EVALUASI KEAMANAN INFORMASI MENGGUNAKAN ISO/IEC
27002: STUDI KASUS PADA STIMIK TUNAS BANGSA
BANJARNEGARA
Ferry Febrianto, Dana Indra SensuseMagister Teknik Informatika Universitas AMIKOM Yogyakarta Fakultas Ilmu Komputer Universitas Indonesia
[email protected], [email protected] ABSTRAK
STIMIK Tunas Bangsa memiliki informasi yang penting dan komplek dalam pengelolaan pendidikan. Informasi yang dimiliki oleh STIMIK Tunas Bangsa berada pada beberapa bagian yang saling terkait. Dengan perkembangan informasi yang semakin kompleks, perlu adanya audit keamanan dalam pengelolaan informasi tersebut. Audit dilakukan untuk mengetahui tingkat kematangan keamanan pengelolaan informasi. Penelitian dilakukan dengan memetakan keamanan informasi menggunakan
framework ISO/IEC 27002. Kemudian dilakukan audit untuk mengetahui posisi keamanan informasi pada STIMIK Tunas Bangsa. Hasil penelitian menunjukan tingkat kematangan keamanan informasi menggunakan framework ISO/IEC 27002 sebesar 2,6 yang menunjukan bahwa STIMIK Tunas Bangsa telah melakukan pengelolaan keamanan informasi tetapi belum terdefinisi dan terdokumentasi dengan baik, sehingga perlu ditingkatkan.
Kata kunci : ISO/IEC 27002, Maturity Level, STIMIK Tunas Bangsa, Keamanan Informasi.
1. Pendahuluan
Pengelolaan informasi pada sebuah organisasi memiliki peran yang penting. Semua proses akan menggunakan informasi sebagai acuan dalam mengambil keputusan. STIMIK Tunas Bangsa merupakan salah satu perguruan tinggi yang memiliki informasi dengan jumlah yang besar dan komplek. Dalam mengelola informasi telah digunakan sistem informasi akademik. Pemanfaatan sistem informasi akan memberikan manfaat yang besar dalam mengelola data yang komplek. Penggunaan sistem informasi merupakan sarana penting untuk mengurangi kompleksitas yang harus ditangani (Wibowo, 2016). Hal yang penting dalam penggunaan sistem informasi adalah keamanan informasi yang dimiliki. Data yang ada harus terjaga keamanannya dari pihak-pihak yang tidak bertanggung jawab ataupun dari kejadian tidak terduga seperti bencana, pencurian ataupun tindakan merugikan lainnya. Keamanan mutlak diperlukan untuk menjaga agar data yang tersimpan tidak disalahgunakan.
STIMIK Tunas Bangsa telah memanfaatkan sistem informasi dalam mengelola data perguruan tinggi. Teknologi yang digunakan memiliki peranan yang penting dalam mengolah data yang dimiliki. Penerapan teknologi informasi dalam pengolahan data akan memberikan dampak terhadap proses organisasi (Utomo, 2006).
STIMIK Tunas Bangsa telah menggunakan Sistem Informasi Akademik (SIAKAD) dalam mengelola data yang dimiliki. Data yang tersimpan dalam SIAKAD antara lain data mahasiswa, dosen, perkuliahan hingga data nilai. Data tersebut sangat penting sehingga perlu dijaga keamanan serta kerahasiaannya. Setiap data yang disimpan akan dimanfaatkan dalam mengelola proses pendidikan di STIMIK Tunas Bangsa. SIAKAD tersebut berada pada server yang dapat diakses melalui semua komputer yang ada dalam jaringan kampus. Akses kedalam sistem dapat dilakukan oleh Kepala Pengelola PDDIKTI, staff dan dosen. Untuk setiap orang memiliki hak akses yang berbeda sesuai dengan kewenangan masing-masing. Akses tertinggi ada pada Kepala Pengelola dan staf yang ditunjuk. Dalam prakteknya, terdapat beberapa dosen dan staf lain memiliki hak akses yang sama dengan Kepala pengelola. Hal ini akan menjadi masalah apabila hak akses ini tidak dievaluasi untuk keamanan informasi yang disimpan.
Selain itu, pengelola juga menyimpan data pada file cetak (kertas) yang disimpan dalam lemari penyimpanan yang dapat diakses oleh dosen dan staf. Data juga disimpan dalam bentuk softcopy pada komputer yang dapat diakses melalui jaringan oleh semua dosen dan staf. Data yang dapat diakses dengan mudah ini menjadi rentan terhadap penyalahgunaan.
Dengan demikian, data yang dimiliki belum memiliki keamanan yang cukup. Susanto(2013) mengatakan bahwa pelanggaran keamanan informasi mengakibatkan biaya investasi yang tinggi dan
reputasi organisasi yang menurun. Pelanggaran keamanan ini dapat menimbulkan kerugian bagi STIMIK Tunas Bangsa. Data tersebut dapat diambil dan disalahgunakan oleh pihak yang tidak bertanggung jawab. Apabila hal ini tidak segera diatasi dapat menimbulkan masalah pada kerahasiaan dan keamanan informasi.
ISO/IEC 27002 telah menyediakan rekomendasi yang baik dalam manajemen keamanan informasi bagi mereka yang bertanggung jawab terhadap keamanan informasi. Menyediakan standar dan prosedur berkaitan dengan keamanan dan kontrol terhadap informasi. ISO/IEC 27002 memungkinkan setiap pengguna untuk menerapkan kontrol sesuai dengan kebutuhan organisasinya. Keamanan informasi tidak hanya dilihat pada aspek teknologi saja tetapi keamanan informasi berbentuk fisik seperti kertas hingga berbentuk softcopy. ISO/IEC 27002 akan memberikan rekomendasi terbaik terhadap manajemen keamanan informasi pada organisasi.
Masalah seperti penyalahgunaan data, pembobolan data dan akses yang tidak berhak terhadap sistem dan informasi dapat mengganggu kelancaran proses pendidikan pada STIMIK Tunas Bangsa. Perlu diupayakan pengelolaan yang baik akan segala informasi yang dimiliki demi tercapainya pengelolaan organisasi yang baik. Diperlukan framework evaluasi keamanan informasi menggunakan
framework ISO/IEC 27002 guna mengatasi masalah tersebut.
2. Landasan Teori
2.1. Informasi
Informasi yang dihasilkan dari pengolahan data pada sebuah sistem memiliki peranan penting dalam pengelolaan sebuah organisasi. Informasi merupakan aset yang sangat berharga sehingga perlu dijamin keamanan oleh setiap organisasi (Agustina, 2009). Setiap bagian dalam organisasi akan bergantung pada informasi yang dimiliki. Informasi tersebut diolah dari berbagai sumber yang ada, baik internal maupun eksternal organisasi. Kemudian disebarkan kepada setiap bagian organisasi sesuai dengan peruntukannya.
Informasi yang ada akan membantu dalam proses bisnis organisasi. Setiap keputusan akan mengacu pada informasi yang dihasilkan tersebut. Informasi yang dimiliki harus berkualitas dan akurat. Selain sistem yang baik, kualitas informasi juga harus diperhatikan. Informasi harus memiliki kualitas yang tinggi dari sumber, cara pengolahan hingga sampai pada pemakai informasi.
Untuk dapat digunakan dengan baik, kualitas informasi saja tidak cukup. Diperlukan keamanan informasi dari pihak-pihak yang tidak bertanggung jawab untuk mengganggu pengolahan dan pamakaian informasi.
2.2. Keamanan Informasi
Pemanfaatan teknologi informasi guna mendukung pelayanan yang optimal menjadi kebutuhan dasar organisasi yang harus dijamin dengan pengelolaan layanan dan keamanan yang baik (Sakinah, 2014). Ciptaningrum (2015) juga menerangkan bahwa keamanan informasi saat ini menjadi masalah yang mendasar untuk bisnis, organisasi dan pemerintahan sehingga audit keamanan informasi menjadi kebutuhan.
Informasi berkualitas yang telah dihasilkan memerlukan tindakan pengamanan dari segala ancaman dan gangguan. Ancaman terhadap keamanan informasi dapat datang dari mana saja dan akan mengganggu kestabilan proses bisnis organisasi. Beberapa aspek perlu dilihat untuk mengamankan data seperti dikemukakan oleh Whitman dan Mattord (2011) sebagai berikut:
Physical security : pengamanan fisik sistem yang dimiliki dari bahaya yang dapat mengganggu pengolahan data menjadi informasi. Seperti bencana alam, akses tidak berhak ke fasilitas fisik, hingga pencurian.
Personal security : melindungi orang-orang dalam organisasi dari masalah yang dapat timbul sehingga mengganggu proses yang ada.
Operation security : mengamankan kemampuan organisasi dalam proses menghasilkan informasi.
Communication security : melindungi media komunikasi dan teknologi komunikasi serta memanfaatkan teknologi untuk kepentingan organisasi.
Setiap aspek memiliki peranan dalam menjaga keamanan informasi. Dengan menjaga aspek-aspek diatas maka informasi akan terjaga dari setiap bahaya yang akan mengganggu. 2.3. Tata Kelola Teknologi Informasi
Tata kelola teknologi informasi merupakan sebuah cara untuk memastikan teknologi informasi dapat mendukung kinerja organisasi (ITGI, 2007). Dengan tata kelola yang baik, penggunaan TI dapat meningkatkan kinerja organisasi. Dampak yang signifikan menjadi tujuan dalam penggunaan TI di organisasi. Dalam prakteknya, perlu penyiapan divisi TI yang baik agar TI yang dipakai sesuai dengan strategi organisasi.
Teknologi informasi yang dimiliki akan memberikan manfaat yang besar bagi organisasi apabila dikelola secara baik dan berkesinambungan. Pengelolaan yang baik dengan melihat berbagai aspek yang terkait akan meningkatkan hasil yang diinginkan. Setiap bagian organisasi memiliki kontribusi untuk menopang daya saing. Salah satu bagian tersebut adalah penggunaan teknologi informasi. Penggunaan teknologi informasi akan memberi dampak yang baik dalam menghasilkan informasi dan meningkatkan kinerja organisasi.
Penggunaan teknologi informasi memerlukan evaluasi guna menjaga agar tetap menghasilkan informasi yang berkualitas. Berbagai kerangka dapat digunakan untuk melakukan evaluasi.
2.4. ISO/IEC 27002
ISO/IEC 27002 dikembangkan untuk memberi panduan penerapan keamanan informasi. ISO/IEC 27002 banyak digunakan dalam mengatasi masalah yang berkaitan dengan keamanan informasi (Gehrmann, 2012). ISO 27002 mampu memberikan panduan dalam merencanakan dan implementasi program untuk melindungi aset informasi (Rahman, 2016). Yang jika dikaitkan dengan ITIL dapat membantu terciptanya proses terkait pengiriman dan dukungan IT (Simonsson dan Johnson, 2008).
ISO/IEC 27002 menyediakan rekomendasi manajemen keamanan informasi yang baik. Dimana informasi merupakan objek penting dalam proses bisnis di organisasi. Standar dan prosedur yang berkaitan dengan keamanan dan kontrol informasi memungkinkan organisasi menerapkan keamanan yang baik pada informasi yang dimiliki. ISO/IEC 27002 tidak hanya mengamankan informasi berbasis IT saja, tetapi informasi yang tersimpan dalam bentuk fisik seperti kertas menjadi perhatian dalam penggunaanya.
3. Metodologi Penelitian
3.1. Metode PenelitianPenelitian yang dilakukan pada STIMIK Tunas Bangsa menggunakan metode penelitian kualitatif dengan pendekatan maturity level. Penelitian dimulai dengan menyusun asumsi dasar dan aturan berpikir untuk digunakan. Penelitian dilakukan dengan mengambil data dari pengelola data dan bagian administrasi yang terlibat dalam pengolahan data.
3.2. Metode Pengumpulan Data-data a. Wawancara
Dalam mengumpulkan data peneliti melakukan wawancara dengan narasumber. Nara sumber yang diwawancarai adalah Kaprodi Sistem Informasi, bagian pengelola PDDIKTI, staff dan dosen yang terlibat dalam penggunaan sistem dan pengelola data. Pertanyaan wawancara berkaitan dengan kebijakan, aset informasi, hingga akses terhadap informasi. Selain itu juga ditanyakan mengenai bagaimana menjaga informasi yang ada dari segala bentuk ancaman. Bagaimana bentuk pengamanan informasi yang telah dilakukan hingga bagaimana mengatasi masalah pada kemanan informasi apabila terjadi ancaman.
Diharapkan dengan wawancara tersebut dapat diketahui lebih detail mengenai bagaimana kondisi keamanan informasi yang ada pada STIMIK Tunas Bangsa. Dengan diketahui kondisi saat ini, akan menjadi dasar dalam pengembangan selanjutnya. Yang pada akhirnya keamanan informasi di STIMIK Tunas Bangsa menjadi baik dan memiliki tata kelola yang baik.
b. Kuisioner
Kuisioner adalah alat riset atau survey yang terdiri atas serangkaian pertanyaan tertulis, bertujuan mendapatkan tanggapan dari kelompok orang terpilih melalui daftar pertanyaan. Kuisioner diberikan pada narasumber seperti yang telah disebutkan yang terlibat dalam pengolahan
data. Dengan kuisioner tersebut dapat diperoleh data tentang kondisi pengelolaan keamanan informasi saat ini. Data tersebut akan menggambarkan kondisi keamanan informasi saat ini.
4. Pembahasan
Keamanan informasi dalam penelitian ini antara lain mencakup hal-hal berikut: Kebijakan keamanan informasi, pengamanan aset informasi, akses terhadap informasi, hingga keamanan fisik dan fasilitas informasi.
ISO/IEC 27002 menyediakan framework yang lengkap untuk kemanan informasi. Dilakukan pemetaan kontrol keamanan informasi pada ISO/IEC 27002. Seperti pada tabel berikut :
Tabel 1 Pemetaan Keamanan Informasi ISO/IEC 27002
5.1.1 Kebijakan untuk keamanan informasi
6.1.1 Peran dan tanggung jawab keamanan informasi 7.1.2 Syarat dan kondisi pekerjaan
8.2.1 Klasifikasi informasi 8.2.3 Penanganan aset
8.3.1 Manajemen removable media 8.3.2 Pembuangan media
9.1.1 Kebijakan Access Control 9.4.1 Pembatasan akses informasi 9.4.2 log aman pada prosedur 11.1.1 perimeter keamanan fisik
11.1.3 Mengamankan kantor, kamar dan fasilitas
11.1.4 Melindungi terhadap ancaman eksternal dan lingkungan 11.2.1 Peralatan tapak dan perlindungan
11.2.2 mendukung utilitas
12.1.1 prosedur operasi didokumentasikan 12.1.3 Manajemen kapasitas
18.1.3 Perlindungan catatan
18.2.2 Sesuai dengan kebijakan dan standar keamanan
Pengukuran dilakukan menggunakan metode maturity level yang merupakan metode untuk mengukur level pengembangan manajemen proses sejauh mana kapabilitas manajemen. Maturity model digunakan untuk memetakan status pengelolaan TI di organisasi saat ini, status standar TI saat ini dan standar pengelolaan TI yang ada saat ini.
Diperoleh nilai kematangan keamanan informasi pada STIMIK Tunas Bangsa sebagai berikut:
Gambar 1 Nilai Kematangan Keamanan Informasi
0
2
4
'5.1.1 '6.1.1 '7.1.2 '8.2.1 '8.2.3 '8.3.1 '8.3.2 '9.1.1 '9.4.1 '9.4.2 '11.1.1 '11.1.3 '11.1.4 '11.2.1 '11.2.2 '12.1.1 '12.1.3 '18.1.3 '18.2.2 Nilai KematanganKeseluruhan nilai kematangan keamanan informasi pada STIMIK Tunas Bangsa adalah 2,6 yang menunjukan organisasi telah melakukan tata kelola tetapi belum terdefinisi dengan baik. Pengelolaan dilakukan oleh masing-masing pemangku kepentingan sendiri tanpa pedoman dari organisasi. Seperti pada tabel dibawah ini :
Tabel 2 Nilai Kematangan Keamanan Informasi STIMIK Tunas Bangsa
No Point Audit Keamanan Informasi Nilai Kematangan
1 5.1.1 Kebijakan Keamanan Informasi 1,7 2 6.1.1 Peran dan Tanggung Jawab 2,6 3 7.1.2 Syarat dan Kondisi Pekerjaan 2,8 4 8.2.1 Klasifikasi Informasi 1,5 5 8.2.3 Penanganan Aset 2 6 8.3.1 Manajemen Removable Media 2,8 7 8.3.2 Pembuangan Media 2,6 8 9.1.1 Kebijakan Akses Kontrol 3,1 9 9.4.1 Pembatasan akses Informasi 3,4 10 9.4.2 Log Sistem 3,1 11 11.1.1 Keamanan Fisik 2,8 12 11.1.3 Keamanan Fasilitas 2,4 13 11.1.4 Perlindungan Ancaman Luar 2,7 14 11.2.1 Penempatan dan Perlindungan Peralatan 2,8 15 11.2.2 Dukungan Utilitas 2,3 16 12.1.1 Prosedur Operasi Didokumentasikan 2,4 17 12.1.3 Manajemen Kapasitas 2,4 18 18.1.3 Perlindungan Catatan 2,9 19 18.2.2 Kebijakan dan Standar Keamanan 2,8
Rata-rata 2,6
Setiap point keamanan memiliki nilai yang berbeda yang menunjukan nilai kematangannya. Nilai kematangan yang ingin dicapai yaitu level 3, yang berarti organisasi telah memiliki prosedur terdokumentasi dan telah disosialisasikan. Dari nilai yang diperoleh point kebijakan akses kontrol, pembatasan akses informasi dan log sistem telah memenuhi nilai yang diharapkan.
Point keamanan yang belum memenuhi nilai yang diharapkan perlu dilakukan perbaikan agar semua asapek keamanan informasi dapat terpenuhi.
5. Penutup
5.1. KesimpulanSecara keseluruhan nilai kematangan yang diperoleh dalam audit keamanan informasi di STIMIK Tunas Bangsa sebesar 2,6 yang menunjukan sudah dilakukan pengelolaan informasi tetapi belum terdefinisi dan terdokumentasi.
Dari keseluruhan proses audit keamanan informasi yang dilakukan pada STIMIK Tunas Bangsa dalam mengelola informasi belum memiliki pedoman organisasi. Pedoman yang digunakan oleh pemangku kepentingan dalam mengelola informasi bukan merupakan pedoman yang dimiliki organisasi melainkan yang biasa dikerjakan oleh para pengelola informasi sendiri itu sendiri.
Dengan demikian, pengelolaan informasi di STIMIK Tunas Bangsa masih memerlukan perbaikan untuk memastikan keamanan informasi terjaga dengan baik.
5.2. Saran
Saran yang dapat diberikan dalam penelitian ini antara lain:
1.
Cakupan penelitian dapat diperluas tidak hanya pada pengelola informasi tetapi mencakup penyedia hingga pengguna informasi.2.
Penelitian tidak hanya pada keamanan informasi, audit dilakukan mencakup keseluruhan organisasi untuk memperoleh audit TI yang lengkap.DAFTAR PUSTAKA
Agustina, E.R.: Kurniati, A., 2009, Pemanfaatan Kriptografi Dalam Mewujudkan Keamanan Informasi Pada e-Voting Di Indonesia, SemnasIF UPN “Veteran” Yogyakarta, Yogyakarta
Ciptaningrum, D.; Nugroho, E.: Adhipta, D., 2015, COBIT 5 Sebagai Alternatif Bagi Audit Keamanan Sistem Informasi (Sebuah Usulan Untuk Diterapkan di Pemerintah Kota Yogyakarta), Seminar Nasional Teknologi Informasi dan Multimedia STMIK AMIKOM, Yogyakarta Gehrmann, M., 2012, Combining ITIL, COBIT and ISO/IEC 27002 For Structuring Comprehensive
InformationTechnology For Management In Organizations, Navus, Florianopolis ITGI, 2007, COBIT 4.1, IT Governance Institute, USA
Rahman, A.N.: Tanuwijaya, H.: Sutomo, E., 2016, Audit Keamnan Sistem Informasi Manajemen Rumah Sakit Berdasarkan ISO 27002:2005 Pada Rumah Sakit Islam Jemursari, JSIKA Vol. 5, No. 9, Surabaya
Sakinah, F.; Setiawan, B., 2014, Indeks Penilaian Kematangan (Maturity) Manajemen Keamanan Layanan TI, Jurnal Teknik POMITS Vol. 3, No. 2, Surabaya
Simonsson, M.; Johnson, P., 2008, The IT Organization Modeling and Assessment tool: Correlating IT Governance Maturity With The Effect of IT. IEEE Transaction on Systems, Man and Cybernetics. Part B, Cybernetics, Unated states
Susanto, B.M., 2013, Mengukur Keamanan Informasi: Studi Komparasi ISO 27002 Dan NIST 800-55, SENTIKA 2013, Yogyakarta
Utomo, A.P., 2006, Dampak Pemanfaatan Teknologi Informasi Terhadap Proses Auditing Dan Pengendalian Internal, Jurnal Teknologi Informasi DINAMIK Vol. XI, No. 2, Semarang Whitman, M.E.; Mattord, H., 2011, Principles Of Information Security, Fourth Edition, Course
Technology, US
Wibowo, A.S.; Selo; Adipta, D., 2016, Kombinasi Framework COBIT 5, ITIL Dan ISO/IEC 27002 Untuk Membangun Model Tata Kelola Teknologi Informasi Di Perguruan Tinggi, SENTIKA, Yogyakarta
