AUDIT KEAMANAN SISTEM INFORMASI PADA INSTALASI SISTEM INFORMASI MANAJEMEN RSUD BANGIL BERDASARKAN ISO Danastri Rasmona Windirya 1)

Transkripsi

1 AUDIT KEAMANAN SISTEM INFORMASI PADA INSTALASI SISTEM INFORMASI MANAJEMEN RSUD BANGIL BERDASARKAN ISO Danastri Rasmona Windirya 1) 1) S1 / Jurusan Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya danastrirasmona.w@gmail.com Abstract: Asset management system in Installation SIM-RS as the center of operations RSUD Bangil use Avesina information system. Avesina information system has not been control information security so can lea to risk of loss information assets. As for risks such as the loss of data or physical damage to assets that could result in losses for the company. To minimize risk of information security operational processes in order to run properly and smoothly there should be an audit of the information system security Installtion SIM-RS in RSUD Bangil. Standard used ISO 27002: 2005 as a best practice for information security management to provide guidance improvement and development. Audits are performed, namely asset management, human resources security, physical and environmental security, access control and acquisition of information systems development and maintenance. Implementation audit on Installation SIM-RS to minimize risk of information securtiy. Result of the implementation of information systems security audit obtained an average value of 2.72 is active in the application of the repeatable. The findings and recommendations of the auditors are also done to improve the quality of existing information systems security in RSUD Bangil. Keywords : Audit, ISO 27002, Security Information systems, Maturity Level Menurut survei Information Security enurut survei Information Security Breaches Survey (ISBS) tahun 2012, setiap tahun jumlah pelanggaran terhadap keamanan informasi semakin meningkat disertai perkembangan teknologi yang semakin maju sehingga dibutuhkan pengontrolan keamanan informasi. Adapun jenis ancamannya, yaitu: virus, kegagalan sistem, penyalahgunaan informasi oleh pengguna, tidak adanya otorisasi akses dan pencurian akses informasi. RSUD Bangil merupakan salah satu institusi pemerintah pelayanan kesehatan pada masyarakat yang telah menerapkan teknologi informasi dalam kegiatan operasionalnya. Pengelolaan aset RSUD Bangil menggunakan sistem informasi Avesina di Instalasi SIM-RS sebagai pusat kegiatan operasional. Sistem informasi Avesina belum melakukan pengontrolan keamanan informasi sehingga dapat menimbulkan risiko kehilangan informasi aset yang dimiliki. Adapun risiko yang dihadapi seperti terjadinya kehilangan data ataupun kerusakan fisik terhadap aset dimana dapat menimbulkan kerugian bagi perusahaan. Untuk meminimalisasi risiko keamanan informasi agar proses operasional berjalan dengan baik dan lancar maka perlu dilakukan audit keamanan sistem informasi pada Instalasi SIM-RS di RSUD Bangil. Audit tersebut menggunakan ISO 27002:2005. Dalam penelitian ini audit yang dilakukan meliputi manajemen aset, keamanan Sumber Daya Manusia, keamanan fisik dan lingkungan, kontrol akses dan akuisisi sistem informasi pembangunan dan pemeliharaan. 1

2 LANDASAN TEORI Keamanan Informasi Whitman dan Mattord (2011) mengatakan bahwa informasi merupakan aset yang harus dilindugi keamanannya. Keamanan secara umum diartikan sebagai quality or state of being secure-to be free from danger. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Contoh tinjauan keamanan informasi sebagai berikut. a. Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam. b. Personal Security yang overlap dengan phisycal security dalam melindungi orang-orang dalam organisasi c. Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan. d. Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi. e. Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi. Masing-masing komponen diatas berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi adalah perlindungan informasi, termasuk system dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan informasi melindungin informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investassi dan peluang usaha. Keamanan informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya memastikan atau menjamin kelangsungan bisnis, meminimasi risiko dan memaksimalkan atau mempercepat pengambilan keputusan investasi dan peluang bisnis (ISO/IEC 27001, 2005). Menurut Sarno dan Iffano (2009) Keamanan informasi terdiri dari perlindungan terhadap aspek Confidentiality, Integrity dan Avalability yang dapat dilihat pada Gambar 1. dan dijelaskan sebagai berikut. a. Confidentiality (kerahasiaan) Aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. b. Integrity (integritas) Aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini. c. Availability (ketersediaan) Aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait. Integritas Kerahasiaan Informasi Ketersediaan Gambar 1. Elemen-elemen Keamanan Informasi (Sumber: Sarno dan Iffano, 2009) 2

3 Audit Keamanan Sistem Informasi Audit merupakan proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan dievaluasi secara obyektif untuk menentukan apakah telah memenuhi kriteria pemeriksaan (audit) yang ditetapkan ICASA (Sarno, 2009). Weber (1999) mengatakan audit sistem informasi dilakukan untuk mengumpulkan dan mengevaluasi bukti apakah sistem komputer yang digunakan telah dapat melindungi aset, menjaga integritas data, membantu pencapaian tujuan secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien untuk organisasi. Audit keamanan sistem informasi didefinisikan sebagai kajian yang dilakukan dalam memastikan proses dan infrastruktur keamanan sistem informasi telah diterapkan dengan benar. Tujuan dilakukan audit keamanan sistem informasi menurut Sarno (2009: 46) dapat menjaga aspek kerahasiaan (Confidentiality), keutuhan (Integrity) dan ketersediaan (Availability) dari informasi. ISO 27002: 2005 ISO 27002: 2005 adalah standard keamanan informasi sebagai best practice atau panduan umum yang menjelaskan adanya contoh penerapan keamanan informasi dengan menggunakan bentuk kontrol sehingga dapat mencapai sasaran yang diterapkan. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi. ISO menyediakan rekomendasi best practice terhadap manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab untuk proses inisiasi, implementasi, dan pemeliharaan Information Security Management Systems (ISMS) pada suatu organisasi. ISO 27002: 2005 menerapkan kontrol keamanan dimana pengontrolannya tersaji dalam bentuk 11 kontrol area, 39 kontrol objektif, dan 133 kontrol. (ISO/IEC 27002, 2005). METODOLOGI PENELITIAN Adapun metodologi penelitian diimplementasikan pada langkah audit keamanan sistem informasi yang terdapat pada Gambar Perencanaan Audit 2. Persiapan Audit 3. Pelaksanaan Audit 4. Pelaporan Audit Gambar 2. Langkah Audit Keamanan SI (Sumber: ISACA, 2010) 1. Perencanaan Audit Perencanaan audit dilakukan untuk memahami kondisi lingkungan yang akan diaudit. Perencanaan audit dilakukan dengan empat tahapan sebagai berikut. a. Pemahaman proses bisnis dan TI b. Menentukan ruang lingkup, objektif kontrol dan kontrol. c. Menentukan klausul, objektif kontrol dan kontrol. d. Membuat engegement letter. Langkah ini menghasilkan dokumen proses bisnis TI, ruang lingkup, objek dan tujuan audit. Selain itu juga menghasilkan klausul, objektif kontrol dan kontrol dengan standar ISO 27002: 2005 serta engement letter. 2. Persiapan Audit Sebelum pelaksanaan audit, diperlukan kegiatan persiapan audit yang dilakukan dalam empat tahapan sebagai berikut. 3

4 a. Proses penyusunan Audit Working Plan (AWP). b. Penyampaian kebutuhan data. c. Membuat pernyataan. d. Membuat pertanyaan. Langkah ini menghasilkan tabel audit working plan, surat kebutuhan data, daftar pernyataan dan daftar pertanyaan. 3. Pelaksanaan Audit Pada pelaksanaan audit, dilakukan pemeriksaan objek audit untuk menghasilkan bukti temuan sesuai dengan kebutuhan audit. Langkah pelaksanaan audit terdiri empat tahapan sebagai berikut. a. Melakukan pemeriksaan data dan bukti. b. Melakukan wawancara. c. Melakukan uji kematangan. d. Penyusunan daftar temuan audit dan rekomendasi. Langkah pelaksanaan audit menghasilkan data dan bukti berupa dokumen, foto maupun rekaman apakah data atau bukti yang dibutuhkan telah tersedia. Selain itu juga menghasilkan jawaban dari wawancara, nilai maturity level, susunan daftar temuan dan rekomendasi. 4. Pelaporan Audit Penyusunan hasil audit dilakukan dalam tiga tahapan sebagai berikut. a. Melakukan permintaan tanggapan atas daftar temuan audit. b. Penyusunan dan persetujuan draft laporan audit. c. Pertemuan penutup atau pelaporan hasil audit. Langkah ini menghasilkan permintaan tanggapan atas daftar temuan audit, hasil penyusunan dan persetujuan draft laporan audit dan hasil pertemuan penutup berupa exit meeting. HASIL DAN PEMBAHASAN Perencanaan Audit Pemahaman proses bisnis TI diperoleh dengan mempelajari profil, visi dan misi, struktur organisasi, job decription pegawai dan proses bisnis. Selanjutnya Instalasi SIM-RS sebagai objek audit, menentukan klausul sesauai dengan standar ISO 27002: Klausul yang digunakan sebanyak lima klausul dimana setiap klausul memiliki objektif kontrol dan kontrol. Adapun klausul dapat dilihat pada Tabel 1. Kemudian keseluruhan data tersebut dituangkan kedalam engagement letter. Adapun engagement letter yang telah dibuat, berisi poin yaitu mengenai tanggug jawab auditor, auditee, ruang lingkup audit yang diperiksa, jadwal kerja, metode kerja, fee dan persetujuan kedua belah pihak. Tabel 1. Klausul yang Digunakan Klausul Keterangan Klausul 7 Manajemen Aset Klausul 8 Keamanan Sumber Daya Manusia Klausul 9 Keamanan Fisik dan Lingkungan Klausul 11 Kontrol Akses Klausul 12 Akuisisi Sistem Informasi, Pegembanganan dan Pemeliharaan. Persiapan Audit Persiapan audit diawali dengan pembuatan Audit Working Plan (AWP) berupa jadwal kerja yang dimulai dari perencanaan sampai dengan pelaporan audit. Contoh Audit Working Plan dapat dilihat pada Tabel 2. 4

5 Tabel 2. Contoh Hasil Audit Working Plan Tahapan Awal Kegiatan Akhir Kegiatan Perencanaan Audit Pemahaman Proses 03/09/ /09/2012 bisnis Menentukan ruang 18/09/ /09/2012 lingkup objek audit dan tujuan audit Menentukan klasusul, 11/09/ /09/2012 objektif dan kontrol Membuat engagement 14/09/ /09/2012 letter Persiapan Audit Penyusunana AWP 18/09/ /09/2012 Penyampaian kebutuhan 24/09/ /09/2012 data Membuat pernyataan 24/09/ /11/2012 Membuat pertanyaan 06/11/ /11/2012 Persiapan audit dilanjutkan dengan membuat pernyataan dan pertanyaan yang digunakan auditor pada saat audit seperti ditunjukkan pada Tabel 3. Tabel 3. Contoh Pernyataan dan Pertanyaan No Pernyataan Pertanyaan 1 Terdapat penandatangan perjanjian kerahasiaan akses pada pegawai. 1. Apakah telah dilakukan penandatangan perjanjian kerahasiaan sebelum pegawai diberikan akses? 2. Siapa yang bertanggung jawab atas perjanjian kerahasiaanpengelolaan akses tersebut? Pelaksanaan Audit Pelaksanaan audit dilakukan pertemuan pendahulan audit untuk mendapatkan pemahaman yang sama antara auditor dengan auditi sebelum pelaksanaan dimulai. Pendahuluan audit telah didokumentasikan kedalam notulen pertemuan pendahuluan audit. Notulen pertemuan pendahuluan audit dapat dilihat seperti pada Gambar 3 sebagai berikut. Gambar 4. Notulen Hasil Pendahulan Audit Setelah dilakukan pertemuan pendahulan audit maka auditor melakukan pemeriksaan data dan bukti mengenai hal yang terkait dengan keamanan informasi. Berikut adalah contoh hasil pemeriksaan data dan bukti yang dituangkan melalui program audit pada Tabel 4. Tabel 4. Pemeriksaan Data dan Bukti Dari hasil wawancara dan observasi maka dilakukan pembobotan dan perhitungan nilai tingkat kedewasaan. Pembobotan mengacu pada kriteria yang terdapat pada Tabel 5, dimana hasil dari pembobotan dapat dilihat pada Tabel 6 dan pembobotan tersebut didapatkan nilai tingkat kedewasaan seperti ditunjukkan 5

6 pada Tabel 7. Berdasarkan hasil tersebut dibuatlah jaring laba-laba yang dapat dilihat pada Gambar 2. Tabel 5. Pembobotan Penilain Risiko. Risiko Bobot Keterangan Low 0,1-0,3 Pernyataan tersebut sangatlah penting untuk dilakukan atau diterapkan di perusahaan. Medium 0,4-0,6 Pernyataan tetap dilakukan atau diterpakna meskipun resio yang akan terjadi apabila ada ancamaa eamanan tidak sebesar dengan bobot risiko high. High 0,7-1,0 Pernyataan tersebut tidak terlalu wajib untuk dilakukan namun apabila diterapkan akan menambah keamanan pada system. Tabel 6. Contoh Hasil Pembobotan. Klausul: 9 Keamanan Fisik dan Lingkungan Objektif Kontrol : Keamanan Peralatan Kontrol: Penempatan dan Perlindungan Peralatan No Pernyataan Bo bot Ni lai 1 Terdapat penempatan secara khusus kepada peralatan yang penting untuk meminimalk an akses yang tidak perlu ke wilayah kerja Terdapat batasan pengolahan inforrmasi data yang sensitif. 0,8 2,4 Tabel 7. Hasil Tingkat Kedewasaan Klausul Deskripsi Klausul Hasil 7 Manajemen Aset 2,9 Manajemen Sumber Daya 8 Manusia 2,55 Keamanan fisik dan 9 Lingkungan 3,06 11 Kontrol Akses 3,02 12 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan 2,07 Nilai Rata-Rata Tingkat Kedewasaan 2,72 7 Manajemen Aset 3,5 2,9 2, Akuisisi Sistem 1,5 2 Informasi, Pe 2,07 0,5 1 mbangunan 0 11 Kontrol Akses 3,02 8 Manajemen 2,55Sumber Daya Manusia 9 Keamanan 3,06fisik dan Lingkungan Gambar 3. Kesimpulan Jaring Laba-Laba Jaring laba-laba pada Gambar 3 menunjukkan bahwa hasil tertinggi pada keamanan fisik dan lingkungan (klausul 9) yaitu sebesar 3,06. Bahwa kontrol keamanan berada pada level 3 yaitu defined yang dapat dilihat pada Tabel 8, artinya hasil proses keamanan telah dilakukan secara rutin dan sesuai dengan prosedur. Hal tersebut ditunjukkan dari perlindungan keamanan fisik bangunan yang dilindungi berupa pengawas, dan pengamanan yang memadai. Selain itu juga terdapat adanya aturan batasan akses masuk kedalam ruangan. Sedangkan tingkat kedewasaan terendah pada akuisisi sistem informasi, pembangunan dan pemeliharaan (klausul 12) yaitu sebesar 2,07. Bahwa kontrol keamanan berada pada level 2 yaitu repeatable, artinya proses keamanan informasi telah dilakukan secara rutin namun belum berdasarkan aturan dan panduan formal. Hal tersebut dapat dilihat dari tidak adanya prosedur yang diterapkan dalam memastikan kebocoran informasi yang terjadi didalamnya. Secara keseluruhan, tingkat kontrol keamanan yang diukur mendapat nilai sebesar 2,72 yang berarti bahwa kontrol keamanan masih berada pada level 2 yaitu repeatable. Hasil ini menunjukkan bahwa sebagian besar proses keamanan sistem informasi yang diterapkan masih bergantung kepada pengetahuan dari pelaksana, proses pengamanan informasi berjalan masih tanpa dokumentasi, pengamanan yang diterapkan masih di area 6

7 teknis dan manajemen keamanan informasi masih belum mendapatkan priortitas. Tabel 8. Model Kedewasaan Level Deskripsi 0 Non existent atau tidak dilakukan 1 Initial atau dilakukan informal. 2 Repeatable atau direncanakan dan dilacak 3 Defined atau didefinisikan dengan Baik 4 Managed atau dikendalikan secara kuantitatif 5 Optimized atau ditingkatkan terus-menerus Dari hasil temuan telah diberikan rekomendasi sesuai dengan ISO 27002: 2005 agar mampu meminimalisasi terjadinya risiko yang mucul dan memperbaiki kelemahan yang terjadi. Hasil temuan dan rekomendasi telah dituangkan pada daftar temuan dan rekomendasi seperti yang terlihat pada Tabel 9 berikut ini. Tabel 9. Contoh Hasil Daftar Temuan dan Rekomendasi. KESIMPULAN Berdasarkan hasil audit keamanan sistem informasi yang telah dilakukan maka dapat disimpulan sebagai berikut. 1. Audit keamanan sistem informasi manajemen pada Instalasi SIM-RS RSUD Bangil telah berhasil dilakukan sesuai dengan tahapan standar best practice ISO 27002: 2005 pada kontrol keamanan manajemen aset, keamanan Sumber Daya Manusia, keamanan fisik dan lingkungan, kontrol akses dan akusisi sistem informasi, pembangunan dan pemeliharaan. 2. Hasil pemeriksaan kontrol keamanan audit diperoleh tingkat kedewasaam 2,72 yaitu repeatable, artinya sebagian besar proses keamanan sistem informasi pada Instalasi SIM-RS yang ada pada RSUD Bangil masih bergantung kepada pengetahuan dari pelaksana, tanpa dokumentasi, pengamanan di area teknis dan manajemen keamanan belum mendapatkan priortitas. 3. Instalasi SIM-RS di RSUD Bangil harus segera menerapkan kebijakan dan prosedur untuk mengatasi insiden kelemahan sistem informasi. SARAN Beberapa saran yang dapat diberikan untuk pengembangan lebih lanjut adalah sebagai berikut. 1. Dalam kegiatan untuk melindungi keamanan sistem informasi di RSUD Bangil diperlukan adanya personil tambahan yaitu pegawai Instalasi SIM- RS untuk membantu kegiatan pengamanan operasional agar hasil rekomendasi audit yang telah diterima ini bisa direalisasikan secara cepat. 2. RSUD Bangil harus melakukan audit keamanan sistem informasi secara berkala agar dapat menurunkan risiko keamanan informasi pada Instalasi SIM-RS setidaknya setahun sekali. 3. Audit keamanan sistem informasi Instalasi SIM-RS di RSUD Bangil dapat dikembangkan dengan keamanan kontrol lainnya dengan menggunkaan standar ISO 27002:

8 DAFTAR PUSTAKA ISACA IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. USA. ISBS Information Security Breaches Survey: Technical Report. United Kingdom: Pwc ISO/IEC (27001) Information Technology Security Techniques Information Security Management. Switzerland. ISO/IEC (27002) Information Technology Security Techniques Information Security Management. Switzerland Sarno, Riyanarto Audit Sistem dan Teknologi Informasi. Surabaya: ITS Press. Weber, R Information System Control and Audit, The University of Queensland: Prentice Hall. Whitman, Michael E dan Mattord Herbert J Priciples of Information Security. USA: Course Technology. 8