Professional Documents
Culture Documents
Makalah
Makalah
a Baut Se"a#te$a%
Ma$&iana 'a&i( )%
1)
S1 / Jurusan Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya email smile!"#lia$yahoo%&om
A*st$a+t: PT.AJBS is a company that works in providing items/machinery for industrial purposes. PT.AJBS has many product lines Therefore, implementing a new and capa le information system is a must. The new system need to have modules such as invetory, transaction, customer ! supplier data and accounting "ournal. These modules need to e integratedto the new system, called #ntegrated Trading System. #n addition, information security management is important ecause company$s information is an important asset for the company. PT.AJBS need to audit their current information security system to find out the level of security PT.AJBS has. #S% &'((& is the standard that PT.AJBS has to e met when auditing. #S% &'((& standard is chosen ecause of its fle)i ility. #t can e tailored according to the company$s needs, company$s visions, company$s security system re*uirement, usiness processes, human resource needa and the structure of the organi+ation, as well as information security system management. The result of maturity level &.,- is produced from the implementation of information security system audit. The result is categori+ed to level &, which is repeata le. This research also produces reccomendations for PT.AJBS such as etter information system processes and improvement in level of information security Keywords: audit, information security, #S% &'((&
'erseroan Terbatas (neka Jaya )aut Sejahtera *'T% (J)S) a+alah sebuah perusahaan +i bi+ang penga+aan perlengkapan +an peralatan pen+ukung in+ustri% 'T% (J)S memiliki jenis +an jumlah pro+uk yang besar, hal ini yang mengharuskan menerapkan 'T% teknologi (J)S informasi untuk yang
Manajemen 'T% (J)S saat ini belum mengetahui sampai +i mana tingkat keamanan +imilikinya% sistem informasi *.!!" yang 1) -ahar+jo
menyatakan bah/a masalah keamanan merupakan salah satu aspek penting +ari sebuah sistem informasi% 'entingnya nilai sebuah informasi menyebabkan informasi seringkali ingin +iakses oleh orang0orang tertentu se&ara ilegal% 1al ini +apat menimbulkan kerugian bagi perusahaan misalnya kerugian apabila sistem informasi ti+ak bekerja selama kurun /aktu tertentu, kerugian apabila a+a kesalahan +ata atau informasi +an kehilangan +ata% Sementara itu, selama penerapan aplikasi ITS ini telah terja+i beberapa ken+ala antara lain +itemukannya beberapa kasus penyalahgunaan password yang +apat
mema+ai% 'engelolaan in,entori, transaksi, +ata pelanggan, +an +ata supplier, serta keseluruhan keuangan #ntegrated penting, perusahaan% pelaporan +itangani Trading karena +an +alam System seluruh analisa sistem *ITS)% informasi
operasional yang terintegrasi yang bernama 'engelolaan keamanan informasi sangat perusahaan merupakan aset berharga bagi
mengan&am kerahasiaan perusahaan% Selain itu +ikha/atirkan +apat ber+ampak pa+a terja+inya penyalahgunaan informasi yang merugikan 'T% (J)S +alam persaingan +engan para kompetitor% Ken+ala lain yang +itemukan a+alah kurangnya pemeliharaan terha+ap fasilitas pemrosesan informasi yang +apat menyebabkan sistem menja+i sering hang, jaringan down, hingga terbakarnya harddisk yang menyebabkan hilangnya +ata perusahaan% 2i samping itu, 'T% (J)S juga belum memiliki aturan +an prose+ur terha+ap an&aman ,irus% (n&aman ,irus itu +apat menimbulkan gangguan kinerja sistem informasi bahkan +apat menga&au keberlangsungan operasional 'T% (J)S% Selama ini 'T% (J)S belum pernah melakukan analisa penyebab terja+inya permasalahan tersebut +an 'T% (J)S ti+ak mengetahui sampai +i mana tingkat keamanan sistem informasi yang milikinya% 3leh karena itu 'T% (J)S membutuhkan e,aluasi keamanan sistem informasi untuk menjaga keamanan sistem informasi yang +imilikinya% 4,aluasi keamanan sistem informasi +apat +ilakukan +engan au+it keamanan sistem informasi *(smuni +an 5ir+aus, .!!" .6)% Keamanan informasi +itujukan untuk menjaga aspek kerahasiaan *.onfidentiality), keutuhan *#ntegrity) +an keterse+iaan *Availa ility) +ari Informasi *IS3/I47 .8!!., .!!" 1)% (gar au+it keamanan sistem informasi +apat berjalan +engan baik
+iperlukan suatu stan+ar untuk melakukan au+it tersebut *Tanu/ijaya +an Sarno, .!1! 9!)% Menurut Sarno +an Iffano *.!!: ":) ti+ak a+a a&uan baku mengenai stan+ar apa yang akan +igunakan atau +ipilih oleh perusahaan untuk melaksanakan au+it keamanan sistem informasi% (u+it pa+a 'T% (J)S menggunakan stan+ar IS3 .8!!.% Stan+ar IS3 .8!!. +ipilih +engan pertimbangan bah/a stan+ar ini sangat
fleksibel +ikembangkan tergantung pa+a kebutuhan organisasi, tujuan organisasi, persyaratan jumlah organisasi% keamanan, +an Selain itu, proses ukuran bisnis, struktur pega/ai
pertimbangan
lainnya a+alah IS3 .8!!. menye+iakan sertifikat implementasi Sistem Manajemen Keamanan Informasi *SMKI) yang +iakui se&ara internasional yang +isebut #nformation Security /anagement Sistem *ISMS) certification *Sarno +an Iffano, .!!: ":0;!)% 2engan a+anya au+it keamanan sistem informasi pa+a 'T% (J)S ini +iharapkan (J)S% +apat ini mengukur juga tingkat keamanan teknologi yang +imiliki 'T% (u+it menghasilkan meningkatkan rekomen+asi untuk
keamanan informasi pa+a perusahaan, serta menja+i a&uan untuk memperoleh ISMS certification +engan stan+ar IS3 .8!!., sehingga menambah nilai tambah akan keper&ayaan pelanggan terha+ap 'T% (J)S%
Kea(anan In-.$(asi Keamanan Informasi a+alah penjagaan informasi +ari seluruh an&aman yang mungkin terja+i +alam upaya untuk memastikan atau menjamin kelangsungan bisnis * usiness continuity), meminimasi resiko bisnis *reduce memaksimalkan usiness risk) +an memper&epat atau
Sistem informasi a+alah kombinasi +ari teknologi informasi +an akti,itas, yang menggunakan teknologi untuk men+ukung kinerja, manajemen +an pembuatan keputusan *)eynon, .!!<)%
Audit (u+it +i+efinisikan sebagai proses atau akti,itas yang sistematik, in+epen+en +an ter+okementasi untuk menemukan suatu bukti0bukti *audit evidence) +an +ie,aluasi se&ara obyektif untuk menentukan apakah telah a+alah kon+isi memenuhi untuk tertentu +an kriteria memberikan yang pelaporan pemeriksaan gambaran +i mengenai *au+it) yang +itetapkan% Tujuan +ari au+it berlangsung
pengembalian in,estasi +an peluang bisnis *IS3/I47 .8!!1, .!!")% ISO 27002
IS3 .8!!. .!!" berisi pan+uan yang menjelaskan keamanan &ontoh informasi penerapan +engan
menggunakan bentuk0bentuk kontrol tertentu agar men&apai sasaran kontrol yang +itetapkan% )entuk0bentuk kontrol yang +isajikan seluruhnya menyangkut 11 area pengamanan Iffano kontrol sebagaimana *.!!: 198) +itetapkan +i +alam IS3/I47 .8!!1% Sarno +an mengatakan keamanan
perusahaan
pemenuhan terha+ap sekumpulan stan+ar yang ter+efinisi *IS(7(, .!!;)% Audit Siste( In-.$(asi =eber *=eber, 1:::) men+efinisikan (u+it Sistem Informasi sebagai proses pengumpulan +an penge,aluasian bukti *evidence) untuk menentukan apakah sistem informasi +apat melin+ungi aset, serta apakah teknologi informasi yang a+a telah memelihara integritas +ata sehingga ke+uanya +apat +iarahkan kepa+a
ber+asarkan IS3/I47 .8!!1 ter+iri +ari 11 klausul kontrol keamanan *security control clauses), 6: objektif kontrol *control o "ectives) +an 166 kontrol keamanan/ kontrol *controls) /.*it 0.) 73)IT +ikembangkan #nstitute oleh #T yang 0overnance *IT>I),
pen&apaian tujuan bisnis se&ara efektif +engan menggunakan sumber +aya se&ara efektif%
merupakan bagian +ari #nformation System Audit and Kontrol Association *IS(7()%
Pe(etaan ISO 27002 den1an /OBIT 0.)
informasi sehingga
yang suatu
ter+iri organisasi
+ari +apat
pengembangan suatu meto+e penilaian mengukur +irinya sen+iri +ari non0 eksisten ke tingkat optimal *value ! sampai +engan value ")%
METODO,O3I PENE,ITIAN ?angkah0langkah pelaksanaan au+it keamanan sistem informasi men&angkup
Meto+e IS3 .8!!. +igunakan untuk mengi+entifikasi tingkat kematangan penerapan kategorisasi *.apa ility pengamanan yang menga&u /odel +engan pa+a 1or atau 77MI
#ntegration)% Tingkat kematangan ini nantinya akan +igunakan sebagai alat untuk melaporkan pemetaan +an pemeringkatan kesiapan keamanan
IS3 188:: memberikan kontrol keamanan tetapi ti+ak bagaimana kontrol itu +ikembangkan atau +iatur% Ini +isebabkan IS3 bukan stan+ar teknis juga bukan untuk teknologi tertentu% 3leh karena itu ti+ak a+a mekanisme penilaian atau meto+e e,aluasi 16"), *>una/an +an Suhono, .!!;
'enentuan ruang lingkup au+it keamanan sistem informasi +ilakukan +engan &ara menentukan objektif kontrol yang akan +igunakan% 'erusahaan perlu melakukan pemilihan terha+ap kontrol0kontrol yang a+a +engan memperhatikan kebutuhan organisasinya, bagaimana &ara penerapan +an penetapan resiko jika kontrol tersebut ti+ak +ipenuhi% Kontrol +i+esain untuk memberikan kepastian bah/a tin+akan manajerial yang +ilakukan +apat memberikan kepastian bah/a tujuan bisnis akan +i&apai +an keja+ian yang ti+ak +iinginkan akan +apat +i&egah, +i+eteksi, +an +iperbaiki *Sarno, .!!:)% Tabel 1 merupakan pemetaan +ari pe+oman yang
sehingga pengi+entifikasian maturity level menga&u pa+a kerangka kerja 73)IT /arturity Mo+el atau /odel yang 77MI 1or proses *.apa ility #ntegration)% untuk teknologi
+igunakan
mengen+alikan
<
+igunakan terha+ap klausul0klausul IS3 .8!!.% Tabel 1 'emetaan Klausul IS3 .8!!.
K&ausu& 9 : 1! 11 16 1< Desk$i4si Keamanan S2M Keamanan 5isik +an ?ingkungan Manajemen Komunikasi +an 3perasi Kontrol (kses Manajemen Keja+ian Keamanan Informasi Manajemen Kelangsungan )isnis
/a/an&ara
+iperoleh
saat
prose+ur
pembuatan pertanyaan +ari pernyataan yang sebelumnya +ibuat% )ukti0bukti +an temuan au+it +iperoleh saat +ilakukan /a/an&ara kepa+a perusahaan% Setelah +i+apatkan bukti0bukti +an temuan au+it tersebut kemu+ian +ie,aluasi +an +ianalisa lalu menentukan nilai tingkat kemampuan tiap0 tiap kontrol keamanan% 7ontoh kerangka kerja perhitungan nilai maturity level +apat +ilihat pa+a Tabel ., untuk &ontoh hasil perhitungan tingkat kemampuan +apat +ilihat pa+a Tabel 6 +an &ontoh representasi hasilnya ke +alam +igram ra+ar +apat +ilihat pa+a >ambar 1%
dan
'elaksanaan au+it kepatutan menghasilkan +okumen /a/an&ara, bukti0bukti au+it, temuan au+it +an nilai tingkat kematangan tiap kontrol keamanan% 2okumen
Se+ikit
Aomor 'roses
DS)2
,e2e& Kede5asaan
N. 1 .
Pe$n!ataan Ter+apat kebutuhan untuk perlin+ungan fasilitas sumber +aya komputer Ter+apat kebutuhan untuk perlin+ungan fasilitas sumber +aya komputer T.ta& B.*.t
!%!!
!%66
!%; ;
Tin1kat Ke4atutan
).0 0
Tabel 6 7ontoh 1asil /aturity 2evel Klausul : Keamanan 5isik +an ?ingkungan
3bjektif Kontrol :%1 =ilayah Kontrol Kemananan :%1%1 'embatas Keamanan 5isik :%1%. Kontrol Masuk 5isik 7obit IT 'ro&esses 2S1. 2S1. /aturity 73)IT <%1 6%.! .%:: /aturity IS3 .8!!. 6%.! .%::
"
AI?(I
:%1%6 Keamanan Kantor, -uang, +an 5asilitasnya (man 3bjektif Kontrol :%1%< 'erlin+ungan Terha+ap (n&aman 2ari ?uar +an Sekitar Kontrol Kemananan
2S1. 2S1. 7obit IT 'ro&esses '3< '3; (I6 2S1. 2S" 2S1. 2S" 2S1. 2S1. (I6 2S1. 2S16 2S11
6%16 6%11 /aturity 73)IT <%1 .%9: .%"< 1%;" 6%18 1%:! 6%1! 1%:! 6%11 6%!9 1%;" 6%!9 .%"; .%<6 .%"< 6%.!
6%16 6%11 /aturity IS3 .8!!. .%"; .%:" .%"! .%"1 6%!9 .%<6 .%<6 .%98 2.7) .%;; -ata0-ata 3bjektif Kontrol
:%1%" )ekerja +i =ilayah (man :%1%; (kses 'ublik, Tempat 'engiriman, +an 'enurunan )arang :%.%1 ?etak 'eralatan +an 'engamanannya :%.%. Ctilitas 'en+ukung
:%.%< 'emeliharaan 'eralatan :%.%; Keamanan untuk 'embuangan atau 'emanfaatan Kembali 'eralatan :%.%8 1ak 'emanfaatan
temuan0temuan +an rekomen+asi tersebut +igunakan sebagai saran untuk perbaikan kontrol keamanan% Setelah seluruh perhitungan selesai +i+apatkan nilai maturity level +ari rata0rata keseluruhan nilai klasul yang +apat +ilihat pa+a Tabel <% >ambar 1 7ontoh -epresentasi Ailai /aturity 2evel Klausul : Keamanan 5isik +an ?ingkungan Penentuan dan Pen!usunan 'asi& Audit Siste( In-.$(asi 1asil au+it keamanan sistem informasi berupa temuan +an rekomen+asi untuk perusahaan% Temuan +an rekomen+asi
11 16 1<
tersebut berasal +ari hasil /a/an&ara yang +ilakukan, yang sebelumnya +ie,aluasi +an +ianalisa% ?aporan hasil au+it yang berupa
2.06
<% Ter+apat tanggung ja/ab manajemen pa+a pengelolaan keja+ian keamanan informasi% Se+angkan kon+isi yang perbaikan yaitu masih perlu
2i+apat representasi hasil maturity level seluruh klausul pa+a >ambar . +an terlihat bah/a Manajemen (set +an Keja+ian Keamanan Informasi memiliki nilai yang belum baik, sehingga harus +imanajemen ulang pa+a prose+ur untuk mengelola kontrol keamanannya%
belum +an
6% )elum +ilakukan pengkajian ulang +an pembaharuan hak akses se&ara berkala% 'embaharuan hak akses
>ambar . -epresentasi 1asil /aturity 2evel Seluruh Klausul Pen!usunan Te(uan Setelah +ilakukan analisa +an e,aluasi +ari au+it keamanan sistem informasi pa+a 'T% (J)S +i+apatkan beberapa kon+isi yang sesuai +engan kontrol keamananan pa+a IS3 .8!!. yang telah +itetapkan% )eberapa kon+isi tersebut yaitu
ti+ak +i/ajibkan se&ara berkala% <% )anyak belum prose+ur operasi yang yaitu ter+okumentasi,
prose+ur pemulihan, program start3 up, close3down, ack3up, sistem restart, penja+/alan pemeliharaan, instruksi penanganan kesalahan atau kon+isi istime/a lain, pembatasan penggunaan fasilitas sistem, +ll%
Pen!usunan Rek.(endasi )er+asarkan +ari temuan yang +i+apat +ari au+it keamanan sistem informasi maka +isusun rekomen+asi guna perbaikan untuk kon+isi0kon+isi pa+a perusahaan yang belum sesuai +engan prose+ur% )eberapa rekomen+asi tersebut yaitu
1% Menjabarkan perjanjian kerahasiaan se&ara +etail +an spesifik termasuk menjaga kerahasiaan password.
.% Membuat mo+ul0mo+ul pelatihan +an menga+akan pelatihan pa+a karya/an mengenai keamanan informasi%
a+a aturan baku yang bersifat formal% 6% Ailai maturity level yang +ihasilkan oleh 'T% (neka Jaya )aut Sejahtera yaitu .%<: yang termasuk pa+a kategori le,el . yaitu repeata le% 1al tersebut proses
6% Melakukan
pengkajian
ulang
tentang hak akses masing0masing +an pembaharuan hak akses apabila terja+i pemin+ahan bagian maupun kenaikan jabatan sesuai +engan hak akses masing0masing%
Kesi(4u&an )er+asarkan hasil au+it keamanan sistem informasi, maka +i+apat kesimpulan
menan+akan
bah/a
keamanan sistem informasi pa+a 'T% (neka Jaya )aut Sejahtera telah +ilakukan se&ara rutin, namun belum ber+asarkan aturan +an pan+uan formal%
Sa$an )eberapa saran yang +apat +iberikan untuk pengembangan lebih lanjut yaitu
1%
password peraturan
1% (u+it keamanan sistem informasi ini masih belum menggunakan keseluruhan klausul +an kontrol keamanan yang a+a pa+a IS3 .8!!.% 2iharapkan +apat +ilakukan au+it keamanan sistem informasi kembali +engan menggunakan keseluruhan klausul +an kontrol keamanan IS3 .8!!. setelah pihak perusahaan melakukan perbaikan keamanan sistem informasinya% .% )er+asarkan hasil au+it keamanan sistem informasi telah +ilakukan, +i+apatkan pernyataan bah/a pihak perusahaan belum pernah +iau+it +engan stan+ar0stan+ar lain% Cntuk 9
perusahaan yang kurang tegas +an kurang spesififk untuk kerahasiaan password, belum a+anya perjanjian atau pernyataan tertulis yang +itan+atangani untuk benar0benar menjaga kesa+aran karya/an .% kerahasiaan serta terha+ap password kurangnya pengetahuan pentingnya masing0masing,
merahasiakan password% Ter+apat kebijakan +an prose+ur yang bahkan belum a+a ter+okumentasi, beberapa tin+akan
itu +apat +ilakukan au+it sistem informasi menggunakan stan+ar lain selain IS3%
Sarno, -% +an Iffano, I% .!!:% Sistem Manajemen Keamanan Informasi% Surabaya ITS 'ress%
Da-ta$ Pustaka
Tanu/ijaya, 1% +an Sarno, -% .!1!% .omparation of .o iT /aturity /odel and Structural 4*uation /odel for /easuring the Alignment etween ;niversity Academic >egulations and #nformation Technology 0oals, International Journal of 7omputer S&ien&e an+ Aet/ork Se&urity, E3?%1! Ao%;, June .!1!% =eber, -on% .!!!% #nformation System .ontrol and Audit. Ae/ Jersey 'renti&e 1all, In&%
Information Te&hnology >o,ernan&e Institute% .!!8% .%B#T ,.5(6 .ontrol % "ective, /anagement 0uidelines, /aturity /odels% Cnite+ States of (meri&a IT >o,ernan&e Institute% IS(7(% .!!;% .#SA >eview /anual% IS3/I47% .!!"% #nformation Technology3Security Techni*ues3.ode of Practice for #nformation Security /anagement #S%/#4. 5''-9&'((&:6&((7% S/itDerlan+% IS3/I47%.!!"%#nformation Technology3 Security Techni*ues3 #nformation Security /anagement System #S%/#4. &'((56 &((7% S/itDerlan+% -ahar+jo, )u+i% .!!"% <eamanan Sistem #nformasi Ber asis #nternet% )an+ung 'T% Insan In+onesia%
Sarno, -iyanarto% .!!:% (u+it Sistem & Teknologi Informasi% Surabaya ITS 'ress%