BAB I PENDAHULUAN 1.1. Latar Belakang Bidang Komunikasi dan Informatika (KOMINFO) pada Dinas Perhubungan Komunikasi Dan Informatika (DISHUBKOMINFO) Pemerintahan Kabupaten Sleman merupakan salah satu instansi yang memiliki fungsi memberikan penyelenggaraan pembangunan, pengembangan dan pengelolaan infrastruktur jaringan komunikasi. Jaringan komunikasi disini baik berupa data maupun suara. Bidang Kominfo memiliki tanggung jawab untuk mengelola infrastruktur jaringan komunikasi tersebut. Implementasi teknologi informasi sudah cukup merata di Pemerintahan Kabupaten Sleman. Hasil wawancara dengan Staf Seksi Sarana Sistem Informasi disebutkan bahwa terdapat beberapa insiden dalam masalah keamanan informasi yang pernah terjadi, diantaranya dari mulai dirusaknya beberapa situs subdomain website Pemerintahan Kabupaten (Pemkab) Sleman oleh cracker pada tahun 2010 dan 2011, adanya serangan Distributed Denial Of Service ke server VoIP pada tahun 2009, adanya lubang keamanan yang dimanfaatkan oleh cracker untuk menembus salah satu server yang manajemen server tersebut tidak diberikan wewenang kepada Bidang Kominfo, rusaknya situs subdomain DPRD karena defacing pada Oktober 2012. Hasil wawancara dengan Kepala Seksi Pengembangan Sistem Informasi diketahui bahwa dari insiden yang pernah terjadi evaluasi yang dilakukan baru sebatas ketika terjadi adanya masalah dan belum dilakukan bentuk perencanaan evaluasi secara keseluruhan maupun konsep di dalam evaluasi keamanan yang sesuai dengan standar. Menurut Sayana (2003), untuk memperoleh jaminan keamanan yang komprehensif dari sistem maka penting untuk dilakukan penilaian dan 1
2 mengevaluasi semua aspek dari mulai keamanan jaringan komputer, keamanan aplikasi, keamanan sistem operasi, keamanan database, keamanan fisik dan lingkungan sekitarnya. Hal inilah yang menunjukkan pentingnya melakukan proses evaluasi keamanan. Senft dan Gallegos (2008) menyebutkan evaluasi yang tidak dilakukan secara periodik dapat menyebabkan hilangnya efektivitas dari evaluasi itu sendiri dikarenakan teknologi selalu berubah. Teknologi yang berubah tidak diikuti dengan evaluasi dan review ulang dari apa yang telah diterapkan dapat menyebabkan kesulitan di dalam menangani permasalahan-permasalahan baru yang berkaitan dengan keamanan. Evaluasi disertai dengan pengujian sangat dibutuhkan pada pusat data mengingat pentingnya data yang tersimpan di dalamnya. Dan data-data yang disimpan pada ruang lingkup pemerintah memiliki data-data yang sensitif (tergantung dari instansi yang terkait). Keamanan yang lemah di sisi infrastruktur pemerintah sering dijadikan sebagai sasaran target oleh cracker dengan melakukan aktivitas illegal seperti perusakan situs-situs pemerintah (defacing). Sasongko (2012) menjelaskan sedikitnya ada beberapa poin yang menyebabkan demikian diantaranya ialah kurang terlaksananya tata kelola teknologi informasi di instansi pemerintah, koordinasi antar lembaga instansi pemerintah masih lemah mengenai cyber security, tingkat awareness instansi pemerintah serta masyarakat di Indonesia mengenai cyber security masih rendah. Evaluasi secara menyeluruh terhadap kondisi terkini dari pusat data dan yang terkait di dalamnya perlu dilaksanakan. Akan tetapi, evaluasi yang dilakukan tanpa adanya panduan secara sistematis dan standar hanya akan memperlama proses evaluasi sementara perkembangan kondisi dari pusat data begitu cepat dan membutuhkan adanya hasil yang signifikan untuk kemudian diterapkan.
3 Salah satu standar yang dapat digunakan untuk melakukan penilaian kondisi tata kelola pusat data ialah dengan menggunakan kerangka kerja Control Objectives for Information and Related Technology (COBIT). Saat ini penggunaan kerangka kerja COBIT cukup banyak diadopsi secara luas dan dijadikan salah satu standar dalam melakukan penelitian terhadap aset yang berhubungan dengan teknologi informasi. Alasan penggunaan COBIT sebagai kerangka kerja dengan pertimbangan bahwa COBIT telah menyediakan ukuran, indikator, proses dan kumpulan praktik yang cukup baik untuk membantu di dalam melakukan tata kelola teknologi informasi. Sebuah tools yang dapat membantu kinerja dari seorang auditor sangat dibutuhkan mengingat aplikasi-aplikasi yang ada tidak semuanya dapat diterapkan pada lingkungan pemerintahan. Oleh karena itu perlu dibuat sebuah aplikasi yang dapat digunakan untuk membantu seorang auditor keamanan di dalam melakukan evaluasi atau audit keamanan informasi khususnya pada lingkungan pemerintahan. 1.2. Rumusan Masalah Dari latar belakang dan permasalahan tersebut diatas dapat dirumuskan menjadi beberapa permasalahan sebagai berikut: a. Sejauh mana keamanan dari pusat data telah mengikuti proses keamanan sistem yang telah terukur dengan menggunakan COBIT 4.1 Maturity Model pada domain Deliver and Support 5. b. Dibutuhkan tools yang menghitung COBIT Maturity Model untuk menunjukkan sejauh mana tingkat kesesuaian (compliance) pada organisasi. c. Dibutuhkan tools yang dapat melakukan pengujian keamanan sistem.
4 1.3. Batasan Masalah Ruang lingkup dari penelitian ini dibatasi agar dapat lebih fokus dan terarah sehingga dapat memberikan manfaat yang diharapkan. Batasan pada penelitian ialah sebagai berikut: a. Penelitian difokuskan pada pusat data yang merupakan kewenangan dari Bidang Komunikasi dan Informatika Dinas Perhubungan, Komunikasi Dan Informatika Pemerintahan Kabupaten Sleman. Fokus pada arsitektur jaringan komputer yang terinstall pada pusat data. b. Data yang digunakan sebagai acuan didapatkan dari dokumentasi fisik maupun dokumentasi elektronik arsitektur pusat data. c. Penelitian tidak akan masuk ke dalam jaringan internal tiap-tiap instansi d. Karena ruang lingkup dari COBIT versi 4.1 yang begitu luas maka untuk penilaian ini dilakukan hanya pada salah satu aspek saja yakni pada domain Deliver and Support poin ke 5 Ensure Systems Security dan tidak melakukan penilaian secara keseluruhan pada proses yang ada. e. Pengujian vulnerability assessment dengan menggunakan tools terhadap sistem pada pusat data Pemerintahan Kabupaten Sleman dengan mengambil sampel server sebanyak lima buah. f. Tools yang dibuat tidak melalui tahap pengujian whitebox testing ataupun blackbox testing. 1.4. Keaslian Penelitian Terdapat beberapa penelitian yang terkait dengan tata kelola teknologi informasi dengan menggunakan COBIT sebagai acuan. Akan tetapi yang fokus pada sisi keamanan informasi terlebih lagi yang menggabungkan COBIT sebagai bahan acuan masih belum banyak dilakukan. Penelitian yang pernah dilakukan akan dijelaskan pada bab berikutnya.
5 1.5. Tujuan dan Manfaat Penelitian Tujuan dari penelitian ini ialah: 1. Melakukan penilaian kondisi kini keamanan pusat data dengan menggunakan COBIT Maturity Model dan vulnerability assessment dengan melakukan pengujian pada titik-titik penting keamanan informasi. 2. Membangun tools yang membantu menghitung tingkat kesesuaian (compliance) yang diukur dengan Maturity Model dan membangun prototype software vulnerability assesment untuk pengujian. Penelitian ini diharapkan dapat memberikan manfaat bagi Pemerintahan Kabupaten Sleman khususnya pada Bidang Komunikasi dan Informatika terkait dengan tata kelola keamanan informasi sebagai berikut: 1. Dengan melakukan pengujian maka dapat diketahui kelemahan-kelemahan pada server-server yang ada untuk kemudian dilakukan perbaikan 2. Dengan melakukan penilaian terhadap tata kelola pusat data yang sedang berjalan, akan dapat teridentifikasi permasalahan yang ada pada bagianbagian yang terpenting dan krusial untuk ditangani lebih dahulu 3. Dengan melakukan evaluasi maka diharapkan kualitas pelayanan dari pusat data tetap dapat terjaga dengan tidak meninggalkan aspek keamanan informasi. 4. Meningkatkan kepedulian bagi pihak-pihak yang terkait dengan pusat data baik dari instansi terkait maupun Bidang Kominfo untuk melakukan langkahlangkah perbaikan terhadap tata kelola pusat data pada aspek keamanan informasi 1.6. Metode Penelitian Tahapan-tahapan yang dilakukan dalam pelaksanaan penelitian ini adalah sebagai berikut:
6 1. Studi literatur; mengumpulkan dan mempelajari berbagai referensi yang terkait dengan penerapan tata kelola teknologi informasi dengan kerangka kerja COBIT terutama dengan pendekatan keamanan informasi. Kemudian mempelajari CVSS sebagai acuan untuk melakukan vulnerability assessment. 2. Pengumpulan data; pengumpulan data dilakukan dengan mengumpulkan dokumentasi teknis terkait dengan pusat data dan yang ada di dalamnya. Data-data yang akan diambil diantaranya ialah IP Address, tipe sistem operasi yang digunakan apakah berbasis UNIX-like atau Windows. Kemudian informasi database server baik tipe database server maupun username dan passwordnya. 3. Wawancara; wawancara dibutuhkan untuk melakukan identifikasi responden berdasarkan diagram Responsible, Accountable, Consult, Inform (RACI) pada COBIT. 4. Prototyping tools; Membuat dua buah prototype software yang pertama digunakan untuk melakukan pengukuran Maturity Model dan yang kedua membangun software pengujian kerentanan diukur dengan basis nilai skala dari 0-10. Nilai terendah 0 berarti tingkat kerentanannya tidak ada adapun nilai 10 memiliki nilai kerentanan yang sangat tinggi. 5. Uji coba; pengujian dilakukan dengan melakukan vulnerability assessment dengan data sampling yang ada. 6. Melakukan analisa akhir; hasil dari assessment dengan nilai yang telah dihasilkan kemudian dibandingkan dengan nilai dari hasil uji vulnerability assessment. 7. Usulan perbaikan; Setelah mengetahui analisa akhir dari hasil perbandingan nilai maka dapat diberikan usulan perbaikan yang lebih baik lagi berupa rekomendasi yang tetap mengacu pada kerangka kerja COBIT 1.7. Sistematika Penulisan Penelitian yang dilakukan akan menggunakan sistematika sebagai berikut:
7 1. BAB I PENDAHULUAN Dalam bab ini akan dijelaskan secara singkat mengenai latar belakang, rumusan masalah, batasan masalah, tujuan dan manfaat penelitian, metodologi penelitian serta sistematika penulisan. 2. BAB II TINJAUAN PUSTAKA Dalam bab ini akan berisi uraian singkat mengenai hasil-hasil penelitian sejenis yang telah dilakukan oleh peneliti sebelumnya termasuk metode dan fokus penelitian yang dilakukan. 3. BAB III LANDASAN TEORI Dalam bab ini akan berisi uraian tentang landasan teori yang digunakan untuk melakukan penelitian ini dan menjadi dasar dalam pencarian solusi atas masalah yang sedang diteliti. 4. BAB IV ANALISIS DAN RANCANGAN SISTEM Bab ini akan berisi analisis dari sisi manajemen dengan menggunakan COBIT dan dari sisi teknis parsing data dengan menggunakan database CVE. 5. BAB V IMPLEMENTASI Pada bab ini berisi implementasi dari rancangan sistem yang telah dibuat dalam bentuk kode program dan nilai dari hasil penelitian. 6. BAB VI HASIL dan PEMBAHASAN Dalam bab ini membahas pengujian yang dilakukan terhadap sistem yang telah dijabarkan sebelumnya dan hasil yang diperoleh dari sistem. 7. BAB VII KESIMPULAN DAN SARAN Bab ini berisi kesimpulan dan saran dari penelitian yang telah dilakukan dan saran untuk pengembangan penelitian selanjutnya baik dari sisi manajemen maupun sisi teknis.