PERANCANGAN SISTEM MANAJEMEN SEKURITAS I

(1)

PERANCANGAN SISTEM MANAJEMEN SEKURITAS INFORMASI (SMSI) BERDASARKAN ISO / IEC 27001

Studi Kasus:

Program Magister Manajemen Teknologi (MMT-ITS)

PROGRAM STUDI MAGI STER MANAJEMEN TEKNOLOGI MANAJEMEN TEKNOLOGI I NFORMASI

PROGRAM PASCASARJANA

I NSTI TUT TEKNOLOGI SEPULUH NOPEMBER SURABAYA

2010

TESIS – MM2402

(2)

Latar Belakang

 Melaksanakan dan memelihara sebuah rangkaian proses dari sistem untuk secara efektif mengelola informasi, baik itu aksesibilitas, kerahasiaan,

integritas serta ketersediaan informasi

 Memastikan pemilihan kendali sekuritas yang cukup dan sesuai dalam melindungi aset informasi serta memberikan kepercayaan bagi para stakeholders.

(3)

Perumusan Masalah

 Bagaimana penggambaran proses bisnis

organisasi?

 Bagaimana melakukan identifikasi risiko

terhadap proses bisnis dan aset yang dimiliki organisasi untuk menemukan perbaikan-perbaikan yang perlu

dilakukan?

 Bagaimana membuat SMSI sebagai

(4)

Batasan Masalah

 SMSI yang dibuat hanya berupa usulan

dan diperuntukkan bagi MMT-I TS pada umumnya serta SI M akademik pada

khususnya.

 I dentifikasi Risiko dilakukan terhadap

aset-aset yang berkaitan dengan aplikasi SI M akademik.

 Pembuatan prosedur dan instruksi kerja

(5)

Tujuan

 Perancangan SMSI sebagai panduan untuk mengidentifikasi risiko sekuritas dan memilih sesuai kontrol yang

melibatkan pelaksanaan operasi dan

kontrol yang bertujuan untuk meninjau dan mengevaluasi kinerja baik itu

efisiensi maupun efektivitas pada

(6)

Manfaat

 Mendapatkan pemilihan kendali sekuritas yang cukup dan sesuai untuk melindungi aset informasi serta memberikan kepercayaan bagi para stakeholders-nya.

 Memperoleh panduan proses untuk mengimplementasikan kontrol terhadap sekuritas informasi, agar dapat menjamin bahwa objek-objek sekuritas tertentu telah dicapai.

(7)

Tinjauan Pustaka

 I SO/ I EC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga pemerintahan, dan lembaga nirlaba).

 I SO/ I EC 27001: 2005 menjelaskan syarat -syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara seta mendokumentasikan I nformation Security

Management System dalam konteks resiko bisnis organisasi keseluruhan.

 I SO/ I EC 27001 mendefenisikan

keperluan-keperluan untuk sistem manajemen sekuritas informasi (SMSI ).

(8)

Tinjauan Pustaka

 Meskipun I SO/ I EC 27001 sudah memberikan gambaran lengkap mengenai ketatalaksanaan sistem manajemen sekuritas informasi, tetapi terdapat kesulitan dalam menerapkannya

disebabkan kurangnya perhatian banyak orang terhadap pentingnya sistem manajemen sekuritas informasi (terutama Top Manajemen).

 Kesulitan penerapan ini meliputi pemilihan metode pendekatan untuk risk assessment, melakukan

identifikasi resiko, memperkirakan resiko, dan memilih kendali yang tepat untuk diterapkan

(9)

(10)

Dasar Formulasi Kebijakan Sekuritas

I nformasi



Risk management

pendekatan ini

digunakan jika kebijakan sekuritas

informasi yang dibuat didasarkan

(11)

Dasar Formulasi Kebijakan Sekuritas I nformasi



I nformation security benchmark

adalah tingkat sekuritas yang

(12)

Dasar Formulasi Kebijakan Sekuritas I nformasi



Benchmark compliance

dapat

diasumsikan bahwa pemerintah

dan otoritas industri telah

melakukan pekerjaan yang baik

dalam mempertimbangkan

(13)

(14)

Tinjauan Pustaka

 Secara umum terdapat dua metode identifikasi risiko (Risk Analysis), yaitu[ 11] :

1. Kuantitatif ; I dentifikasi berdasarkan angka-angka

nyata (nilai finansial) terhadap biaya pembangunan sekuritas dan besarnya kerugian yang terjadi.

identifikasi kuantitatif membantu dalam

menghilangkan keraguan yang meliputi estimasi waktu dan biaya serta keraguan personal.

2. Kualitatif ; identifikasi meliputi kegiatan dan

mengenali faktor risiko dilengkapi dengan perkiraan yang menjelaskan masing-masing risiko dan

dampaknya.

(15)

Tinjauan Pustaka

 Model Plan-Do-Check-Act (PDCA)

 Proses pemecahan masalah yang digunakan

dalam pengendalian mutu[ 9] .

 I nput dalam model ini berupa kebutuhan

sekuritas informasi dan ekspektasi/ harapan, sedangkan output yang dihasilkan berupa pengaturan sekuritas informasi.

 Demikian pada gambar 2.2 ditunjukkan

siklus PDCA:

(16)

Tinjauan Pustaka

Gambar 2.2 Model PDCA [ 10]

(17)

Tinjauan Pustaka

 PLAN (Established SMSI); Tahap penyusunan rencana yang akan dilakukan, penentuan masalah yang akan diatasi,

kelemahan yang akan diperbaiki serta pencarian solusi untuk mengatasi masalah.

 DO (implement and operate the SMSI); Tahap dimana solusi dan perubahan dari proses yang telah direncanakan

dilaksanakan. Dengan penerapan prosedur-prosedur serta instruksi kerja sesuai dengan aktivitas yang terjadi dalam organisasi.

 Check (monitor and review the SMSI); Tahapan untuk meneliti apa yang telah dilaksanakan dan menemukan kelemahan-kelemahan yang perlu diperbaiki. Berdasarkan kelemahan-kelemahan tersebut kemudian disusun rencana perbaikan.

 ACT (maintain and improve the SMSI); Tahap ini adalah usaha perbaikan berdasarkan hasil perubahan, meliputi

pengambilan langkah korektif dan preventif berdasarkan hasil dari audit internal SMSI , tinjauan manajemen atau informasi lain yang relevan.

(18)

(19)

Gambar 3.1 Metologi Penelitian

(20)

Studi Literatur

Dalam hal ini adalah pembelajaran literatur yang terkait dengan

permasalahan yang ada, seperti pembelajaran mengenai sekuritas informasi, SMM, proses pembuatan SMSI serta standar yang digunakan dalam pembuatan SMSI .

(21)

Identifikasi Permasalahan

 Selain itu juga akan ditinjau data

struktur organisasi dan deskripsi kerja masing-masing bagian atau karyawan.

 Serta dilakukan pemahaman secara

menyeluruh mengenai organisasi, baik tujuan maupun arah organisasi.

(22)

Review Dokumen

 Dalam pencarian informasi (gathering

information) review dokumen selalu

menempati tahapan utama, karena dapat memberikan gambaran mengenai sistem yang ada saat ini secara obyektif.

 Dan diperoleh informasi mengenai visi dan

misi, struktur organisasi, serta gambaran proses bisnis secara global dari MMT- I TS.

(23)

Wawancara



Melalui tahapan wawancara

diharapkan dapat diperoleh

informasi mengenai gambaran

proses bisnis, aset-aset pendukung

serta informasi mengenai

permasalahan dan ancaman yang

berkaitan dengan sekuritas

informasi SI M akademik.

(24)

Bisnis Proses

(25)

Proses utama (

Primary Activity

)

 Berkaitan langsung dengan pelayanan jasa yang diberikan MMT-I TS kepada para

stakeholders

-nya.

 Apabila terdapat gangguan terhadap

proses utama ini maka dampaknya akan sangat besar terhadap proses

pelayanan SI M akademik secara keseluruhan.

(26)

Proses penunjang (

Supporting Activity

)



merupakan aktivitas yang

bertujuan untuk membantu

terselenggaranya proses bisnis

utama.

(27)

Proses manajemen

 merupakan proses yang berkaitan

langsung dengan proses penyusunan rencana, pengorganisasian dan

pengendalian sumber daya yang ada. Dalam proses manajemen ini terdapat kegiatan pengawasan atau monitoring dan evaluasi yang bertujuan untuk

membantu terselenggaranya proses bisnis utama.

(28)

Membuat Profil Ancaman berbasis Aset

 Profil ancaman yang dibuat akan mengidentifikasikan mengenai aset

penting, kebutuhan sekuritas, dan area kritis yang ada pada organisasi.

(29)

Membuat Profil Ancaman berbasis Aset

 I dentifikasi kebutuhan sekuritas yang ada pada aset kritis didasarkan pada kerahasiaan, integritas dan

ketersediannya pada organisasi. Sedangkan identifikasi area kritis

didasarkan pada sumber ancaman yang ada pada aset kritis.

(30)

(31)

Tabel 4.2

Kebutuhan sekuritas aset kritis

(32)

Analisa Risiko.,

Terdapat kriteria ancaman risiko yang perlu dibuat prosedur pengendaliannya diantaranya adalah:

 Risiko yang memiliki jumlah frekuensi

kemunculan yang tinggi.

 Risiko yang bisa menyebabkan

kerusakan yang serius.

(33)

Tahap Penentuan Titik Kontrol

Analisa Risiko..,

Identifikasi Resiko Analisis dan evaluasi resiko

Identifikasi dan evaluasi pengelolaan resiko

Pemilihan kontrol objective dan kontrol

pengelolaan resiko

Gambar 4.3 Metodologi Perkiraan Risiko

(34)

(35)

Analisis dan Evaluasi Risiko

(36)

Analisis dan Evaluasi Risiko

(37)

Identifikasi dan Evaluasi

Pemilihan Pengelolaan Risiko

 Menetapkan penanganan atau kontrol yang tepat terhadap risiko yang

terjadi.

 Pencegahan risiko dengan pembuatan prosedur dan pemilihan tujuan

kontrol.

(38)

Pemilihan Tujuan Kontrol dan

Kontrol Pengelolaan Risiko

 Tujuan kontrol yang digunakan adalah hasil pemilihan tujuan kontrol pada

Annex A I SO 27001: 2005 yang

disesuaikan dengan ancaman risikonya.

 Disamping itu terdapat pembuatan

(39)

(40)

Diagram

Cause-effect

untuk risiko

pencurian

password

Pencurian Password Jaringan

Software

SDM

Firewall lemah _Social

(41)

 Sebelum melakukan pembuatan SMSI ,

organisasi menunjuk dan membentuk tim pelaksana pembuatan SMSI . karena SMSI merupakan suatu sistem sekuritas yang penerapannya adalah tanggung

jawab semua pihak mulai dari kepala MMT-I TS sebagai pihak manajemen atas sampai dengan level yang paling bawah.

(42)

Pembuatan Dokumentasi SMSI ..

(43)

 Management Representative (MR) adalah orang yang ditunjuk oleh organisasi dan bertanggung jawab terhadap SMSI yang didokumentasikan. MR menjamin bahwa

dokumentasi SMSI telah dibuat dengan teknik yang benar dan sesuai dengan standar SMSI (I SO 27001: 2005).

 Auditor adalah pihak yang ditunjuk organisasi

dan bertugas mengkoordinasi pelaksanaan audit internal dari pelaksanaan SMSI .

(44)

 Pengendali dokumen adalah seorang

yang memilisi tanggung jawab

mengendalikan seluruh dokumen sekuritas informasi MMT-I TS.

 Bertugas dalam penerapan SMSI , mulai

dari mendistribusikan, menyimpan, memelihara, menarik dokumen,

menghancurkan dan memastikan

bahwa dokumen sekuritas informasi yang beredar adalah dokumen tersini.

(45)

 Wakil sub bagian merupakan perwasilan dari 3 sub bagian yang mengurusi SI M akademik dan bertindak sebagai pihak pelaksana pembuatan SMSI . Wakil sub bagian bertanggung jawab dalam

membuat dan membangun SMSI di lingkungan sub bagiannya masing-masing.

(46)

Pembuatan dokumentasi SMSI didasarkan pada klausul 1 s/ d 8 yang terdapat pada I SO

27001: 2005 & mengadopsi piramida pembuatan dokumentasi SMM

(47)

Pembuatan Dokumentasi SMSI

 Pembuatan MSI bertujuan untuk

menerangkan setiap personil mengenai komitmen organisasi terhadap sekuritas

informasi. Manual Sekuritas ini memberikan pandangan kedepan mengenai kebijakan, tujuan Sekuritas informasi, sistem-sistem, prosedur dan metodologi pembuatan SMSI .

Terdapat 8 MSI dalam dokumentasi SMSI yang akan dibuat untuk MMT-I TS

(48)

Pembuatan Dokumentasi SMSI

MSI PENDAHULUAN merujuk pada (MSI-01),

Manual ini berisi latar belakang

dibuatnya SMSI pada organisasi, serta siklus yang digunakan dalam proses pembuatan dan penerapan SMSI ,

yaitu siklus Plan

–

Do

–

Check

–

Act

(PDCA), Visi Dan Misi serta beberapa sasaran MMT

(49)

Pembuatan Dokumentasi SMSI

 PSI merupakan uraian atau urutan pekerjaan yang mendukung MSI .

 Dalam SMSI untuk MMT-I TS ini terdapat 2 tipe prosedur yaitu prosedur yang mendukung

operasional dari pihak manajemen dan prosedur untuk kegiatan teknis

operasional.

(50)

Pembuatan Dokumentasi SMSI

PSI PENGENDALI AN DOKUMEN merujuk pada (PSI–MR–01)

 Prosedur ini berisi mengenai

tujuan,

ruang lingkup, standar yang berlaku,

indikator kinerja / kriteria

keberhasilan, rincian prosedur, definisi

& daftar singkatan,

dan dibuat untuk mengendalikan seluruh dokumen

sekuritas informasi yang dipergunakan dalam penerapan SMSI .

Pembuatan Prosedur Sekuritas Informasi (PSI)

(51)

PSI PENGAMANAN PASSWORD merujuk pada (PSI-MR-05)

 Prosedur ini berisi mengenai

tujuan,

ruang lingkup, standar yang berlaku,

indikator kinerja / kriteria

keberhasilan, rincian prosedur,catatan

/ rekaman sekuritas informasi

dan

pengamanan

password

muncul akibat identifikasi risiko yang mendapati

ancaman pencurian

password

menempati level tinggi.

Pembuatan Prosedur Sekuritas Informasi (PSI)

(52)

Pembuatan Dokumentasi SMSI

 I nstruksi kerja ini berisi mengenai

tujuan,instruksi kerja,catatan/ rekaman

sekuritas informasi

dan dibuat sebagai arahan dan petunjuk pelaksana bagi pelaksana teknis. I nstruksi kerja

dibuat secara sederhana, praktis dan mudah untuk dipahami.

(53)

I K PEMBUATAN PASSWORD merujuk pada (IK-ADM-01)

 I nstruksi ini dibuat untuk menerapkan

manajemen

password

yang baik sehingga dapat menghasilkan

password

yang

berkualitas dan tidak mudah ditebak sehingga fungsi dari

password

sendiri sebagai autentifikasi dapat tercapai.

 Hal ini mutlak diperlukan karena pasword

merupakan sistem yang akan memastikan bahwa benar-benar pemilik saja yang

diperkenankan masuk ke dalamnya.

(54)

DAFTAR DOKUMEN EKSTERNAL merujuk pada (FM–MR–01)

 Merupakan daftar yang berisi dokumen-dokumen eksternal yang mendukung pengimplementasian SMSI .

 Formulir ini memudahkan pengguna untuk melihat dan melakukan

penelusuran dokumen eksternal, karena mengandung data historis dokumen.

(55)

Pembuatan Dokumentasi SMSI

 Referensi berisi dokumen-dokumen pelengkap yang dibutuhkan dalam

pembangunan SMSI . Semua referensi ini mengacu pada manual Sekuritas informasi dan prosedur Sekuritas informasi.

Demikian adalah referensi yang akan dibuat dalam dokumentasi SMSI untuk MMT-I TS

(56)

KEBI JAKAN SEKURI TAS I NFORMASI merujuk pada (RF-MR-04)

 Kebijakan sekuritas informasi yang

tercantum dalam dokumen SMSI ini hanya berupa pernyataan saja. Oleh Karena MMT-I TS belum memiliki kebijakan sekuritas

informasi maka perencanaan pembuatan SMSI ditinjau secara umum dengan

menyesuaikannya terhadap persyaratan klausul I SO 27001: 2005.

(57)

Pembuatan Dokumentasi SMSI

 Dokumentasi SMSI yang telah dibuat harus dilakukan verifikasi terhadap persyaratan kelengkapan dokumen yang terdapat pada I SO 27001: 2005.

 Hal ini dikarenakan persyaratan

dokumentasi yang harus ada dalam

pembangunan SMSI terdapat pada klausul 4.3.1 I SO 27001: 2005.

(58)

(59)

Pembuatan Dokumentasi SMSI

(60)

(61)

Kesimpulan

 Penggambaran proses bisnis SI M-Akademik

MMT - I TS didasarkan pada deskripsi pekerjaan

(job description) bagian Pendidikan dan

Kerjasama. Proses bisnis digambarkan menjadi proses utama, penunjang dan manajemen

 I dentifikasi risiko pada proses bisnis dan aset

dilakukan dengan mengidentifikasi risiko yang mungkin muncul pada aset-aset yang berkaitan dengan aplikasi SI M akademik serta kelemahan yang mengancam terjadinya risiko. I dentifikasi ini akan diukur dan dinilai dengan kriteria

(62)

Kesimpulan

 Pembuatan dokumentasi SMSI

mengadopsi tata cara pendokumentasian SMM dengan melakukan beberapa

penyesuaian terhadap I SO 27001: 2005. Struktur atau tahapan pembuatan SMSI

 Pembuatan dokumentasi SMSI

(63)

Saran

 Pembuatan SMSI MMT-I TS ini hanya berupa

usulan mencakup proses SI M-Akademik saja, oleh karena itu diharapkan dalam

pengembangan kedepan dapat dilengkapi

dengan proses-proses yang lain yang terjadi di MMT-I TS.

 SMSI MMT-I TS yang dibuat adalah

berdasarkan I SO 27001: 2005 yang hanya berbasiskan kontrol. Untuk pengembangan selanjutnya diharapkan dapat dibuat SMSI dengan standar yang lain misalnya I TI L dan

(64)

DAFTAR PUSTAKA

1. Jacquelin Bisson, CI SSP (Analis Keamanan I nformasi, Callio Technologies) & René Saint -Germain (Direktur

Utama, Callio Technologies), Mengimplementasi kebijakan keamanan dengan standar BS7799 / I SO17799 untuk pendekatan terhadap informasi keamanan yang lebih baik, White Paper, http:/ / 202.57.1.181/ ~ download/ linux_

opensource/ artikel+ tutorial/ general_tutorials/ wp_iso_id.pdf

2. Syafrizal, Melvin. 2008. I nformation Security Management Sistem (I SMS) Menggunakan I SO/ I EC 27001:2005.

STI MI K AMI KOM YOGYAKARTA.

3. Whitmann, E. M dan Mattord, J.H. 2006. Management of I nformation System. Course Technology.

4. PMI I Komisariat UNDI P. Pengertian Kebijakan <http:/ / pmiikomundip.wordpress.com/ 2008/ 06/ 06/

kebijakan-dan-kemiskinan/>

5. NI ST SP 800-53, Revision 1, “Recommended Security Controls for Federal Information Systems”. 2006. 6. Plasma media. Keamanan I nformasi.<http:/ / www.plasmedia.com/ secpolicy.htm>

7. Wikipedia. Keamanan I nformasi <http:/ / id.wikipedia.org/ wiki/ Keamanan informasi> [ 8 Oktober 2008 jam 13.05

WI B]

8. Ferdinand Aruan (2003), Tugas Keamanan Jaringan I nformasi (Dosen. Dr. Budi Rahardjo) Tinjauan Terhadap

I SO 17799 - Program Magister Teknik Elektro Bidang Khusus Teknologi I nformasi I TB

9. Wikipedia. July 2009. Pengertian PDCA, <http:/ / id.wikipedia.org/ wiki/ PDCA>

10. I SO/ I EC 27001:2005, I nformation technology-Security techniques-I nformation security management

system-Requirements. 15 Oktober 2005

11. I smiatin, Rahayu, D.D, dkk. Januari 2009. Analisis Risiko Proyek Perusahaan. <

http:/ / www.scribd.com/ doc/ 11100389/ Analisis-Resiko-Proyek-an>

12. Brever, D & Nash, M. 2005. the Similarity between I SO 9001 and BS 7799-2.

13. Holil, A. 2007. “Pengungkapan kebutuhan”, bahan ajar mata kuliah analisis desain dan sistem informasi. 14. Brever, D & Nash, M. 2005. the Similarity between I SO 9001 and BS 7799-2.

15. Wikipedia. Mei 2008. I nformation Technology I nfrastructure Library, URL:http:/ / en.wikipedia.org/ wiki/

I nformation_Technology_I nfrastructure_Library

16. Wikipedia. Juni 2009. COBI T,

17. URL:http:/ / id.wikipedia.org/ wiki/ COBI T.htm.

18. Jaya Ari, Made. Juni 2008. Pengenalan identifikasi risiko,