ROODHIN FIRMANA

Transkripsi

1 ROODHIN FIRMANA PEMBIMBING BEKTI CAHYO HIDAYANTO, S.Si, M.Kom HANIM MARIA ASTUTI, S.Kom, M.Sc Supported by JURUSAN SISTEM INFORMASI FAKULTAS TEKNOLOGI INFORMASI INSTITUT TEKNOLOGI SEPULUH NOPEMBER

2

3 Outline PENDAHULUAN DASAR TEORI METODOLOGI HASIL PEMBAHASAN KESIMPULAN & SARAN

4 PENDAHULUAN Latar Belakang GCG sebagai upaya peningkatan kualitas layanan terlebih yang berkaitan keamanan informasi Tata kelola yang ada masih belum sepenuhnya layak untuk menuju ke arah GCG yang sesuai dengan ISO Perlu adanya evaluasi keamanan informasi yang sesuai ISO berupa Indeks Keamanan Informasi (KAMI)

5 PENDAHULUAN Rumusan Masalah Tingkat kesiapan atau kematangan keamanan informasi yang telah dilakukan oleh PT. PLN Distribusi Jatim berdasarkan nilai Indeks KAMI

6 PENDAHULUAN Tujuan Mengetahui kebutuhan keamanan informasi pada PT. PLN Distribusi Jatim Mengetahui kesiapan TIK khususnya tentang keamanan informasi pada PT. PLN Distribusi Jatim Memberikan rekomendasi yang dapat membantu proses pengambilan keputusan terhadap keamanan informasi pada PT. PLN Distribusi Jatim Panduan pembenahan atau bahan pertimbangan kinerja tata kelola keamanan informasi khususnya pada PT. PLN Distribusi Jatim

7 DASAR TEORI Keamanan Informasi Aspek Keamanan Informasi Indeks KAMI SMKI

8 METODOLOGI

9 HASIL & PEMBAHASAN Mengkaji Penetapan Peran atau Tingkat Kepentingan TIK Penilaian peran dan tingkat kepentingan TIK digunakan untuk langkah awal dalam mengetahui ketergantungan instansi terhadap penggunaan teknologi informasi Hasil penilaian yang dilakukan berkaitan dengan peran dan tingkat kepentingan TIK di PT. PLN Distribusi Jatim ini mendapatkan skor 40 Sumber : Indeks KAMI

10 HASIL & PEMBAHASAN Penilaian Kelengkapan 5 area Kategori Area Skor Tingkat Kematangan Tata Kelola Keamanan Informasi 27 I+ Pengelolaan Resiko Keamanan Informasi 17 I+ Kerangka Kerja Keamanan Informasi 25 I+ Pengelolaan Aset Informasi 70 I+ Teknologi dan Keamanan Informasi 51 I+ Sumber : Indeks KAMI

11 HASIL & PEMBAHASAN Penilaian Kelengkapan 5 area Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan informasi. Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan kewenangan yang jelas dan tanpa pengawasan Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik Pihak yang terlibat tidak menyadari tanggung jawab mereka Sumber : Indeks KAMI

12 HASIL & PEMBAHASAN Mengkaji Hasil Indeks KAMI Sumber : Indeks KAMI

13 HASIL & PEMBAHASAN Mengkaji Hasil Indeks KAMI High Responden Sumber : Indeks KAMI

14 HASIL & PEMBAHASAN Mengkaji Hasil Indeks KAMI Tata Kelola Pengelolaan Risiko Kerangka Kerja Tingkat II Pengelolaan Aset Aspek Teknologi Status I+ I+ I+ I+ I+ Tingkat III Validitas No No No No No Status No No No No No Tingkat IV Validitas No No No No No Status No No No No No Tingkat V Validitas No No No No No Status No No No No No Status Akhir I+ I+ I+ I+ I+ Sumber : Indeks KAMI

15 HASIL & PEMBAHASAN Rekomendasi Perbaikan Tata Kelola Kategori kematangan Kategori Pengamanan II 1 Saran Perbaikan Point Evaluasi Status / Kondisi Skor Apakah penanggungjawab pelaksanaan pengamanan informasi diberikan alokasi sumber daya yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi? Dalam Perencanaan Hasil penilaian didapatkan bahwa untuk sumber daya yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi masih dialokasikan secara umum. Untuk pengalokasian sumber daya berdasarkan ISO 27001:2005 bisa dilakukan dengan langkah : Mengkategorikan dan dendefinisikan keamanan informasi berdasarkan kebutuhan, aset,dan personel Selain itu juga berdasarkan pengamanan berdasarkan tingkat kesulitan dan keamanannya Mengukur secara umum tingkat risiko masing-masing aset Mengalokasikan sumber daya manusia yang sesuai berdasarkan histori sebelumnya Melakukan evaluasi kinerja sumber daya secara berkala guna mengontrol pelaksanaan Sumber : Tugas Akhir 1

16 HASIL & PEMBAHASAN Rekomendasi Perbaikan Risiko Kategori kematangan Kategori Pengamanan II 1 Saran Perbaikan Point Evaluasi Status / Kondisi Skor Apakah ancaman dan kelemahan yang terkait dengan aset informasi, terutama untuk setiap aset utama sudah teridentifikasi? Dalam Perencanaan Identifikasi ancaman dan kelemahan yang terkait dengan asset informasi dalam dokumen SMKI telah ada tetapi belum dilakukan penerapan sehingga perlu dilakukan penerapan. Langkah untuk melakukan identifikasi antara lain: Membuat daftar ancaman dan kelemahan berdasarkana asset informasi yang ada pada PT. PLN Distribusi Jatim Membuat tingkat atau level ancaman atau kerugian jika risiko aset terjadi serta probabilitas terjadinya risiko tersebut Menentukan penilaian dari tingkat probabilitas terjadinya ancaman Membuat kerangka kerja pengelolaan aset infomasi berdasarkan ancaman dan kelemahan dengan detail di dalamnya. o Daftar aset o Daftar ancaman dan kelemahan o Tingkat atau level ancaman dan kelemahan o Probabilitas atau tingkat kemungkinan munculnya ancaman o Kontrol atau pengendalian berupa prosedur, log, form Sumber : Tugas Akhir 1

17 HASIL & PEMBAHASAN Rekomendasi Perbaikan Kerangka Kerja Kategori kematangan Kategori Pengamanan II 1 Point Evaluasi Status / Kondisi Skor Apakah tersedia mekanisme untuk mengelola dokumen kebijakan dan prosedur keamanan informasi, termasuk penggunaan daftar induk, distribusi, penarikan dari peredaran dan penyimpanannya? Dalam Perencanaan 1 Saran Perbaikan Pengelolaan dokumen kebijakan dan prosedur keamanan informasi pada PT. PLN Distribusi Jatim masih dalam proses perencanaan. Sebaiknya pengelolaan dokumen kebijakan dan prosedur keamanan informasi mengikuti standar ISO/IEC 1799:2005 sebagai berikut : Menerapkan feedback atau timbal baik dengan pihak terkait Mengevaluasi rancangan kebijakan sesuai dengan hasil review kebijakan sebelumnya Melakukan pengelolaan peredaran dokumen kebijakan dan prosedur berdasarkan tiap bagiannya. Pengelolaan kontrol akses dokumen kebijakan dan prosedur terutama untuk pihak ketiga yang terkait di dalamnya. Untuk meningkatkan level kematangan perlu adanya evaluasi secara berkala Sumber : Tugas Akhir

18 Kategori kematangan HASIL & PEMBAHASAN Kategori Pengamanan Rekomendasi Perbaikan Pengelolaan Aset II 1 Point Evaluasi Status / Kondisi Skor Apakah tersedia daftar inventaris aset informasi yang lengkap dan akurat? Tidak Dilakukan 0 Saran Perbaikan Dari hasil penilaian daftar inventaris asset informasi yang berada di PT. PLN Distribusi Jatim masih belum lengkap dan akurat. Berdasarkan ISO/IEC 27002:2005 bagian pengelolaan aset, untuk pendaftaran inventaris aset informasi dapat dilakukan dengan cara : Untuk memudahkan proses inventarisasi maka sebaiknya membentuk tim inventarisasi aset terupdate. Menghitung jumlah aset tetap per sub sub kelompok barang Mencatat aset tetap ke dalam kertas kerja inventarisasi Menempelkan label pada aset tetap yang telah di hitung Menentukan kondisi aset tetap dengan kriteria baik, rusak ringan, atau rusak berat Menyusun laporan hasil inventarisasi Membandingkan laporan hasil inventerisasi dengan dokumen aset tetap yang ada Membuat daftar saset tetap yang tidak ditemukan, belum pernah dicatat, dan usak berat serta daftar koreksi nilai Sebaiknya setiap pengelolaan aset didetailkan mengenai pengelola dan penanggung jawab aset tiap bagiannya. Menyampaikan hasil inventarisasi kepada pengelola aset di PT. PLN Distribusi Jatim Melakukan update inventaris Sumber dan evaluasi : Tugas secara berkala Akhir

19 HASIL & PEMBAHASAN Rekomendasi Perbaikan Teknologi Kategori kematangan Kategori Pengamanan II 1 Saran Perbaikan Point Evaluasi Status / Kondisi Skor Apakah tersedia konfigurasi standar untuk keamanan sistem bagi keseluruhan aset komputer dan perangkat jaringan, yang dimutakhirkan sesuai perkembangan dan kebutuhan? Dalam Perencanaan Konfigurasi standar untuk keamanan informasi tidak semua dimutakhirkan sesuai perkembangan. Untuk melakukan pemutakhiran perlu dilakukan : Mendefinisikan kebutuhan sistem yang ada termasuk konfigurasinya Menentukan avalaibilitas aplikasi sistem yang dipakai di PT. PLN Distribusi Jatim apakah sesuai atau tidak Mendefinsikan sistem atau aplikasi terbaru disesuaikan dengan kebutuhan sistem yang terdapat di PT. PLN Distribusi Jatim Mendefinisikan perencanaan pemutakhiran dengan o Mendefinsikan risiko implementasi o Perencanaan finansial Kelayakan perangkat dalam meningkatkan efisiensi dan efektifitas proses bisnis yang ada Mendokumentasikan prosedur pemutakhiran sistem atau aplikasi baru Melakukan monitoring kinerja secara berkala Sumber : Tugas Akhir 1

20 KESIMPULAN Hasil evaluasi dari keseluruhan area yang telah dilakukan pada aspek peran TIK, PT. PLN Distribusi Jatim menunjukkan skor 40 Tingkat kematangan dari hasil evaluasi berada pada level I+ dengan total skor 190 PT. PLN Distribusi Jatim memerlukan saran perbaikan dan penerapan secara keseluruhan guna menjalankan dan memberikan tingkat kematangan yang bagus untuk mengikuti serfitikasi keamanan informasi yang mengacu ISO/IEC 27001:2009 Sumber : Tugas Akhir

21 SARAN PT. PLN Distribusi Jatim perlu menerapkan keseluruhan poinpoin penilaian yang terdapat pada lima area keamanan informasi Indeks KAMI dapat diterapkan pada semua perusahaan Penelitian selanjutnya sebaiknya bekerja sama dengan lembaga yang menaungi Indeks KAMI secara langsung dan saran-saran dapat diimplementasikan Dari segi alat evaluasi, perlu adanya petunjuk teknis mengenai proses penilaian untuk memahami perolehan skor yang didapatkan Sumber : Tugas Akhir

22

23 Indeks KAMI Buku Tugas Akhir

24 Peran TIK Rendah Indeks (Skor Akhir) Status Kesiapan Tidak Layak Perlu Perbaikan Baik/Cukup Sedang Skor Akhir Status Kesiapan Tidak Layak Perlu Perbaikan Baik/Cukup Tinggi Skor Akhir Status Kesiapan Tidak Layak Perlu Perbaikan Baik/Cukup Kritis Skor Akhir Status Kesiapan Tidak Layak Perlu Perbaikan Baik/Cukup