KATA PENGANTAR. Denpasar, April Penulis

Transkripsi

1

2 KATA PENGANTAR Puji syukur penulis panjatkan kepada Ida Sang Hyang Widhi Wasa/Tuhan Yang Maha Esa, yang telah memberikan rahmat, karunia dan kesehatan pada kami berdua sehingga laporan dengan judul Audit Standar Keamanan pada Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) Kota Denpasar dapat diselesaikan tepat pada waktunya. Ucapan terima kasih kami sampaikan kepada Dinas Komunikasi dan Informatika Kota Denpasar dan Bagian Keuangan Setda Kota Denpasar khususnya bagian IT dan Operasional atas kesediaannya memberikan data dan informasi dan teman-teman serta semua pihak yang telah membantu terselesaikannya laporan ini. Penulis sangat menyadari laporan ini masih banyak kekurangan namun demikian penulis berharap semoga laporan ini dapat menjadi salah satu referensi bagi para pemerhati keamanan data dan informasi yang pada akhirnya dapat bermanfaat bagi kita semua. Denpasar, April 2016 Penulis i

3 ABSTRAK Dalam perkembangannya, Teknologi Informasi dan Komunikasi (TIK) telah banyak dimanfaatkan oleh berbagai organisasi termasuk di dalamnya institusi pemerintahan. Pemanfaatan TIK dalam proses pemerintahan (egovernment) dinilai dapat meningkatkan efisiensi, efektivitas, transparansi dan akuntabilitas penyelenggaraan pemerintahan. Dalam pengelolaan keuangan daerah, Pemerintah Kota Denpasar sudah menggunakan Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD). Karena peran vital aplikasi yang begitu penting dalam pengelolaan keuangan, maka perlu dilakukan audit untuk menilai standar keamanan sistem informasi sejauh mana proses manajemen keuangan pada Pemerintah Kota Denpasar dilihat dari 2 metode audit yaitu FISMA dan Cobit 5. Metode yang digunakan pada pengamatan ini adalah metodologi kualitatif sedangkan metode pengumpulan datanya dilakukan dengan Interview/wawancara dan kuisioner dengan narasumber yang telah ditentukan sesuai dengan domain dan Control Objective yang digunakan. Hasil dari penelitian ini didapatkan bahwa Sistem Informasi Pengelolaan Keuangan Daerah Denpasar (SIPKD) termasuk dalam kategori tingkat resiko yang tinggi apabila terjadi kesalahan pada sistem. Sedangkan dari Kontrol Keamanan yang terdiri dari tiga kelas Menejemen, Operasional dan Teknik, secara garis besar organisasi telah sadar dan telah melakukan serangkaian keamanan pada sistem, sehingga mampu melundungi data dan proses informasi dari dampak atas kesalahan yang terjadi. ii

4 DAFTAR ISI KATA PENGANTAR... i ABSTRAK... ii DAFTAR ISI... iii DAFTAR TABLE... v DAFTAR GAMBAR... vi BAB I... 1 PENDAHULUAN Latar Belakang Tujuan Manfaat Batasan... 2 BAB II... 3 TINJAUAN PUSTAKA Profil Pemerintah Kota Denpasar Struktur Organisasi Visi dan Misi Sistem Informasi Pengelolaan Keuangan Daerah Ruang Lingkup SIPKD Tujuan SIPKD Pengguna SIPKD FISMA Act of Tujuan FISMA National Institute Of Standards and Technology (NIST) COBIT Pengukuran Tingkat Kematangan (Maturity Level) BAB III METODOLOGI Gambaran Umum Penelitian Tempat Penelitian Sumber Data iii

5 3.4 Metode Pengumpulan Data Menentukan Maturity Level BAB IV PEMBAHASAN DAN HASIL NIST SP (kategori keamanan sistem informasi) NIST SP (Kontrol Keamanan) BAB V KESIMPULAN DAN SARAN Kesimpulan Saran DAFTAR PUSTAKA LAMPIRAN iv

6 DAFTAR TABLE Tabel 2.1. Level NIST Tabel 3.1. Tabel 3.1 Tabel Level NIST SP Tabel 3.2. Tabel 3.2 Tabel Level NIST SP Tabel 3.3 Tabel Maturity Level Tabel 3.4. Level NIST v

7 DAFTAR GAMBAR Gambar 2.1. Struktur Organisasi... 3 Gambar 2.2. Halaman Utama SIPKD... 3 Gambar 2.3. FIPS 199 dan SP Role... 3 Gambar 2.4. Level NIST Gambar 2.5. Domain Proses COBIT Gambar 2.6. Prinsip COBIT Gambar 2.7. Maturity Score COBIT vi

8 BAB I PENDAHULUAN 1.1 Latar Belakang Dalam kehidupan bernegara yang semakin terbuka, Pemerintah selaku perumus dan pelaksana kebijakan APBN berkewajiban untuk terbuka dan bertanggung jawab terhadap seluruh hasil pelaksanaan pembangunan. Salah satu bentuk tanggung jawab itu diwujudkan dengan menyediakan informasi keuangan yang komprehensif kepada masyarakat luas, termasuk informasi keuangan daerah dengan memanfaatkan kemajuan teknologi informasi yang demikian pesat guna mendorong terwujudnya pemerintahan yang bersih, transparan, serta mampu menjawab tuntutan perubahan secara efektif. Dalam pengelolaan keuangan daerah, Pemerintah Kota Denpasar sudah menggunakan Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD) sebagai alat bantu pemerintah daerah untuk meningkatkan efektifitas implementasi dari berbagai regulasi bidang pengelolaan keuangan daerah yang berdasarkan pada asas efesiensi, ekonomis, efektif, transparan, akuntabel dan auditable mulai dari perencanaan, penganggaran sampai dengan pertanggungjawaban. Sebagai koordinator implementasi SIPKD adalah Bagian Keuangan Sekretariat Daerah Kota Denpasar yang melibatkan Dinas Komunikasi dan Informatika Kota Denpasar sebagai penyedia infrastruktur jaringan intranet karena layanan SIPKD digunakan oleh semua instansi di lingkungan Pemerintah Kota Denpasar. Karena peran vital aplikasi yang begitu penting dalam pengelolaan keuangan, maka perlu dilakukan audit untuk menilai standar keamanan sistem informasi. Beragam kerangka kerja (framework) dapat dipakai untuk melakukan evaluasi terhadap standar keamanan informasi salah satunya adalah Federal Information Security Management (FISMA). FISMA awalnya merupakan standar atau pedoman berdasarkan undang-undang amerika serikat tahun 2012 dengan tujuan menggaris bawahi pentingnya keamanan informasi terhadap ekonomi dan keamanan di Amrika Serikat. Seiring berkembangnya waktu, FISMA banyak digunakan sebagai dasar standar atau pedoman keamanan sistem informasi 1

9 keamanan. Rincian pedoman FISMA menggunakan National Institute Of Standards and Techhology (NIST). Kelemahan FISMA adalah tidak dapat memberikan nilai tingkat kematangan (Maturity Level) dalam proses audit standar keamanan sistem informasi sehingga dalam penelitian ini dilakukan proses Mapping dengan framework COBIT Tujuan Menilai tingkat kematangan (Maturity Level) sejauh mana standar keamanan SIPKD pada Pemerintah Kota Denpasar dilihat dari 2 metode audit yaitu FISMA dan Cobit Mannfaat Manfaat dari dilaksanakannya audit ini adalah hasil penelitian ini diharapkan dapat dijadikan referensi untuk menilai tingkat kematangan (maturity level) yang berguna untuk mengukur standar keamanan SIPKD pada Pemerintah Kota Denpasar berdasarkan standar FISMA dan COBIT Batasan Batasan pada audit ini adalah : 1. Standar yang digunakan adalah FIPS Publication 199 (Security Categorization) NIST SP dan FIPS Publication 200 (Security Requirements) NIST SP Untuk menentukan nilai Maturity Level dari proses FIPS 199 dan FIPS 200 dilakukan proses mapping dengan framework COBIT 5 2

10 BAB II TINJAUAN PUSTAKA 2.1 Pemerintah Kota Denpasar Kota Denpasar terletak di tengah-tengah dari Pulau Bali, selain merupakan Ibukota Daerah Tingkat II, juga merupakan Ibukota Propinsi Bali sekaligus sebagai pusat pemerintahan, pendidikan, perekonomian.letak yang sangat strategis ini sangatlah menguntungkan, baik dari segi ekonomis maupun dari kepariwisataan karena merupakan titik sentral berbagai kegiatan sekaligus sebagai penghubung dengan kabupaten lainnya. Wilayahnya sendiri berbatasan dengan Kabupaten Badung di sebelah utara, Selat Badung atau Samudera HIndia di sebelah Selatan, Kabupaten Badung di sebelah barat dan Kabupaten Gianyar di sebelah timur. Terletak diantara 08 35" 31'-08 44" 49' lintang selatan dan " 23' " 27' Bujur timur.luas seluruh Kota Denpasar 127,78 km2 atau Ha, yang merupakan tambahan dari reklamasi pantai serangan seluas 380 Ha. 2.2 Struktur Organisasi Gambar 2.1. Struktur Organisasi 2.3 Visi dan Misi Visi Pemerintah Kota Denpasar adalah Denpasar Kreatif Berwawasan Budaya Dalam Keseimbangan Menuju Keharmonisan. Misinya terdiri dari: Menumbuh kembangkan jati diri masyarakat Kota Denpasar berdasarkan budaya Bali. 3

11 Memberdayakan masyarakat Kota Denpasar berlandaskan kearifan lokal melalui budaya kreatif. Mewujudkan Pemerintahan yang baik (good governance) melalui penegakan supremasi hukum (law enforcement). MeningkatkanpPelayanan publik menuju kesejahteraan masyarakat (welfare society). Mempercepat pertumbuhan dan memperkuat ketahanan ekonomi masyarakat melalui sistem ekonomi kerakyatan. 2.4 Sistem Informasi Pengelolaan Keuangan Daerah Sistem Informasi Pengelolaan Keuangan Daerah SIPKD adalah aplikasi terpadu yang dipergunakan sebagai alat bantu pemerintah daerah yang digunakan meningkatkan efektifitas implementasi dari berbagai regulasi bidang pengelolaan keuangan daerah yang berdasarkan pada asas efesiensi, ekonomis, efektif, transparan, akuntabel dan auditabel Aplikasi ini juga merupakan salah satu manifestasi aksi nyata fasilitasi dari Kementerian Dalam Negeri kepada pemerintah daerah dalam bidang pengelolaan keuangan daerah, dalam rangka penguatan persamaan persepsi sistem dan prosedur pengelolaan keuangan daerah dalam penginterpretasian dan pengimplementasian berbagai peraturan perundangundangan. Gambar 2.2. Halaman Utama SIPKD 4

12 2.4.1 Ruang Lingkup SIPKD SIPKD menyajikan informasi keuangan dan non keuangan daerah yang terdiri dari modul perencanaan, penganggaran, pelaksanaan dan penatausahaan serta pertanggungjawaban pengelolaan keuangan daerah yang terintegrasi dalam sebuah sistem, baik dalam lingkungan operasi online maupun offline. Modul Perencanaan, Modul aplikasi yang mendukung pemerintah daerah dalam menyusun Rencana Kerja Pemerintah Daerah (RKPD) yang merupakan penjabaran dari RPJMD dan mengacu kepada Rencana Kerja Pemerintah (RKP). RKPD memuat rancangan kerangka ekonomi daerah, prioritas pembangunan dan kewajiban daerah, rencana kerja yang terukur dan pendanaannya, baik yang bersumber dari pemerintah, pemerintah daerah maupun kemitraan dan partisipasi masyarakat. Output utama dari aplikasi ini adalah dokumen RKPD yang menjadi dasar penyusunan anggaran di tahapan berikutnya. Modul Penganggaran, Modul aplikasi yang mendukung pemerintah daerah dalam proses penyusunan anggaran, dimulai dengan penyiapan KUA dan PPAS. Modul ini memberikan fasilitas penyusunan RKA-SKPD dan RKA- PPKD, yang akan digunakan dalam proses penyusunan rancangan Peraturan Daerah tentang APBD dan rancangan Peraturan Kepala Daerah tentang Penjabaran APBD. Modul Pertanggungjawaban, Modul aplikasi yang mendukung pemerintah daerah dalam mempersiapkan laporan keuangan, dimulai dari Jurnal yang kemudian diposting ke buku besar, buku besar dijadikan dasar untuk membuat neraca saldo. Berdasarkan neraca saldo disusun Laporan Keuangan yang terdiri dari : Laporan Realisasi Anggaran, Neraca dan Arus Kas serta Catatan Atas Laporan Keuangan. Modul ini mengakomodasi kebutuhan entitas akuntansi, baik pada tingkat SKPD, tingkat PPKD, maupun tingkat Pemerintah Daerah. Dengan demikian, modul ini dapat menghasilkan jenis-jenis laporan sesuai dengan kebutuhan pada setiap tingkatan tersebut. 5

13 2.4.2 Tujuan SIPKD Penyelenggaran SIPKD dilaksanakan baik di pusat maupun di daerah. SIKD regional diselenggarakan oleh masing-masing pemerintahan daerah selama ini dikenal oleh masyarakat dengan nama Sistem Informasi Pengelolaan Keuangan Daerah(SIPKD). Penyelenggaraan SIPKD difasilitasi oleh Departemen Dalam Negeri. SIPKD yang diselenggarakan oleh Pemerintah disebut dengan SIPKD Nasional. Pemerintah menyelenggarakan SIPKD secara nasional dengan tujuan: merumuskan kebijakan dan pengendalian fiskal nasional; menyajikan informasi keuangan daerah secara nasional; merumuskan kebijakan keuangan daerah, seperti Dana Perimbangan, Pinjaman Daerah, dan Pengendalian defisit anggaran; dan melakukan pemantauan, pengendalian dan evaluasi pendanaan Desentralisasi, Dekonsentrasi, Tugas Pembantuan, Pinjaman Daerah, dan defisit anggaran daerah Pengguna SIPKD Sesuai dengan tujuan dibangunnya aplikasi Sistem Informasi Pengelolaan Keuangan Daerah (SIPKD), maka penggunaannya ditujukan kepada seluruh pemerintah provinsi dan kabupaten/kota di seluruh Indonesia. Lebih jauh, pada Surat Edaran No. SE.900/122/BAKD diamanatkan 6 (enam) regional sebagai basis pengembangan dan koordinasi, yaitu: Wilayah I, yang meliputi Aceh, Sumatera Utara, Sumatera Barat, Riau dan Kepulauan Riau dengan kantor regional di Provinsi Sumatera Barat; Wilayah II, yang meliputi Sumatera Selatan, Jambi, Bangka Belitung, Bengkulu dan Lampung dengan kantor regional di Provinsi Sumatera Selatan; Wilayah III, yang meliputi DKI Jakarta, Jawa Barat dan Banten dengan kantor regional di Provinsi Jawa Barat; Wilayah IV, yang meliputi Daerah Istimewa Yogyakarta, Jawa Tengah, Jawa Timur, Bali, Nusa Tenggara Barat dan Nusa Tenggara Timur dengan kantor regional di Provinsi Jawa Timur; 6

14 Wilayah V, yang meliputi Kalimantan Barat, Kalimantan Tengah, Kalimantan Selatan dan Kalimantan Timur dengan kantor regional di Provinsi Kalimantan Selatan; Wilayah VI, yang meliputi Sulawesi Selatan, Sulawesi Tenggara, Sulawesi Utara, Sulawesi Tengah, Sulawesi Barat, Gorontalo, Maluku, Maluku Utara, Papua dan Papua Barat dengan kantor regional di Provinsi Sulawesi Selatan. 2.5 Federal Information Security Management (FISMA) Act of 2002 FISMA Act of 2002 adalah hukum federal Amerika Serikat yang berlaku pada tahun 2002 sebagai judul III dari Undang-undang e-government 2002 yang mengatur pentingnya keamanan informasi untuk kepentingan ekonomi dan keamanan nasional Amerika Serikat. Aturan mengharuskan setiap agen federal untuk mengembangkan, dokumen, dan menerapkan program lembaga lainnya untuk memberikan keamanan data dan sistem informasi yang mendukung operasi dan aset lembaga, termasuk yang disediakan atau dikelola oleh lembaga, kontraktor, atau sumber lain lain. FISMA menekankan kebijakan berbasis risiko untuk keamanan hemat biaya. FISMA membutuhkan pejabat lembaga, petugas kepala informasi, dan inspektur jenderal (Irjen) untuk melakukan tinjauan tahunan program keamanan informasi organisasi dan melaporkan hasilnya kepada Kantor Manajemen dan Anggaran atau dikenal dengan singkatan OMB. OMB menggunakan data ini untuk membantu dalam pengawasan dan mempersiapkan laporan tahunan ini untuk rapat monitoring dan evaluasi. Pada tahun 2008, badan-badan federal menghabiskan $ mengamankan total investasi teknologi informasi pemerintah atau sekitar 9,2 persen dari total blueprint teknologi informasi Tujuan FISMA FISMA memberikan tanggung jawab khusus untuk badan-badan federal, National Institute of Standards and Technology ( NIST ) dan Kantor Manajemen dan Anggaran ( OMB ) untuk memperkuat sistem keamanan informasi. Secara khusus, FISMA membutuhkan kepala masing-masing instansi untuk menerapkan 7

15 kebijakan dan prosedur untuk biaya sehingga efektif mengurangi risiko keamanan teknologi informasi untuk tingkat yang dapat diterima. Menurut FISMA keamanan informasi berarti melindungi data dan sistem informasi dari akses yang tidak sah, penggunaan, pengungkapan, gangguan, modifikasi, atau perusakan dalam rangka memberikan integritas, kerahasiaan dan ketersediaan National Institute of Standards and Technology (NIST) NIST merupakan badan federal yang ditunjuk oleh FISMA untuk menyediakan pedoman atau standard keamanan untuk memperkuat keamanan informasi dan sistem informasi. Aturan-aturan NIST yang dipergunakan terkait dengan FISMA antara lain: FIPS Publication 199 (Security Categorization) FIPS Publication 200 (Security Requirements) NIST Special Publication , Rev 1 (Security Planning) NIST Special Publication , Rev 1 (Risk Management) NIST Special Publication (Certification & Accreditation NIST Special Publication Rev 3 (Recommended Security Controls) NIST Special Publication A Rev 1(Security Control Assessment) NIST Special Publication (Security Category Mapping) Gambar 2.3. Alur FIPS 199 dan SP

16 Fokus daerah audit mengenai kategori sistem informasi terhadap keamanan sistem informasi yang disediakan dalam aturan NIST SP ditunjukkan pada gambar 2.1. Gambar 2.4. Level NIST Dalam hal menilai kontrol keamanan informasi sebagaimana telah diatur dalam NIST SP terdapat beberapa obyek yang terkait, diantaranya : Tabel 2.2. Level NIST Code Contol Management Control (RA) Risk Assessment (PL) System Security Plan (SA) System and Service Acquisition (SA-7) User Installed Software (CA) Certification, Accreditation, and Security Assessments Operational Control (PS) Personnel Security (PE) Physical and Environmental Protection (CP) Contingency Planning 9

17 (CM) Configuration Management (MA) Maintenance (MA-6) Timely Maintenance (SI) System and Information Integrity (SI-8) Spam and Spyware Protection (MP) Media Protection (MP-5) Media Transport (IR) Incident Response (IR-6) Incident Reporting (AT) Awareness and Training (AT-3) Security Training Technical Controls (IA) Identification and Authentication (IA-6) Authentication Feedback (AC) Access Control (AC-9) Previous Logon Notification (AU) Audit and Accountability (AU-8) Time Stamps (SC) System and Communications Protection (SC-14) Public Access Protections 2.6 COBIT 5 Control Objectives for Information and related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat membantu auditor, manajemen dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan permasalahan teknis lainnya. COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information SystemAudit and Control Association (ISACA). COBIT saat ini yang dipakai yaitu COBIT 5.0 yang merupakan versi terbaru dari COBIT sebelumnya yaitu COBIT 4.1. COBIT 5 terbagi ke dalam 2 area yaitu governance dan manajemen. Kedua area ini total terdiri dari 5 domain dan 37 proses yaitu sebagai berikut : Governance of Enterprise IT Evaluate, Direct and Monitor (EDM) 5 proses 10

18 Management of Enterprise IT Align, Plan and Organise (APO) 13 proses Build, Acquire and Implement (BAI) 10 proses Deliver, Service and Support (DSS) 6 proses Monitor, Evaluate and Assess (MEA) 3 proses Gambar 2.5. Domain Proses COBIT 5 COBIT 5 memperlihatkan informasi dan teknologi yang terkait untuk diatur dan dikelola secara holistik untuk seluruh pemerintahan, mengambil penuh proses bisnis secara end-to-end dan area fungsional dari tanggung jawab, dengan mempertimbangkan pemangku kepentingan (stakeholder) TI di internal maupun eksternal. 11

19 Gambar 2.6 Prinsip COBIT 5 Gambar 2.7 COBIT 5 Maurity Score 2.7 Pengukuran Tingkat Kematangan (Maturity Level) Maturity model adalah suatu metode untuk mengukur level pengembangan manajemen roses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa agusnya pengembangan atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan COBIT yang. Sebagai contoh adalah ada beberapa proses dan sistem kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan. Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan 12

20 kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI. Maturity model dapat digunakan untuk memetakan : Status pengelolaan TI perusahaan pada saat itu. Status standart industri dalam bidang TI saat ini (sebagai pembanding) status standart internasional dalam bidang TI saat ini (sebagai pembanding) strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan) Perhitungan Index Maturity Level : 13

21 BAB III METODELOGI 3.1 Gambaran Umum Penelitan Penelitian dilakukan di lingkungan Dinas Komunikasi dan Informatika dan Bagian Keuangan Sekretariat Daerah Kota Denpasar yang berfokus pada tujuan utama yaitu menggaris bawahi kemanan Informasi. Pada sistem yang selama ini diandalkan yaitu Sistem Informasi Pengelolaan Keuangan Daerah Denpasar. 3.2 Tempat Penelitian Lokasi dilakukan penelitian beralamat di Jalan Majapahit No 1 Lumintang dan Jalan Gajah Mada No. 1 Denpasar, penelitian berfokus pada audit keamanan penggunaan Sistem Informasi Pengelolaan Keuangan Daerah Denpasar, dalam hal ini pada Bidang Piranti Lunak dan Bidang Penganggaran, dengan melakukan pengamatan, wawancara dan kuisioner kepada Tim IT dan Bagian Operasional. 3.3 Sumber Data Dalam penelitian ini menggunakan dua sumber data yaitu data Primer dan data Skunder, data Primer diproleh langsung dari observasi pada tempat penelitian dengan melakukan wawancara dan mengambil kuisioner dari responden Tim IT dan Bagian Operasional. sedangkan data Sekunder diperoleh dari sumber sumber yang dijadikan acuan pada literature untuk audit pada penelitian ini. 3.4 Metode Pengumpulan Data Metode pengumpulan data dalam penelitian ini adalah wawancara, kuisioner, observasi dan studi pustaka. a. Wawancara dilakukan terhadap beberapa narasumber yang dalam hal ini bertanggung jawab dalam penggunaan sistem informasi, diantaranya wawancara kepada Bagian IT dan Oprasional. b. Kuisioner dilkukan terhadap dua focus utama, sebagaimana diatur dalam FISMA Standar, yaitu yang pertama terhadap kategori keamanan sistem 14

22 informasi dalam hal ini diharapkan bisa memberikan tuntunan terhadap nilai dampak dari kemanan sistem informasi, kemudian yang kedua terhadap kontrol keamanan yang sudah berjalan pada sistem informasi pengelolan keuangan daerah denpasar (SIPKD) dalam teknik kuisioner ini dilakukan dengan mencari nilai maturity level terhadap standar dan pedoman dari FISMA. Untuk bobot dari tingkat kematangan yang akan dinilai, karena dalam hal ini FISMA sebagai Framework utama dalam melakukan audit pada penelitian ini, belum mampu dalam memberikan nilai terhadap kematangan dari setiap jawaban dari korenponden, maka dilakukan proses pemetaan terhadap COBIT 5, karena dalam cobit 5 mampu menyediakan nilai kedewasaan dari setiap bobot jawaban dari koresponden, sehingga dalam hal ini bisa memperoleh maturity level dari setiap standar pertanyaan dari yang diinginkan FISMA. Berikut adalah fokus daerah audit mengenai kategori sistem informasi terhadap keamanan sistem informasi yang disediakan dalam aturan NIST SP : Tabel 3.1 Tabel Level NIST SP FIP Publication 199 Confidentiality Low Moderate High Kerahasiaan Kerahasiaan Kerahasiaan terhadap sistem terhadap sistem terhadap sistem informasi informasi informasi memiliki memiliki memiliki dampak yang dampak yang dampak yang rendah terhadap serius atau berbahaya atau oprasi menengah tinggi terhadap organisasi dan terhadap oprasi oprasi aset organisasi. organisasi dan organisasi dan aset organisasi. aset organisasi. 15

23 Integrity Hilangnya Hilangnya Hilangnya integritas ketersediaan ketersediaan memiliki memiliki memiliki dampak rendah dampak serius dampak terhadap operasi atau menengah bebahaya dan dan aset terhadap operasi tinggi terhadap organisasi. dan aset operasi dan aset organisasi. organisasi. Availability Hilangnya suatu Hilangnya suatu Hilangnya suatu ketersediaan ketersediaan ketersediaan memiliki memiliki serius memiliki dampak rendah atau sedang dampak terhadap oprasi rendah terhadap berbahasya atau dan aset oprasi dan aset tinggi terhadap organisasi organisasi oprasi dan aset organisasi Dalam hal menilai kontrol keamanan informasi sebagaimana telah diatur dalam NIST SP terdapat beberapa obyek yang terkait, diantaranya : Tabel 3.2 Tabel Level NIST SP Code Contol Management Control (RA) Risk Assessment (PL) System Security Plan (SA) System and Service Acquisition (SA-7) User Installed Software (CA) Certification, Accreditation, and Security Assessments Operational Control (PS) Personnel Security 16

24 (PE) Physical and Environmental Protection (CP) Contingency Planning (CM) Configuration Management (MA) Maintenance (MA-6) Timely Maintenance (SI) System and Information Integrity (SI-8) Spam and Spyware Protection (MP) Media Protection (MP-5) Media Transport (IR) Incident Response (IR-6) Incident Reporting (AT) Awareness and Training (AT-3) Security Training Technical Controls (IA) Identification and Authentication (IA-6) Authentication Feedback (AC) Access Control (AC-9) Previous Logon Notification (AU) Audit and Accountability (AU-8) Time Stamps (SC) System and Communications Protection (SC-14) Public Access Protections c. Observasi, dalam proses observasi dilakukan pengamatan terhadap aktivitas yang terjadi, dari segi aktivitas terhadap pengguna dalam hal ini oprator dari Sistem Informasi pengelolaan keuangan daerah denpasar, sampai kepada manajemen yang mengawasi dan mengembangkan sistem informasi. Disamping itu dilakukan dengan mengamati proses dan prilaku sistem dalam hal ini yang bekaitan dengan keamanan dalam proses transaksi data pada sistem informasi yang sudah disiapkan sebelumnya materi pengamatan dan instrument yang digunakan. Proses ini biasanya disebut juga dengan observasi secara sistematik dimana peneliti secara lebih leluasa dapat menentukan perilaku apa yang dapat diamati pada awal kegiatan pengamatan, agar permasalahan dapat dipecahkan. 17

25 d. Studi pustaka, dalam melakukan pemahaman dalam subyek dan obyek serta sarana untuk aktivitas melakukan audit atau penelitian, tentu tidak terlepas dari bebagai sumber yang relevan yang harus digunakan, selain itu dokumen dokumen pendunkung yang berkaitan dengan Sistem Informasi Pengelolaan Keuangan Daerah Denpasar sangat penting dalam proses penelitian ini. 3.5 Menentukan Maturity Level Untuk mendapatkan nilai kematangan atas jawaban dari responden berdasarkan pertanyaan yang ada maka perlu ditentukan dengan maturity level, berikut adalah tabel tingkat maturity level yang terdapat 6 pilihan jawaban untuk responden dari 0 5, selanjutnya akan diambil rata rata dari bobot nilai yang diberikan oleh jawaban responden. Tabel 3.3 Tabel Maturity Level Aktivitas Tingkat Kematangan Jumlah Tingkat Kematangan Rata-rata Tabel 3.4 Tabel Kriteria Penilaian Nilai Maturity Level FISMA Level Level 0 Low Level 1 Low Level 2 Moderate Level 3 Moderate Level 4 High Level 5 High 18

26 BAB IV PEMBAHASAN DAN HASIL Setelah melakukan proses audit, melalui metode wawancara, observasi, kuisioner yang didasari sumber dan literature yang relevan terhadap audit, maka di dapat hasil sebagai berikut : 4.1 NIST SP (kategori keamanan sistem informasi) Tingkat dampak keamanan sistem informasi sangat tergantung pada proses berjalannya sistem dan prilaku individu di dalamnya, terlebih lagi sistem yang berbasis informasi umum dan menyakut dalam hal keuangan akan sangat sensitif terhadap dampak untuk kesinambungan proses dari sistem informasi dan organisasi. Dalam NIST SP dikatakan indentifikasi dari dampak buruk dalam sistem informasi harusnya dilakukan sedini mungkin. Pihak organisasi harus menunjau tingkat dampak sistem informasi dalam kontek lingkungannya sendiri. Pada umumnya setiap informasi memililki tingkat dampak yang berbeda tidak semua sistem informasi memiliki dampak yang sama. Dari proses wawancara dan kuisioner yang didasari aturan NIST SP sudah terlihat bahwa Sistem informasi pengelolaan keuangan daerah denpasar (SIPKD) dalam segi kerahasiaan berdampak sangat tinggi karena sistem berkaitan dengan pengeloaan keuangan, apabila proses data mengelami kebocoran maka akan sangat berbahaya terhadap sistem informasi, kemudian apabila terjadi perubahan sarana data dan sistem informasi secara illegal berdampak sangat serius terhadap berjalannya sistem, hal ini sesuai dengan yang diatur dalam integritas pada NIST SP , kemudian dari segi aviability atau ketersediaan dinilai berdampak menengah dan bisa dikategorikan serius apabila terjadi gangguan dalam proses transaksi, namun masih tedapat waktu toleransi dalam masa penyelesaian transaksi pada sistem informasi pengelolaan keuangan daerah denpasar (SIPKD). Dalam proses kuisioner dengan 4 orang koresponden, dari Kerahasiaan sistem ke empat koresponden memberikat penilain 5 terhadap kerahasiaan sistem informasi, dari segi integritas sistem 1 koresponden memberikan nilai 4 dan 3 19

27 koresponden memberikan nilai 5, kemudian dari ketersediaan sistem tiga orang koresponden memberikan nilai pada level 2 dan 1 orang memberikan nilai pada level 3, sehingga nilai rata rata yang didapat dalam mencarai kategori pada sistem informasi (SIPKD) adalah 4. FIPS Publication Jumlah Capability Level Confidentiality Integrity ,75 Availability ,25 Rata - rata 4 Security Category (SIPKD) = {(Confidentiality, HIGH),(Integrity,HIGH),(Aviability,MODERATE)} 4.2 NIST SP (Kontrol Keamanan) Kontol dalam keamanan sistem informasi sangat penting, hal ini juga sangat berkaitan dengan aktivitas individu dalam menggunakan sistem informasi yang bijak, dengan adanya kontrol terhadap keamanan sistem infomasi sangat mudah dalam membangun rencana penilaian keamanan yang efektif den seperangkat prosedur dalam menilai efektivitas pengendalian keamanan yang dipekerjakan dalam sistem informasi yang mendukung lembaga eksekutif pemerintah. Tentunya saja pedoman kontrol keamanan sangat dibutuhkan untuk membantu mencapai sistem informasi yang lebih aman dalam penerapan sistem informasi pengelolaan keuangan daerah denpasar. Dalam melakukan audit dengan standar NIST SP berpusat pada 17 area yang terhubung dengan keamanan yang berkaitan dengan kerahasiaan, integritasi sistem inforamsi yang diproses dan dikirim oleh sistem informasi SIPKD, setiap area yang terhubung dibagi menjadi tiga kelas umum kontrol keamanan diantaranya Manajemen, Operasional dan Teknis. 20

28 a. Manajemen Dari manajemen dilakukan obyek penelitian pada Sertivikasi dan akreditasi yang sudah dimiliki dari sistem informasi (SIPKD), Perencanaan yang matang terhadap kontrol keamanan maupun pengembangan sistem serta mengenal penilaian resiko yang ada pada sistem, setelah dilakukan audit dengan menggunakan standar yang sudah ditetapkan maka hasilnya secara rata rata berada di capability level , dengan perolehan jawaban dari koresponden untuk kategori keamanan sistem informasi (SIPKD) ke 4 korenponden memberikan nilai pada level 4 yang artinya, dalam hal menentukan keamanan dan memberikan penilaian terhadap kategori keaman sistem informasi (SIPKD) sudah cukup tinggi. Sementara dari perencanaan keamanan pada sistem informasi 1 koresponden menjawab pada level 1, 2 koresponden memberikan penilaian pada level 4 dan 1 koresponden memberikan penilaian pada level 5. Dalam hal kesadaran akan pentingnya rencana keamana pada sistem informasi berada pada rata rata level yang tinggi yaitu 4. Pada sistem dan layanan dalam hal ini dalam memenejemen pengguna yang dapat melakukan pemasangan software, bagaimana sistem melakukan kontrol keamanan pada hal ini, 3 koresponden memberikan nilai pada level 2, 1 koresponden memberikan nilai pada level 3 sehingga rata rata terdapat pada level 2,25. Secara keseluruhan pada kelas manajemen kontrol pengelolaan menejemen resiko bahwa Sistem informasi (SIPKD) mengimplementasikan rencana dan metode untuk menanggulangi keamanan sistem. b. Operasional Dari Operasional peneilitian ini bertujuan untuk mengetahui kontrol keamanan yang terjadi pada sistem informasi (SIPKD) dengan acuan standar yang sudah ditentukan antara lain. Pada sisi Personil Keamanan, perlindungan terhadap aset keamanan, perencanaan kotijensi, pelatihan kontijensi, pemeliharaan, perlindungan media terhadap spam dan spyware, pelaporan terhadap insiden dan kesadaran untuk pelatihan. dalam hal ini 21

29 setelah dilakukan penilaian melalui kuisioner koresponden memberikan penilaian rata rata secara menyeluruh 2,25. c. Teknis Dalam hal teknis proses audit dilakukan pada pada beberapa hal yang berkaitan dengan teknis dari kontrol keamanan pada sistem informasi (SIPKD) dianataranya. Proses identifikasi dan Atentikasi terhadap input sistem, seperti proses login user pada sistem, bagaimana sistem dapat mekakukan otentikasi berdasarkan akses dari user tersebut. Dan kebijakan proses perlindungan akses sistem ke public serta mencatan kesalahan kesalah yang terjadi sebagai bahan dari evaluasi sistem. Dari penilaian responden terhadap kelas teknis ini rata rata nilai level yang di peroleh pada nilai 3,06 hal ini menandakan sistem informasi (SIPKD) telah mampu dalam mengelola batasan hak akses user dan mencatat setiap kesalahan yang terjadi pada sistem. Nilai rata rata pada maturity level Domain Maturity Level Kontrol Menejemen 3,1875 Kontrol Oprasional 2,25 Kontrol Teknikal 3,06 Nilai Maturity Level 2,8325 Dari hasil rata rata pada ketiga kelas kontrol, Menejemen, Oprasional dan Teknik, menujukan hasil yang cukup bagus. Organisasi secara garis besarnya sudah sadar dan telah melakukan serangkaian keamanan pada sistem, pada sistem informasi sendiri sudah terdapat kontrol kontrol keamanan yang bisa melundungi data dan proses informasi dari dampak atas kesalahan yang terjadi. 22

30 BAB V KESIMPULAN DAN SARAN 5.1 Kesimpulan Dari hasil penelitian dan rancangan audit Sistem Informasi Pengelolaan Keuangan Daerah Denpasar. Maka dapat diambil kesimpulan sebagai berikut : 1. Dasar dari Framework Audit FISMA adalah undang undang yang dikeluarkan pemerintah Amerika Serikat pada tahun 2002 yang bertujuan untuk menggaris bawahi pentingnya keamanan informasi terhadap ekonomi dan keamanan. Terdapat beberapa pedoman yang menjadi nilai standar dari FISMA yang kemudian dikeluarkan oleh NIST. 2. Standar FISMA diharapkan mampu memberikan penilaian dan memberikan saran atas kelemahan pada sistem, namun pada penelitian ini untuk mencari nilai pada tingkat kedewasaan dari maturity level perlu dilakukan dengan menggunakan framework COBIT 5, karena cobit 5 menyediakan nilai nilai tingkat kedewasaan dari yang dibutuhkan FISMA. 3. Setelah dilakukan proses pemetaan FISMA dan COBIT 5, maturity level dari setiap nilai nilai dari setandar FISMA dapat ditentukan, dan Sistem Informasi Pengelolaan Keuangan Daerah Denpasar (SIPKD) telah mencapai tingkat kematangan dengan nilai rata rata 4 untuk kategori keamanan sistem informasi dan nilai rata rata 2,8325 untuk Kontrol keamanan Sistem Informasi. 4. Berdasarkan rata rata nilai maturity level maka dapat di tentukan bahwa Sistem Informasi Pengelolaan Keuangan Daerah Denpasar (SIPKD) termasuk dalam kategori tingkat resiko yang tinggi apabila terjadi kesalahan pada sistem. Sedangkan dari Kontrol Keamanan yang terdiri dari tiga kelas Menejemen, Operasional dan Teknik, secara garis besar organisasi telah sadar dan telah melakukan serangkaian keamanan pada sistem, sehingga mampu melundungi data dan proses informasi dari dampak atas kesalahan yang terjadi. 23

31 5.2 Saran Saran yang dapat diberikan terkait penelitian ini adalah untuk meningkatkan Akses Kontrol Terhadap Keamanan Sistem Informasi (SIPKD) karena dari kesimpulan yang diberikan pada NIST SP , bahwa jika terjadi kesalahan pada sistem akan berdampak cukup tinggi terhadap organisasi. 24

32 DAFTAR PUSTAKA Faisal Shirazee, MSNS, CISSP. FISMA reporting and NIST guidelines. National Institute Standard and Technology (NIST),, Version 1.2, May 24, Guide for the Security Certification and Accreditation of Federal Information Systems Bakuan audit keamanan informasi kemenpora, Kementrian pemuda dan olahraga repub. Indonesia. Computer Security Division Information Technology Laboratory, June 2010, Guide for Assessing the Security Controls in Federal Information Systems and Organizations 25

33 LAMPIRAN Management Control Jumlah Capability Level Risk Assessment (RA) (RA-2) Security Category Planning (PL) (PL-2) System Security Plan System and Service Acquisition ,25 (SA) (SA-7) User Installed Software Certification, Accreditation, and ,5 Security Assessments (CA) (CA-5) Plan of Action and Milestones Rata rata 3,1875 Operational Control Jumlah Capability Level Personnel Security (PS) ,75 (PS-3) Personnel Screening Physical and Environmental Protection (PE) (PE-17) Alternate Worksite Contingency Planning (CP) ,5 (CP-3) Contingency Training Configuration Management ,25 (CM) (CM-7) Least Functionality Maintenance (MA) ,5 (MA-6) Timely Maintenance System and Information Integrity ,25 (SI) (SI-8) Spam and Spyware Protection Media Protection (MP) ,25 (MP-5) Media Transport Incident Response (IR) ,75 (IR-6) Incident Reporting Awareness and Training (AT) ,25 (AT-3) Security Training Rata rata 2,25 Technical Controls Jumlah Capability Level Identification and Authentication ,25 (IA) (IA-6) Authentication Feedback Access Control (AC) ,75 26

34 (AC-9) Previous Logon Notification Audit and Accountability (AU) (AU-8) Time Stamps System and Communications ,25 Protection (SC) (SC-14) Public Access Protections Rata Rata 3,06 27

35 2016