Buku ini disebarluaskan secara gratis, mengutip sebagian atau secara

keseluruhan dari buku ini diharapkan untuk mencantumkan nama penulis

PENYUSUNAN PROSES TATA KELOLA

KEAMANAN INFORMASI

DAN MANAJEMEN LAYANAN TI

BERBASIS COBIT 5

Oleh

PERDANA KUSUMAH, M.T.

ii

SINOPSIS

Penerobosan keamanan informasi terhadap sistem teknologi informasi dan

komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan

kerugian finansial. Selain itu, permasalahan keamanan dapat berakibat terhadap

bocornya informasi yang dapat disalahgunakan oleh pihak yang tidak

berkepentingan. Hal ini dapat berakibat buruk terhadap citra organisasi terutama

untuk lembaga pemerintah yang mengelola data rahasia. Permasalahan keamanan

informasi umumnya diselesaikan secara parsial dan terbatas. Kelemahan sekecil

apapun pada sistem keamanan informasi dapat memberikan dampak negatif

terhadap pencapaian tujuan organisasi. Oleh karena itu, pembahasan keamanan

informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk mengamankan

pencapaian tujuan tersebut. Buku ini membahas model proses tata kelola keamanan

informasi yang menyeluruh dan terintegrasi pada suatu organisasi.

Buku ini memiliki tiga hal penting yang dapat dijadikan acuan atau pedoman

penyusunan proses tata kelola keamanan informasi di suatu organisasi, yaitu: alat

bantu penentuan lingkup proses tata kelola, model referensi proses dan model

penilaian proses.

Kata

kunci:

keamanan informasi, tujuan organisasi, tujuan TI, risiko, sistem

manajemen layanan, proses tata kelola, proses

governance

, proses

manajemen, model referensi proses, model penilaian proses,

iii

KATA PENGANTAR

Puji syukur penulis panjatkan ke hadirat Allah SWT, yang atas rahmat dan

karunia-Nya penulis dapat menyelesaikan buku ini. Shalawat dan salam tercurah kepada

Rasulullah Muhammad SAW beserta keluarganya.

Buku ini disusun untuk membantu dalam penyusunan proses tata kelola keamanan

informasi, beberapa keluaran yang terdiri atas: alat bantu penentuan lingkup proses

tata kelola, model referensi proses, model penilaian proses, rekomendasi dan

langkah penerapan tata kelolanya. Hal yang harus dibuat dalam penyusunan proses

tata kelola keamanan informasi mencakup menentukan lingkup proses, membuat

model referensi proses dan membuat model penilaian proses; model tata kelola

yang dibuat dalam buku ini telah sesuai dengan kebutuhan keamanan informasi di

organisasi secara umum, sehingga pembaca dapat mengadopsi dan menambahkan

sesuai dengan kondisi organisasi yang akan diterapkan tata kelola keamanan

informasi.

Dengan segala kerendahan hati, penulis mengucapkan terima kasih kepada penerbit

yang telah membantu menerbitkan buku ini. Penulis juga mengucapkan terima

kasih kepada rekan-rekan, yang telah banyak membantu dalam penyusunan buku

ini, tidak lupa pula program studi Magister Informatika opsi Layanan Teknologi

Informasi STEI ITB dan Cyber Security Center ITB tempat penulis belajar.

Penulis menyadari bahwa buku ini bukanlah tanpa kelemahan. Oleh karena itu,

kritik dan saran sangat diharapkan untuk menjadi masukan dalam penulisan

selanjutnya. Akhir kata, semoga buku ini dapat bermanfaat secara luas untuk

kepentingan dunia pendidikan dan masyarakat Indonesia khususnya bagi para

pembacanya.

Bandung, Februari 2014

iv

DAFTAR ISI

KATA PENGANTAR ... iii

DAFTAR ISI ... iv

DAFTAR LAMPIRAN ... vi

DAFTAR GAMBAR ... vii

DAFTAR TABEL ... viii

DAFTAR SINGKATAN ... ix

BAGIAN I PENDAHULUAN ... 1

1.1

Latar Belakang ... 1

1.2

Batasan Penyusunan TKKI ... 3

1.3

Keluaran Penyusunan TKKI ... 3

BAGIAN II TEORI PENDUKUNG ... 4

2.1

Governance

... 4

2.2

Framework

... 4

2.3

Risiko ... 6

2.4

Organisasi ... 7

2.5

SDM, Proses dan Teknologi ... 7

2.6

Informasi ... 8

2.7

Service

... 9

2.8

Kebijakan dan Prinsip ... 9

2.9

Budaya dan Perilaku ... 11

2.10

Manajemen ... 11

BAGIAN III TEORI UTAMA ... 12

3.1

COBIT 5 ... 12

3.2

COBIT 5

Enabling Process

... 19

3.3

COBIT 5

for Risk

... 21

3.4

Process Assessment Model

(PAM) ... 22

3.5

COBIT 5

for Information Security

... 25

3.6

Manajemen Layanan TI ... 25

BAGIAN IV METODE PENYUSUNAN TKKI ... 28

v

4.1.1

Penentuan Tujuan Organisasi ... 29

4.1.2

Penentuan Tujuan TI ... 29

4.1.3

Penentuan Sistem Manajemen Layanan... 29

4.1.4

Penilaian Risiko ... 30

4.2

Perancangan ... 32

4.2.1

Perancangan Model Referensi Proses ... 32

4.2.2

Perancangan Model Penilaian Proses ... 33

4.3

Analisis Kesenjangan ... 34

4.4

Pemberian Rekomendasi ... 34

4.5

Penerapan ... 34

BAGIAN V PENYUSUNAN TKKI ... 35

5.1

Alat Bantu Penentuan Lingkup TKKI ... 35

5.1.1

Pemetaan Tujuan Organisasi ... 36

5.1.2

Pemetaan Tujuan TI ... 37

5.1.3

Pemetaan Manajemen Layanan TI ... 39

5.1.4

Penilaian Prioritas Risiko ... 45

5.1.5

Penetapan Lingkup Proses yang Dinilai ... 48

5.2

Model Referensi Proses... 49

5.3

Model Penilaian Proses ... 53

5.3.1

Hasil Penilaian Proses ... 60

5.3.2

Analisis Kesenjangan ... 60

5.4

Rekomendasi ... 61

5.5

Langkah Penerapan ... 61

BAGIAN VI PENUTUP ... 64

DAFTAR PUSTAKA ... 65

vi

DAFTAR LAMPIRAN

vii

DAFTAR GAMBAR

Gambar II-1

Security framework for

EPU

[19]

. ... 6

Gambar II-2 Level kebijakan

[40]

. ... 10

Gambar III-1 COBIT 5

enablers

[58]

. ... 13

Gambar III-2 Pemetaan

enablers

dan tujuan organisasi

[58]

. ... 15

Gambar III-3 Proses

governance

dan

management

[58]

. ... 15

Gambar III-4 Kerangka kerja PAM

[61]

. ... 22

Gambar III-5 Indikator penilaian

[63]

. ... 24

Gambar III-6 Model penilaian proses COBIT 5

[64]

. ... 24

Gambar IV-1 Alur proses penentuan lingkup. ... 28

Gambar IV-2 Penentuan lingkup tujuan organisasi. ... 29

Gambar IV-3 Penentuan lingkup tujuan TI. ... 30

Gambar IV-4 Pemetaan proses COBIT 5 dan ITIL v3. ... 31

Gambar IV-5 Penentuan prioritas risiko. ... 31

Gambar IV-6 Alur proses perancangan... 32

Gambar IV-7 Perancangan model referensi proses. ... 33

viii

DAFTAR TABEL

Tabel III.1 Tujuan organisasi

[58]

. ... 14

Tabel III.2 Tujuan terkait TI

[58]

. ... 14

Tabel III.3 Pemetaan tujuan generik TI dan organisasi

[58]

. ... 16

Tabel III.4 Pemetaan tujuan generik TI dan proses tata kelola

[58]

. ... 17

Tabel III.5 Skenario risiko

[60]

. ... 21

Tabel V.1 Contoh tujuan organisasi. ... 36

Tabel V.2 Tujuan TI Organisasi... 37

Tabel V.3 Contoh rangkuman proses tata kelola terpilih. ... 38

Tabel V.4 Pemetaan proses COBIT 5 dan ITIL v3. ... 41

Tabel V.5 Rangkuman pemetaan proses COBIT 5 dan ITIL v3... 44

Tabel V.6 Penilaian prioritas risiko. ... 45

Tabel V.7 Contoh pemetaan kategori risiko dan proses terkait mitigasi risiko. ... 46

Tabel V.8 Contoh prioritas proses tata kelola. ... 47

Tabel V.9 Proses tata kelola organisasi terpilih berdasarkan prioritas. ... 48

Tabel V.10 Contoh model referensi proses EDM05. ... 50

Tabel V.11 Contoh rekapitulasi model penilaian proses EDM05. ... 53

Tabel V.12 Contoh model penilaian proses EDM05. ... 55

Tabel V.13 Contoh analisis kesenjangan. ... 60

ix

DAFTAR SINGKATAN

SINGKATAN Nama

Pemakaian Pertama

Kali pada Halaman

APO

Align, Plan and Organise

14

BAI

Build, Acquire and Implement

15

BP

Best Practice

25

BSC

Balanced Score Card

14

CSI

Continual Service Improvement

28

DSS

Deliver, Service and Support

15

EDM

Evaluate, Direct and Monitor

14

EG

Enterprise Goals

14

GP

Generic Practice

25

GR

Generic Resoruce

25

GWP

Generic Work Product

25

ITRG

IT-

Related Goals

14

MEA

Monitor, Evaluate and Assess

15

PA

Process Attribute

24

PAM

Process Assessment Model

23

SD

Service Design

28

SDM

Sumber Daya Manusia (

people

)

7

SMKI

Sistem Manajemen Keamanan

Informasi

5

SO

Service Operation

28

SS

Service Strategy

27

ST

Service Transition

28

TI

Teknologi Informasi

2

TIK

Teknologi Informasi dan Komunikasi

1

TKKI

Tata Kelola Keamanan Informasi

2

1

BAGIAN I

PENDAHULUAN

1.1

Latar Belakang

Penerobosan keamanan informasi terhadap sistem teknologi informasi dan

komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan

kerugian finansial. Kondisi tersebut membuat keamanan informasi menjadi faktor

yang sangat penting untuk diterapkan dalam organisasi

[1-3]

_{. Selain itu, faktor kunci}

lain yang sangat berpengaruh dalam keamanan informasi adalah

security awareness

[4]

_{. Berdasarkan survei tahun 2005 yang dilakukan oleh CSI/FBI}

_{Computer Crime}

and Security

, serangan

online

atau

cyber attack

pada sistem TIK dapat

menyebabkan total kerugian finansial yang sangat besar yaitu melebihi 50 juta

dollar

[2,5]

_{. Selain itu, permasalahan keamanan dapat berakibat terhadap bocornya}

informasi yang dapat disalahgunakan oleh pihak yang tidak berkepentingan. Oleh

karena itu, anggaran biaya keamanan informasi sebesar 10

–

13% dari total investasi

TIK merupakan hal yang wajar diterapkan pada sebagian besar organisasi

[6]

.

Keamanan informasi untuk melindungi bisnis dan TIK dari berbagai serangan dan

ancaman umumnya dilakukan hanya berfokus pada solusi teknis saja tanpa

memikirkan aspek manajemen

[7,8]

. Salah satu contoh solusi

engineering

yang

dimaksud adalah penggunaan teknologi

artificial intelligence

untuk mengatur

access control

melalui

agents

dalam sistem manajemen risiko keamanan

informasi

[9]

. Di Korea, penerapan sistem keamanan informasi secara parsial dapat

berdampak pada besarnya anggaran yang dikeluarkan karena tidak dapat mengatur

tim keamanan informasi yang terintegrasi secara konsisten

[10]

.

2

informasi. Pada level aplikasi atau

service

, keamanan juga perlu diterapkan untuk

melindungi informasi yang dikirimkan oleh

service provider

melalui mekanisme

identity management

[12]

. Secara garis besar, riset-riset yang telah dilakukan

mengenai keamanan informasi terkait dengan permasalahan tata kelola

[13,14]

,

framework

[6,15-20]

,

risiko

[9,11,15,17,19,21-23]

,

teknologi/infrastruktur

[6,15,19,24-30]

,

organisasi

[31]

, sumber daya manusia

[6,15]

, proses

[6,15]

, informasi

[1,3,5,31-33]

,

aplikasi/

service

[12,34-39]

, kebijakan/prinsip

[6,31,40-41]

, budaya/tingkah laku

[4,8,42]

dan

manajemen

[2,7,10,29,31,38,43-49]

.

Permasalahan keamanan informasi yang telah dibahas dalam beberapa penelitian

sebelumnya masih bersifat parsial dan terbatas. Penerapan tersebut biasanya hanya

mencakup area manajemen dari suatu organisasi. Kelemahan sekecil apapun pada

sistem keamanan informasi dapat memberikan dampak negatif terhadap pencapaian

tujuan

enterprise

atau organisasi secara luas. Oleh karena itu, pembahasan

keamanan informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk

mengamankan pencapaian tujuan tersebut. Saat ini belum ada penelitian yang

membahas tata kelola keamanan informasi secara menyeluruh pada institusi

pemerintahan ataupun perusahaan seperti yang dibahas dalam COBIT 5

[50]

_terutama

pada sistem berbasis manajemen layanan TI

[36,51-54]

_.

Tata kelola keamanan informasi yang menyeluruh sangat bermanfaat bagi pimpinan

atau manajemen tingkat atas sebagai panduan dan pedoman dalam menerapkan

keamanan informasi khususnya layanan TI di dalam organisasinya. Pada akhirnya,

penerapan tersebut dapat melindungi organisasi dari risiko yang dapat memberikan

kerugian khususnya finansial. Manfaat yang diberikan dapat dirasakan terutama

oleh organisasi berbasis TI yang menganggap bahwa keamanan informasi

merupakan faktor yang sangat penting. Organisasi tersebut dapat berupa sektor

publik,

non-profit

ataupun swasta.

3

1.2

Batasan Penyusunan TKKI

Batasan masalah pada penyusunan buku ini adalah sebagai berikut.

a.

Perancangan tata kelola keamanan informasi dikaitkan dengan sistem

manajemen layanan.

b.

Penilaian dan perancangan model tata kelola keamanan informasi

menggunakan kerangka kerja COBIT 5, ITIL v3 dan ISO/IEC 15504

series

.

1.3

Keluaran Penyusunan TKKI

Buku ini memberikan panduan penyusunan TKKI yang meliputi:

a.

alat bantu penentuan lingkup proses tata kelola keamanan informasi,

b.

model referensi proses tata kelola keamanan informasi,

c.

model penilaian proses yang berfungsi sebagai alat ukur tingkat

4

BAGIAN II

TEORI PENDUKUNG

2.1

Governance

Governance

adalah proses pembentukan dan pemeliharaan suatu

framework

,

manajemen dan proses untuk memberikan jaminan bahwa strategi yang digunakan

sejalan dan mendukung tujuan bisnis

[13-14]

_{. Strategi tersebut konsisten terhadap}

hukum dan peraturan, sesuai dengan kebijakan, pengawasan internal, tanggung

jawab dan semua upaya dalam rangka mengatur risiko. Prinsip-prinsip

governance

terdiri atas

[55]

_:

a.

strategic alignment

, tujuan

governance

sejalan dengan tujuan organisasi;

b.

manajemen risiko,

governance

merupakan bagian yang tidak terpisahkan dari

enterprise risk management

;

c.

pemberian layanan,

governance

memberikan dukungan terhadap kebutuhan

bisnis dan

value

yang diharapkan;

d.

optimasi sumber daya,

governance

berhubungan dengan perencanaan,

pengalokasian dan pengendalian sumber daya seperi orang, proses dan

teknologi yang dapat memberikan nilai kepada bisnis;

e.

evaluasi kinerja berkelanjutan,

governance

berfungsi untuk mengawasi kinerja

dari proses-proses yang ada.

Penerapan

governance

dapat memberikan manfaat yang besar terhadap TI dan

keamanan informasi apabila menggunakan

framework

yang tepat

[56]

.

2.2

Framework

Framework

dapat diartikan sebagai sekumpulan konsep, asumsi dan praktik yang

mendefinisikan bagaimana sesuatu dapat dipahami. Beberapa contoh

framework

5

mengelola isu yang terkait dengan manajemen pengendalian hak akses

pengguna terhadap sistem informasi dan lingkungannya

[15]

_.

b.

COBIT 4.1 merupakan IT

governance framework

yang membantu

managers

untuk menjembatani perbedaan antara

control requirement

, isu teknis dan risiko

bisnis.

Framework

ini berfokus pada cara memberikan informasi yang sesuai

dengan kebutuhan bisnis

[15,18]

.

c.

ISO 27000

series

merupakan dokumen standar keamanan yang dikeluarkan

oleh ISO (the International Organization for Standardization) and IEC (the

International Electrotechnical Commission). ISO 27000 series terdiri atas

beberapa bagian yang memiliki fungsi masing-masing. ISO/IEC 27001

mengandung persyaratan untuk sebuah Sistem Manajemen Keamanan

Informasi (SMKI). ISO/IEC 27005 mendeskripsikan tentang manajemen risiko

keamanan informasi. SMKI terdiri atas proses, prosedur dan sumber daya yang

terkait dengan keamanan informasi

[16]

. Standar ISO/IEC 27001 dibuat secara

terstruktur berdasarkan model proses

“

Plan-Do-Check-Act

” (PDCA)

. Proses

tersebut terdiri atas

[57]

_:

1).

plan

, proses penyusunan SMKI;

2).

do

, proses pengimplementasian dan pengoperasian SMKI;

3).

check

, proses pengawasan dan pengkajian SMKI;

4).

act

, proses pemeliharaan dan perbaikan SMKI.

ISO 27000

series

selanjutnya yang terkait dengan keamanan informasi adalah

ISO/IEC 27002 atau disebut juga ISO/IEC 17799. Lingkup ISO/IEC 17799

adalah untuk membentuk pedoman dan prinsip-prinsip umum dalam

penginisialisasian,

pengimplementasian,

pemeliharaan

dan

perbaikan

manajemen keamanan informasi dalam suatu organisasi. Standar ini mencakup

kebijakan keamanan, organisasi keamanan, pengaturan dan klasifikasi aset,

keamanan personil, keamanan lingkungan dan fisik, manajemen operasi dan

komunikasi, pengaturan akses, pengembangan dan pemeliharaan sistem dan

manajemen keberlangsungan bisnis

[6,20]

.

6

manajemen risiko secara komprehensif dan berkelanjutan terhadap keamanan

sistem

[17]

_.

e.

Security Framework for

EPU (

Electric Power Utilities

) merupakan

framework

gabungan yang dibuat oleh Ericsson

untuk mengatur keamanan informasi

[19]

.

Framework

ini terdiri atas empat bagian, yaitu:

1).

enterprise risk management

menggunakan COSO,

2).

IT

Governance

menggunakan COBIT,

3).

IT

Service Management

menggunakan ISO/IEC 20000 dan ITIL,

4).

IT

Security Management

menggunakan ISO/IEC 27001-2.

Hubungan keempat bagian di atas dapat ditunjukkan oleh Gambar II-1.

Gambar II-1

Security framework for

EPU

[19]

.

2.3

Risiko

7

risiko, analisis risiko dan evaluasi risiko. Manajemen risiko memiliki

elemen-elemen sebagai berikut

[21]

_:

a.

aset, merupakan obyek utama dari keamanan informasi yang seharusnya

dilindungi sebagai informasi atau sumber daya yang krusial dalam suatu

enteprise termasuk perangkat keras, perangkat lunak, kemampuan produk dan

layanan, sumber daya manusia dan aset lain yang

intangible

;

b.

ancaman, merupakan aktivitas potensial yang dapat menyebabkan kerusakan

pada

enterprise

dan asetnya;

c.

kelemahan, merupakan kekurangan yang melekat pada aset;

d.

pengaruh, merupakan konsekuensi terhadap aset ketika suatu risiko terjadi;

e.

risiko,

f.

pengukuran keamanan, merupakan suatu cara, strategi dan mekanisme untuk

melawan ancaman, mengurani kelemahan, membatasi pengaruh dari risiko,

mendeteksi risiko dan mengevaluasi keamanan.

Contoh

framework

yang digunakan untuk menerapkan manajemen risiko adalah

Enterprise Risk Management

(COSO) dan

Risk Management

ISO/IEC

31000:2009

[19]

_.

2.4

Organisasi

Menurut Kyung dkk., keamanan informasi tidak hanya berfokus pada sistem

informasi atau teknologi informasi saja, tetapi harus mempertimbangkan

keseluruhan organisasi. Selain hal tersebut, pembuatan kebijakan keamanan

informasi harus memperhatikan aspek-aspek organisasi sebagai berikut

[31]

:

a.

formasi organisasi dan profesionalitas yang tepat,

b.

sistem manajemen yang sistematis untuk keamanan informasi,

c.

otorisasi dan tugas bagian keamanan informasi.

2.5

SDM, Proses dan Teknologi

8

manusia (SDM), proses dan teknologi. SDM merupakan bagian terlemah dari

sistem keamanan informasi

[15]

_{. Menurut Dey, SDM, proses dan teknologi juga}

merupakan komponen penting dalam SMKI. SDM dapat bertindak sebagai pekerja

dalam suatu organisasi mulai dari pihak manajemen senior sampai dengan

end

users

. SDM harus disiapkan dan dimotivasi agar dapat memahami pentingnya

keamanan dan mengikuri aturan yang ada. Proses harus didefinisikan berdasarkan

tujuan bisnis yang spesifik untuk melindungi aset informasi

[6]

.

Teknologi atau dapat disebut infrastruktur merupakan salah satu aspek yang

digunakan untuk mengamankan informasi. Contoh pemanfaatan teknologi atau

infrastruktur yang digunakan untuk mengamankan informasi yaitu:

a.

enkripsi

database

, merupakan enkripsi

database

dengan menggunakan teknik

enkripsi simetrik atau asimetrik

[24]

;

b.

network management system

, merupakan solusi untuk mengamankan

pertukaran informasi antar domain yang berbeda

[25]

;

c.

keamanan pada

Local Area Network

(LAN), merupakan keamanan yang

diterapkan pada lapisan jaringan, sistem operasi

database

[26]

_;

d.

mobile ad hoc network

(MANET)

security

, merupakan solusi keamanan pada

jaringan

mobile

yang digunakan untuk pertukaran data secara efektif dan

aman

[27]

_;

e.

optical techniques

untuk keamanan dan enkripsi informasi, merupakan solusi

keamanan pada gelombang optik

[28]

_;

f.

supervisory control and data acquisition

(SCADA), merupakan sistem

pengaturan keamanan

cyber

[19]

;

g.

instrumentation and control network security management system

(ICNSMS),

merupakan sistem keamanan jaringan yang mengacu standar NUREG-0800

[29]

;

h.

secure key generation

, merupakan teknik pengamanan data yang dikirimkan

melalui media

wireless

untuk menghindari

fading channel

dan

eavesdropper

[30]

.

2.6

Informasi

9

konsisten walaupun terdapat ancaman keamanan dan diakses secara bersamaan oleh

berbagai macam sumber

[32]

_{. Salah satu dampak negatif penerobosan terhadap}

keamanan informasi adalah penurunan kinerja finansial

[1]

.

2.7

Service

Secara teknis,

service

adalah fungsi aplikasi yang didefinisikan melalui suatu

interface

.

Service

memiliki sifat

loose coupling

,

independent

,

interoperable

,

reusable

dan

composable

.

Service

dapat dikombinasi dan disusun ulang yang

disesuaikan dengan kebutuhan bisnis

[37]

. Sistem aplikasi yang dibentuk berbasiskan

service

disebut

Service Oriented Architecture

(SOA). Pada lingkungan SOA,

service requestor

dan

service provider

saling memberikan informasi mengenai

identitas ketika melakukan pengiriman pesan. Keamanan pada SOA dapat diatur

dengan penggunaan

identity management

[12]

.

Secara umum,

service

dapat diartikan sebagai pemberian

value

kepada pelanggan

berupa

outcome

yang dibutuhkan tanpa harus menanggung risiko dan biaya

[51]

.

Proses yang dibutuhkan untuk menerapkan keamanan pada

service

yaitu

[34]

_:

a.

incident management

,

b.

capacity management

,

c.

configuration management

,

d.

performance management

.

2.8

Kebijakan dan Prinsip

Menurut Solms dkk.

[40]

_{, kebijakan dapat diterapkan pada tiga level yaitu strategis,}

taktis dan operasional seperti yang ditunjukkan pada Gambar II-2.

Komponen kebijakan keamanan informasi terdiri atas

[31]

:

a.

Strategi,

10

Menurut Hai dkk., kebijakan dan prinsip keamanan memiliki jenis-jenis sebagai

berikut

[41]

_.

a.

Prinsip keamanan.

1).

Hirarki artinya setiap keamanan seharusnya diadopsi berdasarkan

kebutuhan pada masing-masing lapisan.

2).

Bebas artinya keamanan tidak tergantung kepada arsitektur keamanan

secara keseluruhan.

3).

Beragam artinya berbagai macam pengguna, proses atau

host

dapat

mengadopsi hal yang sama.

4).

Dapat diatur artinya keamanan dapat dikonfigurasi.

5).

Menyeluruh artinya keamanan disusun berdasarkan konsep secara

menyeluruh.

Gambar II-2 Level kebijakan

[40]

_.

b.

Kebijakan keamanan.

1).

Keamanan jaringan.

2).

Keamanan data.

3).

Keamanan aplikasi.

4).

Keamanan

platform

sistem.

11

2.9

Budaya dan Perilaku

Menurut Waly dkk.

[8]

_{, faktor yang mempengaruhi penerobosan keamanan adalah}

organisasi, perilaku dan pelatihan. Faktor tersebut juga akan mempengaruhi

implementasi kebijakan keamanan organisasi. Identifikasi yang dilakukan terhadap

faktor tersebut akan memberikan gambaran bahwa melatih pekerja sangat penting

dilakukan agar terbentuk perilaku yang dapat mengurangi terjadinya penerobosan

keamanan dan memperbaiki manajemen keamanan informasi. Upaya pencegahan

terhadap penyalahgunaan perilaku pekerja dilakukan dengan cara teguran dan

sanksi melalui prosedur pengendalian. Faktor budaya juga mempengaruhi perilaku

orang terhadap keamanan

[4]

. Perbedaan budaya akan menunjukkan tingkatan yang

berbeda pada

security awareness

.

Pelatihan dapat membantu pengguna untuk mengeksplorasi informasi yang

dibutuhkan dan mengembangkan pemahaman yang efektif tentang bagaimana

melaksanakan kebijakan keamanan informasi. Program pelatihan dan

awareness

dapat digunakan untuk mempengaruhi budaya organisasi terhadap keamanan.

Organisasi juga harus menyelidiki teknik pelatihan dan

awareness

yang efektif

untuk meningkatkan persepsi pekerja, sikap dan motivasi, mentransfer

keterampilan dan mempertahankan perilaku yang tepat terhadap keamanan

informasi

[8,42]

_.

2.10

Manajemen

12

BAGIAN III

TEORI UTAMA

3.1

COBIT 5

Menurut COBIT 5

[58]

, informasi adalah sumber daya utama bagi semua

enterprise

.

Informasi dapat dibuat, digunakan, disimpan, diperlihatkan atau dihancurkan.

Teknologi memiliki peran penting terhadap informasi. Teknologi informasi sangat

dibutuhkan oleh

enterprise

, lingkungan sosial, masyarakat dan bisnis.

Enterprise

yang sukses telah mengakui bahwa dewan direksi dan eksekutif perlu

merangkul TI seperti bagian penting dalam menjalankan bisnis. Dewan direksi dan

manajemen yang terkait dengan bisnis dan TI harus berkolaborasi dan bekerja sama

agar TI dapat dikelola dan diatur.

COBIT 5 memberikan

framework

yang komprehensif untuk membantu

enterprise

mencapai tujuan dalam kerangka

governance

dan

management

dari

enterprise

TI.

COBIT 5 memungkinkan TI untuk diatur dan dikelola secara holistik. COBIT 5

bersifat generik dan berguna untuk seluruh jenis

enterprise

. COBIT 5 memiliki lima

prinsip, yaitu:

a.

meeting stakeholder needs

,

b.

covering the enterprise end-to-end

,

c.

applying a single, integrated framework

,

d.

enabling a holistic approach

,

e.

separating governance from management

.

COBIT 5 memiliki

enablers

yang merupakan faktor yang mempengaruhi

governance

dan

management

dari

enterprise

TI. Struktur COBIT 5

enablers

ditunjukkan oleh Gambar III-1.

Enabler

diturunkan dari tujuan organisasi yang

telah didefinisikan. Ada tujuh COBIT 5

enablers

yaitu:

a.

prinsip, kebijakan dan

framework

,

b.

proses,

13

d.

budaya, etika dan perilaku,

e.

informasi,

f.

layanan, infrastruktur dan aplikasi,

g.

SDM, kemampuan dan kompetensi.

Hubungan antara

enablers

dan tujuan organisasi dapat ditunjukkan oleh Gambar

III-2. COBIT 5 bukan merupakan ketentuan, tetapi menganjurkan

enterprise

agar

dapat menerapkan proses-proses

governance

dan

management

. Hubungan antara

proses

governance

dan

management

ditunjukkan oleh Gambar III-3.

1. Principles, Policies and Frameworks

2. Processes

3. Organisational

Structures

4. Culture, Ethics

and Behaviour

Resources

6. Services,

Infrastructures

and Applications

7. People, Skills

and

Competencies

5. Information

Gambar III-1 COBIT 5

enablers

[58]

.

COBIT 5 telah merumuskan tujuan organisasi (

enterprise goals

/EG) dan tujuan

terkait TI (IT-

related goals

/ITRG) yang bersifat generik berdasarkan dimensi

balance scorecard

(BSC). Tujuan tersebut dapat mencakup semua ukuran

organisasi mulai dari komersial,

non-profit

ataupun sektor publik. Daftar tujuan

organisasi ditunjukkan oleh Tabel III.1 dan tujuan terkait TI ditunjukkan oleh Tabel

III.2.

COBIT 5 terdiri atas 37 proses yang terbagi dalam lima domain sebagai berikut:

a.

evaluate, direct and monitor

(EDM), terdiri atas lima proses;

14

d.

deliver, service and support

(DSS), terdiri atas enam proses;

e.

monitor, evaluate and assess

(MEA), terdiri atas tiga proses.

Tabel III.1 Tujuan organisasi

[58]

.

BSC

No.

Enterprise Goals

Financial

EG-01

Stakeholder value of business investments

EG-02

Portfolio of competitive products and services

EG-03

Managed business risk (safeguarding of assets)

EG-04

Compliance with external laws and regulations

EG-05

Financial transparency

Customer

EG-06

Customer-oriented service culture

EG-07

Business service continuity and availability

EG-08

Agile responses to a changing business environment

EG-09

Information-based strategic decision making

EG-10

Optimisation of service delivery costs

Internal Business Process

EG-11

Optimisation of business process functionality

EG-12

Optimisation of business process costs

EG-13

Managed business change programmes

EG-14

Operational and staff productivity

EG-15

Compliance with internal policies

Learning and Growth

EG-16

Skilled and motivated people

EG-17

Product and business innovation culture

Tabel III.2 Tujuan terkait TI

[58]

_.

BSC

No.

IT-

Related Goals

Financial

ITRG-01

Alignment of IT and business strategy

ITRG-02

IT compliance and support for business compliance with

external laws and regulations

ITRG-03

Commitment of executive management for making IT-related

decisions

ITRG-04

Managed IT-related business risk

ITRG-05

Realised benefits from IT-enabled investments and services

portfolio

ITRG-06

Transparency of IT costs, benefits and risk

Customer

ITRG-07

Delivery of IT services in line with business requirements

ITRG-08

Adequate use of applications, information and technology

solutions

Internal Business Process

ITRG-09

IT agility

ITRG-10

Security of information, processing infrastructure and

applications

ITRG-11

Optimisation of IT assets, resources and capabilities

ITRG-12

Enablement and support of business processes by integrating

applications and technology into business processes

ITRG-13

Delivery of programmes delivering benefits, on time, on

budget, and meeting requirements and quality standards

ITRG-14

Availability of reliable and useful information for decision

making

ITRG-15

IT compliance with internal policies

Learning and Growth

ITRG-16

Competent and motivated business and IT personnel

15

Stakeholder Drivers

(Enironment, Technology Evolution, ...)

Stakeholder Needs

Benefits

Realisation

Risk

Optimisation

Resource

Optimisation

Influence

Enterprise Goals

IT-related Goals

Enablers Goals

Cascade to

Cascade to

Cascade to

Gambar III-2 Pemetaan

enablers

dan tujuan organisasi

[58]

_.

Pemetaan tujuan organisasi, tujuan terkait TI dan proses COBIT 5 ditunjukkan oleh

Tabel III.3 dan Tabel III.4.

Governance

Evaluate

Direct

Monitor

Business Needs

Management

Build

(BAI)

Plan

(APO)

Run

(DSS)

Monitor

(MEA)

Management

Feedback

16

Tabel III.3 Pemetaan tujuan generik TI dan organisasi

[58]

.

ITR

G

0

1

ITR

G

0

2

ITR

G

0

3

ITR

G

0

4

ITR

G

0

5

ITR

G

0

6

ITR

G

0

7

ITR

G

0

8

ITR

G

0

9

ITR

G

1

0

ITR

G

1

1

ITR

G

1

2

ITR

G

1

3

ITR

G

1

4

ITR

G

1

5

ITR

G

1

6

ITR

G

1

7

EG

0

1

P

-

P

-

P

S

P

S

S

-

P

S

-

S

-

S

S

EG

0

2

P

-

S

-

P

-

P

S

P

-

S

P

S

S

-

S

P

EG

0

3

S

-

-

P

-

S

S

S

S

P

-

S

S

S

S

P

-

EG

0

4

-

P

-

S

-

-

S

-

-

P

-

-

-

S

P

-

-

EG

0

5

-

-

-

-

-

P

-

-

-

-

-

-

-

-

-

-

-

EG

0

6

P

-

-

-

S

-

P

S

S

-

-

S

S

-

-

S

S

EG

0

7

S

-

-

P

-

-

S

S

-

P

-

-

P

-

-

-

EG

0

8

P

-

S

S

P

-

P

-

P

-

S

S

-

-

-

S

-

EG

0

9

P

-

S

-

-

S

S

S

-

-

-

-

-

P

-

-

S

EG

1

0

S

-

-

-

S

P

-

S

-

-

P

S

S

-

-

-

-

EG

1

1

P

-

S

-

-

-

P

P

P

-

S

P

-

S

-

-

S

EG

1

2

S

-

-

-

P

P

S

S

-

-

P

S

S

-

-

-

-

EG

1

3

P

-

P

S

-

-

S

-

S

-

S

S

P

-

-

-

S

EG

1

4

-

-

-

-

S

-

-

P

S

-

S

S

-

-

-

P

-

EG

1

5

-

P

-

S

-

-

-

-

-

P

-

-

-

-

P

-

-

EG

1

6

S

-

S

S

-

-

S

S

S

-

-

-

-

-

-

P

S

EG

1

7

-

-

-

-

S

-

S

S

P

-

S

S

-

-

-

S

P

17

Tabel III.4 Pemetaan tujuan generik TI dan proses tata kelola

[58]

.

ITR

G

-01

ITR

G

-0

2

ITR

G

-03

ITR

G

-04

ITR

G

-05

ITR

G

-06

ITR

G

-07

ITR

G

-08

ITR

G

-09

ITR

G

-10

ITR

G

-11

ITR

G

-12

ITR

G

-13

ITR

G

-14

ITR

G

-15

ITR

G

-16

ITR

G

-17

ED

M

0

1

P

S

P

S

S

S

P

-

S

S

S

S

S

S

S

S

S

ED

M

0

2

P

-

S

-

P

P

P

S

-

-

S

S

S

S

-

S

P

ED

M

0

3

S

S

S

P

-

P

S

S

-

P

-

-

S

S

P

S

S

ED

M

0

4

S

-

S

S

S

S

S

S

P

-

P

-

S

-

-

P

S

ED

M

0

5

S

S

P

-

-

P

P

-

-

-

-

-

S

S

S

-

S

A

P

O

0

1

P

P

S

S

-

-

S

-

S

S

P

S

S

S

P

P

P

A

P

O

0

2

P

-

S

S

S

-

P

S

S

-

S

S

S

S

S

S

P

A

P

O

0

3

P

-

S

S

S

S

S

S

P

S

P

S

-

S

-

-

S

A

P

O

0

4

S

-

-

S

P

-

-

P

P

-

P

S

-

S

-

-

P

A

P

O

0

5

P

-

S

S

P

S

S

S

S

-

S

-

P

-

-

-

S

A

P

O

0

6

S

-

S

S

P

P

S

S

-

-

S

-

S

-

-

-

-

A

P

O

0

7

P

S

S

S

-

-

S

-

S

S

P

-

P

-

S

P

P

A

P

O

0

8

P

-

S

S

S

S

P

S

-

-

S

P

S

-

S

S

P

A

P

O

0

9

18

ITR

G

-01

ITR

G

-0

2

ITR

G

-03

ITR

G

-04

ITR

G

-05

ITR

G

-06

ITR

G

-07

ITR

G

-08

ITR

G

-09

ITR

G

-10

ITR

G

-11

ITR

G

-12

ITR

G

-13

ITR

G

-14

ITR

G

-15

ITR

G

-16

ITR

G

-17

A

P

O

1

0

-

S

-

P

S

S

P

S

P

S

S

-

S

S

S

-

S

A

P

O

1

1

S

S

-

S

P

-

P

S

S

-

S

-

P

S

S

S

S

A

P

O

1

2

-

P

-

P

-

P

S

S

S

P

-

-

P

S

S

S

S

A

P

O

1

3

-

P

-

P

-

P

S

S

-

P

-

-

-

P

-

-

-

B

A

I0

1

P

-

S

P

P

S

S

S

-

S

S

-

P

-

-

S

S

B

A

I0

2

P

S

S

S

S

-

P

S

S

-

S

P

S

S

-

-

S

B

A

I0

3

S

-

-

S

S

-

P

S

-

-

S

S

S

S

-

-

S

B

A

I0

4

-

-

-

S

S

-

P

S

S

-

P

-

S

P

-

-

S

B

A

I0

5

S

-

S

-

-

-

-

P

S

-

S

S

P

-

-

-

P

B

A

I0

6

-

-

S

P

S

-

P

S

S

P

S

P

S

S

S

-

S

B

A

I0

7

-

-

-

S

S

-

S

P

S

-

-

P

S

S

S

-

S

B

A

I0

8

S

-

-

-

S

-

S

S

P

S

S

-

-

P

-

S

P

B

A

I0

9

-

S

-

S

-

P

S

-

S

S

P

-

-

S

S

-

-

B

A

I1

0

19

ITR

G

-01

ITR

G

-0

2

ITR

G

-03

ITR

G

-04

ITR

G

-05

ITR

G

-06

ITR

G

-07

ITR

G

-08

ITR

G

-09

ITR

G

-10

ITR

G

-11

ITR

G

-12

ITR

G

-13

ITR

G

-14

ITR

G

-15

ITR

G

-16

ITR

G

-17

D

S

S

0

1

-

S

-

P

S

-

P

S

S

S

P

-

-

S

S

S

S

D

S

S

0

2

-

-

-

P

-

-

P

S

-

S

-

-

-

S

S

-

S

D

S

S

0

3

-

S

-

P

S

-

P

S

S

-

P

S

-

P

S

-

S

D

S

S

0

4

S

S

-

P

S

-

P

S

S

S

S

S

-

P

S

S

S

D

S

S

0

5

S

P

-

P

-

-

S

S

-

-

S

S

-

S

S

-

-

D

S

S

0

6

-

S

-

P

-

-

P

S

-

S

S

S

-

S

S

S

S

M

EA

0

1

S

S

S

P

S

S

P

S

S

S

P

-

S

S

P

S

S

M

EA

0

2

-

P

-

P

-

S

S

S

-

S

-

-

-

S

P

-

S

M

EA

0

3

-

P

-

P

P

-

S

-

-

S

-

-

-

-

S

-

S

Keterangan:

P: hubungan bersifat

primary

atau terkait langsung.

S: hubungan bersifat

secondary

atau tidak terkait langsung.

-: tidak terkait.

3.2

COBIT 5

Enabling Process

COBIT 5

Enabling Process

[59]

_{merupakan pelengkap COBIT 5 yang}

mendefinisikan model referensi proses. Proses merupakan salah satu dari tujuh

COBIT 5

enablers

yang terdiri atas 37 proses. Proses-proses yang dimaksud dapat

dijelaskan sebagai berikut.

a.

EDM

20

3).

Ensure risk optimisation.

4).

Ensure resource optimisation.

5).

Ensure stakeholder transparency.

b.

APO

1).

Manage the IT management framework.

2).

Manage strategy.

3).

Manage enterprise architecture.

4).

Manage innovation.

5).

Manage portfolio.

6).

Manage budget and costs.

7).

Manage human resource.

8).

Manage relationships.

9).

Manage service agreements.

10).

Manage suppliers.

11).

Manage quality.

12).

Manage risk.

13).

Manage security.

c.

BAI

1).

Manage programmes and projects.

2).

Manage requirements definition.

3).

Manage solutions identification and build.

4).

Manage availability and capacity.

5).

Manage organisational change enablement.

6).

Manage changes.

7).

Manage change acceptance and transitioning.

8).

Manage knowledge.

9).

Manage assets.

10).

Manage configuration.

d.

DSS

1).

Manage operations.

21

4).

Manage continuity.

5).

Manage security services.

6).

Manage business process controls.

e.

MEA

1).

Monitor, evaluate and assess performance and conformance.

2).

Monitor, evaluate and assess the system of internal control.

3).

Monitor, evaluate and assess compliance with external requirements.

3.3

COBIT 5

for Risk

COBIT 5

for Risk

[60]

membahas risiko yang terkait dengan TI dan

mempresentasikannya melalui dua perspektif yaitu fungsi dan manajemen risiko.

Fungsi risiko berfokus pada hal-hal yang dibutuhkan untuk membangun dan

memelihara fungsi risiko dalam suatu organisasi. Manajemen risiko berfokus pada

proses tata kelola dan manajemen yang terkait risiko dengan mendefinisikan

bagaimana mengoptimalkan, mengidentifikasi, menganalisis, merespon dan

melaporkan risiko. Implementasi COBIT 5

for Risk

juga merujuk kepada tujuh

enablers

yang telah disebutkan sebelumnya.

Salah satu informasi penting yang digunakan dalam proses manajemen risiko

adalah skenario risiko. Skenario risiko merupakan deskripsi kejadian yang mungkin

terjadi dan memberikan dampak pada pencapaian tujuan organisasi. Beberapa

contoh kategori skenario risiko yang umum ada di dalam organisasi dapat

dijelaskan oleh Tabel III.5.

Tabel III.5 Skenario risiko

[60]

.

No

Kategori Skenario Risiko

1

Pembuatan dan pemeliharaan portofolio

2

Manajemen siklus program/proyek

3

Pembuatan keputusan terkait investasi TI

4

Keahlian dan kemampuan TI

5

Operasional yang dilakukan oleh staf

6

Informasi (kerusakan, kebocoran dan akses)

7

Arsitektur

8

Infrastruktur

9

Perangkat lunak

10

Kepemilikan bisnis TI

11

Pemilihan pemasok