iii

Universitas Kristen Maranatha

ABSTRAK

Teknologi Informasi (TI) saat ini menjadi bagian yang tidak terpisahkan dan terintegrasi dengan tujuan bisnis suatu organisasi. Dengan bantuan TI, proses bisnis yang terjadi di dalam organisasi dapat dilakukan dengan cepat dan efisien. Selain memudahkan perusahaan, teknologi informasi tidak luput dari berbagai ancaman secara fisik maupun non fisik. Untuk mencegah berbagai ancaman tersebut perusahaan perlu melakukan analisis dan evaluasi secara berkala. Dalam laporan ini diambil kasus yaitu Bank QNB Kesawan. Teori yang digunakan yaitu COBIT 4.1 domain Deliver and Support (DS) 5

Ensure System Security. Domain DS 5 ini membahas tentang kebutuhan untuk mempertahankan integritas informasi serta melindungi aset TI dengan suatu manajemen keamanan. Sumber data didapatkan dari studi pustaka, hasil wawancara dan pengamatan secara langsung. Melalui analisis ini didapatkan bahwa tingkat pengendalian manajemen keamanan PT Bank QNB Kesawan, Tbk berada pada level 1

(Initial/Ad Hoc) sampai level 4 (Managed and Measurable).

iv

Universitas Kristen Maranatha

ABSTRACT

Information Technology (IT) is becoming an integral part of and integrated with an organization's business objectives. With the help of IT, business processes that occur in the organization can be done quickly and efficiently. In addition to facilitate the enterprise, information technology does not escape from the threat of physical and non-physical. To prevent those threats companies need to conduct analysis and periodic evaluations. In this report, the case was taken Bank QNB Kesawan. The theory used the COBIT 4.1 domain Deliver and Support (DS) 5 Ensure System Security. Domain DS 5 is about the need to maintain the integrity of information and protect IT assets with a security management. Source data obtained from the literature, interviews, and observation directly. Through this analysis it was found that the level of security management controls PT Bank QNB Kesawan, Tbk is at level 1 (Initial/Ad Hoc) until level 4 (Managed and Measurable).

v

Universitas Kristen Maranatha

DAFTAR ISI

PRAKATA ... i

ABSTRAK ... iii

ABSTRACT ... iv

DAFTAR ISI... v

DAFTAR GAMBAR ... vi

DAFTAR TABEL ... vii

DAFTAR LAMPIRAN ... viii

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang Masalah ... 1

1.2 Rumusan Masalah ... 2

1.3 Tujuan Pembahasan ... 2

1.4 Ruang Lingkup Kajian ... 2

1.5 Sumber Data ... 3

1.6 Sistematika Penyajian ... 3

BAB II KAJIAN TEORI ... 5

2.1 Pengertian Sistem Informasi dan Teknologi Informasi ... 5

2.2 Flowchart ... 6

2.3 Pengertian Audit Sistem Informasi... 10

2.4 COBIT 4.1 ... 11

2.4.1 Plan and Organise (PO) ... 16

2.4.2 Acquire and Implement (AI) ... 23

2.4.3 Deliver and Support (DS) ... 28

2.4.4 Monitor and Evaluate (ME) ... 35

2.5 Penjelasan Kontrol Objektif DS5 ... 38

2.6 Model Kematangan (Maturity Models) ... 40

BAB III ANALISIS DAN EVALUASI ... 44

3.1 Profil Perusahaan ... 44

3.1.1 Visi dan Misi Perusahaan ... 45

3.1.2 Struktur Organisasi ... 46

3.2 Penjelasan Sistem Informasi ... 49

3.2 Proses Bisnis... 50

3.3 Flowchart ... 51

3.4 Proses COBIT 4.1 Domain DS 5 Ensure System Security ... 52

BAB IV SIMPULAN DAN SARAN ... 67

4.1 Simpulan ... 67

4.2 Saran ... 69

DAFTAR PUSTAKA ... 70

vi

Universitas Kristen Maranatha

DAFTAR GAMBAR

Gambar 1. COBIT 4.1 ... 12

Gambar 2. Fokus pada Bisnis ... 13

Gambar 3. Domain COBIT 4.1 ... 14

Gambar 4. Batasan Bisnis, Umum, dan Kontrol Aplikasi ... 15

Gambar 5. Model Kematangan (Maturity Models) ... 16

Gambar 6. Struktur Organisasi PT Bank QNB Kesawan, Tbk ... 48

Gambar 7. Aplikasi Equation ... 49

vii

Universitas Kristen Maranatha

DAFTAR TABEL

Tabel I. Flow Direction Symbols ... 7

Tabel II. Processing Symbols ... 8

Tabel III. Input / Output Symbols ... 9

Tabel IV. DS 5.1 Management of IT Security ... 52

Tabel V. DS 5.2 IT Security Plan ... 53

Tabel VI. DS 5.3 IdentityManagement ... 55

Tabel VII. DS 5.4 User Account Management ... 56

Tabel VIII. DS 5.5 Security Testing, Surveillance, and Monitoring ... 57

Tabel IX. DS 5.6 Security Incident Definition ... 59

Tabel X. DS 5.7 Protection of Security Technology ... 60

Tabel XI. DS 5.8 Cryptographic Key Management ... 61

Tabel XII. DS 5.9 Malicious Software Prevention, Detection, and Correction ... 62

Tabel XIII. DS 5.10 Network Security ... 64

viii

Universitas Kristen Maranatha

DAFTAR LAMPIRAN

1

Universitas Kristen Maranatha

BAB I PENDAHULUAN

1.1 Latar Belakang Masalah

Teknologi Informasi (TI) saat ini menjadi bagian yang tidak terpisahkan

dan terintegrasi dengan tujuan bisnis suatu organisasi. Dengan bantuan TI,

proses bisnis yang terjadi di dalam organisasi dapat dilakukan dengan cepat

dan efisien. Selain memudahkan perusahaan, teknologi informasi tidak luput

dari berbagai ancaman secara fisik maupun non fisik. Untuk mencegah berbagai

ancaman tersebut perusahaan perlu melakukan analisis dan evaluasi secara

berkala. Dalam laporan ini diambil kasus yaitu bank qnb kesawan.

PT Bank QNB Kesawan, Tbk (dahulu bernama PT Bank Kesawan, Tbk)

merupakan persero yang bergerak dibidang jasa keuangan perbankan dan

sudah berdiri sejak tahun 1913 dan terdapat di 16 negara. Sejalan dengan

pengembangan jaringan perbankannya, Bank QNB Kesawan selalu melakukan

pengembangan produk supaya semakin meningkatkan pelayanan bagi

pelanggan. Bank QNB Kesawan meyakini bahwa produk dan layanan yang baik

sebagai salah satu strategi pengembangan usaha sehingga dapat menjadi bank

yang bisa diandalkan di masa depan. Untuk itu Bank QNB Kesawan melakukan

perubahan sistem aplikasi pada divisi

product development

dari aplikasi

BankFusion

berubah menjadi aplikasi

Equation

. Semua informasi dan transaksi

data dimasukan dan diproses di dalam sistem sehingga perlu dilakukan

pengawasan dan pengevaluasian terhadap keamanannya.

Analisis yang digunakan dalam laporan ini sesuai dengan kerangka COBIT

4.1 domain

Deliver and Support (DS)

yang difokuskan pada DS 5

Ensure

System Security

yaitu

membahas tentang manajemen keamanan sistem.

Diharapkan pada hasil akhir penelitian ini, dapat memberikan masukan tentang

Universitas Kristen Maranatha

1.2 Rumusan Masalah

Berikut masalah yang dipaparkan ialah bagaimana tingkat penerapan

manajemen keamanan TI pada divisi

product development

di PT Bank QNB

Kesawan, Tbk?

1.3 Tujuan Pembahasan

Tujuan dari pembahasan ini adalah

untuk dapat mengetahui sejauh mana

tingkat penerapan manajemen keamanan TI pada divisi

product development

di PT

Bank QNB Kesawan, Tbk.

1.4 Ruang Lingkup Kajian

Ruang lingkup yang dibahas pada laporan ini berdasarkan pada COBIT

4.1 domain

Deliver and Support

(DS) yang difokuskan pada

DS 5

Ensure

Systems Security.

Kebutuhan untuk mempertahankan integritas dari informasi dan

melindungi aset TI membutuhkan sebuah manajemen keamanan. Proses ini

termasuk membangun dan mempertahankan peran keamanan TI dan

responbilitas, kebijakan, standar, dan prosedur. Manajemen keamanan juga

mencakup pemantauan keamanan secara berkala, melakukan pengujian dan

mendefinisikan kelemahan keamanan. Manajemen keamanan yang efektif dan

dapat melindungi semua aset TI dapat meminimalkan kerentanan terhadap

insiden. Keamanan sistem harus tetap terjaga dari berbagai ancaman, baik

ancaman fisik (bencana alam, keamanan ruang server, kebakaran) dan

ancaman logik (gangguan virus, pengaksesan data, program aplikasi dan

jaringan komputer oleh pihak yang tidak bertanggungjawab).

Tujuan kontrol

(control objectives)

yang digunakan antara lain:

1.

DS 5.1

Management of IT Security

2.

DS 5.2

IT Security Plan.

3.

DS 5.3

Identity Management

Universitas Kristen Maranatha

5.

DS 5.5

Security Testing, Surveillance, and Monitoring

6.

DS 5.6

Security Incident Definition

7.

DS 5.7

Protection of Security Technology

8.

DS 5.8

Cryptographic Key Management

9.

DS 5.9

Malicious Software Prevention, Detection, and Correction

10. DS 5.10

Network Security

11. DS 5.11

Exchange of Sensitive Data

1.5 Sumber Data

Sumber-sumber data yang digunakan yaitu:

1.

Studi Pustaka

Studi pustaka melalui buku, dan website untuk mempelajari teori-teori

COBIT 4.1.

2.

Wawancara

Wawancara adalah suatu teknik pencarian fakta dengan mengumpulkan

informasi dari individu melalui tatap muka.

3.

Observasi

Observasi adalah suatu teknik pencarian fakta dengan berpartisipasi atau

terlibat secara langsung dalam kegiatan perusahaan.

1.6 Sistematika Penyajian

Sistematika dalam penulisan laporan yaitu:

BAB I PENDAHULUAN

Bab ini mengemukakan tentang gambaran keseluruhan mengenai latar

belakang, rumusan masalah, tujuan pembahasan, ruang lingkup kajian,

Universitas Kristen Maranatha

BAB II KAJIAN TEORI

Bab ini berisi tentang teori-teori dasar yang akan digunakan dalam proses

penyusunan laporan tugas akhir, dalam kasus ini akan dikemukakan

mengenai audit sistem informasi, pengertian COBIT 4.1 serta penjelasan

tentang domain yang ada dalam COBIT 4.1 yang akan digunakan selama

masa penelitian di perusahaan.

BAB III ANALISIS DAN EVALUASI

Bab ini berisi tentang profil perusahaan, dan mengenai pokok

permasalahan yang terdapat dalam ruang lingkup masalah sebagai

jawaban dari rumusan masalah yang ditulis sebelumnya.

BAB IV SIMPULAN DAN SARAN

Bab ini membahas tentang simpulan dari hasil penelitian dan saran untuk

67

Universitas Kristen Maranatha

BAB IV SIMPULAN DAN SARAN

4.1 Simpulan

Berdasarkan hasil dari analisis COBIT 4.1 domain DS 5

Ensure System

Security

didapatkan jawaban dari rumusan masalah bahwa tingkat penerapan

manajemen keamanan terhadap personil dan sistem informasi perusahaan

pada divisi

product development

di PT Bank QNB Kesawan, Tbk rata-rata

berada antara

maturity model

1

(Initial/Ad Hoc)

sampai

maturity model

4

(

Managed and Measurable)

yang diuraikan dalam hal berikut:

1.

DS 5.1

Management of IT Security

, PT Bank QNB Kesawan, Tbk berada di

level 1 (

Initial/Ad Hoc

) karena perusahaan telah menyadari akan

pentingnya manajemen keamanan TI untuk mencapai tujuan bisnis

perusahaan, namun belum adanya prosedur mengenai manajemen

keamanan IT secara jelas.

2.

DS 5.2

IT Security Plan

, PT Bank QNB Kesawan, Tbk berada di level 1

(

Initial/Ad Hoc

) karena perusahaan menyadari akan pentingnya

mengidentifikasikan kebutuhan bisnis, resiko dan kepatuhan dalam

rencana keamanan TI namun belum terdapat dokumentasi yang mengatur

tentang hal ini.

3.

DS 5.3

Identity Management

, PT Bank QNB Kesawan, Tbk berada di level

3 (

Defined

) karena hak akses pengguna ke dalam sistem telah

diidentifikasi sesuai dengan masing-masing

job desks

, namun tidak

adanya pemantauan terhadap penggunaan

user-id

dan

password

pengguna.

4.

DS 5.4

User Account Management

, PT Bank QNB Kesawan, Tbk berada

di level 3 (

Defined)

karena sejauh ini perusahaan sudah terdapat prosedur

Universitas Kristen Maranatha

formulir permintaan

user-id

serta

password

, namun prosedur ini tidak

konsisten ditegakkan sehingga permintaan

user-id

dan

password

masih

dilakukan melalui email atau telepon ke bagian IT.

5.

DS 5.5

Security Testing

,

Surveillance

,

and Monitoring

, PT Bank QNB

Kesawan, Tbk berada di level 4 (

Managed and

Measurable

) karena sejauh

ini perusahaan sudah terdapat pengawasan yang cukup ketat untuk

menjaga keamanan TI.

6.

DS 5.6

Security Incident Definition

, PT Bank QNB Kesawan, Tbk berada di

level 4 (

Managed and Measurable

) karena perusahaan sudah mengatur

mengenai penanganan masalah yang ada terkait sistem informasi dan

teknologi beserta penyelesaian masalah dan dokumentasi permasalahan

yang ada, namun belum adanya pengukuran mengenai penanganan

masalah.

7.

DS 5.7

Protection of Security Technology

, PT Bank QNB Kesawan, Tbk

berada di level 3 (

Defined

) karena perusahaan sudah memiliki fasilitas

untuk mengamankan sistem informasi perusahaan dari bahaya kerusakan,

namun belum adanya pengukuran mengenai hal ini.

8.

DS 5.8

Cryptographic Key Management

, PT Bank QNB Kesawan, Tbk

berada di level 1 (

Initial/Ad Hoc

) karena perusahaan menyadari pentingnya

pengelolaan kunci kriptografi untuk melindungi data perusahaan dari

ancaman bahaya pemodifikasian kata sandi, namun kesadaran tentang hal

ini masih terbatas.

9.

DS 5.9

Malicious Software Prevention, Detection, and Correction

, PT Bank

QNB Kesawan, Tbk berada di level 4 (

Managed and Measurable

) karena

sejauh ini perusahaan menyadari akan pentingnya perlindungan sistem

informasi perusahaan terhadap

virus

dan

malware

.

10. DS 5.10

Network Security

, PT Bank QNB Kesawan, Tbk berada di level 3

Universitas Kristen Maranatha

jaringan untuk mencegah orang lain atau program

malware

mencoba

berhubungan dengan komputer tanpa diminta.

11. DS 5.11

Exchange of Sensitive Data

, PT Bank QNB Kesawan, Tbk berada

di level 2 (

Repetable but intuitive

) karena pertukaran semua transaksi data

mulai dari data nasabah, data gaji perusahaan, dan data rahasia dilakukan

di dalam sistem serta pertukaran dokumen yang bersifat sensitif hanya

dilakukan melalui intranet perusahaan.

4.2 Saran

Berdasarkan hasil analisis yang telah dilakukan terhadap manajemen

keamanan PT Bank QNB Kesawan, Tbk maka saran yang diberikan penulis

untuk penelitian selanjutnya, jika ingin mengambil topik tentang manajemen

keamanan, adalah menggunakan COBIT 5 domain

Deliver

,

Service

,

and

Support

(DSS) 05

Manage Security Service

lebih pada bagian IT dan keamanan

70

Universitas Kristen Maranatha

DAFTAR PUSTAKA

Hall, J. A. (2011). Accounting Information Systems (7th ed.). USA: Cengage Learning. IT Governance Institute. (2007). Control Objective for Information and Related Technology (COBIT) 4.1. USA: IT Governance Institute.

O'Brien, J. A., & Marakas, G. M. (2011). Management Information Systems (10th ed.). New York: McGraw-Hill Professional.

PT Bank QNB Kesawan, Tbk. (n.d.). Retrieved Mei 2012, from http://www.qnbkesawan.co.id/view/profile/?id=histo