DASHBOARD INFORMATION SYSTEM MENGGUNAKAN PENDEKATAN OCTAVE

DAN ISO 27001 UNTUK MENGUKUR INDEKS KEAMANAN INFORMASI PADA

INSTITUSI PENDIDIKAN TINGGI

1_{Sajadin Sembiring, Muhammad Galih Rivai} 3_{Zulkifli, M.Kom} Fakultas Ilmu Komputer dan Teknologi Informasi

Universitas Sumatera Utara

Teknik Informatika STTH Medan, 3_{Universitas Al-Muslim Bireuen}

E-mail: MuhammadGalihRivai@students.usu.ac.id | sajadinsembiring@gmail.com| Zulladasicupak@gmail.com

ABSTRAK

Informasi merupakan aset yang berharga bagi setiap organisasi karena merupakan salah satu sumber daya strategis dalam meningkatkan nilai usaha dan kepercayaan publik. Perlindungan terhadap informasi merupakan hal yang mutlak harus diperhatikan secara sungguh-sungguh oleh segenap jajaran pemilik, manajemen dan karyawan organisasi yang bersangkutan.Pemantauan dan pengukuran indeks keamanan informasi pada sebuah perguruan tinggi masih sangat jarang dilakukan dan kurang mendapat perhatian. Penelitian ini dilakukan untuk memberikan suatu tools yang dapat digunakan oleh perguruan tinggi dalam usaha untuk memantau dan mengukur tingkat kesiapan perguruan tinggi tersebut dalam hal pengelolaan keamanan informasi. Penelitian ini menggunakan pendekatan dengan metode OCTAVE berbasis ISO 27001 yang merupakan standar internasional dalam pengukuran tingkat keamanan informasi sebuah organisasi yang menggunakan 6 variabel yaitu peran dan tingkat kepentingan TIK, tata kelola keamanan informasi, pengelolaan resiko keamanan informasi, kerangka kerja keamanan informasi, pengelolaan asset informasi dan teknologi keamanan informasi. Studi kasus dalam penelitian ini dilakukan pada Universitas AlMuslim Bireun dan hasil pengujian menyatakan bahwa tingkat kesiapan universitas ini masih berada pada wilayah “Kerangka Kerja Dasar”.

Kata kunci :Dashboard Information System, keamanan informasi, Institusi pendidikan tinggi, OCTAVE, ISO 27001

I. PENDAHULUAN

Informasi merupakan aset yang penting bagi suatu organisasi yang perlu dilindungi dari resiko keamanannya baik dari pihak luar ataupun dari dalam organisasi.Institusi Pendidikan Tinggi merupakan organisasi yang memiliki berbagai jenis informasi penting dan bersifat rahasia atau informasi yang mesti dijaga keasliannya. Misalnya informasi tentang proses akademik mahasiswa, pengelolaan aset perguruan tinggi, keuangan, informasi penelitian, pengabdian masyarakat, beasiswa, kealumnian, dan lain sebagainya [1].

Akan tetapi hingga saat ini belum banyak institusi pendidikan tinggi yang memberikan perhatian dalam hal pengamanan informasinya, sehingga tingkat keamanan informasi pada institusi perguruan tinggi tersebut sangat rendah yang berakibat seringnya terjadi penyalahgunaan informasi bahkan kerusakan yang dapat berakibat fatal. Keamanan informasi tidak cukup hanya disandarkan pada kehandalan tools atau teknologi keamanan informasi yang digunakan, tetapi juga diperlukan pemahaman yang baik oleh organisasi tentang apa yang harus dilindungi dan bagaimana menentukan secara tepat solusi yang dapat menangani permasalahan kebutuhan keamanan informasi [2].

Untuk itu dibutuhkan manajemen keamanan informasi yang sistemik dan komprehensif.Salah satu penelitian yang pernah dilakukan sebelumnya adalah Pengukuran Resiko Teknologi Informasi (TI) dengan Metode OCTAVE-S. Pada penelitian tersebut, yaitu

membangun aset berbasis profil ancaman, mengidentifikasi kerentanan infrastruktur serta mengembangkan strategi keamanan dan perencanaan. Hasil dari pengukuran tersebut berupa informasi dalam bentuk tulisan atau teks yang berisi saran dari kekurangan perusahaan tersebut [3].

Dalam penelitian ini akan dilakukan pengukuran indeks keamanan informasi dan tingkat kesiapan suatu institusi perguruan tinggi dalam menghadapi ancaman terhadap keamanan informasinya menggunakan metode OCTAVE berbasis ISO 27001.

Metode OCTAVE adalah sebuah pendekatan terhadap evaluasi resiko keamanan informasi yang komprehensif, sistemik, terarah dan dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen dari evaluasi resiko keamanan informasi. Kriteria OCTAVE memerlukan evaluasi yang yang dilakukan oleh tim yang terdiri dari personil teknologi informasi dan bisnis organisasi. Anggota tim membuat keputusan berdasarkan resiko terhadap aset informasi organisasi yang memerlukan katalog informasi untuk mengukur praktek organisasi, menganalisa ancaman, dan membangun strategi proteksi [2].

institusi tersebut telah memiliki sistem keamanan informasi yang handal.Berdasarkan uraian pada latar belakang, permasalahan penelitian ini dirumuskan sebagai berikut yaitu diperlukan suatu pendekatan yang relatif mudah dan sederhana untuk mengukur tingkat kesiapan institusi pendidikan tinggi terhadap ancaman keamanan informasinya. Penelitian terdahulu yang berkaitan dengan pengukuran indeks keamanan informasi pada institusi perguruan tinggi antara lain adalah penerapan indeks keamanan informasi berbasis ISO 27001 untuk mengukur tingkat kesiapan pengamanan informasi pada institusi pendidikan tinggi. [1]. Penelitian selanjutnya adalah pengukuran teknologi informasi (TI) dengan metode OCTAVE-S dengan hasil pengukuran berupa informasi dalam bentuk tulisan atau teks yang berisi saran dari kekurangan perusahaan tersebut [3]. Penelitian selanjutnyabahwa manajemen resiko keamanan informasi dengan menggunakan metode OCTAVE [2]. Penelitian selanjutnya adalah evaluasi keamanan informasi menggunakan indeks keamanan informasi berdasarkan SNI ISO/IEC 27001:2009 [5].

IIMETODOLOGI PENELITIAN

A. Arsitektur Umum

Metode penelitian yang digunakan dalam penelitian ini terdiri dari beberapa tahap, yaitu menjawab pertanyaan kuesioner yang berdasarkan hasil dari penelitian ke Universitas Al-Muslim. Pertanyaan kuesioner terbagi 6 bagian, dimana setiap bagiannya terdapat beberapa pertanyaan yang berkaitan dengan aspek-aspek yang akan dievaluasi.Setelah menjawab semua pertanyan dari ke 6 bagian tersebut, maka akan dihasilkan output berupa dashboard, skor, tingkat kematangan dan keterangan kelayakan sertifikasi.Adapun arsitektur umum yang menggambarkan tahapan metode yang digunakan dalam penelitian ini dapat dilihat pada Gambar 1.

Gambar 1. Arsitektur Umum

Data yang digunakan pada penelitian ini berupa kuesioner yang berdasarkan Indeks Keamanan Informasi (KAMI) yang mengevaluasi kelengkapan dan kematangan pengamanan informasi untuk 6 area yang sesuai dengan ISO 27001 tentang Information Security ManagementSystem (ISMS).Data dikumpulkan berdasarkan hasil penelitian pada Universitas Almuslim di kabupatenBireun Provinsi Aceh, dengan cara membagikan kuesioner tersebut ke bagian yang sesuai dengan pertanyaan pada kategori kuesioner tersebut. Jawaban kuesioner tersebut yang akan di input kedalam aplikasi sistem pengukuran tingkat keamanan informasi.Data dikumpulkan berdasarkan hasil penelitian pada Universitas Almuslim di kabupaten Bireun Provinsi Aceh, dengan cara membagikan kuesioner tersebut ke bagian

yang sesuai dengan pertanyaan pada kategori kuesioner tersebut. Jawaban kuesioner tersebut yang akan di input kedalam aplikasi sistem pengukuran tingkat keamanan informasi.

B. Proses Kerja Sistem 1. Proses Buat Akun

User membuat akun terlebih dahulu, mengisi identitas user (responden) pada kolom-kolom yang terapat pada halaman sign up.

Gambar 2. Proses Buat Akun

2. Proses Sistem

Langkah selanjutnya user melakukan login dengan menggunakan akun yang telah dibuat sebelumnya. Jika telah melakukan login maka user bisa menjawab pertanyaan-pertanyaan yang terdapat pada halaman forms yang terdiri dari 6 bagian.

Gambar 3. Proses Sistem

3. Proses Perhitungan Skor

Gambar 3. Proses Perhitungan Skor Contoh pertanyaan pada bagian 1 dapat dilihat pada tabel 1

Tabel 1. Contoh perhitungan skor bagian 1 peran dan tingkat kepentingan TIK dalam instansi

N O

Karakteristik instansi status sko r

1 Total anggaran tahunan yang dialokasikan untuk TIK Kurang dari Rp. 1 Milyard = Minim

Rp. 1 Milyard sampai dengan Rp. 3 Milyard = Rendah

Rp. 3 Milyard sampai dengan Rp 8 Milyard = Sedang

Rp. 8 Milyard sampai dengan Rp. 20 Milyard = Tinggi

Rp. 20 Milyard atau lebih = Kritis

Minim 0

2 Jumlah staff/pengguna dalam Instansi yang menggunakan infrastruktur TIK

Kurang dari 60= Minim

60 sampai dengan 120 = Rendah 120 sampai dengan 240 = Sedang 240 sampai dengan 600 = Tinggi 600 atau lebih = Kritis

Renda h

1

3 Tingkat ketergantungan terhadap

layanan TIK untuk menjalankan Sedang 2

Tugas Pokok dan Fungsi Instansi anda

4 Nilai kekayaan intelektual yang dimiliki dan dihasilkan oleh Instansi anda

Tinggi 3

… … … …

12 Tingkat klasifikasi/kekritisan sistem TIK di Instansi anda, relatif terhadap ancaman upaya

kepentingan TIK dalam instansi =

1+1+2+2+1+2+1+2+3+2+3+2 = 22.

2. Bagian 2 tata kelola keamanan informasi

Bagian ini terdapat 3 tahap pertanyaan. Pertanyaan tahap pertama memiliki 4 pilihan jawaban, yaitu tidak dilakukan bernilai 0, dalam perencanaan bernilai 1, dalam penerapan bernilai 2 dan diterapkan menyeluruh bernilai 3. Pertanyaan tahap kedua memiliki 4 pilihan jawaban, yaitu tidak dilakukan bernilai 0, dalam perencanaan bernilai 2, dalam penerapan bernilai 4 dan diterapkan menyeleruh bernilai 6. Pertanyaan tahap ketiga bersifat opsional karena apabila jumlah skor pertanyaan tahap pertama dan tahap kedua tidak mencukupi batas minimum yang telah ditentukan.Pertanyaan tahap ketiga memiliki 4 pilihan jawaban, yaitu tidak dilakukan bernilai 0, dalam perencanaan bernilai 3, dalam penerapan bernilai 6, diterapkan menyeluruh bernilai 9.

Tabel 2. Contoh perhitungan skor bagian 2 tata kelola keamanan informasi

N o

Tahap Pertanyaan Jawaban sko r

2 I Apakah Instansi anda memiliki fungsi atau

menerapkan program 9 II Apakah Instansi anda

menerapkan program

14 II Apakah kondisi dan permasalahan

16 III Apakah Instansi anda sudah mendefinisikan

20 III Apakah Instansi anda sudah mendefinisikan pertanyaan. Contoh skor tata kelola keamanan informasi = 2+3+2+2+2+2+2+2+4+4+4+4+3+4+(3+3+3+3+3+3)* ₌

40 (58). Tanda * _{bersifat opsional apabila jumlah skor}

jawaban pertanyaan tahap 1 dan 2 sama dengan atau lebih dari 40.

3. Perhitungan tingkat kematangan

Cara mendapatkan nilai kematangan ditentukan dari kategori tahap penerapan yang terkait.Setiap bagian pertanyaan memiliki kategori tahap penerapan yang berbeda. Cara mendapatkan nilai kematangan ditentukan dari proses penjumlahan skor pertanyaan berdasarkan kategori penerapan dimulai dari kategori yang paling besar.

Pada kategori kematangan V dapat menghasilkan nilai 9(V) atau 8(IV+) apabila nilainya sesuai dengan skor pencapaian tingkat kematangan atau skor minimum tingkat kematangan. Apabila tidak memenuhi skor pencapaian tingkat kematangan V atau skor minimum tingkat kematangan V maka sistem akan mencari nilai kematangan dari nilai kematangan IV.

Pada kategori kematangan IV dapat menghasilkan nilai 7(IV) atau 6(III+) apabila nilainya sesuai dengan skor pencapaian tingkat kematangan atau skor minimum tingkat kematangan. Apabila tidak memenuhi skor pencapaian tingkat kematangan IV atau skor minimum tingkat kematangan IV maka sistem akan mencari nilai kematangan dari nilai kematangan III

Pada kategori kematangan III dapat menghasilkan nilai 5(III) atau 4(II+) apabila nilainya sesuai dengan skor pencapaian tingkat kematangan atau skor minimum tingkat kematangan. Apabila tidak memenuhi skor pencapaian tingkat kematangan III atau skor minimum tingkat kematangan III maka sistem akan mencari nilai kematangan dari nilai kematangan II.

Pada kategori kematangan II dapat menghasilkan nilai 3(II) atau 2(I+) apabila nilainya sesuai dengan skor pencapaian tingkat kematangan atau skor minimum tingkat kematangan. Apabila tidak memenuhi skor pencapaian tingkat kematangan II atau skor minimum tingkat kematangan II maka nilai kematangannya I.

III. HASIL DAN PEMBAHASAN

Halaman ini digunakan untuk mendapatkan user ID dan password agar pengguna tersebut dapat menggunakan sistem secara keseluruhan.User ID yang telah diisi pada halaman sign in akan menjadi profil pengguna. Pada halaman ini terdapat tombol ”daftar” untuk membuat akun bagi pengguna baru setelah mengisi seluruh data pada kolom-kolom yang telah tersedia pada halaman sign up. Tombol “kembali” untuk membatalkan pendaftaran dan akan kembali ke halaman login. Halaman ini dapat dilihat pada Gambar 4.

Gambar 4. Halaman sign in

2. Halaman login

Halaman ini digunakan pengguna untuk masuk ke dalam sistem dengan menggunakan username yang telah diperoleh sebelumnya pada saat melakukan pendaftaran akun.Tombol “login” berguna untuk masuk kehalaman beranda setelah username pengguna dan password dimasukkan dengan benar.Tombol “Buat akun” digunakan oleh pengguna baru untuk memperoleh username dan password.Halaman login dapat dilihat pada Gambar 5.

Gambar 5. Halaman login

3. Halaman beranda

Halaman ini akan menampilkan identitas dari pengguna yang telah di isi pada saat membuat akun. Pada halaman in terdapat dua tombol yang terletak pada sebelah kiri layar pengguna. Tombol “forms” untuk menuju ke halaman kuesioner jika pengguna ingin melakukan pengukuran dengan mengisi semua jawaban kuesioner yang telah disediakan. Tombol “log out” untuk menuju ke halaman login jika pengguna ingin keluar dari sistem. Kemudian terdapat pula link ”Disini!” link tersebut menyediakan sedikit informasi tentang keamanan informasi. Halaman beranda dapat dilihat pada Gambar 6.

Gambar 7. Halaman beranda

4. Halaman form pertanyaan

Setiap bagian memiliki beberapa pertanyaan yang mengevaluasi berdasarkan bagian tersebut. Halaman form terdapat 6 halaman yang setiap halamannya terdiri dari 1 bagian form kuesioner. Form-form tersebut adalah sebagai berikut:

a. Bagian 1 peran dan tingkat kepentingan TIK dalam instansi

Gambar 8. Halaman bagian 1 peran dan tingkat kepentingan TIK dalam instansi

b. Tata kelola keamanan informasi

c. Pengelolaan resiko keamanan informasi

Gambar 10. Halaman bagian 3 pengelolaan resiko keamanan informasi

d. Kerangka kerja keamanan informasi

Gambar 11. Halaman bagian 4 kerangka kerja keamanan informasi

e. Pengelolaan aset informasi

Gambar 11. Halaman bagian 5 pengelolaan aset informasi

f. Teknologi dan keamanan informasi

Gambar 12. Halaman bagian 6 teknologi dan keamanan informasi

5. Halaman dashboard

Gambar 13.Halaman dashboard

Pada grafik dashboard terdapat 4 warna yang memiliki makna seperti berikut :

1. Warna hijau pertama bagian sisi luar merupakan kepatuhan dari standar ISO 27001, jika suatu pengukuran tingkat kematangan institusi pendidikan tinggi terhadap informasi telah menerapkan atau telah mengikuti syarat-syarat standar keamanan informasi.

3. Warna hijau yang ketiga merupakan kerangka kerja dasar, dimana pada tingkatan ini pengukuran tingkat kematangan institusi pendidikan tinggi terhadap informasi masih berada pada wilayah kerangka kerja dasar, dimana pada tingkatan ini memberikan gambaran untuk dapat membuat perencanaann perbaikan. 4. Warna merah merupakan responden. Responden

adalah hasil dari input yang dilakukan oleh user saat menjawab pertanyaan kuesioner.

Berdasarkan Gambar 4.10 dapat dilihat bahwa hasil responden pada pengukuran tingkat kematangan Universitas Almuslim terhadap pengamanan informasi masih berada pada wilayah “kerangka kerja dasar”.Hasil ini dapat memberikan gambaran kepada pihak Universitas Almuslim sebagai bahan evaluasi diri untuk dapat membuat perencanaan untuk perbaikan, sehingga secara bertahap diharapkan dapat memenuhi standar ISO 27001.

B. Analisis Hasil Pengujian Sistem

Tabel 3 Tabel analisis hasil skor

Tingka

Berdasarkan Tabel 3 dapat kita lihat skor yang diperoleh dari menjawab pertanyaan-pertanyaan setiap bagiannya. Tingkat kepentingan TIK mendapatkan 19 point, tata kelola 37 point, pengelolaan resiko 12 point, kerangka kerja 33 point, pengelolaan aset 55 point dan teknologi keamanan informasi 44 point, maka total nilai yang

Gambar 14. Grafik perbandingan

Berdasarkan Gambar 14 dapat kita lihat grafik yang dasar.Maka berdasarkan penelitian ini sistem manajemen informasi Universitas Almuslim harus melakukan perbaikan.

VI. KESIMPULAN DAN SARAN

A. Kesimpulan

Berdasarkan pengujian dan analisis sistem secara menyeluruh yang dilakukan pada bab-bab sebelumnya, maka dapat disimpulkan beberapa hal sebagai hasil dari penelitian ini, antara lain:

1. Hasil penelitian ini menjelaskan bahwa tingkat ketergantungan terhadap IT masuk dalam kategori sedang. Sedangkan untuk tingkat keamanan mendapatkan skor total 181 atau masih berada pada wilayah “kerangka kerja dasar”. Hasil skor ini masuk dalam kategori perlu perbaikan untuk mendapatkan standar ISO 27001.

2. Hasil penelitian ini dapat digunakan sebagai tools (self assessment) bagi institusi perguruan tinggi untuk melihat tingkat kematangan dan kesiapan institusi perguruan tinggi dalam proses ISO 27001 tentang keamanan informasi.

3. Dashboard sistem dalam penelitian ini merupakan representasi visual hasil pengukuran indeks KAMI institusi perguruan tinggi berdasarkan skor yang diperoleh saat ini.

B. Saran

Sistem ini dapat dikembangkan dengan mengintegrasikan ke-6 aspek pengukuran secara online sehingga kesiapan atau kematangan institusi dapat dilihat secara realtime.

[1] Sembiring, S. & Lubis, S.A. 2014. Penerapan Indeks Keamanan Informasi Berbasis ISO 27001 Untuk Mengukur Tingkat Pengamanan Informasi Pada Institusi Pendidikan Tinggi.Proceeding SNASTIKOM 2014,1-5.

[2] Supradono, B. 2009.Manajemen Risiko Keamanan dengan Menggunakan Metode OCTAVE(Operationally Critical Threat, Asset and Vulnerability Evaluation). Teknik Elektro Fakultas Teknik, Universitas Muhammadiyah Semarang.

[3] Gui, A., Gondodiyoto, S. &Timotius,I. 2008. Pengukuran Resiko Teknologi Informasi (TI) Dengan Metode OCTAVE-S. Jurusan Komputerisasi Akuntansi, Fakultas Ilmu Komputer. Universitas Bina Nusantara.

[4] Few, S. 2005. Common PITFALLS in Dashboard Design.Proclarity, 2-4.