jaringan Komunikasi
Lampiran 11 Blue Print Badan Meteorologi Klimatologi dan Geofisika
269
270
271
272
273