BAB 1
PENDAHULUAN
Pada bab ini akan dijelaskan mengenai hal dasar dari langkah awal penulisan Tugas Akhir yang berisi latar belakang, perumusan masalah, tujuan penelitian, manfaat penelitian dan kerangka pemikiran penelitian.
1.1 Latar belakang
Teknologi informasi berperan penting dalam mendukung dan membantu sebuah organisasi termasuk dalam bidang pemerintahan. Peran teknologi informasi tidak hanya sebagai pendukung namun teknologi informasi juga berperan dalam high potential, key operational dan teknologi informasi dimanfaatkan agar dapat memberikan dukungan secara lebih efektif dan efisien bagi suatu organisasi. Pada bidang pemerintahan dalam menerapan teknologi informasi disebut dengan e- government. E-government merupakan suatu penggunaan teknologi informasi untuk meningkatkan keefektivitas dan efisiensi dalam memberikan pelayanan publik. Penerapan e-government dalam bidang pemerintahan akan dapat memberikan pelayanan secara lebih baik, mudah, dan lebih efektif untuk masyarakat dalam mengakses informasi di lingkungan pemerintahan dan dalam internal organisasi akan lebih meningkat (Nugraha, 2018). Penerapan e-government di Indonesia didukung oleh Instruksi Presiden Republik Indonesia Nomor 3 Tahun 2003 tentang Kebijakan dan Strategi Nasional Pengembangan E-government .
Organisasi yang bertugas dalam menjalankan kegiatan yang berhubungan dengan pemerintahan dalam bidang komunikasi dan informatika dan bertugas dalam menerapkan e-government adalah Dinas Komunikasi dan Informatika (DISKOMINFO) Penajam Paser Utara. Berdasarkan dari Peraturan Daerah nomor 43 Tahun 2017 tentang susunan organisasi, tata kerja, serta tugas pokok dan fungsi DISKOMINFO yaitu suatu unsur pelaksanaan urusan pemerintahan di bidang Aplikasi Informatika dan Persandian, bidang Informasi, Komunikasi Publik dan Kehumasan dan bidang Sumber daya TIK dan Statistik (Perbud, 2017).
pada teknologi informasi dan salah satu misi yang dimiliki oleh DISKOMINFO yaitu untuk meningkatkan sistem keamanan informasi daerah. Cara yang dapat dilakukan untuk mewujukan visi dan misi yaitu dengan meningkatkan pengawasan terhadap aset teknologi informasi yang memiliki risiko dan dapat menimbulkan kerugian bagi organisasi dan meningkatkan keamanan informasi juga data yang ada.
DISKOMINFO saat ini telah menggunakan sistem informasi yang telah terkomputerisasi dan terintegrasi. Salah satu sistem yang dimiliki oleh DISKOMINFO adalah SISTADA ( sistem informasi statistik daerah) dan E-mail Senopati. SISTADA berisi data-data statistik yang berasal dari instansi-instansi pemerintahan seperti instansi pendidikan, instansi kesehatan, dan instansi-instansi lainnya. Sistem ini berfungsi untuk memberikan informasi mengenai data-data statistik dari instansi pemerintahan kepada masyarakat. E-mail Senopati digunakan untuk pertukaran informasi dalam bentuk e-mail antar DISKOMINFO dengan organisasi perangkat daerah (OPD) dan instansi pemerintahan.
Permasalahan yang saat ini terjadi pada DISKOMINFO belum pernah melakukan analisis dan mitigasi risiko dalam menerapkan teknologi informasi pada layanan yang dimiliki dimana terdapat aset TI yang mengalami kerusakan dikarenakan belum efektifnya pengelolaan aset TI yang dimiliki. Saat ini sumber daya manusia di bidang TI masih kurang dan pelatihan yang diberikan kepada sumber daya manusia untuk meningkatkan kemampuan di bidang TI juga masih belum maksimal. DISKOMINFO juga belum memiliki kebijakan terkait keamanan informasi, hal ini disebabkan karena mengingat usia DISKOMINFO yang masih muda. Untuk saat ini DISKOMINFO masih berfokus dalam pengembangan sumber daya manusia.
Dalam menerapkan teknologi informasi pada layanan yang dimiliki tidak akan lepas dari risiko-risiko yang terjadi. Risiko berupa kerusakan fisik maupun logik. Risiko fisik berhubungan dengan bencana alam, kebakaran, pencurian dan perusakan. Risiko dalam kerusakan logik berhubungan dengan akses yang tidak sah, kerusakan yang dilakukan secara sengaja ataupun tidak disengaja terhadap sistem informasi dan data (Susanti, 2018). Terjadinya risiko tersebut memberikan dampak kerugian, seperti terjadinya risiko bencana alam akan menyebabkan
kerugian secara financial yaitu adanya biaya pemulihan dari bencana seperti biaya lembur dan tenaga kerja sementara untuk perbaikan karena adanya kerusakan pada komponen TI dan biaya tenaga kerja untuk pembersihan dan pemulihan bangunan.
Terjadinya permasalahan pada keamanan sistem seperti virus dan penyerangan pada sistem yang menyebabkan kerugian yaitu hilangnya data pada sistem.
Kerugian yang lain yaitu kerugian secara reputasi, hal ini dikarenakan DISKOMINFO merupakan dinas yang menjadi penyedia layanan untuk instansi lainnya, seperti layanan SISTADA dan E-mail Senopati. Jika kerugian tersebut terjadi maka dampak tersebut akan memberikan pengaruh terhadap instansi-instansi pemerintahan lainnya. Dampak lain yang dapat terjadi terhadap DISKOMINFO seperti penurunan kinerja pada sistem yang dimiliki, pengelolaan aset teknologi informasi kurang terawat sehingga terjadi kerusakan pada aset TI dan dapat terjadinya serangan pada sistem yang menyebabkan kekacauan pada kinerja sistem dan sistem yang menjadi tidak aman, operasi bisnis yang terhenti dan terjadinya proses pengambilan keputusan yang tertunda. Oleh karena itu, perlu dilakukan manajemen risiko agar dapat meminimalisir dampak risiko yang muncul yaitu dengan melakukan analisis dan mitigasi risiko pada DISKOMINFO. Analisis dan Mitigasi risiko dilakukan agar organisasi dapat mengetahui risiko-risiko apa saja yang muncul dan organisasi dapat menangani risiko tersebut sehingga proses bisnis dapat berlangsung.
Metode yang dapat digunakan dalam melakukan manajemen risiko seperti NIST 800-30, ITIL, COBIT, dan OCTAVE-S. NIST (National Institut of Standard and Technology) merupakan metode yang digunakan untuk menganalisis, menilai dan memitigasi risiko yang berfokus pada sistem informasi (Mahardika, 2017).
ITIL (Information Technology Infrastructure Library) merupakan framework yang digunakan untuk melakukan manajemen yang berfokus pada layanan teknologi informasi (Sembilla dkk, 2018). COBIT (Control Objectives for Information and Related Technology) merupakan framework yang berhubungan dengan tata kelola teknologi informasi (Thenu dkk, 2020). OCTAVE (Operationallity Critical Threat, Asset, and Vulnerability Evaluation) adalah metode yang banyak digunakan dalam melakukan penelitian untuk menganalisis dan mengidentifikasi risiko. Fokus utama OCTAVE-S adalah mengidentifikasi aset teknologi informasi kritis yang ada pada
suatu organisasi dan praktik keamanan pada organisasi, dan manajemen risiko terkait keamanan informasi (Alberts dkk, 2005). Aset teknologi informasi berupa software (perangkat lunak), hardware (perangkat keras), data, network (jaringan) hingga people (manusia) (Rachmawan, 2017).
Pada penelitian ini berdasarkan kesesuaian kebutuhan organisasi maka digunakan metode OCTAVE-S sebagai metode dalam melakukan analisis risiko keamanan informasi. Metode OCTAVE-S dipilih karena metode ini melakukan penilaian dari berbagai perspektif organisasi dan kriteria yang ada pada OCTAVE- S sesuai dengan keadaan DISKOMINFO saat ini. Kriteria tersebut seperti layanan teknologi informasi yang dimiliki berasal dari pihak ketiga karena mengingat bahwa DISKOMINFO merupakan organisasi kecil, layanan tersebut seperti E-mail Senopati yang berasal dari BSSN, infrastruktur teknologi informasi yang sederhana dan hanya dimengerti oleh satu orang, dan keterbatasan pemahaman mengenai alat yang dapat digunakan untuk melakukan evaluasi risiko terhadap aset informasi yang disebabkan kucrangnya pelatihan yang diberikan untuk meningkatkan kemampuan di bidang teknologi informasi kepada sumber daya manusia di DISKOMINFO. Penelitian terdahulu yang melakukan analisis risiko teknologi informasi pada organisasi pernah dilakukan oleh Prabawati, Rachmadi, dan Perdanakusuma pada Tahun 2019 yang menganalisis risiko teknologi informasi pada Unit Pengelolaan Sistem Informasi dan Kehumasan (PSIK) pada Fakultas Ilmu Komputer Universitas Brawijaya dengan menggunakan metode OCTAVE-S dan FMEA untuk melakukan penilaian risiko . Hasil yang didapatkan adalah teridentifikasinya aset kritis yaitu filkom Apps dan infrastruktur data dan jaringan pada Unit Pengelolaan Sistem Informasi dan Kehumasan (PSIK) (Prabawati dkk, 2019). Adapun penelitian yang dilakukan oleh Mahersmi yang melakukan Analisis Risiko pada Dinas Perhubungan Komunikasi dan Informatika Kabupaten Tulungagungnpada Tahun 2016. Penelitian ini menggunakan metode OCTAVE untuk menganalisis risiko, FMEA untuk melakukan penilaian risiko dan menggunakan ISO 27001 sebagai acuan dalam memberikan rekomendasi mitigasi risiko. Setelah dilakukan penilaian untuk mengetahui level risiko didapatkan 12 kontrol pada ISO 27001 yang digunakan sebagai acuan untuk memberikan rekomendasi mitigasi risiko (Mahersmi, 2016).
Pada penelitian ini berdasarkan dari penelitian terdahulu dan kesesuaian kebutuhan organisasi maka digunakan metode OCTAVE-S sebagai metode dalam melakukan analisis risiko keamanan informasi, FMEA untuk melakukan penilaian risiko dan ISO 27001:2013 yang digunakan sebagai acuan dalam memberikan rekomendasi mitigasi risiko. FMEA ( Failure Mode and Effect) merupakan suatu metode yang sistematis untuk mengidentifikasi mode kegagalan, fungsi dari suatu sistem dan mengevaluasi dampak penyebab kegagalan. FMEA digunakan sebagai pendukung metode OCTAVE-S untuk melakukan penilaian risiko. Penggunaan FMEA dapat mengidentifikasi penyebab kegagalan sistem serta prosesnya, efek kegagalan sistem dan tingkat kritis yang berasal dari kegagalan sehingga identifikasi yang dilakukan akan lebih tepat untuk memberikan rekomendasi mitigasi risiko. ISO/IEC 27001:2013 merupakan standard internasional yang bertujuan untuk menerapkan, memelihara, menetapkan dan meningkatkan sistem manajemen keamanan informasi (SMKI). ISO/IEC 27001: 2013 digunakan sebagai acuan untuk menentukan pengendalian atau memberikan mitigasi risiko yang telah diidentifikasi dengan menggunakan metode OCTAVE-S dan penilaian risiko menggunakan metode FMEA. ISO/IEC 27001:2013 dipilih karena metode ini bersifat fleksibel untuk dikembangkan dan disesuaikan dengan kebutuhan, tujuan, dan syarat keamanan organisasi serta diakui secara nasional dan internasional karena adanya sertifikat implementasi sistem manajemen keamanan informasi (Kominfo, 2016). Berdasarkan permasalahan yang telah diuraikan maka diusulkan penelitian yaitu analisis dan mitigasi risiko teknologi informasi menggunakan metode OCTAVE-S pada Dinas Komunikasi dan Informatika Kabupaten Penajam Paser Utara.
1.2 Perumusan Masalah
Berdasarkan dari penjelasan di latar belakang, rumusan masalah penelitian ini yaitu Dinas Komunikasi dan Informatika Kabupaten Penajam Paser Utara belum memiliki Dokumen rekomendasi dan mitigasi risiko. Dari rumusan masalah tersebut didapatkan pertanyaan penelitian yaitu sebagai berikut.
1. Aset teknologi informasi apa saja yang ada pada DISKOMINFO Penajam Paser Utara yang harus dilindungi keamanannya?
2. Bagaimana praktik keamanan pada DISKOMINFO Penajam Paser Utara?
3. Bagaimana langkah mitigasi risiko berdasarkan ISO/ IEC 27001:2013 ?
1.3 Tujuan Penelitian
Tujuan berdasarkan dari rumusan masalah yang telah dipaparkan yaitu untuk menghasilkan dokumen rekomendasi dan mitigasi risiko pada Dinas Komunikasi dan Informatika Kabupaten Penajam Paser Utara. Berdasarkan dari pertanyaan penelitian maka diberikan tujuan penelitian sebagai berikut.
1. Melakukan identifikasi aset teknologi informasi yang dimiliki oleh DISKOMINFO Penajam Paser Utara
2. Melakukan evaluasi praktik keamanan pada DISKOMINFO Penajam Paser Utara
3. Memberikan rekomendasi kepada DISKOMINFO Penajam Paser Utara langkah mitigasi risiko yang tepat dan sesuai dengan hasil penilaian risiko yang digunakan untuk pedoman dalam mengatasi permasalahan yang terjadi terhadap layanan teknologi informasi yang dimiliki
1.3 Batasan Masalah
Berdasarkan dari rumusan masalah didapatkan batasan masalah penelitian ini yaitu sebagai berikut.
1. Penilaian risiko dilakukan dengan menggunakan metode FMEA (Failure Mode Analysis)
2. Metode OCTAVE-S berfokus pada aset kritis dan infrastruktur yang berkaitan dengan aset kritis serta pengumpulan data dan identifikasi risiko dengan menggunakan worksheet pada metode OCTAVE-S
3. Mitigasi risiko yang dilakukan dengan mengacu kepada kontrol ISO 27001:2013
1.5 Manfaat Penelitian
Manfaat yang diperoleh dari pelaksanaan penelitian tugas akhir ini yaitu bagi Dinas Komunikasi dan Informatika akan mendapatkan informasi terkait risiko teknologi informasi yang berdasarkan aset kritis dan mendapatkan langkah mitigasi risiko yang mengacu pada standar ISO/IEC 27001:2013
1.6 Kerangka Pemikiran Penelitian
Kerangka pemikiran dari penelitian ini dapat dilihat pada Gambar 1.1.
Gambar 1.1 Kerangka Pemikiran Penelitian
Kerangka pemikiran penelitian pada Gambar 1.1 dibuat dengan menggunakan diagram fishbone. Permasalahan utama dari proses pelaksanaan penelitian adalah belum pernah dilakukannya analisis dan mitigasi risiko teknologi informasi pada Dinas Komunikasi dan Informatika (DISKOMINFO) Kabupaten Penajam Paser Utara. Permasalahan tersebut didasari dari empat Kategori yaitu Process, Policies, Procedures, dan People. Pada kategori Process terdapat permasalahan yaitu belum pernah dilakukannya analisis risiko keamanan informasi pada infrastruktur teknologi informasi. Permasalahan berikutnya adalah adanya aset TI yang dimiliki oleh DISKOMINFO yang mengalami kerusakan. Hal ini
disebabkan karena belum efektifnya pengelolaan aset TI yang dimiliki. Pada kategori Policies terdapat permasalahan yaitu belum adanya kebijakan terkait keamanan informasi pada DISKOMINFO. Ini dikarenakan usia DISKOMINFO yang masih muda. Untuk saat ini DISKOMINFO masih berfokus pada pengembangan sumber daya manusia. Pada kategori Procedures terdapat permasalahan yaitu belum adanya metode dan standard yang digunakan untuk melakukan mitigasi risiko. Dan karena adanya peraturan dari badan siber dan sandi negara republik Indonesia tentang manajemen pengamanan informasi. Dalam peraturan tersebut BSSN menetapkan standard yaitu ISO 27001. Pada kategori People terdapat permasalahan yaitu kurangnya sumber daya manusia di bidang TI.
Permasalahan yang lain yaitu kurangnya pelatihan pada sumber daya manusia guna meningkatkan kemampuan pada bidang TI. Untuk saat ini Jumlah pegawai secara keseluruhan pada DISKOMINFO ada 25-30 orang. Oleh karena itu DISKOMINFO masih berfokus pada pengembangan sumber daya manusia. Untuk segala permasalahan yang telah dijabarkan pada kerangka pemikiran penelitian maka dirumuskan topik penelitian yaitu analisis dan mitigasi risiko teknologi informasi dengan menggunakan metode OCTAVE-S untuk mengidentifikasi risiko, FMEA untuk melakukan penilaian risiko dan ISO/IEC 27001:2013 untuk menjadi acuan dalam memberikan rekomendasi mitigasi risiko pada DISKOMINFO Penajam Paser Utara. Metode ini diusulkan berdasarkan dari hasil studi literatur yang dilakukan. Metode ini dipilih berdasarkan dengan kebutuhan dan keadaan DISKOMINFO Sehingga pada penelitian ini akan dilakukan analisis dan mitigasi risiko teknologi informasi di DISKOMINFO Penajam Paser Utara.
