• Tidak ada hasil yang ditemukan

Pengukuran Indeks Keamanan Sistem Informasi. Berdasarkan Standar ISO 27001

N/A
N/A
Protected

Academic year: 2021

Membagikan "Pengukuran Indeks Keamanan Sistem Informasi. Berdasarkan Standar ISO 27001"

Copied!
22
0
0

Teks penuh

(1)

Pengukuran Indeks Keamanan Sistem Informasi

Berdasarkan Standar ISO 27001

(Studi Kasus Instansi Badan Nasional Penempatan dan Perlindungan

Tenaga Kerja Indonesia)

MAKALAH

Program Studi : Magister Teknik Elektro

Dosen: DR.Ir. Iwan Krisnadi, MBA

Diajukan Oleh :

FANNY WAHYU KURNIAWAN 55414120036

UNIVERSITAS MERCUBUANA

(2)

Pengukuran Indeks Keamanan Sistem Informasi

Berdasarkan Standar ISO 27001

(Studi Kasus Instansi Badan Nasional Penempatan dan Perlindungan Tenaga Kerja Indonesia)

Abstrak

Pada saat sekarang ini, penggunaan teknologi informasi sangat diperlukan dalam mendukung pelaksanaan tugas dan fungsi yang dilakukan oleh pegawai di Instansi Badan Nasional Penempatan dan Perlindungan Tenaga Kerja Indonesia (BNP2TKI), mulai dari penggunaan jaringan internet dan intranet, penggunaan aplikasi email sebagai sarana pertukaran data dan informasi, maupun aplikasi berbasis Teknologi Informasi lainnya. Mengingat pentingnya data dan informasi yang dimiliki oleh Instansi BNP2TKI serta penggunaan Aplikasi Online System BNP2TKI yang digunakan oleh lebih dari 3000 client (stakeholder), maka perlu dilakukan evaluasi terhadap keamanan sistem informasi, guna mengetahui sejauh mana perangkat teknologi keamanan, prosedur dan kebijakan yang dimiliki dapat berfungsi dengan baik. Salah satu cara yang digunakan untuk evaluasi adalah melakukan Pengukuran keamanan sistem informasi. Pengukuran keamanan sistem informasi dapat dilakukan dengan mengacu pada standar Penerapan ISO 27001. Pengukuran keamanan sistem informasi di Instansi BNP2TKI bertujuan untuk mengetahui tingkat keamanan sistem informasi melalui pengukuran tingkat kedewasaan (maturity level) keamanan sistem informasi berdasarkan Standar Keamanan Informasi ISO 27001, sehingga dapat digunakan sebagai rekomendasi dan bahan acuan pihak manajemen pengelola TIK dalam pengambilan keputusan untuk peningkatan keamanan sistem informasi. Langkah-langkah dalam pelaksanaan pengukuran ini dalam rangka penerapan Standar ISO 27001 (SNI 27001) adalah : Mengetahui atau mengukur peran dan tingkat Kepentingan TIK dalam Instansi, Bagaimana Tata Kelola Keamanan Informasi di dalam Instansi, Bagaimana mengelola Resiko Keamanan Informasi, bagaimana Kerangka Kerja Pengelolaan Keamanan Informasi, Bagaimana Pengelolaan Aset Informasinya, serta Bagaimana keefektifan Teknologi dan Keamanan Informasi di dalam Instansi. Berdasarkan hasil pelaksanaan pengukuran keamanan sistem informasi berdasarkan standar ISO 27001 di Instansi BNP2TKI dapat disimpulkan bahwa Peran/Tingkat Kepentingan TIK di Instansi BNP2TKI sangat tinggi, tetapi untuk peran yang lainnya masih rendah sehingga sangat rentan terhadap resiko-resiko dan insiden pelanggaran keamanan. Hal ini dapat diketahui dari hasil pengukuran berdasarakan Indeks Keamanan Informasi yang di lakukan di Instansi BNP2TKI.

(3)

PENDAHULUAN

Latar Belakang

Penggunaan Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi baik kecil maupun besar. Badan Nasional Penempatan dan Perlindungan Tenaga Kerja Indonesia (BNP2TKI) adalah Lembaga Non Kementerian yang bergerak dalam bidang Penempatan dan Perlindungan Tenaga Kerja Indonesia (P2TKI). Oleh karena itu BNP2TKI membangun infrastruktur Jaringan Sistem Informasi yang terhubung ke semua stakeholder P2TKI yang berbasis Teknologi Informasi.

Sebagai salah satu upaya untuk meningkatkan kualitas keamanan informasi pada instasi milik pemerintah, maka Kementrian Kominfo membuat suatu alat bantu untuk mengukur tingkat kematangan dan kelengkapan dalam keamanan informasi yang disebut dengan indeks Keamanan Informasi (KAMI). Indeks KAMI dibuat dengan acuan ISO 27001:2005 yang berisi tentang keamanan informasi. Sedangkan ISO 27001 adalah suatu bentuk kerangka keja standar internasional yang berisi tentang standarstandar dalam area keamanan informasi. ISO 27001 menyediakan kerangka kerja dalam lingkup penggunaan teknologi dan pengelolaan aset yang membantu organisasi memastikan bahwa keamanan informasi sudah efektif. Hal ini termasuk kemampuan akses data secara berkelanjutan, kerahasiaan, dan integritas atas informasi yang dimilikinya.

Dalam proses bisnis utama BNP2TKI yang sangat luas, BNP2TKI memiliki banyak kantor cabang yang tersebar di seluruh wilayah Indonesia (BP3TKI/LP3TKI/P4TKI) dan terhubung langsung dengan kantor pusat BNP2TKI di Jl. MT Haryono Kav.52 Pancoran Jakarta Selatan, serta seluruh stakeholder yang terhubung dengan bisnis proses BNPTKI. Saat ini BNP2TKI memiliki 1 (satu) unit kerja (eselon II) yang menangani Sistem Informasi BNP2TKI baik pusat maupun daerah, baik itu dari segi jaringannya maupun perangkat, hingga perencanaan perangkat tersebut. Dengan banyaknya jaringan serta aplikasi Online System yang terhubung dengan kantor pusat BNP2TKI, akan berdampak pada munculnya risiko keamanan data yang dapat mengancam Sistem Informasi BNP2TKI dalam kegiatan operasionalnya, sehingga perlu

(4)

diadakan pengukuran atas keamanan informasi dengan indeks KAMI pada Unit Kerja Pusat Penelitian Pengembangan dan Informasi (PUSLITFO) untuk mengetahui kondisi terkini keamanan informasi yang kemudian dilanjutkan dengan membuat rekomendasi perbaikan terhadap keamanan informasi tersebut dengan harapan rekomendasi yang telah dibuat digunakan sebagai bahan pertimbangan dalam rangka upaya meningkatkan kualitas keamanan informasi agar dapat memberikan pelayanan yang lebih baik dan dapat diandalkan

(5)

TINJAUAN PUSTAKA

Pusat Penelitian Pengembangan dan Informasi (PUSLITFO) BNP2TKI merupakan unit kerja setara Eselon II yang bertanggung jawab atas segala jaringan dan Sistem Inforrmasiyang ada dalam Instansi BNP2TKI. Saat ini PUSLITFO BNP2TKI sudah memiliki Datacenter yang perancangannya atau insfrastruktur datacenternya sudah di kembangkan dan berada pada Tier-1 menurut TIA 942 (Telecomunication Industry Association).

Kriteria perancangan sebuah data center secara umum antara lain adalah:

 Ketersediaan

Data center diciptakan untuk mampu memberikan operasi yang berkelanjutan dan terus-menerus bagi suatu perusahaan baik dalam keadaan normal maupun dalam keadaan terjadinya suatu kerusakan yang berarti atau tidak. Data center harus dibuat sebisa mungkin mendekati zero-failure untuk seluruh komponennya.

Scalability dan Flexibility

Data center harus mampu beradaptasi dengan pertumbuhan kebutuhan yang cepat atau ketika adanya servis baru yang harus disediakan oleh data center tanpa melakukan perubahan yang cukup berarti bagi data center secara keseluruhan.

Security

Data center menyimpan berbagai aset perusahaan yang berharga, oleh karenanya sistem keamanan dibuat seketat mungkin baik pengamanan secara fisik maupun pengamanan non-fisik.

(6)

ASPEK KETERANGAN

LOKASI

 Berada di luar radius mitigasi bencana/gunung berapi (>15km)  Tidak berada dalam jalur patahan geologi

Jika merupakan data center untuk Disaster Recovery, minimum berjarak > 40km dari data centerutama

 Cukup tersamarkan dari pengenalan publik (tidak ekspose)

SARANA PENUNJANG

 Generator listrik cadangan

 Catuan PLN, dengan minimum 2 sumber pembangkit yang berbeda untuk tier tinggi

Uninterruptible Power Supply (UPS), dengan baterai berkapasitas memadai yang mampu menyediakan pasokan daya sebelum Genset dihidupkan

Pengatur udara (HVAC, Heating, Ventilation, and Air Conditioning), yang mampu menjaga suhu dan kelembaban

KOMUNIKASI

 Memiliki koneksi komunikasi datanetwork lebih dari 1 sumber dengan lebih dari 1 operator untuktier tinggi

 Jika diperlukan, penyiapan koneksi komunikasi data dapat menggunakan akses satelit

Pengamanan jalur komunikasi untuk menjaga confidentiality suatu data /informasi

Keamanan Informasi

Pengertian dari keamanan informasi adalah upaya untuk mengamankan aset informasi dari segala ancaman yang mungkin terjadi untuk mengurangi resiko negatif yang diterima. Semakin banyak informasi yang disimpan di sebuah organisasi maka semakin banyak juga juga resiko yang akan terjadi seperti kerusakan, kehilangan atau juga informasi yang bersifat pribadi bisa tersebar ke pihak yang tidak bertanggung jawab.

(7)

1. Confidentiality, yaitu memastikan bahwa infomasi hanya dapat diakses oleh pihak yang memiliki wewenang.

2. Authenticity, yaitu menjamin informasi tersebut asli

3. Integrity, yaitu memastikan informasi tersebut tepat, lengkap, dan sesuai dengan bentuk semula.

4. Availability, yaitu memastikan informasi dapat diakses oleh orang yang memiliki wewenang tanpa ada keterlambatan waktu jika data sedang dibutuhkan.

5. Non-repudiation, yaitu menjamin pihak pengguna tidak dapat menyangkal keaslian tanda tangan digital (digital signature) pada suatu dokumen atau tempat dalam jaringan tersebut.

Sistem Manajemen Keamanan Informasi (SMKI)

Sistem Manajemen Keamanan Informasi (SMKI) adalah suatu bentuk susunan proses yang dibuat berdasarkan pendekatan resiko bisnis untuk merencanakan (Plan), mengimplementasikan dan mengoperasikan (Do), memonitoring dan meninjau (Check), serta memelihara dan meningkatkan atau mengembangkan (Act) terhadap keamanan informasi perusahaan. Keamanan informasi ditujukan menjaga aspek kerahasian (Confidential), keutuhan (Integrity), dan ketersediaan (Availibity) dari informasi. Dalam menerapkan keamanan informasi aspek SMKI dan teknologi keamanan informasi tidak dapat dipisahkan. Artinya sebaiknya suatu organisasi tidak hanya menerapkan teknologi keamanan informasi saja tanpa menerapkan SMKI.

Definisi Proses Sistem Manajemen Keamanan Informasi (SMKI) diantaranya :  PLAN (Menetapkan SMKI)

Menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola risiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dan sasaran.

 DO (Menerapkan dan menjalankan SMKI)

Menerapkan dan mengoperasikan kebijakan SMKI, kontrol, proses dan prosedur-prosedur .

(8)

 CHECK (Memantau dan melakukan tinjau ulang SMKI)

Mengkaji dan mengukur kinerja proses terhadap kebijakan, sasaran, praktekpraktek dalam menjalankan SMKI dan melaporkan hasilnya kepada manajemen untuk ditinjau efektivitasnya.

 ACT (Memelihara dan meningkatkan SMKI)

Melakukan tindakan perbaikan dan pencegahan, berdasarkan hasil evaluasi, audit internal dan tinjauan manajemen tentang SMKI atau kegiatan pemantauan lainnya untuk mencapai peningkatan yang berkelanjutan

Suatu organisasi harus menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, memelihara dan meningkatkan Sistem Manajemen Keamanan Informasi (SMKI) dan mendokumentasikan dalam konteks bisnis organisasi secara keseluruhan beserta risiko yang dihadapinya.

Indeks Keamanan Informasi (KAMI)

Indeks KAMI adalah alat evaluasi untuk menganalisa tingkat kesiapan pengamanan informasi di instansi pemerintah. Alat pengukuran ini tidak ditujukan untuk menganalisa kelayakan atau efektifitas bentuk pengamanan yang ada, melainkan sebagai perangkat untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi. Pengukuran dilakukan terhadap berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar SNI ISO/IEC 27001:2009

Alat evaluasi Indeks KAMI ini secara umum ditujukan untuk digunakan oleh Instansi pemerintah di tingkat pusat. Akan tetapi satuan kerja yang ada di tingkatan Direktorat Jenderal, Badan, Pusat atau Direktorat juga dapat menggunakan elat evaluasi ini untuk mendapatkan gambaran mengenai kematangan program kerja keamanan informasi yang dijalankannya. Evaluasi ini dianjurkan untuk dilakukan oleh pejabat yang secara langsung bertanggungjawab dan berwenang untuk mengelola keamanan informasi di Instansinya.

(9)

Proses evaluasi dilakukan melalui sejumlah pertanyaan di masing-masing area di bawah ini:

 Peran TIK di dalam Instansi

 Tata Kelola Keamanan Informasi

 Pengelolaan Risiko Keamanan Informasi

 Kerangka Kerja Keamanan Informasi

 Pengelolaan Aset Informasi

 Teknologi dan Keamanan Informasi

Pengelolaan Aset

Pengelolaan aset merupakan serangkaian kegiatan yang berhubungan dengan:

 Identifikasi kebutuhan aset

 Identifikasi pembiayaan aset

 Memperoleh aset

 Menyediakan logistik dan perawatan sistem untuk aset

 Membuang atau memperbarui asset

Pengelolaan aset adalah kegiatan yang sistematis dan terkoordinasi dan dipraktekan secara mendalam dimana organisasi secara optimal dan berkelanjutan mengelola aset dan sistem aset, kinerja aset, risiko dan pengeluaran selama siklus hidup aset tersebut berjalan untuk mencapai rencana strategis organisasinya. Pengelolaan aset bertujuan untuk menyediakan informasi dan kapasitas terhadap aset tersebut, sehingga dapat membantu pimpinan untuk mengambil keputusan dalam suatu organisasi.

(10)

METODE PENELITIAN

Metode Penelitian ini dilakukan dengan urutan kegiatan sebagai berikut:

1. Identifikasi permasalahan, tujuan, dan manfaat penelitian

 Identifikasi Masalah

Permasalahan yang terjadi di Instansi BNP2TKI terhadap Keamanan Informasi adalah kurangnya dokumentasi untuk 5 Area (Tata Kelola, Pengelolaan Resiko, Kerangka Kerja Keamanan Informasi, Pengelolaan Aset, dan Teknologi dan Keamanan Informasi) yang menjadi nilai dari Indeks Keamanan Informasi. Dan juga dalam penyusunan dan pengelolaan Kebijakan dan Prosedur Keamanan Informasi. Karena peran pimpinan menjadi sangat penting untuk menentukan kebijakan dan prosedur Keamanan Informasi.

 Tujuan Penelitian

Tujuan Pengukuran Indeks Keamanan Informasi berdasarkan ISO 27001 untuk Instansi BNP2TKI adalah agar Instansi BNP2TKI khususnya PUSLITFO mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan konsisten dengan pendekatan berbasis risiko, mampu menyusun sistem dokumentasi minimum yang diperlukan untuk menerapkan tata kelola keamanan informasi, dan memahami roadmap penerapan tata kelola keamanan informasi.  Manfaat Penelitian

Hasil dari penelitian ini diharapkan menjadi acuan bagi Instansi BNP2TKI agar benar-benar dapat menerapkan ISO 27001 (SNI 27001), sehingga Pelayanan Penempatan dan Perlindungan Tenaga Kerja Indonesia (P2TKI) dapat berjalan dengan aman dan lancar, terutama kekhawatiran akan resiko dari keamanan Sistem Informasi.

(11)

Berikut alur proses penelitian :

INPUT PROSES OUTPUT

Latar Belakang Instansi Identifikasi Masalah, Tujuan Penelitian, Manfaat Penelitian

Batasan Masalah, Tujuan Penelitian, Manfaat Penelitian Batasan Masalah, Tujuan

Penelitian, Manfaat Penelitian

Studi Literatur tentang Keamanan Informasi, Indeks KAMI, dan ISO 27001

Konsep Keamanan Informasi, Indeks KAMI, dan ISO 27001

Konsep Keamanan Informasi, Indeks KAMI, dan ISO 27001

Mempersiapkan Studi Lapangan Pertanyaan / Wawancara ke Narasumber Pertanyaan / Wawancara ke Narasumber

Studi Lapangan dan Pengumpulan Data

Data berupa hasil wawancara dan dokumen pendukung yang termasuk dalam 5 Area Indeks KAMI

Data berupa hasil wawancara dan dokumen pendukung yang termasuk dalam 5 Area Indeks KAMI

Penilaian dengan Indeks KAMI

Hasil Penilaian Indeks KAMI

Hasil Penilaian Indeks KAMI Pembuatan saran dan perbaikan

Saran dan perbaikan pada bagian yang kurang dalam pengukuran Indeks KAMI

2. Studi Literatur Indeks KAMI

Indeks KAMI adalah alat evaluasi untuk menganalisa tingkat kesiapan pengamanan informasi di Instansi pemerintah. Alat evaluasi ini tidak ditujukan untuk menganalisa kelayakan atau efektifitas bentuk pengamanan yang ada, melainkan sebagai perangkat untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi. Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar ISO/IEC 27001:2005.

(12)

Pengukuran dalam Indeks KAMI dapat dilakukan dengan alur proses berikut :

 Mendifinisikan Ruang Lingkup

 Menetapkan Peran atau Tingkat Kepentingan TIK di Instansi

 Menilai Kelengkapan Pengamanan 5 Area

 Mengkaji Hasil Indeks KAMI disertai dengan menetapkan langkah-langkah perbaikan

Tingkat kesiapan keamanan informasi dibagi menjadi empat tingkatan. Jika hasil tingkat kepentingan TIK mendapat nilai rendah, maka semakin rendah pula batasan yang harus dicapai organisasi tersebut dalam penilaian lima bagian indeks KAMI, dan sebaliknya. Keempat tingkatan tersebut dapat dilihat pada tabel dibawah ini.

Peran TIK

Rendah Indeks (Skor Akhir) Status Kesiapan

0 12

0 124 Tidak Layak 125 272 Perlu Perbaikan 273 588 Baik/Cukup Sedang Indeks (Skor Akhir) Status Kesiapan

13 24

0 174 Tidak Layak 175 312 Perlu Perbaikan 313 588 Baik/Cukup Tinggi Indeks (Skor Akhir) Status Kesiapan

25 36

0 272 Tidak Layak 273 392 Perlu Perbaikan 393 588 Baik/Cukup

(13)

Dalam penilaian tingkat peran TIK, terdapat lima pilihan jawaban yang terdiri dari: JAWABAN NILAI Minim 0 Rendah 1 Sedang 2 Tinggi 3 Kritis 4

Kondisi pada saat memilih jawaban pada Tabel atau Indek pada 5 Area (Tata Kelola, Pengelolaan Resiko, Kerangka Kerja Keamanan Informasi, Pengelolaan Aset, dan Teknologi dan Keamanan Informasi) yang menjadi nilai dari Indeks Keamanan Informasi, adalah :

• Tidak Dilakukan • Dalam perencanaan

 Sudah menjadi rencana resmi instansi dan akan dilaksanakan melalui kegiatan internal/proyek

 Kebijakan/prosedur pengamanan dalam versi draft • Dalam penerapan atau diterapkan sebagian

 Proyek/kegiatan sedang berjalan atau diterapkan secara bertahap

 Kebijakan/prosedur sudah dirilis secara resmi tetapi masih tahap implementasi

• Diterapkan secara menyeluruh

 Sudah berjalan di seluruh area sesuai dengan ruang lingkup yang didefinisikan

(14)

Berikut adalah contoh Tabel indeks pada area Tata Kelola Keamanan Informasi :

Dashboard Tingkat Kematangan dan Kelengkapan Keamanan Informasi tergambar pada diagaram dibawah ini :

Tingkat Kematangan:

 Tingkat I : Kondisi Awal

 Tingkat II : Penerapan Kerangka Kerja Dasar

 Tingkat III : Terdefinisi dan Konsisten

 Tingkat IV : Terkelola dan Terukur

(15)

 Tingkat I (Kondisi Awal)

• Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan informasi.

• Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan kewenangan yang jelas dan tanpa pengawasan.

• Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik. • Pihak yang terlibat tidak menyadari tanggung jawab mereka.  Tingkat II (Penerapan Kerangka Kerja Dasar)

• Pengamanan sudah diterapkan walaupun sebagian besar masih di area teknis dan belum adanya keterkaitan langkah pengamanan untuk mendapatkan strategi yang efektif.

• Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi. • Langkah pengamanan operasional yang diterapkan bergantung kepada

pengetahuan dan motivasi individu pelaksana.

• Bentuk pengamanan secara keseluruhan belum dapat dibuktikan efektifitasnya.

• Kelemahan dalam manajemen pengamanan masih banyak ditemukan dan tidak dapat diselesaikan dengan tuntas oleh pelaksana maupun pimpinan sehingga menyebabkan dampak yang sangat signifikan.

• Manajemen pengamanan belum mendapatkan prioritas dan tidak berjalan secara konsisten.

• Pihak yang terlibat kemungkinan besar masih belum memahami tanggung jawab mereka.

 Tingkat III (Terdefinisi dan Konsisten)

• Bentuk pengamanan yang baku sudah diterapkan secara konsisten dan terdokumentasi secara resmi.

• Efektifitas pengamanan dievaluasi secara berkala, walaupun belum melalui proses yang terstruktur.

• Pihak pelaksana dan pimpinan secara umum dapat menangani permasalahan terkait pengelolaan keamanan pengendalian dengan tepat, akan tetapi beberapa kelemahan dalam sistem manajemen masih ditemukan sehingga

(16)

dapat mengakibatkan dampak yang signifikan.

• Kerangka kerja pengamanan sudah mematuhi ambang batas minimum standar atau persyaratan hukum yang terkait.

• Secara umum semua pihak yang terlibat menyadari tanggungjawab mereka dalam pengamanan informasi.

 Tingkat IV (Terkelola dan Terukur)

• Pengamanan diterapkan secara efektif sesuai dengan strategi manajemen risiko.

• Evaluasi (pengukuran) pencapaian sasaran pengaman dilakukan secara rutin, formal dan terdokumentasi.

• Penerapan pengamanan teknis secara konsisten dievaluasi efektifitasnya. • Kelemahan manajemen pengamanan teridentifikasi dengan baik dan secara

konsisten ditindaklanjuti pembenahannya.

• Manajemen pengamanan bersifat pro-aktif dan menerapkan pembenahan untuk mencapai bentuk pengelolaan yang efisien.

Insiden dan ketidak-patuhan (non-conformity) diselesaikan melalui proses formal dengan pembelajaran akar permasalahan.

• Karyawan merupakan bagian yang tidak terpisahkan dari pelaksana pengamanan informasi.

 Tingkat V (Optimal)

• Pengamanan menyeluruh diterapkan secara kontinyu dan efektif melalui program pengelolaan risiko yang terstruktur.

• Pengamanan informasi dan manajemen risiko sudah terintegrasi dengan tugas pokok instansi.

Kinerja pengamanan dievaluasi secara kontinyu, dengan analisa parameter efektifitas kontrol, kajian akar permasalahan dan penerapan langkah untuk optimasi peningkatan kinerja.

• Target pencapaian program pengamanan informasi selalu dipantau, dievaluasi dan diperbaiki.

• Karyawan secara proaktif terlibat dalam peningkatan efektifitas pengamanan.

(17)

HASIL PENELITIAN

Dari hasil Penilaian Indeks KAMI pada Instansi BNP2TKI, didapat kesimpulan bahwa Keamanan Sistem Informasi di Instansi BNP2TKI masih dalam Tahap I atau

pada Tahap Kondisi Awal. Ini didasarkan pada hasil wawancara dari narasumber yang

berperan dalam TIK di Unit Kerja PUSLITFO serta dari pengukuran Indeks KAMI yang yang disertai data dukung pada 5 Area Pengukuran, diantaranya :

Bagian I: Peran dan Tingkat Kepentingan TIK dalam Instansi

Bagian ini memberi tingkatan peran dan kepentingan TIK dalam Instansi anda.

[Tingkat Kepentingan] Minim; Rendah; Sedang; Tinggi; Kritis Status Skor # Karakteristik Instansi

1,1 Total anggaran tahunan yang dialokasikan untuk TIK

Kurang dari Rp. 1 Milyard = Minim

Rp. 1 Milyard sampai dengan Rp. 3 Milyard = Rendah Rp. 3 Milyard sampai dengan Rp 8 Milyard = Sedang Rp. 8 Milyard sampai dengan Rp. 20 Milyard = Tinggi Rp. 20 Milyard atau lebih = Kritis

Sedang 2

1,2 Jumlah staff/pengguna dalam Instansi yang menggunakan

infrastruktur TIK

Kurang dari 60= Minim

60 sampai dengan 120 = Rendah 120 sampai dengan 240 = Sedang 240 sampai dengan 600 = Tinggi 600 atau lebih = Kritis

Minim 0

1,3 Tingkat ketergantungan terhadap layanan TIK untuk

menjalankan Tugas Pokok dan Fungsi Instansi anda Tinggi 3

1,4 Nilai kekayaan intelektual yang dimiliki dan dihasilkan oleh

Instansi anda Sedang 2

1,5 Dampak dari kegagalan sistem TIK utama yang digunakan

Instansi anda Tinggi 3

1,6 Tingkat ketergantungan ketersediaan sistem TIK untuk

menghubungkan lokasi kerja Instansi anda Tinggi 3

1,7 Dampak dari kegagalan sistem TIK Instansi anda terhadap

kinerja Instansi pemerintah lainnya atau terhadap ketersediaan sistem pemerintah berskala nasional

Tinggi 3

1,8 Tingkat sensitifitas pengguna sistem TIK di Instansi anda Tinggi 3

1,9 Tingkat kepatuhan terhadap UU dan perangkat hukum

lainnya Rendah 1

1.10 Potensi kerugian atau dampak negatif dari insiden

ditembusnya keamanan informasi sistem TIK Instansi anda Tinggi 3

1.11 Tingkat ketergantungan terhadap pihak ketiga dalam

menjalankan/mengoperasikan sistem TIK Sedang 2

1.12 Tingkat klasifikasi/kekritisan sistem TIK di Instansi anda, relatif terhadap ancaman upaya penyerangan atau penerobosan keamanan informasi

Tinggi 3

(18)
(19)
(20)

DASHBOARD INDEKS KAMI (KEAMANAN INFORMASI) Hasil Evaluasi: Tingkat Kematangan I - - - Tingkat Kelengkapan

Penerapan Standar ISO27001 sesuai Peran TIK

135

Peran/Tingkat Kepentingan TIK : 28 Tingkat Ketergatungan: Tinggi

Tata Kelola : 25 Tingkat Kematangan: I+

Pengelolaan Risiko : 10 Tingkat Kematangan: I I

Kerangka Kerja Keamanan Informasi : 0 Tingkat Kematangan: I s/d

Pengelolaan Aset : 51 Tingkat Kematangan: I+ II

(21)

KESIMPULAN DAN SARAN

Kesimpulan

Kesimpulan yang dapat diambil dari makalah Pengukuran Indeks Keamanan Sistem Informasi Berdasarkan Standar ISO 27001 dengan studi kasus Instansi Badan Nasional Penempatan dan Perlindungan Tenaga Kerja Indonesia (BNP2TKI) antara lain:

 Hasil dari penilaian tingkat kepentingan dan peran TIK adalah sebesar 28 dari total keseluruhan 48. Hal ini menunjukan bahwa Unit Kerja Puslitfo sudah sangat tinggi dalam hal penggunaan TIK.

 Hasil keseluruhan dari penilaian kelima area dalam indeks KAMI adalah sebesar 135 dari total keseluruhan 588 dan berada pada level I, dimana Level I berarti termasuk dalam kategori Kondisi Awal, yang memiliki arti antara lain:

 Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan informasi.

 Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan kewenangan yang jelas dan tanpa pengawasan.

 Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.

 Pihak yang terlibat tidak menyadari tanggung jawab mereka.

 Hasil penilaian kelima area menunjukan nilai sebesar 135 dengan hasil nilai tingkat kepentingan TIK sebesar 2, maka dapat disimpulkan bahwa Unit Kerja PUSLITFO yang menangani TIK dengan data center yang sudah mengacu ke Tier-1 TIA -942, dan peran kebutuhan TIKnya yang sangat tinggi, masih belum bisa untuk dikatakan sesuai dengan Standart ISO 27001.

Saran

Saran yang dapat diambil dari hasil dan kesimpulan di atas adalah agar Unit Kerja PUSLITFO segera menyiapkan bukti-bukti dan data dukung untuk kelima Area dalam pengukuran Indeks Keamanan Informasi. Dan yang paling penting peran pimpinan untuk kebijakan TIK di Instansi BNP2TKI.

(22)

DAFTAR PUSTAKA

1. Kominfo. (2013, Oktober 28). Keamanan Informasi. Retrieved Februari 25, 2014, Kementrian Komunikasi dan Informatika Republik Indonesia [online]:

http://www.aptika.kominfo.go.id/utama/produk/3

2. Perera, D. (2008, Juli 26). Daminda Perera's Home Page. Retrieved Februari 28, 2014 Daimnda Perera's Home Page [online] : http://www.daminda.com/

3. Sekolah Tinggi Sandi Negara. (2012, Oktober 24). Hal Dasar Tentang Keamanan Informasi (Bagian 2). Retrieved February 26, 2014, Sekolah Tinggi Sandi

Negara[online] :

http://stsn-nci.ac.id/hal-dasar-tentangkeamanan-informasi-bag-2/ 4. Hastings, N. A. Physical Asset Management. London: Springer (2010)

Referensi

Dokumen terkait

(1) Pelamar yang dinyatakan lulus dan diterima menyerahkan kelengkapan administrasi sebagaimana dimaksud dalam Pasal 28 ayat (1) Tim Seleksi Pengadaan CPNS Kemhan

Hasil validasi dari para validator menunjukkan bahwa modul dengan pendekatan keterampilan proses yang dikembangkan untuk materi bilangan kompleks dan fungsi kompleks sudah

Sementara 40% responden menyatakan tidak setuju ketika dinyatakan bahwa responden dalam mengajar kemahiran bahasa asing sangat terpengaruh oleh cara/metode

Hasil penelitian menunjukkan bahwa persepsi masyarakat terhadap keberadaan Rumah Potong Hewan (RPH) di Kelurahan Kambiolangi Kecamatan Alla Kabupaten Enrekang adalah

karena sudah mendapatkan 3 (tiga) Calon Pemenang 7 PT Bumi Purwakarta Perkasa TIDAK LULUS Tidak dilakukan Evaluasi. karena sudah mendapatkan 3 (tiga) Calon Pemenang

Dalam penelitian ini dibagi menjadi dua kelom- pok yaitu kelompok kasus (balita yang berkunjung ke Puskesmas yang men- derita diare akut di wilayah kerja

Strategi yang dikembangkan dengan memanfaatkan kekuatan dan peluang adalah meningkatkan produksi garam olahan yang berkualitas, seperti garam Lososa dan Maduro,