Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015 AUDIT KEAMANAN INFORMASI BERDASARKAN KERANGKA KERJA ISO/IEC
27001:2013 PADA PT.XYZ
Furqon Mauladani (furqonmauladani@gmail.com)
Magister Manajemen Teknologi, Institut Teknologi Sepuluh Nopember Surabaya
Abstrak
Semakin pesatnya penggunaan TIK membuat semakin tingginya ancaman terhadap aset informasi, seperti ancaman yang berasal dari luar (malware, spam, spoofing, sniffing), orang dalam (sengaja, tidak sengaja), kesalahan sistem ataupun bencana alam (kebakaran, gempa, banjir). Beberapa ancaman tersebut dapat memberikan dampak seperti kerugian finansial ataupun penurunan reputasi organisasi jika diketahui oleh pihak lain. Berdasarkan hal tersebut, sudah seharusnya PT. XYZ melakukan audit keamanan untuk mengetahui kondisi keamanan informasi pada aset yang dimiliki. Tujuan dari penelitian ini adalah melaksanakan audit keamanan berdasarkan kerangka kerja ISO/IEC 27001:2013. Hasil yang diharapkan pada penelitian ini adalah laporan hasil audit yang menggambarkan kondisi keamanan dan memberikan rekomendasi penambahan atau penggantian kontrol keamanan.
1. Latar Belakang
Perkembangan Teknologi Informasi dan Komunikasi (TIK) yang semakin pesat yang salah satunya disebabkan karena banyaknya manfaat dalam penggunaannya. Namun pada penggunaan TIK terdapat ancaman yang cenderung merusak dan merugikan selain keuntungan yang didapat. Ancaman tersebut dapat berasal dari luar (malware, spam, spoofing, sniffing), orang dalam (sengaja, tidak sengaja), kesalahan sistem ataupun bencana alam (kebakaran, gempa, banjir). Menurut survey hal ini dikarenakan ketidaktahuan/ketidaksengajaan 63%, sengaja dengan alasan pekerjaan lebih efisien/efektif 20%, frustasi dengan kebijakan keamanan IT yang tidak realistis, dan malware 6%.
Beberapa ancaman tersebut dapat memberikan dampak seperti kerugian finansial ataupun penurunan reputasi organisasi jika diketahui oleh pihak lain. Berdasarkan hal tersebut, sudah seharusnya PT. XYZ melakukan audit keamanan untuk mengetahui kondisi keamanan informasi
yang dimiliki PT.XYZ apakah sudah cukup untuk mencegah dan memperbaiki ancaman yang ada. Tujuan dari penelitian ini adalah melaksanakan audit keamanan berdasarkan pada kerangka kerja ISO/IEC 27001:2013. Alasan penggunaan kerangka kerja tersebut karena pemerintah Indonesia melalui BSN menjadikan ISO/IEC 27001 sebagai standar SNI bagi semua organisasi pemerintahan maupun swasta di Indonesia untuk mengelola keamanan informasi.
Hasil yang diharapkan pada penelitian ini adalah laporan hasil audit yang menggambarkan kondisi keamanan dan memberikan rekomendasi penambahan atau penggantian kontrol keamanan yang baru berdasarkan ISO/IEC 27001:2013.
2. Landasan Teori
2.1. Audit Keamanan
Audit keamanan adalah sutu proses atau kejadian yang memiliki basis pada kebijakan atau standar keamanan untuk menentukan semua keadaan dari perlindungan yang ada, dan untuk memverifikasi apakah perlindungan yang ada
Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015 berjalan dengan baik. Tujuan utama dari audit
keamanan, diantaranya adalah:
1. Memeriksa kesesuaian mulai dari kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada.
2. Mengidentifikasi kekurangan dan memeriksa efektifitas dari kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada.
3. Mengidentifikasi dan memahami celah keamanan yang ada.
4. Mengkaji kontrol keamanan yang ada terhadap permasalahan operasional, administrasi, dan manajerial, dan memastikan kesesuaian dengan bakuan keamanan minimum.
5. Memberikan rekomendasi dan aksi perbaikan/koreksi untuk peningkatan 2.2. Keamanan Informasi
Keamanan informasi adalah menjaga informasi dari seluruh ancaman yang mungkin terjadi dalam upaya menjamin/memastikan keberlangsungan bisnis, meminimasi risiko bisnis, dan mempercepat/memaksimalkan pengembalian investasi dan peluang bisnis.
Gambar 2.1 Aspek Keamanan Informasi 2.3. ISO/IEC 27001:2013
ISO/IEC 27001 merupakan kerangka kerja yang digunakan untuk
menspesifikasikan kebutuhan untuk membangun, menerapkan, mengawasi dan meningkatkan secara berkala pada manajemen orang, proses dan TIK di sebuah organisasi (baik berskala kecil, sedang maupun besar). Kerangka kerja ini bersifat independen terhadap produk TIK (tidak bergantung pada produk tertentu), mensyaratkan penggunaan pendekatan manajemen berbasis resiko, dan dirancang untuk menjamin agar beberapa kontrol keamanan yang digunakan mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan keamanan bagi pemangku kepentingan.
Struktur organisasi ISO/IEC 27001 dibagi dalam dua besar yaitu:
1. Klausul (mandatory process) merupakan persyaratan yang harus dipenuhi jika organisasi menerapkan SMKI menggunakan kerangka kerja ISO/IEC 27001.
2. Annex A (security control) merupakan dokumen referensi yang disediakan dan dapat dijadikan rujukan untuk menentukan kontrol keamanan apa yang perlu diterapkan dalam SMKI.
3. Metodologi Penelitian
Gambar 3.1 Tahapan Metodologi Penelitian
Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015 3.1. Pendahuluan
Agar proses audit keamanan dapat terarah, efisien dan sesuai dengan yang dibutuhkan. Maka dari itu diperlukan perencanaan yang bertujuan untuk memahami kondisi lingkungan yang akan diaudit. Ditahapan ini akan dilakukan:
1. Memahami proses bisnis yang berjalan dan teknologi informasi yang sudah diterapkan pada PT.XYZ melalui penyelidikan umum maupun laporan audit keamanan sebelumnya (statement of applicability, rencana penanganan resiko kebijakan, prosedur dan peraturan). 2. Mendefinisikan ruang lingkup dan
sasaran audit keamanan yang akan dilaksanakan.
3. Menghubungi pihak narasumber yang terkait untuk memastikan ketersediaan waktu dan sumberdaya yang dibutuhkan untuk wawancara dan observasi.
3.2. Perencanaan
Berdasarkan data yang didapatkan sebelumnya, maka dibuat daftar kerja yang berguna sebagai acuan untuk pelaksanaan audit keamanan. Perencanaan ini termasuk merencanakan daftar pertanyaan yang akan ditanyakan ke narasumber tertentu, hal yang perlu di observasi dan dokumen pendukung lainnya yang dibutuhkan. Penyusunan daftar kerja yang dibuat diadopsi dari Annex A di ISO/IEC 27001:2013.
3.3. Pelaksanaan Audit
Ditahap ini akan dilakukan pengumpulan bukti audit keamanan dengan mengunjungi langsung obyek penelitian dan melaksanakan beberapa hal dibawah ini: 1. Wawancara
Meminta keterangan kepada pemilik resiko (yang bertanggungjawab untuk mengelola resiko pada aset) untuk mengidentifikasi apakah kontrol keamanan yang diterapkan
telah berjalan secara efektif untuk membuat resiko kelevel kriteria penerimaan resiko. Selain itu wawancara juga menyasar kepada staf dan semua pihak yang terkait untuk mengetahui apakah kontrol keamanan (terutama kebijakan dan prosedur) yang diterapkan sudah diketahui dan dilaksanakan oleh semua yang terlibat.
2. Peninjauan dokumen penunjang
Meninjau pelaksanaan manajemen keamanan informasi yang berjalan dalam bentuk rekaman yang tercatat maupun laporan insiden keamanan yang terjadi.
3. Observasi
Pemeriksaan terhadap kondisi obyek aset dan kontrol keamanan secara langsung untuk memverifikasi hasil peninjauan dokumen dan wawancara. Hal yang dilakukan adalah melihat seberapa sesuai data yang dikumpulkan terhadap kenyataan dengan melihat penerapan, konfigurasi dan keefektifan kontrol keamanan (untuk aset IT keefektifan didapat melalui pengecekan kondisi operasional dan hasil tes penetrasi/scanning celah keamanan, sedangkan untuk aset non-IT melalui pengecekan kondisi kontrol keamanan apakah masih dapat berfungsi sebagaimana mestinya).
3.4. Pelaporan Hasil Audit
Pembuatan laporan memuat hasil temuan, kesimpulan, rekomendasi untuk meningkatkan keamanan informasi. Laporan akhir dari audit mencakup beberapa hal berikut:
1. Pendahuluan
Berisikan tujuan, ruang lingkup, lamanya audit dan prosedur audit.
2. Hasil audit
Temuan dalam yang berisikan keadaan yang ditemui saat proses audit yang mencakup beberapa hal dibawah ini:
Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015 • Kontrol keamanan yang melindungi aset
dari resiko baik berupa kebijakan, prosedur, praktik, perangkat keras/lunak maupun peraturan.
• Celah keamanan yang menjadi penyebab terjadinya resiko sehingga tidak sesuai dengan sasaran kontrol keamanan dan data yang dikumpulkan (wawancara dan peninjauan dokumen penunjang) yang ada. Sebab ini bisa berdasarkan hasil peninjauan dokumen, keterangan dari narasumber atau observasi pelaksanaan audit.
• Dampak yaitu akibat resiko secara langsung ataupun tidak langsung dari kondisi yang tidak sejalan dengan kriteria, yang bisa dibuat secara kuantitatif (kerugian finansial dan waktu) atau kualitatif (besar, menengah, kecil). 3. Kesimpulan umum dari auditor
Berisikan komentar, tanggapan ataupun pembelaan yang dilakukan oleh pihak manajemen yang menjadi obyek audit.
4. Rekomendasi
Saran berupa perbaikan, perubahan, penambahan kontrol keamanan yang baru berdasarkan ISO/IEC 27001:2013.
DAFTAR PUSTAKA
Government of the Hong Kong Special Administrative Region (2012), Security Risk Assessment & Audit Guidelines, GHKSAR, Hongkong.
Government of the Hong Kong Special Administrative Region (2015), An Overview of ISO/IEC 27000 family of Information Security Management System Standards, GHKSAR, Hongkong.
International Organization for Standardization & International Electrotechnical Commission (2013), ISO/IEC 27001:2013 - Information Technology Security Techniques -Information Security Management Systems - Requirements, Edisi ke-2, ISO, Geneva.
Kementerian Pemuda dan Olahraga Republik Indonesia (2012), Bakuan Audit Keamanan Informasi Kemenpora, MENPORA, Jakarta.
ISO27k Forum (2008), ISMS Auditing Guideline, dalam Free ISO27k Toolkit, dari http://www. iso 27001security.co m/ html/iso27k_toolkit.html, diakses 16/11/2015.
ISO27k Forum (2012), Model ISMS Internal Audit Procedure, dari http:// www.iso27001 security.co m/html/iso27k_ toolkit.html, diakses 16/11/2015.
Turner, Richard (2011), “A New Focus for IT Security?”, Computer Fraud & Security, Elsevier.
Sarno, Riyanarto & Irsyat Iffano (2009), Sistem Manajemen Keamanan Informasi Berbasis ISO 27001, ITS Press, Surabaya.
Windirya, Danastri R (2014), Audit Keamanan Sistem Informasi pada Instalasi Sistem Informasi Manajemen RSUD Bangil Berdasarkan ISO 27002, Bachelor Final Project, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya, Surabaya.