B6 Seminar Nasional Teknologi Informasi 2016

Transkripsi

1 B6 Seminar Nasional Teknologi Informasi 2016 PERANCANGAN MODEL PENILAIAN KAPABILITAS PROSES MANAJEMEN RESIKO KEAMANAN INFORMASI MENGGUNAKAN ISO DAN ISO Studi Kasus: PUSAT KOMUNIKASI KEMENTERIAN LUAR NEGERI Alfred Saut 1) Kridanto Surendro 2) 1) 2) Sekolah Teknik Elektro dan Informatika, Institut Teknologi Bandung, Indonesia 1) apetsaut@gmail.com, 2) surendro@gmail.com ABSTRAK Model penilaian kapabilitas Manajemen Resiko Keamanan Informasi (MRKI) yang dirancang dalam penelitian berdasarkan ISO dan ISO Model penilaian terdiri dari dua dimensi yaitu dimensi proses dan dimensi kapabilitas. Dimensi proses terdiri dari 6 proses yaitu Penetapan Konteks, Penilaian Resiko, Penerimaan Resiko, Komunikasi Konsultasi, dan Monitoring Evaluasi. Model penilaian yang dirancang diujicobakan di Puskom Kemlu sebagai studi kasus. Pengumpulan data dilakukan dengan wawancara dan kuesioner. Hasil penelitian menunjukkan kapabilitas proses MRKI di Puskom Kemlu masih berada pada level 0 dengan skala P+(maximum partially achieved), dimana skala base pracices pada nilai 54,82% dan skala work produtcs pada nilai 33,93%. Key words MRKI, ISO 27005, model penilaian kapabilitas 1. Pendahuluan Dalam penyelenggaran tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting di dalam proses bisnis organisasi karena kinerja organisasi akan terganggu jika informasi sebagai aset organisasi mengalami masalah kerahasiaan, ketersediaan, dan keutuhan informasi. Terkait manajemen resiko keamanan informasi (MRKI) di instansi pemerintah telah terdapat panduan indeks keamanan informasi (indeks KAMI) sebagai tool assessment indeks keamanan informasi di Instansi Pemerintah. Penilaian indeks KAMI meliputi 5 area yaitu tata kelola keamanan informasi, manajemen resiko keamanan informasi, kerangka kerja pengelolaan keamanan informasi, pengelolaan aset informasi, dan teknologi keamanan informasi. Area manajemen resiko keamanan informasi yang dinilai pada indeks KAMI hanya penilaian tingkat kematangannya saja. Namun belum terdapat penilaian aktivitas atau langkah proses MRKI di instansi pemerintah. Berkaitan dengan hal tersebut, proses penerapan MRKI di instansi pemerintah harus dapat dinilai dan diukur untuk mengetahui apakah di instansi pemerintah terdapat aktivitas base practices MRKI dan apabila terdapat aktivitas MRKI maka dapat dinilai kapabilitas proses aktivitasnya beserta work produtcs (artefak) yang mendukung. Dengan latar belakang tersebut maka peneliti tertarik merancang model penilaian kapabilitas proses MRKI di instansi pemerintah berdasarkan prinsip dan aktivitas pada ISO dan model penilaian kematangan proses MRKI akan mengacu pada standar ISO Pertanyaan Penelitian 1) Bagaimana merancang model penilaian kapabilitas proses MRKI dengan menggunakan ISO dan ISO 33020? 2) Bagaimana desain kuesioner penelitian untuk menilai model penilaian tersebut? 3. Metodologi Penelitian Metodologi penelitian diuraikan penelitian sebagai berikut:. Gambar 1 Metodologi dan alur penelitian pada tahapan 36

2 Seminar Nasional Teknologi Informasi 2016 B6 4. Analisis Dimensi Proses MRKI Analisis dimensi proses penerapan MRKI di instansi pada penelitian pada ISO sebagai proses utamanya karena ISO yang sifatnya umum yang dapat diadopsi pada proses MRKI di instansi pemerintah. Peneliti tidak membuat dimensi proses baru karena di dalamnya ISO telah terdapat tujuan proses, subsub aktivitas yang dapat dijadikan acuan untuk membuat base practices, input dari proses, dan output dari proses. Analisis dimensi proses MRKI juga dilakukan dengan melakukan studi pustaka referensi standar MRKI lain. Standar atau kerangka kerja MRKI yang peneliti bandingkan dibatasi pada standar MRKI yang dipublikasikan NIST dan ISO. Berikut perbandingan dimensi proses MRKI: Gambar 2 Perbandingan Kerangka Kerja MRKI Dari perbandingan proses atau aktivitas MRKI yang dijelaskan pada gambar 2, bahwa aktivitas MRKI pada ISO terdiri dari 6(enam) aktivitas atau proses dibandingkan dengan dengan NIST dan NIST yang hanya terdiri dari 3 dan 4 proses. Peneliti mengadopsi proses yang ada pada ISO karena dimensi proses tersebut sifatnya umum (general) dan tidak spesifik pada organisasi tertentu. Peneliti menggunakan satu (1) model referensi proses yaitu ISO Model referensi proses untuk menetapkan dimensi proses yang baru dengan teori yang relevan dan memperkuat tujuan, input, aktivitas(base practices), output, dan outcomes dimensi proses tersebut[4]. a. Identifikasi Dimensi Proses MRKI pada ISO Proses MRKI berdasarkan ISO dijelaskan sebagai berikut: Gambar 3. Bagan proses/aktivitas MRKI[3] 1) Penetapan Konteks (Context Definition) Tujuan dari proses/aktivitas ini adalah mendapatkan konteks, batasan, dan ruang lingkup MRKI 2) Penilaian Resiko (Risk Assesment) Tujuan dari proses/aktivits ini adalah mendapatkan identifikasi resiko, nilai resiko kualitatif atau kuantitatif, prioritas resiko berdasarkan kriteria resiko 3) Perlakuan Resiko (Risk Treatment) Tujuan dari proses/aktivitas ini adalah mendapatkan rencana perlakuan resiko dan resiko residu sesuai tujuan organisasi 4) Penerimaan resiko (Risk Acceptance) Tujuan dari proses/aktivitas ini adalah mendapatkan sebuah daftar resiko yang sesuai dengan kriteria penerimaan resiko organisasi pada batas normal. 5) Komunikasi dan Konsultasi (Communication and Consultation) Tujuan dari proses/aktivitas ini adalah untuk mendapatkan persetujuan bagaimana resiko keamanan informasi dikelola dengan melakukan pertukaran atau sharing informasi tentang resiko antara pengambil keputusan dan stakeholder terkait. 6) Monitoring dan Evaluasi (Monitoring and Evaluation) Tujuan dari aktivitas ini adalah untuk mendapatkan informasi tentang faktor resiko dan evaluasi proses MRKI yang terus menerus diperbarui disesuaikan dengan sasaran bisnis dan kriteria penerimaan resiko organisasi. b. Penentuan dimensi proses MRKI dengan Process Reference Model (PRM) Pada penjelasan sebelumnya yaitu poin (a), model ini menggunakan satu PRM yaitu ISO Persyaratan PRM sesuai ISO dijelaskan sebagai berikut: 1) Proses harus menjelaskan tujuan dan outcomes proses; 37

3 B6 Seminar Nasional Teknologi Informasi ) Sekumpulan outcomes diperlukan untuk mencapai tujuan proses; 3) Deskripsi proses tidak memuat aspek yang tersirat dari karakteritik kualitas proses 4) Outcomes data berupa work produtcs (artefak) atau perubahan yang signifikan terhadap kondisi organisasi PRM yang peneliti gunakan mengadopsi dari proses yang ada pada ISO 27005, berikut satu contoh PRM yang dibuat sesuai persyaratan ISO 33004: Gambar 5. Detail Dimensi Proses Penetapan Konteks c. Validasi proses MRKI dengan Process Reference Model (PRM) Validasi PRM proses MRKI sesuai dengan persyaratan ISO item pernyataan persyaratan PRM diambil dari subbab 5.3 Requirement for Process Reference Model dan 5.4 Process Description. Validasi dilakukan self declaration (first party). Dari 11 item validasi 8(delapan) item telah memenuhi persyaratan di dalam persyaratan (requirement) ISO Gambar 4. PRM pada proses Penetapan Konteks Dari PRM diatas kemudian dikembangkan lagi lebih detail dari satu dimensi proses, yang terdiri dari: 1) ID Proses adalah nomor identitas unik untuk setiap proses; 2) Nama proses adalah nama dari sebuah proses/kriteria; 3) Tujuan proses adalalah sasaran tingkat tinggi dari sebuah proses dan outcomes yang dihasilkan dari implementasi yang efektif dari sebuah proses/kriteria; 4) Outcomes adalah merupakan hasil atau luaran yang hendak dicapai dalam suatu proses; 5) Base practices adalah aktivitas yang dilakukan dan berkontribusi pencapaian sebuah tujuan proses tertentu. 6) Work produtcs adalah bukti yang mendukung dilakukannya base practices dan berkontribusi untuk pencapaian satu outcomes atau beberapa outcomes. 5. Perancangan Model Penilaian menggunakan Process Measurement Framework (PMF) Perancangan model penilaian kapabilitas MRKI pada penelitian ini merujuk pada ISO yang disebut dengan Process Assesment Model (PAM). PAM merupakan proses untuk menentukan model yang cocok untuk tujuan penilaian karakteristik kualitas proses yang spesifik[4]. PAM terdiri dari dua dimensi yaitu satu dimensi untuk menggambarkan dimensi proses dalam bentuk Process Reference Model (PRM) yang menjelaskan tujuan, praktek, dan aktivitas yang dilakukan organisasi. Dimensi yang lain menggambarkan dimensi kualitas proses yaitu atribut proses yang mencerminkan tingkat kualitas suatu proses dalam bentuk Process Measurement Framework (PMF). Hubungan PAM, PRM, dan PMF digambarkan pada bagan dibawah ini: Detail dimensi proses dijelaskan pada gambar dibawah ini: Gambar 6 Hubungan PAM,PRM, dan PMF [4] 38

4 Seminar Nasional Teknologi Informasi 2016 B6 Seperti yang sudah dijelaskan subbab 4 sebelumnya, peneliti menggunakan satu PRM dimana dimensi proses MRKI yang diambil langsung diadopsi dari ISO yang terdiri dari 6 proses yaitu Penetapan Konteks, Penilaian Resiko, Perlakuan Resiko, Penerimaan Resiko, Komunikasi Konsultasi, dan Monitoring Evaluasi. Enam proses tersebut kemudian ditentukan tujuan proses, aktivitas dan sub-aktivitas yang dijadikan acuan base practices, input, output, dan outcomes proses. a. Penentuan tingkat kapabilitas proses Langkah pertama dari PMF adalah penentuan tingkat kapabilitas proses RKI. Tingkat kapabilitas proses MRKI yang peneliti adopsi dari ISO sebagai berikut: 1) Level 0: Incomplete process, proses MRKI tidak dilaksanakan dan gagal mencapai tujuan yang ditetapkan, tidak terdapat atau sedikit bukti pencapaian tujuan proses MRKI 2) Level 1:Performed process, proses MRKI yang dilakukan telah mencapai tujuan yang ditetapkan merupakan tahap awal penerapan MRKI 3) Level 2: Managed Process, proses MRKI pada level 1 berhasil direncanakan, dimonitor, dan dievaluasi. Work produtcs sudah didefinisikan, ditetapkan, dikontrol, dan didokumentasikan. 4) Level 3: Established process, proses MRKI pada level 2 menggunakan standar atau framework tertentu dan terdapat pembagian peran, tugas, dan tanggungjawab dalam penerapan MRKI. 5) Level 4: Predictable Process, proses MRKI pada level 3 telah dapat diukur secara kuantitatif dan proses MRKI dilakukan berdasarkan pengumpulan data kuantitatif dan dianalisis dengan metode statistik untuk memenuhi tujuan kuantitatif bisnis. 6) Level 5: Inovating Process, proses MRKI pada level 4 dilakukan secara berkelanjutan dan konsisten untuk mendapatkan peluang dan inovasi perbaikan proses MRKI. b. Penentuan skala rating atribut proses Skala pengukuran yang digunakan mengadopsi ISO dengan menggunakan skala ordinal. d. Penetapan level kapabilitas proses Gambar 8 Level kapabilitas proses e. Penilaian level kapabilitas proses Model penilaian yang dirancang dan dinilai adalah proses level 1 yaitu PA 1.1 Process Performance. Untuk menilainya menggunakan kuesioner. Kuesioner diisi dengan dengan memberikan nilai 1 atau 0 pada kolom Ada/Tidak. Jika organisasi melakukan base practices yang terdapat di dalam kuesioner maka responden memasukkan nilai 1 sebagai tanda jawaban Ada. Sedangkan jika base practices tidak dilakukan maka kolom akan diisi nilai 0. Jika organisasi menghasilkan work produtcs yang terdapat di dalam kuesioner maka kolom Ada/Tidak diisi dengan nilai 1. Bila work produtcs tidak dihasilkan maka kolom tersebut akan diisi nilai 0. Nilai kuesioner yang telah diisi dengan angka 1 dan 0 akan diubah menjadi skala N P- P+ L- L+ F dengan menggunakan persamaan dibawah ini: Gambar 7 Skala rating atribut proses[4] Gambar 9 Perhitungan skala base practices dan work produtcs 39

5 B6 Seminar Nasional Teknologi Informasi 2016 Bila skala base practices bernilai F dan skala work produtcs bernilai L-, maka nilai level kapabilitas proses level 1 dalam menerapkan MRKI adalah L-. Nilai level kapabilitas proses mengikuti nilai terendah rating atribut proses antara skala base practices dan work produtcs berdasarkan hasil kuesioner. f. Validasi PMF dengan ISO Validasi yang dilakukan dengan cara self-declaration (first party) yang terdapat pada ISO poin-poin subbab 4.1Conceptualization, 4.2 Construct Definiton, 4.3 Operationalization, 4.4 Construct Specification Examination, 4.5 Rating Process Atributes, 4.6 Agregation, dan 4.7 Sensitifity Analysis. Dari 24 item validasi, terdapat 17 item yang sesuai persyaratan. Pernyataan-pernyataan base practices dan work produtcs di dalam kuesioner penelitian mangacu pada detail dimensi proses yang digambarkan pada gambar 5. Berikut gambar dibawah ini contoh kuesioner penelitian pada dimensi proses Penerimaan Resiko (Risk Acceptance). 6. Penentuan model penilaian a. Usulan model penilaian Setelah dilakukan PRM pada poin 4(b) dan PMF pada poin 5 diusulkan model penilaian kapabilitas MRKI. Model penilaian terdiri dari 2 dimensi yaitu dimensi proses pada sumbu x dan dimensi tingkat kapabilitas proses pada sumbu y. Gambar 11 Contoh kuesioner penelitian pada dimensi proses Penerimaan Resiko (Risk Acceptance) b. Implementasi Studi Kasus Implementasi model penilaian dilakukan dengan studi kasus di Pusat Komunikasi Kementerian Luar Negeri (Puskom Kemlu). Jenis kuesioner dibagi menjadi 2 jenis yaitu kuesioner umum dan kuesioner khusus. Kuesioner umum untuk pejabat struktural, admin TI, dan petugas komunikasi KBRI. Kuesioner khusus untuk Kapuskom. Kuesioner umum terdiri dari 40 base practices dan 23 work produtcs. Kuesioner khusus terdiri dari 24 base practices dan 23 work produtcs. Hasil penilaian kapabilitas proses MRKI level 1 di Puskom Kemlu sebagai berikut: Gambar 10 Usulan model penilaian kapabilitas proses MRKI b. Validasi Process Assesment Model (PAM) dengan ISO Validasi yang dilakukan dengan cara self-declaration (first party) yang terdapat pada ISO Sembilan (9) pernyataan persyaratan validasi model referensi proses di Tabel Idiambil dari poin-poin subbab 6.3 Requirements for Process Assesment Model ISO Dari 9 item validasi, terdapat 8 item yang sesuai persyaratan. 7. Implementasi a. Desain kuesioner penelitian Gambar 12 Histogram base practices dan work produtcs MRKI level 1 40

6 Seminar Nasional Teknologi Informasi 2016 B6 Kapuskom sebagai information risk owner mempersepsikan telah melaksanakan base practices MRKI pada level Maximum Largely Achieved (L+), sedangkan pejabat struktural dan petugas komunikasi KBRI mempersepsikan bahwa base practices MRKI saat ini masih pada level maximum partially achieved (P+). Work produtcs MRKI yang dihasilkan menurut Kapuskom sudah pada level maximum partially achieved (P+), sedangkan menurut pejabat structural, admin TI, dan petkom KBRI minimum partially achieved (P-). Hasil penilaian dimensi proses per tipe responden sebagai berikut: Gambar 13 Detail Dimensi Proses Pejabat Struktural dan Admin TI Largely Achieved/Sebagian Besar Tercapai Minimum). Sedangkan, hasil penilaian work produtcs berada pada persentase 33,93% (Maximum Partially Achieved/Sebagian Tercapai Maksimum). Dengan hasil tersebut, maka dapat disimpulkan kababilitas proses MRKI Puskom Kemlu saat ini masih pada level Kesimpulan Kesimpulan dari penelitian ini sebagai berikut: 1. Telah berhasil dirancang model penilaian kapabilitas proses MRKI di instansi pemerintah menggunakan ISO dan ISO Dimana, model penilaian ini dapat dijadikan self-assesment tool untuk menilai kepaabilitas proses MRKI pada proses PA1.1 Process Performance. 2. Dimensi proses pada model penilaian ini terdiri dari 6(enam) dimensi proses yaitu penetapan konteks, penilaian resiko, perlakuan resiko, penerimaan resiko, komunikasi konsultasi, dan monitoring evaluasi. 3. Hasil penilaian kapabilitas proses MRKI di Puskom Kemlu masih berada pada level 0 dengan skala Maximum Partially Achieved/Sebagian Tercapai Maksimum dengan persentase 33,93%. Gambar 14 Detail Dimensi Proses Petugas Komunikas KBRI REFERENSI [1] Direktorat Keamanan Informasi Panduan Penerapan Tata Kelola Keamanan Infromasi bagi Penyelenggara Pelayanan Publik. Kementerian Komunikasi dan Informatika RI. Jakarta [2] Elmaallam, M. dan Kriouile, A.(2012): A Model ISR3Mfor assessing maturity of Information security risk management process Case study, [3] ISO/IEC Information Technology-Security Techniques-Information security risk management, [4] ISO/IEC Information Technology-Process Assesment-Process measurement framework for assessment of process capability, [5] Mayer,J. dan Fagundes,L. (2009): A Model to Assess the Maturity Level of the Risk Management Process in Information Security, FIP/IEEE Intl. Symposium on Integrated Network Management Workshops, Gambar 15 Detail Dimensi Proses Kapuskom Jika digabungkan hasil penilaian base practices antara pejabat structural, petkom KBRI, dan Kapuskom maka nilai kapabilitas proses MRKI di Puskom Kemlu saat ini berada pada persentase 54,82% (Minimum Alfred Saut Sibarani, memperoleh gelar S.ST dari Sekolah Tinggi Sandi Negara, Indonesia tahun Saat ini sedang mengambil S-2 di Sekolah Teknik Elektro dan Informatika, Institut Teknologi Bandung, Indonesia opsi Manajemen Rekayasa Keamanan Informasi. 41