iii
Universitas Kristen Maranatha
ABSTRAK
Teknologi Informasi (TI) saat ini menjadi bagian yang tidak terpisahkan dan terintegrasi dengan tujuan bisnis suatu organisasi. Dengan bantuan TI, proses bisnis yang terjadi di dalam organisasi dapat dilakukan dengan cepat dan efisien. Selain memudahkan perusahaan, teknologi informasi tidak luput dari berbagai ancaman secara fisik maupun non fisik. Untuk mencegah berbagai ancaman tersebut perusahaan perlu melakukan analisis dan evaluasi secara berkala. Dalam laporan ini diambil kasus yaitu Bank QNB Kesawan. Teori yang digunakan yaitu COBIT 4.1 domain Deliver and Support (DS) 5
Ensure System Security. Domain DS 5 ini membahas tentang kebutuhan untuk mempertahankan integritas informasi serta melindungi aset TI dengan suatu manajemen keamanan. Sumber data didapatkan dari studi pustaka, hasil wawancara dan pengamatan secara langsung. Melalui analisis ini didapatkan bahwa tingkat pengendalian manajemen keamanan PT Bank QNB Kesawan, Tbk berada pada level 1
(Initial/Ad Hoc) sampai level 4 (Managed and Measurable).
iv
Universitas Kristen Maranatha
ABSTRACT
Information Technology (IT) is becoming an integral part of and integrated with an organization's business objectives. With the help of IT, business processes that occur in the organization can be done quickly and efficiently. In addition to facilitate the enterprise, information technology does not escape from the threat of physical and non-physical. To prevent those threats companies need to conduct analysis and periodic evaluations. In this report, the case was taken Bank QNB Kesawan. The theory used the COBIT 4.1 domain Deliver and Support (DS) 5 Ensure System Security. Domain DS 5 is about the need to maintain the integrity of information and protect IT assets with a security management. Source data obtained from the literature, interviews, and observation directly. Through this analysis it was found that the level of security management controls PT Bank QNB Kesawan, Tbk is at level 1 (Initial/Ad Hoc) until level 4 (Managed and Measurable).
v
Universitas Kristen Maranatha
DAFTAR ISI
PRAKATA ... i
ABSTRAK ... iii
ABSTRACT ... iv
DAFTAR ISI... v
DAFTAR GAMBAR ... vi
DAFTAR TABEL ... vii
DAFTAR LAMPIRAN ... viii
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang Masalah ... 1
1.2 Rumusan Masalah ... 2
1.3 Tujuan Pembahasan ... 2
1.4 Ruang Lingkup Kajian ... 2
1.5 Sumber Data ... 3
1.6 Sistematika Penyajian ... 3
BAB II KAJIAN TEORI ... 5
2.1 Pengertian Sistem Informasi dan Teknologi Informasi ... 5
2.2 Flowchart ... 6
2.3 Pengertian Audit Sistem Informasi... 10
2.4 COBIT 4.1 ... 11
2.4.1 Plan and Organise (PO) ... 16
2.4.2 Acquire and Implement (AI) ... 23
2.4.3 Deliver and Support (DS) ... 28
2.4.4 Monitor and Evaluate (ME) ... 35
2.5 Penjelasan Kontrol Objektif DS5 ... 38
2.6 Model Kematangan (Maturity Models) ... 40
BAB III ANALISIS DAN EVALUASI ... 44
3.1 Profil Perusahaan ... 44
3.1.1 Visi dan Misi Perusahaan ... 45
3.1.2 Struktur Organisasi ... 46
3.2 Penjelasan Sistem Informasi ... 49
3.2 Proses Bisnis... 50
3.3 Flowchart ... 51
3.4 Proses COBIT 4.1 Domain DS 5 Ensure System Security ... 52
BAB IV SIMPULAN DAN SARAN ... 67
4.1 Simpulan ... 67
4.2 Saran ... 69
DAFTAR PUSTAKA ... 70
vi
Universitas Kristen Maranatha
DAFTAR GAMBAR
Gambar 1. COBIT 4.1 ... 12
Gambar 2. Fokus pada Bisnis ... 13
Gambar 3. Domain COBIT 4.1 ... 14
Gambar 4. Batasan Bisnis, Umum, dan Kontrol Aplikasi ... 15
Gambar 5. Model Kematangan (Maturity Models) ... 16
Gambar 6. Struktur Organisasi PT Bank QNB Kesawan, Tbk ... 48
Gambar 7. Aplikasi Equation ... 49
vii
Universitas Kristen Maranatha
DAFTAR TABEL
Tabel I. Flow Direction Symbols ... 7
Tabel II. Processing Symbols ... 8
Tabel III. Input / Output Symbols ... 9
Tabel IV. DS 5.1 Management of IT Security ... 52
Tabel V. DS 5.2 IT Security Plan ... 53
Tabel VI. DS 5.3 IdentityManagement ... 55
Tabel VII. DS 5.4 User Account Management ... 56
Tabel VIII. DS 5.5 Security Testing, Surveillance, and Monitoring ... 57
Tabel IX. DS 5.6 Security Incident Definition ... 59
Tabel X. DS 5.7 Protection of Security Technology ... 60
Tabel XI. DS 5.8 Cryptographic Key Management ... 61
Tabel XII. DS 5.9 Malicious Software Prevention, Detection, and Correction ... 62
Tabel XIII. DS 5.10 Network Security ... 64
viii
Universitas Kristen Maranatha
DAFTAR LAMPIRAN
1
Universitas Kristen Maranatha
BAB I PENDAHULUAN
1.1 Latar Belakang Masalah
Teknologi Informasi (TI) saat ini menjadi bagian yang tidak terpisahkan
dan terintegrasi dengan tujuan bisnis suatu organisasi. Dengan bantuan TI,
proses bisnis yang terjadi di dalam organisasi dapat dilakukan dengan cepat
dan efisien. Selain memudahkan perusahaan, teknologi informasi tidak luput
dari berbagai ancaman secara fisik maupun non fisik. Untuk mencegah berbagai
ancaman tersebut perusahaan perlu melakukan analisis dan evaluasi secara
berkala. Dalam laporan ini diambil kasus yaitu bank qnb kesawan.
PT Bank QNB Kesawan, Tbk (dahulu bernama PT Bank Kesawan, Tbk)
merupakan persero yang bergerak dibidang jasa keuangan perbankan dan
sudah berdiri sejak tahun 1913 dan terdapat di 16 negara. Sejalan dengan
pengembangan jaringan perbankannya, Bank QNB Kesawan selalu melakukan
pengembangan produk supaya semakin meningkatkan pelayanan bagi
pelanggan. Bank QNB Kesawan meyakini bahwa produk dan layanan yang baik
sebagai salah satu strategi pengembangan usaha sehingga dapat menjadi bank
yang bisa diandalkan di masa depan. Untuk itu Bank QNB Kesawan melakukan
perubahan sistem aplikasi pada divisi
product development
dari aplikasi
BankFusion
berubah menjadi aplikasi
Equation
. Semua informasi dan transaksi
data dimasukan dan diproses di dalam sistem sehingga perlu dilakukan
pengawasan dan pengevaluasian terhadap keamanannya.
Analisis yang digunakan dalam laporan ini sesuai dengan kerangka COBIT
4.1 domain
Deliver and Support (DS)
yang difokuskan pada DS 5
Ensure
System Security
yaitu
membahas tentang manajemen keamanan sistem.
Diharapkan pada hasil akhir penelitian ini, dapat memberikan masukan tentang
Universitas Kristen Maranatha
1.2 Rumusan Masalah
Berikut masalah yang dipaparkan ialah bagaimana tingkat penerapan
manajemen keamanan TI pada divisi
product development
di PT Bank QNB
Kesawan, Tbk?
1.3 Tujuan Pembahasan
Tujuan dari pembahasan ini adalah
untuk dapat mengetahui sejauh mana
tingkat penerapan manajemen keamanan TI pada divisi
product development
di PT
Bank QNB Kesawan, Tbk.
1.4 Ruang Lingkup Kajian
Ruang lingkup yang dibahas pada laporan ini berdasarkan pada COBIT
4.1 domain
Deliver and Support
(DS) yang difokuskan pada
DS 5
Ensure
Systems Security.
Kebutuhan untuk mempertahankan integritas dari informasi dan
melindungi aset TI membutuhkan sebuah manajemen keamanan. Proses ini
termasuk membangun dan mempertahankan peran keamanan TI dan
responbilitas, kebijakan, standar, dan prosedur. Manajemen keamanan juga
mencakup pemantauan keamanan secara berkala, melakukan pengujian dan
mendefinisikan kelemahan keamanan. Manajemen keamanan yang efektif dan
dapat melindungi semua aset TI dapat meminimalkan kerentanan terhadap
insiden. Keamanan sistem harus tetap terjaga dari berbagai ancaman, baik
ancaman fisik (bencana alam, keamanan ruang server, kebakaran) dan
ancaman logik (gangguan virus, pengaksesan data, program aplikasi dan
jaringan komputer oleh pihak yang tidak bertanggungjawab).
Tujuan kontrol
(control objectives)
yang digunakan antara lain:
1.
DS 5.1
Management of IT Security
2.
DS 5.2
IT Security Plan.
3.
DS 5.3
Identity Management
Universitas Kristen Maranatha
5.
DS 5.5
Security Testing, Surveillance, and Monitoring
6.
DS 5.6
Security Incident Definition
7.
DS 5.7
Protection of Security Technology
8.
DS 5.8
Cryptographic Key Management
9.
DS 5.9
Malicious Software Prevention, Detection, and Correction
10. DS 5.10
Network Security
11. DS 5.11
Exchange of Sensitive Data
1.5 Sumber Data
Sumber-sumber data yang digunakan yaitu:
1.
Studi Pustaka
Studi pustaka melalui buku, dan website untuk mempelajari teori-teori
COBIT 4.1.
2.
Wawancara
Wawancara adalah suatu teknik pencarian fakta dengan mengumpulkan
informasi dari individu melalui tatap muka.
3.
Observasi
Observasi adalah suatu teknik pencarian fakta dengan berpartisipasi atau
terlibat secara langsung dalam kegiatan perusahaan.
1.6 Sistematika Penyajian
Sistematika dalam penulisan laporan yaitu:
BAB I PENDAHULUAN
Bab ini mengemukakan tentang gambaran keseluruhan mengenai latar
belakang, rumusan masalah, tujuan pembahasan, ruang lingkup kajian,
Universitas Kristen Maranatha
BAB II KAJIAN TEORI
Bab ini berisi tentang teori-teori dasar yang akan digunakan dalam proses
penyusunan laporan tugas akhir, dalam kasus ini akan dikemukakan
mengenai audit sistem informasi, pengertian COBIT 4.1 serta penjelasan
tentang domain yang ada dalam COBIT 4.1 yang akan digunakan selama
masa penelitian di perusahaan.
BAB III ANALISIS DAN EVALUASI
Bab ini berisi tentang profil perusahaan, dan mengenai pokok
permasalahan yang terdapat dalam ruang lingkup masalah sebagai
jawaban dari rumusan masalah yang ditulis sebelumnya.
BAB IV SIMPULAN DAN SARAN
Bab ini membahas tentang simpulan dari hasil penelitian dan saran untuk
67
Universitas Kristen Maranatha
BAB IV SIMPULAN DAN SARAN
4.1 Simpulan
Berdasarkan hasil dari analisis COBIT 4.1 domain DS 5
Ensure System
Security
didapatkan jawaban dari rumusan masalah bahwa tingkat penerapan
manajemen keamanan terhadap personil dan sistem informasi perusahaan
pada divisi
product development
di PT Bank QNB Kesawan, Tbk rata-rata
berada antara
maturity model
1
(Initial/Ad Hoc)
sampai
maturity model
4
(
Managed and Measurable)
yang diuraikan dalam hal berikut:
1.
DS 5.1
Management of IT Security
, PT Bank QNB Kesawan, Tbk berada di
level 1 (
Initial/Ad Hoc
) karena perusahaan telah menyadari akan
pentingnya manajemen keamanan TI untuk mencapai tujuan bisnis
perusahaan, namun belum adanya prosedur mengenai manajemen
keamanan IT secara jelas.
2.
DS 5.2
IT Security Plan
, PT Bank QNB Kesawan, Tbk berada di level 1
(
Initial/Ad Hoc
) karena perusahaan menyadari akan pentingnya
mengidentifikasikan kebutuhan bisnis, resiko dan kepatuhan dalam
rencana keamanan TI namun belum terdapat dokumentasi yang mengatur
tentang hal ini.
3.
DS 5.3
Identity Management
, PT Bank QNB Kesawan, Tbk berada di level
3 (
Defined
) karena hak akses pengguna ke dalam sistem telah
diidentifikasi sesuai dengan masing-masing
job desks
, namun tidak
adanya pemantauan terhadap penggunaan
user-id
dan
password
pengguna.
4.
DS 5.4
User Account Management
, PT Bank QNB Kesawan, Tbk berada
di level 3 (
Defined)
karena sejauh ini perusahaan sudah terdapat prosedur
Universitas Kristen Maranatha
formulir permintaan
user-id
serta
password
, namun prosedur ini tidak
konsisten ditegakkan sehingga permintaan
user-id
dan
password
masih
dilakukan melalui email atau telepon ke bagian IT.
5.
DS 5.5
Security Testing
,
Surveillance
,
and Monitoring
, PT Bank QNB
Kesawan, Tbk berada di level 4 (
Managed and
Measurable
) karena sejauh
ini perusahaan sudah terdapat pengawasan yang cukup ketat untuk
menjaga keamanan TI.
6.
DS 5.6
Security Incident Definition
, PT Bank QNB Kesawan, Tbk berada di
level 4 (
Managed and Measurable
) karena perusahaan sudah mengatur
mengenai penanganan masalah yang ada terkait sistem informasi dan
teknologi beserta penyelesaian masalah dan dokumentasi permasalahan
yang ada, namun belum adanya pengukuran mengenai penanganan
masalah.
7.
DS 5.7
Protection of Security Technology
, PT Bank QNB Kesawan, Tbk
berada di level 3 (
Defined
) karena perusahaan sudah memiliki fasilitas
untuk mengamankan sistem informasi perusahaan dari bahaya kerusakan,
namun belum adanya pengukuran mengenai hal ini.
8.
DS 5.8
Cryptographic Key Management
, PT Bank QNB Kesawan, Tbk
berada di level 1 (
Initial/Ad Hoc
) karena perusahaan menyadari pentingnya
pengelolaan kunci kriptografi untuk melindungi data perusahaan dari
ancaman bahaya pemodifikasian kata sandi, namun kesadaran tentang hal
ini masih terbatas.
9.
DS 5.9
Malicious Software Prevention, Detection, and Correction
, PT Bank
QNB Kesawan, Tbk berada di level 4 (
Managed and Measurable
) karena
sejauh ini perusahaan menyadari akan pentingnya perlindungan sistem
informasi perusahaan terhadap
virus
dan
malware
.
10. DS 5.10
Network Security
, PT Bank QNB Kesawan, Tbk berada di level 3
Universitas Kristen Maranatha
jaringan untuk mencegah orang lain atau program
malware
mencoba
berhubungan dengan komputer tanpa diminta.
11. DS 5.11
Exchange of Sensitive Data
, PT Bank QNB Kesawan, Tbk berada
di level 2 (
Repetable but intuitive
) karena pertukaran semua transaksi data
mulai dari data nasabah, data gaji perusahaan, dan data rahasia dilakukan
di dalam sistem serta pertukaran dokumen yang bersifat sensitif hanya
dilakukan melalui intranet perusahaan.
4.2 Saran
Berdasarkan hasil analisis yang telah dilakukan terhadap manajemen
keamanan PT Bank QNB Kesawan, Tbk maka saran yang diberikan penulis
untuk penelitian selanjutnya, jika ingin mengambil topik tentang manajemen
keamanan, adalah menggunakan COBIT 5 domain
Deliver
,
Service
,
and
Support
(DSS) 05
Manage Security Service
lebih pada bagian IT dan keamanan
70
Universitas Kristen Maranatha
DAFTAR PUSTAKA
Hall, J. A. (2011). Accounting Information Systems (7th ed.). USA: Cengage Learning. IT Governance Institute. (2007). Control Objective for Information and Related Technology (COBIT) 4.1. USA: IT Governance Institute.
O'Brien, J. A., & Marakas, G. M. (2011). Management Information Systems (10th ed.). New York: McGraw-Hill Professional.
PT Bank QNB Kesawan, Tbk. (n.d.). Retrieved Mei 2012, from http://www.qnbkesawan.co.id/view/profile/?id=histo