Nanang Sasongko ABSTRAK

dokumen-dokumen yang mirip
Seminar Nasional Aplikasi Teknologi Informasi 2011 (SNATI 2011) ISSN: Yogyakarta, Juni 2011

CLOUD COMPUTING TECHNOLOGY

PEMANFAATAN DAN PELUANG KOMPUTASI AWAN PADA SEKTOR BISNIS DAN PERDAGANGAN

BAB I PENDAHULUAN 1.1 Latar Belakang dan Permasalahan

IMPLEMENTASI CLOUD COMPUTING UNTUK MEMAKSIMALKAN LAYANAN PARIWISATA

PENGUKURAN RISIKO PADA PENERAPAN CLOUD COMPUTING UNTUK SISTEM INFORMASI (Studi Kasus Universitas Bina Darma)

BAB 1 PENDAHULUAN. kebutuhan yang sangat penting bagi banyak orang. Dengan internet kita dapat

CLOUD COMPUTING PENGANTAR KOMPUTER & TI 1A :

KATA PENGANTAR. Denpasar, April Penulis

KOMPUTASI AWAN ( CLOUD COMPUTING ) Disusun Oleh Arbiyan Tezar Kumbara ( )

BAB II TINJAUAN PUSTAKA

RISK ASSESSMENT. Yusup Jauhari Shandi. Sekolah Tinggi Manajemen Informatika dan Komputer LIKMI Jl. Ir. H. Juanda Bandung 40132

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

PENGGUNAAN CLOUD COMPUTING DI DUNIA PENDIDIKAN MENENGAH DALAM PENDEKATAN TEORITIS. Maria Christina

IMPLEMENTASI CLOUD COMPUTING UNTUK MEMAKSIMALKAN LAYANAN PARIWISATA

Definisi Cloud Computing

BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto

IMPLEMENTASI EYE OS MENGGUNAKAN METODE LOAD BALANCING DAN FAILOVER PADA JARINGAN PRIVATE CLOUD COMPUTING DENGAN LAYANAN IAAS DAN SAAS

TUGAS MAKALAH ENTERPRISE RESOURCE PLANING TI029309

BAB II LANDASAN TEORI

BAB I PENDAHULUAN 1.1 Latar Belakang Masalah

BAB 1 PENDAHULUAN. Kemajuan perkembangan teknologi informasi telah membuat proses dan startegi bisnis

Tulis yang Anda lewati, Lewati yang Anda tulis..

PENERAPAN KEAMANAN SISTEM INFORMASI STANDAR ISO PADA PT. BPR KARYABHAKTI UGAHARI, TANJUNG MORAWA

BAB I PENDAHULUAN. 1.1 Latar Belakang. 1.2 Rumusan Masalah

USULAN KERANGKA MANAJEMEN RESIKO IMPLEMENTASI TEKNOLOGI BARU DALAM MENDUKUNG AKTIVITAS BISNIS PERUSAHAAN TELEKOMUNIKASI

Kusuma Wardani

1.1 Latar Belakang Masalah

Teknologi Cross Platform, Telecomuters & One Stop Solutions Cloud Computing

KONSEP AUDIT SI. Pertemuan ke 5 Mata Kuliah Tata Kelola dan Audit Sistem Informasi. Diema Hernyka S, M.Kom

Cloud Computing Windows Azure

perkembangan teknologi informasi dan komunikasi. Firewall : Suatu sistem perangkat lunak yang mengizinkan lalu lintas jaringan yang dianggap aman

BAB I PENDAHULUAN. khususnya di area perkotaan, sebagai tanggapan terhadap gaya hidup modern dengan


Model Implementasi Centralized Authentication Service pada Sistem Software As A Service

Gambaran Singkat Ketentuan Hukum Indonesia terkait Komputasi Awan (Cloud Computing) ICCA 9 November 2016 Andi Zulfikar, Dina Karina

BAB 1 PENDAHULUAN Latar Belakang

BAB I PENDAHULUAN Latar Belakang

Penerapan ISO 27001:2013 Sistem Manajemen Keamanan Informasi DCN & DCO GSIT BCA

MANFAAT PEREALISASIAN TATA KELOLA KEAMANAN INFORMASI BERBASIS SNI ISO/IEC 27001:2009 PADA PRODUKSI FILM ANIMASI (Kasus di PT. XX)

NIST SP v2: PEDOMAN PANDUAN SISTEM KEAMANAN PUBLIK WEB SERVER

PEMBUATAN APLIKASI CLOUD COMPUTING PADA SHOWROOM MOBIL

KERANGKA KENDALI MANAJEMEN (KENDALI UMUM)

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

Linux with CloudComputing UbuntuOne. Kelompok Studi Linux UNG 2013

METODOLOGI PENELITIAN

Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

BAB I PENDAHULUAN. Dewasa ini penggunaan komputasi awan atau Cloud Computing

S-1 TEKNIK ELEKTRO FAKULTAS TEKNIK UNIVERSITAS DIPONEGORO JAWA TENGAH

BAB 1 PENDAHULUAN. Dengan adanya mobilitas fasilitas elektronik dan on-line menyebabkan setiap

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Pengantar Cloud Computing Berbasis Linux & FOSS

PEMANFAATAN CLOUD COMPUTING DALAM PENGEMBANGAN BISNIS

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 1 PENDAHULUAN. berbagai pihak, baik dari sisi developer, manajemen perusahaan, operasional

1.2. Rumusan Masalah Batasan Masalah

COBIT dalam Kaitannya dengan Trust Framework

BAB I PENDAHULUAN. Latar Belakang Masalah

Analisis Overhead Server Cloud Infrastructure pada Proxmox VE Hypervisor

BAB I PENDAHULUAN. perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya

Kendali dan Audit Sistem Informasi. Catatan: diolah dari berbagai sumber Oleh: mardhani riasetiawan

Studi Kasus INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

Prosiding Seminar Nasional Manajemen Teknologi XVIII Program Studi MMT-ITS, Surabaya 27 Juli 2013

BAB 1 PENDAHULUAN. yang serba elektronik dan online. Banyak hal yang ditawarkan dari fasilitas

Cloud Computing dan Strategi TI Modern

Manajemen Kunci Pada Mekanisme Akses Kontrol Sistem Ujian Online Program Penerimaan Mahasiswa Baru Menggunakan Untrusted Public Cloud

BAB I PENDAHULUAN. Gambar I. 1 Statistik Penggunaan Internet di Indonesia. Sumber: (APJII, 2012)

Developing information systems and technology to support business strategy

Komputasi Awan (Cloud Computing)

BAB 11 E-BUSINESS DAN E-COMMERCE

KEAMANAN SISTEM INFORMASI

PENGELOLAAN INFRASTRUKTUR IT DAN APLIKASI E-LEARNING IPB

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )

PENERAPAN KONSEP SAAS (SOFTWARE AS A SERVICE) PADA APLIKASI PENGGAJIAN

ANALISIS MANAJEMEN RESIKO PADA PENGGUNAAN SISTEM INFORMASI SMART PMB DI STMIK AMIKOM YOGYAKARTA

Arsitektur Sistem Informasi. Tantri Hidayati Sinaga, M.Kom.

BAB 1 PENDAHULUAN. lebih cepat dan murah tentunya menuntut para pemberi informasi untuk memiliki

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah. 1.2 Rumusan Masalah

Implementasi E-Bisnis Infrastruktur E-Bisnis Part-2

Gambar 1.1 Contoh laporan billing di Windows Azure

SISTEM MANAJEMEN INTEGRASI/TERPADU

CLOUD COMPUTING DAN PEMANFAATAN DALAM OFFICE AUTOMATION

Bab 1: Jelajahi Jaringan

SERVICE ORIENTED ARCHITECTURE (SOA)

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom., M.Kom

BAB I PENDAHULUAN. lunak, database, teknologi jaringan, dan peralatan telekomunikasi lainnya.

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

BAB I PENDAHULUAN. 1.1 Latar Belakang

Arsitektur Saas Pada Komputasi Awan INKOM

BAB I PENDAHULUAN. 1.1 Latar Belakang

DATA CENTER: PENDAHULUAN

BAB I PENDAHULUAN. dan sekitarnya. PT Karya Karang Asem Indonesia khususnya pada daerah Sedati,

EVALUASI KEAMANAN INFORMASI BERBASIS ISO PADA DINAS PENGELOLAAN PENDAPATAN KEUANGAN DAN ASET DAERAH KABUPATEN KARAWANG

Prosedure Keamanan Jaringan dan Data

DAFTAR ISI. III.1 Aplikasi-Aplikasi Mobile Cloud Computing... Error! Bookmark not defined. Mobile Commerce... Error! Bookmark not defined.

BAB 1 PENDAHULUAN. Seiring dengan perkembangan jaman, teknologi saat ini mengalami

Layanan Cloud Computing Setelah dijabarkan mengenai lima karakteristik yang terdapat di dalam sistem layanan Cloud

PROPOSAL USULAN KEGIATAN TAHUN ANGGARAN 2014 PENGEMBANGAN MODEL INSTRUMENTASI PENGUKURAN ONLINE BERBASIS CLOUD

Transkripsi:

PENGUJIAN KEAMANAN TRANSAKSI CLOUD COMPUTING PADA LAYANAN SOFTWARE AS A SERVICE (SaaS) MENGGUNAKAN KERANGKA KERJA NIST SP800-53A ( Studi Kasus pada PT. X di Bandung) Nanang Sasongko ABSTRAK Pada Cloud computing, jasa layanan yang dapat disampaikan yaitu Infrastruture as a service (IaaS), Platform as a service(paas) dan Software as a service (SaaS) dan jasa yang paling banyak digunakan adalah di Penggunaan Software as a service(saas), bagi perusahaan pelanggan dapat menghemat pengeluaran biaya belanja TI. Namun, konsep software as a service juga memiliki sisi yang perlu diwaspadai yakni dalam hal keamanan data pelanggan. PT X berupaya untuk melakukan pengamanan terhadap data milik pelanggan dengan meningkatkan upaya pemasangan sistem kontrol keamanan transaksi pada sistem informasi yang dikelolanya. Penerapan sistem kontrol keamanan yang telah dilakukan perlu diuji. Mekanisme pengujian sistem kontrol keamanan dapat menggunakan kerangka kerja NIST SP800-53A yang menyediakan standard pengujian terhadap tiga faktor, yaitu faktor manajemen, operasional dan teknikal. Mekanisme pengujian menggunakan kerangka kerja NIST SP800-53A menentukan status dari penerapan sistem pengamanan transaksi yang dilakukan terhadap suatu sistem informasi dengan 2 alternatif yaitu satisfied(s) atau other than satisfied (O) dalam menerapkan suatu sistem kontrol keamanan. Dengan menggunakan metode penilaian pemeriksaan dan pengamatan langsung terhadap objek penilaian, wawancara (interview), dan Pengujian (test), proses menguji objek penilaian dalam kondisi tertentu untuk membandingkan kondisi aktual dengan perilaku yang diharapkan. Berdasarkan hasil pengujian terhadap sistem informasi hotel dan restoran yang dibangun dan dikelola oleh PT.X memiliki status satisfied tetapi masih banyak parameter kontrol keamanan transaksi yang perlu diperbaiki atau ditingkatkan sehingga menghasilkan sistem informasi yang memiliki sistem pengamanan yang lebih baik. Kata kunci : Cloud computing, Software as a service,, NIST SP800-53A I. PENDAHULUAN Berdasarkan informasi yang diperoleh dari SDA ASIA dalam kurun waktu lima tahun ke depan, pasar analisa bisnis software-as-a service (SaaS), dan cloud system akan tumbuh tiga kali lipat hingga 2013. Menurut IDC, pasar SaaS di Asia Pasifik tahun ini meningkat cukup signifikan. Faktor pertumbuhan lainnya terkait dengan faktor kebijakan pengeluaran modal dan pengetatan anggaran. Ketatnya biaya yang dapat dikeluarkan oleh perusahaan, membuat penawaran software as a service (SaaS) lebih menarik, sebab mereka dapat mengalihkan biaya operasional TI menjadi biaya berlangganan yang lebih hemat dan mudah. SaaS merupakan layanan terbanyak dari 22

Pengujian Keamanan Transaksi Cloud Computing Pada Layanan Software AS A Service (SaaS) Menggunakan Kerangka Kerja NIST SP800-53A cloud system, selain Infrastructure as a Service (IaaS) dan Platform as a Service(PaaS). Dengan adanya jasa ini transaksi dipermudah, fasulitas IT yang lebih murah, dan kontrol integritas data yang memadai. Tujuan penelitin ini adalah menguji masalah keamanan data pelanggan, disebabkan karena adanya kekhawatiran gangguan server atau koneksi mengalami gangguan jaringan dan kemanan data, yang merupakan salah satu hal yang perlu menjadi perhatian dalam menerapkan bisnis berbasis konsep software as a service(saas). Guna meminimalisasi masalah penyediaan dan keamanan data terhadap layanan berbasis software as a service(saas). PT X,sebagai perusahaan penyedia layanan SaaS perlu dilakukan pengujian terhadap jaringan dan sistem pengamanan transaksi yang telah diterapkan oleh PT X terhadap sistem teknologi informasi yang telah dibangun dan disediakannnya, untuk mendukung layanan SaaS. Dengan menyadari bahwa aplikasi terdistribusi seperti ini akan diterapkan dimana-mana dan juga visi bahwa tidak lama lagi semua hal yang berhubungan dengan data dan komputasi akan dapat dilakukan dengan tingkat independensi yang tinggi, mengantarkan penulis melakukan riset lebih lanjut mengenai perkembangan terbaru dari distributed computing ini. II. LANDASAN TEORI 2.1. Software as a Service (SaaS) Software as a Service (SaaS) merupakan salah satu jenis layanan cloud computing yang mengijinkan konsumen untuk dapat menggunakan aplikasi yang berjalan pada infrastruktur cloud yang disediakan oleh provider sehingga dapat diakses dari berbagai perangkat melalui browser Web. Konsumen tidak perlu mengelola atau mengendalikan infrastruktur, jaringan, server, sistem operasi, media penyimpanan. ( Mell and Grance, 2009:2). Dengan software as a service, pengguna tak perlu memusingkan kerumitan sistem tersebut dan hanya menggunakan sumber daya yang disediakan. Pertumbuhan lainnya didorong oleh platform baru dari perangkat lunak yang fungsinya cocok dengan pengiriman software as a service. Pada konsep software as a service memiliki sisi yang perlu diwaspadai dan menjadi issu sentral yakni dalam hal keamanan transaksi data pelanggan, dan adanya kekhawatiran server mengalami crash. Guna meminimalisasi masalah keamanan data terhadap layanan berbasis software as a service, layanan yang disediakan oleh PT.X ini perlu dilakukan pengujian. Pengujian yang dilakukan terhadap sistem pengamanan yang diterapkan oleh PT X menggunakan kerangka kerja NIST ( National Institute of Standards and Technology ) secara khususnya menggunakan kerangka acuan SP 800-53A (Special Publication 800-53A). 2.2. Acuan NIST SP800-53A NIST (National Institute Standards Technology) merupakan salah satu lembaga pemerintahan Amerikas Serikat yang bekerja sama dengan badan-badan federal lainnya untuk meningkatkan pemahaman terhadap pelaksanaan FISMA (Federal Information Security Management Act) dalam melindungi informasi dan sistem 23

informasi serta menerbitkan standar dan pedoman yang memberikan dasar untuk program keamanan informasi yang kuat. NIST melakukan tanggung jawab hukum melalui Divisi keamanan computer dari Laboratorium Teknologi Informasi (Information Technology Laboratory ITL). NIST mengembangkan standar, metrik, pengujian, dan program validasi untuk mempromosikan, mengukur, dan memvalidasi keamanan sistem informasi Laporan penelitian ITL (Information Technology Laboratory) berupa Special Publication 800-series, merupakan pedoman, dalam upaya memperoleh keamanan sistem informasi, dan laporan tersebut diperoleh dari kegiatan bersama dengan industri, pemerintah, dan organisasi akademis. NIST mengeluarkan dokumen SP800-53 untuk memberikan pedoman dalam pengelolaan kontrol keamanan terhadap sistem informasi federal maupun organisasi lainnya. Rekomendasi SP800-53 dibagi kedalam 3 kelas kontrol, 18 bagian (family) seperti yang terlihat pada tabel 1. Tabel 1. Daftar kontrol NIST SP800-53 CLASS CONTROL NO FAMILY IDENTIFIER Technical 1 Access Control AC 2 Audit and Accountability AU 3 Identification and Authentication IA 4 System and Communications Protection SC Operational 5 Awareness and Training AT 6 Configuration Management CM 7 Contingency Planning CP 8 System and Information Integrity Operational SI 9 Incident Response IR 10 Maintenance MA 11 Media Protection MP 12 Physical and Environmental Protection PE 13 Personnel Security PS Management 14 Security Assessment and Authorization Management CA 15 Program Management PM 16 Planning Management PL 17 Risk Assessment Management RA 18 System and Services Acquisition Source :NIST SP800-53 Management 2.3. Komputasi awan (Cloud computing) Cloud computing atau komputasi awan merupakan tren baru di bidang komputasi terdistribusi dimana berbagai pihak dapat mengembangkan aplikasi dan layanan berbasis SOA (Service Oriented Architecture) di jaringan internet. misalanya: Infrastucture as a Service (IaaS), Platform as a Service (PaaS), dan Software as a Service (SaaS), dan issu sentralnya adalah masalah keamanan transaksi Komputasi awan ini sebenarnya juga bukanlah "barang baru", hanya mungkin karena lebih spesifik diarahkan ke jaringan internet dan karena berkembangnya SA 24

Pengujian Keamanan Transaksi Cloud Computing Pada Layanan Software AS A Service (SaaS) Menggunakan Kerangka Kerja NIST SP800-53A konsep web services maka teknologi ini perlu memiliki suatu istilah yang segar dan tidak terjebak menjadi kata yang klise. Selain juga karena internet sering digambarkan sebagai awan di dalam diagram-diagram teknis jaringan III. OBJEK PENELITIAN Berdasarkan faktor-faktor yang telah diuraikan sebelumnya, PT X berupaya mengembangkan bisnisnya sebagai penyedia jasa yang berbasis pada software as a service. Dalam software as a service, seluruh bisnis proses dan data pelanggan ditempatkan di sebuah server data centre milik service provider. Semua proses dikelola oleh penyedia layanan, pelanggan dapat menggunakan dan membayar jasa sewanya setiap bulan sesuai dengan pemakaian. Sistem software as a service bagi perusahaan dapat menghemat pengeluaran biaya belanja TI. Saat ini PT X telah memiliki 2 produk software layanan SaaS (software as a services), antara lain produk SaaS untuk sistem informasi perhotelan dan sistem informasi restoran. Aplikasi-aplikasi tersebut merupakan aplikasi yang berbasis web yang dipasangkan dalam web server yang terhubung dengan jalur internet sehingga dapat diakses oleh pelanggan dari manapun. PT X memiliki jaringan di kantor pusat dan kantor cabang. Server server utama tersimpan di kantor pusat dan untuk keperluan DRC (Dissaster Recovery Center) tersedia pula server-server cadangan di kantor cabang. Koneksi ke DRC dihubungkan dengan menggunakan media jaringan nirkabel. Sehingga replikasi data antara serverserver di kantor pusat dapat dilakukan dengan server-server di kantor cabang. Aplikasi SaaS yang disediakan oleh PT.X, dapat diakses melalui fasilitas jaringan VPN (Virtual Private Network). Hal ini disediakan untuk mengamanan transaksi data yang terjadi antara jaringan disisi pelanggan yang melewati jaringan publik untuk mengakses server aplikasi yang terdapat di PT X. Konfigurasi jaringan PT X dapat dilihat pada gambar 1. Segmentasi jaringan dilakukan pada jaringan PT X. Firewall yang dipasang di PT X membagi ke dalam empat segmen, yang terdiri dari segmen-segmen : 1. Internal network, merupakan jaringan internal dari PT X yang berisi komputerkomputer dari staf PT X. 2. Eksternal network, merupakan jaringan eksternal dari PT X yang terhubung dengan jaringan publik atau internet. 3. DMZ (Demilitary Zone), merupakan jaringan yang berisi server-server yang disediakan agar pengguna jaringan publik dapat mengakses layanan yang disediakan oleh PT X. Salah satu layanan tersebut adalah berupa aplikasi perhotelan dan restoran yang merupakan aplikasi berbasis web dan dapat diakses oleh para pelanggan melalui internet. 4. Server farm, merupakan wilayah jaringan yang berisi server-server internal PT X, seperti mail server, database server. Server-server ini tidak dapat diakses secara langsung melalui wilayah eksternal. 25

Gambar 1. Topologi Jaringan PT X IV. METODOLOGI PENELITIAN Dalam melakukan pengujian terhadap mekanisme sistem pengamanan yang diterapkan PT X, penulis menggunakan kerangka acuan NIST SP800-53A. Prosedur pengujian berdasarkan kerangka acuan NIST SP800-53A, terdiri dari beberapa tahapan sebagai berikut : 1. Persiapan untuk melakukan penilaian mekanisme pengamanan, dalam tahap ini ruang lingkup dirumuskan, mencakup karakteristik organisasi, lokasi, aset, dan teknologi yang dimiliki dan digunakan. 2. Membuat perencanaan terhadap kegiatan penilaian keamanan, dalam tahapan ini : a. Jenis penilaian kontrol keamanan ditentukan. Banyak pengendalian manajemen dan operasional diperlukan untuk melindungi sistem informasi dapat menjadi kandidat yang sangat baik untuk memiliki status common security controls. Tujuannya untuk mengurangi biaya pengelolaan keamanan dengan melakukan pemusatan dalam implementasi, dan penilaian keamanan. Kontrol keamanan yang tidak termasuk dalam common security controls dianggap sebagai system specific controls. Sistem security plan harus mengidentifikasi kontrol keamanan yang telah ditunjuk sebagai common security controls dan system specific controls. b. Menentukan kontrol keamanan / perangkat kontrol tambahan yang harus dimasukkan dalam penilaian berdasarkan security plan dan tujuan / lingkup penilaian. c. Memilih, menyesuaikan dan mengembangkan prosedur penilaian yang digunakan selama penilaian. 26

Pengujian Keamanan Transaksi Cloud Computing Pada Layanan Software AS A Service (SaaS) Menggunakan Kerangka Kerja NIST SP800-53A 3. Melakukan penilaian terhadap sistem pengamanan, temuan yang diharapkan dalam tahap penilaian ini berupa status penilaian sebagai berikut : a. Puas (Satisfied (S)), yang mengindikasikan bahwa tujuan kontrol keamanan telah dipenuhi. b. Selain puas (Other than satisfied (O)), menunjukkan bahwa kontrol keamanan memiliki potensi anomali dalam operasional organisasi atau pelaksanaan kontrol perlu ditangani oleh organisasi. Temuan selain puas juga menunjukkan bahwa karena alasan-alasan tertentu dalam laporan penilaian, penilai tidak bisa memperoleh informasi yang cukup untuk membuat keputusan tertentu dalam laporan tersebut. 4. Mendokumentasikan hasil penilaian dalam bentuk laporan penilaian. Menetapkan jumlah status penilaian satisfied dan other than satisfied pada masing-masing kelas. 5. Melakukan analisa terhadap hasil laporan penilaian sistem pengamanan, berdasarkan indikator dari selain puas other than satisfied) dan puas (satisfied), yang terdapat pada laporan penilaian kontrol keamanan untuk mengetahui kelemahan dan kekurangan pada sistem informasi dan memfasilitasi pendekatan yang terstruktur untuk melakukan mitigasi risiko sesuai dengan prioritas organisasi. Untuk mengetahui informasi dan data-data yang akurat untuk menunjang penulisan ini maka dilakukan proses pengumpulan data dengan menggunakan metode penilaian sebagai berikut : 1. Melakukan pemeriksaan dan pengamatan langsung terhadap objek penilaian, hal ini dilakukan untuk memperoleh gambaran dan data yang obyektif mengenai sistem informasi yang terdapat pada objek penelitian. 2. Proses wawancara (interview), proses melakukan diskusi dengan pengelola layanan SaaS di PT X untuk memudahkan pemahaman, mencapai klarifikasi, atau mengarah ke lokasi bukti. 3. Pengujian (test), proses menguji beberapa objek penilaian dalam kondisi tertentu untuk membandingkan kondisi aktual dengan perilaku yang diharapkan. Prosedur penilaian terdiri dari serangkaian tujuan, metode dan objek penilaian. Tujuan penilaian meliputi serangkaian parameter terkait dengan kontrol keamanan tertentu. Penerapan prosedur penilaian terhadap pengendalian keamanan menghasilkan temuan penilaian. Temuan penilaian selanjutnya digunakan dalam membantu untuk menentukan efektifitas kontrol keamanan. Proses penilaian dilakukan melalui tahapan-tahapan berikut : 1. Mengkategorisasi Sistem Informasi, pada tahap ini dilakukan langkah untuk mengkategorisasi sistem informasi dan informasi yang diproses, disimpan dan dikirimkan oleh sistem berdasarkan pada analisis dampak. Pengkategorian didasarkan pada tingkat pengaruh informasi atau sistem informasi terhadap organisasi dalam mencapai misi yang ditetapkan, melindungi aset, mempertahankan fungsinya sehari-hari dan melindungi individu ketika suatu peristiwa terjadi. 2. Menentukan baseline kontrol keamanan, berdasarkan hasil kategorisasi sistem informasi. Pemilihan baseline kontrol keamanan dilakukan berdasarkan pada dampak yang ditimbulkan akibat dari gangguan yang muncul terhadap sistem informasi hotel. Berdasarkan kategori keamanan sistem informasi yang 27

dilakukan pada tahap sebelumnya dan standard baseline yang ditetapkan oleh framework NIST SP800-53. Gambar 2. Kerangka Penelitian 3. Penerapan kontrol keamanan terhadap sistem informasi hotel diterapkan oleh PT.X pada komponen-komponen pendukung sistem informasi tersebut. Berdasarkan security plan yang diharapkan oleh pihak managemen PT X, kontrol keamanan yang diterapkan di PT X mengikuti standard kontrol kemananan SP800-53. 4. Melakukan penilaian kontrol keamanan dengan menggunakan prosedur penilaian yang tepat untuk menentukan sejauh mana kontrol keamanan diterapkan secara benar, beroperasi sesuai dengan yang dimaksud dan menghasilkan outcome yang diharapkan dengan memenuhi persyaratan keamanan bagi sistem. Dalam tahapan ini kita menentukan kontrol-kontrol keamanan yang diterapkan untuk dinilai berdasarkan assestment objektif yang ditelah ditetapakan berdasarkan framework NIST SP800-53A, hasilnya berupa status satisfied atau other than satisfied. V. HASIL PENGUJIAN Berdasarkan hasil pengujian yang dilakukan terhadap kontrol keamanan yang digunakan pada sistem informasi PT X, dapat dilihat pada tabel 2. 28

Pengujian Keamanan Transaksi Cloud Computing Pada Layanan Software AS A Service (SaaS) Menggunakan Kerangka Kerja NIST SP800-53A Tabel 2 Tabel hasil penilaian terhadap sistem pengamanan sistem informasi KELAS KONTROL JUMLAH STATUS SATISFIED JUMLAH STATUS OTHER THAN SATISFIED Operational controls 34 14 Management controls 9 11 Technical controls 40 38 Sumber : Hasil pengolahan data Pada objek penelitian kelas operational controls, jumlah perolehan satisfy lebih banyak dari other satisfy,ini artinya opertion control sudah baik. Pada management controls, jumlah perolehan satisfy lebih sedikit dari other satisfy,ini artinya opertion control sudah belum baik. Dan pada technical controls jumlah perolehan satisfy hampir sama banyak dari other satisfy,ini artinya opertion control tidak terlalu baik. Berdasarkan rekapitulasi hasil pengujian terhadap sistem informasi hotel yang dibangun dan dikelola oleh PT X memiliki status satisfied tetapi masih banyak parameter kontrol keamanan yang perlu diperbaiki atau ditingkatkan sehingga menghasilkan sistem informasi yang memiliki sistem pengamanan yang lebih baik. VI. SIMPULAN Berdasarkan hasil pengujian yang telah dilakukan terhadap sistem informasi hotel yang dibangun dan dikelola oleh PT.X, diperoleh beberapa kesimpulan berikut : 1. Pengujian kontrol keamanan yang menggunakan framework NIST SP800-53A sangat mengutamakan pemeriksaan terhadap ketersediaan dokumentasi. 2. Secara keseluruhan sistem kontrol keamanan yang dibangun oleh PT. X sudah relatif satisfied tetapi masih terdapat banyak item kontrol keamanan yang perlu ditingkatkan. 3. Hasil pengujian yang dilakukan berdasarkan pada framework NIST SP800-53A terhadap aspek teknikal dan operasional sistem informasi hotel sudah memperoleh status satisfied tetapi masih terdapat beberapa hal yang perlu diperbaiki atau ditingkatkan. Pengujian terhadap aspek manajemen sistem informasi hotel memperoleh status other than satisfied, sehingga masih banyak hal yang perlu diperbaiki atau ditingkatkan sistem kontrol keamanannya. DAFTAR PUSTAKA Bowen Pauline. A Guide to NIST Information Security Documents. NIST U.S. Department of Commerce, 2009 Garfinkel Simson, Schwartz Alan & Spafford Gene. Practical Unix & Internet Security, 3rd Edition. O Reilly & Associates, Inc. Sabastopol California. 2003 ISO/IEC FDIS 27001:2005(E). Information technology Security techniques - Information security management systems Requirements. ISO. Geneva, 2005 29

Mell Peter and Grance Tim, The NIST Definition of Cloud Computing v15. National Institute of Standards and Technology, Information Technology Laboratory, Gaithersburg, 2009. Miller Michael. Cloud Computing: Web-Based Applications That Change the Way You Work and Collaborate Online. Que Publishing, Indianapolis.2009 Ross Ron, Johnson Arnold, Katzke Stu, Toth Patricia, Stoneburner and Rogers George. NIST Special Publication 800-53A - Guide for Assessing the Security Controls in Federal Information Systems. NIST U.S. Department of Commerce, Gaithersburg. 2008 Stoneburner Gary, Goguen Alice and Feringa Alexis. NIST Special Publication 800-30 - Risk Management Guide for Information Technology Systems. NIST U.S. Department of Commerce, Gaithersburg. 2002. Whilsher Richard. FISMA & ISMS alignment opportunities v1.0. Zygma partnership LLC, 2006 BIODATA: Nanang Sasongko, SE, MSi, Ak. adalah Dosen tetap Fakultas Ekonomi Jurusan Akuntansi,Universitas Jenderal Achmad Yani,Cimahi 30

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan