Kontrol dan Audit Keamanan Sistem Informasi Diskominfo.

(1)

viii

ABSTRACT

Nowadays, information system security is very important for companies, private

companies and also corporate governance. Every security in information system

influences security problems, because if there is no security system to secure

data or important documents, then there will be a lot of information that came

out with is not good and true. Therefore, security is very important to maintain

integrity and the data and documents of a company's performance for the entire

process in a company that is better and also avoid the various problems and

risks that might occur. DISKOMINFO is one government-owned company that

works to provide information to the Indonesian people, especially in areas West

Java. So, it needs to be audited against DISKOMINFO in order to obtain the

best solution and also assess the performance of employees, the problem will

be lack of awareness for the security aspect. Audit conducted pursuant to

COBIT framework. Writer use conducted data collecting method by interview,

observation, application analysis and of survey field. Besides, writer will give

some input and solution from result of audit, so it can help the company to

improve performance of application to reach the target of which is expected.

(2)

ix

ABSTRAK

Sekarang ini kemanan sistem informasi sangat penting sekali bagi perusahaan,

perusahaan swasta dan juga perusahaan pemerintahan. Semuanya itu sangat

berpengaruh untuk masalah kemanan, karena jika tidak ada sistem keamanan

untuk mengamankan data atau dokumen yang penting, maka akan ada banyak

sekali informasi yang keluar dengan tidak baik dan benar. Oleh karena itu

kemanan sangant penting untuk menjaga intergritas dan juga data serta

dokumen suatu perusahaan agar seluruh proses kinerja di dalam sebuah

perusahaan itu menjadi lebih baik dan juga terhindar dari berbagai masalah

serta resiko yang mungkin bisa terjadi. DISKOMINFO adalah salah satu

perusahaan milik pemerintah yang bekerja untuk memberikan informasi kepada

masyarakat Indonesia khususnya di daerah jabar. Untuk itu, perlu dilakukan

audit terhadap DISKOMINFO agar bisa mendapatkan solusi yang terbaik dan

juga menilai kinerja para pegawai, masalah akan kurangnya kesadaran untuk

segi keamanan. Pengauditan dilakukan berdasarkan framework COBIT. Penulis

menggunakan metode pengumpulan data yang dilakukan dengan cara

wawancara, observasi, analisis aplikasi dan survey lapangan. Selain itu penulis

juga memberikan beberapa solusi dan masukan dari hasil audit, agar

diharapkan dapat membantu perusahaan meningkatkan kinerja dari aplikasi

untuk mencapai tujuan yang diharapkan.

(3)

x

DAFTAR ISI

LEMBAR PENGESAHAN ... i

PRAKATA ... iii

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... v

PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... vii

ABSTRACT ... viii

1.4 Ruang Lingkup Pengajian ... 4

1.5 Sumber Data……...4

1.6 Sistematika Penulisan ... 4

BAB II Kajian TEORI ... 7

2.4 Manage the Physical Environment………..26

2.4.1 Control Objective……….26

2.4.2 Maturity Model……….28

2.5 Manage IT Human Resource……….……….………..32

2.6 Educate and Train Uuser………..………..37

2.7 Manage Problem…………..………..42

2.8 Manage Operation………..47

2.4 Monitor and Evaluate IT Performance………..52

(4)

xi

3.2 Manage Data………73 3.2.1 Control Objective……….73

3.3 Manage the Physical Environtment.………...………76

3.4 Manage IT Human Resource.………81

3.5 Educate and Train User………87

3.6 Manage Problem………91

3.7 Manage Operation……..………94

3.8 Monitoring and Evaluete IT Performance………97

BAB IV SIMPULAN DAN SARAN 4.1 SIMPULAN……….………103

4.2 SARAN………...……….103

DAFTAR PUSTAKA………..………..……106

(5)

1

BAB I

PENDAHULUAN

1.1 Latar Belakang Masalah

DISKOMINFO adalah salah satu perusahaan BUMN dengan salah

satu misi untuk meningkatkan kualitas dan kuantitas dan SDM di bidang

teknologi informasi. Adapun tugas pokok DISKOMINFO Provinsi Jawa

Barat adalah melaksanakan sebagian tugas umum Pemerintahan

Provinsi Jawa Barat dalam merumuskan kebijakan teknis dalam

melaksanakan kewewenangan di bidang Sitel sesuai kebutuhan Daerah

dan Kewenangan yang dilimpahkan kepada Gubernur. Untuk

melaksanakan tugas tersebut, DISKOMINFO mempunyai fungsi untuk

melakukan perumusan kebijakan teknis di bidang Sitel dan pelaksanaan

penunjang Pemerintah Daerah di bidang Sitel. Oleh karena itu

dibutuhkan keamanan yang terjamin untuk melakukan segala aktifitas

dan dalam pengelolaan software maupun hardware yang akan dikerjakan oleh DISKOMINFO, dan juga untuk data – data yang ada harus bisa digunakan dengan sebaik – baiknya.

Di dalam DISKOMINFO ada beberapa kelemahan dalam segi

keamanan, baik software, hardware dan juga SDM. Di tiap divisi ada banyak data yang bisa diakses, tetapi untuk mengakses data tersebut

perlu sebuah username dan password, dan para pegawai DISKOMINFO

memberikan username dan password sesuai dengan nama tiap divisi,

dan ini merupakan salah satu kelemahan dalam segi keamanan. Oleh

karena itu penulis ingin membantu DISKOMINFO dalam segi keamanan

sistem infomasi dengan mengaudit DISKOMINFO menggunakan Cobit

Guideliness 4.1 yang akan dipilih 8 proses (DS5, DS11, DS12, PO7,

(6)

2

baik dalam segi keamanan hardware, software dan SDM. 8 proses itu dipilih karena semuanya berhubungan 1 sama lain dengan keamanan

dalam segi hardware dan software dan juga untuk SDM. Berikut ini adalah beberapa alasan kenapa memilih 8 proses tersebut dan beberapa

masalah DISKOMINFO yang berhubungan dengan 8 proses yang dipilih :

1. Ensure Systems Security (DS5) karena didalam DISKOMINFO, masih terdapat beberapa kelemahan dalam segi keamanan

sistem informasinya contohnya adalah tidak memasang

antivirus untuk server. kurangnya batasan untuk mengakses ruangan server dan

kurangnya keamanan di dalam ruangan server, karena jika ada

masalah di dalam server, baru server diperhatikan. JIka tidak

ada masalah dibiarkan berjalan serperti itu dan maintenance

yang bisa dikatakan kurang baik

4. Manage IT Human Resources (PO7) karena kurangnya

kesadaran dari segi SDM akan pentingnya keamanan data,

serta ada beberapa pegawai yang kurang menguasai software

yang ada dan para pegawai kurang mematuhi peraturan yang

ada dan tidak terlalu diterapkan di DISKOMINFO.

5. Educate and Train User (DS7) karena masih kurangnnya

pelatihan yang diberikan kepada para pegawai, dan juga masih

ada beberapa pegawai yang kurang menguasi software yang

ada didalam DISKOMINFO, serta jenjang karir yang kurang

(7)

3

6. Manage Problems (DS10) karena tidak ada manajemen untuk mengatasi masalah yang ada, walaupun sudah melakukan

identifikasi masalah dan pengelompokan masalah dalam segi

software dan hardware.

7. Manage Operations (DS13) karena masih kurangnya keahlian para pegawai jika terjadi masalah dan juga peraturan yang

kurang dipatuhi oleh beberapa pegawai walaupun suda ada

peraturan yang jelas.

8. Monitor and Evaluate IT Performance (ME1) karena belum ada

monitoring method untuk memonitor dan mengevaluasi kinerja

dari proses bisnis yang terjadi, terutama di dalam bagian

Telematika

1.2 Rumusan Masalah

Berdasarkan uraian permasalahan tersebut, maka dapat dirumuskan

sebagai berikut :

1. Apakah solusi terbaik untuk masalah keamanan hardware dan

software di dalam DISKOMINFO agar kinerja IT bisa lebih baik? 2. Bagaimana cara untuk meningkatkan kesadaran para pegawai IT

akan pentingnya menjaga kemanan sistem informasi didalam

DIKSOMINFO?

3. Apakah server dan data yang ada sudah terjaga dengan baik dari

berbagai masalah yang ada ?

1.3 Tujuan Pembahasan

Tujuan yang ingin dicapai oleh penulis adalah sebagai berikut :

1. Memberikan solusi yang terbaik untuk masalah keamanan dalam

(8)

4

2. Memberikan seluruh hasil dokumentasi dan observasi kepada

DISKOMINFO sebagai bahan referensi untuk bahan pertimbangan

maupun informasi yang berguna untuk segi keamanan.

3. Belum terjaga dengan baik, oleh karena itu penulis memberi

tahukan dampak yang mungkin terjadi jika para pegawai tidak

memiliki kesadaran yang tinggi akan pentingnya menjaga

keamanan system informasi yang ada di dalam DISKOMINFO

1.4 Ruang Lingkup Kajian

1. Hanya menangani masalah keamanan data dan SDM yang

berhubungan dengan sekuritas.

2. Menganalisis dan riset dengan menggunakan COBIT 4.1

3. Proses analisis dan evaluasi proses DS5, DS11, DS12, PO7,

DS7, DS10, DS13, ME1 menggunakan COBIT 4.1.

1.5 Sumber Data

Sumber data yang digunakan untuk mendapatkan data yang diperlukan

oleh penulis adalah sebagai berikut :

1. Observasi di DISKOMINFO

2. Wawancara dengan pimpinan , staff yang berada dalam divisi

tersebut

3. Studi pustaka, buku ataupun internet

1.6 Sistematika Penulisan

Adapun sistematika penulisan laporan tugas akhir sebagai berikut :

BAB I Pendahuluan

(9)

5

Yaitu profil perusahaan dan hal-hal yang melatarbelakangi penulis

melakukan tugas akhir

2.

Perumusan Masalah

Yaitu proses-proses yang akan diaudit oleh penulis

3.

Tujuan

Yaitu tujuan dari tugas akhir ini

4.

Batasan Masalah

Yaitu hal-hal yang membatasi penulis melakukan penelitian dan

pengauditan di perusahaan.

5.

Sistematika Penulisan

Yaitu berisi kerangka laporan tugas akhir

6.

Metode dan Teknik Penelitian

Yaitu hal hal yang dilakukan oleh penulis dalam pelaksanaan

penelitian tugas akhir ini, yakni meliputi metode metode dan teknik

teknik penelitiannya.

BAB II Kajian Teori

Teori-teori yang menjadi dasar bagi penulis dalam melakukan tugas akhir

ini. Yaitu teori mengenai COBIT framework dan penjelasan mengenai proses-proses yang akan diaudit.

BAB III Analisis

Proses pengauditan berdasarkan COBIT 4.1 guideline. Menjelaskan bagaimana proses yang dilakukan untuk menilai kepatuhan terhadap

kontrol yang sudah ditetapkan. Apakah sistem yang telah diterapkan saat

ini sudah sesuai dengan standar dari COBIT

(10)

6

Berisi tentang hasil yang didapatkan dari proses analisis berdasarkan

COBIT 4.1 guideline.

BAB V Simpulan dan Saran

Kesimpulan dari seluruh hasil tugas akhir dan saran bagi perusahaan

(11)

103

BAB IV

SIMPULAN DAN SARAN

4.1 SIMPULAN

Kesimpulan dari semua ini adalah, bahwa sebenarnya DISKOMINFO

sudah cukup baik organisasinya karena milik pemerintah, akan tetapi masih

kurangnnya kesadaran dari sumber daya manusia di dalam DISKOMINFO itu

sendiri. Masih banyak para pegawai yang kinerjanya kurang baik dan juga

masalah jam kerja serta peraturan yang tidak diikuti dengan baik, dan juga

sanksi yang diberikan tidak nyata dan tidak bisa menjadi contoh bagi para

pegawai lainnya. Untuk keamanan dalam segi hardware sudah bisa dikatakan

baik karena sudah menggunakan hardware yang memiliki kualitas yang bagus

dan juga proses untuk melestarikan dan menjaga hardware yang ada sudah

dilakukan dengan baik dan memiliki kesadaran akan pentingnya menjaga

kinerja hardware. Untuk segi software sudah baik karena menggunakan

software yang memadai untuk proses kinerja yang terjadi di dalam

DISKOMINFO, akan tetapi masih sedikit sekali kesadaran para pegawai dalam

menjaga dan memahami software yang ada. Dalam segi SDM masih banyak

kekurangan karena masih banyak para pegawai yang kurang menyadari segala

dampak yang bisa terjadi dalam menjaga keamanan data serta lemahnya

kesadaran untuk menjaga password yang ada dalam tiap divisi

4.2 SARAN

Dari hasil penilaian yang sudah di jelaskan penulis dapat memberikan

sedikit saran untuk tiap prosesnya, yaitu :

(12)

104

i. Memasang antivirus didalam server

ii. Memasang antivirus untuk tiap PC pegawai dan juga selalu

melakukan update secara berkala

iii. Menggunakan antivirus asli dan tidak bajakan, karena para

pegawai merasa kesulitan untuk mencari licenses key jika

diperlukan.

2. Untuk Manage Data (DS11)

i. Memberikan kesadaran kepada para pegawai akan

pentingnnya back up data

ii. Memberikan kesadaran agar para pegawai memproteksi

data – data penting.

3. Untuk Educate and Train User (DS7)

i. Memberikan pelatihan bukan hanya kepada para pegawai

yang mempunyai jabatan, tetapi memberikan pelatihan

kepada para pegawai yang dianggap bisa memberikan

kontribusi yang baik untuk perusahaan dengan menilai dan

mengevaluasi hasil kerja para pegawai setiap tahunnya.

ii. Memberikan pelatihan – pelatihan bagi pegawai yang

(13)

105 4. Untuk Manage Problems (DS10)

i. Melakukan evaluasi dan mereview ulang jika hasil kurang

memuaskan.

ii. Sebaiknya segala masalah yang terjadi didokumentasikan

serta mengadakan rapat secara intensive terhadap masalah

yang ada

5. Untuk Manage Operations(DS13)

i. Lebih memperhatikan akan masalah peraturan dan jam

kerja yang ada

ii. Absensi pegawai diperhatikan dengan baik dan benar

iii. Memberikan sanksi yang berat bagi para pelanggar

peraturan dan memberikan sanksi yang nyata bukan hanya

sekedar teguran saja.

Untuk audit opininya, berdasarkan hasil observasi dan data – data yang

didapatkan, maka penulis mengatakan bahwa DISKOMINFO masih QUALIFIED

karena masih banyak kekurangan yang harus diperbaiki dan juga masih banyak

yang harus diperhatikan bagi untuk SDM dan juga untuk kesadaran para

(14)

DAFTAR PUSTAKA

1. Cobit 3 Audit Guidelines, COBIT Steering Committee and the IT Governance InstituteTM

www.isaca.org/cobitonline

2. Cobit 4.1 Audit Guideliness, Framework Control Objectives Management Guidelines Maturity Model

www.isaca.org/cobitonline

3. Artikel Beranda Idrianita, Pengertian COBIT

http://idrianita.wordpress.com/2007/04/27/audit-siti/

4. Weber, Ron (1999), Information Systems Control and Audit, The University of Queensland, Prentice Hall

5. Alvin A, Arens, James K.Loebbecke, Auditing, Edisi Indonesia, Jakarta, 2003.

6. Calder, Alan and Watkins, Steve. (2008). ITGOVERNANCE - A

Manager’s Guide to Data Security and ISO27001/ISO 27002. Kogan Page. United States.

7. IT Governance Institute (2000), Audit Guidelines, COBIT 3rd Edition,

http://www.isaca.org

8. IT Governance Institute (2000), Management Guidelines, COBIT 3rd Edition, http://www.isaca.org.

9. IT Governance Institute (2000), Implemetation Tool Set, COBIT 3rd Edition, http://www.isaca.org.

10. IT Governance Institute (2000), Executive Summary, COBIT 3rd Edition.

http://www.isaca.org.

11. Information System Audit and Control Association (ISACA). (2003), IS Standards,Guidelines and Procedures for Auditing and Control

(15)

12. Audit IT

http://indra.chaidir.info/2009/08/audit-it-%E2%80%93-standar-cobit/

13. COBIT 4.0

http://www.itgi.org/Template.cfm?Section=Home&CONTENTID=24554&T EMPLATE=/ContentManagement/ContentDisplay.cfm

14. Audit menggunakan cobit framework.

http://janeman.wordpress.com/2008/03/26/audit-menggunakan-framework-cobit/

15. Standar Cobit