Contoh Perencanaan Susunan Kepegawaian Bidang Kemananan Teknologi Informasi Dalam Sebuah Organisasi

Transkripsi

1 Contoh Perencanaan Susunan Kepegawaian Bidang Kemananan Teknologi Informasi Dalam Sebuah Organisasi Proteksi dan Keamanan Teknologi Informasi Fandhy Haristha S Hargo Wibowo X M. Reza Yamani Roy Sahat Siregar Taufik Rinaldi Magister Teknologi Informasi Fakultas Ilmu Komputer Universitas Indonesia 2005

2 Daftar Isi Cover 1 Daftar Isi Pendahuluan Tugas dan Tanggung Jawab XX Agency (Lembaga/Organisasi XX) Director of Program Operations Special Assistant to the Director (Information Security Officer) Supervisors 6 3. Fungsi Keamanan TI dalam organisasi Audit Physical Security Disaster Recovery/Contingency Planning Pengadaan (Procurement) Pelatihan Sumberdaya Manusia (Personalia) Risk Management/Planning Building Operations System Management/System Administrators Telekomunikasi Help Desk Maintenance of Security Program Kesimpulan 12 Daftar Pusataka 14 2

3 1. Pendahuluan Tulisan ini akan memberikan penjelasan mengenai bagaimana membuat rencana susunan kepegawaian (staffing) bidang keamanan teknologi informasi dalam sebuah organisasi. Dikutip dari rencana serupa yang dibuat oleh The National Institute of Standards and Technology (NIST) 1. Kebutuhan sumberdaya personel keamanan TI yang ideal disertai dengan tingkat dukungan minimal (minimum level of support) akan dibahas dalam perencanaan ini. Perencanaan ini khususnya ditujukan pada Lembaga Pemerintahan dan organisasi sejenis yang bersifat memberikan jasa kepada pihak lain. Minimnya anggaran yang tersedia bagi beberapa lembaga ini membuat mereka harus membuat keputusan dengan pertimbangan biaya yang efektif dan alokasi sumberdaya yang efisien. Dalam perencanaan ini susunan kepegawaian bidang keamanan TI pada umumnya dibagi menjadi: 1. Director of Program Operations (CIO atau Kepala Departemen/Lembaga) 2. Special Assistant to Director (Information Security Officer) 3. Supervisor 4. User Pada program keamanan TI yang ideal, deskripsi kerja dari manajer keamanan TI (security manager) dan staff seharusnya tidak pernah berubah, dan harus terdedikasi khusus menangani kemananan TI. Apa yang umumnya ditemukan pada banyak organisasi, personel keamanan TI mempunyai tugas yang tidak terdedikasi atau rangkap jabatan. Tidak cukup waktu untuk menyelesaikan tugas yang termasuk keamanan TI dan tugas yang bukan termasuk keamanan TI. Sering fungsi keamanan TI tidak diimplementasikan seperti Audit Reviews dan Contingency Plan, atau untuk sementara waktu terabaikan. Tugas 1 The National Institute of Standard and Technology adalah lembaga federal di Amerika Serikat yang berada dibawah 3

4 keamanan TI yang mendesak (time-sensitive) seperti manajemen hak akses diselesaikan dengan cepat tanpa menyediakan waktu untuk meninjau ulang dan merevisi prosedurprosedur yang dibutuhkan. Tulisan ini diawali dengan deskripsi dari beberapa elemen dari organisasi yang memiliki tanggung jawab terhadap keamanan TI atau terlibat dalam pembuat keputusan yang berhubungan dengan keamanan TI. Kemudian diikuti dengan fungsi dari beberapa personel keamanan TI tersebut disertai dengan susunan kepegawaian yang minimal dan ideal. 4

5 2. Tugas dan Tanggung jawab Pada bagian ini akan dijelaskan mengenai tanggung jawab keamanan TI dari setiap individu yang terlibat dalam kegiatan pembuat keputusan dalam sebuah organisasi. Deskripsi singkat mengenai induk organisasi dan tanggungjawab keamanan TI juga akan dibahas. Gambar dibawah ini memperlihatkan setiap individu dan hubungan diantara mereka dalam bentuk jalur otoritas kemananan (security authority lines). LSA Security Authority Lines XX agency Office of Security Director of Program Operations LSA Supervisors Special Assistant to the Director (Information Security Officer 2.1 XX Agency (Lembaga/Organisasi XX) Office of Security, dari suatu lembaga XX membuat beberapa kebijakan (policy) dan kebutuhan dalam bidang keamanan TI. Kebijakan ini mewajibkan seluruh sistem memenuhi standar minimal administrasi, personel dan keamanan teknis. Contohnya, termasuk contingency plan, fasilitas keamanan, proteksi terhadap komunikasi data dan jaringan bagi seluruh sistem dalam organisasi XX. 2.2 Director of Program Operations Direktur Program atau Kepala Departemen atau CIO, memberikan pengarahan dalam manajemen harian dalam seuatu organisasi. Tingkat sensitifitas dari data dalam organisasi membutuhkan program keamanan khusus. Program keamanan TI terdiri dari Information Security Officer yang terdedikasi dan beberapa staff dibawah Direktur Program. 5

6 Individu ini juga bertanggungjawab mengkoordinasikan semua interaksi yang berhubungan dengan keamanan diantara elemen organisasi yang terlibat dalam program keamanan komputer termasuk juga elemen eksternal dari organisasi. Direktur harus memastikan pengamanan (safeguards) administrative, fisik dan teknikal disertakan dalam setiap pengembangan dan perbaikan sistem aplikasi. Pengamanan ini termasuk mendefisikan dan menyetujui spesifikasi kemanan, partisipasi dalam tinjauan teknis terhadap proposal, mengadakan tinjauan terhadap perancangan fitur keamanan, ujicoba fitur keamanan, dan proteksi terhadap data dalam masa pengembangan Special Assistant to the Director (Information Security Officer) ISO dan staff mengevaluasi dan menyediakan informasi mengenai program keamanan terhadap manajemen, mengkomunikasikan kebutuhan keamanan dan punya perhatian yang lebih terhadap keamanan TI organisasi tersebut. ISO memastikan Rencana Keamanan Organisasi dikembangkan, ditinjau, diimplementasikan, dan direvisi dengan baik. Security awareness dan pelatihan yang dibutuhkan akan diatur dan dijalankan oleh ISO Supervisors Supervisor dari user organisasi memastikan bahwa setiap pegawai peduli terhadap kebutuhan keamanan TI organisasi tersebut. Mereka harus mengawasi aktifitas pegawai dan memastikan aktifitas tersebut sesuai (compliance) terhadap semua kebutuhan kemanan TI dan melaporkan setiap pelanggaran yang terjadi. 6

7 3. Fungsi Keamanan TI dalam organisasi Pada bagian ini akan dijelaskan beberapa fungsi yang terkait keamanan TI dari setiap staff keamanan TI dalam sebuah organisasi dan jumlah pegawai yang dianjurkan untuk menjalankan fungsi tersebut secara efektif. Staff keamanan TI harus mengerti dan mengimplementasi kontrol manajemen, operasional dan teknikal. Implementasi penuh terhadap semua jenis kontrol membutuhkan staff keamanan Ti dengan berbagai keahlian. Pada suatu saat tim keamanan tersebut bias bertindak sebagai spesialis pengadaan barang yang meninjau sebuah spefisikasi dari system upgrade atau kemudian bertindak sebagai pengajar dalam kelas IT security awareness. Dalam kenyataannya diberbagai organisasi dengan beragam tugas dari tim keamanan TI sering dihadapkan pada kekurangan sumberdaya atau prioritas beban kerja untuk menyelesaikan hanya tugas-tugas yang penting. Fungsi-fungsi yang dibahas dibawah ini mengandung jumlah staff yang dibutuhkan untuk menyelesaikan fungsi tersebut dalam tingkat yang minimal. Tingkat ini dihitung dalam bentuk prosentasi dari 1 staff per tahun. 3.1 Audit. Auditor bertanggungjawab dalam memeriksa sistem untuk melihat apakah sistem tersebut telah memenuhi kebutuhan keamanan TI. termasuk sistem dan kebijakan organisasi, dan apakah kontrol keamanan TI telah dijalankan dengan benar. Staff keamanan secara rutin setipa 3 tahun sekali melakukan tinjauan secara detil terhadap kegiatan operasional organisasi untuk memastikan perubahan-perubahan yang terjadi tetap sesuai dengan kebutuhan keamanan TI. Idealnya kegiatan ini dilakukan secara periodik dan direncanakan dengan baik. Staffing levels: Ideal 50% Minimum 35% 7

8 3.2 Physical Security Pada banyak organisasi, bagian keamanan fisik ini pada umumnya adalah staff keamanan berupa satuan pengamanan (satpam). Bagian kemanan fisik biasanya bertanggungjawab untuk mengembangkan dan menjalankan kontrol keamanan fisik yang baik, dengan konsultasi dengan manajemen keamanan komputer. program dan manajer fungsional, dan yang pihak lain yang diperlukan. Staf keamanan TI harus bekerjasama dengan bagian keamanan fisik dalam hal pengamanan fisik terhadap perangkat keras komputasi, instalasi terminal, fasilitas backup dan lingkungan kantor. Pemeriksaaan riwayat hidup staff keamanan Ti juga harus dikoordinasikan dengan bagian kemanan fisik. Staffing levels: Ideal 10% Minimum - 5% 3.3 Disaster Recovery/Contingency Planning Staff keamanan TI harus memiliki disaster recovery/contingency planning team. Tim ini bertanggungjawab pada aktifitas contingency planning organisasi tersebut dan bekerjasama dengan dengan bagian keamanan fisik, telekomunikasi, IRM, pengadaan barang dan pegawai lainnya. Staffing levels: Ideal 25% Minimum 15% 3.4 Pengadaan (Procurement) Bagian pengadaan bertanggungjawab untuk memastikan pengadaan barang dalam organisasi telah ditinjau oleh petugas yang berwenang. Staf keamanan bertanggungjawab untuk memastikan jasa dan operasi yang dilakukan organisasi telah memenuhi ekspektasi keamanan komputasi. Staff pengadaan harus memiliki pengetahuan yang cukup tentang standar keamanan TI dan harus digunakan dalam pekerjaan sehari-hari di bagian pengadaan. Staffing levels: Ideal 15% Minimum - 5% 8

9 3.5 Pelatihan Pelatihan mengenai keamanan TI termasuk dalam kebutuhan keamanan TI. Staff keamanan TI memiliki salah satu tanggung jawab utama untuk memberikan pelatihan kepada user, operator, dan manajer mengenai keamanan komputer. Staff mengembangkan alat bantu berupa video, kelas pelatihan untuk pekerja, auditor, manajer dan system administrator, material pembelajaran seperti brosur, trinkets, dan spanduk. Staff juga memberikan pelatihan dalam skala nasional dan ambil bagian dalam setiap pertemuan dan konferensi mengenai keamanan TI yang dilakukan pihak luar. Staffing levels: Ideal 100% Minimum 75% 3.6 Sumberdaya Manusia (Personalia) Bagian personalia dan staff keamanan TI harus bekerjasama dalam lekaukan investigasi terhadap latar belakang dan, prosedur pemberhentian kerja dari seorang pegawai yang hendak mengundurkan diri. Staff keamanan TI harus familiar terhadap istilah least privilege access dan separation of duties. Konsep yang mengimplikasikan tingkat sensitifitas dari data,, access control lists, akuntabilitas dari user ID s dan passwords. Staffing levels: Ideal 100% Minimum 50% 3.7 Risk Management/Planning Beberapa organisasi memiliki staff yang bertugas mempelajari berbagai tipe resiko yang mungkin dihadapi oleh organisasi. Staff keamanan TI harus mengembangkan proses untuk mengenali resiko yang ada dalam siklus hidup organisasi. Ketika sebuah kelemahan (vulnerabilities) terdeteksi, tim keamanan harus menganalisa resiko dan jumlah sumberdaya yang dibutuhkan untuk menurunkan resiko (mitigate the risk). Fungsi yang berkelanjutan ini membutuhkan tim yang memahami perkembangan teknologi dan mampu berkoordinasi dengan pihak manajemen, IRM dan petugas telekomunikasi. Staffing levels: Ideal 50% Minimum 15% 9

10 3.8 Building Operations Bagian pemeliharaan gedung bertanggungjawab dalam memastikan bahwa setiap fasilitas keamanan gedung, daya listrik dan kontrol lingkungan gedung, aman digunakan selama masa operasional organisasi. Staff keamanan TI harus berkoordinasi dengan mereka untuk memastikan bahwa kebutuhan pengamanan lingkungan sistem dan gedung telah terpenuhi. Staffing levels: Ideal 5% Minimum 1% 3.9 System Management/System Administrators Pegawai ini adalah manajer dan teknisi yang merancang dan mengoperasikan suatu sistem, jaringan komputer dan LAN dari organisasi. Mereka bertanggungjawab dalam mengimplementasikan kemanan teknis dan harus paham terhadap teknologi pengamanan TI yang berhubungan dengan sistem mereka. Mereka juga perlu memastikan kontinuitas dari layanan mereka dalam memenuhi kebutuhan manajer fungsional, serta menganalisa kelemahan yang ada pada sistem. Staff keamanan TI harus bekerjasama dengan manajer sistem dalam hal meneliti produk keamanan baru, evaluasi produk, ancaman, dan kelemahan pada sistem yang terdapat dalam organisasi. Staffing levels: Ideal 100% Minimum 50% 3.10 Telekomunikasi Bagian telekomunikasi bertanggungjawab untuk menyediakan layanan telekomunikasi termasuk telekomunikasi suara, data, video dan layanan faks. Tim harus berkoordinasi dengan bagian ini untuk memenuhi kebutuhan keamanan TI dan meneliti teknologi baru yang berhubungan dengan telekomunikasi serta bentuk-bentuk serangan pada jaringan telekomunikasi. Staffing levels: Ideal 50% Minimum 25% 10

11 3.11 Help Desk Apakah bagian Help Desk menangani atau tidak menangani setiap insiden, ia harus dapat mengenali gangguan keamanan dan meneruskan panggilan tersebut kepada pihak yang berwenang dalam organisasi untuk direspon. Tim keamanan TI harus bekerjasama dengan manajemen help desk untuk memastikan prosedur yang ada telah dijalankan dalam menangani insiden yang berhubungan dengan keamanan TI. Staffing levels: Ideal 15% Minimum 5% 3.12 Maintenance of Security Program Program keamanan membutuhkan beberapa aktifitas tambahan yang tidak tercantum dalam fungsi-fungsi diatas. Untuk setiap area fungsi harus memiliki dokumen penuntun bagi staff dan tim keamanan TI. Dokumen tersebut harus diteliti, ditulis, ditinjau dan diawasi secara berkala. Sebagai tambahan, manajemen harus memastikan penguasaan atau keahlian dalam bidang keamanan TI dimiliki oleh setiap staff/tim keamanan, serta selalu diperbaharui untuk setiap perubahan yang ada dalam organisasi dan sistem yang ada dalam organisasi tersebut. Bentuk umpan balik dari user juga perlu diadakan untuk mendapatkan tanggapan mengenai penerapan program keamanan TI dalam organisasi. Staffing levels: Ideal 100% Minimum 75% 11

12 4 Kesimpulan Sumberdaya minimal dari petugas yang menangani tulang punggung dari tim keamanan TI dalam suatu organisasi secara kasar adalah 4,5 staff setiap tahun. Idealnya, adalah 7,25 staff pertahun. Tabel dibawah ini merangkumkan sumberdaya kepegawaian yang dibutuhkan untuk menerapkan beberapa fungsi keamanan TI dalam organisasi. Rangkuman dari Fungsional dan Susunan Kepegawaian (Staffing) Security Staff Functions Ideal Percentage of Time Minimum Percentage of Time Audit 50% 35% Physical Security 10% 5% Disaster 25% 15% Recovery/Contingency Planning Procurement 15% 5% Training 100% 75% Personnel 100% 75% Risk 50% 15% Management/Planning Building Operations 5% 1% System 100% 50% Management/System Administrators Telecommunications 50% 25% Social Security 100% 100% Administration Liaison Help Desk 15% 5% Maintenance of Security Program 100% 75% Totals 7.25 staff years 4.5 staff years 12

13 Angka-angka diatas adalah angka relatif tergantung kebutuhan manajemen lini dalam menerapkan tanggung jawab keamanan TI didalam organisasi. Fungsi personalia dan keamanan fisik adalah area dimana level kepegawaian dapat dikurangi dengan adanya partisipasi dari manajemen. Pembagian fungsi-fungsi ini memungkinkan manajemen dari suatu organisasi menentukan tanggungjawab mana yang membutuhkan level kepegawaian (staffing) yang ideal dan mana yang hanya perlu level minimal, atau dilakukan outsourcing kepada entitas diluar organisasi. 13

14 Daftar Pustaka NIST. Sample of a Information Technology (IT) Security Staffing Plan For a Large Service Application (LSA)., Computer Security Division, National Institute of Standards and Technology (NIST), November 15, Krutz, Ronald L. The CISSP Prep Guide / Gold Edition 2003., Wiley, John & Sons, Incorporated, October2002. CISA. CISA Review Manual 2005., Information System, Audit and Control Association (ISACA),