PRESENTASI TUGAS AKHIR PEMBUATAN PERANGKAT AUDIT JARINGAN CSNET BERDASARKAN COBIT 4.1 DAN ISO/IEC 27002 PADA JURUSAN SISTEM INFORMASI INSTITUT TEKNOLOGI SEPULUH NOPEMBER Penyusun Tugas Akhir : Fandy Natahiwidha NRP : 5206 100 027 Dosen Pembimbing : Ir. Aris Tjahyanto, M.Kom Bekti Cahyo H, S.Si, M.Kom
.: Latar Belakang :. NOC(Network Operation Control) CSNet(Computer Science Network) merupakan titik backbone yang mengcover dan melayani jaringan yang dimiliki oleh beberapa jurusan di ITS. Peran NOC sendiri sangat penting mengingat beberapa jurusan tersebut memiliki ketergantungan terhadap NOC CSNet. Oleh karena itu diperlukan sebuah audit yang bertujuan untuk mengetahui ketidaksesuaian antara keamanan sistem jaringan komputer yang ada dengan standart keamanan yang digunakan pada umumnya Untuk melakukan proses audit diperlukan sebuah perangkat audit yang berfungsi sebagai tool dalam membantu proses audit.
.: Permasalahan:. Permasalahan yang akan diselesaikan dalam tugas akhir ini adalah perangkat audit seperti apakah yang dibutuhkan dalam melakukan proses audit keamanan NOC CSNet?
.: Tujuan:. Tujuan dari pembuatan tugas akhir ini adalah untuk membuat perangkat audit keamanan NOC CSNet dengan menggunakan COBIT 4.1 dan ISO/IEC 27002.
.: Manfaat:. Tugas akhir ini menghasilkan perangkat audit yang dapat digunakan untuk mengaudit keamanan NOC CSNet sehingga pihak JSi dapat mengetahui ketidaksesuaian dari perlindungan keamanan yang sudah ada saat ini.
.: Batasan Permasalahan:. Dari permasalahan yang telah disebutkan di atas, maka batasanbatasan dalam tugas akhir ini adalah: Penggunaan COBIT 4.1 dan Internasional Organisation for Standardization (ISO) 27002 sebagai framework untuk membantu dalam pemenuhan pengukuran pada perangkat audit yang telah dibuat. Kontrol obyektif yang digunakan sebagai acuan pada COBIT 4.1 yaitu AI3.3 (Infrastructure maintenance) dari domain AI3 (Acquire and Maintain Technology Infrastructure) dan DS5.5 (Security testing, surveillance and monitoring), DS5.7 (Protection of security technology), DS5.10 (Network security) dari domain DS5 (Ensure Systems Security). Lingkup keamanan dalam tugas akhir ini yaitu keamanan secara fisik dan logik.
.: Metodologi:. Persiapan Studi literatur Survey pada kasus Pengumpulan data dan informasi Observasi Wawancara Pengamatan dokumen terkait Pembuatan perangkat audit jaringan Melakukan identifikasi terhadap control objektif pada COBIT 4.1 yang berkaitan dengan jaringan. memetakan hasil identifikasi tersebut pada ISO/IEC 27002 berdasarkan pedoman ITGI. Hasil dari pemetaan tersebut digunakan sebagai pedoman untuk membuat checklist berdasarkan klausul klausul yang ada pada ISO/IEC 27002.
.: Metodologi(2):. Uji coba perangkat audit Melakukkan uji coba terhadap checklist yang telah dibuat pada NOC CSNet. Proses ujicoba dilakukan dengan memberikan pertanyaan pada checklist yang dibuat kepada pengelola NOC CSNet. Revisi Melakukan perbaikan terhadap pertanyaan pertanyaan yang sulit dipahami dan menambahkan pertanyaan lain yang muncul ketika proses uji coba berlangsung.
.: Perangkat Audit:. Perangkat audit dalam hal ini diartikan sebagai alat yang berfungsi untuk mengaudit sistem/dokumen tertentu. Pembuatan perangkat audit pada tugas akhir ini secara konsep mengacu kepada finansial audit yang sudah ada terlebih dulu dan lebih dikenal oleh masyarakat. Perangkat audit dibuat dengan menyesuaikan dari finansial audit. Perbedaan yang mendasar adalah perangkat audit yang dibuat pada tugas akhir ini digunakan untuk audit IT, khususnya jaringan.
.: Analisa COBIT 4.1:. Menentukan domain dan control objective yang memiliki keterkaitan denganjaringan. Domain yang dipilihdalamcobit 4.1 yaitua13 (Mengeloladanmemeliharainfrastrukturteknologi) dands5 (Memastikankeamanansistem). Control objective yang dipilih yaitu: o AI3 (Acquire and Maintain Technology Infrastructure) AI3.3 (Infrastructure maintenance) o DS5 (Ensure Systems Security) DS5.5 (Security testing, surveillance and monitoring) DS5.7 (Protection of security technology) DS5.10 (Network security)
.: Mapping COBIT 4.1 ke ISO/IEC 27002:. Proses mapping yang dilakukan mengacu pada pedoman yang diperoleh dari www.isaca.org dengan judul Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit.
.: Mapping COBIT 4.1 ke ISO/IEC 27002 (2):. Domain Area COBIT 4.1 ISO/IEC 27002 A13 Memperoleh dan mempertahankan infrastruktur teknologi. AI3.3 9.1.5 Working in secure areas 9.2.4 Equipment maintenance DS5 Memastikan keamanan sistem DS5.5 6.1.8 Independent review of information security 10.10.2 Monitoring system use 12.6.1 Control of technical vulnerabilities 13.1.2 Reporting security weaknesses 15.2.2 Technical compliance checking 15.3.1 Information systems audit controls
.: Mapping COBIT 4.1 ke ISO/IEC 27002 (3):. Domain Area COBIT 4.1 ISO/IEC 27002 DS5 Memastikan keamanan sistem DS5.7 9.1.6 Public access, delivery and loading areas 9.2.1 Equipment siting and protection 9.2.3 Cabling security 10.10.3 Protection of log information 10.10.4 Administrator and operator logs 10.10.5 Fault logging 11.3.2 Unattended user equipment 11.5.1 Secure logon procedures 11.5.4 Use of system utilities 12.6.1 Control of technical vulnerabilities
.: Mapping COBIT 4.1 ke ISO/IEC 27002 (4):. Domain Area COBIT 4.1 ISO/IEC 27002 DS5 Memastikan keamanan sistem DS5.10 10.6.1 Network controls 10.6.2 Security of network Services 11.4.1 Policy on use of network services 11.4.3 Equipment identification in networks 11.4.4 Remote diagnostic and configuration port protection 11.4.5 Segregation in networks 11.4.6 Network connection control 11.4.7 Network routing control
.:Perangkat Audit Jaringan CSNet:.
.: Revisi :. Revisi terhadap hasil uji coba perangkat audit dilakukan setelah pelaksanaan uji coba perangkat audit. Revisi pada tahap ini dilakukan untuk memperbaiki pertanyaan-pertanyaan yang sulit dipahami dan munculnya pertanyaan lain ketika proses uji coba berlangsung.
.: Kesimpulan:. Simpulan yang dapat diambil dari pengerjaan tugas akhir ini adalah sebagai berikut: Perangkat audit yang telah dibuat dapat digunakan untuk melakukan audit terhadap keamanan secara fisik dan logik pada NOCCSNetJsiITS. Perangkat audit ini juga dapat diimplementasikan di NOC organisasi tertentu selain pada studi kasus yang telah ditetapkan. Berdasarkan hasil uji coba yang telah dilakukan, beberapa revisi diperlukan terkait perbaikan dari beberapa pertanyaan yang telah dibuat, yaitu meliputi mudah atau tidaknya pengelola menjawab pertanyaan yang dibuat dan munculnya pertanyaan baru saat uji coba berlangsung.
.: Saran:. Beberapa hal yang diharapkan dapat dikembangkan di masa mendatang adalah sebagai berikut: Perangkat audit ini haya mencakup ruang NOC CSNet saja, untuk itu kedepannya pengembangan dapat dilakukan hingga end user point pada jaringan CSNet. Pertanyaan dibuat lebih banyak dan detail untuk setiap kalimat yang ada pada klausul dalam pedoman yang digunakan sehingga jawaban yang diperoleh semakin rinci. Perangkat audit ini dibuat berdasarkan COBIT 4.1 yang dipetakan ke ISO/IEC 27002. Untuk kedepannya perangkat audit yang dibuat dapat dipetakan ke pedoman lain sesuai dengan kelebihan yang dimilikinya.
TERIMA KASIH.: Penutup:.