III-1 BAB III

OBYEK DAN METODE PENELITIAN

3.1 Profil Unit Kerja

Profil unit kerja yang berisikan Sejarah, Struktur Organisasi dan Tugas Pokok dan Fungsi pada Dinas Komunikasi dan Infomatika sebagai berikut.

3.1.1 Sejarah

Dinas Komunikasi dan Informatika Kabupaten Subang merupakan suatu bagian dari pemerintahan daerah tepatnya pemerintah Kabupaten Subang yang mana tercatat dalam undang undang.

1. Undang-Undang Nomor 14 Tahun 1950 tentang Pembentukan Daerah Daerah Kabupaten Dalam Lingkungan Propinsi Djawa Barat, sebagaimana telah diubah dengan Undang-Undang Nomor 4 Tahun 1968, tentang Pembentukan Kabupaten Purwakarta dan Kabupaten Subang, dengan Mengubah Undang-Undang Nomor 14 Tahun 1950 tentang Pembentukan Daerah-Daerah Dalam Lingkungan Propinsi Djawa Barat ;

2. Undang-undang Nomor 5 Tahun 2014 tentang Aparatur Sipil Negara;

3. Undang-Undang Nomor 23 Tahun 2014 tentang Pemerintahan Daerah;

4. Peraturan Pemerintah Nomor 18 Tahun 2016 tentang Perangkat Daerah;

5. Peraturan Daerah Kabupaten Subang Nomor 7Tahun 2016tentang Pembentukan dan Susunan Perangkat Daerah Kabupaten Subang;

6. Peraturan Bupati Subang Nomor 32 Tahun 2016, tentang Susunan Organisasi Perangkat Daerah Dinas.

3.1.2 Struktur Organisasi

Struktur organisasi adalah suatu susunan dan hubungan antara tiap bagian serta posisi yang ada pada suatu organisasi atau perusahaan dalam menjalankan kegiatan operasional untuk mencapai suatu tujuan. Berikut adalah struktur organisasi yang ada bidang Teknologi Informasi di Dinas Komunikasi dan Informatika Subang.

Gambar 3. 1 Struktur Organisasi Sumber: Diskominfo

3.1.3 Deskripsi Tugas dan Fungsi

Tugas Pokok dan Fungsi dari masing-masing bagian adalah sebagai berikut.

1. Kepala Dinas

Kepala Dinas mempunyai tugas pokok merencanakan mengorganisir, melaksanakan, mengendalikan serta melaporkan kegiatan dalam melaksanakan sebagian urusan Pemerintahan dibidang Komunikasi dan Informatika serta tugas pembantuan yang di tugaskan Bupati. Untuk menyelenggarakan tugas pokok, Kepala dinas mempunyai fungsi:

b. Perumusan, penetapan kebijakan teknis dibidang Komunikasi dan Informatika

c. Penyelenggaraan kebijakan teknis dibidang Komunikasi dan Informatika.

d. Penyelenggaraan fasilitasi dan pengendalian tugas-tugas dibidang Komunikasi dan Informatika.

e. Penyelenggaraan koordinasi dan kerjasama dalam rangka tugas pokok dan fungsi Dinas.

f. Pembinaan pelaksanaan kegiatan lingkup dinas Komunikasi dan Informatika.

g. Penyampaian telaahan staf sebagai bahan pertimbangan pengambilan kebijakan Kepala Daerah

2. Kasi Infrastruktur dan Teknologi

Mempunyai tugas pokok melaksanakan penyiapan bahan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur dan kriteria, dan pemberian bimbingan teknis dan supervisi, serta pemantauan, evaluasi, dan pelaporan terkait fungsi fungsi layanan infrastruktur dasar data center, disaster recovery center dan teknologi informasi dan komunikasi serta fungsi layanan pengembangan intranet dan penggunaan akses internet di Kabupaten Subang. Kasi Infrastruktur dan Teknologi mempunyai fungsi:

a. Penyusunan rencana kegiatan Seksi Infrastruktur dan Teknologi;

b. Penyelenggaraan layanan pengembangan dan penyelenggaraan data center dan disaster discovery center;

c. Penyelenggaraan layanan pengembangan dan inovasi teknologi informasi dan komunikasi dalam implementasi sistem pemerintahan berbasis elektronik;

d. Penyelenggaraan layanan peningkatan kapasitas sumber daya manusia, dalam pengelolaan infrastruktur dan teknologi infrastruktur;

e. Penyelenggaraan Government Cloud Computing;

f. Penyelenggaraan layanan pengelolaan akses internet pemerintah dan publik;

g. Penyelenggaraan layanan filtering konten negatif;

h. Penyelenggaraan layanan interkoneksi jaringan intra pemerintah;

i. Pelaksanaan pemantauan dan evaluasi kegiatan Seksi Infrastruktur dan Teknologi;

j. Penyusunan laporan hasil pelaksanaan kegiatan Seksi Infrastruktur dan Teknologi;

k. Pelaksanaan fungsi lain yang diberikan oleh atasan.

3. Kasi Persandian

Mempunyai tugas melaksanakan tugas penyiapan bahan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur dan kriteria, dan pemberian bimbingan teknis dan supervisi, serta pemantauan, evaluasi dan pelaporan terkait fungsi persandian. Kasi persandian mempunyai fungsi:

a. Penyusunan rencana kegiatan Seksi Persandian;

b. Pelaksanaan penyusunan bahan kebijakan teknis bidang persandian;

c. Pelaksanaan pengelolaan informasi berklasifikasi;

d. Pelaksanaan pengelolaan sertifikat elektronik;

e. Pelaksanaan perancangan pola dan koordinasi pelaksanaan hubungan komunikasi sandi antar perangkat daerah;

f. Pelaksanaan pemantauan materiil sandi, aplikasi sandi, fasilitas layanan persandian dan pengadaan, penyimpanan, distribusi serta pemusnahan perangkat lunak dan keras;

g. Pelaksanaan inventarisasi aset persandian, penilaian mandiri persandian dan indeks kepuasan persandian:

h. Pelaksanaan layanan jamming ;

i. Pelaksanaan peningkatan kesadaran pengamanan informasi di lingkungan pemerintah daerah melalui program pendidikan, pelatihan, fasilitasi, asistensi, bimbingan teknis, workshop dan/atau seminar;

j. Pelaksanaan pengembangan kompetensi sumber daya manusia sandi melalui program pendidikan, pelatihan, fasilitasi, asistensi, bimbingan teknis, workshop dan/atau seminar;

k. Pelaksanaan pengamanan terhadap kegiatan/aset/fasilitas/instalasi penting/vital/ kritis melalui kontra penginderaan dan/atau metode pengamanan persandian lainnya;

l. Pelaksanaan tindak lanjut Laporan Hasil Pemeriksaan Urusan Persandian;

m. Pelaksanaan pemantauan dan evaluasi kegiatan Seksi Persandian;

n. Penyusunan laporan hasil pelaksanaan kegiatan Seksi Persandian ; o. Pelaksanaan fungsi lain yang diberikan oleh atasan.

4. Seksi Keamanan Informasi mempunyai tugas pokok melaksanakan penyiapan bahan perumusan dan pelaksanaan kebijakan, penyusunan norma, standar, prosedur dan kriteria, dan pemberian bimbingan teknis dan supervisi, serta pemantauan, evaluasi, dan pelaporan terkait fungsi layanan keamanan informasi. Kasi Keamanan Informasi mempunyai fungsi :

a. Penyusunan rencana kegiatan Seksi Keamanan Informasi;

b. Pelaksanaan penyusunan bahan kebijakan teknis dibidang keamanan informasi;

c. Pengelolaan sistem manajemen keamanan informasi;

d. Pelaksanaan sertifikasi keamanan informasi;

e. Pelaksanaan penilaian mandiri keamanan informasi;

f. Pelaksanaan pengelolaan Security Operations Center;

g. Pengelolaan insiden kemanan informasi;

h. Penyelenggaraan layanan monitoring trafik elektronik;

i. Pelaksanaan pengamanan Teknologi Informasi dan Komunikasi Pemerintah;

j. Pelaksanaan kebijakan manajemen risiko;

k. Pelaksanaan audit teknologi informasi dan komunikasi;

l. Penyelenggaraan internet sehat, kreatif, dan produktif;

m. Pelaksanaan layanan peningkatan kapasitas Sumber Daya Manusia di bidang keamanan informasi;

n. Pelaksanaan layanan pemulihan data atau sistem jika terjadi gangguan operasional keamanan informasi;

o. Pelaksanaan rekomendasi pendampingan serta bantuan teknis pengembangan kemanan informasi;

p. Pelaksanaan pemantauan dan evaluasi kegiatan Seksi Keamanan Informasi;

q. Penyusunan laporan hasil pelaksanaan kegiatan Seksi Keamanan Informasi;

r. Pelaksanaan fungsi lain yang diberikan oleh atasan.

3.2 Analisis Prosedur Bisnis yang berjalan

Berikut merupakan uraian prosedur penyelenggaraan layanan keamanan informasi pada Diskominfo:

1. Pemohon mengisi dan menyerahkan surat permohonan dan atau formulir uji penetrasi pada Diskominfo

2. Kepala Diskominfo menerima dan mendisposisi form permohonan layanan uji penetrasi ke Kepala Bidang TIK, dan Persandian

3. Kepala Bidang TIK, dan Persandian menerima disposisi beserta berkas permohonan dan memerintahkan Kepala Seksi Keamanan Informasi untuk memproses permohonan uji penetrasi

4. Seksi Keamanan Informasi melakukan verifikasi kelengkapan berkas permohonan, dan jika belum lengkap maka berkas akan dikembalikan kepada pemohon untuk diperbaiki

5. Berkas permohonan yang lengkap diproses untuk dibuatkan jadwal pelaksanaannya serta disiapkan personel yang akan melaksanakan uji penetrasi.

Kepain Seksi Keamanan Informasi menandatangani surat perintah pelaksanaan uji penetrasi

6. Personel teknis yang ditunjuk mempelajari berkas permohonan dan berkordinasi dengan pemohon untuk melakukan identifikasi awal terkait sistem elektronik yang akan diuji serta pembuatan perjanjian kerahasiaan

7. Personel teknis melaksanakan kegiatan uji penetrasi menggunakan tools uji penetrasi dengan dukungan data identifikasi awal sistem elektronik yang akan diuji

8. Personel teknis membuat laporan hasil uji penetrasi yang antara lain berisi hasil temuan kerawanan sistem elektronik beserta rekomendasi perbaikannya.

Selanjutnya laporan hasil uji penetrasi diberikan kepada pemohon untuk diperiksa dan dilakukan perbaikan terhadap kerawanan yang ditemukan

9. Personel teknis membuat laporan kegiatan pelaksanaan uji penetrasi disetujui oleh Kepala Seksi Keamanan Informasi, yang selanjutnya diberikan kepada Kepala Bidang TIK dan Persandian serta Kepala Diskominfo. Semua berkas laporan dibuat salinannya untuk disimpan pada arsip Seksi Keamanan Informasi.

Gambar 3. 2

Proses Bisnis yang berjalan

Sumber: Hasil wawancara dengan Kasi Keamanan Informasi

3.3 Pemetaan COBIT 2019

Penentuan fokus domain dilakukan berdasarkan aktivitas Cascading Goals yaitu aktivitas memetakan tujuan umum organisasi menjadi lebih spesifik. Keempat tahapan dalam COBIT 2019 Goals Cascade adalah sebagai berikut.

1. Penentuan Pemangku kepentingan dan Kebutuhan (Stakeholder and Needs)

Berdasarkan hasil identifikasi dan wawancara dengan kebutuhan pemangku kepentingan yaitu:

a. Organisasi mengevaluasi kualitas pengelolaan keamanan informasi untuk memastikan teknologi informasi yang diterapkan benar-benar aman

b. Tercapainya Pengelolaan Informasi dan Komunikasi yang informatif c. Memonitor system manajemen keamanan informasi.

2. Pemetaan Enterprise Goals dan Alignment Goals

Tahap identifikasi tujuan bisnis dilakukan dengan menyelaraskan yang telah diperoleh dengan tujuan bisnis yang terdaftar pada panduan COBIT 2019. Berdasarkan hasil pemetaan dan penyelarasan dengan tujuan organisasi terdapat dua pemetaan yaitu enterprise goals dan Alignment Goals. Pada G dibawah. Setiap Enterprise Goals memiliki kodifikasi EG nomor sedangkan kode AG mewakili penomoran dari Alignment Goals.

Mapping Enterprise Goals and Alignment Goals

EG01 EG02 EG03 EG04 EG05 EG06 EG07 EG08 EG09 EG10 EG11 EG12 EG13

Portfolio of competitive products and services

Managed business risk

Compliance with external laws and regulations

Quality of financial information

Customer- oriented service culture

Business service continuity

and availability

Quality of management information

Optimization of internal business

process functionality

Optimization of business

process costs

Staff skills, motivation

and productivity

Compliance with internal policies

Managed digital transformation

programs

Product and business innovation

AG0 1

I&T compliance and support for business compliance with

external laws and regulations S P S

AG0 2

Managed I&T-related risk P S

AG0 3

Realized benefits from I&T- enabled investments and

services portfolio S S S S P

AG0 4

Quality of technology- related financial

information P P P

AG0 5

Delivery of I&T services in line with business

requirements P S S S S

AG0 6

Agility to turn business requirements into

operational solutions P S S S S

AG0 7

Security of information, processing infrastructure and

applications, and privacy P P

AG0 8

Enabling and supporting business processes by integrating applications and technology

P P S S P S

AG0 9

Delivering programs on time, on budget and meeting requirements and

quality standards P S S S P S

AG1 0

Quality of I&T management

information P P S

AG1 1

I&T compliance with

internal policies S P P

AG1 2

Competent and motivated staff with mutual understanding of technology and business

S P

AG1 3

Knowledge, expertise and initiatives for business

innovation P S S P

Gambar 3. 3

Pemetaan Enterprise Goals dan Alignment Goals Sumber : ISACA

Tabel 3. 1

Hasil pemetaan Enterprise Goals dan Alignment Goals

Kode Enterprise Goals Kode Alignment Goals EG02 Risiko I&T tekelola (manage

I&T risk)

-

EG07 Keberlanjutan dan

ketersediaan layanan bisnis (Business service continuity and availability

AG07 Keamanan informasi,

infrastruktur pemrosesan dan aplikasi, serta privasi

(Security of information, processing infrastructure and applications, and privacy) Sumber : ISACA

3. Tata Kelola dan Objek Manajemen (Governance and Management Objectives) Tahapan akhir yang memetakan Alignment Goals kedalam objektif tata kelola dan manajemen COBIT 2019. Hasil Pemetaan Alignment Goals terhadap Proses COBIT 2019.

AG01 AG02 AG03 AG04 AG05 AG06 AG07 AG08 AG09 AG10 AG11 AG12 AG13 I&T

complianc e and support for

business complianc e with external laws and regulations

Manage d I&T- related risk

Realized benefits from I&T- enabled investments and services portfolio

Quality of technology - related financial informatio

n

Delivery of I&T services

in line with business requirement

s

Agility to turn business requirement s into operational

solutions

Security of information, processing infrastructur

e and applications,

and privacy Enabling

and supporting

business processes

by integrating applications

and technology

Deliverin g programs on time, on budget and meeting requirement s and quality standards

Qualit y of I&T managemen

t information

I&T complianc

e with internal policies

Competent and motivated

staff with mutual understanding

of technology and business

Knowledge, expertise and initiatives for business innovation

EDM01 Ensured governance framework setting and maintenance

P S P S S

EDM02 Ensured benefits

delivery P S S S S

EDM03 Ensured risk

optimization S P P S

EDM04 Ensured resource optimizatio n

S S S S P S

EDM05 Ensured stakeholder engagement

S P S

APO01 Managed I&T management framework

S S P S S S S S P

APO02 Managed strategy S S S P S S

APO03 Managed enterprise architecture

S S P S P

APO04 Managed innovation S P S S P

APO05 Managed portfolio P P S S S

APO06 Managed budget

and costs S P P S

APO07 Managed human resources

S S S P P

APO08 Managed relationships S P P S S P P

APO09 Managed service agreement s

P S

APO10 Managed vendors P S S

APO11 Managed quality S S S P P

APO12 Managed risk P P

APO13 Managed security S S P

APO14 Managed data S S S S P

BAI01 Managed programs P S S P

BAI02 Managed requirements definition

S P P S P S

BAI03 Managed solutions identification and build

S P P S P

BAI04 Managed availability

and capacity P S S

BAI05 Managed organizational changes

P S S P P S

BAI06 Managed IT changes S S P S

BAI07 Managed IT change acceptance and transitioning

S P S

BAI08 Managed knowledge S S S S P P

BAI09 Managed assets P S

BAI10 Managed configuration S P

BAI11 Managed projects P S P P

DSS01 Managed operations P S

DSS02 Managed service

requests and incidents S P S

DSS03 Managed problems S P S

DSS04 Managed continuity S P P

DSS05 Managed security

services S P S P S

DSS06 Managed business process controls

S S S P S

MEA01 Managed performance and conformance monitoring

S S P S P S

MEA02 Managed system of internal control

S S S S S S S P

Gambar 3. 4

Pemetaan Tata Kelola dan Objek Manajemen Sumber : ISACA

Tabel 3. 2

Hasil Pemetaan Alignment Goals terhadap Proses COBIT 2019 Kode

Tujuan Domain Proses COBIT

AG02 Risiko I&T tekelola (manage I&T risk)

DSS05

AG07 Keamanan informasi, infrastruktur pemrosesan dan aplikasi, serta privasi (Security of information, processing infrastructure and

applications, and privacy)

APO13 DSS05

Sumber: ISACA

Berdasarkan hasil pemetaan yang ditunjukkan pada tabel diatas, ada dua proses Governance and Management Objectives yang termasuk dalam skala primer yaitu APO13 dan DSS05. Kedua proses ini akan digunakan untuk membatasi ruang lingkup penelitian yang hanya berfokus pada AG07 karena berkaitan dengan Keamanan informasi yang dimiliki organisasi dan sesuai dengan wawancara awal yang dilakukan dalam mengidentifikasi masalah.

3.4 Fokus Area Domain COBIT 2019

Ada 2 proses yang menjadi fokus area penelitian dan evaluasi tata kelola keamanan informasi Bidang TIK yaitu APO13 dan DSS05.

3.4.1 Manage Security (APO13)

Kelola keamanan (APO13) adalah untuk mendefinisikan, mengoperasikan, dan memonitor sistem untuk manajemen keamanan informasi. Tujuan dari proses ini adalah untuk menjaga agar dampak dan kejadian insiden keamanan informasi tetap berada pada

MEA03 Managed compliance with external requirements

P S

MEA04 Managed assurance S S S S S S P

level yang masih dapat diterima. Dalam proses ini terdapat beberapa pengelolaan layanan keamanan diantaranya:

1. APO13.01 Membangun dan memelihara sistem manajemen keamanan informasi.

Membangun dan memelihara sistem manajemen keamanan informasi yang menyediakan pendekatan yang standar, formal, dan berkelanjutan pada manajemen keamanan informasi, sehingga memungkinkan adanya teknologi dan proses bisnis yang aman dan sesuai dengan kebutuhan bisnis dan keamanan perusahaan.

2. APO13.02 kelola rencana penanganan risiko keamanan informasi. Sebuah rencana keamanan informasi yang menggambarkan bagaimana resiko keamanan informasi harus dikelola dan sesuai dengan strategi dan arsitektur perusahaan.

3. APO13.03 Pantau dan tinjau sistem manajemen keamanan informasi.

Mengkomunikasikan kebutuhan dan keuntungan dari kemajuan dari keamanan informasi secara teratur. Mengumpulkan dan menganalisa data mengenai sistem manajemen keamanan informasi, serta memperbaiki ketidaksesuaian untuk mencegah terulangnya insiden.

3.4.2 Manage Security Services (DSS05)

Proses DSS 05 (Manage Security Service) berfokus pada perlindungan informasi perusahaan untuk mempertahankan tingkat resiko keamanan informasi dititik minimum sesuai dengan kebijakan keamanan. Membangun serta mempertahankan peran keamanan informasi dan hak akses serta melakukan pemantauan keamanan. Dalam proses ini terdapat beberapa pengelolaan layanan keamanan diantaranya:

1. DSS05.01 Perlindungan dari Malware. Mengimplementasikan dan memelihara langkah-langkah preventif, detektif, dan korektif di seluruh perusahaan untuk melindungi sistem informasi dan teknologi dari malware.

2. DSS05.02 Mengelola Jaringan dan Keamanan Konektivitas. Menggunakan langkah- langkah keamanan dan prosedur manajemen lainnya untuk melindungi informasi pada seluruh jaringan network.

3. DSS05.03 Mengelola Keamanan Endpoint. Memastikan setiap endpoint aman pada level yang sama atau lebih tinggi dari kebutuhan keamanan yang didefinisikan 4. DSS05.04 Mengelola Identitas User dan Logical Access. Memastikan semua

pengguna memiliki hak akses informasi berdasarkan kebutuhan bisnis setiap user.

5. DSS05.05 Mengelola Akses Fisik ke Aset TI. Mendefinisikan dan mengimplementasikan prosedur untuk memberi, membatasi, dan menyangkal akses pada situs, bangunan, dan area berdasarkan kebutuhan bisnis.

6. DSS05.06 Mengelola Dokumen yang Sensitif dan Perangkat Output. Membuat sistem keamanan fisik, praktek akuntansi, dan manajemen inventory yang layak pada aset- aset IT yang sensitif.

7. DSS05.07 Memantau Infrastruktur yang Berhubungan dengan Security Events.

Menggunakan tools-tools pendeteksi penyusupan, mengawasi infrastruktur dari akses tidak berizin, dan memastikan setiap kejadian diintegrasikan dengan general event monitoring dan manajemen insiden

3.5 Metode Penelitian

Pada bagian ini menjelaskan mengenai metodelogi yang digunakan dalam melakukan penelitian.

3.5.1 Pengumpulan Data

Dalam penelitian ini data yang dikumpulkan adalah data primer maupun data sekunder sebagai berikut

1. Observasi

Pada metode ini penulis melakukan pengamatan langsung pada objek yang diteliti seperti wawancara secara langsung maupun menggunakan media seperti telepon media daring seperti aplikasi chat atau platform lainnya. Mengumpulkan, mempelajari data dan informasi dari dokumen yang terkait dengan penelitian serta melakukan pemilihan domain dengan goals cascade COBIT 2019 bersama pemangku kepentingan.

2. Penentuan Responden dan RACI Chart

Responden peneliti dibutuhkan untuk melakukan perolehan data. Tahap penentuan responden dilakukan dengan menentukan responden yang mengetahui keadaan tata kelola teknologi informasi pada bidang Teknologi Informasi dan Komunikasi di Dinas Komunikasi dan Informatika. Berikut daftar yang menjadi responden dalam penelitian ini

Tabel 3. 3 Responden Kuisioner

No Nama Jabatan Management

Practice 1 Drs. Aries Witarsyah,

M.M

Kabid TIK Chief Information

Officer 2 Muhamad Furqon, S.T.,

M.kom

Kasi Keamanan Informasi Chief Information Security

3 Dewi Setiyaningsih, S.Tr.T

Pengelola Keamanan Informasi

Information Security Manager

4 Koswara, S.Kom Network Admnistrator Head IT

Administration

Adapun RACI Chart dari domain APO13 dan DSS05 sebagai berikut

Organizational Structures

Management Practice Chief Information Officer Chief Technology Officer Enterprise Risk Committee Chief Information Security Officer Business Process Owners Project Management Office Head Architect Head Development Head IT Operations Head IT Administration Service Manager Information Security Manager Business Continuity Manager Privacy Officer APO13.01 Membangun dan memelihara sistem

manajemen keamanan informasi

R A R R

APO13.02 kelola rencana penanganan risiko keamanan informasi

R A R R

APO13.03 Pantau dan tinjau sistem manajemen keamanan informasi

R A R R

Gambar 3. 5 RACI chart APO13

(Sumber: ISACA)

Berdasarkan RACI Chart untuk domain APO13 diketahui bahwa Kabid TIK, Administrator Pengelola dan Pengelola keamanan Informasi memiliki tanggung jawab sebagai pelaksana (Responsible) yaitu pihak yang melakukan pekerjaan berkaitan dengan sumber daya. Kasi Keamanan Informasi memiliki tugas sebagai Penanggung Jawab (Accountable) yaitu pihak yang bertanggung jawab atas semua pekerjaan.

Gambar 3. 6 RACI Chart DSS05

(Sumber: ISACA) Organizational Structures

Management Practice

Chief Information Officer Chief Information Security Officer Business Process Owners Head Human Resources Head Development Head IT Operations Information Security Manager Privacy Officer

DSS05.01 Perlindungan dari Malware. A R

DSS05.02 Mengelola Jaringan dan Keamanan Konektivitas. A R

DSS05.03 Mengelola Keamanan Endpoint. A R

DSS05.04 Mengelola Identitas User dan Logical Access. A R

DSS05.05 Mengelola Akses Fisik ke Aset TI. A R

DSS05.06 Mengelola Dokumen yang Sensitif dan Perangkat Output.

A

DSS05.07 Memantau Infrastruktur yang Berhubungan dengan Security Events.

A R

Berdasarkan RACI Chart untuk domain DSS05 diketahui bahwa Kabid TIK dan Kasi Keamanan Informasi memiliki tugas sebagai Penanggung Jawab (Accountable) yaitu pihak yang bertanggung jawab atas semua pekerjaan. Pengelola keamanan Informasi memiliki tanggung jawab sebagai pelaksana (Responsible) yaitu pihak yang melakukan pekerjaan berkaitan dengan sumber daya.

3. Penyusunan Kuesioner

Dengan cara membuat pernyataan berdasarkan panduan yang terdapat pada framework COBIT 2019, kemudian diharapkan hasil sesuai dengan kenyataan di lapangan sehingga rekomendasi yang akan diberikan dari hasil audit akan bermanfaat untuk kemajuan organisasi.

3.5.2 Analisis Data

Dalam penelitian ini, analisis data dilakukan dengan beberapa tahap yaitu menentukan tingkat aktivitas pencapaian dan harapan proses kapabilitas dengan Capability Maturity Model Integration, menilai setiap aktivitas komponen proses tata kelola dan manajemen dengan skala guttman dan menentukan Tingkat Kapabilitas.

1. Menentukan tingkat aktivitas pencapaian dan harapan proses kapabilitas dengan CMMI 2.0.

a. Level 0 Incomplete: Proses tidak memiliki kemampuan dasar dan mencerminkan pendekatan yang tidak lengkap untuk menangani tujuan tata kelola dan manajemen itu mungkin atau mungkin tidak memenuhi maksud dari praktik proses apa pun.

b. Level 1 Initial: Proses kurang lebih mencapai tujuannya melalui penerapan serangkaian aktivitas yang tidak lengkap yang dapat dicirikan sebagai awal atau intuitif-tidak terlalu terorganisir.

c. Level 2 Perfomed: Proses mencapai tujuannya melalui penerapan serangkaian aktivitas dasar, namun lengkap, yang dapat dicirikan sebagai dilakukan.

d. Level 3 Defined: Proses mencapai tujuannya dengan cara yang jauh lebih terorganisir menggunakan aset organisasi.

e. Level 4 Quantitavely: Proses mencapai tujuannya, didefinisikan dengan baik dan kinerjanya diukur secara kuantitatif.

f. Level 5 Optimizing: Proses mencapai tujuannya, didefinisikan dengan baik, kinerjanya diukur untuk meningkatkan kinerja dan perbaikan terus-menerus dilakukan.

2. Menilai setiap aktivitas komponen proses tata kelola dengan skala guttman:

a. Menghitung Konversi Nilai Kuesioner

Nilai skor 1 diberikan ketika responden menjawab pertanyaan dengan Y (Ya) sedangkan nilai skor 0 diberikan ketika responden menjawab pertanyaan dengan T (Tidak).

b. Rata-rata konversi

Nilai yang telah dikonversi kemudian dibuatkan rata-rata nilai konversi dengan rumus:

RK = nK ÷

𝛴

^{PA ÷}

𝛴

^Pi

Keterangan:

RK : Rata-rata konversi dari jawaban responden yang bernilai 1 untuk jawaban Ya dan 0 untuk Jawaban Tidak

nK : Nilai Konversi pada setiap Pertanyaan

𝛴

PA : Jumlah Proses Atribut pada setiap level

𝛴

Pi : Jumlah Pertanyaan untuk Responden Pertanyaan tersebut bersimbol P1, P2, P3 dan seterusnya

3. Perhitungan Tingkat Kapabilitas

Capability Level diperoleh dari jumlah menjumlahkan nilai rata-rata konversi pada setiap pertanyaan kemudian ditambah dengan menjumlahkan seluruh nilai rata-rata konversi pada setiap proses atribut di setiap level.

CL =

𝛴

^RK

Keterangan :

CL : Tingkat Kemampuan Nilai

𝛴

^{RK :} Rata-rata jumlah konversi