• Tidak ada hasil yang ditemukan

Audit Keamanan Informasi Berdasarkan Ker

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2018

Membagikan "Audit Keamanan Informasi Berdasarkan Ker"

Copied!
4
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 4 Halaman )

Teks penuh

(1)

Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015 AUDIT KEAMANAN INFORMASI BERDASARKAN KERANGKA KERJA ISO/IEC

27001:2013 PADA PT.XYZ

Furqon Mauladani (furqonmauladani@gmail.com)

Magister Manajemen Teknologi, Institut Teknologi Sepuluh Nopember Surabaya

Abstrak

Semakin pesatnya penggunaan TIK membuat semakin tingginya ancaman terhadap aset informasi, seperti ancaman yang berasal dari luar (malware, spam, spoofing, sniffing), orang dalam (sengaja, tidak sengaja), kesalahan sistem ataupun bencana alam (kebakaran, gempa, banjir). Beberapa ancaman tersebut dapat memberikan dampak seperti kerugian finansial ataupun penurunan reputasi organisasi jika diketahui oleh pihak lain. Berdasarkan hal tersebut, sudah seharusnya PT. XYZ melakukan audit keamanan untuk mengetahui kondisi keamanan informasi pada aset yang dimiliki. Tujuan dari penelitian ini adalah melaksanakan audit keamanan berdasarkan kerangka kerja ISO/IEC 27001:2013. Hasil yang diharapkan pada penelitian ini adalah laporan hasil audit yang menggambarkan kondisi keamanan dan memberikan rekomendasi penambahan atau penggantian kontrol keamanan.

1. Latar Belakang

Perkembangan Teknologi Informasi dan Komunikasi (TIK) yang semakin pesat yang salah satunya disebabkan karena banyaknya manfaat dalam penggunaannya. Namun pada penggunaan TIK terdapat ancaman yang cenderung merusak dan merugikan selain keuntungan yang didapat. Ancaman tersebut dapat berasal dari luar (malware, spam, spoofing, sniffing), orang dalam (sengaja, tidak sengaja), kesalahan sistem ataupun bencana alam (kebakaran, gempa, banjir). Menurut survey hal ini dikarenakan ketidaktahuan/ketidaksengajaan 63%, sengaja dengan alasan pekerjaan lebih efisien/efektif 20%, frustasi dengan kebijakan keamanan IT yang tidak realistis, dan malware 6%.

Beberapa ancaman tersebut dapat memberikan dampak seperti kerugian finansial ataupun penurunan reputasi organisasi jika diketahui oleh pihak lain. Berdasarkan hal tersebut, sudah seharusnya PT. XYZ melakukan audit keamanan untuk mengetahui kondisi keamanan informasi

yang dimiliki PT.XYZ apakah sudah cukup untuk mencegah dan memperbaiki ancaman yang ada. Tujuan dari penelitian ini adalah melaksanakan audit keamanan berdasarkan pada kerangka kerja ISO/IEC 27001:2013. Alasan penggunaan kerangka kerja tersebut karena pemerintah Indonesia melalui BSN menjadikan ISO/IEC 27001 sebagai standar SNI bagi semua organisasi pemerintahan maupun swasta di Indonesia untuk mengelola keamanan informasi.

Hasil yang diharapkan pada penelitian ini adalah laporan hasil audit yang menggambarkan kondisi keamanan dan memberikan rekomendasi penambahan atau penggantian kontrol keamanan yang baru berdasarkan ISO/IEC 27001:2013.

2. Landasan Teori

2.1. Audit Keamanan

Audit keamanan adalah sutu proses atau kejadian yang memiliki basis pada kebijakan atau standar keamanan untuk menentukan semua keadaan dari perlindungan yang ada, dan untuk memverifikasi apakah perlindungan yang ada

(2)

Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015 berjalan dengan baik. Tujuan utama dari audit

keamanan, diantaranya adalah:

1. Memeriksa kesesuaian mulai dari kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada.

2. Mengidentifikasi kekurangan dan memeriksa efektifitas dari kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada.

3. Mengidentifikasi dan memahami celah keamanan yang ada.

4. Mengkaji kontrol keamanan yang ada terhadap permasalahan operasional, administrasi, dan manajerial, dan memastikan kesesuaian dengan bakuan keamanan minimum.

5. Memberikan rekomendasi dan aksi perbaikan/koreksi untuk peningkatan 2.2. Keamanan Informasi

Keamanan informasi adalah menjaga informasi dari seluruh ancaman yang mungkin terjadi dalam upaya menjamin/memastikan keberlangsungan bisnis, meminimasi risiko bisnis, dan mempercepat/memaksimalkan pengembalian investasi dan peluang bisnis.

Gambar 2.1 Aspek Keamanan Informasi 2.3. ISO/IEC 27001:2013

ISO/IEC 27001 merupakan kerangka kerja yang digunakan untuk

menspesifikasikan kebutuhan untuk membangun, menerapkan, mengawasi dan meningkatkan secara berkala pada manajemen orang, proses dan TIK di sebuah organisasi (baik berskala kecil, sedang maupun besar). Kerangka kerja ini bersifat independen terhadap produk TIK (tidak bergantung pada produk tertentu), mensyaratkan penggunaan pendekatan manajemen berbasis resiko, dan dirancang untuk menjamin agar beberapa kontrol keamanan yang digunakan mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan keamanan bagi pemangku kepentingan.

Struktur organisasi ISO/IEC 27001 dibagi dalam dua besar yaitu:

1. Klausul (mandatory process) merupakan persyaratan yang harus dipenuhi jika organisasi menerapkan SMKI menggunakan kerangka kerja ISO/IEC 27001.

2. Annex A (security control) merupakan dokumen referensi yang disediakan dan dapat dijadikan rujukan untuk menentukan kontrol keamanan apa yang perlu diterapkan dalam SMKI.

3. Metodologi Penelitian

Gambar 3.1 Tahapan Metodologi Penelitian

(3)

Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015 3.1. Pendahuluan

Agar proses audit keamanan dapat terarah, efisien dan sesuai dengan yang dibutuhkan. Maka dari itu diperlukan perencanaan yang bertujuan untuk memahami kondisi lingkungan yang akan diaudit. Ditahapan ini akan dilakukan:

1. Memahami proses bisnis yang berjalan dan teknologi informasi yang sudah diterapkan pada PT.XYZ melalui penyelidikan umum maupun laporan audit keamanan sebelumnya (statement of applicability, rencana penanganan resiko kebijakan, prosedur dan peraturan). 2. Mendefinisikan ruang lingkup dan

sasaran audit keamanan yang akan dilaksanakan.

3. Menghubungi pihak narasumber yang terkait untuk memastikan ketersediaan waktu dan sumberdaya yang dibutuhkan untuk wawancara dan observasi.

3.2. Perencanaan

Berdasarkan data yang didapatkan sebelumnya, maka dibuat daftar kerja yang berguna sebagai acuan untuk pelaksanaan audit keamanan. Perencanaan ini termasuk merencanakan daftar pertanyaan yang akan ditanyakan ke narasumber tertentu, hal yang perlu di observasi dan dokumen pendukung lainnya yang dibutuhkan. Penyusunan daftar kerja yang dibuat diadopsi dari Annex A di ISO/IEC 27001:2013.

3.3. Pelaksanaan Audit

Ditahap ini akan dilakukan pengumpulan bukti audit keamanan dengan mengunjungi langsung obyek penelitian dan melaksanakan beberapa hal dibawah ini: 1. Wawancara

Meminta keterangan kepada pemilik resiko (yang bertanggungjawab untuk mengelola resiko pada aset) untuk mengidentifikasi apakah kontrol keamanan yang diterapkan

telah berjalan secara efektif untuk membuat resiko kelevel kriteria penerimaan resiko. Selain itu wawancara juga menyasar kepada staf dan semua pihak yang terkait untuk mengetahui apakah kontrol keamanan (terutama kebijakan dan prosedur) yang diterapkan sudah diketahui dan dilaksanakan oleh semua yang terlibat.

2. Peninjauan dokumen penunjang

Meninjau pelaksanaan manajemen keamanan informasi yang berjalan dalam bentuk rekaman yang tercatat maupun laporan insiden keamanan yang terjadi.

3. Observasi

Pemeriksaan terhadap kondisi obyek aset dan kontrol keamanan secara langsung untuk memverifikasi hasil peninjauan dokumen dan wawancara. Hal yang dilakukan adalah melihat seberapa sesuai data yang dikumpulkan terhadap kenyataan dengan melihat penerapan, konfigurasi dan keefektifan kontrol keamanan (untuk aset IT keefektifan didapat melalui pengecekan kondisi operasional dan hasil tes penetrasi/scanning celah keamanan, sedangkan untuk aset non-IT melalui pengecekan kondisi kontrol keamanan apakah masih dapat berfungsi sebagaimana mestinya).

3.4. Pelaporan Hasil Audit

Pembuatan laporan memuat hasil temuan, kesimpulan, rekomendasi untuk meningkatkan keamanan informasi. Laporan akhir dari audit mencakup beberapa hal berikut:

1. Pendahuluan

Berisikan tujuan, ruang lingkup, lamanya audit dan prosedur audit.

2. Hasil audit

Temuan dalam yang berisikan keadaan yang ditemui saat proses audit yang mencakup beberapa hal dibawah ini:

(4)

Audit Teknologi Informasi – Magister Manajemen Teknologi ITS Surabaya 2015 • Kontrol keamanan yang melindungi aset

dari resiko baik berupa kebijakan, prosedur, praktik, perangkat keras/lunak maupun peraturan.

• Celah keamanan yang menjadi penyebab terjadinya resiko sehingga tidak sesuai dengan sasaran kontrol keamanan dan data yang dikumpulkan (wawancara dan peninjauan dokumen penunjang) yang ada. Sebab ini bisa berdasarkan hasil peninjauan dokumen, keterangan dari narasumber atau observasi pelaksanaan audit.

• Dampak yaitu akibat resiko secara langsung ataupun tidak langsung dari kondisi yang tidak sejalan dengan kriteria, yang bisa dibuat secara kuantitatif (kerugian finansial dan waktu) atau kualitatif (besar, menengah, kecil). 3. Kesimpulan umum dari auditor

Berisikan komentar, tanggapan ataupun pembelaan yang dilakukan oleh pihak manajemen yang menjadi obyek audit.

4. Rekomendasi

Saran berupa perbaikan, perubahan, penambahan kontrol keamanan yang baru berdasarkan ISO/IEC 27001:2013.

DAFTAR PUSTAKA

Government of the Hong Kong Special Administrative Region (2012), Security Risk Assessment & Audit Guidelines, GHKSAR, Hongkong.

Government of the Hong Kong Special Administrative Region (2015), An Overview of ISO/IEC 27000 family of Information Security Management System Standards, GHKSAR, Hongkong.

International Organization for Standardization & International Electrotechnical Commission (2013), ISO/IEC 27001:2013 - Information Technology Security Techniques -Information Security Management Systems - Requirements, Edisi ke-2, ISO, Geneva.

Kementerian Pemuda dan Olahraga Republik Indonesia (2012), Bakuan Audit Keamanan Informasi Kemenpora, MENPORA, Jakarta.

ISO27k Forum (2008), ISMS Auditing Guideline, dalam Free ISO27k Toolkit, dari http://www. iso 27001security.co m/ html/iso27k_toolkit.html, diakses 16/11/2015.

ISO27k Forum (2012), Model ISMS Internal Audit Procedure, dari http:// www.iso27001 security.co m/html/iso27k_ toolkit.html, diakses 16/11/2015.

Turner, Richard (2011), “A New Focus for IT Security?”, Computer Fraud & Security, Elsevier.

Sarno, Riyanarto & Irsyat Iffano (2009), Sistem Manajemen Keamanan Informasi Berbasis ISO 27001, ITS Press, Surabaya.

Windirya, Danastri R (2014), Audit Keamanan Sistem Informasi pada Instalasi Sistem Informasi Manajemen RSUD Bangil Berdasarkan ISO 27002, Bachelor Final Project, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya, Surabaya.

Gambar

Gambar 2.1 Aspek Keamanan Informasi

Referensi

Unduh sekarang ( PDF - 4 Halaman - 102.25 KB )

Dokumen terkait

PROFIL PT WAHANA TRANS UTAMA PERUSAHAAN

Permata Niaga II No. 73 Taman Royal I Tangerang, Telp./Fax.. WAHANA TRANS UTAMA sebagai perusahaan jasa transportasi terdepan di Indonesia yang didukung dengan pengelolaan

r.iry "Mendidik dan Menciptakan lnovator ".-i, tr dan gg"wx 8sgcr. 18-1IFsbruari 201i Konferensi Nasional lnavasi dan Technopr neurship 2013

Peserta menilai bahwa materi yang disampaikan dalam workshop tersebut telah mendukung strategi para peserta dalam merealisasikan ide- ide mereka untuk menjadi

Prosedur pemberian pembiayaan modal usaha menggunakan akad mudharabah di KSPPS BMT Marhamah Cabang A. Yani Wonosobo

Prosedur yang terlalu panjang membuat kerugian bagi calon nasabah karena harus menungu lebih lama lagi atau prosedur yang longgar dapat membuat lembaga keuangan

BAB I PENDAHULUAN. internasional sejak tragedi runtuhnya gedung WTC (World Trade Centre) yang

isu-isu yang menjadi ancaman dan mengganggu kepentingan nasional suatu Politik luar negeri suatu negara cenderung untuk memperhatikan. kepentingan nasionalnya dan memperjuangkannya

II. TINJAUAN PUSTAKA. A. Taksonomi dan Komposisi Kimia Belimbing Wuluh (Averrhoa bilimbi L.)

Sukrosa memberikan rasa manis, dan karena mempunyai kelarutan yang sangat tinggi (49g per 100 ml pada 100 0 C) sukrosa digunakan sebagai ingredient utama dalam produk-produk pangan

UNTUK DIPERHATIKAN : PEMBAHARUAN PROSPEKTUS REKSA DANA BNP PARIBAS EKUITAS

Bank Kustodian akan menerbitkan dan menyampaikan Surat Konfirmasi Transaksi Unit Penyertaan yang menyatakan antara lain jumlah investasi dalam Unit Penyertaan REKSA DANA BNP

DAFTAR GAMBAR Halaman

Mata sebagai indera penglihat yang diuraikan mencakup mekanisme organ mata sebagai indera penglihat; struktur dan fungsi yang melindungi bola mata; struktur dan fungsi organ

PELAKSANAAN PENDAFTARAN HAK ATAS TANAH UNTUK MEMPEROLEH KEPASTIAN HUKUM MELALUI PROGRAM NASIONAL AGRARIA BADAN PERTANAHAN NASIONAL KABUPATEN BOYOLALI

Menyatakan dengan sesungguhnya bahwa tesis yang berjudul “PELAKSANAAN PENDAFTARAN HAK ATAS TANAH UNTUK MEMPEROLEH KEPASTIAN HUKUM MELALUI PROGRAM NASIONAL AGRARIA

Image