115 6 BAB VI KESIMPULAN DAN REKOMENDASI Pada bab ini menjelaskan kesimpulan dan saran untuk keamanan pada Kantor Wilayah Dirjen Perbendaharaan Jawa Timur. Perbaikan ini nantinya bisa digunakan untuk meningkatkan tingkat kelengkapan serta kematangan keamanan berdasarkan 5 area yang sudah ditentukan. 6.1 Kesimpulan Kesimpulan yang dapat diambil secara menyeluruh dalam pengerjaan tugas akhir dengan studi kasus evaluasi pengelolaan keamanan perbendaharaan negara oleh Kanwil DJPBN Jawa Timur antara lain : Berdasarkan kondisi sebelum penilaian aspek kepatuhan didapat skor keseluruhan area antara lain area Tata Kelola, Pengelolaan Risiko, Kerangka Kerja, Pengelolaan Aset, dan Teknologi berjumlah 423 (dari nilai maksimal 588). Nilai yang sangat tinggi untuk status kesiapan TIK di lingkup Kanwil DJPBN. Dari aspek penilaian Peran TIK khususnya peran teknologi bagi Kanwil DJPBN, menunjukkan bahwa peran TIK bagi institusi ini relatif tinggi yang menandakan peranan vital TIK bagi pelaksananaan perbendaharaan lingkup Kanwil DJPBN Jawa Timur (skor 36 dari 48). Status kesiapan pengelolaan keamanan yang meliputi kelengkapan perangkat keamanan pada 5 area yakni Tata Kelola, Pengelolaan Risiko, Kerangka Kerja, Pengelolaan Aset, dan Teknologi dinilai masih perlu adanya perbaikan (skor 337 dari nilai maksimal 588). Hasil penilaian berdasarkan aspek kepatuhan menunjukkan pengelolaan keamanan pada Kanwil DJPBN Jawa Timur guna menunjang pelayanan perbendaharaan sudah 115
116 dalam penerapan, namun dinilai masih perlu diperbaiki dalam hal kelengkapan perangkat pengamanannya (prosentase 57,31% temuan sesuai dan 14.69 % temuan yang tidak sesuai). Tingkat kematangan per-area untuk Tata Kelola terdapat pada level II, area Pengelolaan Risiko pada level II, area Kerangka Kerja berada pada level II, area Pengelolaan Aset berada pada level II, serta area Teknologi pada level II. Tingkat kematangan keseluruhan area berada pada level II dari level V (kesiapan sertifikasi ISO/IEC 27001:2005) yang artinya sudah terdapat pemahaman keamanan di Kanwil DJPBN Jawa Timur namun masih tergolong aktif bukan proaktif. Berdasarkan status kesiapan yang terlihat dari skor akhir pengelolaan keamanan, maka pengelolaan keamanan dinyatakan masih perlu adanya perbaikan dalam memenuhi standarisasi ISO/IEC 27001:2005 terlebih pada efektifitas pelaksanaan kerangka kerja keamanan berdasarkan penilaian indeks KAMI dimana aspek kepatuhan kerangka kerja memiliki nilai prosentase terkecil dibandingkan area evaluasi lainnya (prosentase 38% dari nilai capaian obyektif terhadap maksimum nilai area kerangka kerja). Perbaikan pengelolaan keamanan di Kanwil DJPBN berdasarkan status kesiapan di atas lebih dispesifikkan pada area kerangka kerja dengan didukung oleh dokumen-dokumen prosedural sebagi implementasi kebijakan. Perbaikan dan peningkatan keamanan dari seluruh pertanyaan pada lima area evaluasi keamanan yang tersebut di atas baik dari segi teknis dan non-teknis secara spesifik terlampir pada lampiran H-L.
117 6.2 Rekomendasi Perbaikan 5 Area Pengamanan Rekomendasi yang dapat diambil sebagai perbaikan secara menyeluruh untuk peningkatan kelima area pengelolaan keamanan : 6.2.1 Rekomendasi Perbaikan Area Tata Kelola Keamanan Informasi Efektivitas pengamanan dievaluasi berkala melalui proses yang terstruktur Memperbaiki beberapa kelemahan dalam sistem manajemen tata kelola sehingga dapat menghasilkan dampak signifikan terhadap pengelolaan keamanan Meningkatkan poin-poin tata kelola keamanan yang sudah mematuhi ambang batas minimum pada area tata kelola Meningkatkan kesadaran semua pihak baik pimpinan, pelaksana dan pihak ketiga untuk menyadari tanggungjawab pengelolaan keamanan Menerapkan seluruh persyaratan dan standar kompetensi dan keahlian pelaksana dalam pengelolaan keamanan (berdasarkan KMK No.479/KMK.01/2010 Poin I, II, IV) 6.2.2 Rekomendasi Perbaikan Area Pengelolaan Risiko Merencanakan dan menerapkan seluruh pengelolaan risiko menjadi bagian dari kriteria penilaian efektifitas pengamanan terhadap semua layanan perbendaharaan Kanwil DJPBN Merencanakan dan mengevaluasi secara menyeluruh terhadap program pengelolaan risiko keamanan yang akan dilaksanakan
118 Melaksanakan dokumentasi peningkatan langkah mitigasi yang diterapkan untuk mengetahui kondisi perkembangan penanganan dan pengendalian risiko (Berdasarkan PMK No.191/PMK.09/2008 dan KMK No.479/KMK.01/2010 Poin III, V dan XI) 6.2.3 Rekomendasi Perbaikan Area Kerangka Kerja Keamanan Informasi Merencanakan dan menerapkan kebijakan dan prosedur keamanan terhadap semua aktifitas teknologi Merencanakan dan menerapkan proses pengembangan rencana pemulihan bencana terhadap layanan TIK (teknologi komunikasi) yang sudah didefinisikan komposisi, peran, wewenang dan tanggungjawabnya Merencanakan evaluasi pengelolaan kebijakan keamanan yang telah digunakan dengan mencantumkan peran, wewenang dan tanggungjawabnya Melaksanakan dokumentasi dan pelaporan terhadap penerapan kerangka kerja pengelolaan keamanan secara berkala (Berdasarkan KMK No.479/KMK.01/2010 dan KMK No.260/KMK.01/2009) 6.2.4 Rekomendasi Perbaikan Area Pengelolaan Aset Keamanan Informasi Merencanakan dan menerapkan secara menyeluruh proses penerapan definisi tingkatan akses dan matrix yang merekam alokasi akses Merencanakan dan menerapkan secara menyeluruh prosedur pengelolaan aset Menerapkan sanksi atau hukuman yang telah dibuat kepada semua pihak yang lalai dalam melaksanaan pengelolaan keamanan aset
119 Merencanakan dan melaksanakan secara menyeluruh tata tertib pengamanan komputer, email, intranet dan internet serta pertukaran data dan Melaksanakan pengendalian dan evaluasi secara menyeluruh terhadap aset dan dokumentasi terhadap semua aktifitas pengelolaan keamanan aset (Berdasarkan KMK No.479/KMK.01/2010 Poin III dan VIII, KMK No.512/KMK.01/2009 dan KMK No.21/KMK.01/2012) 6.2.5 Rekomendasi Perbaikan Area Teknologi dan Keamanan Informasi Merencanakan penerapan secara menyeluruh pada proses konfigurasi standar untuk keamanan sistem bagi keseluruhan asset dan perangkat jaringan yang dimutakhirkan Merencanakan dan menerapkan secara menyeluruh proses pengamanan untuk mendeteksi dan mencegah akses jaringan yang tidak resmi Melaksanakan secara menyeluruh prosedur keamanan Menerapkan sanksi kepada seluruh pihak yang lalai dalam melaksanakan pengelolaan teknologi dan keamanan Melaksanakan secara menyeluruh dokumentasi dan pelaporan terhadap segala aktifitas pengelolaan TIK (teknologi komunikasi) (Berdasarkan KMK No.479/KMK.01/2010, KMK No. 512/KMK.01/2009, KMK No. 274/KMK.01/2010 dll)
120 Halaman ini sengaja dikosongkan