• Tidak ada hasil yang ditemukan

Seminar Tugas Akhir. By : Rizka Ayu Wulandari Pembimbing: Ir. Aris Tjahyanto, M.Kom Indah Kurnia, S.Kom

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "Seminar Tugas Akhir. By : Rizka Ayu Wulandari Pembimbing: Ir. Aris Tjahyanto, M.Kom Indah Kurnia, S.Kom"

Copied!
54
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 54 Halaman )

Teks penuh

(1)

Seminar Tugas Akhir

Judul Tugas Akhir :

Pembuatan Evaluasi Pengendalian Terhadap Data Sistem Informasi, Menggunakan Control Objective DS 11 pada COBIT 4.1 DAN ISO/IEC 27002 Studi Kasus Dinas Komunikasi Dan

Informatika Jawa Timur Bidang Pengembangan Teknologi Informasi.

By : Rizka Ayu Wulandari

5207 100 065

Pembimbing:

Ir. Aris Tjahyanto, M.Kom

Indah Kurnia, S.Kom

(2)

Abstrak

• Diskominfo merupakan sebuah institusi yang mempunyai tugas melaksanakan urusan

pemerintahan di bidang komunikasi dan informatika. Salah satu tugas Diskominfo

adalah mengembangkan infrastruktur TIK melalui pengembangan aplikasi.

Dilihat dari banyaknya tugas Diskominfo, tentunya banyak data yang dikelola, seperti

data pemesanan software, pemasangan jaringan dan lain sebagainya. Hal tersebut

membutuhkan suatu pengelolaan data atau informasi yang harus dikelola dengan baik

termasuk dari segi pengelolaannya.

• Pembuatan perangkat evaluasi bertujuan untuk menilai dan mengetahui sejauh mana

pihak Diskominfo mengkontrol kemanan data yang ada dengan mengidentifikasi resiko

sampai metode pengolaan resiko.

• Cobit 4.1 dan ISO/IEC 27002 merupakan salah satu framework yang digunakan dalam

proses evaluasi, kedua framework tersebut dapat digunakan bersamaan karena dapat

saling melengkapi dan menjadi pilhan dengan standart yang tepat.

• Hasil dari tugas akhir ini berupa perangkat evaluasi yang meliputi : identifikasi resiko,

daftar pertnyaan (checklist), penilaian evaluasi, dan pembuatan dokumen rekomendasi

evaluasi yang berhubungan dengan proses pengelolaan pengelolaan data sistem

informasi, yang nantinya dapat diimplentasikan pada Dinas Komunikasi dan Informatika

Jawa Timur (diskominfo jatim).

(3)

Latar Belakang

• Munculah nilai penting kebutuhan bagi Dinas Komunikasi Dan

Informatika Jawa Timur akan adanya suatu pembuatan evaluasi

kemanan terkait pengelolaan pengelolaan data sistem

informasi. Sehingga semua ancaman yang teridentifikasi dapat

dicegah sekaligus mengoptimalkan kinerja TI agar lebih

mempunyai nilai tambah bagi proses bisnis yang dijalankan.

• Dengan dimikian pada tugas akhir ini dirancang suatu

dokumen perangkat evaluasi Si/Ti. menggunakan framework

Cobit 4.1

dengan control objective DS 11 yang nantinya akan

di mappingkan dengan framework ISO/IEC 27002, yang

merupakan contoh framework yang dapat digunakan dalam

proses evaluasi kemanan data TI.

(4)

Rumusan Masalah

1. Bagaimana memastikan apakah Dinas Komunikasi Dan

Informatika

Jawa Timur telah melakukaan kontrol terhadap resiko yang berhubungan

dengan proses pengelolaan data?

2. Bagaimana menilai upaya yang telah dilakukan pihak Dinas Komunikasi Dan

Informatika Jawa Timur dalam melakukan manajemen pengelolaan data?

3. Apakah kegiatan evaluasi pengamanan data dapat memberi masukan untuk

perbaikan proses kemanan data pada Dinas Komunikasi dan Informatika Jawa

(5)

Batasan Masalah

Batasan-batasan dalam tugas akhir ini adalah:

1. Penggunaan COBIT 4.1 dan Internatioanal Organisation for Standardization

(ISO) 27002 sebagai framework untuk membantu dalam pemenuhan

pengukuran pada proses evaluasi yang akan dibuat.

2. Kontrol obyektif yang digunakan sebagai acuan pada COBIT 4.1 yaitu

DS11- pada proses Manage Data. Yang meliputi DS11.1 Business

Requirements for Data Management,

DS11.2 Storage and Retention

Arrangements

, DS11.3 Media Library Management System, DS11.4 Disposal,

DS11.5 Backup and Restoration, dan DS11.6 Security Requirements for Data

Management

3. Lingkup data berfokus kepada kelengkapan, keakuratan, ketersedian dan

perlindungan data pada bagian pengembangan perangkat lunak (software)

Bidang Pengembangan Teknologi Informatika, Dinas Komunikasi Dan

Informatika Jawa Timur.

4. Standart yang digunakan untuk membuat panduan dan melakukan evaluasi

adalah ISO/IEC 27002.

(6)

Tujuan Tugas Akhir

3. Membuat perencanaan evaluasi dan evaluasi resiko serta membuat

rekomendasi evaluasi yang dibutuhkan oleh Diskominfo untuk perbaikan

pengelolaan data sistem informasi pada Diskominfo Jatim.

2. pengukuran aktifitas pengelolaan data dengan mengunakan Maturity level dengan menentukan level yang dapat diukur dari 6 atribut kematangan maturity. Penggunaan maturity untuk mengukur keberhasilan proses dari kontrol objective DS 11 pada Cobit 4.1 dan mengacu pada mapping ISO/IEC

27002.

1. Pembuatan Mapping control objective DS11 pada CobIT 4.1 dan ISO/IEC

27002 dengan menyesuaikan aktifitas pada Diskominfo dan melakukan kusioner

tentang kemanan data sistem informasi pada Diskominfo. Serta pembuatan

panduan pengukuran hasil temuan dan panduan membuat rekomendasi evaluasi.

(7)

Manfaat Tugas Akhir

Mengetahui resiko yang dapat

membahayakan kemanan data pada

Diskominfo Jatim.

Dengan memberikan dokumen checklist dan perencanaan evaluasi yang baik, diharapkan dapat meningkatkan kualitas

operasional dalam pengembangan dan pemeliharaan data dan untuk pengoptimalan pengelolaan data.

Memberikan penilaian dan mengetahui tingkat kecocokan kontrol internal bagi

Dinas Komunikasi Dan Informatika khususnya Bidang Pengembangan TI terhadap proses pengelolaan data, apakah

telah sesuai dengan pedoman SOP yang telah dilakukan sebelumnya.

Memberikan dokumen mengenai pedoman perangkat evaluasi, yang dapat memberikan

masukan dan membantu Dinas Komunikasi Dan Informatika Jawa Timur khususnya

Bidang Pengembangan TI dalam melakukan perencanaan evaluasi yang berkontribusi positif terhadap pelaksaan evaluasi pada Dinas Komunikasi Dan

(8)

Tinjauan Pustaka

• teknologi informasi merupakan teknologi

komputer yang terdiri atas perangkat

lunak, perangkat keras, manusia, jaringan,

dan manajemen yang digunakan untuk

melaksanakan satu tugas atau lebih terkait

proses penyimpanan, pemrosesan dan

mendistribusikan informasi sebagai

hasilnya kepada pengguna.

Teknologi informasi

• pengolahan data meliputi pengumpulan

data,kelengkapan, keakuratan, ketersedian

perlindungan data , dan proses

penyimpanan data.

(9)

Tinjauan pustaka (con`t)

• evaluasi merupakan pemberian dukungan terhadap pemenuhan control internal yang ada untuk meminimalkan resiko yang berdampak pada bisnis. evaluasi diharapkan dapat

dijadikan sebagai referensi proses yang perlu diperbaiki secara berkelanjutan untuk

memenuhi kontrol internal agar dapat

memberikan dukungan yang optimal terhadap bisnis sekaligus mengurangi resiko yang mungkin timbul

evaluasi

• Bukti evaluasi digunakan untuk melaksanakan

uji kepatutan sehingga didapatkan temuan

(findings) sebagai kepatutan terhadap standart

yang berlaku. Selanjutnya bukti temuan yang

di dapatkan akan dijadikan sebagai bahan

pertimbangan oleh pihak atau institusi yang

bersangkutan.

(10)

Proses evaluasi (con`t)

proses evaluasi secara

umum adalah merupakan

langkah yang sistematis

atau tahapan yang jelas,

untuk mencapain hasil yang

diinginkan. Proses

perencanaan yang

terhimpun dalam

metodologi yang terarah,

step by step

sehingga

memudahkandalam

pengimplementasiannya.

(11)

Tinjauan pustaka (con`t)

evaluasi berbasis risiko

Resiko yang dimaksud adalah kemungkinan tindakan atau kejadian yang akan

menimbulkan efek yang merugikan bagi perusahaan. resiko dari proses bisnis yang berlangsung di perusahaan tentunya dapat membantu pengevaluasi dalam memutuskan metode pengujian yang digunakan dalam pelaksaan evaluasi.

Risk Assesment

Identifikasi resiko dilakukan untuk pencarian resiko, sehingga dengan ativitas evaluasi dapat diketahui control yang belum dipenuhi. kemudian dilakukan analisis resikonya (risk analysis) sehingga

menghasilkan proses bisnis dengan tingkat resiko tinggi (high), rendah (low), dan sedang (medium). Penilaian resiko (risk assessment) adalah proses yang digunakan untuk mengidentifikasi dan mengevaluasi resiko serta efek potensial yang terkait dengan proses bisnis.

Maturity Model

Maturity model dibuat berdasarkan

metode untuk mengevaluasi

organisasi. Model ini terdiri dari 6

tingkatan, mulai dari 0 (non-existent)

sampai 5 (optimized).

(12)

Tinjauan pustaka(con`t)

Framework CobiT 4.1

Tujuan Framework COBIT adalah menyediakan management dan pemilik bisnis model tata

kelola IT yang membantu dalam memberikan nilai IT, dan pemahaman dalam mengelola resiko IT. Cobit memiliki empat domain proses yang saling terkait yaitu : Plan and Organize

(PO), Acquire and Implement (AI), Deliver and Support (DS), serta Monitor and Evaluate (ME).

Masing – masing proses TI dalam domain tersebut memiliki objectif control yang perlu dipertimbangkan untuk memberian kepastian bahwa tujuan bisnis akan dicapai dan kejadian yang tidak diinginkan dapat dicegah, dideteksi atau dikoreksi.

ISO/IEC:27002

ISO/IEC 27002 terdiri atas 127 kendali dalam 11 kategori pengelolaan informasi.

Tujuan ISO/IEC 27002 adalah untuk memberikan rekomendasi manajemen pengelolaan informasi. Penerapan standar ISO 27002 akan memberikan

benefit yang lebih nyata bagi organisasi bila

didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerja sistem pengelolaan informasi, sehingga sistem informasi akan bekerja lebih efektif dan efisien.

Perangkat evaluasi

Merupakan alatbantu yang berfungsi

untuk membantu dan mempermudah

pelaksanaan evaluasi oleh evaluator.

(13)

Mapping cobit 4.1 dan ISO/ IEC 27002

Frameworkseperti COBIT (Control Objective for Information and Related Technology) dan

ISO/IEC 277002 memberikan panduan bagaimana mengukur kinerja organisasi dalam penggunaan informasi. Analisa instrument ini bisa digunakan dalam pembuatan kebijakan atau

perencanaan pedoman guideline di tingkat pengambilan keputusan strategis. Pemetaan dari kedua framework mengacu kepada pedoman dari IT Governance Institute yaitu Aligning

(14)

Metode Penelitian.

• Tahapan metode dalam pembuatan tugas akhir ini adalah :

1. Persiapan

- Studi literatur

- Survey pada studi kasus

2. Pengumpulan Data : - Review dokumen terkait - Wawancara

- observasi

3. Pengolahan dan analisis data:

-Identifikasi dan analisa kontrol objective pada Cobit 4.1 - Mapping pada ISO/IEC 27002

- Mapping standart kontrol objective dengan kontrol yang diterapkan Diskominfo.

- Risk Assesment

4. Pembuatan Perangkat evaluasi : - Identifikasi komponen perangkat evaluasi - Menyusun perangkat evaluasi.

- Temuan evaluasi

- Pembuatan penilaian evaluasi. - Pembuatan evaluasi plan. -pembuatan rekomendasi.

5. Pembuatan Laporan Tugas Akhir

(15)

1. persiapan

a. Studi literatur

• Studi literatur digunakan untuk mendapatkan gambaran menyeluruh dari apa yang telah dikerjakan sebelumnya dan apa yang akan kita lakukan selanjutnya.

• literatur tersebut dilakukan pembelajaran terhadap permasalahan yang terkait, seperti identifikasi komponen, jenis data, pengolahan data, penyimpanan data serta arsitektur informasi yang ada pada Dinas Komunikasi Dan Informatika Jawa Timur.

b. Survey pada studi kasus

• pada tahap ini penulis merumuskan masalah, tujuan dan manfaat penelitian yang akhirnya akan dimengerti hal apa saja yang diharapkan dari hasil penelitian ini.

(16)

2. Pengumpulan data.

• pengumpulan informasi, seperti SOP yang telah diterapkan sebelumnya dan

dokumen terkait lainnya sesuai dengan pengembangan dan pemeliharaan data.

a. Review dokumen terkait

• Proses wawancara dilakukan dengan menjelaskan terlebih dahulu control objective dan detil dari control objective dari proses yang dianalisa kepada responden serta melakukan

pemeriksaan ulang terhadap jawaban responden dengan bukti yang ada sehingga diperoleh

keyakinan terhadap jawaban tersebut.

b. Wawancara

• Dengan melakukan observasi, membantu untuk memperoleh data yang tidak didapatkan dengan metode wawancara. Pada tahap ini juga dilakukan

pengamatan secara langsung mengenai resiko apa saja yang muncul beserta dampak yang ditimbulkan dari resiko tersebut terhadap sistem informasi yang ada di Dinas Komunikasi Dan Informatika Jawa Timur.

(17)

3. Pengolahan dan analisis data.

• Pada cobit 4.1 kita menggunakan kontrolobjektif DS 11, mengenai manage data.

yang nantinya akan membahas mengenai identifikasi kebutuhan data. Proses pengelolaan data juga meliputi pembentukan prosedur yang efektif untuk mengelola media data, backup dan recovery data, dan pembuangan media

Identifikasi kontrol objektif pada Cobit 4.1

• Melakukan mapping antara Cobit 4.1 pada sub control objective DS11 dengan ISO/IEC 2702, hal ini bertujuan untuk melakukan evaluasi dengan lebih teknis dan terkontrol.

Mapping pada klausul ISO/IEC 27002

• Proses risk assesment ini digunakan untuk menentukan resiko yang ada, sehingga dapat

membantu apakah resiko tersebut high, low atau medium. Proses penilaian Risk assessment ini dengan menggunakan standart ISO/IEC 27002, yang mana pada penilaian risk assessment ini nantinya kita akan mmelakukan perhitungan probabilitas dari dampak kejadian dalam skala

periode tertentu dan selanjutnya akan dilakukan dampak yang berpenganruh terhadap hasil

probabilitas

(18)

4.Pembuatan perangkat evaluasi

4.3 Temuan Evaluasi

temuan didapat dari hasil checklist perangkat evaluasi, selanjutnya hasil checklist disesuaikan dengan kebijakan dan peraturan yang ada di Diskominfo. Sehingga di dapat temuan yang dapat digunakan sebagai acuan rekomendasi yang dapat digunakan perbaikan pihak Diskominfo dalam melakukan proses pengelolaan data

yang lebih baik.

4.2 Menyusun Perangkat Evaluasi.

perangkat evaluasi digunakan untuk membantu evaluator dalam melakukan evaluasi. Dalam hal ini termasuk daftar pertanyaan atau checklist, dan tindakan apa yang harus dilakukan evaluator terhadap jawaban responden. Pertanyaan checklist mengacu pada hasil identifikasi klausul ISO/IEC 27002 dari hasil mapping terhadap Cobit 4.1 pada sub kontrol objectife DS11dan hasil dari penilaian risk assessment yang berkategori

tinggi.

4.1 Identifikasi penyusunan perangkat evaluasi

peninjauan dokumen yang telah dilakukan pada tahap sebelumnya seperti peraturan atau kebijakan perusahaan, SOP ataupun berdasarkan penilaian yang telah dilakukan.

(19)

Con`t

Rekomindasi evaluasi merupakan proses perbaikan yang perlu dilakukan, evaluasi selain menilai juga diperlukan untuk penyediaan rekomendasi panduan praktek bagi manajemen dalam peningkatan kulitas dan efektivitas dari

inisiatif penataan TI yang diimpplementasikan. penyusunan rekomendasi, evaluasi SI/TI seharusnya menggambarkan

area perbaikan yang perlu dilakukan perusahaan berdasarkan uji kepatutan dan tingkat kedewasaan saat pelaksanaan evaluasi.

4.5 Pembuatan Evaluasi Plan

Pada tahap ini dilakukan dokumentasi dalam pembutan pedoman evaluasi. Pedoman evaluasi berisi mengenai langkah langkah dalam melakukan proses evaluasi. Yang terdiri dari evaluasi plan, ekseskusi dan report.

4.4 Pembuatan Penilaian Evaluasi.

dilakukan penilaian dengan acuan 6 kematangan pada Maturity Model untuk mengetahui kondisi perusahaan sekarang ini. Sehingga dari penilaian ini, nantinya akan didapat kesimpulan mengenai kondisi perusahaan saat

ini dan kondisi yang diharapkan

(20)

Con`t

5. Pembuatan Laporan Tugas Akhir

• Setelah serangkaian proses evaluasi dilakukan selanjutnya dibuat suatu

dokumentasi evaluasi dari setiap langkah dari awal sampai akhir.

• Dari pembuatan laporan ini sekaligus didapat kesimpulan dari proses-proses

tersebut didokumentasikan dan ditulis dalam sebuah laporan yang sesuai dengan

format tugas akhir sehingga menghasilkan laporan tugas akhir.

(21)

Metodologi

Eksisting condition

Define risks, scope, and asset.

Target for improvement

evaluasi Process

(22)

Survey Pada Studi Kasus

(Struktur Organisasi)

Kepala Dinas

SEKRETARIAT

SUB BAG. TATA

USAHA PENYUSUNAN SUB BAG. PROGRAM SUB BAG. KEUANGAN KELOMPOK JABATAN FUNGSIONAL BIDANG PENGEMBANGAN TEKNOLOGI INFORMATIKA BIDANG JARINGAN KOMUNIKASI BIDANG DISEMINASI DAN INFORMASI SEKSI PENGEMBANGAN PERANGKAT LUNAK SEKSI PENGEMBANGAN PERANGKAT KERAS SEKSI LAYANAN TIK SEKSI LAYANAN INFORMASI PUBLIK SEKSI MEDIA INTERAKTIF SEKSI MEDIA INFORMASI SEKSI KOMUNIKASI SOSIAL SEKSI KEMITRAAN PROFESI KOMUNIKASI & PROFESI

SEKSI KOMUNIKASI PEMERINTAH UPTD BIDANG PEMBERDAYAAN TEKNOLOGI INFORMASI DAN KOMUNIKASI BIDANG POS DAN TELEKOMUNIKASI BIDANG PENGELOLAAN INFRASTRUKTUR TEKNOLOGI INFORMASI DAN KOMUNIKASI SEKSI PEMBERD. TIK PEMERINTAH SEKSI PEMBERD. TIK MASYARAKAT SEKSI PENGEMB. MUATAN TIK SEKSI POS DAN FILATELI SEKSI TELEKOMUNIKASI SEKSI PENGAWASAN DAN PENERTIBAN SEKSI PENGEMBANGAN INFRASTRUKTUR TEKNOLOGI INFORMASI DAN KOMUNIKASI SEKSI PENGENDALIAN INFRASTRUKTUR TEKNOLOGI INFORMASI DAN KOMUNIKASI SEKSI PEMELIHARAAN INFRASTRUKTUR TEKNOLOGI INFORMASI DAN KOMUNIKASI

(23)

Survey Pada Studi Kasus

(Uraian Tugas)

• Bidang Pengembangan Tenologi Informatika mempunyai tugas melaksanakan pengembangan dan pengendalian serta pemeliharaan sarana prasarana teknologi informatika. Untuk melaksanakan tugas sebagaimana dimaksud pada diatas Bidang Pengembangan Teknologi Informatika, mempunyai fungsi:

• Pelaksanaan penyusunan pedoman dalam rangka pengembangan teknologi informatika dan komunikasi.

• Pelaksanaan penyusunan kebutuhan dan konfigurasi perangkat keras, perangkat lunak, dan layanan teknologi informasi dan komunikasi.

• Pelaksanaan pemeliharaan perangkat keras dan perangkat lunak.

• Pelaksanaan koordinasi dalam rangka pengembangan teknologi informasi dan komunikasi. • Pelaksanaan tugas-tugas lain yang diberikan oleh Kepala Dinas.

• Bidang Pengembangan Teknologi Informatika, terdiri atas: • Seksi Pengembangan Perangkat Lunak.

• Seksi Pengembangan Perangkat Keras.

• Seksi Layanan Teknologi Informasi dan Komunikasi.

• Masing-masing seksi dipimpin oleh kepala seksi yang berada di bawah dan bertanggung jawab kepada Kepala Bidang.

(24)
(25)
(26)

Observasi

Kontrol Administratif

Supervisi terhadap para pegawai. Pembinaan dan pelatihan SDM

Pemisahan tugas-tugas setiap individu Laporan perbaikan sistem ketika mengalami kegagalan sistem

Kontrol Operasi

Kontrol terhadap peralatan dilakukan secara berkala (1 hari sekali)

Pemberian kunci terhadap pintu masuk dan lemari server pada 2 orang yang berbeda

Pengendalian terhadap virus: memakai software antivirus berlisensi selama 1 tahun

(27)

Observasi (con`t)

Perlindungan

terhadap pusat data

Pada

prakteknya

suhu di ruangan

yang

berisi

peralatan komputer

berada pada tingkat

70 dan 74 derajat

Fahrenheit.

Sedangkan

pada

ruangan

server

berada pada tingkat

80 dan 90 Farenheit.

Kontrol Perangkat

Keras

Fault-tolerant

hanya ada

pada

transaksi. Toleransi

kegagalan

pada

level

transaksi

ditangani

melalui

mekanisme

basis

data yang disebut

rollback

, yang akan

mengembalikan ke

keadaan

semula

yaitu

keadaan

sebelum

terjadi

kegagalan transaksi.

Kontrol Akses

Setiap

pemakai

dilengkapi dengan

hak akses, NIP dan

password.

NIP

(28)

Identifikasi aset

Melakukan identifikasi ancaman (threat) terhadap sistem informasi sebagai aset instansi dan dampak bisnis terkait dengan ancaman tersebut.

Melakukan identifikasi terhadap kelemahan (vulnerability) yang dapat memicu terjadinya ancaman (threat).

(29)
(30)
(31)

Risk Assesment

Company Logo

• Dalam penilaian risiko, penulis mengestimasi bobot dari berbagai ancaman dan serangan yang terjadi di institusi. Aktivitas yang dilakukan dalam penilaian risiko meliputi: probabilitas terjadinya ancaman dalam skala periode tertentu disertai frekuensi kejadian serangan dan ancaman yang ada pada tabel serta dampak bagi perusahaan pada tabel. Setelah itu untuk mendapatkan perhitugan nilai dari risiko yang ada tinggal dikalikan antara probabilitas dan dampak yang dihasilkan yang berdasarkan dari panduan implementasi ISO/IEC 17799:2000. • Dengan mengetahui setiap bobot nilai dari risiko yang ada, diharapkan penulis dapat

mendesain sebuah rancangan tata kelola TI yang efektif dan efisien untuk mengelola risiko TI yang terjadi.

Probabilitas kejadian Frekuensi Nilai

Tidak pernah terjadi Tidak pernah 0

Sangat rendah 2-3 kali setiap 5 tahun 1

Rendah <= 1 kali per tahun 2

Sedang <= 1 kali setiap 6 bulan 3

Tinggi <= 1 kali setiap bulan 4

Sangat tinggi >=1 kali setiap bulan 5

(32)

Risk Assesment

Dampak kejadian Derajat dampak Nilai

Tidak berpengaruh Tidak mempunyai dampak. 0

Minor Tidak perlu usaha lebih untuk

memperbaiki.

1

Signifikan Dampak dapat diukur, perlu usaha

lebih untuk memperbaiki.

2

Merusak Merusak reputasi dan keyakinan

perusahaan.

Memerlukan sumber daya lebih untuk memperbaiki

3

Serius Kehilangan konektivitas.

Kehilangan banyak data atau layanan. 4

Parah Kegagalan sistem permanen. 5

Perhitungan risiko (Probabilitas x Dampak) Nilai 0 Tidak pernah 1-3 Rendah 4-7 Sedang 8-14 Tinggi 15-19 Kritis 20-30 Ekstrim

(33)
(34)
(35)

Analisis resiko

• Dari hasil penilaian risiko diatas adalah sebagai berikut:

1. Risiko tersebut ada karena pada umumnya terdapat kelemahan

dalam hal dokumentasi, kurangnya dokumentasi tertulis pada

setiap aktifitas, sehingga menimbulkan data atau informasi,

kurang tersalurkan dengan baik.

2. Banyak terdapat risiko dengan kategori Tinggi bahkan kritis

yang dapat memberikan dampak negatif bagi institusi,

misalkan, tidak ada retensi data yang disimpan, sehingga

mudah terjadi crash.

(36)

Con`t

3

. Diperlukan disaster recovery planning yang dibuat untuk menangani risiko

yang menghasilkan dampak yang serius bagi institusi pemerintahan

tersebut sehingga tidak menggangu proses bisnis yang ada.

4. Penanganan risiko dilakukan terhadap ancaman yang mempunyai penilaian

Tinggi – Ekstrim. Hal ini dikarenakan sumberdaya yang tersedia di Dinas

Kominfo tidak mencukupi untuk melakukan penanganan risiko terhadap

semua risiko yang muncul. Oleh karena itu untuk risiko yang berkategori

Tidak berpengaruh – Sedang disusun sebuah tindakan perbaikan yang dapat

segera diimplementasikan kepada institusi tersebut dalam rangka untuk

menghemat sumberdaya yang ada dan dapat diimplementasikan melalui

persetujuan seorang Kepala Bidang Pengembangan TI.

(37)

PEMBUATAN PERANGKAT EVALUASI

(38)
(39)
(40)
(41)

Penyusunan Perangkat dan penilaian Evaluasi.

• Perangkat evaluasi ini digunakan sebagai perangkat untuk

membantu pihak evaluator dalam melakukan evaluasi.

• Pembuatan perangkat evaluasi ini dengan menggunakan acuan

ISO/IEC 27002.

• perangkat evaluasi ini, tidak hanya membantu pihak evaluator

melakukan evaluasi, namun juga terdapat beberapa tindakan

yang akan menuntun pihak evaluator terhadap jawaban

responden.

• Pembuatan penilaian evaluasi , bertujuan membatu pihak

evaluator atau orang yang ingin melakukan penilian dan

menentukan pada posisi atau level mana posisi organisasi

sekrang ini.

(42)

Penyusunan Perangkat dan penilaian Evaluasi

.

• Pedoman penilaian ini dilakukan dengan pengukuran tingkat

kematangan yang dilakukan dengan mempertimbangkan

6atribut kematangan Cobit yang meliputi:

1

) Awareness and communication (AC).

2) Policies standards and procedures (PSP).

3) Tools and automation (TA).

4) Skills and expertise (SE).

5) Responsibilities and accountabilities (RA).

6) Goal setting and measurement (GSM).

(43)
(44)
(45)

Uji Coba Perangkat Evaluasi (1)

• Proses uji coba bertujuan untuk mengetahui apakah perangkat evaluasi ini

telah sesuai dengan kondisi dan kontrol yang dibutuhkan oleh pihak

institusi terkait.

• Dari hasil uji coba ini, nantinya juga diharapkan adanya contoh temuan

atau jawaban, terkait pertanyaan yang telah diajukan pada daftar

pertanyaan checklist.

• Uji coba perangkat evaluasi ini dilakukan dengan memberikan perangkat

evaluasi berupa daftar pertanyaan checklist yang dibuat untuk pihak

independen Diskominfo jatim, khususnya bidang PTI pada pengembangan

perangkat lunak (software).

(46)

Uji Coba Perangkat Evaluasi (2)

PERANGKAT EVALUASI

key area ISO/IEC

27002

point Kontrol checklist respon instruksi contoh jawaban

dan keterangan 6.8.4 electronic messaging penggunnaan pesan elekronik yang digunakan organisasi dalam menunjang dan mempermudah penyampaian informasi perusahaan, seperti email, chatting dll. melakukan maintenance sistem dan testing

secara reguler 4. jika listrik mati, apakah

pesan elektronik

tetap bisa menyala?

4.1 jika ada kontrol yang dilakukan pada saat

pemadaman listrik, maka akan dilakukan pengecekan dan kontrol oleh evaluator, untuk mengetahui kontrol seperti apa yang dilakukan

Diskominfo dalam

menanggapi pemadaman listrik terhadap pesan elektronik.

ya, adanya kontrol yang dilakukan Diskominfo dalam

menanggapi permasalahan listrik padam. Adanya UPS dan

ganset, sehingga

ada beberapa media dan data penting saja yang

akan tetap menyala, sehingga proses bisnis tidak sampai terhenti. 4.2 jika tidak ada, dapat

dijadikan temuan dan

informasi bagi evalutor, bahwa tidak ada kontrol yang dilakukan dalam masalah pemadaman listrik.

(47)

Revisi perangkat evaluasi.

• Revisi dilakukan untuk memperbaiki pertanyaan yang sulit

dijawab maupun yang sulit dipahami oleh evaluator.

• Hasil dari tahap revisi ini membuat perbaikan terhadap

pertanyaan yang ada pada checklist, yang nantinya dapat

dengan mudah memahami dan menjawab pertanyaan.

(48)

Contoh revisi perangkat evaluasi (2)

(49)
(50)

Kesimpulan

1. Proses evaluasi ini berfokus pada area perbaikan terhadap pengolaan data pada Diskominfo, hal ini dikarenakan data kurang dipelihara dengan baik dan rentan terhadap serangan serta ancaman dari berbagai pihak.

2. Kondisi pengelolaan data yang dilakukan saat ini, yang melibatkan keakuratan, kelengkapan dan kemanan isi data, kurang mendapat perhatian. Hal ini dikarenakan tidak adanya dokumentasi dan pelaporan tertulis yang mempengaruhi tidak tersalurkannya informasi dengan baik.

3. Terdapat beberapa kontrol yang telah diterapkan oleh Diskominfo, beberapa kontrol tersebut adalah kontrol administratif, kontrol operasi dan kontrol fisik.

4. Daftar checklist dibuat dengan beberapa acuan seperti, hasil pemetaan Cobit 4.1 dan ISO/IEC 27002, yang membahas mengenai pengelolaan data, penilaian berdasarkan tingkat resiko tertinggi dan pengukuran menurut 6 nilai kematangan berdasarkan Maturity model.

(51)

Saran

1. Agar tersalurkannya informasi dengan baik dan tidak melibatkan ketergantungan antar perseorangan, perlu adanya prosedur dalam dokumentasi tertulis yang nantinya dapat

membantu dalam beberapa proses bisnis, sehingga mempermudah dalam mencari solusi jika terlibat permasalahan.

2. Dalam pembagian tugas kerja, khususnya dalam pengelolaan data. Dinas komunikasi dan informatika Jawa Timur, dapat melakukan penambahan sumber daya, yang bertujuan mengoptimalkan kinerja organisasi.

3. Tujuan pembuatan evaluasi ini untuk mencapai hasil yang diharapkan secara optimal, perlu adanya antisipasi permasalahan dan memperbaiki kekurangan. Maka dari ini diperlukannya pemantauan dari manajemen tingkat atas untuk meninjau sistem manajemen pengelolaan data yang sudah dibuat pada selang waktu terencana.

(52)

Saran (con`t)

4. Adanya pengoptimalan tempat dan sarana dalam penyimpanan data-data

perusahaan. Seperti halnya ruang server, yang merupakan pusat data dan

pengaturan kinerja sistem, sebaiknya diberikan ruangan dengan fungsi

kenyamanan dan keamanan yang cukup dalam menjaga data perusahaan.

(53)

Daftar Pustaka

Alter, S. (1996). Information system: a managent persperctive. Benjamin Cummings : Menlo park, CA

Bodnar, George H, & Hopwood, William S. (2004). Accounting Informastion System (9th

edition). Prentice Hall International, Inc,: London

• Commite of Sponsoring Organizations of the Tradway Commission. (1994). Internal Control- Inegrated Framwork.

• Gallegos, Frederick (2002). IT Evaluasi Report and Follow-up:methods and Techniques for Communicatin Evaluasi Findings and Recommendations. Information System Kontrol

Journal (online), Vol.4.

• ISACA, CISA Review Manual, USA, 2006

Weber, Ron. (2000). Information System Controls and Evaluasi. Prentice Hall, Inc.: New Jersey.ISACA, (2007). The IT Governance Institute, Cobit 4.1, USA.

Hardyansyah, Wilis. (2011). Perancangan Model Tata Kelola Teknologi I nformasi berdasarkan ISO/IEC 17799: 2000 pada Proses Pengamanan Sistem Informasi Studi Kasus: Dinas

(54)

Referensi

Unduh sekarang ( PDF - 54 Halaman - 2.33 MB )

Dokumen terkait

Kajian Ekoteologi terhadap Program Kerja. GPIB Jemaat Maranatha Balikpapan. Oleh, Gladys Marseline Wilhelmina Rompas TUGAS AKHIR

Suatu perjalanan yang cukup panjang, tetapi kasih setia Tuhan Yesus Kristus yang tidak pernah berhenti penulis rasakan hingga penulis dapat menyelesaikan tugas akhir ini

ANALISIS RISIKO FINANSIAL INVESTASI JALAN TOL AKIBAT PERUBAHAN INFLASI (Studi Kasus: Jalan Tol Nusa Dua-Ngurah Rai-Benoa)

Penelitian ini menunjukkan bahwa perubahan nilai suku bunga saja tidak cukup tanpa mempertimbangkan pengaruh inflasi terhadap nilai discount rate, diperoleh pengaruh

PELAKSANA PEKERJAAN ILUMINASI

Unit kompetensi ini harus diujikan secara konsisten pada seluruh elemen kompetensi dan dilaksanakan pada situasi pekerjaan yang sebenarnya di tempat kerja atau di luar

POLA ASUH ORANG TUA PENYANDANG TUNAGRAHITA DALAM KEMANDIRIAN ANAK TUNAGRAHITA DI BUNGO PASANG PAINAN

Bentuk pola asuh yang diterapkan orang tua penyandang tunagrahita dalam kemandirian anak tunagrahita di Bungo Pasang Painan mengarah pada bentuk pola asuh

Desak Gede Risna Ardani 1 Maylanny Christin, SS., M.Si. 2 Adi Bayu Mahadian, S.Sos., M.I.Kom 3

Selain memiliki makna bersih, dan konservatif seperti yang sudah penulis sebutkan sebelumnya pada hasil penelitian, biru, selama ini cenderung diidentikkan sebagai

BAB I PENDAHULUAN. keselamatan kerja. Hal ini disebabkan karena 65% penduduk Indonesia. adalah usia kerja 30% bekerja disektor formal dan 70% disektor

nyeri karena terdapat iritasi pada ligament, pada kasus hernia nukleus pulposus lumbal, ligament yang akan mengalami iritasi adalah ligament longitudinal posterior karena

Team project 2017 Dony Pratidana S. Hum Bima Agus Setyawan S. IIP

(2003:722), strategi pemasaran adalah suatu proses pengidentifikasian segmentasi pasar (segmentation), pemilihan segmentasi yang menarik dan konsisten dengan sumber daya

Tak seperti hari-hari kemarin, sejak pagi tadi mentari

Aku tidak akan pernah peduli dengan apa pun yang kau lakukan padaku maupun Tooya, tapi jika kau mulai menyakiti Ela, aku tidak bisa diam saja.”.. “Hentikan Sun!” Kali ini