KATA PENGANTAR. Denpasar, April Penulis

(1)

(2)

KATA PENGANTAR

Puji syukur penulis panjatkan kepada Ida Sang Hyang Widhi Wasa/Tuhan Yang Maha Esa, yang telah memberikan rahmat, karunia dan kesehatan pada kami berdua sehingga laporan dengan judul Audit Standar Keamanan pada Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) Kota Denpasar dapat diselesaikan tepat pada waktunya. Ucapan terima kasih kami sampaikan kepada Dinas Komunikasi dan Informatika Kota Denpasar dan Bagian Keuangan Setda Kota Denpasar khususnya bagian IT dan Operasional atas kesediaannya memberikan data dan informasi dan teman-teman serta semua pihak yang telah membantu terselesaikannya laporan ini.

Penulis sangat menyadari laporan ini masih banyak kekurangan namun demikian penulis berharap semoga laporan ini dapat menjadi salah satu referensi bagi para pemerhati keamanan data dan informasi yang pada akhirnya dapat bermanfaat bagi kita semua.

Denpasar, April 2016

(3)

ABSTRAK

Dalam perkembangannya, Teknologi Informasi dan Komunikasi (TIK) telah banyak dimanfaatkan oleh berbagai organisasi termasuk di dalamnya institusi pemerintahan. Pemanfaatan TIK dalam proses pemerintahan (e-government) dinilai dapat meningkatkan efisiensi, efektivitas, transparansi dan akuntabilitas penyelenggaraan pemerintahan. Dalam pengelolaan keuangan daerah, Pemerintah Kota Denpasar sudah menggunakan Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD). Karena peran vital aplikasi yang begitu penting dalam pengelolaan keuangan, maka perlu dilakukan audit untuk menilai standar keamanan sistem informasi sejauh mana proses manajemen keuangan pada Pemerintah Kota Denpasar dilihat dari 2 metode audit yaitu FISMA dan Cobit 5.

Metode yang digunakan pada pengamatan ini adalah metodologi kualitatif sedangkan metode pengumpulan datanya dilakukan dengan Interview/wawancara dan kuisioner dengan narasumber yang telah ditentukan sesuai dengan domain dan Control Objective yang digunakan.

Hasil dari penelitian ini didapatkan bahwa Sistem Informasi Pengelolaan Keuangan Daerah Denpasar (SIPKD) termasuk dalam kategori tingkat resiko yang tinggi apabila terjadi kesalahan pada sistem. Sedangkan dari Kontrol Keamanan yang terdiri dari tiga kelas Menejemen, Operasional dan Teknik, secara garis besar organisasi telah sadar dan telah melakukan serangkaian keamanan pada sistem, sehingga mampu melundungi data dan proses informasi dari dampak atas kesalahan yang terjadi.

(4)

DAFTAR ISI

KATA PENGANTAR ... i

ABSTRAK ... ii

DAFTAR ISI ... iii

DAFTAR TABLE ... v DAFTAR GAMBAR ... vi BAB I ... 1 PENDAHULUAN ... 1 1.1 Latar Belakang ... 1 1.2 Tujuan ... 2 1.3 Manfaat ... 2 1.4 Batasan ... 2 BAB II ... 3 TINJAUAN PUSTAKA ... 3

2.1 Profil Pemerintah Kota Denpasar ... 3

2.2 Struktur Organisasi ... 3

2.3 Visi dan Misi ... 3

2.4 Sistem Informasi Pengelolaan Keuangan Daerah ... 4

2.4.1 Ruang Lingkup SIPKD ... 5

2.4.2 Tujuan SIPKD ... 6

2.4.3 Pengguna SIPKD ... 6

2.5 FISMA Act of 2002 ... 7

2.5.1 Tujuan FISMA ... 7

2.5.2 National Institute Of Standards and Technology (NIST) ... 8

2.6 COBIT 5 ... 10

2.7 Pengukuran Tingkat Kematangan (Maturity Level) ... 12

BAB III ... 14

METODOLOGI ... 14

3.1 Gambaran Umum Penelitian ... 14

3.2 Tempat Penelitian ... 14

(5)

3.4 Metode Pengumpulan Data ... 14

3.5 Menentukan Maturity Level ... 14

BAB IV ... 19

PEMBAHASAN DAN HASIL ... 19

4.1 NIST SP 800-60 (kategori keamanan sistem informasi) ... 19

4.2 NIST SP 800-53 (Kontrol Keamanan) ... 20

BAB V ... 23

KESIMPULAN DAN SARAN ... 23

5.1 Kesimpulan ... 23

5.2 Saran ... 24

DAFTAR PUSTAKA ... 25

(6)

DAFTAR TABLE

Tabel 2.1. Level NIST 800-53 ... 9

Tabel 3.1. Tabel 3.1 Tabel Level NIST SP 800-60 ... 15

Tabel 3.2. Tabel 3.2 Tabel Level NIST SP 800-53 ... 16

Tabel 3.3 Tabel Maturity Level ... 18

(7)

DAFTAR GAMBAR

Gambar 2.1. Struktur Organisasi ... 3

Gambar 2.2. Halaman Utama SIPKD ... 3

Gambar 2.3. FIPS 199 dan SP 800-60 Role ... 3

Gambar 2.4. Level NIST 800-60... 3

Gambar 2.5. Domain Proses COBIT 5... 3

Gambar 2.6. Prinsip COBIT 5... 3

(8)

BAB I PENDAHULUAN 1.1 Latar Belakang

Dalam kehidupan bernegara yang semakin terbuka, Pemerintah selaku perumus dan pelaksana kebijakan APBN berkewajiban untuk terbuka dan bertanggung jawab terhadap seluruh hasil pelaksanaan pembangunan. Salah satu bentuk tanggung jawab itu diwujudkan dengan menyediakan informasi keuangan yang komprehensif kepada masyarakat luas, termasuk informasi keuangan daerah dengan memanfaatkan kemajuan teknologi informasi yang demikian pesat guna mendorong terwujudnya pemerintahan yang bersih, transparan, serta mampu menjawab tuntutan perubahan secara efektif.

Dalam pengelolaan keuangan daerah, Pemerintah Kota Denpasar sudah menggunakan Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) sebagai alat bantu pemerintah daerah untuk meningkatkan efektifitas implementasi dari berbagai regulasi bidang pengelolaan keuangan daerah yang berdasarkan pada asas efesiensi, ekonomis, efektif, transparan, akuntabel dan auditable mulai dari perencanaan, penganggaran sampai dengan pertanggungjawaban.

Sebagai koordinator implementasi SIPKD adalah Bagian Keuangan Sekretariat Daerah Kota Denpasar yang melibatkan Dinas Komunikasi dan Informatika Kota Denpasar sebagai penyedia infrastruktur jaringan intranet karena layanan SIPKD digunakan oleh semua instansi di lingkungan Pemerintah Kota Denpasar. Karena peran vital aplikasi yang begitu penting dalam pengelolaan keuangan, maka perlu dilakukan audit untuk menilai standar keamanan sistem informasi.

Beragam kerangka kerja (framework) dapat dipakai untuk melakukan evaluasi terhadap standar keamanan informasi salah satunya adalah Federal

Information Security Management (FISMA). FISMA awalnya merupakan standar

atau pedoman berdasarkan undang-undang amerika serikat tahun 2012 dengan tujuan menggaris bawahi pentingnya keamanan informasi terhadap ekonomi dan keamanan di Amrika Serikat. Seiring berkembangnya waktu, FISMA banyak digunakan sebagai dasar standar atau pedoman keamanan sistem informasi

(9)

keamanan. Rincian pedoman FISMA menggunakan National Institute Of Standards and Techhology (NIST). Kelemahan FISMA adalah tidak dapat memberikan nilai tingkat kematangan (Maturity Level) dalam proses audit standar keamanan sistem informasi sehingga dalam penelitian ini dilakukan proses

Mapping dengan framework COBIT 5.

1.2 Tujuan

Menilai tingkat kematangan (Maturity Level) sejauh mana standar keamanan SIPKD pada Pemerintah Kota Denpasar dilihat dari 2 metode audit yaitu FISMA dan Cobit 5.

1.3 Mannfaat

Manfaat dari dilaksanakannya audit ini adalah hasil penelitian ini diharapkan dapat dijadikan referensi untuk menilai tingkat kematangan (maturity level) yang berguna untuk mengukur standar keamanan SIPKD pada Pemerintah Kota Denpasar berdasarkan standar FISMA dan COBIT 5.

1.4 Batasan

Batasan pada audit ini adalah :

1. Standar yang digunakan adalah FIPS Publication 199 (Security

Categorization) NIST SP 800-60 dan FIPS Publication 200 (Security Requirements) NIST SP 800-53.

2. Untuk menentukan nilai Maturity Level dari proses FIPS 199 dan FIPS 200 dilakukan proses mapping dengan framework COBIT 5

(10)

BAB II

TINJAUAN PUSTAKA

2.1 Pemerintah Kota Denpasar

Kota Denpasar terletak di tengah-tengah dari Pulau Bali, selain merupakan Ibukota Daerah Tingkat II, juga merupakan Ibukota Propinsi Bali sekaligus sebagai pusat pemerintahan, pendidikan, perekonomian.Letak yang sangat strategis ini sangatlah menguntungkan, baik dari segi ekonomis maupun dari kepariwisataan karena merupakan titik sentral berbagai kegiatan sekaligus sebagai penghubung dengan kabupaten lainnya. Wilayahnya sendiri berbatasan dengan Kabupaten Badung di sebelah utara, Selat Badung atau Samudera HIndia di sebelah Selatan, Kabupaten Badung di sebelah barat dan Kabupaten Gianyar di sebelah timur. Terletak diantara 08 35" 31'-08 44" 49' lintang selatan dan 115 10" 23'-115 16" 27' Bujur timur.Luas seluruh Kota Denpasar 127,78 km2 atau 12.778 Ha , yang merupakan tambahan dari reklamasi pantai serangan seluas 380 Ha.

2.2 Struktur Organisasi

Gambar 2.1. Struktur Organisasi

2.3 Visi dan Misi

Visi Pemerintah Kota Denpasar adalah Denpasar Kreatif Berwawasan Budaya Dalam Keseimbangan Menuju Keharmonisan. Misinya terdiri dari:

 Menumbuh kembangkan jati diri masyarakat Kota Denpasar berdasarkan budaya Bali.

(11)

 Memberdayakan masyarakat Kota Denpasar berlandaskan kearifan lokal melalui budaya kreatif.

 Mewujudkan Pemerintahan yang baik (good governance) melalui penegakan supremasi hukum (law enforcement).

 MeningkatkanpPelayanan publik menuju kesejahteraan masyarakat (welfare society).

 Mempercepat pertumbuhan dan memperkuat ketahanan ekonomi masyarakat melalui sistem ekonomi kerakyatan.

2.4 Sistem Informasi Pengelolaan Keuangan Daerah

Sistem Informasi Pengelolaan Keuangan Daerah SIPKD adalah aplikasi terpadu yang dipergunakan sebagai alat bantu pemerintah daerah yang digunakan meningkatkan efektifitas implementasi dari berbagai regulasi bidang pengelolaan keuangan daerah yang berdasarkan pada asas efesiensi, ekonomis, efektif, transparan, akuntabel dan auditabel Aplikasi ini juga merupakan salah satu manifestasi aksi nyata fasilitasi dari Kementerian Dalam Negeri kepada pemerintah daerah dalam bidang pengelolaan keuangan daerah, dalam rangka penguatan persamaan persepsi sistem dan prosedur pengelolaan keuangan daerah dalam penginterpretasian dan pengimplementasian berbagai peraturan perundang-undangan.

(12)

2.4.1 Ruang Lingkup SIPKD

SIPKD menyajikan informasi keuangan dan non keuangan daerah yang terdiri dari modul perencanaan, penganggaran, pelaksanaan dan penatausahaan serta pertanggungjawaban pengelolaan keuangan daerah yang terintegrasi dalam sebuah sistem, baik dalam lingkungan operasi online maupun offline.

 Modul Perencanaan, Modul aplikasi yang mendukung pemerintah daerah dalam menyusun Rencana Kerja Pemerintah Daerah (RKPD) yang merupakan penjabaran dari RPJMD dan mengacu kepada Rencana Kerja Pemerintah (RKP). RKPD memuat rancangan kerangka ekonomi daerah, prioritas pembangunan dan kewajiban daerah, rencana kerja yang terukur dan pendanaannya, baik yang bersumber dari pemerintah, pemerintah daerah maupun kemitraan dan partisipasi masyarakat. Output utama dari aplikasi ini adalah dokumen RKPD yang menjadi dasar penyusunan anggaran di tahapan berikutnya.

 Modul Penganggaran, Modul aplikasi yang mendukung pemerintah daerah dalam proses penyusunan anggaran, dimulai dengan penyiapan KUA dan PPAS. Modul ini memberikan fasilitas penyusunan SKPD dan RKA-PPKD, yang akan digunakan dalam proses penyusunan rancangan Peraturan Daerah tentang APBD dan rancangan Peraturan Kepala Daerah tentang Penjabaran APBD.

 Modul Pertanggungjawaban, Modul aplikasi yang mendukung pemerintah daerah dalam mempersiapkan laporan keuangan, dimulai dari Jurnal yang kemudian diposting ke buku besar, buku besar dijadikan dasar untuk membuat neraca saldo. Berdasarkan neraca saldo disusun Laporan Keuangan yang terdiri dari : Laporan Realisasi Anggaran, Neraca dan Arus Kas serta Catatan Atas Laporan Keuangan. Modul ini mengakomodasi kebutuhan entitas akuntansi, baik pada tingkat SKPD, tingkat PPKD, maupun tingkat Pemerintah Daerah. Dengan demikian, modul ini dapat menghasilkan jenis-jenis laporan sesuai dengan kebutuhan pada setiap tingkatan tersebut.

(13)

2.4.2 Tujuan SIPKD

Penyelenggaran SIPKD dilaksanakan baik di pusat maupun di daerah. SIKD regional diselenggarakan oleh masing-masing pemerintahan daerah selama ini dikenal oleh masyarakat dengan nama Sistem Informasi Pengelolaan Keuangan Daerah(SIPKD). Penyelenggaraan SIPKD difasilitasi oleh Departemen Dalam Negeri. SIPKD yang diselenggarakan oleh Pemerintah disebut dengan SIPKD Nasional. Pemerintah menyelenggarakan SIPKD secara nasional dengan tujuan:

 merumuskan kebijakan dan pengendalian fiskal nasional;  menyajikan informasi keuangan daerah secara nasional;

 merumuskan kebijakan keuangan daerah, seperti Dana Perimbangan, Pinjaman Daerah, dan Pengendalian defisit anggaran; dan

 melakukan pemantauan, pengendalian dan evaluasi pendanaan Desentralisasi, Dekonsentrasi, Tugas Pembantuan, Pinjaman Daerah, dan defisit anggaran daerah.

2.4.3 Pengguna SIPKD

Sesuai dengan tujuan dibangunnya aplikasi Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD), maka penggunaannya ditujukan kepada seluruh pemerintah provinsi dan kabupaten/kota di seluruh Indonesia. Lebih jauh, pada Surat Edaran No. SE.900/122/BAKD diamanatkan 6 (enam) regional sebagai basis pengembangan dan koordinasi, yaitu:

 Wilayah I, yang meliputi Aceh, Sumatera Utara, Sumatera Barat, Riau dan Kepulauan Riau dengan kantor regional di Provinsi Sumatera Barat;  Wilayah II, yang meliputi Sumatera Selatan, Jambi, Bangka Belitung,

Bengkulu dan Lampung dengan kantor regional di Provinsi Sumatera Selatan;

 Wilayah III, yang meliputi DKI Jakarta, Jawa Barat dan Banten dengan kantor regional di Provinsi Jawa Barat;

 Wilayah IV, yang meliputi Daerah Istimewa Yogyakarta, Jawa Tengah, Jawa Timur, Bali, Nusa Tenggara Barat dan Nusa Tenggara Timur dengan kantor regional di Provinsi Jawa Timur;

(14)

 Wilayah V, yang meliputi Kalimantan Barat, Kalimantan Tengah, Kalimantan Selatan dan Kalimantan Timur dengan kantor regional di Provinsi Kalimantan Selatan;

 Wilayah VI, yang meliputi Sulawesi Selatan, Sulawesi Tenggara, Sulawesi Utara, Sulawesi Tengah, Sulawesi Barat, Gorontalo, Maluku, Maluku Utara, Papua dan Papua Barat dengan kantor regional di Provinsi Sulawesi Selatan.

2.5 Federal Information Security Management (FISMA) Act of 2002 FISMA Act of 2002 adalah hukum federal Amerika Serikat yang berlaku pada tahun 2002 sebagai judul III dari Undang-undang e-Government 2002 yang mengatur pentingnya keamanan informasi untuk kepentingan ekonomi dan keamanan nasional Amerika Serikat. Aturan mengharuskan setiap agen federal untuk mengembangkan, dokumen, dan menerapkan program lembaga lainnya untuk memberikan keamanan data dan sistem informasi yang mendukung operasi dan aset lembaga, termasuk yang disediakan atau dikelola oleh lembaga, kontraktor, atau sumber lain lain.

FISMA menekankan kebijakan berbasis risiko untuk keamanan hemat biaya. FISMA membutuhkan pejabat lembaga, petugas kepala informasi, dan inspektur jenderal (Irjen) untuk melakukan tinjauan tahunan program keamanan informasi organisasi dan melaporkan hasilnya kepada Kantor Manajemen dan Anggaran atau dikenal dengan singkatan OMB. OMB menggunakan data ini untuk membantu dalam pengawasan dan mempersiapkan laporan tahunan ini untuk rapat monitoring dan evaluasi. Pada tahun 2008, badan-badan federal menghabiskan $ 6200000000 mengamankan total investasi teknologi informasi pemerintah atau sekitar 9,2 persen dari total blueprint teknologi informasi.

2.5..1 Tujuan FISMA

FISMA memberikan tanggung jawab khusus untuk badan-badan federal,

National Institute of Standards and Technology ( NIST ) dan Kantor Manajemen

dan Anggaran ( OMB ) untuk memperkuat sistem keamanan informasi. Secara khusus , FISMA membutuhkan kepala masing-masing instansi untuk menerapkan

(15)

kebijakan dan prosedur untuk biaya sehingga efektif mengurangi risiko keamanan teknologi informasi untuk tingkat yang dapat diterima.

Menurut FISMA keamanan informasi berarti melindungi data dan sistem informasi dari akses yang tidak sah, penggunaan, pengungkapan, gangguan , modifikasi , atau perusakan dalam rangka memberikan integritas, kerahasiaan dan ketersediaan

2.5.2 National Institute of Standards and Technology (NIST)

NIST merupakan badan federal yang ditunjuk oleh FISMA untuk menyediakan pedoman atau standard keamanan untuk memperkuat keamanan informasi dan sistem informasi. Aturan-aturan NIST yang dipergunakan terkait dengan FISMA antara lain:

 FIPS Publication 199 (Security Categorization)  FIPS Publication 200 (Security Requirements)

 NIST Special Publication 800-18, Rev 1 (Security Planning)  NIST Special Publication 800-30, Rev 1 (Risk Management)  NIST Special Publication 800-37 (Certification & Accreditation

 NIST Special Publication 800-53 Rev 3 (Recommended Security Controls)  NIST Special Publication 800-53A Rev 1(Security Control Assessment)  NIST Special Publication 800-60 (Security Category Mapping)

(16)

Fokus daerah audit mengenai kategori sistem informasi terhadap keamanan sistem informasi yang disediakan dalam aturan NIST SP 800-60 ditunjukkan pada gambar 2.1.

Gambar 2.4. Level NIST 800-600

Dalam hal menilai kontrol keamanan informasi sebagaimana telah diatur dalam NIST SP 800-53 terdapat beberapa obyek yang terkait, diantaranya :

Tabel 2.2. Level NIST 800-53

Code Contol

Management Control

(RA) Risk Assessment

(PL) System Security Plan

(SA) System and Service Acquisition (SA-7) User Installed Software

(CA) Certification, Accreditation, and Security Assessments

Operational Control

(PS) Personnel Security

(PE) Physical and Environmental Protection

(17)

(CM) Configuration Management

(MA) Maintenance (MA-6) Timely Maintenance

(SI) System and Information Integrity

(SI-8) Spam and Spyware Protection (MP) Media Protection (MP-5) Media Transport

(IR) Incident Response

(IR-6) Incident Reporting

(AT) Awareness and Training

(AT-3) Security Training Technical Controls

(IA) Identification and Authentication (IA-6) Authentication Feedback

(AC) Access Control

(AC-9) Previous Logon Notification (AU) Audit and Accountability

(AU-8) Time Stamps

(SC) System and Communications Protection (SC-14) Public Access Protections

2.6 COBIT 5

Control Objectives for Information and related Technology (COBIT)

adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat membantu auditor, manajemen dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan permasalahan teknis lainnya. COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari

Information SystemAudit and Control Association (ISACA). COBIT saat ini yang

dipakai yaitu COBIT 5.0 yang merupakan versi terbaru dari COBIT sebelumnya yaitu COBIT 4.1. COBIT 5 terbagi ke dalam 2 area yaitu governance dan manajemen. Kedua area ini total terdiri dari 5 domain dan 37 proses yaitu sebagai berikut :

 Governance of Enterprise IT

(18)

 Management of Enterprise IT

 Align, Plan and Organise (APO) – 13 proses  Build, Acquire and Implement (BAI) – 10 proses  Deliver, Service and Support (DSS) – 6 proses  Monitor, Evaluate and Assess (MEA) – 3 proses

Gambar 2.5. Domain Proses COBIT 5

COBIT 5 memperlihatkan informasi dan teknologi yang terkait untuk diatur dan dikelola secara holistik untuk seluruh pemerintahan, mengambil penuh proses bisnis secara end-to-end dan area fungsional dari tanggung jawab, dengan mempertimbangkan pemangku kepentingan (stakeholder) TI di internal maupun eksternal.

(19)

Gambar 2.6 Prinsip COBIT 5

Gambar 2.7 COBIT 5 Maurity Score

2.7 Pengukuran Tingkat Kematangan (Maturity Level)

Maturity model adalah suatu metode untuk mengukur level pengembangan

manajemen roses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa agusnya pengembangan atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan COBIT yang . Sebagai contoh adalah ada beberapa proses dan sistem kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.

Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan

(20)

kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.

Maturity model dapat digunakan untuk memetakan :  Status pengelolaan TI perusahaan pada saat itu.

 Status standart industri dalam bidang TI saat ini (sebagai pembanding)  status standart internasional dalam bidang TI saat ini (sebagai

pembanding)

 strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan)

Perhitungan Index Maturity Level :

∑

(21)

BAB III METODELOGI

3.1 Gambaran Umum Penelitan

Penelitian dilakukan di lingkungan Dinas Komunikasi dan Informatika dan Bagian Keuangan Sekretariat Daerah Kota Denpasar yang berfokus pada tujuan utama yaitu menggaris bawahi kemanan Informasi. Pada sistem yang selama ini diandalkan yaitu Sistem Informasi Pengelolaan Keuangan Daerah Denpasar.

3.2 Tempat Penelitian

Lokasi dilakukan penelitian beralamat di Jalan Majapahit No 1 Lumintang dan Jalan Gajah Mada No. 1 Denpasar, penelitian berfokus pada audit keamanan penggunaan Sistem Informasi Pengelolaan Keuangan Daerah Denpasar, dalam hal ini pada Bidang Piranti Lunak dan Bidang Penganggaran, dengan melakukan pengamatan, wawancara dan kuisioner kepada Tim IT dan Bagian Operasional.

3.3 Sumber Data

Dalam penelitian ini menggunakan dua sumber data yaitu data Primer dan data Skunder, data Primer diproleh langsung dari observasi pada tempat penelitian dengan melakukan wawancara dan mengambil kuisioner dari responden Tim IT dan Bagian Operasional. sedangkan data Sekunder diperoleh dari sumber – sumber yang dijadikan acuan pada literature untuk audit pada penelitian ini.

3.4 Metode Pengumpulan Data

Metode pengumpulan data dalam penelitian ini adalah wawancara, kuisioner, observasi dan studi pustaka.

a. Wawancara dilakukan terhadap beberapa narasumber yang dalam hal ini bertanggung jawab dalam penggunaan sistem informasi, diantaranya wawancara kepada Bagian IT dan Oprasional.

b. Kuisioner dilkukan terhadap dua focus utama, sebagaimana diatur dalam FISMA Standar, yaitu yang pertama terhadap kategori keamanan sistem

(22)

informasi dalam hal ini diharapkan bisa memberikan tuntunan terhadap nilai dampak dari kemanan sistem informasi, kemudian yang kedua terhadap kontrol keamanan yang sudah berjalan pada sistem informasi pengelolan keuangan daerah denpasar (SIPKD) dalam teknik kuisioner ini dilakukan dengan mencari nilai maturity level terhadap standar dan pedoman dari FISMA.

Untuk bobot dari tingkat kematangan yang akan dinilai, karena dalam hal ini FISMA sebagai Framework utama dalam melakukan audit pada penelitian ini, belum mampu dalam memberikan nilai terhadap kematangan dari setiap jawaban dari korenponden, maka dilakukan proses pemetaan terhadap COBIT 5, karena dalam cobit 5 mampu menyediakan nilai kedewasaan dari setiap bobot jawaban dari koresponden, sehingga dalam hal ini bisa memperoleh maturity level dari setiap standar pertanyaan dari yang diinginkan FISMA.

Berikut adalah fokus daerah audit mengenai kategori sistem informasi terhadap keamanan sistem informasi yang disediakan dalam aturan NIST SP 800-60 :

Tabel 3.1 Tabel Level NIST SP 800-60

FIP Publication 199

Low Moderate High

Confidentiality Kerahasiaan terhadap sistem informasi memiliki dampak yang rendah terhadap oprasi organisasi dan aset organisasi. Kerahasiaan terhadap sistem informasi memiliki dampak yang serius atau menengah terhadap oprasi organisasi dan aset organisasi. Kerahasiaan terhadap sistem informasi memiliki dampak yang berbahaya atau tinggi terhadap oprasi organisasi dan aset organisasi.

(23)

Integrity Hilangnya integritas memiliki dampak rendah terhadap operasi dan aset organisasi. Hilangnya ketersediaan memiliki dampak serius atau menengah terhadap operasi dan aset organisasi. Hilangnya ketersediaan memiliki dampak bebahaya dan tinggi terhadap operasi dan aset organisasi. Availability Hilangnya suatu

ketersediaan memiliki dampak rendah terhadap oprasi dan aset organisasi Hilangnya suatu ketersediaan memiliki serius atau sedang rendah terhadap oprasi dan aset organisasi Hilangnya suatu ketersediaan memiliki dampak berbahasya atau tinggi terhadap oprasi dan aset organisasi

Dalam hal menilai kontrol keamanan informasi sebagaimana telah diatur dalam NIST SP 800-53 terdapat beberapa obyek yang terkait, diantaranya :

Tabel 3.2 Tabel Level NIST SP 800-53

Code Contol

Management Control

(RA) Risk Assessment

(PL) System Security Plan

(SA) System and Service Acquisition (SA-7) User Installed Software

(CA) Certification, Accreditation, and Security Assessments

Operational Control

(24)

(PE) Physical and Environmental Protection

(CP) Contingency Planning

(CM) Configuration Management

(MA) Maintenance (MA-6) Timely Maintenance

(SI) System and Information Integrity

(SI-8) Spam and Spyware Protection (MP) Media Protection (MP-5) Media Transport

(IR) Incident Response

(IR-6) Incident Reporting

(AT) Awareness and Training

(AT-3) Security Training Technical Controls

(IA) Identification and Authentication (IA-6) Authentication Feedback

(AC) Access Control

(AC-9) Previous Logon Notification (AU) Audit and Accountability

(AU-8) Time Stamps

(SC) System and Communications Protection (SC-14) Public Access Protections

c. Observasi, dalam proses observasi dilakukan pengamatan terhadap aktivitas yang terjadi, dari segi aktivitas terhadap pengguna dalam hal ini oprator dari Sistem Informasi pengelolaan keuangan daerah denpasar, sampai kepada manajemen yang mengawasi dan mengembangkan sistem informasi. Disamping itu dilakukan dengan mengamati proses dan prilaku sistem dalam hal ini yang bekaitan dengan keamanan dalam proses transaksi data pada sistem informasi yang sudah disiapkan sebelumnya materi pengamatan dan instrument yang digunakan. Proses ini biasanya disebut juga dengan observasi secara sistematik dimana peneliti secara lebih leluasa dapat menentukan perilaku apa yang dapat diamati pada awal kegiatan pengamatan, agar permasalahan dapat dipecahkan.

(25)

d. Studi pustaka, dalam melakukan pemahaman dalam subyek dan obyek serta sarana untuk aktivitas melakukan audit atau penelitian, tentu tidak terlepas dari bebagai sumber yang relevan yang harus digunakan, selain itu dokumen – dokumen pendunkung yang berkaitan dengan Sistem Informasi Pengelolaan Keuangan Daerah Denpasar sangat penting dalam proses penelitian ini.

3.5 Menentukan Maturity Level

Untuk mendapatkan nilai kematangan atas jawaban dari responden berdasarkan pertanyaan yang ada maka perlu ditentukan dengan maturity level, berikut adalah tabel tingkat maturity level yang terdapat 6 pilihan jawaban untuk responden dari 0 – 5, selanjutnya akan diambil rata – rata dari bobot nilai yang diberikan oleh jawaban responden.

Tabel 3.3 Tabel Maturity Level

Aktivitas Tingkat Kematangan Jumlah Tingkat Kematangan

0 1 2 3 4 5

Rata-rata

Tabel 3.4 Tabel Kriteria Penilaian

Nilai Maturity Level FISMA Level

0 – 0.50 Level 0 Low 0.51 – 1.50 Level 1 Low 1.51 – 2.50 Level 2 Moderate 2.50 – 3.50 Level 3 Moderate 3.51 – 4.50 Level 4 High 4.51 – 5.00 Level 5 High

(26)

BAB IV

PEMBAHASAN DAN HASIL

Setelah melakukan proses audit, melalui metode wawancara, observasi, kuisioner yang didasari sumber dan literature yang relevan terhadap audit, maka di dapat hasil sebagai berikut :

4.1 NIST SP 800-60 (kategori keamanan sistem informasi)

Tingkat dampak keamanan sistem informasi sangat tergantung pada proses berjalannya sistem dan prilaku individu di dalamnya, terlebih lagi sistem yang berbasis informasi umum dan menyakut dalam hal keuangan akan sangat sensitif terhadap dampak untuk kesinambungan proses dari sistem informasi dan organisasi. Dalam NIST SP 800-60 dikatakan indentifikasi dari dampak buruk dalam sistem informasi harusnya dilakukan sedini mungkin. Pihak organisasi harus menunjau tingkat dampak sistem informasi dalam kontek lingkungannya sendiri. Pada umumnya setiap informasi memililki tingkat dampak yang berbeda tidak semua sistem informasi memiliki dampak yang sama.

Dari proses wawancara dan kuisioner yang didasari aturan NIST SP 800-60 sudah terlihat bahwa Sistem informasi pengelolaan keuangan daerah denpasar (SIPKD) dalam segi kerahasiaan berdampak sangat tinggi karena sistem berkaitan dengan pengeloaan keuangan, apabila proses data mengelami kebocoran maka akan sangat berbahaya terhadap sistem informasi, kemudian apabila terjadi perubahan sarana data dan sistem informasi secara illegal berdampak sangat serius terhadap berjalannya sistem, hal ini sesuai dengan yang diatur dalam integritas pada NIST SP 800-60, kemudian dari segi aviability atau ketersediaan dinilai berdampak menengah dan bisa dikategorikan serius apabila terjadi gangguan dalam proses transaksi, namun masih tedapat waktu toleransi dalam masa penyelesaian transaksi pada sistem informasi pengelolaan keuangan daerah denpasar (SIPKD).

Dalam proses kuisioner dengan 4 orang koresponden, dari Kerahasiaan sistem ke empat koresponden memberikat penilain 5 terhadap kerahasiaan sistem informasi, dari segi integritas sistem 1 koresponden memberikan nilai 4 dan 3

(27)

koresponden memberikan nilai 5, kemudian dari ketersediaan sistem tiga orang koresponden memberikan nilai pada level 2 dan 1 orang memberikan nilai pada level 3, sehingga nilai rata – rata yang didapat dalam mencarai kategori pada sistem informasi (SIPKD) adalah 4.

Security Category (SIPKD)

= {(Confidentiality, HIGH),(Integrity,HIGH),(Aviability,MODERATE)}

4.2 NIST SP 800-53 (Kontrol Keamanan)

Kontol dalam keamanan sistem informasi sangat penting, hal ini juga sangat berkaitan dengan aktivitas individu dalam menggunakan sistem informasi yang bijak, dengan adanya kontrol terhadap keamanan sistem infomasi sangat mudah dalam membangun rencana penilaian keamanan yang efektif den seperangkat prosedur dalam menilai efektivitas pengendalian keamanan yang dipekerjakan dalam sistem informasi yang mendukung lembaga eksekutif pemerintah. Tentunya saja pedoman kontrol keamanan sangat dibutuhkan untuk membantu mencapai sistem informasi yang lebih aman dalam penerapan sistem informasi pengelolaan keuangan daerah denpasar.

Dalam melakukan audit dengan standar NIST SP 800-53 berpusat pada 17 area yang terhubung dengan keamanan yang berkaitan dengan kerahasiaan, integritasi sistem inforamsi yang diproses dan dikirim oleh sistem informasi SIPKD, setiap area yang terhubung dibagi menjadi tiga kelas umum kontrol keamanan diantaranya Manajemen, Operasional dan Teknis.

FIPS Publication 199 0 1 2 3 4 5 Jumlah Capability Level

Confidentiality 4 20 5

Integrity 1 3 19 4,75

Availability 3 1 9 2,25

(28)

a. Manajemen

Dari manajemen dilakukan obyek penelitian pada Sertivikasi dan akreditasi yang sudah dimiliki dari sistem informasi (SIPKD), Perencanaan yang matang terhadap kontrol keamanan maupun pengembangan sistem serta mengenal penilaian resiko yang ada pada sistem, setelah dilakukan audit dengan menggunakan standar yang sudah ditetapkan maka hasilnya secara rata – rata berada di capability level 3.1875 , dengan perolehan jawaban dari koresponden untuk kategori keamanan sistem informasi (SIPKD) ke 4 korenponden memberikan nilai pada level 4 yang artinya, dalam hal menentukan keamanan dan memberikan penilaian terhadap kategori keaman sistem informasi (SIPKD) sudah cukup tinggi. Sementara dari perencanaan keamanan pada sistem informasi 1 koresponden menjawab pada level 1, 2 koresponden memberikan penilaian pada level 4 dan 1 koresponden memberikan penilaian pada level 5. Dalam hal kesadaran akan pentingnya rencana keamana pada sistem informasi berada pada rata – rata level yang tinggi yaitu 4. Pada sistem dan layanan dalam hal ini dalam memenejemen pengguna yang dapat melakukan pemasangan software, bagaimana sistem melakukan kontrol keamanan pada hal ini, 3 koresponden memberikan nilai pada level 2, 1 koresponden memberikan nilai pada level 3 sehingga rata – rata terdapat pada level 2,25. Secara keseluruhan pada kelas manajemen kontrol pengelolaan menejemen resiko bahwa Sistem informasi (SIPKD) mengimplementasikan rencana dan metode untuk menanggulangi keamanan sistem.

b. Operasional

Dari Operasional peneilitian ini bertujuan untuk mengetahui kontrol keamanan yang terjadi pada sistem informasi (SIPKD) dengan acuan standar yang sudah ditentukan antara lain. Pada sisi Personil Keamanan, perlindungan terhadap aset keamanan, perencanaan kotijensi, pelatihan kontijensi, pemeliharaan, perlindungan media terhadap spam dan spyware , pelaporan terhadap insiden dan kesadaran untuk pelatihan. dalam hal ini

(29)

setelah dilakukan penilaian melalui kuisioner koresponden memberikan penilaian rata – rata secara menyeluruh 2,25.

c. Teknis

Dalam hal teknis proses audit dilakukan pada pada beberapa hal yang berkaitan dengan teknis dari kontrol keamanan pada sistem informasi (SIPKD) dianataranya. Proses identifikasi dan Atentikasi terhadap input sistem, seperti proses login user pada sistem, bagaimana sistem dapat mekakukan otentikasi berdasarkan akses dari user tersebut. Dan kebijakan proses perlindungan akses sistem ke public serta mencatan kesalahan – kesalah yang terjadi sebagai bahan dari evaluasi sistem. Dari penilaian responden terhadap kelas teknis ini rata – rata nilai level yang di peroleh pada nilai 3,06 hal ini menandakan sistem informasi (SIPKD) telah mampu dalam mengelola batasan hak akses user dan mencatat setiap kesalahan yang terjadi pada sistem.

Nilai rata – rata pada maturity level

Domain Maturity Level

Kontrol Menejemen 3,1875

Kontrol Oprasional 2,25

Kontrol Teknikal 3,06

Nilai Maturity Level 2,8325

Dari hasil rata – rata pada ketiga kelas kontrol, Menejemen, Oprasional dan Teknik, menujukan hasil yang cukup bagus. Organisasi secara garis besarnya sudah sadar dan telah melakukan serangkaian keamanan pada sistem, pada sistem informasi sendiri sudah terdapat kontrol – kontrol keamanan yang bisa melundungi data dan proses informasi dari dampak atas kesalahan yang terjadi.

(30)

BAB V

KESIMPULAN DAN SARAN

5.1 Kesimpulan

Dari hasil penelitian dan rancangan audit Sistem Informasi Pengelolaan Keuangan Daerah Denpasar. Maka dapat diambil kesimpulan sebagai berikut :

1. Dasar dari Framework Audit FISMA adalah undang – undang yang dikeluarkan pemerintah Amerika Serikat pada tahun 2002 yang bertujuan untuk menggaris bawahi pentingnya keamanan informasi terhadap ekonomi dan keamanan. Terdapat beberapa pedoman yang menjadi nilai standar dari FISMA yang kemudian dikeluarkan oleh NIST.

2. Standar FISMA diharapkan mampu memberikan penilaian dan memberikan saran atas kelemahan pada sistem, namun pada penelitian ini untuk mencari nilai pada tingkat kedewasaan dari maturity level perlu dilakukan dengan menggunakan framework COBIT 5, karena cobit 5 menyediakan nilai – nilai tingkat kedewasaan dari yang dibutuhkan FISMA.

3. Setelah dilakukan proses pemetaan FISMA dan COBIT 5, maturity level dari setiap nilai – nilai dari setandar FISMA dapat ditentukan, dan Sistem Informasi Pengelolaan Keuangan Daerah Denpasar (SIPKD) telah mencapai tingkat kematangan dengan nilai rata – rata 4 untuk kategori keamanan sistem informasi dan nilai rata – rata 2,8325 untuk Kontrol keamanan Sistem Informasi.

4. Berdasarkan rata – rata nilai maturity level maka dapat di tentukan bahwa Sistem Informasi Pengelolaan Keuangan Daerah Denpasar (SIPKD) termasuk dalam kategori tingkat resiko yang tinggi apabila terjadi kesalahan pada sistem. Sedangkan dari Kontrol Keamanan yang terdiri dari tiga kelas Menejemen, Operasional dan Teknik, secara garis besar organisasi telah sadar dan telah melakukan serangkaian keamanan pada sistem, sehingga mampu melundungi data dan proses informasi dari dampak atas kesalahan yang terjadi.

(31)

5.2 Saran

Saran yang dapat diberikan terkait penelitian ini adalah untuk meningkatkan Akses Kontrol Terhadap Keamanan Sistem Informasi (SIPKD) karena dari kesimpulan yang diberikan pada NIST – SP 800-60, bahwa jika terjadi kesalahan pada sistem akan berdampak cukup tinggi terhadap organisasi.

(32)

DAFTAR PUSTAKA

Faisal Shirazee, MSNS, CISSP. FISMA reporting and NIST guidelines.

National Institute Standard and Technology (NIST), , Version 1.2, May 24, 2004. Guide for the Security Certification and Accreditation of Federal

Information Systems

Bakuan audit keamanan informasi kemenpora, 2012. . Kementrian pemuda dan olahraga repub. Indonesia.

Computer Security Division Information Technology Laboratory, June 2010, Guide for Assessing the Security Controls in Federal Information Systems and Organizations

(33)

Management Control 0 1 2 3 4 5 Jumlah Capability Level Risk Assessment (RA)

(RA-2) Security Category

4 16 4

Planning (PL)

(PL-2) System Security Plan

1 2 1 16 4

System and Service Acquisition (SA)

(SA-7) User Installed Software

3 1 9 2,25

Certification, Accreditation, and Security Assessments (CA) (CA-5) Plan of Action and Milestones

2 2 10 2,5

Rata – rata 3,1875

Operational Control 0 1 2 3 4 5 Jumlah Capability Level Personnel Security (PS)

(PS-3) Personnel Screening

1 3 11 2,75

Physical and Environmental Protection (PE)

(PE-17) Alternate Worksite

1 2 1 4 1 Contingency Planning (CP) (CP-3) Contingency Training 2 2 6 1,5 Configuration Management (CM) (CM-7) Least Functionality 3 1 13 3,25 Maintenance (MA)

(MA-6) Timely Maintenance

2 2 14 3,5

System and Information Integrity (SI)

(SI-8) Spam and Spyware Protection

3 1 13 3,25

Media Protection (MP) (MP-5) Media Transport

3 1 9 2,25

Incident Response (IR) (IR-6) Incident Reporting

1 3 7 1,75

Awareness and Training (AT) (AT-3) Security Training

3 1 13 3,25

Rata – rata 2,25