METODE PENELITIAN
B. Analisis data
1. Tingkat kelengkapan penerapan SMKI
Berdasarkan hasil pengumpulan data penelitian dapat dilakukan analisis tingkat kelengkapan penerapan SMKI BPPK dalam bentuk bar chartsebagai berikut:
Gambar 4.1 Tingkat Kelengkapan Penerapan SMKI BPPK Hasil Evaluasi: Tingkat Kematangan Tingkat Kelengkapan Penerapan KMK 479/2010 212 Peran/Tingkat Kepentingan TIK
Sumber: Hasil Olah Data Peneliti
: 21 Tingkat Ketergatung Sedang
Berdasarkan informasi pada Gambar 4.1 dapat disimpulkan bahwa:
a. Peran/Tingkat Kepentingan TIK di BPPK berada pada level Sedang (Skor: 21).
b. Sementara dari tingkat kelengkapan penerapan SMKI, BPPK berada pada level “Perlu Perbaikan”, area “Kuning”dengan total skor 212, yang merupakan jumlah dari seluruh skor rata-rata di setiap area Keamanan Informasi yang dievaluasi.
Tingkat kelengkapan penerapan SMKI juga dapat dilihat pada diagram radar berikut:
Gambar 4.2 Diagram Radar Tingkat Kelengkapan Penerapan SMKI BPPK
Sumber: Hasil Olah Data Peneliti
Pada diagram radar di atas, diagram berwarna merah muda merupakan kondisi SMKI BPPK berdasarkan hasil pengisian kuesioner oleh para responden. Dapat dicermati bahwa:
a. dari kelima area keamanan informasi yang diamati, tampak bahwa BPPK telah memiliki Pengelolaan Risiko Keamanan Informasi yang jauh lebih baik dibanding area keamanan lainnya (paling mendekati standar yang ditetapkan dalam KMK 479/2010).
b. kecuali area Kerangka Kerja Pengelolaan Keamanan Informasi, BPPK telah memenuhi setidaknya Kerja Kerja Dasar dalam pengelolaan Keamanan Informasi.
2. Tingkat Kematangan SMKI
Analisis tingkat kematangan SMKI BPPK juga dapat ditunjukkan bar charthasil pengumpulan data penelitian berikut:
I I+ - -
-BAB IV ANALISIS HASIL DAN PEMBAHASAN
Gambar 4.3 Tingkat Kematangan SMKI BPPK Hasil Evaluasi:
Tingkat Kematangan
Tingkat Kelengkapan
Penerapan KMK 479/2010 212
Peran/Tingkat Kepentingan TIK Tata Kelola
Pengelolaan Risiko : 21 : 35 : 43 Tingkat Ketergatung Tingkat Kematangan: I+ Tingkat Kematangan: II Sedang I+
Kerangka Kerja Keamanan Informas : 22 Tingkat Kematangan: I+ s/d
Pengelolaan Aset
Teknologi dan Keamanan Informasi : 66
: 46
Tingkat Kematangan: I+ II Tingkat Kematangan: I+
Sumber: Hasil Olah Data Peneliti
Tabel 4.2 Tingkat Kematangan SMKI BPPK
Sumber: Hasil Olah Data Peneliti
Berdasarkan gambar 4.3di atas, tingkat kematangan SMKI BPPK pada masing-masing area adalah:
a. Tata Kelola Keamanan Informasi
1) Skor rata-rata aspek tata kelola keamanan informasi adalah 35 atau 31% dari Skor Maksimal area ini, dengan rincian:
a) total skor sebesar 25 mewakili Tingkat Kematangan II; dan b) total skor sebesar 10 mewakili Skor Tingkat Kematangan III.
2) Skor Tingkat Kematangan II ini melampaui Skor Minimum Tingkat Kematangan II (12), namun tidak melampaui Skor Minimal Pencapaian Tingkat Kematangan II (28), dan oleh karenanya, sesuai pedoman digolongkan pada Level I+.
b. Pengelolaan Risiko Keamanan Informasi
1) Skor rata-rata aspek pengelolaan risiko keamanan informasi sebesar 43 atau 62% dari Skor Maksimal area ini, dengan rincian:
a) total skor sebesar 20 mewakili Tingkat Kematangan II; b) total skor sebesar 8 mewakili Tingkat Kematangan III;
c) total skor sebesar 8 mewakili Skor Tingkat Kematangan IV; dan d) total skor sebesar 7 mewakili Tingkat Kematangan V.
e) Ambang Batas Tingkat Kematangan III 21,6
2) Meski Total Skor Tahap Penerapan Kategori Pengamanan 1 dan 2 untuk area ini (36)lebih tinggi dari Skor Minimal untuk Kategori Pengamanan 3 (34), namun mengingat Skor Tingkat Kematangan II (20) kurang dari Ambang Batas Tingkat Kematangan III (21,6), maka pengujian atas level III tidak dapat dilanjutkan, dengan demikian area ini sesuai pedoman digolongkan pada Level II.
c. Kerangka Kerja Pengelolaan Keamanan Informasi
1) Skor rata-rata aspek kerangka kerja pengelolaan keamanan informasi keamanan informasi sebesar 22 atau hanya 15% dan merupakan yang terendah dibanding area lainnya.
a) total skor sebesar 13 mewakili Tingkat Kematangan II; dan b) total skor sebesar 9 mewakili Skor Tingkat Kematangan III.
2) Skor Tingkat Kematangan II ini melampaui Skor Minimum Tingkat Kematangan II (12), namun tidak melampaui Skor Minimal Pencapaian Tingkat Kematangan II (24), dan oleh karenanya, sesuai pedoman digolongkan pada Level I+.
BAB IV ANALISIS HASIL DAN PEMBAHASAN
d. Pengelolaan Aset Informasi
1) Skor rata-rata aspek pengelolaan aset informasi keamanan informasi sebesar 66 atau 43% dari skor maksimal area ini.
a) total skor sebesar 57 mewakili Tingkat Kematangan II; dan b) total skor sebesar 9 mewakili Skor Tingkat Kematangan III.
2) Skor Tingkat Kematangan II ini melampaui Skor Minimum Tingkat Kematangan II (25), namun tidak melampaui Skor Minimal Pencapaian Tingkat Kematangan II (62), dan oleh karenanya, sesuai pedoman digolongkan pada Level I+.
e. Teknologi dan Keamanan Informasi
1) Skor rata-rata aspek teknologi keamanan informasi sebesar 46 atau 43% dari skor maksimal area ini.
a) total skor sebesar 22 mewakili Tingkat Kematangan II; dan b) total skor sebesar 24 mewakili Skor Tingkat Kematangan III.
2) Skor Tingkat Kematangan II ini melampaui Skor Minimum Tingkat Kematangan II (17), namun tidak melampaui Skor Minimal Pencapaian Tingkat Kematangan II (26), dan oleh karenanya, sesuai pedoman digolongkan pada Level I+.
C. Pembahasan
1. Tingkat kelengkapan penerapan SMKI
Tingkat kelengkapan SMKI BPPK berdasarkan hasil pengumpulan data kuesioner Indeks KAMI menunjukkan pada area kuning pada bar chart gambar 10. Pencapaian ini memberikan petunjuk bahwa SMKI yang ada memerlukan perbaikan pada sejumlah aspek.
Prioritas perbaikan aspek-aspek tersebut berdasarkan diagram radar gambar 4.3 dan persentase capaian skor responden pada tabel 4.2 adalah Kerangka Kerja Pengelolaan Keamanan Informasi, Tata Kelola Keamanan Informasi, Pengelolaan Aset Informasi, Teknologi Keamanan Informasi, dan Pengelolaan Risiko Keamanan Informasi.
a. Kerangka Kerja Pengelolaan Keamanan Informasi
Skor Kerangka kerja dengan nilai 22 dari nilai maksimal area ini sebesar 144 (15%). Penyebab rendahnya skor Kerangka Kerja ini dapat dicermati pada tabel berikut:
Tabel 4.3 Skor Kelengkapan Area Kerangka Kerja
Status Penerapan Kategori Pengamanan total %
1 2 3
Tidak Dilakukan 3 6 7 16 62%
Dalam Perencanaan 3 1 0 4 15%
Dalam Penerapan/Diterapkan 5 1 0 6 23%
Diterapkan Secara Menyeluruh 0 0 0 0 0%
Tot 12 10 10 26 100%
Sumber: Hasil Olah Data Peneliti
Dari 26 pertanyaan pada area ini, 16 pertanyaan diantaranya (62%) direspon “Tidak Dilakukan” oleh para responden.
Sementara itu, dari tingkat kematangan (Level II s.d. V), sebanyak 8 dari 11 pertanyaan (73%) pada Level III direspon “Tidak Dilakukan”, selain itu 30% dari pertanyaan Level II juga diberi respon yang sama.
Tabel 4.4 Skor Kematangan Area Kerangka Kerja
Status Penerapan II Tingkat KematanganIII IV V total
Tidak Dilakukan 3 8 3 2 16
Dalam Perencanaan 2 2 0 0 4
Dalam Penerapan/Diterapkan 5 1 0 0 6
Diterapkan Secara Menyeluruh 0 0 0 0 0
Tot 10 11 3 2 26
BAB IV ANALISIS HASIL DAN PEMBAHASAN
Untuk meningkatkan tingkat kelengkapan penerapan SMKI di area ini, BPPK perlu melakukan perbaikan di antaranya:
1) Mencantumkan pelaporan insiden, penjagaan kerahasiaan, HAKI, tata tertib penggunaan dan pengamanan aset dalam kontrak dengan pihak ketiga; 2) Mendefinisikan, mengkomunikasikan, dan menegakkan konsekuensi atas
pelanggaran kebijakan keamanan informasi;
3) Menetapkan prosedur resmi atas pengecualian terhadap penerapan keamanan informasi;
4) Menerapkan proses untuk mengevaluasi risiko terkait rencana pembelian (atau implementasi) sistem baru dan menanggulangi permasalahan yang muncul;
5) Menyediakan kerangka kerja pengelolaan perencanaan kelangsungan layanan TIK (business continuity planning) yang mendefinisikan persyaratan/ konsideran keamanan informasi, termasuk penjadwalan uji- cobanya;
6) Mengevaluasi kelayakan seluruh kebijakan dan prosedur keamanan informasi secara berkala; dan
7) Menyelenggarakan program audit internal yang dilakukan oleh pihak independen dengan cakupan keseluruhan aset informasi, kebijakan dan prosedur keamanan yang ada (atau sesuai dengan standar yang berlaku). b. Tata kelola Keamanan Informasi
Skor tata kelola dengan nilai 35 dari nilai maksimal area ini sebesar 114 (31%). Hasil ini disebabkan oleh beberapa hal di antaranya:
Tabel 4.5 Skor Kelengkapan Area Tata kelola Keamanan Informasi Status Penerapan 1Kategori Pengamanan2 3 total %
Tidak Dilakukan 2 1 6 9 45%
Dalam Perencanaan 0 0 0 0 0%
Dalam Penerapan/Diterapkan 6 5 0 11 55%
Diterapkan Secara Menyeluruh 0 0 0 0 0%
Tot 9 8 9 20 100%
Sumber: Hasil Olah Data Peneliti
Dari total 20 pertanyaan yang diajukan pada area ini, 45% diantaranya direspon “Tidak Dilakukan”, dan sisanya 55% direspon “Dalam Penerapan/Diterapkan Sebagian”.
Sementara itu, dari sisi Tingkat Kematangan, 9 dari 11 pertanyaan (82%) pada Tingkat Kematangan II direspon “Dalam Penerapan/Diterapkan Sebagian” dan seluruh pertanyaan pada Tingkat Kematangan IV direspon “Tidak Dilakukan”.
Tabel 4.6 Skor Kematangan Area Tata kelola Keamanan Informasi Status Penerapan II Tingkat KematanganIII IV V total
Tidak Dilakukan 2 1 6 0 9
Dalam Perencanaan 0 0 0 0 0
Dalam Penerapan/Diterapkan
Sebagian 9 2 0 0 11
Diterapkan Secara Menyeluruh 0 0 0 0 0
Tot
al 11 3 6 0 20
Sumber: Hasil Olah Data Peneliti
Untuk meningkatkan tingkat kelengkapan penerapan SMKI di area ini, BPPK perlu melakukan perbaikan di antaranya:
1) Memetakan secara lengkap peran pelaksana pengamanan informasi;
2) Mendefinisikan persyaratan/standar kompetensi dan keahlian pelaksana pengelolaan keamanan informasi;
3) Mendefinisikan dan mengalokasikan tanggungjawab untuk memutuskan, merancang, melaksanakan dan mengelola langkah kelangsungan layanan TIK (business continuity dan disaster recovery plans);
BAB IV ANALISIS HASIL DAN PEMBAHASAN
4) Mendefinisikan paramater, metrik dan mekanisme pengukuran kinerja pengelolaan keamanan informasi;
5) Menerapkan target dan sasaran pengelolaan keamanan informasi untuk berbagai area yang relevan dan mengevaluasi pencapaiannya secara rutin, termasuk pelaporannya kepada pimpinan Instansi;
6) Mengidentifikasi legislasi dan perangkat hukum lainnya terkait keamanan informasi yang harus dipatuhi dan menganalisa tingkat kepatuhannya; dan 7) Mendefinisikan kebijakan dan langkah penanggulangan insiden keamanan
informasi yang menyangkut pelanggaran hukum (pidana dan perdata). c. Pengelolaan Aset Informasi
Skor pengelolaan aset informasidengan nilai 66 dari nilai maksimal area ini sebesar 153 (43%). Hasil ini disebabkan oleh beberapa hal di antaranya:
Tabel 4.7 Skor Kelengkapan Area Pengelolaan Aset Informasi Status Penerapan 1Kategori Pengamanan2 3 total %
Tidak Dilakukan 2 3 4 9 26%
Dalam Perencanaan 3 2 0 5 15%
Dalam Penerapan/Diterapkan 11 4 0 15 44%
Diterapkan Secara Menyeluruh 5 0 0 5 15%
Tot 22 11 7 34 100%
Sumber: Hasil Olah Data Peneliti
Dari total 34 pertanyaan pada area ini, 9 diantaranya atau 26% direspon “Tidak Dilakukan”, sementara status “Dalam Penerapan/Diterapkan Sebagian” mendapatkan respon paling tinggi, yaitu 15 atau 44%, sedangkan status “Diterapkan Secara Menyeluruh” mendapat respon 15% atau 5 dari 34 pertanyaan.
Dari Tingkat Kematangan, 15 dari 26 pertanyaan (58%) pada Tingkat Kematangan II direspon “Diterapkan Secara Menyeluruh”, sementara 7 dari 8 pertanyaan (88%) pada Tingkat Kematangan III direspon “Tidak Dilakukan”.
Tabel 4.8 Skor Kematangan Area Pengelolaan Aset Informasi Status Penerapan II Tingkat KematanganIII IV V total
Tidak Dilakukan 2 7 0 0 9
Dalam Perencanaan 4 1 0 0 5
Dalam Penerapan/Diterapkan 15 0 0 0 15
Diterapkan Secara Menyeluruh 5 0 0 0 5
Tot 26 8 0 0 34
Sumber: Hasil Olah Data Peneliti
Untuk meningkatkan tingkat kelengkapan penerapan SMKI di area ini, BPPK perlu melakukan perbaikan di antaranya:
1) Menetapkan kebijakan terhadap pelanggaran terkait identitas elektronik dan proses otentikasi (username & password);
2) Menetapkan waktu penyimpanan untuk klasifikasi data yang ada dan syarat penghancuran data;
3) Menetapkan prosedur penyidikan/investigasi untuk menyelesaikan insiden terkait kegagalan keamanan informasi dan pelaporannya;
4) Menetapkan prosedur kajian penggunaan akses (user access review) dan langkah pembenahan apabila terjadi ketidak sesuaian (non-conformity) terhadap kebijakan yang berlaku.
5) Menyusun daftar data/informasi yang harus di-backup dan laporan analisa kepatuhan terhadap prosedur backup-nya;
6) Menyusun daftar rekaman pelaksanaan keamanan informasi dan bentuk pengamanan yang sesuai dengan klasifikasinya;
7) Menyediakan prosedur penggunaan perangkat pengolah informasi milik pihak ketiga (termasuk perangkat milik pribadi dan mitra kerja/vendor) guna memastikan aspek HAKI dan pengamanan akses yang digunakan; dan
BAB IV ANALISIS HASIL DAN PEMBAHASAN
8) Menetapkan peraturan untuk mengamankan lokasi kerja penting (ruang server, ruang arsip) dari risiko perangkat atau bahan yang dapat membahayakan aset informasi.
d. Teknologi Keamanan Informasi
Skor teknologi keamanan informasi dengan nilai 46 dari nilai maksimal area ini sebesar 108 (43%). Hasil ini disebabkan oleh beberapa hal di antaranya:
Tabel 4.9 Skor Kelengkapan Area Teknologi Keamanan Informasi Status Penerapan 1Kategori Pengamanan2 3 total %
Tidak Dilakukan 1 3 1 5 21%
Dalam Perencanaan 4 5 0 9 38%
Dalam Penerapan/Diterapkan 6 2 0 8 33%
Diterapkan Secara Menyeluruh 2 0 0 2 8%
Tot 14 12 4 24 100%
Sumber: Hasil Olah Data Peneliti
Dari 24 pertanyaan pada area ini, 21% diantaranya direspon “Tidak Dilakukan”, sementara dari tingkat kematangan, 6 dari 13 pertanyaan (46%) Tingkat Kematangan II direspon “Dalam Penerapan/Diterapkan Sebagian”.
Tabel 4.10 Skor Kematangan Area Teknologi Keamanan Informasi Status Penerapan II Tingkat KematanganIII IV V total
Tidak Dilakukan 1 3 1 0 5
Dalam Perencanaan 4 5 0 0 9
Dalam Penerapan/Diterapkan
Sebagian 6 2 0 0 8
Diterapkan Secara Menyeluruh 2 0 0 0 2
Tot
al 13 10 1 0 24
Sumber: Hasil Olah Data Peneliti
Untuk meningkatkan tingkat kelengkapan penerapan SMKI di area ini, BPPK perlu melakukan perbaikan di antaranya:
1) Menganalisis semua log secara berkala untuk memastikan akurasi, validitas dan kelengkapan isinya (untuk kepentingan jejak audit dan forensik);
2) Menerapkan teknologi enkripsi yang terstandardisasi untuk melindungi aset informasi penting sesuai kebijakan pengelolaan yang ada;
3) Menerapkan pengamanan untuk mengelola kunci enkripsi (termasuk sertifikat elektronik) yang digunakan, termasuk siklus penggunaannya; 4) Menyediakan laporan penyerangan virus yang gagal/sukses ditindaklanjuti
dan diselesaikan; dan
5) Melibatkan pihak independen untuk mengkaji kehandalan keamanan informasi secara rutin.
e. Pengelolaan Risiko Keamanan Informasi
Skor pengelolaan risiko keamanan informasi dengan nilai 43 dari nilai maksimal area ini sebesar 69 (62%). Hasil ini disebabkan oleh beberapa hal di antaranya:
Tabel 4.11 Skor Kelengkapan Area Pengelolaan Risiko Keamanan Informasi Status Penerapan Kategori Pengamanan1 2 3 total %
Tidak Dilakukan 0 0 1 1 7%
Dalam Perencanaan 0 0 0 0 0%
Dalam Penerapan/Diterapkan 7 4 1 12 80%
Diterapkan Secara Menyeluruh 2 0 0 2 13%
Tot 10 6 5 15 100%
Sumber: Hasil Olah Data Peneliti
Dari 15 pertanyaan, 12 di antaranya (80%) direspon “Dalam Penerapan/ Diterapkan Sebagian”, dan berbeda dari area sebelumnya, respon “Tidak Dilakukan” hanya memiliki porsi 7%, itu pun dari Kategori Pengamanan 3.
Sementara dari sisi tingkat kematangan, hanya ada 1 respon “Tidak Dilakukan” pada Level Kematangan V, sisanya 7 dari 9 pertanyaan (78%) pada Tingkat Kematangan II di respon “Dalam Penerapan/Diterapkan Sebagian”, dan 2 dari 2 pertanyaan (100%) pada Tingkat Kematangan III diberi respon yang sama.
BAB IV ANALISIS HASIL DAN PEMBAHASAN
Tabel 4.12 Skor Kematangan Area Pengelolaan Risiko Keamanan Informasi Status Penerapan Tingkat Kematangan total
II III IV V
Tidak Dilakukan 0 0 0 1 1
Dalam Perencanaan 0 0 0 0 0
Dalam Penerapan/Diterapkan 7 2 2 1 12
Diterapkan Secara Menyeluruh 2 0 0 0 2
Tot 9 2 2 2 15
Sumber: Hasil Olah Data Peneliti
Untuk meningkatkan tingkat kelengkapan penerapan SMKI di area ini, BPPK perlu melakukan perbaikan di antaranya:
a) Mengkaji secara berkala kerangka kerja pengelolaan risiko untuk memastikan/meningkatkan efektifitasnya.
2. Tingkat Kematangan SMKI
Tingkat Kematangan SMKI BPPK berdasarkan hasil pengumpulan data menggunakan kuesioner Indeks KAMI adalah I+, sementara untuk tingkat kematangan pada tiap-tiap area keamanan informasi dijabarkan sebagai berikut:
a. Tata Kelola Keamanan Informasi
Skor rata-rata area Tata Kelola Keamanan Informasi adalah sebesar 35(31%) atau pada tingkat kematangan I+. Hasil penilaian ini memberikan informasi tentang kondisi tata kelola keamanan informasi sebagai berikut:
1) Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan informasi;
2) Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan kewenangan yang jelas dan tanpa pengawasan;
3) Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik; 4) Pihak yang terlibat tidak menyadari tanggung jawab mereka.
teknis dan belum adanya keterkaitan langkah pengamanan untuk mendapatkan strategi yang efektif;
6) Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi; dan 7) Langkah pengamanan operasional yang diterapkan bergantung kepada
pengetahuan dan motivasi individu pelaksana.
Penyebab rendahnya skor atau kematangan SMKI pada aspek tata kelola keamanan informasi diantaranya adalah:
1) Kurangnya sosialisasi atau peningkatan pemahaman terkait tata kelola keamanan informasi;
2) Belum adanya pemetaan standar kompetensi dan kebutuhan SDM pengelola keamanan informasi;
3) Belum adanya dokumentasi yang lengkap terkait pengelolaan keamanan informasi yang menjadi tanggung jawab pada masing-masing unit/bagian/ pejabat/pegawai; dan
4) Belum adanya matrik dan mekanisme pengukuran kinerja pengelolaan keamanan informasi
b. Pengelolaan Risiko Keamanan Informasi
Skor rata-rata aspek pengelolaan risiko keamanan informasi sebesar 43(62%) atau pada tingkat kematangan II. Hasil penilaian ini memberikan informasi tentang kondisi pengelolaan risiko keamanan informasi sebagai berikut:
1) Pengelolaan risiko yang ada belum mencakup keselurahan risiko keamanan informasi;
BAB IV ANALISIS HASIL DAN PEMBAHASAN
2) Kelemahan dalam manajemen pengamanan masih banyak ditemukan dan tidak dapat diselesaikan dengan tuntas oleh pelaksana maupun pimpinan sehingga menyebabkan dampak yang dapat saja signifikan;
3) Manajemen pengamanan belum mendapatkan prioritas dan tidak berjalan secara konsisten; dan
4) Pihak yang terlibat kemungkinan besar masih belum memahami tanggung jawab mereka.
Penyebab rendahnya skor atau kematangan SMKI pada aspek pengelolaan risiko keamanan informasi diantaranya adalah:
1) Kurangnya sosialisasi atau peningkatan pemahaman tentang keamanan informasi; dan
2) Pengelolaan risiko yang ada berdasarkan PMK 191 tahun 2008 belum mencakup pengelolaan risiko keamanan informasi berdasarkan KMK 479/2010.
c. Kerangka Kerja Pengelolaan Keamanan Informasi
Skor rata-rata aspek kerangka kerja pengelolaan keamanan informasi sebesar 22(15%) atau pada tingkat kematangan I+. Hasil penilaian ini memberikan informasi tentang kondisi kerangka kerja pengelolaan keamanan informasi sebagai berikut:
1) Kesadaran dan pemahaman pegawai/pejabat tentang pengelolaan keamanan informasi yang masih rendah
2) Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tanpa alur komunikasi dan kewenangan yang jelas dan tanpa pengawasan.
Penyebab rendahnya skor atau kematangan SMKI pada aspek kerangka kerja pengelolaan keamanan informasi diantaranya adalah
1) Kurangnya sosialisasi dan publikasi tentang keamanan informasi.
2) Belum adanya prosedur atau pentunjuk teknis terkait keamanan informasi yang berlaku dilingkungan BPPK.
3) Belum adanya dokumen resmi terkait strategi dan program pengelolaan keamanan informasi
4) Belum dilakukannya audit internal terkait keamanan informasi. d. Pengelolaan Aset Informasi
Skor rata-rata aspek pengelolaan aset informasi untuk semua ruang lingkup penelitian 66(43%) atau pada tingkat kematangan I+. Hasil penilaian ini memberikan informasi tentang kondisi pengelolaan aset informasi sebagai berikut:
1) Rendahnya kesadaran atau pemahaman pentingnya pengelolaan aset informasi
2) Pengelolaan aset informasi sudah diterapkan walaupun sebagian besar masih di area teknis dan belum adanya keterkaitan langkah pengamanan untuk mendapatkan strategi yang efektif.
3) Dokumentasi pengelolaan aset informasi belum menyeluruh.
4) Pengelolaan aset informasi yang diterapkan bergantung kepada pengetahuan dan motivasi individu pelaksana.
Penyebab rendahnya skor atau kematangan SMKI pada aspek pengelolaan aset informasi diantaranya adalah:
BAB IV ANALISIS HASIL DAN PEMBAHASAN
1) Kurangnya sosialisasi atau publikasi untuk meningkatkan pemahaman tentang keamanan informasi.
2) Belum adanya profil aset informasi yang dapat digunakan untuk prioritas pengelolaan risiko, aset informasi dan teknologi informasi dan komunikasi. 3) Belum adanya pedoman atau petunjuk teknis pengelolaan aset informasi. e. Teknologi dan Keamanan Informasi
Skor rata-rata aspek teknologi dan keamanan informasi sebesar 46(43%) atau pada tingkat kematangan I+. Hasil penilaian ini memberikan informasi tentang kondisi teknologi dan keamanan informasi sebagai berikut:
1) Rendahnya kesadaran atau pemahaman pentingnya teknologi dan keamanan informasi
2) Teknologi dan keamanan informasi sudah diterapkan walaupun sebagian besar masih di area teknis dan belum adanya keterkaitan langkah pengamanan untuk mendapatkan strategi yang efektif.
3) Dokumentasi pengelolaan aset informasi belum menyeluruh. 4) Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik
5) Pengelolaan teknologi dan keamanan informasi yang diterapkan bergantung kepada pengetahuan dan motivasi individu pelaksana.
6) Pihak yang terlibat kemungkinan besar masih belum memahami tanggung jawab mereka.
Penyebab rendahnya skor atau kematangan SMKI pada aspek teknologi dan keamanan informasi diantaranya adalah:
1) Kurangnya sosialisasi atau publikasi untuk meningkatkan pemahaman tentang keamanan informasi.
2) Belum adanya standar konfirgurasi keamanan sistem bagi semua aset komputer dan perangkat jaringan yang dapat digunakan untuk prioritas pengelolaan risiko, aset informasi dan teknologi informasi dan komunikasi. 3) Belum adanya pedoman atau petunjuk teknis pengelolaan teknologi
BAB V
PENUTUP
A. Simpulan
Berdasarkan hasil penelitian yang dilakukan dapat disimpulkan bahwa tingkat kelengkapan dan kematangan SMKI BPPK masih rendah. Adapun penyebab rendahnya tingkat kelengkapan dan kematangan SMKI ini adalah;
1. Konsep SMKI relatif baru dikenal di Indonesia, khususnya di lingkungan instansi pemerintah, kondisinya ini menyebabkan rendahnya tingkat awareness dari pimpinan dan pegawai BPPK tentang arti penting SMKI. Simpulan ini didukung sejumlah indikator, antara lain:
a. Belum/tidak tersedianya kebijakan/aturan, baik yang bersifat umum maupun teknis, yang mendukung penerapan SMKI di setiap area pengamanan yang dievaluasi, mulai dari area Tata Kelola Keamanan Informasi hingga area Teknologi dan Keamanan Informasi.
b. Pengembangan SMKI belum mendapatkan prioritas pimpinan/institusi, baik dari sisi penyiapan infrastruktur, prosedur kerja, penganggaran, maupun dari sisi SDM pendukungnya.
2. Hingga saat ini proses bisnis BPPK masih berbasis paper-based, sehingga budaya pendokumentasikan data dan informasi serta penjagaan keamanan dan kerahasiaannya sulit untuk diterapkan secara optimal dan menyeluruh. 3. Pengembangan aplikasi dan infrastruktur pendukungnya masih bersifat
reaktif dan belum didasarkan pada perencanaan jangka menengah/panjang, akibatnya IT belum menjadi salah satu fasilitas pendukung yang instrumental dalam pelaksanaan tugas-tugas administratif di lingkungan BPPK.
Untuk menjawab sejumlah tantangan yang harus dihadapi terkait penerapan SMKI ini, kami menyarankan sejumlah hal sebagai berikut:
1. Melaksanakan sejumlah program peningkatan awareness pimpinan dan pejabat tentang arti penting SMKI, baik dari sisi aturan maupun penerapannya, seperti program sosialisasi, internalisasi, workshop, seminardan pelatihan terkait keamanan informasi dengan melibatkan pihak Sekretaris Jenderal Kementerian Keuangan c.q. Pusintek sebagai nara sumber utama dengan harapan bahwa pengembangan SMKI dapat menjadi bagian dari Rencana Strategis BPPK.
2. Menyusun dan mengembangkan ICT Blueprint BPPK yang memungkinkan pengembangan aplikasi dan infrastruktur BPPK dapat dilakukan secara terencana, terintegrasi, dan komprehensif.
3. Menyempurnakan SOP di lingkungan BPPK untuk mendukung peralihan proses bisnis dari paper-based menjadi technology-based administration sekaligus untuk menumbuhkembangkan budaya pendokumentasian data dan informasi di lingkungan BPPK.