PENYUSUNAN PANDUAN PENGELOLAAN KEAMANAN INFORMASI UNTUK FIREWALL CONFIGURATION BERDASARKAN KERANGKA KERJA PCI DSS v.3.1 DAN COBIT 5 Repository - UNAIR REPOSITORY

(1)

PENYUSUNAN PANDUAN PENGELOLAAN KEAMANAN INFORMASI UNTUK FIREWALL CONFIGURATION BERDASARKAN KERANGKA

KERJA PCI DSS v.3.1 DAN COBIT 5

SKRIPSI

BAGUS PUJI SANTOSO

PROGRAM STUDI S1 SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS AIRLANGGA

SURABAYA

(2)

SKRIPSI PENYUSUNAN PANDUAN PENGELOLAAN … BAGUS PUJI …

PENYUSUNAN PANDUAN PENGELOLAAN KEAMANAN INFORMASI UNTUK FIREWALL CONFIGURATION BERDASARKAN KERANGKA

KERJA PCI DSS v.3.1 DAN COBIT 5

SKRIPSI

BAGUS PUJI SANTOSO

NIM : 081211631061

PROGRAM STUDI S1 SISTEM INFORMASI

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS AIRLANGGA

SURABAYA

(3)

(4)

(5)

(6)

v

PEDOMAN PENGGUNAAN SKRIPSI

Skripsi ini tidak dipublikasikan, namun tersedia di perpustakaan dalam

lingkungan Universitas Airlangga, diperkenankan untuk dipakai sebagai referensi

kepustakaan, tetapi pengutipan harus seizin penyusun dan harus menyebutkan

sumbernya sesuai kebiasaan ilmiah.

(7)

vi

Bagus Puji Santoso, 2016. Penyusunan Panduan Pengelolaan Keamanan Informasi Untuk Firewall Configuration Berdasarkan Kerangka Kerja PCI DSS v.3.1 dan COBIT 5. Skripsi ini dibawah bimbingan Eva Hariyanti, S.Si, M.T. dan Drs. Eto Wuryanto, DEA. Program Studi S1 Sistem Informasi. Fakultas Sains dan Teknologi, Universitas Airlangga.

ABSTRAK

Sistem keamanan informasi harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak yang tidak berhak. Salah satu mekanisme yang dapat diterapkan dalam meningkatkan keamanan informasi adalah dengan menggunakan firewall. Firewall merupakan sebuah mekanisme pengamanan yang dilakukan dengan cara melakukan kegiatan penyaringan paket data yang masuk dan keluar jaringan. Sehingga untuk dapat mengelola keamanan informasi dengan baik, dibutuhkan suatu tata kelola TI. Salah satu tata kelola TI yang dimaksud adalah berupa penyusunan panduan pengelolaan keamanan informasi. Penelitian ini bertujuan untuk membuat sebuah refrensi keamanan informasi berupa panduan pengelolaan keamanan informasi untuk firewall

configuration yang mengacu pada standar PCI DSS v.3.1 dan COBIT 5 dengan

mengambil studi kasus di DSIK Universitas Airlangga.

Penyusunan panduan pengelolaan keamanan informasi untuk firewall configuration dilakukan dalam empat tahap. Tahap pertama adalah penyusunan prosedur pengelolaan keamanan informasi yang terdiri dari tahap analisis pemetaan proses, tahap penyusunan prosedur dan tahap penentuan peran dan deskripsi kerja. Pada tahap pertama ini juga dilakukan penyelarasan kebijakan

firewall. Penyelarasan ini bertujuan untuk mengetahui bahwa kebijakan umum dalam penerapan firewall telah tercakup dalam proses PCI DSS v.3.1.

Penyelarasan kebijakan dilakukan dengan memetakan kebijakan firewall yang terdapat pada SOP Firewall DEPKOMINFO dengan proses PCI DSS v.3.1. Tahap kedua adalah penyusunan panduan assessment yang meliputi tahap analisis atribut

capability level COBIT 5 dan tahap penyusunan checklist. Pada tahap ketiga dilakukan verifikasi panduan pengelolaan keamanan informasi melalui pemberian kuesioner. Verifikasi dilakukan dengan mengambil studi kasus di DSIK Universitas Airlangga dan dilakukan tanpa adanya penyesuaian atau spesifikasi terhadap DSIK Universitas Airlangga. Tahap keempat adalah tahap perbaikan panduan pengelolaan keamanan informasi. Tahap perbaikan ini dilakukan untuk memperbaiki kekurangan yang dihasilkan saat verifikasi.

Hasil penelitian ini berupa panduan dan assessment pengelolaan keamanan informasi untuk firewall configuration. Hasil verifikasi menunjukkan bahwa sebanyak 42,86% responden menyatakan panduan pengelolaan yang dibuat, secara operasional sangat mudah untuk dilaksanakan dan sebanyak 100% responden menyatakan bahwa checklist assessment yang dibuat cukup mudah untuk digunakan, dan petunjuk pengisian, perhitungan hasil serta bahasa yang digunakan pada checklist assessment jelas dan mudah untuk dipahami.

(8)

vii

Bagus Puji Santoso, 2016. Developing Information Security Management Guideline For Firewall Configuration Based on PCI DSS v.3.1 and COBIT 5 Framework. This Skripsi was under guidance of Eva Hariyanti, S.Si, M.T. and

Drs. Eto Wuryanto, DEA. S1 Information System Program Study. Faculty of Science and Technology, Universitas Airlangga.

ABSTRACT

Information security systems must be protected from all attacks and interuptions by an unauthorized user. Firewall is a mechanism that can be applied to improve the security information which done by filtering data packets that enter and exit the network. To manage good information security, needs an IT governance. IT governance that can use to make the arrangement of guidelines for the management of information security. This research aims to create a reference guide to information security such as an information security management guide for firewall configuration that refers to the framework of PCI DSS v.3.1 and COBIT 5 by taking a case study at the DSIK Universitas Airlangga.

Arrangement of guidelines for information security management for firewall configuration will be done in four stages. The first stage was the arrangement of an information security management procedures for firewall configuration which consists of mapping analysis stage process, arrangement procedure‟s stage and determining roles and job description‟s stage. In this first stage also conducted firewall policy alignment. This alignment aims to know that public policy in the implementation of the firewall has been covered in the PCI DSS v.3.1. The policy alignment conducted by mapping the firewall policy contained in SOP Firewall DEPKOMINFO with PCI DSS v.3.1 processes. The second stage was arrangement of guidelines for assessment which includes the step of analysis attribute of capability level COBIT 5 and arrangement checklist‟s stage. In the third stage was the verification of the information security management guidance using a questionnaire. Verification was done in DSIK Universitas Airlangga and conducted without adjustments or specifications to DSIK Universitas Airlangga. The fourth stage was improvement of the information security management guidance. These improvements was done to correct deficiencies that were produced when verification.

The results of this research are guidelines and assessment of information security management for firewall configuration. The verification results show that 42.86% of respondents said that management guidelines are operationally very easy to be implemented and 100% of respondents said that assessment checklist is fairly easy to use, and instructions for filling, calculation results and the language used in the assessment checklist are clear and easy to be understood.

(9)

viii

KATA PENGANTAR

Puji syukur kehadirat Allah subhanahu wa ta’ala, yang telah melimpahkan

anugerah-Nya, hingga penulis dapat menyelesaikan proposal skripsi yang berjudul

“Penyusunan Panduan Pengelolaan Keamanan Informasi Untuk Firewall

Configuration Berdasarkan Kerangka Kerja PCI DSS v.3.1 Dan COBIT 5”

dengan baik, serta Shalawat dan Salam semoga tetap terlimpahkan kepada

Rasulullah Nabi Muhammad SAW yang mengantarkan pada sebuah kehidupan

yang penuh keselamatan di dunia dan di akhirat.

Penyusunan naskah skripsi ini dibuat sebagai acuan untuk memenuhi satuan

kredit semester (SKS) yang dibebankan kepada penulis dan sekaligus sebagai

syarat untuk mencapai gelar sarjana strata satu (S1) dalam bidang Sistem

Informasi, Fakultas Sains dan Teknologi, Universitas Airlangga Surabaya.

Dalam pelaksanaan dan penyusunan skripsi ini, penulis banyak menemui

kendala. Namun, dengan adanya bantuan dari berbagai pihak, skripsi ini dapat

terselesaikan. Oleh karena itu, penulis tidak lupa mengucapkan terima kasih

kepada :

1. Allah SWT yang senantiasa memberikan segala rahmat, hidayah, dan

karuniaNya, serta Rasulullah SAW yang selalu menjadi panutan dan suri

teladan terbaik dalam kehidupan penulis sehingga penyusunan skripsi ini

dapat terselesaikan dengan baik.

2. Kedua orang tua dan keluarga yang telah memberikan dukungan penuh dalam

bentuk doa, nasihat, semangat, kasih sayang, dan motivasi hingga penyusunan

(10)

ix

3. DIKTI yang telah memberikan kesempatan menempuh jenjang pendidikan

lebih tinggi melalui beasiswa Bidik Misi.

4. Ibu Eva Hariyanti, S.Si, MT selaku dosen pembimbing I dan Bapak Drs. Eto

Wuryanto, DEA selaku dosen pembimbing II atas pengarahan, kegigihan,

serta kesabaran dalam membimbing, memberikan ilmu, pengalaman, pelajaran

berharga, dan koreksi selama penyusunan skripsi ini.

5. Bapak Rachman Sinatriya Marjianto, B. Eng, M. Sc, atas bantuan,

pengarahan, kegigihan, serta kesabaran dalam membimbing, memberikan

ilmu, pengalaman, pelajaran berharga, dan koreksi selama penyusunan skripsi

ini.

6. Bapak Indra Kharisma Raharjana, S.Kom, M.T selaku dosen penguji pertama

atas pengarahan dan koreksi selama masa revisi skripsi ini.

7. Ibu Endah Purwanti, S.Si., M.Kom selaku dosen penguji kedua dan selaku

dosen wali yang dengan sabar membimbing sejak awal masa perkuliahan

hingga skripsi ini terselesaikan.

8. Bapak Eko Supeno selaku direktur DSIK Universitas Airlangga, Bapak Musa

selaku kepala sub direktorat operasional sistem informasi DSIK Universitas

Airlangga, Bapak Meifianto selaku kepala sub direktorat pengembangan

sistem, Ibu Indri Sulistyowati selaku kepala seksi keamanan data DSIK

Universitas Airlangga, Bapak Yuniawan Heru selaku kepala seksi informatic

branding, bapak Fandy Kusjanto selaku kepala seksi integrasi program dan

pengembangan sistem DSIK Universitas Airlangga, dan bapak Andri

(11)

x

seluruh staf dan jajaran DSIK Universitas Airlangga yang telah membantu

penelitian, pengisian kuesioner dan wawancara. Trimakasih atas kerjasamanya

selama ini hingga penelitian skripsi ini dapat terselesaikan.

9. Seluruh dosen program studi Sistem Informasi yang telah banyak memberikan

ilmu dan pengalaman sejak awal masa perkuliahan hingga skripsi ini

terselesaikan.

10.Segenap staf tata usaha prodi sistem informasi yang telah memberikan

bantuan dan pelayanan yang baik selama masa perkuliahan hingga

penyusunan skripsi ini terselesaikan.

11.Keluarga besar S1 Sistem Informasi Universitas Airlangga 2012 yang telah

bekerja sama, menemani dan membantu serta memberikan dukungan selama

ini.

12.M. Ilham Nur Faizin atas bantuan, pengarahan, berbagi ilmu, pengalaman,

serta pelajaran berharga selama penyusunan skripsi ini.

13.Irfan Nur Aulia, Emilia Fitria Fahma, dan Alwan Ikdamawan Yuniarsyah

yang telah memberikan bantuan dan dukungan baik dalam perkuliahan

maupun penelitian sehingga penyusunan skripsi ini dapat terselesaikan.

14.Muhammad Fiqhi Darmawan, Yuliasti Alloysa BR Tarigan, Rindu Puspita,

Ayundha Puspadini, Muhammad Satria A dan M Sahirul Alim yang telah

menjadi saudara seperjuangan dan memberikan banyak bantuan dalam

perkuliahan, penelitian, maupun penyusunan skripsi ini.

15.Rizqi Sulistianto atas bantuan, berbagi ilmu, pengalaman, serta pelajaran

(12)

xi

16.Puspita Sari dan teman-teman KKN-BBM 52 Desa Kebun Sareh atas

dukungan dan pengalaman yang tak terlupakan yang telah diberikan.

17.Joko Irianto, Mega Merry Indrawati, Novita Priandini, Melinda Andriyanti,

Kusumaningtyas A. P, Jessica, Triyah Fatmawati, Adinda Mustika Nugraheni,

Afifah Nurrosyidah, Ni Made Ayu Karina Wiraswari, Dian Ramadhan, Hana

Mahrifah, Faricha Nurlaily Hidayati, Fitria Nur Izzatin Faza, Nazilatul

Mahbubah, Fitriana Dzulfaidah, Dian Nila Qumaya, Muhammad Iqbal dan M

Indyka Tudhi Saidi trimakasih atas bantuan dan dukungan serta kerjasamanya

selama perkuliahan.

18.Dan kepada seluruh pihak lain yang terkait yang telah memberikan bantuan

dan dukungannya.

Penulis mengharapkan kritik dan saran yang bersifat membangun demi

kesempurnaan skripsi ini. Semoga skripsi ini dapat memberikan manfaat dan

wawasan yang berguna. Amin.

Surabaya, Juni 2016

Penulis

(13)

xii

DAFTAR ISI

Halaman

HALAMAN JUDUL ... i

LEMBAR PERNYATAAN ... ii

LEMBAR PENGESAHAN NASKAH SKRIPSI ... ii

SURAT PERNYATAAN TENTANG ORISINALITAS ... iii

PEDOMAN PENGGUNAAN SKRIPSI ... v

ABSTRAK ... vi

BAB II TINJAUAN PUSTAKA ... 9

2.1 Penelitian Terdahulu ... 9

(14)

xiii

2.3 Pentingnya Tata Kelola Teknologi Informasi ... 12

2.4 Keamanan Informasi ... 13

2.5 Control Objective for Information and Related Technology (COBIT) .. 15

2.6 Payment Card Industry Data Security Standard (PCI DSS) ... 41

2.7 Hubungan PCI DSS v.3.1 dengan COBIT 5 ... 46

2.8 Proses PCI DSS v.3.1 area Firewall Configuration Requirement 1 ... 48

2.9 SOP Firewall DEPKOMINFO Republik Indonesia ... 49

2.10 Direktorat Sistem Informasi Dan Komunikasi Universitas Airlangga .. 54

BAB III METODE PENELITIAN... 57

3.1 Penyusunan Prosedur Pengelolaan Keamanan Informasi ... 57

3.2 Penyusunan Panduan Assessment ... 60

3.3 Verifikasi Panduan Pengelolaan Keamanan Informasi ... 62

3.4 Perbaikan Panduan Pengelolaan Keamanan Informasi ... 64

BAB IV HASIL DAN PEMBAHASAN ... 65

4.1 Penyusunan Prosedur Pengelolaan Keamanan Informasi ... 65

4.2 Penyusunan Panduan Assessment ... 75

4.3 Verifikasi Panduan Pengelolaan Keamanan Informasi ... 86

4.4 Perbaikan Panduan Pengelolaan Keamanan Informasi ... 89

BAB V SIMPULAN DAN SARAN ... 92

5.1 Simpulan ... 92

5.2 Saran ... 94

DAFTAR PUSTAKA

(15)

xiv

DAFTAR GAMBAR

Nomor Judul Gambar Halaman 2.1 Hubungan antara Enterprise Governance, Corporate Governance, dan IT

Governance ... 10

2.2 COBIT 5 Principles ... 16

2.3 Alur tujuan dalam COBIT 5 ... 18

2.4 Peranan, Aktivitas, dan Hubungan Tata Kelola Dan Manajemen ... 22

2.5 Integrasi Standar Kerangka Kerja Lain Dalam COBIT 5 ... 23

2.6 Tujuh Kategori Enabler dalam COBIT 5 ... 25

2.7 Area Kunci Tata Kelola dan Manajemen dalam COBIT 5... 27

2.8 COBIT 5 Process Refesrence Model ... 27

2.9 Model Kematangan Proses dalam COBIT 4.1 ... 29

2.10 Model Kapabilitas Proses dalam COBIT 5 ... 30

2.11 Gambaran Dari Process Assessment Model ... 33

2.12 Persyaratan PCI DSS v.3.1 ... 42

2.13 PCI Security Standards Lifecycle ... 43

2.14 Struktur Organisasi DSIK Universitas Airlangga ... 56

(16)

xv

DAFTAR TABEL

Nomor Judul Tabel Halaman

2.1 Enterprise Goals dalam COBIT 5 ... 19

2.2 IT- Related Goals dalam COBIT 5 ... 19

2.3 Level Kapabilitas dan Atribut Proses ... 33

2.4 Contoh RACI chart COBIT 5... 35

2.5 Pemetaan COBIT 5 dengan PCI DSS v.3.1 ... 47

2.6 Deskripsi Kerja Pada Fungsional Struktur Organisasi DSIK Universitas Airlangga ... 55

3.1 RACI chart KMP COBIT 5 ... 63

3.2 Pemetaan RACI Chart Dengan Struktur Organisasi DSIK Universitas Airlangga ... 64

4.1 Hasil Penyelarasan Kebijakan Firewall ... 67

4.2 Hasil Pemetaan Proses PCI DSS v.3.1 dan KMP COBIT 5 ... 69

4.3 Hasil Pengkombinasian Aktivitas PCI DSS v.3.1 dengan KMP COBIT 5.. 72

4.4 Daftar keterkaitan GWPs dengan kriteria atribut capability level didasarkan pada related GP ... 78

4.5 Analisis GP Yang Tidak Memiliki Keterkaitan Dengan Kriteria Pencapaian Atribut Capability Level ... 80

4.6 Hasil Rekapitulasi Jawaban Kuesioner Penilaian ... 88

(17)

xvi

DAFTAR LAMPIRAN

Nomor Judul Lampiran

1. Daftar Proses dan Aktivitas PCI DSS v.3.1 dan KMP COBIT 5.

2. Pemetaan Aktivitas PCI DSS v.3.1 dan KMP COBIT 5 Dalam Lima

Pendekatan Pengelolaan Firewall DEPKOMINFO.

3. Pemetaan Aktivitas PCI DSS v.3.1 dan KMP COBIT 5 Terhadap Item – Item

Pernyataan Yang Digunakan Dalam Menyusun Langkah Kerja Pengelolaan

Firewall.

4. Daftar Alternatif Peran Dalam RACI Chart COBIT 5 Untuk Menentukan

Peran dan Deskripsi Kerja.

5. Daftar Atribut Capability Level COBIT 5.

6. Daftar Work Product Yang Dihasilkan Dalam Panduan Pengelolaan

Keamanan Informasi Untuk Firewall.

7. Pemetaan Work Product Pada Kriteria Atribut Capability Level COBIT 5.

8. Pemetaan Keterkaitan Langkah Kerja Panduan dengan GP Yang Telah

Diselaraskan Dengan Kriteria Atribut Capability Level COBIT 5.

9. Pemetaan Work Product dan Aktivitas Panduan Pengelolaan Keamanan

Informasi Untuk Firewall Configuration Pada Item – Item Pertanyaan

Capability Level COBIT 5.

10.Kuesioner Verifikasi Pedoman Prosedur dan Assessment Pengelolaan

Keamanan Informasi Untuk Firewall Configuration.

11.Rekapitulasi Kuesioner Penilaian Panduan Pengelolaan Keamanan Informasi

(18)

xvii

DAFTAR LAMPIRAN

Nomor Judul Lampiran

12.Perbaikan Langkah Kerja Panduan Pengelolaan Keamanan Informasi.

13.Pemetaan RACI Chart COBIT 5 Dengan Struktur Organisasi DSIK

Universitas Airlangga.

14.Dokumen Pedoman Prosedur Pengelolaan Keamanan Informasi Untuk

Firewall Configuration

15.Dokumen Assesment Pengelolaan Keamanan Informasi Untuk Firewall

Configuration