FAKULTAS ILMU KOMPUTER UNIVERSITAS DIAN NUSWANTORO SEMARANG

Transkripsi

1 LAPORAN TUGAS AKHIR AUDIT TATA KELOLA TEKNOLOGI INFORMASI BERBASIS COBIT 5 (DSS05) UNTUK EVALUASI KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI DAN INFORMATIKA KABUPATEN KENDAL Disusun Oleh: Nama : Tri Rachmawati Sari NIM : A Program Studi : Sistem Informasi - S1 FAKULTAS ILMU KOMPUTER UNIVERSITAS DIAN NUSWANTORO SEMARANG 2016 i

2 LAPORAN TUGAS AKHIR AUDIT TATA KELOLA TEKNOLOGI INFORMASI BERBASIS COBIT 5 (DSS05) UNTUK EVALUASI KEAMANAN SISTEM INFORMASI PADA DINAS KOMUNIKASI DAN INFORMATIKA KABUPATEN KENDAL Laporan ini disusun guna memenuhi salah satu syarat untuk menyelesaikan program studi Sistem Informasi S-1 pada Fakultas Ilmu Komputer Universitas Dian Nuswantoro Disusun Oleh: Nama : Tri Rachmawati Sari NIM : A Program Studi : Sistem Informasi - S1 HALAMAN JUDUL FAKULTAS ILMU KOMPUTER UNIVERSITAS DIAN NUSWANTORO SEMARANG 2016 ii

3 PERSETUJUAN LAPORAN TUGAS AKHIR NB: Halaman ini tidak perlu dihapus dan dicetak Silakan download halaman ini di siadin setelah ujian iii

4 PENGESAHAN DEWAN PENGUJI NB: Halaman ini tidak perlu dihapus dan dicetak Silakan download halaman ini di siadin setelah ujian iv

5 PERNYATAAN KEASLIAN TUGAS AKHIR NB: Halaman ini tidak perlu dihapus dan dicetak Silakan download halaman ini di siadin setelah ujian v

6 PERNYATAANPERSETUJUAN PUBLIKASI KARYA ILMIAH UNTUK KEPENTINGAN AKADEMIS NB: Halaman ini tidak perlu dihapus dan dicetak Silakan download halaman ini di siadin setelah ujian vi

7 UCAPAN TERIMAKASIH Dengan memanjatkan puji syukur kehadirat Allah SWT. Tuhan Yang Maha Pengasih dan Maha Penyayang yang telah melimpahkan segala rahmat, hidayah dan inayah-nya kepada penulis sehingga laporan tugas akhir dengan judul Audit Tata Kelola Teknologi Informasi Berbasis COBIT 5 (DSS05) Untuk Evaluasi Keamanan Sistem Informasi Pada Dinas Komunikasi Kabupaten Kendal dapat penulis selesaikan sesuai dengan rencana karena dukungan dari berbagai pihak tidak ternilai besarnya. Oleh karena itu penulis menyampaikan terimakasih kepada: 1. Dr. Ir. Edi Noersasongko, M.Kom, selaku Rektor Universitas Dian Nuswantoro Semarang. 2. Dr. Abdul Syukur, MM, selaku Dekan Fakultas Ilmu Komputer. 3. Affandy, Ph. D, selaku Ketua Progam Studi Sistem Informasi-S1. 4. Wellia Shinta Sari, M.Kom, selaku dosen pembimbing yang telah memberikan ide penelitian, memberikan informasi referensi yang penulis butuhkan dan bimbingan yang berkaitan dengan penelitian penulis. 5. Dosen-dosen pengampu di Fakultas Ilmu Komputer Sistem Informasi-S1 Universitas Dian Nuswantoro Semarang yang telah memberikan ilmu dan pengalamannya masing-masing, sehingga penulis dapat mengimplementasikan ilmu yang telah disampaikan. 6. Abd. Salam S.E, selaku Kepala Dinas Komunikasi dan Informatika Kabupaten Kendal yang telah memberikan ijin, saran dan arahan terkait penelitian ini. 7. Heri Aryanto, S.H, M.Kom beserta seluruh staff Dinas Komunikasi dan Informatika Kabupaten Kendal yang telah memberikan data-data, arahan dan kerjasama yang penulis butuhkan untuk menyusun tugas akhir ini. 8. Bapak, Ibu, Kakak dan sahabat-sahabat (Wulan, Prastica, Dana, Doni, Andhika, Wanti, Cicik, dll) yang telah memberikan dukungan moril, doa dan kasih sayang serta memberikan referensi informasi tambahan kepada penulis. vii

8 viii 9. Semua pihak yang namanya tidak dapat disebutkan satu per satu yang telah berkontribusi dalam penyusunan tugas akhir ini. Semoga Tuhan yang Maha Esa memberikan balasan yang lebih besar kepada beliau-beliau, dan pada akhirnya penulsi berharap bahwa penulisan laporan tugas akhir ini dapat bermanfaaat dan berguna sebagaimana fungsinya. Semarang, 3 Februari 2016 Penulis

9 ABSTRAK Penerapan pemanfaatan teknologi informasi Dinas Kominfo Kabupaten Kendal memiliki tingkat keamanan sistem informasi yang masih kurang, masih ditemukan adanya masalah mengenai tidak rutinnya melakukan monitoring back up data, jaringan yaitu koneksi yang tidak stabil dan putusnya koneksi secara tiba-tiba juga menjadi permasalahan pada jaringan. Dari permasalahan tersebut, maka diperlukan sebuah kegiatan audit tata kelola teknologi informasi untuk evaluasi keamanan sistem informasi berdasarkan domain deliver, service and support (DSS05) yang mengacu pada COBIT 5 dengan mengumpulkan hasil studi dokumen, wawancara dan kuesioner. Proses selanjutnya akan diolah untuk mengetahui hasil penelitian yang diperoleh dari hasil tingkat kapabilitas dan analisis kesenjangan. Setelah dilakukan pengukuran tingkat kapabilitas maka diperoleh hasil sebesar 76,45% atau setara dengan 2,76% dengan status Largely Achieved dimana pengkomunikasian mengenai perencanaan, pengawasan dan penyesuaian dari performa proses pada keamanan sistem informasi belum sepenuhnya dikelola dengan baik. dari hasil analisa pengukuran tingkat kapabilitas mengacu target level 3 masih terdapat kesenjangan (gap) untuk dapat mencapai hasil maksimal. Dengan begitu Dinas Kominfo Kabupaten Kendal dapat melakukan strategi perbaikan yang dilakukan secara bertahap dari proses atribut level 1 sampai dengan level 3. Kata kunci : COBIT 5, Audit Tata Kelola TI, Deliver, Service and Support (DSS05), Tingkat Kapabilitas, Kesenjangan. xv halaman; 9 gambar; 14 tabel Daftar Acuan: 13 ( ) ix

10 DAFTAR ISI Halaman Judul... ii Persetujuan Laporan Tugas Akhir... iii Pengesahan Dewan Penguji... iv Pernyataan Keaslian Tugas Akhir... v Pernyataan Persetujuan Publikasi Karya Ilmiah Untuk Kepentingan Akademis.. vi Ucapan Terimakasih... vii Abstrak... ix Daftar Isi... x Daftar Gambar... xiii Daftar Tabel... xiv Daftar Lampiran... xv Bab 1 PENDAHULUAN Latar Belakang Masalah Rumusan Masalah Batasan Masalah Tujuan Penelitian Manfaat Penelitian... 4 Bab 2 TINJAUAN PUSTAKA Tinjauan Pustaka Tata Kelola TI (IT Governance) Audit Tata Kelola Teknologi Informasi COBIT (Control Objectives for Information and related Technology) COBIT x

11 xi Model Referensi Proses COBIT Model Kapabilitas Proses Pada COBIT Skala Penilaian Analisis Kesenjangan (Gap Analysis) COBIT 5 Proses Deliver, Service and Support (DSS05) RACI Chart Keamanan Sistem Informasi Pentingnya Keamanan Sistem Informasi Manajemen Keamanan Sistem Informasi Tipe Ancaman Informasi Pengamanan Jaringan Bab 3 METODE PENELITIAN Metode Pengumpulan Data Jenis Data dan Sumber Data Metode Analisis Bab 4 HASIL DAN PEMBAHASAN Gambaran Umum Obyek Penelitian Visi dan Misi Dinas Komunikasi dan Informatika Kabupaten Kendal Tugas Pokok dan fungsi Dinas Komunikasi Kabupaten Kendal Struktur Organisasi Dinas Komunikasi dan Informatika Kabupaten Kendal Deskripsi Tugas Pada Dinas Komunikasi dan Informatika Kabupaten Kendal Hasil Pengumpulan Data Hasil Studi Dokumen... 41

12 xii 4.6 Hasil Wawancara Hasil Kuesioner Analisis dan Pembahasan Analisis Kesenjangan ( Gap Analysis) Strategi Perbaikan Bab 5 PENUTUP Simpulan Saran DAFTAR PUSTAKA LAMPIRAN... 78

13 DAFTAR GAMBAR Gambar 2.1 Fokus Area Tata Kelola TI... 8 Gambar 2.2 Sejarah Perkembangan COBIT Gambar 2.3 Lima Prinsip Utama COBIT Gambar 2.4 Model Referensi COBIT Gambar 2.5 Model Kematangan proses COBIT Gambar 2.6 Model Kapabilitas Proses COBIT Gambar 2.7 Diagram RACI Gambar 4.1 Struktur Organisasi Dinas Komunikasi dan Informatika Kabupaten Kendal Gambar 4.2 Grafik Kesenjangan Kapabilitas xiii

14 DAFTAR TABEL Tabel 2.1 Penelitian Terkait Analisis Tata Kelola TI Berdasarkan COBIT Tabel 4.1 Ringkasan Hasil Wawancara Tabel 4.2 Ringkasan Pencapaian Level Kuesioner Tabel 4.3 Hasil dan Pembahasan Pencapaian Level Tabel 4.4 Hasil dan Pembahasan Pencapaian Level 1 PA 1.1 Process Performance Tabel 4.5 Hasil dan Pembahasan Pencapaian Level 2 PA 2.1 Performance Management Tabel 4.6 Hasil dan Pembahasan Pencapaian Level 2 PA 2.2 Work Product Management Tabel 4.7 Hasil dan Pembahasan Pencapaian Level 3 PA 3.1 Work Process Definition Tabel 4.8 Hasil dan Pembahasan Pencapaian Level 3 PA 3.2 Process Deployment Tabel 4.9 Hasil dan Pembahasan Pencapaian Level 4 PA 4.1 Process Measurement Tabel 4.10 Hasil dan Pembahasan Pencapaian Level 4 PA 4.2 Process Control. 61 Tabel 4.11 Hasil dan Pembahasan Pencapaian Level 5 PA 5.1 Process Innovation Tabel 4.12 Hasil dan Pembahasan Pencapaian Level 5 PA 5.2 Process Optimization Tabel 4.13 Analisis Kesenjangan Proses Atribut Level xiv

15 DAFTAR LAMPIRAN Lampiran 1. RACI CHART Lampiran 2. Pengamanan Sistem Lampiran 3. Identifikasi Hukum dan Kebijakan Lampiran 4. Hasil Scan Penyebaran Kuesioner Lampiran 5. Wawancara Lampiran 6. Hasil Kuesioner Lampiran 7. Hasil Scan Surat Keterangan Penelitian Tugas Akhir xv

16 BAB 1 PENDAHULUAN 1.1 Latar Belakang Masalah Pemanfaatan teknologi informasi saat ini sudah menjadi bagian yang sangat penting bagi semua sektor. Sektor pemerintahan merupakan salah satu yang turut menggunakan pemanfaatan teknologi informasi. Karena dengan adanya teknologi informasi dapat membantu berbagai proses aktivitas yang dilaksanakan setiap harinya dan penambah nilai potensi yang ada. Untuk menjaga agar teknologi informasi menjadi penambah nilai bagi pemerintah, diperlukan sebuah tata kelola teknologi informasi agar dapat menyelaraskan strategi, mengatur dan mengontrol semua yang berhubungan dengan teknologi informasi untuk mencapai tujuan dengan pertambahan nilai serta menyeimbangkan resiko yang ada [1]. Di hampir semua sektor pemerintahan sudah menerapkan pemanfaatan teknologi informasi. Sesuai dengan Peraturan Menteri Komunikasi dan Informatika selaku Ketua Harian Dewan Teknologi Informasi dan Komunikasi Nasional Nomor 08/KEP/M/KOMINFO/02/2007 tentang Pembentukan Tata Pamong Teknologi Informasi dan Komunikasi (IT Governance) [2]. Dinas Komunikasi dan Informatika Kabupaten Kendal merupakan salah satu sektor pemerintah yang telah menerapkan pemanfaatan teknologi informasi. Dalam menerapkan pemanfaatan tekonologi informasi Dinas Komunikasi dan Informatika Kabupaten Kendal menyadari perlunya sebuah prosedur pengamanan sistem informasi. Sistem informasi merupakan sebuah aset yang sangat penting bagi organisasi untuk dilindungi terhadap ancaman-ancaman keamanan yang sekarang ini menjadi lebih luas dan rumit sehingga nantinya dapat merugikan Dinas Komunikasi dan Informatika Kabupaten Kendal. Keamanan sistem informasi merupakan masalah utama bagi organisasi, perusahaan dan pemerintahan. Dalam Dinas Komunikasi dan Informatika 1

17 2 Kabupaten Kendal belum mendefinisikan secara jelas terkait SOP (Standar Operasional System) untuk menangani permasalahan pada sistem informasi dan telekomunikasi. Dalam permasalahan sistem penanganan keamanan yang sering dialami pada Dinas Komunikasi dan Informatika Kabupaten Kendal yaitu pada sentra sentra pengolahan / penyimpanan data, karena tidak rutinnya melakukan monitoring back up data, Serta jaringan yang tidak stabil dan putusnya koneksi secara tiba-tiba juga menjadi permasalahan pada jaringan dan server. Pada laporan ancaman keamanan internet yang dirilis oleh Symantec tahun 2013 menujukkan bahwa sektor pemerintahan menjadi target utama dalam data breach, kemudian diikuti dengan pengungkapan tidak sengaja dan pencurian atau kehilangan laptop, komputer, flashdisk dan lain sebagainya. Tentunya hal ini meresahkan karena sektor pemerintahan merupakan lembaga yang akuntabel dalam melayani kepentingan rakyat [3]. Berdasarkan informasi tersebut, diperlukan suatu audit tata kelola teknologi informasi terkait keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal. Salah satu tools tata kelola teknologi Informasi adalah COBIT (Control Objective for Information & Related Technology). COBIT merupakan kumpulan IT best practice untuk tata kelola IT yang dapat membantu pengguna, manajemen organisasi dalam menganalisa kesenjangan (gap) antara kebutuhan bisnis, kebutuhan control dan kebutuhan Teknis IT. Salah satu penelitian mengenai penggunaan kerangka kerja COBIT adalah Audit Keamanan Sistem Informasi Pada Kantor Pemerintah Kota Yogyakarta Menggunakan COBIT 5 yang menghasilkan temuan tingkat model kapabilitas pada skala 1 (Performed Process) dimana masih kurangnya pendokumentasian laporan, pedoman atau SOP terkait keamanan SI di pemerintah Kota Yogyakarta dan cenderung mengabaikan membuat laporan atau dokumentasi proses [3]. Terdapat lima macam domain dalam COBIT 5 salah satunya adalah DSS (Deliver, Service and Support), yang berkaitan dengan memberikan pelayanan, pengelolaan keamanan, dukungan bagi pengguna, manajemen data dan fasilitas operasional. Domain DSS proses DSS05 (manage security service), dipilih karena pada proses

18 3 ini melindungi informasi organisasi untuk mempertahankan tingkat resiko keamanan informasi yang dapat diterima organisasi sesuai dengan kebijakan keamanan [1]. Dari uraian diatas, maka penulis akan melakukan penelitian yang berjudul Audit Tata Kelola Teknologi Informasi Berbasis COBIT 5 (DSS05) Untuk Evaluasi Keamanan Sistem Informasi Pada Dinas Komunikasi Dan Informatika Kabupaten Kendal. Dengan adanya evaluasi ini nantinya diharapkan dapat berguna untuk menjaga integritas keamanan sistem informasi, meminimalkan rentan keamanan sistem informasi, dapat menjaga aset sistem informasi dan dapat mengetahui tingkat kapabilitas keamanan sistem informasi yang ada pada Dinas Komunikasi dan Informatika Kabupaten Kendal. 1.2 Rumusan Masalah Berdasarkan uraian sebelumnya, yang menjadi titik pembahasan penelitian adalah sebagai berikut : 1. Bagaimana kualitas keamanan sistem informasi yang diterapkan Dinas Komunikasi dan Informatika Kabupaten Kendal menggunakan domain deliver, service and support (DSS05) yang dilihat dari analisis tingkat kapabilitas berdasarkan COBIT 5? 2. Apa yang harus diperbaiki untuk meminimalisir resiko yang mungkin terjadi pada keamanan sistem informasi Dinas Komunikasi dan Informatika Kabupaten Kendal, dari hasil analisis kesenjangan? 1.3 Batasan Masalah Dalam penelitian ini hanya akan membahas : 1. Evaluasi keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal menggunakan COBIT 5 domain DSS05 (Manage Security Service). 2. Data acuan yang digunakan adalah hasil observasi, wawancara dan kuesioner yang dilakukan pada panduan COBIT Evaluasi yang dilakukan hanya terkait keamanan data, jaringan dan server.

19 4 1.4 Tujuan Penelitian Tujuan dari penelitian ini adalah 1. Mengidentifikasi kualitas keamanan sistem informasi Dinas Komunikasi dan Informatika Kabupaten Kendal saat ini dan yang diharapkan, dengan mengukur tingkat kapabilitas proses keamanan sistem informasi yang relevan menggunakan deliver, service and support (DSS05) berdasarkan COBIT Dari hasil analisis kesenjangan (gap) dapat membuat rencana strategis untuk meningkatkan kualitas keamanan sistem informasi sesuai yang diharapkan Dinas Komunikasi dan Informatika berdasarkan COBIT Manfaat Penelitian Manfaat dari penelitian ini adalah 1. Dapat memberikan saran dan rekomendasi terhadap penerapan tata kelola TI Dinas Komunikasi dan Informatika Kabupaten Kendal. 2. Dapat memberikan informasi pendukung berikutnya melalui COBIT 5.

20 BAB 2 TINJAUAN PUSTAKA 2.1 Tinjauan Pustaka Terdapat beberapa penelitian mengenai audit tata kelola TI menggunakan COBIT 5, diantaranya adalah penelitian yang membahas mengenai tata kelola keamanan sistem informasi menggunakan COBIT 5 dengan judul Audit Keamanan Sistem Informasi Pada Kantor Pemerintah Kota Yogyakarta Menggunakan COBIT 5. Permasalahan dalam penelitian ini yaitu sejak tujuh tahun berlalu ditetapkan Peraturan walikota tentang standar operasional dan prosedur manajemen pengamanan sistem informasi Pemerintah Kota Yogyakarta belum pernah melakukan audit terhadap keamanan sistem informasi. Sehingga penelitian ini dilakukan untuk mengetahui tingkat kapabilitas keamanan sistem informasi pada Pemerintah Kota Yogyakarta. Penelitian melakukan pengumpulan data dari kuesioner berdasarkan COBIT 5. Hasil dari penelitian menunjukkan bahwa tidak ada yang mampu mencapai level yang ditargetkan yaitu level 3 (Established Process). Penelitian dilakukan melalui 5 proses dalam COBIT 5 dan hanya mampu mencapai level 1 (Incomplete Process) dengan rincian Proses EDM03 dengan nilai sebesar 1,13. Proses APO12 dengan nilai sebesar 1,24. Proses AP013 dengan nilai 1,22. Proses BAI06 dengan nilai 1,18 dan Proses DSS05 dengan nilai 1,54 [3]. Penelitian lain mengenai tata kelola TI menggunakan COBIT 5 yaitu Audit TeNOSS Menggunakan COBIT 5 pada Domain Deliver, Service and Support (DSS) pada PT Telkom Malang. Permasalahan pada aplikasi TeNOSS ini masih terjadi loading yang lama dan rumitnya dalam melakukan input data pelanggan, sehingga penelitian ini dilakukan untuk dapat merekomendasikan perbaikan atau pengembangan TeNOSS. Penelitian melakukan pengumpulan data dari kuesioner, interview dan observasi berdasarkan COBIT 5. Hasil dari penelitian didapat dari domain DSS (DSS02, DSS05 dan DSS06) diperoleh capability level dari kondisi 5

21 6 saat ini DSS02 dan DSS06 berada pada level 3 (Established Process) target yang ingin dicapai level 4 (Predictable Process) dan DSS05 berada pada level 2 (Managed Process) target yang ingin dicapai level 3 (Established Process) dari perbandingan hasil dan yang ingin dicapai didapatkan nilai gap sebesar 1 [4]. Tabel 2.1 Penelitian Terkait Analisis Tata Kelola TI Berdasarkan COBIT 5 No Nama Peneliti dan Tahun Masalah Metode Hasil 1. Dewi Sejak tujuh tahun Kerangka Kelima proses Ciptaningrum ditetapkan Peraturan kerja COBIT hanya bisa,dkk, 2015 walikota tentang 5 (Proses mencapai level 1 standar operasional EDM03, dan tidak ada dan prosedur APO12, proses yang manajemen APO13, mampu pengamanan sistem BAI06 dan mencapai level informasi Pemerintah DSS05). yang ditargetkan Kota Yogyakarta yaitu pada level belum pernah 3. melakukan audit terhadap keamanan sistem informasi. Sehingga diperlukan audit keamanan sistem informasi yang diharapkan mampu mengetahui tingkat kapabilitas keamanan sistem informasi.

22 7 No Nama Peneliti dan Tahun Masalah Metode Hasil 2. Desepta Isna Pada aplikasi Capability Capability Level Ulumi,dkk, TeNOSS masih Level COBIT yang diperoleh 2015 terjadi loading yang 5 (Proses dari DSS02, lama dan rumit dalam DSS02, DSS06 adalah melakukan input data DSS05 dan level 3 pelanggan dan dalam DSS06). (Established penerapanya tidak ada Process) dengan tindak lanjut dari PT. gap sebesar 1 Telkom, sehingga untuk mencapai diperlukan Audit level 4 dan TeNOSS untuk DSS05 adalah rekomendasi level 2 perbaikan dan (Managed pengembangan Process) dengan sistem. gap 1 untuk mencapai level Tata Kelola TI (IT Governance) Tata kelola TI merupakan suatu kebijakan, proses/ aktivitas yang mencakup sistem informasi, teknologi dan komunikasi, bisnis dan hukum serta isu-isu lain yang melibatkan hampir seluruh pemangku kepentingan organisasi, baik direktur, manajemen eksekutif, pengguna TI bahkan pengaudit SI/TI yang dapat mendukung pengoperasian TI agar dapat memperluas strategi dan tujuan perusahaan [5].

23 8 Tujuan dari tata kelola TI adalah menyelaraskan bisnis dan TI untuk menjamin kinerja TI memenuhi dan sesuai dengan tujuan, sebagai berikut [5]: 1. Menyelaraskan TI dengan strategi dalam organisasi untuk merealisasikan keuntungan-keuntungan yang telah dijanjikan dalam penerapan TI. 2. Penggunaan TI memungkinkan organisasi dapat memaksimalkan manfaat yang ada serta dapat memperbesar peluang-peluang dari hasil menerapkan TI. 3. Pertanggungjawaban dalam penggunaan sumber daya TI untuk mendukung strategi dan tujuan bisnis TI. 4. Manajemen yang sesuai dengan resiko-resiko yang berkaitan dengan TI. Fokus utama dari area tata kelola TI dibedakan menjadi lima bagian area utama yaitu [5]: Gambar 2.1 Fokus Area Tata Kelola TI [5] Penjelasan singkat mengenai tata kelola TI pada gambar 2.1 adalah sebagai berikut : 1. Strategic Alignment, berfokus pada kepastian terhadap keterkaitan antara startegi bisnis dan TI serta penyelarasan antara operasional TI dengan bisnis. 2. Value Delivery, berfokus pada penyampaian nilai untuk memastikan bahwa TI dapat memenuhi manfaat yang dijanjikan dengan memfokuskan pada pengoptimalan biaya dan pembuktian nilai hakiki keberadaan TI.

24 9 3. Resource Management, berkaitan dengan pengoptimalan dan pengelolaan secara tepat dari sumber daya TI yang kritis, meliputi : aplikasi, informasi, infrastruktur dan SDM. Hal-hal penting yang berkaitan dengan area ini adalah pengoptimalan pengetahuan dan infrastruktur yang ada. 4. Risk Managemet, fokus pada resiko dan bagaimana perhatian perusahaan terhadap keberadaan resiko, pemahaman kebutuhan akan kepatutan, transparasi akan resiko terhadap proses bisnis perusahaan serta tanggung jawab untuk mengatasi resiko-resiko yang masuk ke dalam organisasi. 5. Performance Measurement, pengukuran dan pengawasan implementasi dari kinerja teknologi informasi yang berjalan, penggunaan SDM dan kinerja proses sesuai dengan tujuan kebutuhan bisnis organisasi yang akan dicapai. 2.3 Audit Tata Kelola Teknologi Informasi Audit tata kelola TI dapat diartikan sebagai aktivitas pengumpulan dan pengevaluasian dari bukti-bukti yang ada untuk proses penentuan apakah proses TI yang berlangsung dalam organisasi tersebut telah dikelola sesuai dengan standar dan dilengkapi dengan objektif kontrol untuk mengawasi penggunannya serta apakah telah memenuhi tujuan bisnis organisasi secara efektif dengan menggunakan sumber daya yang efektif [5]. Elemen utama dalam aktivitas audit tata kelola TI dapat diklasifikasikan dalam tinjauan penting berikut [5] : 1. Tinjauan terkait dengan fisik dan lingkungan, mencakup hal-hal yang tekait dengan keamanan fisik, sumber daya, temperatur dan faktor lingkungan lainnya. 2. Tinjauan administrasi sistem, yaitu mencakup tinjauan keamanan sistem informasi, database seluruh prosedur administrasi sistem. 3. Tinjauan perangkat lunak, tinjauan yang mencakup aplikasi bisnis organisasi berupa sistem berbasis web yang menjadi inti dari jalannya proses bisnis suatu organisasi.

25 10 4. Tinjauan keamanan jaringan, yang mencakup jaringan internal maupun eksternal yang terhubung dengan sistem dalam organisasi. Tinjauan terhadap tingkat keamanan serta pendeteksian akan gangguan ancaman yang masuk ke dalam sistem. 5. Tinjauan kontinuitas bisnis, memastikan ketersedian backup data dan penyimpanan jika sewaktu-waktu terjadi bencana. 6. Tinjauan integritas bisnis, memastikan ketelitian data yang sedang beroperasi. 2.4 COBIT (Control Objectives for Information and related Technology) COBIT merupakan salah satu kerangka kerja TI yang dapat digunakan untuk membantu penyelasaran strategi bisnis dan tujuan tata kelola TI. Pengertian COBIT adalah suatu standar dalam kerangka kerja domain yang terdiri dari sekumpulan proses TI dan sekumpulan dokumentasi best practices untuk aktivitas dalam tata kelola TI yang dapat digunakan untuk membantu pendefisian strategi dan kontrol pada manajemen tingkat atas dalam menganalisa kesenjangan gap antara resiko bisnis, kebutuhan pengendalian dan permasalahan-permasalan yang yang ada dan dapat dipakai sebagai acuan langsung terkait pengelolaan TI. COBIT dibuat oleh IT Governance Institute (ITGI) dan merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT terdiri dari tujuan pengendalian, pedoman audit dan pedoman manajemen serta pelaksanaannya yang sangat berguna untuk para auditor, pemakai TI dan para manajer. COBIT pertama kali keluar pada tahun 1996 dengan COBIT versi 1 yang lebih menekankan pada audit, kemudian pada tahun 1998 keluar COBIT versi kedua yang menekankan pada pengendalian. Pada tahun 2000 keluar COBIT versi 3 yang berorientasi pada manajemen. Dan kemudian COBIT versi 4 keluar pada bulan desember 2005 dan COBIT versi 4.1 keluar pada bulan mei 2007 yang berorientasi pada tata kelola TI. Dan yang terakhir sampai saat ini COBIT versi 5 keluar pada bulan juni 2012 yang lebih menekankan tata kelola TI pada perusahaan [6].

26 11 Gambar 2.2 Sejarah Perkembangan COBIT [6] 2.5 COBIT 5 COBIT 5 menyediakan kerangka kerja yang dapat membantu perusahaan atau organisasi untuk menciptakan nilai yang optimal dari tata kelola TI dengan mempertahankan, menyeimbangkan antara mewujudkan manfaat dan mengoptimalkan tingkat resiko dan sumber daya TI. COBIT 5 memungkinkan tata kelola TI untuk dapat mengatur dan mengelola seluruh bisnis perusahaan atau organisasi yang berkaitan dengan bidang fungsional TI [7]. COBIT 5 didasarkan pada lima prinsip utama untuk tata kelola dan manajemen TI perusahaan. Kelima prinsip ini diharapkan dapat membangun tata kelola perusahaan atau organisasi yang dapat mengoptimalkan tingkat resiko dan memberikan keuntungan bagi perusahaan atau organisasi [7].

27 12 Gambar 2.3 Lima Prinsip Utama COBIT 5 [7] 1. Prinsip 1 : Memenuhi Kebutuhan Stakeholder. Perusahaan menciptakan nilai bagi para Stakeholder dengan merealisasikan manfaat dan mengoptimalkan resiko. COBIT 5 menyediakan semua proses yang diperlukan perusahaan untuk memenuhi dalam pencapaian nilai bisnis melalui penggunaan TI. Karena setiap perusahaan memiliki tujuan yang berbeda sehingga peusahaan dapat menyesuaikan sendiri tujuan bisnisnya melalui COBIT Prinsip 2 : Melingkupi Seluruh Perusahaan. COBIT 5 dapat mencakup semua fungsi di dalam perusahaan, tidak hanya fokus pada fungsi TI, tetapi semua aset yang ada di dalam perusahaan. COBIT 5 mengintegrasikan semua tata kelola TI dan manajemen TI agar dapat digunakan dalam seluruh perusahaan dari segala aspek dan semua sumber daya baik internal maupun eksternal yang berhubungan dengan tata kelola TI dan manajemen TI. 3. Prinsip 3 : Menerapkan Satu Kerangka Tunggal yang Terintegrasi. Banyak standar yang berkaitan dengan TI. COBIT 5 selaras dengan standar kerja yang relevan lainnya dan kerangka kerja tingkat tinggi, dengan demikian COBIT 5 dapat berfungsi sebagai kerangka kerja untuk tata kelola TI dan manajemen TI pada perusahaan. 4. Prinsip 4 : Menggunakan Sebuah Pendekatan yang Menyeluruh. Tata kelola TI dan manajemen TI perusahaan yang efektif dan efisien memerlukan pendekatan dengan mempertimbangkan beberapa komponen yang saling

28 13 berinteraksi. COBIT 5 dapat mendefinisikan pendekatan-pendekatan tersebut untuk membantu perusahan atau organisasi dalam mencapai tujuan perusahaan atau organisasi. COBIT 5 mendefinisikan tujuh kategori pendekatan : a. Prinsip, kebijakan dan kerangka kerja b. Proses c. Struktur organisasi d. Budaya, etika dan perilaku e. Informasi f. Layanan, infrastruktur dan aplikasi g. Sumber daya, keterampilan dan kompetensi 5. Prinsip 5 : Pemisahan Tata Kelola Dari Manajemen. Kerangka kerja COBIT 5 membuat perbedaan yang jelas antara tata kelola dan manajemen. Dua disiplin mencakup berbagai jenis kegiatan, struktur organisasi dan tujuan. Pebedaan utama antara tata kelola dan manajemen : a. Tata Kelola. Tata kelola memastikan kepentingan kebutuhan, kondisi, pilihan yang akan dievaluasi, menetapkan arah perusahaan, pengambilan keputusan, pemantauan kinerja sumber daya dan kepatuhan yang disepakati untuk dapat mencapai tujuan perusahaan yang ingin dicapai. Pada kebanyakan perusahaan, tata kelola keseluruhan merupakan tanggung jawab dewan direksi di bawah kepemimpinan ketua. b. Manajemen. Manajemen mempunyai rencana, membangun, menjalankan dan monitoring semua kegiatan supaya dapat sejalan dengan arah yang telah ditetapkan dalam perusahaan serta dapat mencapai tujuan yang telah ditetapkan perusahaan. Pada kebanyakan perusahaan, manajemen adalah tanggung jawab manajemen eksekutif di bawah kepemimpinan CEO Model Referensi Proses COBIT 5 Model referensi COBIT 5 merupakan suatu model yang mendefinisikan dan menjelaskan secara rinci mengenai tata kelola dan manajemen. Model tersebut

29 14 mewakili semua proses yang ada di organisasi yang berkaitan dengan kegiatan TI, menyediakan model referensi yang mudah dipahami oleh operasional TI dan manajer bisnis. Model referensi COBIT 5 merupakan evolusi dari model referensi COBIT 4.1 yang diitegrasikan dengan model proses RiskIT dan ValIT [7]. Gambar 2.4 Model Referensi COBIT 5 [7] Gambar di atas menunjukkan 37 proses tata kelola dan manajemen pada proses COBIT 5. Model referensi COBIT 5 dibagi menjadi 2 proses utama yaitu tata kelola dan manajemen [7]. 1. Tata kelola (Governance) Memuat lima proses tata kelola, di dalam domain evaluasi, pengarahan dan pengawasan. EDM (Evaluate, Direct and Monitoring), tujuan domain EDM adalah untuk menetapkan arah melalui prioritas dan pengambilan keputusan,

30 15 melakukan pemantauan kinerja dan memberikan arahan kepada TI. Kelima proses tersebut terdiri dari : a. EDM01 Memastikan adanya pengaturan dan pemeliharaan kerangka kerja tata kelola (Ensure governance framework setting and maintenance). b. EDM02 Memastikan mendapat manfaat (Ensure benefits delivery). c. EDM03 Memastikan optimalisasi resiko (Ensure risk optimisation). d. EDM04 Memastikan optimalisasi sumber daya (Ensure resource otimisation). e. EDM05 Memastikan transparasi terhadap stakeholder (ensure stakeholder transparency). 2. Manajemen Memuat empat proses yang sejajar dengan area tanggung jawab dari merencanakan, membangun, menjalankan dan memantau (Plan, Run, and Monitoring). Serta menyediakan cakupan yang menyeluruh dari ruang lingkup TI, yaitu : a. Domain menyelaraskan, merencanakan dan mengatur. APO (Align, Plan and Organise), tujuan domain APO adalah untuk memberikan taktik dan mengidentifikasi cara terbaik yang dapat digunakan oleh perusahaan untuk membantu mencapai tujuan dan sasaran perusahaan. Domain APO juga memperhatikan bentuk organisasi dan infrastrukutur guna untuk mencapai hasil yang optimal dan memberikan manfaat dari penggunaan TI. Domain APO terdiri dari 13 proses yaitu : 1) APO01 Mengelola manajemen kerangka TI (Manage the IT management framework). 2) APO02 Mengelola strategi (Manage strategy). 3) APO03 Mengelola arsitektur informasi (Manage enterprise architecture). 4) APO04 Mengelola inovasi (Manage innovation). 5) APO05 Mengelola portopolio (Manage portofolio). 6) APO06 Mengelola anggaran dan biaya (Manage budget and costs).

31 16 7) APO07 Mengelola sumber daya manusia (Manage human resources). 8) APO08 Mengelola hubungan (Manage relationships). 9) APO09 Mengelola perjanjian layanan (Manage service agreements). 10) APO10 Mengelola pemasok (Manage suppliers). 11) APO11 Mengelola kualitas (Manage quality). 12) APO12 Mengelola risk (Manage risk). 13) APO13 Mengelola keamanan (Manage security). b. Domain membangun, memperoleh dan melaksanakan. BAI (Build, Acquire and Implement), tujuan domain BAI adalah untuk mengidentifikasi solusi TI yang perlu dikembangkan dan diterapkan ke dalam proses bisnis perusahaan. Domain BAI terdiri dari 10 proses yaitu : 1) BAI01 Mengelola program dan proyek (Manage programmes and projects). 2) BAI02 Mengelola definisi kebutuhan (Manage requirements definition). 3) BAI03 Mengelola solusi otomatis (Manage solutions identification and build). 4) BAI04 Mengelola ketersediaan dan kapasitas (Manage availability and capacity). 5) BAI05 Mengelola perubahan pemberdayaan organisasi (Manage organisational change enablement). 6) BAI06 Mengelola perubahan (Manage changes). 7) BAI07 Mengelola penerimaan perubahan dan transisi (Manage Change acceptance and transitioning). 8) BAI08 Mengelola pengetahuan (Manage knowledge). 9) BAI09 Mengelola aset (Manage assets). 10) BAI10 Mengelola konfigurasi (Manage configuration). c. Domain menghasilkan, melayani dan mendukung. DSS (Deliver, Service and Support), tujuan domain DSS adalah untuk memberikan pelayanan seperti memberikan pelayanan aplikasi di dalam proses TI, pengelolaan

32 17 keamanan dan dukungan pelaksanaan proses TI yang lebih efektif dan efisien. Domain DSS terdiri dari 6 proses yaitu : 1) DSS01 Mengelola operasi (Manage operations). 2) DSS02 Mengelola layanan permintaan dan insiden (Manage service requests ans incidents). 3) DSS03 Mengelola permasalahan (Manage problems). 4) DSS04 Mengelola layanan yang berkelanjutan (Manage continuity). 5) DSS05 Mengelola layanan keamanan (Manage security services). 6) DSS06 Mengelola proses bisnis kontrol (Manage business process controls). d. Domain mengawasi, mengevaluasi dan menilai. MEA (Monitor, Evaluate and Assess), tujuan domain MEA adalah untuk menilai kebutuhan perusahaan terhadap proses TI saat ini terhadap kepatuhan dari peraturan tata kelola. Serta penilaian terhadap proses TI pada kemampuannya untuk memenuhi tujuan bisnis dan proses kontrol perusahaan. Domain MEA terdiri dari 3 proses yaitu : 1) MEA01 Monitor, evaluasi dan menilai kinerja dan kesesuaian (Monitor, evaluate and assess performance and performance). 2) MEA02 Memantau, mengevaluasi dan menilai sistem pengendalian internal (Monitor, evaluate and assess the system of internal control). 3) MEA03 Memantau, mengevaluasi dan menilai kepatuhan dan kebutuhan eksternal (Monitor, evaluate and assess compliance with external requirements) Model Kapabilitas Proses Pada COBIT 5 Penggunaan COBIT 4.1, dikenal dengan model proses kematangan termasuk dalam kematangan kerangka kerja. Model yang digunakan untuk mengukur kematangan terkait dengan proses tata kelola TI dan untuk mengukur tingkat kesenjangan gap serta menentukan bagaimana meningkatkan proses untuk mencapai tingkatan yang diinginkan [7].

33 18 Gambar 2.5 Model Kematangan Proses COBIT 4.1 [7] Untuk model kapabilitas proses COBIT 5 yang telah diakui secara internasional oleh ISO/IEC mengenai software egineering dan process assessment. Pada model kapabilitas proses dilakukan penilaian dan proses dukungan perbaikan dengan menyediakan sarana kinerja dari tiap-tiap proses tata kelola dan proses manajemen, dimana akan dilakukan evaluasi atau perbaikan untuk meningkatkan performasinya [7]. Indikator kapabilitas proses adalah kemampuan proses dalam meraih tingkat kapabilitas yang dibentuk oleh atribut proses. Bukti atas indikator kapabilitas proses akan mendukung penilaian atas pencapaian atribut proses [7]. Kapabilitas proses yang ada kemudian dituangkan pada suatau penilaian kapabilitas proses yang disebut Process Assessment Model. Model ini digunakan sebagai dokumen basis referensi untuk menilai peforma kapabilitas TI organisasi serta [8]: 1. Mendefinisikan kebutuhan-kebutuhan minimun untuk melakukan penilaian (output-output yang dibutuhkan). 2. Mendefinisikan proses kapabilitas dalam dua dimensi yaitu proses dan kapabilitas. 3. Menggunakan indikator proses kapabilitas dan proses performa untuk menentukan apakah atribut proses telah terpenuhi.

34 19 4. Mengukur performa proses berdasarkan sebuah urutan praktik dasar dan aktivitas-aktivitas untuk memenuhi work product. 5. Mengukur proses kapabilitas melalui pencapaian atribut berdasarkan bukti spesifik (level 1) dan generic (level yang lebih tinggi) practies dan work product. Dimensi kapabilitas dalam model penilaian proses mencakup enam tingkat kapabilitas. Di dalam enam tingkat tersebut terdapat sembilan atribut proses. Level 0 mengenai keberadaan proses. Ada perbedaan penilaian antara penilaian untuk level 1 dan level yang lebih tinggi. Hal ini dilakukan karena level 1 menentukan apakah suatu proses mencapai tujuannya, dan oleh karena itu sangat penting untuk dicapai dan juga menjadi pondasi dalam meraih level yang lebih tinggi. Pada level yang tertinggi 5 ini sudah menjadi prestasi yang sangat penting bagi suatu organisasi atau peusahaan. Masing-masing dalam organisasi atau perusahaan harus menentukan berdasarkan biaya manfaat dan kelayakan untuk dapat mencapai tingkatan kapabilitas yang diinginkan. Gambar 2.6 Model Kapabilitas Proses COBIT 5 [7]

35 20 Ada enam tingkatan kapabilitas yang dapat dicapai oleh masing-masing proses, yaitu [8]: 1. Level 0 (Incomplete Process) Merupakan proses yang gagal mencapai tujuan. Pada tingkat ini, ada sedikit atau tidak ada bukti dari setiap pencapaian sistematis tujuan proses. Proses ini tidak memiliki atribut. 2. Level 1 (Performed Process) Merupakan proses yang dijalankan. Proses yang telah diimplementasikan dan berhasil mencapai tujuannya. Tingkat ini hanya memiliki Process Performance sebagai proses atribut yaitu pengukuran mengenai seberapa jauh tujuan dari suatu proses yang berhasil diraih. Pencapaian penuh atas atribut ini mengakibatkan proses tersebut meraih tujuan yang sudah ditentukan. 3. Level 2 (Managed Process) Merupakan proses yang teratur. Proses yang telah dijalankan mencapai tujuannya dan diimplementasikan dengan cara yang lebih teratur dengan cara di kelola mencakup perencanaan, pengawasan dan penyesuaian. Work products nya dijalankan, dikendalikan dan dipertahankan dengan tepat. Ketentuan atribut proses pada level 2 adalah sebagai berikut : a. PA 2.1 Performance Management Mengukur sampai dimana performa proses dikelola. b. PA 2.2 Work Product Management Mengukur sejauh mana hasil kerja yang dihasilkan oleh proses dikelola. Hasil kerja yang dimaksud dalam hal ini adalah hasil dari proses. 4. Level 3 (Established Process) Merupakan proses yang tetap. Dimana proses yang telah diimplementasikan dengan cara yang teratur kemudian telah berhasil ditetapkan dan mampu untuk mencapai outcome yang telah diharapkan. Ketentuan atribut proses pada level 3 adalah sebagai berikut :

36 21 a. PA 3.1 Process Definition Mengukur sejauh mana proses standar dikelola untuk mendukung pengerjaan dari proses yang telah didefinisikan. b. PA 3.2 Process Deployment Mengukur sejauh mana proses standar secara efektif telah dijalankan seperti yang telah didefinisikan untuk mencapai hasil dari proses. 5. Level 4 (Predictable Process) Merupakan proses yang dapat diprediksi. Proses yang telah berjalan kemudian dioperasikan dengan batasan yang ditentukan untuk mencapai outcome yang diharapkan. Ketentuan atribut proses pada level 4 adalah sebagai berikut : a. PA 4.1 Process Measurement Mengenal seberapa jauh hasil pengukuran digunakan untuk memastikan bahwa performa proses mendukung pencapaian tujuan proses untuk mendukung tujuan organisasi. Pengukuran bisa pengukuran proses ataupun pengukuran produk atau pengukuran kedua-duanya. b. PA 4.2 Process Control Pengukuran tentang seberapa jauh suatu proses secara kuantitatif bisa menghasilkan proses yang stabil, mampu dan bisa diprediksi dalam batasan yang telah ditentukan. 6. Level 5 (Optimizing Process) Merupakan proses optimasi. Proses yang dijalankan diatas ditingkatkan secara berkelanjutan untuk memenuhi tujuan bisnis organisasi baik di saat ini dan di masa depan. Ketentuan proses pada level 5 adalah sebagai berikut : a. PA 5.1 Process Innovation Mengukur sebuah perubahan proses yang telah diidentifikasi dari analisis penyebab umum dari adanya variasi di dalam performa dan dari investigasi pendekatan inovatif untuk mendefinisikan dan melaksanakan proses.

37 22 b. PA 5.2 Process Optimization Mengukur perubahan untuk definisi, manajemen dan performa proses agar memiliki hasil yang berdampak secara efektif untuk mencapai tujuan dari proses peningkatan Skala Penilaian Skala penilaian digunakan setelah memperoleh hasil dari analisa tingkat kapabilitas. Setiap atribut dinilai menggunakan standar skala penilaian yang dijelaskan dalam standar ISO/IEC Skala penilaian terdiri atas [8]: 1. N (Not achieved atau Tidak tercapai) Dalam kategori ini tidak ada atau hanya terdapat sedikit bukti atas pencapaian atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar 0% sampai 15%. 2. P (Partically achieved atau Tercapai sebagian) Dalam kategori ini terdapat beberapa bukti mengenai pendekatan dan beberapa pencapaian atribut atas proses tersebut. Range nilai yang diraih pada kategori ini berkisar antara >15% sampai 50%. 3. L (Largely achieved atau Secara garis besar tercapai) Dalam kategori ini terdapat bukti atas pendekatan sistematis dan pencapaian signifikan atas proses tersebut, meski mungkin masih ada kelemahan yang tidak signifikan. Range nilai yang diraih pada kategori ini berkisar antara >50% sampai 85%. 4. F (Fully achieved atau Tercapai penuh) Dalam kategori ini terdapat cukup bukti atas pendekatan sistematis dan lengkap, dan pencapaian penuh atas atribut proses tersebut serta tidak ada kelemahan terkait atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar antara >85% sampai 100%. Suatu proses cukup meraih kategori Largely achieved (L) atau Fully achieved (F) untuk dapat dinyatakan bahwa proses tersebut telah meraih suatu level kapabilitas tersebut, namun proses tersebut harus meraih kategori Fully achieved (F) untuk

38 23 dapat melanjutkan penilaian ke level kapabilitas selanjutnya. Jadi misalnya suatu proses untuk meraih level kapabilitas 3, maka level 1 dan level 2 proses tersebut harus mencapai kategori Fully achieved (F), sementara level kapabilitas 3 cukup mencapai kategori Largely achieved (L) atau Fully achieved (F) [8]. 2.6 Analisis Kesenjangan (Gap Analysis) Analisis kesenjangan (gap analysis) dilakukan untuk mencari perbedaan antara tingkat kapabilitas yang diperoleh dengan tingkat yang diharapkan. Analisis dilakukan dengan melakukan identifikasi perbaikan untuk peningkatan tingkat kapabilitas berdasarkan proses atribut kerangka kerja COBIT 5. Hasil dari analisis ini adalah saran perbaikan untuk tata kelola TI [7]. 2.7 COBIT 5 Proses Deliver, Service and Support (DSS05) Domain DSS proses Deliver, Servise and Support (DSS05) merupakan proses yang berfokus pada upaya perlindungan aset informasi pada organisasi untuk mempertahankan tingkat resiko keamanan informasi yang dapat diterima organisasi sesuai kebijakan keamanan. Melakukan pemantauan keamanan dan pengujian berkala serta menerapkan tindakan korektif untuk mengidentifikasi kelemahan keamanan dan insiden keamanan [9]. Tujuan dari proses Deliver, Servise and Support (DSS05) adalah mengklasifikasi masalah proses bisnis dan mencari akar penyebab permasalahan untuk mencegah kerentanan informasi dan insiden. Meningkatkan tingkat layanan kenyamanan pelanggan dan kepuasan pelanggan dengan mengurangi jumlah masalah operasional yang ada [9]. Pada DSS05 mengandung 5 praktek manajemen, diantaranya [9] : 1. DSS05.01 (Protect against malware) Merupakan praktek untuk memberikan perlindungan terhadap malware. Praktek tata kelola yang dilakukan adalah menerapkan dan memelihara pencegahan, dan langkah-langkah perbaikan di tempat seluruh organisasi untuk melindungi informasi dan teknologi dari malware seperti virus, worm spyware dan spam.

39 24 2. DSS05.02 (Manage network and connectivity security) Merupakan praktek pengelolaan jaringan dan keamanan konektivitas. Praktek tata kelola yang dilakukan adalah menggunakan keamanan dan prosedur yang terkait untuk melindungi informasi atas keamanan konektivitas. 3. DSS05.03 (Manage enpoint security) Merupakan praktek mengelola keamanan endpoint. Praktek tata kelola yang dilakukan adalah memastikan perangkat endpoint. Seperti laptop, dekstop, server terjamin pada tingkatan yang sama dengan atau lebih besar dari prosedur keamanan yang telah didefinisikan. 4. DSS05.04 (Manage user identity and logical access) Merupakan praktek pengelolaan identitas pengguna dan hak akses. Praktek tata kelola yang dilakukan adalah memastikan bahwa semua pengguna memiliki akses informasi hak sesuai dengan kebutuhan mereka. 5. DSS05.05 (Manage physical security) Merupakan praktek mendefinisikan dan menerapkan prosedur, membatasi dan mencabut akses sesuai dengan kebutuhan bisnis serta keadaan darurat. Mengelola keamanan akses ke tempat yang berwenang atas akses tersebut. Memantau orang yang memasuki tempat akses termasuk staf, staf sementara, klien, vendor dan pengunjung atau pihak ketiga. 6. DSS05.06 (Manage sensitive documents and outputs devices) Merupakan prektek mengelola keamanan dokumen. Praktek tata kelola yang dilakukan adalah membangun pengamanan fisik yang sesuai, inventarisasi dokumen penting dan persediaan manajemen atas aset TI seperti surat berharga, token keamanan. 7. DSS05.07 (Manage Information Security Incidents) Merupakan praktek pendefinisian dan mengkomunikasikan karakteristik insiden keamanan potensial dan memberikan bimbingan kepada manajemen proses tentang bagaimana untuk menangani insiden keamanan. 8. DSS05.08 (Manage Information Handling) Mengelola keamanan aset informasi seluruh siklus hidup organisasi.

40 RACI Chart RACI Chart memiliki fungsi pada tingkat proses tanggung jawab untuk peran pada struktur organisasi suatu perusahaan. RACI Chart mendefinisikan kewenangan seseorang di dalam suatu perusahaan yang berbasis TI. RACI Chart terdapat berbagai tingkatan dengan karakter sebagai berikut: 1. Responsible (pelaksana) Merupakan pihak yang melakukan suatu pekerjaan. Hal ini berkaitan pada peran utama di dalam organisasi untuk memenuhi kegiatan yang telah direncanakan dan menciptakan hasil yang diharapkan. 2. Accountable (Bertanggung jawab) Merupakan pihak yang bertanggung jawab atas semua pekerjaan. Dengan memperhatikan hal tersebut pada tingkat terendah akuntabilitas yang sesuai memiliki tingkat yang paling tinggi pertanggung jawabannya. 3. Consulted (Penasehat) Merupakan pihak yang dimintai pendapat tentang suatu pekerjaan. Peran ini tergantung pada peran responsible dan accountable untuk mendapat informasi-informasi dari unit-unit lain. 4. Informed (Informasi) Merupakan pihak yang mendapatkan informasi tentang kemajuan suatu pekerjaan. Peran yang diberi informasi mengenai peran atau penyerahan tugas.

41 26 Gambar 2.7 Diagram RACI [9] 2.9 Keamanan Sistem Informasi Keamanan sistem informasi dapat diartikan sebagai suatu perlindungan dari kejahatan teknologi terhadap sistem yang sudah berbasis informasi dari berbagai ancaman-ancaman seperti penipuan, pencurian data penting, virus, terjadinya perubahan program atau melakukan akses sistem yang tidak sah. Penanganan keamanan sistem informasi dapat ditingkatkan melalui prosedur-prosedur dan peralatan-peralatan pengamanan sistem perangkat keras komputer, jaringan komputer dan data [10] Pentingnya Keamanan Sistem Informasi Keamanan sistem informasi merupakan komponen yang sangat penting bagi organisasi atau perusahaan yang telah menggunakan teknologi berbasis TI. Keamanan sistem informasi menggambarkan adanya perlindungan terhadap komputer, fasilitas, data dan informasi dari pihak-pihak yang tidak bertanggung jawab. Namun pada praktek yang terjadi di dalam organisasi atau perusahaan

42 27 masalah keamanan sistem informasi ini kurang mendapat kepedulian dari pihak pengelola sistem informasi [10]. Kemampuan dalam sistem informasi sangatlah banyak memberikan fungsi bagi organisasi atau perusahaan, antara lain mudahnya mengakses atau memberikan informasi yang cepat akurat dan efisien, namun sering kali informasi tersebut jatuh ke pihak yang tidak bertanggung jawab dan ini dapat menimbulkan kerugian bagi organisasi atau perusahaan yang memiliki informasi tersebut. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama [10], yaitu : 1. Kerahasiaan Aspek ini lebih ke dalam memberikan perlindungan informasi dan data organisasi atau perusahaan dari orang-orang yang tidak bertanggung jawab. Inti utama dari aspek kerahasiaan adalah untuk menjaga informasi agar informasi tersebut lebih bersifat privacy dan agar terhindar dari orang-orang yang tidak berhak mengakses informasi tersebut. 2. Ketersediaan Aspek ini yang menyatakan bahwa informasi tersebut benar-benar asli adanya, atau jika ada orang akan mengakses informasi bahwa informasi tersebut adalah informasi yang benar-benar dimaksud. Biasanya masalah utama dalam ketersediaan adalah pembuktian keaslian dokumen, ini dapat di buktikan menggunakan teknologi watermarking dan digital signature. Masalah kedua yaitu akses kontrol, berkaitan dengan siapa saja yang berhak mengakses informasi atau dokumen. Dalam hal ini biasanya pengguna menunjukkan bahwa dia sah atau berhak menggunakannya. 3. Integritas Aspek ini lebih menekankan bahwa informasi tidak boleh diubah tanpa ijin dari pemilik informasi. Adanya ancaman virus, trojan horse atau pengguna lainnya yang mengubah informasi tersebut tanpa seijin pemilik informasi.

43 Manajemen Keamanan Sistem Informasi Manajemen keamanan sistem informasi merupakan suatu perlindungan untuk perangkat komputer supaya sumber daya informasi tetap aman dari orang yang tidak berkepentingan atau tidak berwenang. Serta memberikan perlindungan kepada perusahaan agar sistem informasi tetap berfungsi setelah terjadinya bencana atau kerusakan sistem informasi [10]. Terdapat empat tahapan dalam proses manajemen keamanan sistem informasi : 1. Mengidentifikasi berbagai ancaman yang dapat mengganggu sumber daya informasi perusahaan. 2. Mengidentifikasi resiko yang dapat ditimbulkan dari ancaman tersebut. 3. Menyusun kebijakan keamanan sistem informasi. 4. Mengimplementasikan kontrol untuk mengatasi tiap-tiap resiko tersebut Tipe Ancaman Informasi Ancaman informasi merupakan sutau kejadian yang dapat merugikan organisasi atau pihak-pihak terkait yang sedang membutuhkan informasi tersebut. Terdapat beberapa ancaman informasi yang dapat mengganggu kinerja pada suatu organisasi yaitu [11]: 1. Interruption Merupakan ancaman terhadap informasi dan data yang ada di dalam sistem komputer dirusak atau dihapus sehingga tidak dapat mengaksesnya kembali. Contoh : server down, penghancuran bagian perangkat keras komputer. 2. Interception Merupakan ancaman terhadap kerahasiaan. Informasi yang ada di akses oleh orang lain yang tidak memiliki hak akses atas informasi tersebut. Contoh : mencuri data rahasia, mengcopy file tanpa diotorisasi. 3. Modification Sumber daya yang tidak berhak mengakses berhasil mengakses informasi kemudian merubah nilai dari sumber daya tersebut. Contoh : mengubah

44 29 program sehingga program dijalankan akan berbeda hasilnya, mengubah nilai-nilai file data. 4. Fabrication Sumber daya mampu menyisipkan dan memasukkan objek-objek palsu ke dalam sistem. Contoh: memasukkan pesan palsu ke dalam jaringan, penambahan record ke file Pengamanan Jaringan Jaringan merupakan yang sangat rentan dengan serangan-serangan dan gangguan. Untuk itu diperlukan suatu pengamanan jaringan untuk meminimalisir gangguangangguan pada infrastruktur jaringan. Pengamanan jaringan dibagi menjadi 3 yaitu [12] : 1. Pengamanan Sistem Jaringan a. Penggunaan digest authentication pada web server, sehingga password yang dikirimkan melalui network tidak berupa clear text. b. Pencatatan log melalui program atau fasilitas yang disediakan. Administrator sistem berkewajiban melakukan pengecekan terhadap kejadian-kejadian yang terekam dalam log setiap bulan. c. Menggunakan beberapa program untuk mendeteksi adanya penyusupan (intrusion detection). Beberapa program sederhana yang dapat dilakukan antara lain chkwtmp, tcplogd dan hostsentry. d. Firewall digunakan untuk membatasi port-port yang dapat diakses dari luar. Sedangkan akses internet dari dalam ke luar untuk situs-situs tertentu dilarang. e. Switch harus memiliki fungsi Routed Access Control List yang dapat digunakan untuk menjamin hanya user yang memiliki akses saja yang dapat menggunakan secured dan restricted network. f. Application-Proxy Firewall ini digunakan untuk memfilter informasiinformasi yang lewat dari proxy sever tersebut. Proxy server dapat

45 30 memilih informasi-informasi yang akan diteruskan atau tidak berdasarkan setting atau logic dari proxy server tersebut. g. Backup harddisk secara keseluruhan untuk semua server ke dalam tape. h. Backup basis data. 2. Pengamanan Sistem Operasi a. Server tidak diperkenankan menggunakan atau menyediakan floppy drive. Hal ini untuk menghindari penyusup dapat menggubah password root dengan menggunakan disket boot. b. Setiap aplikasi yang digunakan wajib menyediakan fungsi login yang memaksa pengguna untuk memasukkan username dan password setiap kali akan menggunakan aplikasi tersebut termasuk ketika melakukan koneksi jaringan. c. Aplikasi internal tidak dapat diakses dari luar. Untuk mencegah akses dari luar terhadap aplikasi internal, maka digunakan firewall dan IP internal untuk server-server yang digunakan oleh aplikasi internal. Dengan IP internal dan firewall diharapkan server-server tersebut hanya bisa dikenali oleh komputer yang ada pada jaringan lokal saja. d. Adanya sesi untuk membatasi lamanya koneksi yang idle. Untuk aplikasiaplikasi berbasis web, jika browser sudah dibuka dan user tidak menggunakan aplikasi yang diakses dalam waktu tertentu atau idle yang diperkenankan tersebut juga dengan lamanya sesi. e. Mengingat banyak lubang keamanan dikirimkan melalui , maka penggunaan antivirus yang up-to-date merupakan sebuah keharusan. Antivirus ini harus dipasang pada setiap workstation dan server. f. Bagi pemakai aplikasi, pengaksesan basis data harus melalui aplikasi yang sudah dikembangkan. g. Username dan password untuk mengakses basis data hanya boleh diketahui oleh kalangan terbatas. 3. Pengamanan Jaringan a. Ruangan tempat menyimpan semua server, router serta data backup berada di ruang yang berbeda dengan ruang kerja. Ruangan tersebut selalu

46 31 terkunci dan hanya dapat diakses oleh operation dan network administrator. b. Server-server yang ada diletakkan pada ruangan server yang khusus. Pintu masuk dan keluar dari dan ke ruangan ini hanya ada satu pintu. Tembok dan pintu ruangan ini berupa kaca anti pecah. Pintunya berupa pintu elektronik, diperlukan kartu akses magnetik untuk membukanya. Lantainya menggunakan raised floor. AC yang digunakan untuk mendinginkan ruangan server merupakan AC central. Perlu juga menyediakan alat untuk memadamkan api, alarm kebakaran, sensor deteksi kebakaran melalui panas dan asap. c. Mengasuransikan aset-aset yang dimiliki khususnya server dan PC. d. Menyediakan mesin diesel untuk menyuplai arus listrik secara otomatis jika listrik yang disediakan oleh PLN mengalami gangguan. e. Menyediakan UPS (Uninterruptible Power Supply) untuk server aplikasi ataupun basis data untuk mencegah kerusakan fisik pada server tersebut.

47 BAB 3 METODE PENELITIAN 3.1 Metode Pengumpulan Data Dalam penelitian ini, sumber data yang digunakan adalah staff pada Dinas Komunikasi dan Informatika Kabupaten Kendal. Dimana teknik pengumpulan data yang akan digunakan dengan melakukan studi dokumen, survey kuesioner dan wawancara. 1. Studi dokumen Studi dokumen yaitu mengumpulkan data dengan cara mempelajari dan menganalisis buku, file dan dokumen, peraturan-peraturan yang berbentuk tulis atau cetak sebagai sumber informasi tentang teori yang berhubungan dengan permasalahan penelitian beserta objek yang akan diteliti. Metode ini digunakan untuk memperoleh data tentang COBIT 5 dan keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal. 2. Wawancara Wawancara dilakukan dengan mengajukan pertanyaan secara lisan kepada staff Dinas Komunikasi dan Informatika yang yang sudah dipilih oleh peneliti serta mengerti dan mempunyai posisi penting tentang keamanan sistem informasi yang berada pada Dinas Komunikasi dan Informatika Kabupaten Kendal. Hal ini bertujuan untuk mendapatkan hasil gambaran yang jelas mengenai keamanan sistem informasi pada Dinas Komunikasi dan Informatika. 3. Kuesioner Kuesioner digunakan untuk mengukur tingkat kapabilitas proses tata kelola TI yang terkait pada penelitian yaitu keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal untuk kondisi saat ini yang sedang berjalan. Kuesioner merupakan kumpulan pertanyaan yang diajukan 32

48 33 secara tertulis dibuat oleh peneliti, kuesioner tersebut kemudian disebarkan kepada staff Dinas Komunikasi dan Informatika Kabupaten Kendal untuk mendapat jawaban dan informasi yang diperlukan oleh peneliti. Kuesioner yang digunakan adalah kuesioner tertutup, artinya alternatif jawaban sudah disediakan. Responden hanya tinggal memilih salah satu alternatif jawaban yang sesuai dengan pendapatnya. Sampel penelitian yang digunakan adalah pihak-pihak yang terkait pada RACI Chart dari domain DSS proses DSS05 (Manage Security Service). Metode ini untuk memperoleh data tentang keamanan sistem informasi dari responden Jenis Data dan Sumber Data Jenis data yang digunakan dalam penelitian ini yaitu data kuantitaif dan data kualitatif, berikut uraiannya : 1. Data kuantitatif Data yang dapat dihitung dan diolah dengan skala pengukuran statistika. Data kuantitatif berupa penjelasan yang dinyatakan dalam bentuk bilangan atau angka. Dalam penelitian ini data kuantitatif digunakan adalah jumlah staff Dinas Komunikasi dan Informatika Kabupaten kendal yang dijadikan respoden dalam pengisian kuesioner dan hasil kuesioner. 2. Data Kualitatif Data yang mencakup hampir semua data non-numerik. Data kualitatif dalam penelitian ini untuk menggambarkan dan menganalisa kondisi saat ini pada Dinas Komunikasi dan Informatika Kabupaten kendal berdasarkan data dan fakta yang ada supaya peneliti dapat lebih mengetahui secara mendalam tentang bagaimana keadaan keamanan sistem informasi. Dalam penelitian ini data kualitatif berupa: data dari wawancara kepada staff bagian Aplikasi dan Telematika Dinas Komunikasi dan Informatika Kabupaten Kendal, visi dan misi, sejarah singkat, sarana dan prasarana, keadaan keamanan sistem informasi saat ini serta permasalahan dan penanganan yang dilakukan pada keamanan sistem informasi yang sedang berjalan saat ini.

49 34 Sumber data yang digunakan dalam penelitian ini yaitu data primer dan data sekunder, berikut uraiannya : 1. Data primer Data yang dikumpulkan, dicatat dan diolah sendiri oleh peneliti langsung dari obyeknya berupa pertanyaan, penjelasan dan keterangan dari staff Dinas Komunikasi dan Informatika Kabupaten Kendal yang terkait langsung dengan persoalan untuk mengetahui bagaimana keamanan sistem informasi sekarang yang sedang berjalan. Beberapa responden yang diwawancarai dalam penelitian ini adalah staff Dinas Komunikasi dan Informatika Kabupaten Kendal bagian aplikasi dan telematika yang memiliki peran utama dalam permasalahan dan penanganan keamanan sistem informasi. 2. Data sekunder Data yang didapat secara tidak langsung atau data tersebut telah dikumpulkan oleh pihak lain yang dikumpulkan peneliti sebagai penunjang pembuatan penelitian. Atau data-data yang tersusun dalam bentuk dokumen. Seperti : jurnal yang terkait pada topik penelitian, dokumen pendukung yang sudah ada pada Dinas Komunikasi dan Informatika Kabupaten Kendal dan kuesioner. 3.2 Metode Analisis Setelah semua data diperoleh kemudian data dianalisis menggunakan analisis Tingkat Kapabilitas, RACI Chart dan Analisis Kesenjangan (Gap Analysis). 1. Analisis Tingkat Kapabilitas Analisis Tingkat Kapabilitas menggunakan hasil kuesioner dari tata kelola keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal yang mengacu pada kerangka kerja COBIT 5 proses DSS05 (Manage Security Service). Perhitungan kuesioner adalah sebagai berikut : a. Setiap level yang memiliki proses atribut (PA). Dimana didalam setiap PA terdapat kriteria yang harus dipenuhi dengan standar COBIT 5.

50 35 b. Setiap kriteria memiliki skor 1 sampai 4. Skor tersebut merepresentasikan tingkat pencapaian yang dicapai dalam masingmasing kriteria. c. Dalam setiap kriteria dilakukan penjumlahan dari seluruh kuesioner terhadap skor yang dicapai. d. Hasil penjumlahan kemudian dirata-rata dengan dibagi terhadap jumlah bobot maksimal lalu dikalikan 100%. e. Dari hasil tersebut didapatkan hasil akhir yang kemudian dapat dikategorikan sesuai aturan: N (Not Achieved, range 0% sampai 15%) P (Partically Achieved, range > 15% sampai 50%), L (Largely Achieved, range >50% sampai 85%) dan F (Fully Achieved, range >85% sampai 100%). 2. RACI Chart RACI Chart berfungsi untuk memetakan hasil kuesioner dari responden berdasarkan peran dan tanggung jawab. 3. Analisis Kesenjangan (Gap Analysis) Berfungsi untuk mengetahui kesenjangan antara tata kelola keamanan sistem informasi yang sedang berjalan saat ini dan tata kelola keamanan sistem informasi yang diharapkan. Serta hasil analisis dapat digunakan untuk memberikan saran perbaikan terhadap tata kelola keamanan sistem informasi kedepannya.

51 BAB 4 HASIL DAN PEMBAHASAN 4.1 Gambaran Umum Obyek Penelitian Dinas Komunikasi dan Informasi Kabupaten Kendal terbentuk berdasarkan Peraturan Pemerintah Nomor 41 Tahun 2007 tentang Organisasi Perangkat Daerah yaitu meliputi optimalisasi perangkat daerah dengan mempertimbangkan kebutuhan dan kemampuan keuangan daerah, maka susunan organisasi dan tata kerja Dinas Daerah Kabupaten Kendal sebagaimana diatur dalam Peraturan Daerah Kabupaten Kendal Nomor 20 Tahun 2007 tentang Susunan, Kedudukan, dan Tugas Pokok Dinas Daerah di Kabupaten Kendal (Lembaran Daerah Kabupaten Kendal Tahun 2007 Nomor 20 Seri D No.2 Dinas Komunikasi dan Informatika merupakan unsur pelaksana otonomi daerah di bidang komunikasi dan informatika. Dinas Komunikasi dan Informatika mempunyai tugas pokok melaksanakan urusan pemerintahan daerah berdasarkan asas otonomi dan tugas pembantuan di bidang komunikasi dan informatika. Dinas Komunikasi dan Informatika dipimpin oleh seorang Kepala Dinas yang dalam melaksanakan tugasnya berada di bawah dan bertanggung jawab kepada Bupati melalui Sekretaris Daerah. Kantor Dinas Komunikasi dan Informatika Kabupaten Kendal berada di jalan Soekarno-Hatta No. 193 Kendal. 4.2 Visi dan Misi Dinas Komunikasi dan Informatika Kabupaten Kendal 1. Visi Terwujudnya masyarakat Kendal yang maju dan mandiri melalui penyelenggaraan komunikasi dan informatika yang efektif dan efisien. 36

52 37 2. Misi Misi Dinas Komunikasi dan Informatika Kabupaten Kendal yaitu sebagai berikut : a. Meningkatkan sarana dan prasarana serta profesionalisme sumber daya aparatur bidang komunikasi dan informatika. b. Mengoptimalkan pemanfaatan sarana komunikasi dan informatika pemerintah dan masyarakat serta melaksanakan diseminasi informasi. c. Mewujudkan layanan online dalam mewujudkan pengadaan barang dan jasa secara elektronik. d. Mewujudkan pengelolaan data menuju satu data pembangunan untuk Kendal maju. 4.3 Tugas Pokok dan fungsi Dinas Komunikasi Kabupaten Kendal Tugas pokok dan fungsi Dinas Komunikasi dan Informatika Kabupaten Kendal berdasarkan Peraturan Daerah Kabupaten kendal Nomor 17 Tahun 2011 tentang penjabaran Tugas dan Fungsi Dinas Komunikasi dan Informatika Kabupaten Kendal adalah melaksanakan penyusunan dan pelaksanaan kebijakan daerah yang bersifat spesifik di bidang Kepegawaian Daerah. Dinas Komunikasi dan Informatika Kabupaten Kendal mempunyai tugas pokok melaksanakan urusan pemerintahan daerah berdasarkan asas otonomi dan tugas pembantuan di bidang komunikasi dan informatika. Untuk melaksanakan tugas tersebut, maka Dinas Komunikasi dan Informatika Kabupaten Kendal mempunyai fungsi : 1. Perumusan kebijakan teknis di bidang komunikasi dan informatika. 2. Pengorganisasian, pengembangan dan fasilitasi penyelenggaraan kegiatan di bidang komunikasi dan informatika. 3. Pembinaan dan pengendalian kegiatan di bidang komunikasi dan informatika. 4. Pelaksanaan monitoring, evaluasi dan pelaporan kegiatan di bidang komunikasi dan informatika. 5. Pengelolaan kesekretariatan dinas.

53 Struktur Organisasi Dinas Komunikasi dan Informatika Kabupaten Kendal Struktur organisasi merupakan suatu perangkat yang harus ada pada setiap perusahaan yaitu untuk melaksanakan tugas dalam pencapaian tujuan yang telah ditetapkan. Pada penelitian struktur organisasi ini mengarah pada target responden kuesioner yang mengetahui dan mengerti dalam keamanan sistem informasi yang ada pada Dinas Komunikasi dan Informatika Kabupaten Kendal. Gambar 4.1 Struktur Organisasi Dinas Komunikasi dan Informatika Kabupaten Kendal [13] Deskripsi Tugas Pada Dinas Komunikasi dan Informatika Kabupaten Kendal 1. Kepala Dinas Komunikasi dan Informatika dipimpin oleh seorang Kepala Dinas yang mempunyai tugas pokok melaksanakan urusan pemerintahan daerah berdasarkan asas otonomi dan tugas pembantuan di bidang komunikasi dan informatika.

54 39 2. Sekretariat Sekretariat mempunyai tugas pokok melaksanakan sebagian tugas Kepala Dinas untuk merumuskan kebijakan, mengkoordinasikan, membina dan mengendalikan kegiatan di bidang perencanaan, evaluasi, pelaporan, administrasi umum, kepegawaian dan keuangan. a. Sub Bagian Perencanaan, Evaluasi dan Pelaporan Sub bagian Perencanaan, Evaluasi dan Pelaporan mempunyai tugas pokok sebagian tugas Sekretaris di bidang perencanaan, monitoring, evaluasi dan pelaporan. b. Sub Bagian Umum dan Kepegawaian Sub Bagian Umum dan Kepegawaian memiliki tugas pokok melaksanakan sebagian tugas Sekretaris di bidang pengelolaan administrasi umum, tata laksana, kehumasan, perpustakaan, kearsipan, dokumentasi, perlengkapan, pengelolaan barang dan administrasi kepegawaian. c. Sub bagian Keuangan Sub Bagian Keuangan mempunyai tugas pokok melaksanakan sebagian tugas Sekretaris di bidang pengelolaan administrasi keuangan dan pelaporan. 3. Bidang Sarana Komunikasi dan Pembinaan Bidang Sarana Komunikasi dan Pembinaan mempunyai tugas pokok sebagian tugas Kepala Dinas dalam merumuskan kebijakan, mengkoordinasikan, membina dan mengendalikan kegiatan di Bidang Sarana Komunikasi dan Pembinaan. a. Seksi Sarana Komunikasi dan Diseminasi Informasi Seksi Sarana Komunikasi dan Diseminasi Informasi mempunyai tugas pokok pada di bidang komunikasi dan diseminasi informasi. b. Seksi Pengawasan, Pembinaan dan Pengaduan Seksi Pengawasan, Pembinaan dan Pengaduan mempunyai tugas pokok di bidang pengawasan, pembinaan dan pengaduan.

55 40 4. Bidang Aplikasi dan Telematika Bidang Aplikasi dan Telematika mempunyai tugas pokok melaksanakan sebagian tugas Kepala Dinas dalam merumuskan kebijakan, mengkoordinasikan, membina dan mengendalikan kegiatan di bidang aplikasi dan telematika. a. Seksi Telematika Seksi telematika mempunyai tugas pokok di bidang telematika. b. Seksi Perangkat Lunak dan Aplikasi Sistem Informasi Seksi Perangkat Lunak dan Aplikasi Sistem Informasi mempunyai tugas pokok di bidang perangkat lunak dan aplikasi sistem informasi. c. Seksi Perangkat Keras dan jaringan Seksi Perangkat Keras dan jaringan mempunyai tugas pokok di bidang perangkat keras dan jaringan. 5. Kelompok Jabatan fungsional Kelompok Jabatan fungsional mempunyai tugas melakukan kegiatan dalam menunjang tugas pokok Dinas 4.5 Hasil Pengumpulan Data Berdasarkan rumusan masalah dan tujuan yang tertulis dalam bab 1, dan serangkaian proses penelitian yang terdapat pada bab 3. Maka penulis akan menyelesaikan pokok permalahan yang disesuaikan pada tujuan penelitian. Penelitian ini secara runtut akan mengevaluasi dan membahas mengenai keamanan sistem informasi yang diterapkan pada Dinas Komunikasi dan Informatika Kabupaten Kendal. Setelah dilakukannya penilaian, kemudian dengan hasil yang diperoleh akan diberikan strategi perbaikan untuk mendapatkan hasil maksimal yang diharapkan organisasi. Hasil penilaian akan diproses secara bertahap, antara lain adalah sebagai berikut:

56 Hasil Studi Dokumen Berikut ini merupakan hasil studi dokumen terkait tata kelola teknologi informasi pada keamanan informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal 1. Ditemukan kebijakan mengenai akses fisik. 2. Ditemukan prosedur akses masuk pada ruang server. 3. Ditemukan pengelolaan dan koordinasi aspek keamanan informasi dari suatu instansi serta peran dan tanggung jawab. 4. Ditemukan kebijakan keamanan sistem informasi, mengenai sasaran dan ruang lingkup keamanan informasi. 5. Ditemukan kebijakan pengelolaan sistem informasi oleh pihak ketiga. 6. Ditemukan kebijakan pengelolaan layanan TIK 7. Ditemukan kebijakan pengelolaan sumber daya TIK 8. Ditemukan kebijakan manajemen resiko TIK 9. Ditemukan kebijakan penggunaan sumber daya TIK 4.6 Hasil Wawancara Berikut ini merupakan hasil wawancara dari responden Dinas Komunikasi dan Informatika Kabupaten Kendal Tabel 4.1 Ringkasan Hasil Wawancara Pertanyaan Wawancara Terkait Dengan DSS05 (Deliver Service and Support) DSS05.01 (Protect Agains Malware) Hasil Pembahasan Perlindungan yang dilakukan yaitu penggunaan antivirus, password dan firewall untuk melindungi komputer dari virus. Selain itu juga selalu update setiap saat ada aplikasi baru.

57 42 DSS05.02 (Manage Network and Connectivity Security) DSS05.03 (Manage Endpoint Security) DSS05.04 (Manage User Identity and Logical Access) DSS05.05 (Manage Phisical Security) DSS)5.06 (Manage Sensitive Document and Outputs devices) Pengelolaan pengamanan jaringan dan konektivitas yaitu dengan penggunaan firewall, dengan kunci MAC Address. Dan dipasang pada tiap router yang ada di SKPD masing-masing sehingga tiap titik hanya bisa melihat dalam satu subnet. Serta setiap harinya selalu dilakukan pengawasan terhadap jaringan oleh bagian aptel. Untuk PC dan printer pengamanan dilakukan oleh masing-masing pengguna. Namun dalam setiap PC sudah diterapkan anti virus serta setiap PC sudah terdapat username dan password. Untuk server pengamannya ditangani oleh admin pada bagian Aptel. Ada hirarki hak akses untuk tiap user. Dan setiap user memiliki kewenangan yang berbeda-beda tergantung kewenangan yang diberikan yang tercantum dalam SK. Menggunakan kunci pintu sidik jari dan hanya beberapa orang yang mempunyai kewenangan dapat membuka dan mengakses ruang server. Disimpan dengan aman. Untuk dokumen print-out disimpan dalam lemari besi. Untuk dokumen soft-copy dilakukan back-up data ke dalam beberapa media yang terdapat di beberapa tempat. Setelah dokumen tidak lagi dianggap penting disimpan ke dalam

58 43 gudang. Untuk prosedur permintaan dokumen ada ketentuannya, melalui persetujuan terlebih dahulu oleh pihak manajemen, jelas permintaan yang dibutuhkan dan keperluannya. DSS05.07 (Manage Information Security Incidents) DSS05.08 (Manage Information Handling) Untuk sampai saat ini, pernah terjadi kehilangan data. Selain itu pernah terjadi gangguan keamanan sistem informasi seperti tiba-tiba tidak dapat terkoneksi dengan server dan jaringan down. Namun semua hal tersebut selalu dapat dikomunikasikan dengan baik kemudian didokumentasikan untuk penilaian selanjutnya. Untuk saat ini sudah berjalan dengan baik. sudah terpasang antivirus di setiap PC. Login PC harus memakai password. Serta ruang server terkunci dan hanya beberapa orang yang telah diberi kewenangan yang dapat masuk.

59 Hasil Kuesioner Berikut ini merupakan hasil dari penyebaran kuesioner yang menghasilkan ringkasan mengenai hasil pencapaian level beserta rincian mengenai penilaian proses dari setiap atribut. Tabel 4.2 Ringkasan Pencapaian Level Kuesioner Process Name Descrip tion Purpose DSS05 Manage Security Services Fokus pada upaya melindungi informasi organisasi untuk mempertahankan tingkat keamanan informasi yang dapat diterima oleh organisasi sesuai dengan kebijakan keamanan Meminimalisasikan dampak bisnis dari kerentanan keamanan informasi dan insiden Level Level 0 Level 1 Level 2 Level 3 Level 4 Level 5 Process PA PA PA PA PA PA PA PA PA Atribut Rating by Percent age 88,75 % 86,35 % 77,50 % 75,41 % 61,00 % 68,47 % 66,87 % 64,66 % 64,16 % 63,89 % Rating by Criteria F F L L L L L L L L Capabili ty Level Achived 76,45 2,76 Target Berdasarkan tabel pencapaian level hasil kuesioner diatas, maka tingkat kapabilitas tata kelola teknologi informasi terkait keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal saat ini adalah level 2 yaitu Managed Process dengan status Largely Achieved sebesar 76,45% atau setara

60 45 dengan 2,76%. Bahwa proses pada keamanan sistem informasi yang dijalankan belum sepenuhnya memiliki keteraturan dalam pengelolaanya dimana pengkomunikasian mengenai perencanaan, pengawasan dan penyesuaian dari performa proses pada keamanan sistem informasi belum sepenuhnya dijalankan, dikendalikan dan dipertahankan dengan tepat. 4.8 Analisis dan Pembahasan Dari hasil kuesioner yang telah diisi oleh 30 responden, selanjutnya akan melalui proses perhitungan dan penetuan status. Setelah hasil kuesioner terkumpul, tahap berikutnya melakukan wawancara untuk mendapatkan penjelasan dari proses yang akan dinilai. Dengan demikian setiap level dan atribut dapat dijelaskan secara rinci. Adapun hasil penjelasannya adalah sebagai berikut : 1. Level 0 Incomplete Process Kriteria pada level ini mengenai kesadaran dan keberadaan proses keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal. Hasil pencapaian yang diperoleh pada level ini adalah sebesar 88,75% dengan status Fully Achieved (F). Status (F) menyatakan bahwa Dinas Komunikasi dan Informatika Kabupaten Kendal sudah menyadari sepenuhnya pentingnya proses keamanan sistem informasi terkait ancaman operasional TI dan menunjang proses bisnis. Tabel 4.3 Hasil dan Pembahasan Pencapaian Level 0 No. Kriteria 1. Tidak mudah terjadinya gangguan dan ancaman terkait operasional berbasis TI yang menghambat kegiatan pelayanan. Prosentase Pembahasan Nilai 89,17% Para staff telah menyadari adanya gangguan dan ancaman yang terkait operasional dalam menghambat kegiatan pelayanan TI. Dimana setiap gangguan yang terjadi

61 46 dikomunikasikan kepada pemangku kepentingan. 2. Memperhatikan dan mengelola kegiatan layanan keamanan sistem informasi untuk mendukung proses bisnis. 88,33% Para staff telah memperhatikan dan mengelola kegiatan layanan keamanan sistem informasi. Dimana setiap staff sudah menyadari untuk melindungi PC mereka dengan menggunakan username dan password. 2. Level 1 Performed Process Kriteria level ini mengenai pengimplementasian dan pencapaian tujuan proses keamanan sistem informasi pada Dinas Komunikasi dan Informatika kabupaten Kendal. Dalam level ini hanya terdapat satu atribut yaitu Process Performance mengenai seberapa jauh tujuan dari proses keamanan sistem informasi yang berhasil diraih. Hasil pencapaian proses ini yang diraih yaitu 86,35% dengan status Fully Achieved (F). Dengan status (F) menunjukkan bahwa Dinas Komunikasi dan Informatika Kabupaten Kendal telah menerapkan sepenuhnya proses keamanan sistem informasi. Tabel 4.4 Hasil dan Pembahasan Pencapaian Level 1 PA 1.1 Process Performance No. Kriteria Prosentase Nilai Pembahasan 1. Menerapkan, 81,67% Para staff telah memelihara pencegahan menyadari pentingnya dan langkah-langkah penggunaan anti virus perbaikan di seluruh dalam setiap PC mereka

62 47 tempat organisasi untuk melindungi sistem informasi dari malware (virus, worm, spyware/ spam). 2. Mengelola jaringan dan keamanan konektivitas dengan baik. 3. Memastikan semua perangkat seperti komputer, laptop, server diamankan dengan baik (penggunaan password, dimatikan saat tidak digunakan). masing-masing. Namun dalam Dinas Kominfo belum adanya kebijakan tertulis mengenai perlindungan terhadap malware. 91,67% Pengelolaan jaringan dan keamanan konektivitas sudah dikelola dengan baik. Namun belum dijelaskan secara mendetail siapa saja yang berkewenangan mengelola jaringan. Pengelolaan jaringan dan konekivitas menggunakan firewall dengan kunci MAC Address. 85,83% Semua perangkat diberikan autifikasi dengan penggunaan username dan password. Pada Dinas Kominfo sebagian besar staff telah menyadari untuk mematikan komputer yang tidak terpakai, memastikan ruangan terkunci dengan benar

63 48 4. Memastikan setiap pengguna memiliki akses informasi hak yang sesuai dengan kebutuhan mereka. 5. Memiliki pencatatan tentang siapa saja yang mengakses ruang server. 6. Melindungi dokumen yang berharga dengan menyimpannya pada tempat yang aman, mengatur penerimaan, penggunaan dan sitribusi dokumen yang baik. 7. Semua hal terkait dengan insiden keamanan jika kegiatan telah selesai. 89,17% Hak akses pengguna telah dibagikan sesuai dengan tupoksi dan SK pada masing-masing staff. 93,33% Penggunaan ruang server selalu dicatat dan dipantau. Prosedur untuk memasuki ruang server menggunakan kunci pintu sidik jari dan hanya beberapa orang yang telah diberikan kewenangan yang bisa memasuki ruang server. 85,83% Setiap dokumen print-out disimpan dalam lemari besi yang terkunci. Distribusi dokumen juga sesuai dengan kewenangan yang dimiliki. Jika dokumen dianggap sudah tidak digunakan hanya ditaruh di gudang. 83,33% Permasalahan yang dihadapi pada Dinas Kominfo langsung

64 49 dikomunikasikan dengan baik kepada pemangku kepentingan dan memberikan bimbingan bagaimana menangani insiden keamanan. 8. Mengelola keamanan aset informasi pada seluruh siklus dalam organisasi. dikomunikasikan kepada pemangku kepentingan. Namun terkadang gangguan yang terjadi hanya dicatat dikomunikasikan dan tidak segera memberikan penanganan. 80,00% Pengelolaan keamanan aset informasi sudah dilakukan dari semua siklus yang ada pada Dinas Kominfo, namun terkadang pengelolaan hanya dilakukan jika terjadi gangguan atau masalah. 3. Level 2 Managed Process Kriteria pada level ini mengenai pengelolaan proses keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal yang telah mencapai tujuannya dan diimplementasikan dengan cara yang lebih teratur dengan cara dikelola mencakup perencanaan, pengawasan dan penyesuaian. Dalam level ini terdapat dua proses atribut yaitu Performance Management dan Work Product Management. Dari rata-rata kedua atribut, pencapaian level ini adalah 76,45%. Dalam hal ini menunjukkan bahwa proses keamanan sistem informasi yang diimplementasikan secara garis besar belum sepenuhnya mencapai performa proses dan hasil kinerja yang memuaskan.

65 50 a. PA 2.1 Performance Management Mengenai sampai dimana performa proses keamanan sistem informasi dikelola dengan hasil pencapaian yang diperoleh adalah sebesar 77,50% dengan status Largely Achieved. Dalam hal ini menunjukkan bahwa proses keamanan sistem informasi hanya sebagian besar yang mencapai pengelolaanya. Untuk mengenai perencanaan performa proses keamanan sistem informasi belum sepenuhnya dikelola dengan baik. Tabel 4.5 Hasil dan Pembahasan Pencapaian Level 2 PA 2.1 Performance Management Prosentase No. Kriteria Pembahasan Nilai 1. Menjelaskan kegiatan 77,50% Detail kegiatan yang secara jelas terkait terkait dengan keamanan tentang keamanan sistem informasi belum sistem informasi dan sepenuhnya didefinisikan melakukan komunikasi secara jelas. Dimana kepada pemangku hanya melakukan kepentingan komunikasi pada saat (stakeholder). terjadi gangguan. 2. Selalu merencanakan dan memantau proses keamanan sistem informasi. 74,17% Perencanaan dan pemantauan hanya dilakukan pada saat terjadinya gangguan. Dan tidak dijelaskan siapa saja pihak yang memiliki wewenang dalam melakukan perencanaan dan pemantauan proses keamanan sistem informasi.

66 51 3. Pengambilan tindakan ketika pelaksaan proses keamanan sistem informasi tidak berjalan sesuai dengan rencana yang telah disepakati. 4. Selalu mengkomunikasikan jika terjadi gangguan sistem informasi kepada pemangku kepentingan. 75,83% Pengambilan tindakan terkadang tidak sesuai rencana, jika terdapat gangguan yang terjadi secara tiba-tiba pengambilan tindakan dilakukan secara langsung tanpa melihat perencanaan yang telah disepakati. 85,83% Selalu mengkomunikasikan laporan berdasarkan gangguan yang terjadi dilaporkan kepada Kepala Dinas Kominfo. Namun tidak ada periodik waktu yang ditetapkan sebagai jangka waktu pelaporan gangguan. 5. Selalu menyediakan fasilitas yang dibutuhkan dalam pelaksanaan proses keamanan sistem informasi. 74,17% Semua fasilitas yang dibutuhkan selalu disediakan. Namun perlakuan terhadap masing-masing sumber daya yang dibutuhkan untuk proses keamanan sistem informasi

67 52 tergantung pada pribadi staff masing-masing. b. PA 2.2 Work Product Management Mengenai sejauh mana hasil kerja yang dihasilkan oleh proses keamanan sistem informasi dikelola hasil pencapaian yang diperoleh adalah 75,41% dengan status Largely Achieved. Dalam hal ini menunjukkan bahwa proses keamanan sistem informasi hanya sebagian besar yang mencapai pengelolaanya. Dimana pendokumentasian, tindakan analisa dan pelaporan kepada manajemen terkait hasil kerja proses keamanan sistem informasi belum sepenuhnya dikelola dengan baik. Tabel 4.6 Hasil dan Pembahasan Pencapaian Level 2 PA 2.2 Work Product Management No. Kriteria Prosentase Nilai Pembahasan 1. Melakukan proses back up data, laporan hasil 70,83% Proses back up data dan laporan hasil kerja pada kerja secara teratur Dinas Kominfo sudah dilakukan ke dalam beberapa media yang ada di berbagai tempat, namun tidak ada periodik waktu yang telah ditetapkan untuk melakukan proses back up data dan laporan hasil kerja. 2. Mendokumentasikan hasil kerja (laporan) 76,67% Dokumentasi hasil kerja dilaporkan kepada

68 53 pada proses keamanan sistem informasi. 3. Jika sistem terjadi gangguan dapat segera diperbaiki dengan waktu yang cepat. 4. Pelaporan hasil kerja terkait pencapaian proses keamanan sistem informasi mencantumkan sumber. Kepala Dinas Kominfo. Namun tidak ada periodik waktu tertentu sebagai jangka pelaporan hasil kerja proses keamanan sistem informasi % Jika sistem terjadi gangguan pihak Dinas Kominfo langsung seseegera mungkin untuk memperbaikinya. Dan jika pihak Dinas Kominfo tidak dapat memperbaiki menggunakan pihak ketiga. 73,33% Pelaporan kinerja terkait pencapaian proses keamanan sistem informasi sudah dilakukan dan dilaporkan kepada pemangku kepentingan, namun dalam hasil pelaporan kadang tidak disertakan sumber (waktu dan tanggal).

69 54 4. Level 3 Established Process Mengenai sampai dimana performa proses keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal dikelola dengan hasil pencapaian yang diperoleh adalah sebesar 64,73% dengan status Largely Achieved. Dalam hal ini menunjukkan bahwa proses keamanan sistem informasi hanya sebagian besar yang mencapai pengelolaanya. Untuk mengenai perencanaan performa proses keamanan sistem informasi belum sepenuhnya dikelola dengan baik. a. PA 3.1 Process Definition Mengenai sampai dimana performa proses keamanan sistem informasi dikelola dengan hasil pencapaian yang diperoleh adalah sebesar 61,00% dengan status Largely Achieved. Dalam hal ini menunjukkan bahwa proses keamanan sistem informasi hanya sebagian besar yang mencapai pengelolaanya. Untuk mengenai perencanaan performa proses keamanan sistem informasi belum sepenuhnya dikelola dengan baik. Tabel 4.7 Hasil dan Pembahasan Pencapaian Level 3 PA 3.1 Work Process Definition No. Kriteria Prosentase Nilai Pembahasan 1. Mempunyai Standar 62,50% Belum didefinisikan Operasional Prosedur secara jelas terkait (SOP) dalam kegiatan Standar Operasional proses keamanan Prosedur (SOP) dalam sistem informasi kegiatan proses keamanan sistem informasi. Sebagai standar operasionalnya hanya dengan kesepakatan bersama yang telah disepakati

70 55 oleh para staff dan pemangku kepentingan. 2. SOP menyediakan secara lengkap dan detail urutan kegiatan proses keamanan sistem informasi. 3. SOP menyediakan secara lengkap dan detail infrastruktur kegiatan proses keamanan sistem informasi. 4. infrastruktur dan lingkungan kerja metode yang digunakan untuk kegiatan proses keamanan sistem informasi, digunakan sesuai dengan SOP. 61,67% Belum definisikan secara jelas SOP, untuk kegiatan proses keamanan sistem informasi hanya menggunakan kebijakankebijakan yang ada dalam tupoksi dan kesepakatan bersama. 60,83% Dengan belum dijelaskannya SOP, untuk detail infrastruktur dalam kegiatan proses keamanan sistem informasi berdasarkan tupoksi dan SK. 59,17% Infrastruktur penting seperti ruang server, pengelolaannya sudah menggunakan pintu sidik jari dan hanya beberapa orang saja yang berwenang untuk masuk. Namun untuk infrastruktur dan lingkungan kerja Dinas Kominfo pengelolaannya masih tergantung dengan

71 56 pribadi masing-masing staff Dinas Kominfo. Serta belum dijelaskannya dalam SOP dalam penangangan infrastruktur dan lingkungan kerja. 5. SOP digunakan untuk pemantauan dalam keefektifan dan kesesuaian dari proses keamanan sistem informasi. 60,83% Belum didefinisikan secara jelas terkait SOP pemantauan dan keseuaian dari proses keamanan sistem informasi. Pemantauan dan kesesuaian dilakukan menggunakan penilaian internal Dinas Kominfo. b. PA 3.2 Process Deployment Mengenai sejauh mana proses keamanan sistem informasi yang dikelola sesuai dengan standar untuk mendukung pengerjaan dari proses yang telah didefinisikan dengan hasil pencapaian yang diperoleh adalah sebesar 68,47% dengan status Largely Achieved. Hal ini menunjukkan pengerjaan proses keamanan sistem informasi yangs sesuai dengan standar hanya sebagian yang tercapai. Dimana untuk pengelolaan atau perlakuan terhadap alat dan fasilitas untuk mendukung proses keamanan sistem informasi masing belum sepenuhnya dikelola dengan baik.

72 57 Tabel 4.8 Hasil dan Pembahasan Pencapaian Level 3 PA 3.2 Process Deployment No. Kriteria Prosentase Nilai Pembahasan 1. Ruang server sesuai 85,83% Ruang server yang ada dengan standart dan sesuai dengan standart tidak semua staff dengan menggunakan diijinkan masuk. pintu sidik jari dan hanya beberapa staff saja yang dapat masuk ke dalam ruang server. 2. Tersedia scan virus otomatis secara rutin. 3. SDM yang dipilih memiliki kompetensi sesuai basis edukasi dan pengalaman dalam kegiatan keamanan sistem informasi sesuai dengan SOP. 44,17% Belum tersedianya scan virus secara otomatis dan proses scan virus dilakukan hanya beberapa waktu saja tidak dilakukan secara berkala. 70,83% Semua personil staff berijasah sarjana dan diploma. Kesesuaian kompetensi yang dimiliki dengan tugas yang harus dilakukan sudah cukup sesuai. Namun untuk proses layanan keamanan informasi, misalnya seperti penanganan masalah jaringan pihak Dinas Kominfo masih membutuhkan bantuan

73 58 4. Terdapat pengendalian aktivitas jaringan. 5. Terdapat prosedur kebijakan untuk perlindungan terhadap virus secara berkala sesuai dengan SOP. 6. Data mengenai kegiatan proses keamanan sistem informasi dikumpulkan dan dianalisis sebagai dasar perbaikan. dari pihak ketiga. 77,50% Terdapat aktivitas pengendalian jaringan, namun peninjauannya tidak dilakukan secara rutin. Jika terdapat permasalahan pada jaringan, peninjauan pengendalian jaringan baru ditingkatkan dan rutin dengan waktu yang telah ditentukan. 64,17% Untuk perlindungan virus secara berkala belum memiliki kebijakan atau standar operasional prosedur. 68,33% Kegiatan proses layanan keamanan informasi didokumentasikan dan dilaporkan. Tindakan analisa hanya dilakukan jika dianggap terdapat masalah penting terkait proses layanan keamanan informasi. 5. Level 4 Predictable Process Kriteria dalam level ini mengenai pengelolaam proses keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal yang

74 59 telah berjalan dan dioperasikan sesuai dengan batasan yang ditentukan untuk mencapai outcome yang diharapkan. Dalam level ini terdapat dua proses atribut yaitu Process Measurement dan Process Control. Dari ratarata kedua atribut pencapaian level ini adalah sebesar 65,76%. Hal ini menunjukkan bahwa proses keamanan sistem informasi pengimplementasiannya belum sepenuhnya berhasil untuk dapat diprediksi dalam pengelolaan pengukuran kontrol dan kontrol proses secara garis besar belum tercapai. a. PA 4.1 Process Measurement Mengenai seberapa jauh hasil pengukuran digunakan untuk memastikan bahwa performa proses keamanan sistem informasi yang mendukung tujuan proses organisasi. Hasil pencapaian yang diperoleh adalah 66,87% dengan status Largely Achieved. Hal ini menunjukkan pengukuran performa proses keamanan informasi belum tercapai sepenuhnya. Dimana pengukuran performa dan tindak lanjut proses keamanan sistem informasi masih belum dikelola dengan baik. Tabel 4.9 Hasil dan Pembahasan Pencapaian Level 4 PA 4.1 Process Measurement Prosentase No. Kriteria Pembahasan Nilai 1. Adanya penetapan 70,83% Dalam penetapan kebutuhan informasi kebutuhan informasi yang jelas terkait yang terkait dalam kegiatan proses kegiatan proses keamanan sistem keamanan sistem informasi. informasi sudah dikelola dengan baik. Namun ada beberapa penetapan yang perlu dikaji ulang pengelolaannya.

75 60 2. Adanya acuan pengukuran terkait pengelolaan proses keamanan sistem informasi sesuai kebutuhan informasi. 3. Hasil pengukuran kegiatan pengelolaan proses keamanan sistem informasi dikumpulkan, dianalisa dan dilaporkan untuk memantau seberapa jauh tujuan pengelolaan proses bisnis telah tercapai. 75,00% Terdapat acuan pengukuran dalam proses keamanan sistem informasi sesuai dengan kebutuhan yang diperlukan oleh Dinas Kominfo. Namun terkadang para staff tidak menggunakan acuan tersebut untuk pengelolaan proses keamanan sistem informasi. 60,83% Kegiatan pengukuran dan kegiatan pengelolaan proses keamanan sistem informasi tidak selalu dikumpulkan dan dilaporkan kepada peamangku kepentingan. Jika terjadi masalah penting terkait dengan proses keamanan sistem informasi baru melakukan pengumpulan, analisa dan pelaporan.

76 61 4. Menggunakan hasil pengukuran kegiatan pengelolaan proses keamanan sistem informasi untuk menggambarkan kinerja yang dilakukan. 60,83% Hasil pengukuran kegiatan pengelolaan proses keamanan sistem informasi yang dilakukan belum sepenuhnya dapat melihat penggambaran kinerja yang dilakukan secara jelas. b. PA 4.2 Process Control Mengenai sejauh mana suatu proses keamanan sistem informasi bisa menghasilkan proses yang stabil, mampu dan bisa diprediksi dalam batasan yang telah ditentukan dengan hasil pencapaian yang diperoleh sebesar 64,66% dengan status Largely Achieved. Hal ini menunjukkan kontrol performa proses keamanan sistem informasi hanya sebagian besar tercapai dalam pengelolaannya. Dimana pendefinisian analisa dan kontrol performa dan tindak lanjut hasil pengontrolan performa kegiatan proses keamanan sistem informasi masih belum sepenuhnya dikelola dengan baik. Tabel 4.10 Hasil dan Pembahasan Pencapaian Level 4 PA 4.2 Process Control No. Kriteria Prosentase Nilai Pembahasan 1. Menetapkan teknik 64,17% Belum ada pendefinisian analisa untuk mengukur tertulis secara jelas dan efektivitas kegiatan rinci mengenai analisa proses keamanan untuk pengukuran sistem informasi yang performa kegiatan proses dilakukan. layanan keamanan informasi. Tindakan

77 62 2. Menetapkan parameter dan standar untuk mengontrol kinerja dalam kegiatan keamanan sistem informasi yang dilakukan. 3. Hasil pengukuran, pengontrolan kegiatan proses keamanan sistem informasi dianalisa, untuk mengetahui masalah yang harus diperbaiki. 4. Mengoreksi untuk mengatasi masalah dalam proses keamanan sistem informasi yang berjalan. analisa hanya dilakukan jika dianggap terdapat masalah penting terkait proses layanan keamanan informasi. 68,33% Belum ada pendefinisian tertulis secara jelas dan rinci mengenai parameter dan standar untuk mengontrol performa kegiatan proses layanan keamanan informasi. Pendefinisian standar untuk mengontrol performa kegiatan proses layanan keamanan informasi yang dilakukan masih dalam tahap perencanaan. 65,83% Tindakan analisa hanya dilakukan jika dianggap terdapat masalah penting terkait proses layanan keamanan sistem informasi. 64,17% Tindakan koreksi hanya dilakukan pada saat jika terjadi masalah pada proses keamanan sistem informasi.

78 63 5. Adanya penetapan kontrol (apabila dibutuhkan) sebagai respon terhadap tindakan koreksi. 60,83% Hasil tindakan koreksi tidak selalu dikomunikasikan dan didokumentasikan dalam Form Pencatatan Gangguan. Tindakan analisa lebih lanjut atas tindakan koreksi yang dilakukan terkait untuk menetapkan batasan kontrol belum dilakukan 6. Level 5 Optimizing Process Kriteria dalam level ini mengenai pengelolaan proses keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten kendal yang dijalankan diatas ditingkatkan secara berkelanjutan untuk memenuhi tujuan bisnis organisasi baik saat ini dan di masa depan. Dalam level ini terdapat dua proses atribut yaitu Process Innovation dan Process Optimisation. Dari rata-rata kedua proses atribut tersebut, pencapaian atas level ini sebesar 64,02%. Hal ini menunjukkan bahwa proses keamanan sistem informasi yang diimplemetasikan belum sepenuhnya berhasil untuk dapat secara terus menerus ditingkatkan dalam pengelolannya dimana inovasi proses dan optimisasion proses hanya secara garis besar tercapai. a. PA 5.1 Process Innovation Mengenai sampai dimana proses keamanan sistem informasi diidentifikasi dari dianalisis penyebab umum dari adanya variasi di dalam performa dan dari investigasi pendekatan inovatif untuk mendefinisikan dan melaksanakan proses keamanan ssitem informasi. Dengan hasil pencapaian yang diperoleh adalah sebesar 64.16% dengan status Largely Achieved. Hal ini menunjukkan kontrol performa proses hanya tercapai sebagian dalam pengelolannya. Dimana pendefinisian rencana

79 64 peningkatan dan analisa performa proses keamanan sistem informasi masih belum sepenuhnya dikelola dengan baik. Tabel 4.11 Hasil dan Pembahasan Pencapaian Level 5 PA 5.1 Process Innovation No. Kriteria Prosentase Nilai Pembahasan 1. Terdapat rencana 65,83% Tidak ditemukan peningkatan dalam dokumentasi rencana kegiatan pengelolaan peningkatan proses proses keamanan layanan keamanan sistem informasi untuk informasi. mendukung tujuan Dinas Kominfo. 2. Data kinerja yang diperoleh dari kegiatan pengelolaan proses keamanan sistem informasi dianalisis untuk mengidentifikasi variasi di dalam kinerja. 3. Data hasil kinerja dianalisa untuk mengidentifikasi peluang terbaik untuk menciptakan inovasi dalam kegiatan proses keamanan sistem 63,33% Tindakan analisa hanya dilakukan jika dianggap terdapat masalah penting terkait proses keamanan informasi. Identifikasi variasi hanya digambarkan pada seberapa sering masalah/gangguan yang terjadi. 60,83% Tindakan analisa hanya dilakukan jika dianggap terdapat masalah penting terkait proses keamanan sistem informasi.

80 65 informasi. 4. Memberikan peluang perbaikan terhadap kegiatan proses keamanan sistem informasi dari hasil inovasi yang diciptakan. 5. Strategi implementasi dibuat untuk mencapai tujuan dari peningkatan proses keamanan sistem informasi. 65,00% Rencana peningkatan proses masih dalam tahap perencanaan secara umum sehingga belum ada analisis peluang peningkatan untuk proses keamanan sistem informasi yang baru. 65,83% Belum mempunyai perencanaan untuk meningkatkan proses terbaik untuk keamanan sistem informasi, namun Dinas Kominfo sudah menyadari pentingnya untuk segera bertindak dalam peningkatan menjadi yang terbaik. b. PA 5.2 Process Optimization Mengenai sejauh mana pengukuran perubahan untuk definisi, manajemen dan performa proses keamanan ssitem informasi agar memiliki hasil yang berdampak secara efektif untuk mencapai tujuan dari proses peningkatan dengan hasil pencapaian yang diperoleh sebesar 63,89% dengan status Largely Achieved. Hal ini menunjukkan optimitasi proses hanya tercapai sebagian. Dimana penilaian dampak dari perubahan proses keamanan sistem informasi masih belum sepenuhnya dikelola dengan baik.

81 66 Tabel 4.12 Hasil dan Pembahasan Pencapaian Level 5 PA 5.2 Process Optimization No. Kriteria 1. Dinas Kominfo selalu melakukan audit secara berkala khususnya pada pengelolaan proses keamanan sistem informasi. Prosentase Pembahasan Nilai 60,83% Dinas Kominfo belum sepenuhnya melakukan audit. Audit dilakukan jika terdapat pemasalahan dan gangguan-gangguan yang terjadi pada Dinas Kominfo. 2. Dinas Kominfo selalu melakukan persetujuan terlebih dahulu sebelum membuat pembaharuan SOP dengan kebijakan yang telah ditetapkan. 3. Terdapat pendekatan kualitas proyek untuk peningkatan proses keamanan sistem informasi (diukur, dievaluasi dan 66,67% Setiap melakukan pembaharuan selalu dikomunikasikan dan dikelola. Namun masih belum didefinisikan secara luas dan mendetail mengenai kebijakan dan prosedur yang harus dilakukan didalamnya seperti identifikasi alat. Hanya kebijakan secara umum. 64,17% Dinas Kominfo sudah mempunyai kesadaran dalam proses peningkatan keamanan sistem informasi. Namun dalam pengukuran,

82 67 dilaporkan setelah implemetasi secara berkala/periodik). evaluasi dan pelaporan dalam hal periodik maupun berkala belum sepenuhnya dilakukan oleh Dinas Kominfo. Tindakan analisa hanya dilakukan seperlunya. 4.9 Analisis Kesenjangan ( Gap Analysis) Analisis kesenjangan dilakukan untuk mengetahui kualitas proses keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal sekarang dan yang diharapkan kedepan. Target level kapabilitas yang akan dicapai adalah level 3, selain karena alasan sebagai level standar rata-rata industri, dalam proses penilaian kapabilitas COBIT 5 harus diperhatikan secara bertahap. Jika level kapabilitas yang dicapai oleh Dinas Komunikasi dan Informatika Kabupaten Kendal terkait pengelolaan proses keamanan sistem informasi adalah pada level 2 maka target yang harus dipenuhi selanjutnya adalah untuk berada di level kapabilitas 3. Capability as is to be 0 0,5 1 1,5 2 2,5 3 Gambar 4.2 Grafik Kesenjangan Kapabilitas

83 68 Dari grafik di atas menunjukkan nilai yang dicapai saat ini dan yang akan dicapai. Ditemukan nilai gap sebesar 0,24 antara tingkat kapabilitas yang saat ini dicapai (as is) dengan target yang akan dicapai (to be). Nilai gap yang dihasilkan bukan nilai yang besar. Karena memang dalam hasil pembahasan sebelumnya pencapaian level 2 telah 76,45% terpenuhi atau berstatus Largely Achieved. Berdasarkan kesenjangan level kapabilitas tersebut, kemudian didapatkan suatu analisis yang dapat dimulai dengan memperbaiki kriteria pemenuhan setiap proses atribut dari level 1 sampai level 3 untuk mencapai status Fully Achieved. Status Fully Achieved dicapai dengan range >85% (dalam tabel diasumsikan nilai 85,01% sebagai batas bawah pencapaian). Berikut ini merupakan turunan kesenjangan yang dicapai berdasarkan setiap proses atribut. Tabel 4.13 Analisis Kesenjangan Proses atribut Level 1-3 Proses Atribut Presentase as is Presentase to be Gap Pembahasan PA 1.1 Process Performance PA 2.1 Performance Management 86,35% 85,01% -1,34% Kesenjangan negatif, karena PA ini telah berstatus Fully Achieved. 77,50% 85,01% 7,51% Kesenjangan cukup besar dimana mengkomunikasian mengenai perencanaan, dari performa kegiatan terkait proses keamanan sistem informasi dilakukan jika hanya terjadi permasalahan atau gangguan dan belum ditetapkannya

84 69 waktu secara periodik untuk proses pelaporan. PA 2.2 Work Product Management PA 3.1 Process Definition PA 3.2 Process Deployment 75,41% 85,01% 9,60% Kesenjangan cukup besar dimana perbaikan sistem, pendokumentasian, pelaporan dan tindakan belum sepenuhnya dilakukan dengan baik. 61,00% 85,01% 24,01% Kesenjangan besar dimana belum didefinisikan secara jelas adanya suatu standar operasional prosedur dan hanya menggunakan suatu kebijakan-kebijakan, sehingga untuk proses keamanan sistem informasi masih belum memadai. 68,47% 85,01% 16,54% Kesenjangan besar dimana pengelolaan terhadap alat dan fasilitas untuk kegiatan proses keamanan sistem informasi masih tergantung pada pribadi staff masing-masing sehingga proses

85 70 keamanan sistem informasi yang diimplementasikan masih belum sepenuhnya baik Strategi Perbaikan Strategi perbaikan dilakukan dengan memanfaatkan indikator proses atribut dimana dilakukan secara bertahap dengan melihat kembali setiap proses atribut dari level 1 sampai level 3. Berikut ini merupakan uraian strategi perbaikan dari setiap proses atribut. 1. PA 1.1 (Process Performance) Walaupun pada hasil pencapaian PA 1.1 sudah melebihi target, namun masih ditemukan beberapa kriteria yang belum mencapai hasil tercapai penuh. Oleh karena itu, masih perlu dibuatkan strategi perbaikan agar semua kriteria pada atribut PA 1.1 tercapai penuh dalam pengelolaannya. Berikut ini merupakan strategi perbaikan untuk atribut PA 1.1 (Process Performance) : a. Membuat suatu prosedur standar operasi pengelolaan perangkat fisik untuk melindungi komputer-komputer dari ancaman malware seperti virus, worm, spam dan lain-lain. Membuat kebijakan peraturan tata kelola mengenai penggunaan internet yang baik dan benar. Pengelolaan menggunakan Password (Penggantian Password secara periodik). b. Pengkomunikasian hal terkait dengan insiden keamanan sistem informasi kepada pemangku jabatan. Pengkomunikasian didefinisikan lebih jelas dan lebih diperinci supaya dapat langsung diberikan penanganan terkait insiden keamanan sistem informasi pada Dinas Komunikasi dan Informasi Kabupaten Kendal. c. Melakukan pembuatan prosedur mengenai pengelolaan keamanan seluruh aset sistem informasi dari semua siklus organisasi pada Dinas

86 71 Komunikasi dan Informatika Kabupaten Kendal supaya lebih diperhatikan dan dikomunikasikan agar jika terjadi insiden atau gangguan dapat langsung diberikan penanganan dengan baik. 2. PA 2.1 (Performance Management) Berikut ini merupakan strategi perbaikan untuk atribut PA 2.1 (Performnace Management) : a. Mendefinisikan dan pengadaan prosedur standar operasi mengenai standar kualifikasi SDM pengelola keamanan informasi. SDM yang terkait harus diketahui lebih rinci peran dan tanggung jawab dalam merencanakan, memantau dan mengevaluasi proses keamanan sistem informasi yang dilakukan. b. Melakukan pembuatan prosedur standar operasi mengenai metode dan perencanaan pengamanan sistem informasi. Dengan merencanakan secara matang serta rencana-rencana dan strategi-strategi yang akan dilakukan terkait pengamanan sistem informasi dan selalu memantau jalannya proses pengamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal. c. Membuat prosedur keamanan standar operasi mengenai pengambilan suatu keputusan. Dalam pengambilan keputusan setidaknya dikomunikasikan terlebih dahulu bersama pemangku kepentingan serta dalam pengambilan keputusan seharusnya sesuai dengan rencana yang telah disepakati supaya nantinya jika terdapat masalah dan gangguan pihak-pihak terkait sudah siap dalam penanganannya. d. Terdapat suatu standar operasi sistem prosedur penyediaan fasilitasfasilitas, alat-alat yang dibutuhkan terkait mengenai proses keamanan informasi supaya jika terdapat permasalahan langsung dapat diperbaiki dan ditangani. 3. PA 2.2 (Work Product Management) Berikut ini merupakan strategi perbaikan untuk atribut PA 2.2 product Management) : (Work

87 72 a. Membuat prosedur operasi sistem mengenai proses back-up data secara teratur dan periodik supaya dapat terhindar dari kehilangan data, pencurian data, penyadapan data, perusakan data oleh orang-orang yang tidak bertanggung jawab serta ancaman-ancaman atau gangguangangguan TI. b. Membuat prosedur operasi sistem mengenai waktu periode tertentu untuk menilai hasil kerja pada proses keamanan sistem informasi. Sehingga dapat terlihat jelas serta dapat mengetahui perkembangan proses keamanan sistem informasi yang dilakukan. c. Membuat prosedur operasi sistem mengenai tindakan gangguan pengamanan sistem informasi. Jika terdapat gangguan segera mengumpulkan pihak-pihak internal yang dapat menyelesaikan permasalahan yang ada. Jika pihak internal tidak dapat menyelesaikan segera mungkin melakukan komunikasi dengan pihak ketiga untuk dapat menyelesaikan gangguan agar tidak mengganggu pekerjaan pada Dinas Komunikasi dan Informatika Kabupaten Kendal. d. Melakukan pengadaan prosedur standar operasi mengenai pelaporan hasil kerja proses keamanan sistem informasi lebih baik mencantumkan sumber untuk mengantisipasi adanya penyangkalan dari informasi tersebut. 4. PA 3.1 (Process Definition) Berikut ini merupakan strategi perbaikan untuk atribut PA 3.1 (Process Definiton) : a. Membuat prosedur standar operasi rencana penanggulangan bencana serta mendefinisikan secara jelas mengenai proses keamanan sistem informasi terkait penanganan gangguan, penanganan bencana alam, penanganan fasilitas dan perangkat, dsb. b. Membuat prosedur standar operasi mengenai urutan kegiatan serta dengan identifikasi peran dan tanggung jawab pihak-pihak terkait dengan proses keamanan sistem informasi.

88 73 c. Membuat prosedur standar operasi secara lengkap dan detail mengenai infrastruktur TI yang dibutuhkan dan pencatatan penggunaan infrastruktur TI untuk mendukung proses keamanan sistem informasi. d. Membuat prosedur standar operasi terkait dengan pemantauan dalam keefektifan, jaminan mutu dan kesesuaian kinerja terkait proses keamanan sistem informasi 5. PA 3.2 (Process Deployment) Berikut ini merupakan strategi perbaikan untuk atribut PA 3.2 (Process Deployment) : a. Membuat prosedur standar operasi mengenai penggunaan antivirus yang dapat men-scan semua data secara rutin serta selanjutnya dapat aktif kembali. Dan antivirus ini dipasang disetiap komputer yang ada pada Dinas Komunikasi dan Informatiak Kabupaten Kendal. b. Meningkatkan kesadaran pada staff masing-masing terhadap pengelolaan proses keamanan sistem informasi yang sesuai dengan standar SOP dengan melakukan pelatihan, penilaian, dsb. c. Membuat prosedur standar operasi terkait pengendalian jaringan untuk mendukung proses pengendalian jaringan terkait proses keamanan sistem informasi. d. Membuat prosedur kebijakan terkait perlindungan terhadap virus secara berkala guna menjaga proses keamanan sistem informasi. e. Membuat prosedur standar operasi mengenai aset data proses keamanan sistem informasi, sebaiknya selalu dikumpulkan ke pemangku kepentingan supaya dapat mengetahui tindakan selanjutnya dan dapat sebagai dasar perbaikan.

89 BAB 5 PENUTUP 5.1 Simpulan Dari hasil penelitian yang telah dilakukan pada Dinas Komunikasi dan Informatika Kabupaten Kendal terkait proses keamanan sistem informasi saat ini. Maka dapat diambil suatu simpulan sebagai berikut: 1. Tingkat kapabilitas tata kelola teknologi informasi terkait proses keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal saat ini adalah 2 yaitu Managed Process dengan status Largely Achieved sebesar 76,45% atau setara dengan nilai 2,76. Pada proses tersebut masih perlu peningkatan agar dapat mendukung kinerja Dinas Komunikasi dan Informatika Kabupaten Kendal. 2. Strategi perbaikan yang dapat dilakukan Dinas Komunikasi dan Informatika Kabupaten Kendal untuk mencapai tingkat kapabilitas 3 adalah : a. PA 1.1 : Membuat suatu prosedur mengenai perlindungan terhadap malware. menjelaskan kepada pemangku kepentingan terkait terjadinya insiden keamanan sistem informasi. b. PA 2.1 : Mendefinisikan prosedur standar kualifikasi SDM. Membuat prosedur pembuatan perencanaan, melakukan pemantauan dan pengambilan keputusan terhadap proses keamanan sistem informasi. terdapat standar operasi sistem prosedur penyediaan alat dan fasilitas yang dibutuhkan. c. PA 2.2 : membuat prosedur operasi sistem untuk melakukan back-up data. penetapan prosedur sistem mengenai waktu periode. Membuat prosedur operasi sistem mengenai pengamanan sistem informasi. d. PA. 3.1 : membuat prosedur standar operasi yang berkaitan dengan proses keamanan sistem informasi secara detail dan lengkap. 74

90 75 e. PA. 3.2 : Membuat prosedur standar operasu mengenai penggunaan antivirus. meningkatkan kesadaran pada staff terhadap pengelolaan proses keamanan sistem informasi yang sesuai dengan SOP. 5.2 Saran 1. Dapat dilakukan uji validitas terhadap hasil jawaban kuesioner dan analisis yang dilakukan untuk penelitian selanjutnya. Dengan demikian dapat diketahui sejauh mana ketepatan dan kecermatan kuesioner sebagai instrumen pengukuran agar data yang diperoleh dapat relevan/ sesuai dengan tujuan diadakannya pengukuran tersebut. 2. Untuk penelitian selanjutnya alangkah baiknya Dinas Komunikasi dan Informatika melakukan audit dari berbagai kerangka kerja tata kelola TI seperti (ITIL, COSO, PRINCE 2, ISO, dll). Proses tersebut bertujuan untuk menilai tata kelola yang berkaitan dengan pemanfaatan teknologi dalam aktivitas organisasi.

91 DAFTAR PUSTAKA [1] Islamiyah, Mega Putri, "Tata Kelola Teknologi Informasi (IT Governance) Menggunakan Framework COBIT 5 (Studi Kasus: Dewan Kehormatan Penyelenggara Pemilu (DKPP))," UIN Syarif Hidayatullah Jakarta, Jakarta, Skipsi S1 Sistem Informasi November [2] Diskominfo Kabupaten Kendal, Kepdin Pengelola TIK. Kendal, Jawa Tengah, [3] Ciptaningrum, Dewi dkk, "Audit keamanan Sistem Informasi Pada Kantor Pemerintah Kota Yogyakarta Menggunakan COBIT 5," Seminar Nasional Teknologi Informasi dan Komunikasi, pp , Maret [4] Ulumi, Desepta Isna dkk, "Audit TeNOSS Menggunakan COBIT 5 pada DOmain Deliver, Service and Support (DSS)," [5] Riyanarto Sarno, Audit Sistem dan Teknologi Informasi. Surabaya: ITS press, [6] Krisdanto Surendro, Implementasi Tata Kelola Teknologi Informasi. Bandung: INFORMATIKA, [7] ISACA, COBIT 5: A Business Framework For The Governance and Management of Enterprise IT. USA: ISACA, [8] ISACA, COBIT 5: Self Assessment Guide: Using COBIT 5. USA: ISACA, [9] ISACA, COBIT 5: Process Reference Guide Exporuse Draft. USA: ISACA, [10] Ibisa, Keamanan Sistem Informasi. Yogyakarta: Andi Offset,

92 77 [11] R.T. Asmono, Proteksi Aset Informasi. Semarang, [12] Diskominfo Kabupaten Kendal, Master Plan Teknologi Informasi dan Komunikasi Pemerintah Kabupaten Kendal. Kendal, Jawa Tengah, [13] Diskominfo Kabupaten Kendal, Rencana Strategis Dinas Komunikasi dan Informatika Kabupaten Kendal. Kendal, Jawa Tengah, 2014.

93 LAMPIRAN Lampiran 1. RACI Chart 1. RACI Chart Berdasarkan struktur organisasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal, maka akan dipetakan untuk memperoleh hasil penelitian yang berkaitan dengan keamanan sistem informasi. Hasil penelitian berasal dari penilaian langsung melalui kuesioner. Kuesioner dibagikan kepada bapak ibu selaku staff Dinas Komunikasi dan Informatika Kabupaten Kendal yang mengetahui mengenai keamanan sistem informasi. Berikut pemetaanresponden yang disesuaikan dengan RACI Chart : Struktur Fungsional sesuai Raci Chart Struktur Fungsional Dinas Komunikasi dan Informatika Kabuapten Kendal Jumlah Chief Kepala Dinas Komunikasi dan Informatika Information Kabupaten Kendal Officer 1 Head Development 1. Sub Bagian Perencanaan Evaluasi dan Pelaporan 3 1. Kepala Bidang Sarana Komunikasi dan Pembinaan 1 Business 2. Kepala Aplikasi dan Telematika 1 Process Owner 3. Kepala Sub bagian Umum dan 1 Kepegawaian 1. Sekretariat Head IT 2 2. Seksi sarana komunikasi dan Operations 2 disemninasi informasi 78

94 79 Head IT Administration Service Manager 1. Administrator Aplikasi Sistem Informasi 2. Administrator Perangkat Lunak 3. Administrator Jaringan 1. Seksi Telematika 2. Seksi Perangkat Keras Compliance, Audit,Risk and Security Penilai Internal 1 Jumlah Responden 30

95 80 Lampiran 2. Pengamanan Pada Server Nama Deskripsi Singkat Pintu sidik jari pada ruang server Pengamanan pada ruang server memakai pintu sidik jari sehingga hanya yang memiliki kewenangan yang dapat masuk ruang server.

96 81 Nama Deskripsi Singkat Ruang Server Ruang fisik yang menjadi rumah semua data yang berjalan melalui jaringan komputer dari Dinas Kominfo

97 82 Lampiran 3. Identifikasi Hukum dan Kebijakan 1. Identifikasi Peraturan Eksternal mengenai Keamanan sistem informasi (Hukum dan Regulasi) Berikut ini merupakan dasar hukum dan regulasi keamanan sistem informasi : a. Surat Keputusan Direktur Jenderal Aplikasi Informatika Kementrian Komunikasi dan Informatikan Nomor : 01/SK/DJAI/LOMINFO/01/2012 tentang pembentukan tim pusat monitoring dan penanganan tanggap darurat keamanan sistem informasi pemerintah. b. Keputusan Menteri Komunikasi dan Informatika Nomor 69/m.kominfo/10/2004 tentang panduan teknis pembangunan infrastruktur jaringan sistem informasi pemerintahan 2. Identifikasi Peraturan Internal (Kebijakan) Dinas Komunikasi dan Informatika Kabupaten Kendal. Berikut ini merupakan kebijakan yang dimiliki Dinas Komunikasi dan Informatika Kabupaten Kendal. a. Standar layanan Software Aplikasi Software Aplikasi merupakan sesuatu yang penting dalam mendukung jalannya proses bisnis. Standar Software Aplikasi mencakup dari pengelolaan perangkat lunak yang harus menyertakan prosedur Back-up serta restore dan mengimplementasikan fungsionalitas di dalam perangkat lunak aplikassi. b. Standar Layanan Infrastruktur Infrastruktur merupakan bagian yang mendukung dalam jalannya proses bisnis pada Dinas Komunikasi dan Informatika Kabupaten Kendal. Standar Layanan Infrastruktur mencakup dari memperhatikan kontrol yang terkait dengan faktor keamanan dan auditability. c. Standar Layanan Data Data merupakan bagian yang sangat terpenting dalam kelangsungan hidup organisasi. Standar Layanan Data mencakup dari melakukan back-up data secara teratur dan jenis back-up disesuaikan dengan tingkat kritis dari

98 83 sistem. Pengelolaan data dari perangkat lunak aplikasi secara kumulatif di back-up secara terpusat dalam media penyimpanan data terutama perangkat lunak aplikasi kritis, dan pelakukan pengujian secara teratur terhadap mekanisme backup dan restore data untuk memastikan integritas dan validasi prosedur. d. Standar Insiden Layanan Insiden merupakan segala sesuatu yang dapat memberikan gangguan terhadap suatu proses. Kebijakan mengenai Standar Inside Layanan mencakup yang terkait dengan insiden (seperti dampak terjadinya insiden, pengamcam yang ditimbulkan dari insiden, kerentanan yang dimiliki aset), penentuan nilai insiden (seperti tindak lanjut pengendalian atas terjadinya insiden) dan pengelolaan layanan operasional harus dapat dikembalikan pada kondisi normal secepat mungkin. e. Standar Permasalahan Layanan Pencatatan sebagai dasar pengelolaan permasalahan dan gangguan. Kebijakan mengenai permasalahan layanan mengenai standar pencatatan masalah, mekanisme klasifikasi permasalahan, pemantauan penyelesaian masalah yang sesuai dengan prosedur dan pelaporan dan dokumentasi masalah yang terjadi. f. Standar Pengelolaan Konfigurasi Standar kebijakan dalam pengelolaan konfigurasi mengenai pengidentifikasian hubungan antara perubahan komponen infrastruktur dan komponen lainnya dan pengelolaan perubahan konfigurasi aplikasi maupun infrastruktur. g. Standar Pengelolaan Perubahan Pengelolaan perubahan merupakan perubahan yang terjadi baik pada perangkat lunak aplikasi ataupun infrastruktur menggunakan metode dan prosedur yang telah ditetapkan. Standar pengelolaan perubahan mengenai latar belakang perubahan, tingkat kepentingan perubahan dan dokumentasi perubahan tersebut.

99 84 h. Standar Release Management Standar release Management penjaminan keamanan dan pengimplementasian versi aplikasi ataupun penggunaan perangkat baru serta penyimpanan source code serta melakukan proses pengajuan. i. Kebijakan Keamanan Informasi Menyatakan komitmen manajemen atau pimpinan instansi atau lembaga menyangkut pengamanan informasi yang didokumentasikan dan disahkan secara formal. Kebijakan keamanan informasi mencakup : 1) Definisi, sasaran dan ruang lingkuo keamanan informasi 2) Persetujuan terhadap kebijakan dan program keamanan informasi 3) Kerangka kerja penetapan sasaran kontrol dan kontrol 4) Struktur dan metodologi manajemen resiko 5) Organisasi dan tanggung jawab keamanan informasi j. Organisasi, Peran dan Tanggung Jawab Keamanan Informasi Uraian tentang organisasi yang ditetapkan untuk mengelola dan mengkoordinasikan aspek keamanan informasi dari suatu instansi atau lembaga serta uraian peran dan tanggung jawab. Organisasi pengelola keamanan informasi tidak haus unit kerja terpisah. k. Panduan Klasifikasi Informasi Berisi tentang petunjuk cara melakukan klasifikasi informasi yang ada di instansi atau lembaga dan disusun dengan memperhatikan nilai penting dan kritikalitas informasi bagi penyelenggaraan pelayanan publik, baik yang dihasilkan secara internal maupun diterima dari pihak eksternal. Klasifikasi informasi dilakukan dengan mengukur dampak gangguan operasional, jumlah kerugian uang, penurunan reputasi dan legal manakala terdapat ancaman menyangkut kerahasiaan, keutuhan dan ketersediaan informasi. l. Kebijakan Manajemen Resiko Berisi ketentuan untuk mengkaji resiko mulai dari identifikasi aset, kelemahan, ancaman dan dampak kehilangan aspek kerahasiaan, keutuhan

100 85 dan ketersediaan informasi termasuk jenis mitigasi resiko dan tingkat penerimaan resiko yang disetujui oleh pimpinan. m. Kerangka Kerja Manajemen Kelangsungan Usaha Berisi komitmen menjaga kelangsungan pelayanan publik dan proses penetapan keadaan bencana serta penyediaan infrastruktur TIK penggantu saat infrastruktur utama tidak dapat beroperasi agar pelayanan publik tetap dapat berlangsung bila terjadi keadaan bencana atau darurat. Kebijakan ini juga memuat tim yang bertanggung jawab, lokasi kerja cadangan, skenario bencana dan rencana pemulihan ke kondisi normal setelah bencana dapat diatasi/berakhir. n. Kebijakan Penggunaan Sumber Daya Berisi aturan penggunaan komputer (dekstop/laptop/modem atau dan internet) o. Kebijakan Pengelolaan Layanan Pihak Ketiga Kebijakan pengelolaan layanan pihak ketiga berisi mengenai sumber daya internal yang dimiliki Dinas Komunikasi dan Informatika Kabupaten Kendal yang kurang memungkinkan dan seluruh data yang diolah oleh pihak keiga adalah data Dinas Komunikasi dan Informatika Kabupaten Kendal, pihak ketiga harus menjaga kerahasiaan serta tidak berhak menggunakannya untuk hal-hal luar kerja sama yang telah disepakati. p. Kebijakan Pengelolaan Sumber Daya Kelayakan investasi sumber daya secara finansial harus bisa diukur secara rasional dengan menggunakan metode-metode penganggaran. Prioritas pengadaan sumber daya diberikan untuk proyek yang bermanfaat untuk banyak pihak, berbiaya rendah dan dapat dirasakan manfaatnya. Proses mutasi alih fungsi SDM sesuai dilakukan transfer knowledge sesuai dengan tugas dan fungsinya. Pendidikan dan pelatihan SDM untuk meningkatkan pengetahuan dan keahlian dilakukan sesuai dengan kompetensi, tugas dan fungsi.

101 Lampiran 4. Hasil Scan Penyebaran Kuesioner 86

102 87

103 88

104 89

105 90

106 91

107 92

108 93

109 94

110 95

111 96

112 97

113 98

114 99

115 100

116 101

117 102

118 103

119 104

120 105 Lampiran 5. Wawancara Management Practice Pertanyaan dan Uraian Jawaban Apakah pada Dinas Kominfo ini terdapat kebijakan mengenai perlindungan segala informasi terhadap malware saat ini? Apakah hanya terdapat antivirus saja sebagai perlindungan terhadap aset informasi? Atau ada bentuk perlindungan lainnya? DSS05.01 (Protect agains malware) Chaerul Hidayat, Amd Belum ada, terdapat antivirus dan password dalam masingmasing PC, serta terpasang firewall pada router gateway. Heri Aryanto, S.H, M.Kom Kebijakan perlindungan informasi belum dibuatkan. Untuk pengamanan menggunakan antivirus pada setiap PC. Terpasangnya firewall. Selain itu juga selalu update setiap saat ada aplikasi baru. Bagaimana pengelolaan yang sudah dilakukan untuk pengamanan jaringan dan konektivitas? DSS05.02 (Manage Network and Conenectivity Security) Chaerul Hidayat, Amd Sudah terpasang firewall, dengan kunci MAC Address pada setiap router yang ada di SKPD masing-masing sehingga tiap titik hanya dapat dilihat dalam satu subnet saja. Heri Aryanto, S.H, M.Kom Sudah terpasangnya fireall pada setiap router. Dan untuk setiap harinya selalu dilakukan pengawasan terhadap jaringan oleh bagian aptel.

121 106 Bagiamana dengan bentuk pengamanan layanan informasi endpoint seperti laptop, komputer dan server? DSS05.03 (Manage Endpoint Security) Chaerul Hidayat, Amd Terpasang anti virus pada setiap PC serta pada setiap sudah dilengkapi username dan password. Untuk server pengelolaan pengamanannya ditangani oleh bagian Aptel Dinas Kominfo Heri Aryanto, S.H, M.Kom Untuk setiap PC, laptop, printer pengamanannya dilakukan oleh masing-masing pengguna. Untuk server pengamannya ditangani oleh admin pada bagian Aptel. Bagaimana pengelolaan pengguna dan hak akses dalam pengamanan sistem informasi? DSS05.04 (Manage User Identity and Logical Access) Chaerul Hidayat, Amd Terdapat hirarki hak akses untuk setiap user. Dan setiap user memiliki kewenganan yang berbeda-beda. Heri Aryanto, S.H, M.Kom Dalam pengelolaan hak akses sesuai dengan SK yang telah diberikan kepada massingmasing staff. Namun jarang dilakukan pengawasan dan peninjauan kembali terhadap hak akses yang dimiliki pada masing-masing staff. DSS05.05 (Manage Physical Security) Bagaimana dengan pengelolaan pengamanan sistem informasi secara fisik seperti akses ke dalam ruang server? Chaerul Hidayat, Amd Heri Aryanto, S.H, M.Kom Untuk pengelolaan ruang Ruang server telah difasilitasi server menggunakan kunci dengan pintu sidik jari.

122 107 pintu sidik jari sehingga dapat dipantau siapa saja yang memasuki ruang server. Sehingga tidak sembarangan orang yang dapat memasuki ruang server. Hanya beberapa orang saja yang telah diberikan kewenangan untuk membuka dan mengakses ruang server. Bagaimana dengan pengelolaan dokumen yang bersifat penting atau rahasia., apakah dokumen disimpan dengan aman? Bagaimana dengan pengamanan hasil back-up? DSS05.06 (Manage Sensitive Document and Outputs Devices) Chaerul Hidayat, Amd Dokumen disimpan dalam lemari besi yang selalu terkunci. Hasil dari back-up data diserahkan kepada admin serever. Untuk prosedur permintaan dokumen ada ketentuannya, jelas permintaan yang dibutuhkan dan keperluannya. Heri Aryanto, S.H, M.Kom Semua dokumen yang berupa print-out disimpan dalam lemari besi yang terkunci. Dan jika data sudah tidak terpakai selanjutnya disimpan dalam gudang yang terkunci. Untuk permintaan dokumen harus melalui persetujuan terlebih dahulu oleh pihak manajemen. Serta untuk dokumen yang berupa soft-copy di lakukan pemback-upan data ke dalam beberapa media yang terdapat di beberapa tempat. Apakah pernah terjadi permasalahan data hilang/rusak? Lalu jika terdapat masalah terkait dengan pengamanan sistem informasi selalu dikomunikasikan kepada pemangku kepentingan dan kemudian didokumentasikan?

123 108 DSS05.07 (Manage Information Security Incidents) Chaerul Hidayat, Amd Untuk sampai saat ini pernah terjadi kehilangan data. Ya selalu dikomunikasikan kepada pemangku kepentingan dan dicatat untuk dapat segera menindaklanjutinya. Heri Aryanto, S.H, M.Kom Pernah terjadi kehilangan data, namun segera dilaporkan kepada pemangku kepentingan untuk segera ditindaklanjuti. Jika terjadi permasalahan pada Dinas kominfo langsung pada segera mengkomunikasikan dan dicatat lalu dilaporkan kepada pemangku jabatan untuk ditindaklanjuti.untuk permasalahan keamanan informasi biasanya tidak bisa melakukan menu login. hal tersebut langsung ditangani oleh bagian telematika untuk ditindaklanjuti. Semua masalah yang terjadi dicatat kedalam form pencatataan gangguan kemudian dilaporkan kepada kepala Dinas.

124 109 Bagaimana dengan pengelolaan keamanan sistem informasi saat ini untuk semua siklus yang ada di dalam Dinas Kominfo? DSS05.08 (Manage Information Handling) Chaerul Hidayat, Amd Untuk saat ini pengelolaan keamanan pada semua siklus dalam Dinas Kominfo sudah berjalan dengan baik. sudah terpasang antivirus di setiap PC. Login PC memakai password serta ruang server terkunci dan hanya beberapa orang dapat memasukinya Heri Aryanto, S.H, M.Kom Untuk pengamanan pada semua siklus sudah berjalan dengan baik. sudah adanya antivirus pada setiap PC. Semua PC sudah terjaga keamanannya dengana danya penggunaan password. Dan ruangs erver yang menggunakan pintu sidik jari.

125 110 Lampiran 6. Hasil kuesioner Penyebaran kuesioner dilakukan untuk mendapatkan jawaban dan informasi yang dieprlukan peneliti mengenai keamanan sistem informasi. Kuesioner yang digunakan adalah kuesioner tertutup yang sudah disediakan akternatif jawaban. Alternatif jawaban tersebut adalah : 1. Kriteria Tidak Tercapai sama sekali (TT), dimana tidak ada fakta atau bukti yang dicapai. 2. Kriteria telah Tercapai Sebagian (TS), telah terdapat beberapa fakta atau bukti mengenai kriteria yang dicapai. 3. Kriteria secara Garis Besar Tercapai (GBT), artinya telah terdapat fakta atau bukti atas pendekatan sistematis dan pencapaian signifikan atas criteria tersebut, meski mungkin masih ada beberapa kelemahan. 4. Kriteria Tercapai Penuh (TP), artinya telah terdapat fakta atau bukti atas pendekatan sistematis dan lengkap, dan pencapaian penuh atas criteria serta tidak ada kelemahan terkait criteria tersebut. Dari penyebaran kuesioner kepada 30 responden yang mengetahui mengenai keamanan sistem informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal, maka diperoleh hasil kuesioner sebagai berikut :

126 111

127 112

128 113

129 114

130 115

131 Lampiran 7. Hasil Scan Surat Keterangan Penelitian Tugas Akhir 116

132 117