ANALISIS SISTEM MANAJEMEN KEAMANAN SISTEM INFORMASI PADA PT. CITRACITI PACIFIC BERBASIS
ISO/IEC 27001
Fisca Gupita Sakerti, Aidil Fitriansyah
Mahasiswa Program Studi S1 Sistem Informasi Jurusan Ilmu Komputer
Fakultas Matematika dan Ilmu Pengetahuan Alam Kampus Bina Widya Pekanbaru, 28293, Indonesia
fisca.gupita4141@student.unri.ac.id, aidil.fitriansyah@lecturer.unri.ac.id ABSTRAK
PT. Citraciti Pacific merupakan suatu perseroan terbatas yang bergerak di properti dan real estate dengan sejumlah proyek yang telah dibangun yaitu Mal SKA Pekanbaru.
Mal SKA sebagai pusat perbelanjaan modern hadir di tengah masyarakat yang kini menghadapi era teknologi 4.0. Dalam penelitian ini, dijelaskan bahwa belum ada didapati permasalahan besar yang pernah terjadi dalam kasus keamanan informasi di PT. Citraciti Pacific. Meskipun secara umum permasalahan keamanan informasi PT.
Citraciti Pacific sudah diatasi, tetapi hasil tersebut belum diukur sejauh mana keamanan informasi pada perusahaan tersebut dari sisi tingkat kematangan dan tingkat kesiapannya. Berdasarkan pernyataan tersebut, maka penelitian ini mengukur tingkat kematangan dan kesiapan sistem manajemen keamanan informasi pada PT. Citraciti Pacific sebagai tinjauan ulang kesiapan keamanan informasi, keberhasilan, dan pencapaian terkait tingkat kelengkapan dan kematangan tertentu. Penelitian ini menggunakan standar ISO 27001: 2013 dan skala Systems Security Engineering Capability Maturity Model (SSE-CMM). Hasil dari Penelitian ini adalah maturity level yang berada di level 3 (well defined) untuk lima klausul yang diteliti. Dengan tingkat kematangan yang diharapkan berada pada level 5 (optimized) maka diberikan rekomendasi yang akan mendukung proses peningkatan tingkat kematangan dari penerapan manajemen keamanan informasi.
Kata Kunci : Keamanan Informasi, ISO 27001: 2013, Maturity level, Systems Security Engineering Capability Maturity Model (SSE-CMM).
ABSTRACT
PT. Citraciti Pacific is a limited liability company engaged in property and real estate with a number of projects that have been built, namely Mall SKA Pekanbaru. SKA Mall as a modern shopping center is present in the midst of society which is now facing the era of technology 4.0. In this study, it is explained that there have been no major problems that have occurred in the case of information security at PT. Citraciti Pacific.
Although in general the information security problems of PT. Citraciti Pacific has been resolved, but the results have not yet been measured to what extent the information security of the company is in terms of maturity level and readiness level. Based on this statement, this study measures the level of maturity and readiness of the information security management system at PT. Citraciti Pacific as a review of information security readiness, success, and achievements related to a certain level of completeness and maturity. This study uses the ISO 27001: 2013 standard and the Systems Security Engineering Capability Maturity Model (SSE-CMM) scale. The result of this research is that the maturity level is at level 3 (well defined) for the five clauses studied. With the expected maturity level at level 5 (optimized), recommendations are given that will support the process of increasing the maturity level of the application of information security management.
Keywords: Information Security Management System, ISO 27001: 2013, Maturity level, Systems Security Engineering Capability Maturity Model (SSE-CMM).
PENDAHULUAN
Keamanan sistem informasi acap kali kurang mendapatkan perhatian khusus dari para stakeholder dan pengelola sistem informasi di dalam suatu perusahaan. Sering kali, permasalahan keamanan sistem informasi mendapatkan perhatian dari para stakeholder dan pengelola sistem informasi ketika sudah terjadi sebuah ancaman yang menimbulkan kerugian pada perusahaan. Ketika sebuah ancaman sudah menimbulkan kerugian pada perusahaan, stakeholder dan pengelola sistem mulai melakukan berbagai tindakan pencegahan dan perbaikan atas keamanan sistem informasi. Hal ini dapat menyebabkan perusahaan mengeluarkan pengeluaran ekstra untuk melakukan pengamanan sistem informasi dan perbaikan atas ancaman yang sudah terjadi (Rahardjo, 2002).
Keamanan sistem informasi bertujuan untuk memastikan dan meyakinkan integritas, ketersediaan dan kerahasiaan dari pengolahan informasi. Pengelolaan keamanan sistem informasi harus dimulai ketika sebuah sistem informasi dibangun, bukan hanya sebagai pelengkap sebuah sistem informasi. Dengan adanya pengelolaan keamanan sistem informasi yang baik, maka diharapkan perusahaan dapat memprediksi resiko-resiko yang muncul akibat penggunaan sistem informasi sehingga dapat menghindari atau mengurangi resiko yang mungkin dapat merugikan perusahaan.
Keamanan sistem informasi merupakan tanggung jawab pihak yang ada di dalam perusahaan. Oleh karena itu bagaimana perusahaan dapat menerapkan dan mengelola keamanan sistem informasi, melatarbelakangi disusunnya seri ISO/IEC 27001.
TINJAUAN PUSTAKA
a. Analisa
Analisa adalah penelusuran kesempatan atau tantangan atau sumber. Analisa juga melibatkan pemecahan suatu keseluruhan ke dalam bagian-bagian untuk mengetahui sifat, fungsi dan saling berhubungan antar bagian tersebut. Analisa sangat diperlukan atau penting karena sifat dari lingkungan sangat dinamis dan berubah dengan cepat. Berdasarkan pengertian analisa di atas, maka dapat disimpulkan bahwa analisa adalah menyelidiki, menguraikan, menelaah suatu permasalahan untuk mengetahui pemahaman yang tepat (Wedianto et al., 2016).
b. Sistem Informasi
Definisi dari sistem informasi adalah suatu sistem dalam sebuah organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi serta menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan (Leitch & Davis, 1983).
c. Sistem Manajemen Keamanan Informasi (SMKI)
Sistem Manajemen Keamanan Informasi (SMKI) atau dikenal juga dengan sebutan Information Security Management System (ISMS) adalah ilmu yang dirancang untuk menentukan bagian penting yang memiliki pengaruh terhadap organisasi dan pembagian kontrol keamanan yang dapat digunakan untuk melindungi informasi sebagai aset dan menjamin kerahasiaan pihak lain (Brewer, 2013). Sistem manajemen keamanan informasi (SMKI) berdasarakan ISO/IEC 27001 (2005) merupakan pendekatan proses “Plan-Do-Check-Act” untuk penerapan SMKI dibutuhkan dukungan manajemen.
Gambar 1. Plan-Do-Check-Act Model
d. ISO/IEC 27001:2013
ISO/IEC 27001: 2013 merupakan salah satu seri yang diterbitkan oleh The International Organization for Standarization yang didalamnya berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI) (ISO/IEC, 2013). Standar ini bersifat indipenden terhadap produk teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis risiko,
serta dirancang untuk menjamin kontrol keamanan yang dipilih perusahaan dapat melindingi aset informasi dari berbagai risiko serta memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.
ISO/IEC 27001: 2013 menggambarkan Sistem Manajemen Keamanan Informasi menggunakan pendekatan risiko bisnis untuk menetapkan, menerapkan, mengoperasikan, memantau serta memelihara SMKI. Dalam hal ini SMKI harus membahas semua aspek yang ada di perusahaan atau organisasi seperti struktur organisasi, kebijakan, kegiatan perencanaan, tanggung jawab, praktik, prosedur, proses serta sumber daya (Arnason & Willett, 2007).
e. Uji Validitas
Validitas adalah suatu instrumen dalam penelitian yang merupakan alat untuk mengumpulkan data dapat dikatakan valid jika instrumen tersebut mampu mengukur apa saja yang harus diukur (Hamdani, 2014). Dalam melakukan analisis tingkat validitas instrumen penelitian atau alat pengukuran data digunakan teknik korelasi pearson product moment dari Pearson. Teknik korelasi ini banyak digunakan oleh para peneliti dalam menganalisis tingkat validitas instrumen penelitian (Yulianty, 2018).
Suatu kuesioner dikatakan valid jika butir pernyataan pada kuesioner mampu mengungkapkan sesuatu yang akan diukur oleh kuesioner tersebut. Uji validitas dilakukan dengan membandingkan nilai r hitung dengan nilai r tabel untuk degree of freedom (df) = N-2 dengan α atau alpha sebesar 0,05 sebagai nilai tolak ukur untuk menentukan taraf kepercayaan objek yang diteliti.
Jika suatu alat ukur mempunyai korelasi yang signifikan antara skor item terhadap skor totalnya maka dikatakan alat skor tersebut adalah valid. Untuk menguji validitas, digunakan rumus korelasi pearson product moment yang digunakan yaitu pada persamaan (Hamdani, 2014):
𝑟
𝑥𝑦=
N ∑ 𝑥𝑦−(∑ 𝑥)(∑ 𝑦)√[𝑁 ∑ 𝑥2−(∑ 𝑥)2][𝑁∙∑ 𝑦2−(∑ 𝑦)2] …...……...… (1) Keterangan:
𝑟𝑥𝑦 = koefisien korelasi antara x dan y N = jumlah subjek
∑ 𝑥𝑦 = jumlah perkalian antara skor x dan skor y
∑ 𝑥 = jumlah total skor x
∑ 𝑦 = jumlah total skor y
∑ 𝑥2 = jumlah dari x kuadrat
∑ 𝑦2 = jumlah dari y kuadrat f. Uji Reliabilitas
Reliabilitas adalah seberapa besar derajat tes mengukur secara konsisten sasaran yang akan diukur. Reliabilitas dinyatakan dalam bentuk angka, biasanya sebagai keofisien, semakin tinggi koefisien maka reliabilitas atau konsitensi jawaban responden tinggi. Menurut Arikunto, pengertian reliabilitas adalah suatu tingkat keandalan sesuatu, reliabel artinya dapat dipercaya, jadi dapat diandalkan (Hamdani, 2014).
Untuk mengukur reliabilitas data penelitian yaitu dengan menggunakan
cronbach alpha (Hamdani, 2014). Berikut rumus cronbach’s alpha yang dapat dilihat dalam persamaan (2):
𝑟 = (
𝑘𝑘−1
) (1 −
∑ 𝑆𝑡𝑆𝑡
)
………….…………...(2) Keterangan:𝑟
= nilai reliabilitas 𝑘 = jumlah item∑ 𝑆𝑡 = jumlah varian skor tiap-tiap item 𝑆𝑡 = varian total
g. System Security Engineering Capability Maturity Level (SSE-CMM)
SSE-CMM adalah model referensi proses yang berfokus pada persyaratan untuk menerapkan keamanan dalam serangkaian sistem terkait yang merupakan domain keamanan teknologi informasi. SSE-CMM adalah suatu model untuk meningkatkan dan menilai kemampuan rekayasa keamanan yang tidak dipraktikkan secara terpisah dari ilmu teknik lainnya. Pengukuran terhadap nilai kematangan (maturity level) dilakukan dengan menggunakan rumus berikut (Anam et al., 2019):
𝑀𝑎𝑡𝑢𝑟𝑖𝑡𝑦 𝐿𝑒𝑣𝑒𝑙 = Σ(𝑗𝑢𝑚𝑙𝑎ℎ 𝑛𝑖𝑙𝑎𝑖 𝑗𝑎𝑤𝑎𝑏𝑎𝑛)
Σ(𝑝𝑒𝑟𝑛𝑦𝑎𝑡𝑎𝑎𝑛 𝑘𝑢𝑒𝑠𝑖𝑜𝑛𝑒𝑟)…...……...(3) Level capability SSE-CMM (System Security Enginering Capability Maturity Model) terdapat 5 tingkat, yaitu (Sarno & Iffano, 2009):
Tabel 1. Tingkat dalam SSE-CMM
Tingkat
Kemampuan Range Deskripsi
1 0.51 – 1.50 Performed Informally (dilakukan informal) 2 1.51 – 2.50 Planned and Tracked (direncanakan dan dilacak) 3 2.51 – 3.50 Well Defined (dilaksanakan dengan baik) 4 3.51 – 4.50 Quantitatively Controlled (dikendalikan secara
kuantitatif)
5 4.51 – 5.00 Continously Improving (ditingkatkan terusmenerus)
METODE PENELITIAN
a. Tahapan Penelitian
Langkah-langkah yang dilakukan dalam penelitian ini dijelaskan pada Gambar 2.
Gambar 2. Tahapan Penelitian
Penetuan Klausa
Penentuan Responden Pengumpulan
Data Awal
Pengumpulan Data Kuesioner Analisa Data
Pemberian Rekomendasi
b. Studi Pustaka
Studi pustaka merupakan teknik pengumpulan data sekunder yang berguna untuk membantu dalam penyelesaian masalah yang sedang diteliti. Pengumpulan data berasal dari berbagai laporan penelitian, buku, e-book, dan jurnal yang relevan dengan penelitian.
c. Pengumpulan Data Awal
Langkah pertama yang dilakukan ialah pengumpulan data awal. Pengumpulan data awal dilakukan melalui studi literatur, observasi, dan wawancara berdasarkan sistem manajemen keamanan informasi bebasis ISO/IEC 27001: 2013
d. Penetuan Klausa
Dalam tahap ini, metode yang akan digunakan untuk mengaudit sistem keamanan informasi menggunakan metode penelitian ISO 27001. ISO/IEC 27001 merupakan sebuah standar keamanan informasi yang secara luas diadaptasi untuk membantu dalam hal menentukan status keamanan informasi. Pemilihan klausa pada studi kasus ini disesuaikan dengan sistem keamanan informasi pada PT. Citraciti Pacific.
e. Penentuan Responden
Penentuan responden pada penilitian ini yaitu pegawai yang melakukan pemrosesan data dan informasi pada sistem yang telah berjalan di beberapa departemen pada PT. Citraciti Pacific.
f. Pengumpulan Data Kuesioner
Kuesioner adalah teknik bagaimana mendapatkan data yang dilakukan dengan cara memberikan paket item pertanyaan atau pernyataan berbentuk online atau offline teruntuk responden untuk dijawabnya. Sebelum disebar kepada responden, kuesioner akan disusun terlebih dahulu kemudian diuji validitas dan reliabelitasnya. Kemudian, responden akan menerima lembar kuesioner. Lembar kuesioner tersebut merupakan lembar penilaian tingkat kematangan (maturity level).
g. Analisa Data
Tahap analisa data yaitu untuk mengetahui poin-poin apa yang akan digunakan sebagai rumusan dari rekomendasi peningkatan kinerja dari manajemen keamanan informasi. Analisa data yang dilakukan yaitu tingkat kematangan (maturity level) dan juga analisa kesenjangan (gap analysis).
h. Pemberian Rekomendasi
Tahap ini merupakan langkah terakhir untuk memberikan perbaikan dan pengembangan pada keamanna informasi PT. Citraciti Pacific dengan memberikan rekomendasi terhadap objektif kontrol dan kontrol keamanan informasi yang sudah di nilai tingkat kemampuannya pada tahap sebelumnya. Rekomendasi yang diberikan mengacu pada ISO/IEC 27001: 2013.
HASIL DAN PEMBAHASAN
a. Pengumpulan Data Awal
Pada studi literatur, Peneliti melakukan pengumpulan berbagai literatur tentang keamanan informasi berupa buku, e-book, jurnal, dan situs-situs di internet yang mencakup konsep keamanan informasi berdasarkan standar ISO/IEC 27001: 2013.
Selama observasi, peneliti berada di perusahaan untuk melihat, mengamati, mencatat, namun tidak terlibat dalam kejadian yang sedang diamati. Adapun yang peneliti observasi adalah penggunaan Teknologi, Informasi dan Komunikasi (TIK) dalam segi keamanan informasi pada sistem-sistem yang ada di perusahaan. Kemudian, peneliti melakukan tanya jawab langsung berupa wawancara kepada beberapa pegawai dari departemen yang bertanggung jawab dalam pemrosesan informasi. Adapun departemen yang dimaksud adalah Departemen Legal & Personalia, Departemen IT & CCTV, Departemen Finance & Account, dan Departemen Marketing. Tahap wawancara ini bertujuan untuk mengetahui penerapan sistem keamanan informasi dan permasalahan yang sering ditemui.
b. Penetuan Klausa
Setelah melakukan pengumpulan data awal, peneliti menetapkan klausa yang akan digunakan pada penelitian ini. Tindakan pemilihan klausa, objektif kontrol dan kontrol keamanan pada penelitian ini berbasis standar ISO/IEC 27001:2013 dengan melakukan penyesuaian pada hasil pengumpulan data awal yang didapatkan. Klausa, objektif kontrol dan kontrol keamanan yang dipilih akan menyesuaikan pada ruang lingkup sistem yang tengah berjalan pada perusahaan, yaitu Sistem Administrasi, Sistem Marketing, Sistem Pengawasan Eksternal dan Internal, serta Sistem Accounting Finance.
Tabel 2. Klausa yang Dipilih
Klausa Objektif Kontrol Kontrol Keamanan
A.9 Kontrol Akses
A.9.1 Persyaratan bisnis untuk
kontrol akses A.9.1.1 Kebijakan Kontrol Akses
A.9.2 Manajemen akses user
A.9.2.2 Penyediaan user access
A.9.2.3 Manajemen hak akses khusus/istimewa A.9.2.5 Review terhadap hak akses user A.9.3 Tanggung jawab user A.9.3.1 Penggunaan kerahasiaan informasi
otentikasi A.9.4 Kontrol akses sistem dan
aplikasi
A.9.4.1 Pembatasan akses informasi A.9.4.2 Prosedur log-on yang aman
A.11 Keamanan Fisik dan Lingkungan
A.11.1 Area yang aman
A.11.1.2 Pengendalian akses masuk
A.11.1.3 Keamanan kantor, ruang dan fasilitas A.11.1.4 Perlindungan ancaman dari luar dan lingkungan sekitar
A.11.1.5 Bekerja di area aman
Lanjutan Tabel 2.
A.12 Keamanan Operasi
A.12.1 Prosedur opersional dan tanggung jawab
A.12.1.1 Prosedur operasi yang terdokumentasi A.12.1.2 Manajemen perubahan
A.12.2 Perlindungan terhadap malware
A.12.2.1 Kontrol malware
A.12.3 Back-up A.12.3.1 Back-up infomasi
A.12.4 Log dan pematauan A.12.4.2 Perlindungan informasi log A.12.5 Kontrol operasional
software
A.12.5.1 Instalasi software pada sistem operasional
A.13 Keamanan Komunikasi
A.13.2 Transfer informasi A.13.2.1 Kebijakan dan prosedur transfer informasi
A.13.2.3 Pesan elektronik A.16 Manejemen
Insiden Keamanan Informasi
A.16.1 Manajemen insiden keamanan informasi dan perbaikan
A.16.1.1 Tanggung jawab dan prosedur A.16.1.2 Pelaporan kejadian keamanan informasi
A.16.1.3 Pelaporan kelemahan keamanan
c. Penentuan Responden
Penentuan responden yaitu menetapkan responden yang nantinya akan mengisi lembar penilaian tingkat kematangan (maturity level) berupa kuesioner. Pada penelitian ini, responden yang dipilih adalah seluruh pegawai yang ada di Departemen Legal &
Personalia, Departemen IT & CCTV, Departemen Finance & Account, dan Departemen Marketing. Adapun jumlah pegawai pada departemen tersebut akan ditunjukkan pada tabel berikut.
Tabel 3. Jumlah Pegawai
No. Nama Departemen Jumlah
1. Departemen Legal & Personalia 7 orang 2. Departemen IT & CCTV 5 orang 3. Departemen Finance & Account 8 orang 4. Departemen Marketing 12 orang
Total 32 orang
d. Pengumpulan Data Kuesioner
Kuesioner yang disusun berdasarkan pada klausul, objektif kontrol dan kontrol keamanan berbasis ISO/IEC 27001. Proses penyusunan kuesioner berfokus pada klausa 9 tentang Kontrol Akses, klausa 11 tentang Keamanan Fisik dan Lingkungan, klausa 12 tentang Keamanan Operasi, klausa 13 tentang Keamanan Komunikasi, dan klausa 16 tentang Manajemen Insiden Keamanan Informasi. Dari 5 klausul tersebut menghasilkan pernyataan-pernyataan yang akan ditujukan kepada responden. Seluruh klausul tersebut memuat total 38 pernyataan.
Sebelum disebarkan, peneliti melakukan pengujian validitas dan reliabilitas butir kuesioner guna menunjukkan sejauh mana alat pengukur yang dipergunakan dalam menghitung nilai tingkat kematangan. Dalam penelitian ini pengujian validitas
dilakukan terhadap 20% dari jumlah seluruh responden yaitu sebanyak 6 responden.
Pengambilan keputusan berdasarkan pada nilai rhitung (Corrected Item-Total Correlation) > rtabel sebesar 0,8114, untuk df = 6–2 = 4; = 0,05 maka item/
pertanyaan tersebut valid dan sebaliknya. Hasil validasi keseluruhan butir kuesioner dapat dilihat pada Tabel 4 berikut:
Tabel 2. Butir Kuesioner yang Tidak Valid
No Kode Butir Rhitung Rtabel Keterangan
1. KA1 0,870495601 0,8114 VALID
2. KA2 0,824145545 0,8114 VALID
... ... ... ... ...
9. FL1 0,321614574 0,8114 TIDAK VALID
... ... ... ... ...
20. KO4 0,851963079 0,8114 VALID
21. KO5 0,107791347 0,8114 TIDAK VALID
22. KO6 0,193064108 0,8114 TIDAK VALID
23. KO7 0,276696119 0,8114 TIDAK VALID
24. KO8 0,074828471 0,8114 TIDAK VALID
25. KO9 0,911326842 0,8114 VALID
26. KO10 0,883911315 0,8114 VALID
27. KO11 0,482651026 0,8114 TIDAK VALID
... .... ... ... ...
37. MI6 0,851963079 0,8114 VALID
38. MI7 0,399864642 0,8114 TIDAK VALID
Setelah melakukan uji validitas, maka dilakukan uji reliabelitas. Instrumen akan dikatakan reliabel jika nilai tolak ukur (alpha) yang dihasilkan lebih dari 0.6.
Berdasarkan hasil uji reliabilitas, diketahui seluruh variabel memiliki reliabilitas tinggi yaitu 0,999338974. Hal ini dibuktikan dengan nilai cronbach’s alpha di atas 0,70 artinya kuesioner yang digunakan memiliki konsistensi atau reliabel sebagai alat ukur.
Setelah dilakukan pengujian kuesioner, peneliti menyebarkan kuesioner di Kantor PT. Citraciti Pacific yang terletak di Jl. Soekarno-Hatta No 114. Responden yang digunakan adalah seluruh pegawai Departemen Legal & Personalia, Departemen IT & CCTV, Departemen Finance & Account, dan Departemen Marketing. Pada masing-masing departemen, peneliti memberikan kuesioner sebanyak jumlah dari tiap departemen seperti yang dijelaskan pada tabel 4.3, sehingga total penyebaran adalah 32 kuesioner. Dari 32 kuesioner yang dibagikan kepada responden, yang diterima kembali berjumlah 30 kuesioner.
e. Analisa Data
Pada tahap ini, Peneliti dapat mengetahui seberapa jauh PT. Citraciti Pacific telah memenuhi peroses pengelolaan keamanan informasi dengan melakukan analisa tingkat kematangan (maturity level) dan analisa kesenjangan (gap analysis) yang akan dijelaskan sebagai berikut:
1. Analisa Tingkat Kematangan (Maturity Level)
Penilaian tingkat kematangan pada penelitian ini menggunakan System Security Engineering Capability Maturity level (SSE-CMM). Pengukuran terhadap nilai kematangan (maturity level) di atas dilakukan dengan menggunakan rumus
Tabel 3. Hasil Maturity Level
Klausa Objektif Kontrol Kontrol Keamanan
Tingkat Kemampuan
Kontrol Keamanan
Tingkat Kemampuan
Objektif Kontrol
Rata- Rata
A.9 Kontrol Akses
A.9.1 Persyaratan bisnis untuk kontrol akses
A.9.1.1 Kebijakan
Kontrol Akses 4,1 4,1
4,2 A.9.2 Manajemen
akses user
A.9.2.2 Penyediaan
user access 4,7
4,1 A.9.2.3 Manajemen
hak akses khusus/istimewa
4,6
A.9.2.5 Review terhadap hak akses
user
3,1
... ... ... ... ... ...
A.16 Manejemen
Insiden Keamanan
Informasi
A.16.1 Manajemen insiden keamanan
informasi dan perbaikan
A.16.1.1 Tanggung jawab dan prosedur
4,1
3,7 3,7
A.16.1.2 Pelaporan kejadian keamanan
informasi
3,3
Gambar 3. Grafik Hasil Maturity Level
Berdasarkan hasil analisa data, nilai tingkat kematangan yang ditinjau dari
0 1 2 3 4
Klausa 9 Kontrol Akses5
Klausa 11 Keamanan Fisik dan Lingkungan
Klausa 12 Keamanan Operasi Klausa 13 Keamanan
Komunikasi Klausa 16 Manajemen Insiden
Keamanan Informasi
Klausul 9 Kontrol Akses memiliki rata-rata 4,23 yang termasuk dalam kategori Quantitatively Controlled (dikendalikan secara kuantitatif), Klausul 11 Keamanan Fisik dan Lingkungan memiliki rata-rata 3,13 yang termasuk dalam kategori Well Defined (dilaksanakan dengan baik), Klausul 12 Keamanan Operasi memiliki rata-rata 3,45 yang termasuk dalam kategori Well Defined (dilaksanakan dengan baik), Klausul 13 Keamanan Komunikasi memiliki rata-rata 2,77 yang termasuk dalam kategori Well Defined (dilaksanakan dengan baik), dan Klausul 16 Manajemen Insiden Keamanan Informasi memiliki rata-rata 3,68 yang termasuk dalam kategori Quantitatively Controlled (dikendalikan secara kuantitatif).
2. Analisa Kesenjangan (Gap Analysis)
Analisa ini berguna untuk melihat seberapa jauh kesenjangan yang ada setelah membandingkan nilai kematangan saat ini dan nilai kematangan yang diharapkan oleh perusahaan dalam manajemen keamanan informasi. Dalam hal ini, nilai kematangan yang diharapkan yaitu berada pada level 5 Continously Improving (ditingkatkan terus menerus).
Gambar 4. Grafik Hasil Gap Analysis
f. Pemberian Rekomendasi
Tahap ini merupakan langkah terakhir untuk memberikan perbaikan dan pengembangan pada keamanna informasi PT. Citraciti Pacific Rekomendasi yang diberikan mengacu pada ISO/IEC 27001: 2013.
Tabel 4. Pemberian Rekomendasi
Klausa Rekomendasi
Klausa 9 Kontrol Akses
Pembuatan kebijakan tertulis mengenai kontrol akses berupa pemberian, penghapusan, pemisahan, review, dan peraturan hak akses.
Klausa 11 Keamanan Fisik dan Lingkungan
1. Menetapkan standar dan regulasi lokasi kantor yang aman dari jangkauan publik agar aktifitas proses bisnis perusahaan tidak terganggu.
2. Menempatkan dan menyimpan secara aman fasilitas utama pengolah informasi dan fasilitas lainnya
Klausa 12 Keamanan Operasi
1. Memastikan bahwa seluruh pedoman pengolahan informasi dan fasilitas komunikasi telah terdokumentasi dengan baik 2. Perlu dilakukan koordinasi dengan pegawai terkait jika terjadi
kondisi yang tidak diharapkan atau mengalami kesulitan teknis.
Klausa 13 Keamanan Komunikasi
1. Memiliki kebijakan untuk melindungi pertukaran informasi dari pengalamatan yang salah, dan penghancuran.
2. Lindungi pertukaran informasi sensitif dalam bentuk lampiran.
1 2 3 4 5
A.9 Kontrol Akses A.11 Keamanan Fisik dan Lingkungan A.12 Keamanan Operasi A.13 Keamanan Komunikasi A.16 Manejemen Insiden Keamanan…
Kondisi Saat Ini
Kondisi yang Diharapkan
Lanjutan Tabel 6.
Klausa 16 Manajemen Insiden Keamanan
Informasi
1. Perusahaan harus menerapkan prosedur untuk memastikan respon yang cepat atas insiden keamanan informasi.
2. Memastikan bahwa pelaksana harus berkompeten dalam menangani masalah terkait insiden keamanan informasi.
KESIMPULAN
Berdasarkan penelitian yang telah dilakukan, dapat disimpulkan beberapa hal sebagai berikut.
1. Dari hasil perhitungan maturity level didapatkan hasil rata-rata dari 5 (lima) klausa ISO/IEC 27001:2013 yang digunakan adalah sebesar 3,45 yang termasuk dalam kategori Well Defined, artinya sebagian besar pelaksanaan keamanan informasi pada PT. Citraciti Pacific sudah dilakukan sesuai dengan kebijakan yang telah ada, namun pelaksanaannya masih informal dan belum terdokumentasi, bahkan beberapa tindakan dalam organisasi yang dilakukan berdasarkan spontanitas dan tanpa ada aturan baku yang bersifat formal.
2. Hasil Penelitian ini merekomendasikan perbaikan berdasarkan pemberian rekomendasi pada klausa 9 tentang Kontrol Akses, klausa 11 tentang Keamanan Fisik dan Lingkungan, klausa 12 tentang Keamanan Operasi, klausa 13 tentang Keamanan Komunikasi, dan klausa 16 tentang Manajemen Insiden Keamanan Informasi.
SARAN
Berdasarkan kesimpulan di atas, maka saran dari penelitian ini adalah sebagai berikut:
1. Bagi Peneliti selanjutnya dapat menggunakan standar ISO yang lain (seperti ISO 27002) untuk mengukur tingkat keamanan sistem informasi.
2. Diharapkan pihak pengelola PT. Citraciti Pacific dapat meningkatkan manajemen keamanan informasi, aturan dan prosedur keamanan informasi, sehingga dapat meminimalisir resiko.
3. Peneliti selanjutnya dapat menggunakan framework ITIL atau COBIT 5 untuk mengetahui kesiapan manajemen insiden PT. Citraciti Pacific
4. Peneliti selanjutnya dapat menggunakan standar ISO 27001 untuk mengevaluasi kembali dalam klausa lain
UCAPAN TERIMA KASIH
Bapak Aidil Fitriansyah, S.Kom, M.IT selaku dosen pembimbing yang bersedia mengantar peneliti demi gelar sarjana komputer. Terima kasih atas pengalaman dan seluruh masukan yang peneliti terima.
DAFTAR PUSTAKA
Anam, M. K., Lizarti, N., & Ulfah, A. N. (2019). Analisa Tingkat Kematangan Sistem Informasi Akademik STMIK Amik Riau Menggunakan ITIL V3 Domain Service Operation. Fountain of Informatics Journal, 4(1).
https://doi.org/10.21111/fij.v4i1.2810.
Arnason, S. T., & Willett, K. D. (2007). How to achieve 27001 certification: An example of applied compliance management. CRC Press.
Brewer, D. (2013). An Introduction to ISO/IEC 27001: 2013. BSI Standard Limited.
ISO/IEC. (2013). ISO/IEC 27001: 2013. Information Technology-Security Techniques- Information Security Management Systems-Requirements.
Leitch, R. A., & Davis, K. R. (1983). Accounting information systems. Prentice Hall Professional Technical Reference.
Rahardjo, B. (2002). Keamanan Sistem Informasi Berbasis Internet (Vol. 0). PT. Insan Indonesia-Bandung & PT. Indocisc-Jakarta.
Saepul Hamdani, M. S. (2014). Statistika Terapan. In Penerbit Andi Yogyakarta.
Sarno, R., & Iffano, I. (2009). Sistem Manajemen Keamanan Informasi berbasis ISO 27001. Surabaya: ITSPress.
Wedianto, A., Sari, H. L., & , Yanolanda, S. (2016). Analisa Perbandingan Metode Filter Gaussian , Mean Dan Median Terhadap Reduksi Noise. Jurnal Media Infotama, 12(1), 21–30.
Yulianty, Y. (2018). EVALUASI PENERAPAN SISTEM INFORMASI AKADEMIK UNIVERSITAS RIAU MENGGUNAKAN INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY (ITIL) VERSI 3. In Universitas Riau (Nomor 1999).