• Tidak ada hasil yang ditemukan

Proceeding SNASTIKOM 2014 Vol 2 PENERAPA

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2018

Membagikan "Proceeding SNASTIKOM 2014 Vol 2 PENERAPA"

Copied!
5
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 5 Halaman )

Teks penuh

(1)

PENERAPAN INDEKS KEAMANAN INFORMASI BERBASIS ISO 27001 UNTUK

MENGUKUR TINGKAT KESIAPAN PENGAMANAN INFORMASI

PADA INSTITUSI PENDIDIKAN TINGGI

1

Sajadin Sembiring,2 Solly Ariza Lubis

1Teknik Informatika STT Harapan Medan, 2Teknik Elektro Universitas Panca Budi Meda

Jl. H.M Jhoni No 70 Medan, Sumatera Utara

1

[email protected]

Abstrak

Informasi merupakan asset yang sangat bernilai bagi sebuah

institusi bisnis dan pemerintah. Informasi merupakan hasil

pengolahan data yang menjadi basis pengetahuan bagi

pemiliknya dan merupakan bahan dasar utama dalam proses

pengambilan kebijakan untuk pengembangan bisnis,

pererencanaan operasi maupun strategis, analisis, control dan

koreksi yang mengarahkan untuk optimalisasi kinerja

organisasi. Perguruan tinggi merupakan salah satu institusi yang

memiliki berbagai informasi yang terkait dengan managemen,

keuangan, proses akademik, kemahasiswaan, penelitian, asset

dan lain sebagainya dimana sebahagian besar dari informasi

tersebut bersifat rahasia atau perlu dijaga keasliannya. Dalam

makalah ini diuraikan model penerapan Indeks Keamanan

Informasi (KAMI) yang di sesuaikan dengan ISO 27001

tentang Information security management system (ISMS)

untuk mengukur tingkat keamanan informasi dan kematangan

suatu institusi perguruan tinggi dalam pengelolaan keamanan

informasi institusinya. Pada makalah ini juga diuraikan hasil

penerapan Indeks KAMI juga dapat dijadikan sebagai bahan

evaluasi diri bagi institusi perguruan tinggi terhadap pengelolaan

keamanan informasinya.

Kata Kunci : Indeks KAMI, Keamanan Informasi, Institusi

Pendidikan Tinggi. ISO 27001

I. Pendahuluan

Informasi merupakan aset yang penting bagi suatu

organisasi yang perlu dilindungi dari risiko keamanannya baik

dari pihak luar ataupun dari dalam organisasi [ ].

Teknologi Informasi dan Komunikasi (TIK) telah

menjadi bagian penting yang tidak terpisahkan dari aktivitas

keseharian institusi pendidikan tinggi. Sejalan dengan

perkembangan pemanfaatannya, ancaman terhadap aspek

keamanan informasi juga turut meningkat. Serangan virus,

worm, dan malware dapat melumpuhkan bahkan

menghancurkan suatu sistem informasi pada institusi

pendidikan tinggi yang telah dibangun dan dikembangkan

dengan susah payah. Disamping itu, penyusup dan „‟crackers‟‟

sangat aktif mencari celah untuk dapat masuk kedalam suatu

sistem informasi dan melakukan berbagai tindak kejahatan

„‟cyber‟‟. Kerugian dari segala ancaman serangan terhadap keamanan informasi ini tidak terhitung nilainya, baik dari segi

materil maupun moril, apalagi yang menyangkut informasi

rahasia pada institusi tersebut. Keamanan informasi tidak cukup

hanya disandarkan pada kehandalan tools atau teknologi

keamanan informasi yang digunakan, tetapi juga diperlukan

pemahaman yang baik oleh organisasi tentang apa yang harus

dilindungi dan menentukan secara tepat solusi yang dapat

menangani permasalahan kebutuhan keamanan informasi.

Untuk itu dibutuhkan managemen keamanan informasi yang

sistemik dan komprehensif.

Dalam praktik bisnis mencapai tujuan seringkali organisasi

bisnis hanya mengandalkan Teknologi Informasi (TI) yang

terpasang dalam mengelola informasi sebagai basis dalam

usaha untuk memberikan layanan yang berkualitas kepada

customer ataupun dalam optimalisasi proses bisnisnya.

Tingkat ketergantungan organisasi pada system informasi

juga sejalan dengan tingkat resiko yang mungkin timbul seiring

dengan perkembangan organisasi bisnis untuk tersebut. Salah

satu risiko yang mungkin timbul adalah risiko keamanan

informasi, dimana informasi sebagai asset organisasi menjadi

penting yang harus tetap tersedia dan dapat digunakan pada saat

dibutuhkan.

Institusi Pendidikan Tinggi merupakan organisasi yang

memiliki berbagai jenis informasi penting dan bersifat rahasia

atau informasi yang mesti dijaga keasliannya. Misalnya

informasi tentang proses akademik mahasiswa, pengelolaan

Asset Perguruan Tinggi, Keuangan, Informasi Penelitian,

Pengabdian Masyarakat, Beasiswa, kealumnian dan lain

sebagainya. Tingkat ketergantungan institusi pendidikan tinggi

(2)

tinggi dan telah terbukti dapat meningkatkan efektifitas dan

efisiensi dalam proses pencapaian visi, misi dan tujuan

berdirinya organisasi tersebut. Seiring dengan hal tersebut

tingkat resiko keamanan informasi yang dimiliki oleh institusi

pendidikan tinggi juga semakin tinggi.

Berkaitan dengan pentingnya menjaga keamanan

informasi ini, pemerintah melalui UU No 11 Tahun 2008

Tentang Informasi dan Transaksi Elektronik telah menetapkan

bahwa setiap penyelenggara system elektronik harus

menyelenggarakan system elektronik yang handal dan aman

serta bertanggung jawab terhadap beroperasisnya system

elektronik sebagaimana mestinya [ ].

II. Model Managemen Keamanan Informasi

Keamanan informasi bukan hanya berkaitan dengan aspek

teknologi dan aspek sumber daya manusia saja tetapi juga terkait

dengan berbagai aspek lain, seperti aspek manajemen termasuk

kebijakan organisasi, sistem manajemen dan perilaku manusia.

Untuk itu diperlukan pengelolaan keamanan informasi yang

sistemik dan komprehensif. Dalam membangun system

pengelolaan keamanan informasi di institusi pendidikan tinggi

harus memperhatikan aspek-aspek keamanan informasi secara

umum paling tidak memuat tiga unsur penting yaitu:

a. Confidentiality (kerahasiaan) yaitu aspek yang

menjamin kerahasiaan data atau informasi,

memastikan bahwa informasi hanya dapat diakses oleh

orang yang berwenang dan menjamin kerahasiaan

data yang dikirim, diterima dan disimpan.

b. Integrity (integritas) yaitu aspek yang menjamin

bahwa data tidak dirubah tanpa ada ijin pihak yang

berwenang (authorized), harus terjaga keakuratan dan

keutuhan informasi.

c. Availability (ketersediaan) yaitu aspek yang menjamin

bahwa data akan tersedia saat dibutuhkan, memastikan

user yang berhak dapat menggunakan informasi dan

perangkat terkait jika diperlukan.

Model managemen keamanan informasi dengan

pertimbangan terhadap ketiga aspek keamanan informasi

pada institusi pendidikan tinggi dapat mengadopsi metode-yang

sudah umum digunakan pada industry seperti metode

OCTAVE ((The Operationally Critical Threat, Asset, and

Vulnerability Evaluation) yang dikembangkan oleh Software

Engineering Institute, Carnegie Mellon University.[ ]

Metode OCTAVE merupakan pendekatan sistem

terhadap evaluasi risiko keamanan informasi yang

komprehensif, sistematik, terarah, dan dapat dilakukan sendiri.

Pendekatannya disusun dalam satu set kriteria yang

mendefinisikan elemen esensial dari evaluasi risiko keamanan

informasi. Gambar 1 menunjukkan kerangka managemen

keamanan informasi dengan metode OCTAVE.

Gambar 1 : Framework Model OCTAVE

Sumber: Supradono, 2009

Model managemen resiko keamanan informasi yang di

usulkann oleh General Accounting Office (GAO) dengan

siklus framework yang dilaksanakan secara kontinu, berkaitang

dengan meningkatnya resiko yang selalu mengancam [ ].

Gambar 2 menunjukkan model framework managemen

resiko keamanan informasi model GAO.

Gambar 2: Siklus Framework Model GAO

Sumber: GAO, 1998

(3)

Indeks Keamanan Informasi (KAMI) merupakan model

pengukuran terhadap kesiapan/kematangan suatu instansi

dalam pengamanan informasi. Indeks KAMI umumnya

digunakan untuk pengukuran kesiapan/kematangan instansi

pemerintah dalam pengamanan informasi, namun tidak terbatas

hanya untuk instansi pemerintah saja. Indeks KAMI juga dapat

untuk mengidentifikasi kondisi saat ini, identifikasi keperluan

pembenahan dan prioritasnya, pemetaan kesiapan/kematangan

instansi dalam pengamanan informasi. Disamping itu Indeks

KAMI juga dapat dimanfaatkan untuk kelengkapan

pengamanan informasi sesuai dengan kesiapan sertifikasi (ISO

27001 ISMS).

.Standar Nasional Indonesia (SNI) 27001 yang

mengadopsi ISO 27001 telah mensyaratkan kebutuhan

pencapaian ambang batas minimum dan meminta semua

pengamanan wajib dan control yang relevan diterapkan secara

konsisten dan efektif oleh institusi/instansi dalam proses

pengamanan informasi. Dalam tulisan ini proses penerapan

ISO 27001 digunakan untuk keperluan indeks KAMI yang

berkaitan dengan evaluasi yang dilakukan terhadap

kelengkapan dan konsistensi bentuk pengamanan informasi

sesuai dengan ISO 27001. Disamping itu juga diperlukan untuk

identifikasi tingkat kematangan yang dilakukan dengan

menggunakan pengelompokan bentuk pengamanan (security

control) sesuai kompleksitas dan tahapan penerapannya yang di

petakan terhadap tingkat kematangan tertentu.

Framework Indeks KAMI dalam pengukuran tingkat

kematangan pengamanan informasi pada institusi pendidikan

tinggi dapat uraikan sebagai berikut:

a. Analisis tingkat kepentingan atau peran TIK pada

institusi pendidikan tinggi. Ketegorisasi tingkat

kepentingan atau peran TIK ini digunakan untuk

memudahkan proses pembandingan dan pemberian

saran pencapaian tingkat kelengkapan dan

kematangan yang berbeda, sesuai dengan

kepentingan/peran TIK pada institusi tersebut.

Skoring terhadap peran dan tingkat kepentingan TIK

institusi berdasarkan skor dari responden yang di

kategorisasi dengan “Rendah” (skor: 0-12), “Sedang” (skor: 13-24), “Tinggi” (25-36), “kritis” (37-48).

Gambar 3 menunjukkan model scoring peran dan

tingkat kepentingan TIK di Institusi.

Gambar 3: Skoring Peran dan Kepentingan TIK

b. Evaluasi kelengkapan dan kematangan pengamanan

informasi untuk 6 area sesuai dengan ISO 27001

ISMS (Information Security Managemen System)

yaitu: (1) Peran TIK dalam institusi, (2) Tata Kelola

Keamanan Informasi,(3) Pengelolaan Resiko

keamanan informasi, (4) Kerangka Kerja Keamanan

Informasi, (5) Pengelolaan Asset Informasi dan (5)

Teknologi dan Keamanan Informasi.

Tingkat Kematangan Institusi terhadap pengamanan

informasi untuk 6 area tersebut dikelompokkan

berdasarkan skor tingkat kematangan dan kategori

(pengelompokan) kelengkapan seperti yang

ditunjukkan oleh Tabel 1.

Tabel 1. Skor tingkat kematangan dengan kategori kelengkapan

c. Evaluasi hasil Indeks KAMI dengan dashboard untuk

prensentasi skor kelengkapan pengamanan informasi

dan tingkat kematangan pengamanan informasi

dengan rentang metric kematangan institusi dalam

pengamanan informasi. Gambar 4 menunjukkan

dashboard hasil indeks KAMI yang memberikan

informasi tentang tingkat kematangan institusi dan

tingkat kelengkapan penerapan Standar ISO 27001

(4)

Gambar 4: Dashboard Hasil Indeks KAMI

Framework implementasi managemen keamanan

informasi berbasis Indeks KAMI sesuai dengan standard ISO

27001 pada institusi pendidikan tinggi dapat dilihat pada

Gambar 5 berikut:

Gambar 5: Framework Managemen Keamanan Informasi

berbasis Indeks KAMI.

IV.Penerapan Indeks KAMI Pada Sekolah Tinggi Teknik Harapan (STTH) Medan

Indeks KAMI sebagai tools untuk pengukuran tingkat

kesiapan/ kematangan institusi dalam pengamanan informasi

telah coba pada STTH Medan sebagai sample institusi

pendidikan tinggi.

Gambar 6 menujukkan identitas institusi pendidikan tinggi

dan ruang lingkup yang sedang di ukur tingkat kematangan

pengamanan informasinya . Pemilihan ruang lingkup .

didasarkan pada fungsi dan peran, batasan (fisik dan non-fisik)

Gambar 6; Tampilan Identitas pada aplikasi Indeks KAMI

Hasil pengujian terhadap tingkat kematangan Institusi

dalam pengamanan informasi pada STTH Medan

menggunakan Indeks KAMI dapat dilihat pada Gambar 7

berikut::

Gambar 7: Hasil Evaluasi Indeks KAMI terhadap Pengamanan

Informasi di STTH Medan

Dashboard merupakan hasil evaluasi terhadap

pengamanan informasi di STTH Medan menunjukkan bahwa

Peran TIK pada institusi pendidikan STTH Medan

menunjukkan tingkat ketergantungan Tinggi dengan skor 32.

Tingkat Kematangan pengamanan Informasi oleh institusi

pendidikan tinggi STTH Medan berada pada kategori I yang

menunjukkan bahwa tingkat kematangan berada pada Kondisi

Awal yaitu menyatakan bahwa STTH Medan masih berada

dalam area yang terkait dengan bentuk kerangka kerja dasar

keamanan informasi. Sementara rentang kelengkapan

pengamanan berada pada wilayah “merah” menunjukkan

bahwa kelengkapan pengamanan informasi saat ini di STTH

masuk dalam rentang “Tidak layak”

Mendefenisikan Ruang Lingkup Keamanan

Informasi

Menetapkan Peran TIK Pada Institusi

Menilai Kelengkapan Pengamanan Informasi

5 Area dengan Indeks KAMI

Evaluasi Hasil Indeks KAMI Menetapkan Langkah

Perbaikan Penetapan Prioritas tindakan managemen

INSTITUSI

PENDIDIKAN

(5)

:.Dashboard dengan radar Chart Indeks KAMI

memberikan gambaran kepada pimpinan Institusi Pendidikan

Tinggi kondisi saat ini berkaitan dengan seluruh aspek

managemen keamanan informasi. Radar chart ini juga

menunjukkan gambaran kematangan institusi dalam

pengelolaan pengamanan informasi. Dashboard radar chat hasil

pengukuran pada STTH Medan seperti yang di tunjukkan oleh

Gambar 8 berikut

Gambar 8: Radar Chart Indeks KAMI STTH Medan

Dari Gambar 8 dapat dilihat bahwa hasil responden pada

pengukuran tingkat kesiapan/kematangan institusi STTH

Medan terhadap pengamanan informasi masih berada pada

wilayah “kerangka kerja dasar”. Hasil ini dapat memberikan

gambaran kepada para pengambil keputusan sebagai bahan

evaluasi diri untuk dapat membuat perencanaan untuk

perbaikan, sehingga secara bertahap diharapkan dapat

memenuhi standar ISO 27001 dan selanjutnya institusi siap

untuk di sertifikasi ISO 27001 Information Security

Managemen System (ISMS).

V. Kesimpulan

Hasil pengujian menunjukkan bahwa Indeks KAMI dapat

dijadikan sebagai tools untuk menilai tingkat kesiapan/

kematangan institusi pendidikan tinggi terhadap pengelolaan

pengamanan informasi yang di miliki oleh institusi tersebut.

Evaluasi hasil Indeks KAMI pada Institusi Pendidikan

Tinggi dapat dijadikan sebagai bahan evaluasi diri institusi

khususnya tentang managemen keamanan informasi serta

sebagai kompas penunjuk arah institusi untuk persiapan

pemenuhan persyaratan yang ditetapkan oleh ISO 27001.

Untuk rekomendasi penelitian selanjutnya, Indeks KAMI

dapat dijadikan sebagai Aplikasi dengan desain interface yang

mempermudah pengguna dalam melaksanakan pengukuran

secara mandiri (Assessment by self) yang memberikan

manfaat kepada institusi pendidikan tinggi dalam proses

pengambilan kebijakan dan prioritas tindakan perbaikan.

VI. Daftar Referensi

1. Alberts, Christopher and Dorofee, Audrey, 2002. Managing

Information Security Risks: The OCTAVESM Approach, .

2. Alberts, Christopher and Dorofee, Audrey. 2001.

Operationally Critical Threat, Asset, and Vulnerability

Evaluation (OCTAVE ) Criteria

(CMU/SEI-01-TR-016). Pittsburgh, PA: Software

Engineering Institute, Carnegie Mellon University, 2001.

Available online: <

http://www.sei.cmu.edu/publications/docum

ents/01.reports/01tr016/01tr016abstract.html>.

3. Direktorat Jendral Aplikasi Telematika, Departemen

Komunikasi dan Informatika, 2007. Pedoman Praktis

Managemen Keamanan Informasi bagi Pimpinan

Organisasi.

4. Direktorat Jendral Aplikasi Telematika, Direktoran

Keamanan Informasi Kementerian Komunikasi dan

Informatika, 2012. “ Indeks KAMI “.Panduan Bimtek Indeks KAMI .

5. Supradono, B. 2009 Managemen Resiko Keamanan

Informasi dengan Metode OCTAVE. . Media Elektrika,

Vol. 2, No. 1, 2009 : 4 - 8

6. United States General Accounting Office. Executive Guide:

Information Security Management (GAO/AIMD-98-68).

Gambar

Gambar 1 : Framework Model OCTAVE
Tabel 1. Skor tingkat kematangan dengan kategori kelengkapan
Gambar 5 berikut:
Gambar 8 berikut

Referensi

Unduh sekarang ( PDF - 5 Halaman - 423.53 KB )

Dokumen terkait

Persepsi Masyarakat Terhadap Keberadaan Rumah Pemotongan Hewan (RPH) di Kelurahan Kambiolangi

Hasil penelitian menunjukkan bahwa persepsi masyarakat terhadap keberadaan Rumah Potong Hewan (RPH) di Kelurahan Kambiolangi Kecamatan Alla Kabupaten Enrekang adalah

Rencana Induk Sistem Penyediaan Air Minum Kota Salatiga

Pengembangan sistem penyediaan air minum tahap pertama ini diarahkan pada kawasan strategis menurut RTRW Kota Salatiga Tahun 2010 ± 2030 yaitu kawasan pendidikan

Pelayanan Lintas Batas Daerah Pendidikan SMA Negeri 1 Salatiga di Kota Salatiga dan Kabupaten Semarang

Pelayanan pendidikan di SMA Negeri 1 Salatiga tidak hanya dimanfaatkan oleh siswa dari dalam kota, melainkan dari wilayah di sekitarnya, terutama Kabupaten

Produk : Ragum. Produk : Obeng (+) (-) No. Tlp : No. Tlp :

Apabila terdapat kesalahan nama atau NPM mohon segera menghubungi PJ atau Wakil PJ PJ Kristian

: NEFROSTOMI PERKUTAN DAN TERBUKA

Pada kebanyakan kasus , perdarahan yang terjadi pada saat nefrostomi dapat dikontrol dengan cara tamponade dari traksnya dengan menggunakan kateter nefrostomi pada

ASUHAN KEBIDANAN CONTINUITY OF CARE PADA NY.Y MASA HAMIL SAMPAI DENGAN KB DI BPM SITI SAUDAH LAPORAN TUGAS AKHIR. Oleh: DIANA IXMAWATI NIM.

Puji syukur kehadirat Tuhan Yang Maha Esa atas semua berkat dan rahmat-NYA sehingga dapat terselesaikannya Laporan Tugas Akhir yang berjudul “Asuhan Kebidanan Masa Hamil

200 Neurofibromatosis

Langkah atau tugas tidak dikerjakan secara benar, atau dalam urutan yang salah (bila diperlukan) atau diabaikan.. 2 Cukup Langkah atau tugas dikerjakan secara benar, dalam

Pengaruh Model Pembelajaran Concept Sentence Terhadap Kemampuan Menulis Oleh Siswa Kelas X SMA Swasta Yaspenda Pulau Rakyat Tahun Pembelajaran 2012/ 2013

Penelitian ini bertujuan untuk menjelaskan pengaruh penggunaan model pembelajaran concept sentence terhadap kemampuan menulis puisi siswa kelas X SMA Swasta YASPENDA