PERANCANGAN MODEL PENILAIAN KAPABILITAS
PROSES MANAJEMEN RESIKO KEAMANAN
INFORMASI MENGGUNAKAN ISO 27005 DAN ISO 33020.
Studi Kasus: PUSAT KOMUNIKASI KEMENTERIAN
LUAR NEGERI
Alfred Saut
1)Kridanto Surendro
2)1) 2)
Sekolah Teknik Elektro dan Informatika, Institut Teknologi Bandung, Indonesia
email : 1)[email protected], 2)[email protected]ABSTRAK
Model penilaian kapabilitas Manajemen Resiko Keamanan Informasi (MRKI) yang dirancang dalam penelitian berdasarkan ISO 27005 dan ISO 33020. Model penilaian terdiri dari dua dimensi yaitu dimensi proses dan dimensi kapabilitas. Dimensi proses terdiri dari 6 proses yaitu Penetapan Konteks, Penilaian Resiko, Penerimaan Resiko, Komunikasi Konsultasi, dan Monitoring Evaluasi. Model penilaian yang dirancang diujicobakan di Puskom Kemlu sebagai studi kasus. Pengumpulan data dilakukan dengan wawancara dan kuesioner. Hasil penelitian menunjukkan kapabilitas proses MRKI di Puskom Kemlu masih berada pada level 0 dengan skala P+(maximum partially achieved), dimana skala base pracices pada nilai 54,82% dan skala work produtcs pada nilai 33,93%.
Key words
MRKI, ISO 27005, model penilaian kapabilitas
1. Pendahuluan
Dalam penyelenggaran tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting di dalam proses bisnis organisasi karena kinerja organisasi akan terganggu jika informasi sebagai aset organisasi mengalami masalah kerahasiaan, ketersediaan, dan keutuhan informasi.
Terkait manajemen resiko keamanan informasi (MRKI) di instansi pemerintah telah terdapat panduan indeks keamanan informasi (indeks KAMI) sebagai tool assessment indeks keamanan informasi di Instansi Pemerintah. Penilaian indeks KAMI meliputi 5 area yaitu tata kelola keamanan informasi, manajemen resiko keamanan informasi, kerangka kerja pengelolaan keamanan informasi, pengelolaan aset informasi, dan teknologi keamanan informasi. Area manajemen resiko keamanan informasi yang dinilai pada indeks KAMI
hanya penilaian tingkat kematangannya saja. Namun belum terdapat penilaian aktivitas atau langkah proses MRKI di instansi pemerintah. Berkaitan dengan hal tersebut, proses penerapan MRKI di instansi pemerintah harus dapat dinilai dan diukur untuk mengetahui apakah di instansi pemerintah terdapat aktivitas base practices MRKI dan apabila terdapat aktivitas MRKI maka dapat dinilai kapabilitas proses aktivitasnya beserta work produtcs (artefak) yang mendukung. Dengan latar belakang tersebut maka peneliti tertarik merancang model penilaian kapabilitas proses MRKI di instansi pemerintah berdasarkan prinsip dan aktivitas pada ISO 27005 dan model penilaian kematangan proses MRKI akan mengacu pada standar ISO 33020.
2. Pertanyaan Penelitian
1) Bagaimana merancang model penilaian kapabilitas proses MRKI dengan menggunakan ISO 27005 dan ISO 33020?
2) Bagaimana desain kuesioner penelitian untuk menilai model penilaian tersebut?
3. Metodologi Penelitian
Metodologi penelitian diuraikan pada tahapan penelitian sebagai berikut:.
4. Analisis Dimensi Proses MRKI
Analisis dimensi proses penerapan MRKI di instansi pada penelitian pada ISO 27005 sebagai proses utamanya karena ISO 27005 yang sifatnya umum yang dapat diadopsi pada proses MRKI di instansi pemerintah. Peneliti tidak membuat dimensi proses baru karena di dalamnya ISO 27005 telah terdapat tujuan proses, sub-sub aktivitas yang dapat dijadikan acuan untuk membuat base practices, input dari proses, dan output dari proses. Analisis dimensi proses MRKI juga dilakukan dengan melakukan studi pustaka referensi standar MRKI lain. Standar atau kerangka kerja MRKI yang peneliti bandingkan dibatasi pada standar MRKI yang dipublikasikan NIST dan ISO. Berikut perbandingan dimensi proses MRKI:
Gambar 2 Perbandingan Kerangka Kerja MRKI
Dari perbandingan proses atau aktivitas MRKI yang dijelaskan pada gambar 2, bahwa aktivitas MRKI pada ISO 27005 terdiri dari 6(enam) aktivitas atau proses dibandingkan dengan dengan NIST 800-30 dan NIST 800-39 yang hanya terdiri dari 3 dan 4 proses. Peneliti mengadopsi proses yang ada pada ISO 27005 karena dimensi proses tersebut sifatnya umum (general) dan tidak spesifik pada organisasi tertentu. Peneliti menggunakan satu (1) model referensi proses yaitu ISO 27005. Model referensi proses untuk menetapkan dimensi proses yang baru dengan teori yang relevan dan memperkuat tujuan, input, aktivitas(base practices), output, dan outcomes dimensi proses tersebut[4].
a. Identifikasi Dimensi Proses MRKI pada ISO 27005
Proses MRKI berdasarkan ISO 27005 dijelaskan sebagai berikut:
Gambar 3. Bagan proses/aktivitas MRKI[3] 1) Penetapan Konteks (Context Definition)
Tujuan dari proses/aktivitas ini adalah mendapatkan konteks, batasan, dan ruang lingkup MRKI
2) Penilaian Resiko (Risk Assesment)
Tujuan dari proses/aktivits ini adalah mendapatkan identifikasi resiko, nilai resiko kualitatif atau kuantitatif, prioritas resiko berdasarkan kriteria resiko
3) Perlakuan Resiko (Risk Treatment)
Tujuan dari proses/aktivitas ini adalah mendapatkan rencana perlakuan resiko dan resiko residu sesuai tujuan organisasi
4) Penerimaan resiko (Risk Acceptance)
Tujuan dari proses/aktivitas ini adalah mendapatkan sebuah daftar resiko yang sesuai dengan kriteria penerimaan resiko organisasi pada batas normal. 5) Komunikasi dan Konsultasi (Communication and
Consultation)
Tujuan dari proses/aktivitas ini adalah untuk mendapatkan persetujuan bagaimana resiko keamanan informasi dikelola dengan melakukan pertukaran atau sharing informasi tentang resiko antara pengambil keputusan dan stakeholder terkait. 6) Monitoring dan Evaluasi (Monitoring and
Evaluation)
Tujuan dari aktivitas ini adalah untuk mendapatkan informasi tentang faktor resiko dan evaluasi proses MRKI yang terus menerus diperbarui disesuaikan dengan sasaran bisnis dan kriteria penerimaan resiko organisasi.
b. Penentuan dimensi proses MRKI dengan Process
Reference Model (PRM)
Pada penjelasan sebelumnya yaitu poin (a), model ini menggunakan satu PRM yaitu ISO 27005. Persyaratan PRM sesuai ISO 33004 dijelaskan sebagai berikut: 1) Proses harus menjelaskan tujuan dan outcomes
2) Sekumpulan outcomes diperlukan untuk mencapai tujuan proses;
3) Deskripsi proses tidak memuat aspek yang tersirat dari karakteritik kualitas proses
4) Outcomes data berupa work produtcs (artefak) atau perubahan yang signifikan terhadap kondisi organisasi
PRM yang peneliti gunakan mengadopsi dari proses yang ada pada ISO 27005, berikut satu contoh PRM yang dibuat sesuai persyaratan ISO 33004:
Gambar 4. PRM pada proses Penetapan Konteks
Dari PRM diatas kemudian dikembangkan lagi lebih detail dari satu dimensi proses, yang terdiri dari:
1) ID Proses adalah nomor identitas unik untuk setiap proses;
2) Nama proses adalah nama dari sebuah proses/kriteria;
3) Tujuan proses adalalah sasaran tingkat tinggi dari sebuah proses dan outcomes yang dihasilkan dari implementasi yang efektif dari sebuah proses/kriteria;
4) Outcomes adalah merupakan hasil atau luaran yang hendak dicapai dalam suatu proses;
5) Base practices adalah aktivitas yang dilakukan dan berkontribusi pencapaian sebuah tujuan proses tertentu.
6) Work produtcs adalah bukti yang mendukung dilakukannya base practices dan berkontribusi untuk pencapaian satu outcomes atau beberapa outcomes.
Detail dimensi proses dijelaskan pada gambar dibawah ini:
Gambar 5. Detail Dimensi Proses Penetapan Konteks c. Validasi proses MRKI dengan Process Reference
Model (PRM)
Validasi PRM proses MRKI sesuai dengan persyaratan ISO 33004 13 item pernyataan persyaratan PRM diambil dari subbab 5.3 Requirement for Process Reference Model dan 5.4 Process Description. Validasi dilakukan self declaration (first party). Dari 11 item validasi 8(delapan) item telah memenuhi persyaratan di dalam persyaratan (requirement) ISO 33004.
5. Perancangan
Model
Penilaian
menggunakan
Process
Measurement
Framework (PMF)
Perancangan model penilaian kapabilitas MRKI pada penelitian ini merujuk pada ISO 33020 yang disebut dengan Process Assesment Model (PAM). PAM merupakan proses untuk menentukan model yang cocok untuk tujuan penilaian karakteristik kualitas proses yang spesifik[4]. PAM terdiri dari dua dimensi yaitu satu dimensi untuk menggambarkan dimensi proses dalam bentuk Process Reference Model (PRM) yang menjelaskan tujuan, praktek, dan aktivitas yang dilakukan organisasi. Dimensi yang lain menggambarkan dimensi kualitas proses yaitu atribut proses yang mencerminkan tingkat kualitas suatu proses dalam bentuk Process Measurement Framework (PMF). Hubungan PAM, PRM, dan PMF digambarkan pada bagan dibawah ini:
Seperti yang sudah dijelaskan subbab 4 sebelumnya, peneliti menggunakan satu PRM dimana dimensi proses MRKI yang diambil langsung diadopsi dari ISO 27005 yang terdiri dari 6 proses yaitu Penetapan Konteks, Penilaian Resiko, Perlakuan Resiko, Penerimaan Resiko, Komunikasi Konsultasi, dan Monitoring Evaluasi. Enam proses tersebut kemudian ditentukan tujuan proses, aktivitas dan sub-aktivitas yang dijadikan acuan base practices, input, output, dan outcomes proses.
a. Penentuan tingkat kapabilitas proses
Langkah pertama dari PMF adalah penentuan tingkat kapabilitas proses RKI. Tingkat kapabilitas proses MRKI yang peneliti adopsi dari ISO 33020 sebagai berikut: 1) Level 0: Incomplete process, proses MRKI tidak
dilaksanakan dan gagal mencapai tujuan yang ditetapkan, tidak terdapat atau sedikit bukti pencapaian tujuan proses MRKI
2) Level 1:Performed process, proses MRKI yang dilakukan telah mencapai tujuan yang ditetapkan merupakan tahap awal penerapan MRKI
3) Level 2: Managed Process, proses MRKI pada level 1 berhasil direncanakan, dimonitor, dan dievaluasi. Work produtcs sudah didefinisikan, ditetapkan, dikontrol, dan didokumentasikan.
4) Level 3: Established process, proses MRKI pada level 2 menggunakan standar atau framework tertentu dan terdapat pembagian peran, tugas, dan tanggungjawab dalam penerapan MRKI.
5) Level 4: Predictable Process, proses MRKI pada level 3 telah dapat diukur secara kuantitatif dan proses MRKI dilakukan berdasarkan pengumpulan data kuantitatif dan dianalisis dengan metode statistik untuk memenuhi tujuan kuantitatif bisnis. 6) Level 5: Inovating Process, proses MRKI pada level
4 dilakukan secara berkelanjutan dan konsisten untuk mendapatkan peluang dan inovasi perbaikan proses MRKI.
b. Penentuan skala rating atribut proses
Skala pengukuran yang digunakan mengadopsi ISO 33020 dengan menggunakan skala ordinal.
Gambar 7 Skala rating atribut proses[4]
d. Penetapan level kapabilitas proses
Gambar 8 Level kapabilitas proses e. Penilaian level kapabilitas proses
Model penilaian yang dirancang dan dinilai adalah proses level 1 yaitu PA 1.1 Process Performance. Untuk menilainya menggunakan kuesioner. Kuesioner diisi dengan dengan memberikan nilai 1 atau 0 pada kolom “Ada/Tidak”. Jika organisasi melakukan base practices yang terdapat di dalam kuesioner maka responden memasukkan nilai 1 sebagai tanda jawaban “Ada”. Sedangkan jika base practices tidak dilakukan maka kolom akan diisi nilai 0. Jika organisasi menghasilkan work produtcs yang terdapat di dalam kuesioner maka kolom “Ada/Tidak” diisi dengan nilai 1. Bila work produtcs tidak dihasilkan maka kolom tersebut akan diisi nilai 0. Nilai kuesioner yang telah diisi dengan angka 1 dan 0 akan diubah menjadi skala N|P-|P+|L-|L+|F dengan menggunakan persamaan dibawah ini:
Bila skala base practices bernilai F dan skala work produtcs bernilai L-, maka nilai level kapabilitas proses level 1 dalam menerapkan MRKI adalah L-. Nilai level kapabilitas proses mengikuti nilai terendah rating atribut proses antara skala base practices dan work produtcs berdasarkan hasil kuesioner.
f. Validasi PMF dengan ISO 33003
Validasi yang dilakukan dengan cara self-declaration (first party) yang terdapat pada ISO 33003 poin-poin subbab
4.1Conceptualization, 4.2 Construct Definiton, 4.3 Operationalization, 4.4 Construct Specification Examination, 4.5 Rating Process Atributes, 4.6 Agregation, dan 4.7 Sensitifity Analysis. Dari 24 item validasi, terdapat 17 item yang sesuai persyaratan.
6. Penentuan model penilaian
a. Usulan model penilaianSetelah dilakukan PRM pada poin 4(b) dan PMF pada poin 5 diusulkan model penilaian kapabilitas MRKI. Model penilaian terdiri dari 2 dimensi yaitu dimensi proses pada sumbu x dan dimensi tingkat kapabilitas proses pada sumbu y.
Gambar 10 Usulan model penilaian kapabilitas proses MRKI b. Validasi Process Assesment Model (PAM) dengan
ISO 33004
Validasi yang dilakukan dengan cara self-declaration (first party) yang terdapat pada ISO 33004. Sembilan (9) pernyataan persyaratan validasi model referensi proses di Tabel Idiambil dari poin-poin subbab 6.3 Requirements for Process Assesment Model ISO 33004. Dari 9 item validasi, terdapat 8 item yang sesuai persyaratan.
7. Implementasi
a. Desain kuesioner penelitian
Pernyataan-pernyataan base practices dan work produtcs di dalam kuesioner penelitian mangacu pada detail dimensi proses yang digambarkan pada gambar 5. Berikut gambar dibawah ini contoh kuesioner penelitian pada dimensi proses Penerimaan Resiko (Risk Acceptance).
Gambar 11 Contoh kuesioner penelitian pada dimensi proses Penerimaan Resiko (Risk Acceptance)
b.
Implementasi Studi KasusImplementasi model penilaian dilakukan dengan studi kasus di Pusat Komunikasi Kementerian Luar Negeri (Puskom Kemlu). Jenis kuesioner dibagi menjadi 2 jenis yaitu kuesioner umum dan kuesioner khusus. Kuesioner umum untuk pejabat struktural, admin TI, dan petugas komunikasi KBRI. Kuesioner khusus untuk Kapuskom. Kuesioner umum terdiri dari 40 base practices dan 23 work produtcs. Kuesioner khusus terdiri dari 24 base practices dan 23 work produtcs.
Hasil penilaian kapabilitas proses MRKI level 1 di Puskom Kemlu sebagai berikut:
Kapuskom sebagai information risk owner mempersepsikan telah melaksanakan base practices MRKI pada level Maximum Largely Achieved (L+), sedangkan pejabat struktural dan petugas komunikasi KBRI mempersepsikan bahwa base practices MRKI saat ini masih pada level maximum partially achieved (P+). Work produtcs MRKI yang dihasilkan menurut Kapuskom sudah pada level maximum partially achieved (P+), sedangkan menurut pejabat structural, admin TI, dan petkom KBRI minimum partially achieved (P-). Hasil penilaian dimensi proses per tipe responden sebagai berikut:
Gambar 13 Detail Dimensi Proses Pejabat Struktural dan Admin TI
Gambar 14 Detail Dimensi Proses Petugas Komunikas KBRI
Gambar 15 Detail Dimensi Proses Kapuskom
Jika digabungkan hasil penilaian base practices antara pejabat structural, petkom KBRI, dan Kapuskom maka nilai kapabilitas proses MRKI di Puskom Kemlu saat ini berada pada persentase 54,82% (Minimum
Largely Achieved/Sebagian Besar Tercapai Minimum). Sedangkan, hasil penilaian work produtcs berada pada persentase 33,93% (Maximum Partially Achieved/Sebagian Tercapai Maksimum). Dengan hasil tersebut, maka dapat disimpulkan kababilitas proses MRKI Puskom Kemlu saat ini masih pada level 0.
8. Kesimpulan
Kesimpulan dari penelitian ini sebagai berikut:
1. Telah berhasil dirancang model penilaian kapabilitas proses MRKI di instansi pemerintah menggunakan ISO 27005 dan ISO 33020. Dimana, model penilaian ini dapat dijadikan self-assesment tool untuk menilai kepaabilitas proses MRKI pada proses PA1.1 Process Performance.
2. Dimensi proses pada model penilaian ini terdiri dari 6(enam) dimensi proses yaitu penetapan konteks, penilaian resiko, perlakuan resiko, penerimaan resiko, komunikasi konsultasi, dan monitoring evaluasi.
3. Hasil penilaian kapabilitas proses MRKI di Puskom Kemlu masih berada pada level 0 dengan skala Maximum Partially Achieved/Sebagian Tercapai Maksimum dengan persentase 33,93%.
REFERENSI
[1] Direktorat Keamanan Informasi. 2011. Panduan Penerapan Tata Kelola Keamanan Infromasi bagi
Penyelenggara Pelayanan Publik. Kementerian
Komunikasi dan Informatika RI. Jakarta
[2] Elmaallam, M. dan Kriouile, A.(2012): “A Model
ISR3Mfor assessing maturity of Information security risk management process Case study”, 16-21.
[3] ISO/IEC 27005 “Information Technology-Security Techniques-Information security risk management”, 2011.
[4] ISO/IEC 33020 “Information Technology-Process Assesment-Process measurement framework for assessment of process capability”, 2015.
[5] Mayer,J. dan Fagundes,L. (2009): “A Model to Assess the
Maturity Level of the Risk Management Process in Information Security”, FIP/IEEE Intl. Symposium on Integrated Network Management — Workshops, 61-70.
Alfred Saut Sibarani, memperoleh gelar S.ST dari Sekolah
Tinggi Sandi Negara, Indonesia tahun 2007. Saat ini sedang mengambil S-2 diSekolah Teknik Elektro dan Informatika, Institut Teknologi Bandung, Indonesia opsi Manajemen Rekayasa Keamanan Informasi.
![Gambar 3. Bagan proses/aktivitas MRKI[3]](https://thumb-ap.123doks.com/thumbv2/123dok/4748255.3426575/2.892.86.426.450.756/gambar-bagan-proses-aktivitas-mrki.webp)
![Gambar 7 Skala rating atribut proses[4]](https://thumb-ap.123doks.com/thumbv2/123dok/4748255.3426575/4.892.481.788.167.624/gambar-skala-rating-atribut-proses.webp)
