LANDASAN TEORI - MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI)

MENGGUNAKAN INDEKS KEAMANAN INFORMASI (KAMI)

2 LANDASAN TEORI

Information Systems Audit and Control Association (ISACA) mendefinisikan

keamanan informasi adalah memastikan bahwa informasi perusahaan harus dilindungi dari pengungkapan oleh pengguna yang tidak sah (kerahasiaan), modifikasi yang salah (integritas), dan kegagalan akses informasi ketika saat diperlukan (ketersediaan) (ISACA, 2012). Whitman mendefinisikan keamanan informasi adalah perlindungan informasi dan komponen-komponennya (kerahasiaan, integritas dan ketersediaan), termasuk sistem dan perangkat keras yang menggunakan, menyimpan, dan yang mengirimkan informasi tersebut (Whitman, 2010).

Menurut Sarno dan Iffano keamanan informasi adalah suatu upaya untuk mengamankan aset informasi terhadap ancaman yang mungkin timbul. Sehingga keamanan informasi secara tidak langsung dapat menjamin kontinuitas bisnis, mengurangi risiko-risiko yang terjadi, dan mengoptimalkan pengembalian investasi (Sarno dan Iffano, 2009). Sedangkan menurut McLeod dan Schell adalah perlindungan baik peralatan komputer dan non komputer, fasilitas, data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang (McLeod dan Schell, 2007). Sehingga dapat ditarik kesimpulan bahwa

Evaluasi Manajemen Keamanan Informasi di Pustispan… (Alhadi Saputra)

keamanan informasi adalah prosedur yang terdiri dari proses-proses yang harus ditaati untuk melindungi informasi serta peralatan penghasil informasi dari berbagai ancaman insiden keamanan informasi dengan tujuan untuk menjaga kontinuitas bisnis organisasi.

Peran serta pemerintah terhadap isu keamanan informasi telah dibuktikan dengan dikeluarkannya kebijakan dalam bentuk Peraturan Kementerian Komunikasi dan Informatika No. 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi (Kemkominfo, 2016), kemudian untuk mengimplementasikan peraturan tersebut Pustispan melakukan sertifikasi ISO/IEC 27001:2013 yang merupakan standar internasional sistem manajemen keamanan informasi, untuk mengimplementasikan kontrol-kontrol yang lebih definitif dilakukan juga evaluasi menggunakan indeks keamanan informasi (KAMI).

Salah satu upaya yang dapat dilakukan oleh Kementrian Komunikasi dan Informatika (Kemkominfo) dalam meningkatkan kualitas keamanan informasi pada suatu instansi adalah dengan membuat salah satu alat bantu untuk mengukur tingkat kematangan dan kelengkapan dalam keamanan informasi yang disebut dengan Indeks Keamanan Informasi (KAMI) (Basyarahil, Astuti, Hidayanto, 2017). Alat evaluasi ini tidak ditujukan untuk menganalisa kelayakan atau efektivitas bentuk pengamanan yang ada, melainkan sebagai perangkat untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi (Direktorat Keamanan Informasi, 2011).

Alat evaluasi indeks KAMI disarankan untuk dilakukan oleh pejabat yang secara langsung bertanggung jawab dan berwenang untuk mengelola keamanan informasi di

seluruh cakupan instansinya. Di Pustispan sendiri dilakukan oleh Subbidang Tata Kelola Teknologi Informasi sesuai dengan tugas dan fungsinya yang terdapat pada Peraturan Kepala LAPAN nomor 8 Tahun 2015 tentang Organisasi dan Tata Kerja Lembaga Penerbangan dan Antariksa Nasional (LAPAN) (LAPAN, 2015). Terdapat lima area cakupan persyaratan pada indeks KAMI, (1) Tata Kelola Keamanan Informasi, (2) Pengelolaan Risiko Keamanan Informasi, (3) Kerangka Kerja Keamanan Informasi, (4) Pengelolaan Aset Informasi, dan (5) Teknologi Keamanan Informasi.

Tata kelola keamanan informasi mengevaluasi kesiapan bentuk tata kelola keamanan informasi beserta Instansi/fungsi, tugas dan tanggung jawab pengelola keamanan informasi. Pengelolaan risiko keamanan informasi mengevaluasi kesiapan penerapan pengelolaan risiko keamanan informasi sebagai dasar penerapan strategi keamanan informasi. Kerangka kerja keamanan informasi mengevaluasi kelengkapan dan kesiapan kerangka kerja (kebijakan dan prosedur) pengelolaan keamanan informasi dan strategi penerapannya. Pengelolaan aset informasi mengevaluasi kelengkapan pengamanan aset informasi, termasuk keseluruhan siklus penggunaan aset tersebut. Teknologi keamanan informasi mengevaluasi kelengkapan, konsistensi, dan efektifitas penggunaan teknologi dalam pengamanan aset informasi.

Dalam setiap area, proses evaluasi membahas sejumlah aspek yang dibutuhkan untuk mencapai tujuan utama dari pengamanan di area tersebut. Setiap aspek tersebut memiliki karakteristik tersendiri terkait dengan tahapan penerapan pengamanan sesuai dengan ISO/IEC 27001:2013.

Sebelum dilakukan proses evaluasi, maka dilakukan proses klasifikasi terhadap kategori sistem elektronik. Tujuannya adalah untuk

mengelompokkan instansi ke dalam level rendah, tinggi, atau strategis.

Untuk level rendah penggunaan TIK (Teknologi Infromasi dan Komunikasi) mendukung proses kerja yang berjalan, walaupun tidak pada tingkatan yang signifikan. Sedangkan untuk level tinggi TIK merupakan bagian yang tidak terpisahkan dari proses kerja yang berjalan. Dan untuk level strategis penggunaan TIK merupakan satu-satunya cara untuk menjalankan proses kerja yang bersifat strategis atau berskala nasional.

Seluruh pertanyaan yang ada dalam setiap area dikelompokkan menjadi tiga kategori pengamanan. Kategori 1 terkait dengan kerangka kerja dasar keamanan informasi, kategori 2 untuk efektifitas dan konsistensi penerapannya, sedangkan kategori 3 terkait dengan hal-hal yang merujuk pada kemampuan untuk selalu meningkatkan kinerja keamanan informasi.

Gambar 2-1: Isian Evaluasi Indeks KAMI

Setiap pertanyaan terdapat pilihan status penerapan yaitu: tidak dilakukan, dalam perencanaan, dalam

penerapan atau diterapkan sebagian, dan diterapkan secara menyeluruh.

Dari Gambar 2-1 terlihat bahwa kolom yang diberi tanda angka 1 menunjukkan kategori kematangan terkait pertanyaan yang dibahas, sedangkan angka 2 menunjukkan kategori tahap penerapan, angka 3 adalah daftar pertanyaan, sedangkan angka 4 adalah pilihan jawaban.

3 METODOLOGI

Dalam melakukan evaluasi, metode yang digunakan adalah deskriptif kuantitatif yang bersifat eksploratif, dimana hasilnya dituangkan dalam bentuk deskripsi namun dalam memperoleh data dilakukan dengan menggali informasi yang mendalam mengenai kematangan keamanannya (Akhirina, Arif, dan Rahmatika, 2016). Ruang lingkup yang dievaluasi adalah LPSE (Layanan Pengadaan Secara Elektronik) dan Data Center pada Pusat Teknologi Informasi dan Standar Penerbangan dan Antariksa (Pustispan). Alat ukur evaluasi menggunakan Indeks Keamanan Informasi (KAMI) versi 3.1.

Evaluasi menggunakan dua buah cara yaitu self assessment dan desktop

assessment. Self assessment adalah

salah satu pengukuran secara mandiri untuk melihat kondisi saat ini berdasarkan kriteria pengukuran yang sudah ditetapkan dengan tujuan untuk evaluasi dan perbaikan dari hal-hal yang belum sesuai dengan pengukuran.

Self assessment penting dilakukan

sebagai sarana untuk mengukur persiapan secara maksimal dalam menghadapi desktop assessment yang dilakukan oleh Kementerian Komunikasi dan Informatika. Sedangkan desktop

assessment adalah pengukuran secara langsung dengan mendatangi kantor kemkominfo yang prosesnya dengan teknik wawancara dan dilengkapi dengan dokumen-dokumen pendukung sebagai bukti penyelenggaraan prosesnya. Penyelenggaraan self assessment diselenggarakan pada

Evaluasi Manajemen Keamanan Informasi di Pustispan… (Alhadi Saputra)

tanggal 13 Oktober 2016, sedangkan

Desktop Assessment dilakukan pada

tanggal 3 November 2016.

Self assessment dilakukan di

Pustispan dengan cara Focus Group

Discussion (FGD) dengan mengundang

pejabat struktural serta staf yang terlibat untuk memutuskan jawaban dari setiap pertanyaan. Sedangkan

desktop assessment dilakukan di kantor

Kementerian komunikasi dan informatika dengan proses wawancara oleh para assessor dari Pihak kemkominfo serta assessor dari pihak luar yang merupakan praktisi dibidang teknologi informasi. Untuk pertanyaan baik self assessment maupun desktop

assessment menggunakan assessment

yang sama yaitu indeks KAMI, sehingga tidak ada perbedaan atau tambahan pertanyaan dari kedua metode evaluasi tersebut, dan dari setiap jawaban harus dibuktikan dengan penyertaan dokumen sebagai bukti implementasinya.

Setelah dilakukan assessment, selanjutnya dibuat rekapitulasi hasil evaluasi dari kedua metode evaluasi baik self assessment maupun desktop

assessment disertai dengan penjelasannya

dan seberapa jauh perbedaan nilai dari masing-masing metode.

4 HASIL DAN PEMBAHASAN

Dalam dokumen Berita DIRGANTARA MAJALAH ILMIAH SEMI POPULER (Halaman 35-38)