Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
-
Upload
dicky-christian-djumiran -
Category
Documents
-
view
244 -
download
1
Transcript of Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 1/13
ANALISIS KEAMANAN SISTEM INFORMASI
ELEARNING BERBASIS WEB DI STIKI MALANGDicky Christian Djumiran
1)
1)Program Studi Teknik Informatika, Sekolah Tinggi Informatika & Komputer Indonesia (STIKI)
Malang
Email: [email protected]
ABSTRAK
Sistem pembelajaran elektronikatau e-pembelajaran (Inggris: Electronic
learning disingkat E-learning) adalah cara
baru dalam proses belajar mengajar. E-learning merupakan dasar dan konsekuensi
logis dari perkembangan teknologi
informasi dan komunikasi. Dengan e-
learning, peserta ajar (learner atau murid)
tidak perlu duduk dengan manis di
ruang kelas untuk menyimak setiap ucapan
dari seorang guru secara langsung. E-
learning juga dapat mempersingkat jadwal
target waktu pembelajaran, dan tentu saja
menghemat biaya yang harus dikeluarkan
oleh sebuah program studi atau program
pendidikan.
Seperti sebagaimana yang
disebutkan di atas, e-learning telah
mempersingkat waktu pembelajaran dan
membuat biaya studi lebih ekonomis. E-
learning mempermudah interaksi antara
peserta didik dengan bahan/materi, peserta
didik dengan dosen/guru/instruktur maupun
sesama peserta didik. Peserta didik dapat
saling berbagi informasi dan dapat
mengakses bahan-bahan belajar setiap saat
dan berulang-ulang, dengan kondisi yang
demikian itu peserta didik dapat lebih
memantapkan penguasaannya terhadapmateri pembelajaran.
Dalam e-learning, faktor kehadiran
guru atau pengajar otomatis menjadi
berkurang atau bahkan tidak ada. Hal ini
disebabkan karena yang mengambil peran
guru adalah komputer dan panduan-
panduan elektronik yang dirancang oleh
"contents writer", designer e-learning
dan pemrogram komputer
Kata Kunci : Kata Kunci : E-Learning,
Sistem Informasi
1 PENDAHULUAN
1.1 Latar BelakangSTIKI Malang adalah sebuah
perguruan tinggi komputer yang berada
di kota Malang sejak tahun 1985.
Seiring berjalannya waktu, STIKI
Malang telah menghasilkan beberapa
sistem informasi yang digunakan untuk
menunjang aktivitas Akademik maupun
non Akademik.
Sistem informasi yang ada di STIKIMalang bermacam-macam jenisnya
sesuai dengan kebutuhan tiap-tiap divisi
yang ada. Salah satunya adalah SistemInformasi Akademik (SIA). Sistem
Informasi Akademik di STIKI Malang
memiliki beberapa layanan antara lain :
perwalian.stiki.ac.id, ebelajar.stiki.ac.id,
komunitas.stiki.ac.id, dan
perpustakaan.stiki.ac.id. Setiap situs
yang ada memiliki fungsi masing-
masing. Contohnya situs
ebelajar.stiki.ac.id yang berfungsi
menunjang proses belajar mengajar di
kampus STIKI Malang.
Sistem elearning yang bersifat online m
emudahkan sivitas akademika untuk
mengakses informasi berkaitan dengan
kebutuhan akademis. Informasi dapat
diakses dari komputer mana saja yang
tersambung dengan jaringan kampusatau internet dengan memasukkan user
dan password yang dimiliki.
Rahardjo (2005: 1) menyatakan
bahwa masalah keamanan merupakan
salah satu aspek penting dari sebuah
sistem informasi. Terjadinya masalah
keamanan dapat menimbulkan kerugian
bagi perusahaan misalnya kerugian
apabila sistem informasi tidak bekerja
selama kurun waktu tertentu, kerugian
apabila ada kesalahan data atau
informasi dan kehilangan data.
Sementara itu, selama penerapan sistem
elearning ini telah terjadi beberapa
permasalahan antara lain sering
ditemukan adanya celah yang bisa
dimanfaatkan. Sehingga tidak menutup
kemungkinan adanya pencurian
informasi. Selain itu, dikhawatirkan
dapat merambat pada terjadinya
penyalahgunaan informasi yang
merugikan STIKI dalam proses kegiatan
Akademik maupun non Akademik.Kendala lain yang ditemukan adalah
keerusakan peralatan sistem informasi
yang dapat menyebabkan hilangnya
data dan sistem yang sering hang. Di
samping itu, terjadi gangguan-gangguan
yang menyebabkan kekacauan antara
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 2/13
2
lain kerusakan data, file-file yang tidak
bisa dibuka, dan lain-lain.
Selama ini STIKI Malang belum
pernah melakukan analisa penyebab
terjadinya permasalahan tersebut dan
STIKI Malang tidak mengetahui sampai
di mana tingkat keamanan sisteminformasi yang milikinya. Oleh karena
itu STIKI Malang membutuhkan
evaluasi keamanan sistem informasi
untuk menjaga keamanan sistem
informasi yang dimilikinya. Evaluasi
keamanan sistem informasi dapat
dilakukan dengan audit keamanan
sistem informasi (Asmuni dan Firdaus,
2005: 23). Keamanan informasi
ditujukan untuk menjaga aspek
kerahasiaan (Confidentiality), keutuhan
( Integrity) dan ketersediaan
( Availability) dari Informasi (ISO/IEC
27002, 2005: 1).Dengan adanya audit keamanan
sistem informasi elearning pada STIKI
Malang dapat mengetahui kelemahan-
kelemahan sistem yang menjadi
penyebab permasalahan keamanan
informasi yang selama ini terjadi. Selain
itu audit ini dapat mengukur tingkat
keamanan sistem informasi elearning
yang dimiliki STIKI Malang. Audit ini
juga menghasilkan rekomendasi tentang perbaikan yang harus dilakukan untuk
meningkatkan keamanan informasi pada
perusahaan, serta menjadi pertimbangan
untuk memperoleh ISMS certification
dengan standar ISO 27002 pada masamendatang.
1.1 Rumusan MasalahBerdasarkan latar belakang yang
telah diuraikan sebelumnya, maka dapat
disimpulkan pokok permasalahan adalah
sebagai berikut :
1. Bagaimana membuat perencanaan audit
keamanan sistem informasi elearning
STIKI Malang berdasarkan standar ISO
seri 27000 ?
2. Bagaimana melaksanakan auditkeamanan sistem informasi elearning
STIKI Malang berdasarkan standar ISO
seri 27000?
3. Bagaimana menyusun hasil audit
keamanan sistem informasi elearning
STIKI Malang berdasarkan standar ISO
seri 27000?
4. Bagaimana memberikan solusi akan
permasalahan yang muncul dari hasil
audit?
2. TINJAUAN PUSTAKA
2.1 E-learning
Sistem pembelajaran elektronikatau e-pembelajaran adalah cara baru
dalam proses belajar mengajar. E-
learning merupakan dasar dan
konsekuensi logis dari
perkembangan teknologi
informasi dan komunikasi. Dengan e-
learning, peserta ajar (learner atau
murid) tidak perlu duduk dengan manis
di ruang kelas untuk menyimak setiap
ucapan dari seorang guru secara
langsung. E-learning juga dapat
mempersingkat jadwal target waktu
pembelajaran, dan tentu saja
menghemat biaya yang harusdikeluarkan oleh sebuah program
studi atau program pendidikan.
Seperti sebagaimana yang disebutkan
di atas, e-learning telah mempersingkat
waktu pembelajaran dan membuat biaya
studi lebih ekonomis. E-learning
mempermudah interaksi antara peserta
didik dengan bahan/materi, peserta
didik dengan dosen/guru/instruktur
maupun sesama peserta didik. Pesertadidik dapat saling berbagi informasi dan
dapat mengakses bahan-bahan belajar
setiap saat dan berulang-ulang, dengan
kondisi yang demikian itu peserta didikdapat lebih memantapkan
penguasaannya terhadap materi
pembelajaran.
2.2 Audit Sistem informasi
Audit Sistem Informasi adalah proses
pengumpulan dan pengevaluasian bukti
(evidence) untuk menentukan apakah
sistem informasi dapat melindungi aset,
serta apakah teknologi informasi yang
ada telah memelihara integritas data
sehingga keduanya dapat diarahkan
kepada pencapaian tujuan bisnis secara
efektif dengan menggunakan sumberdaya secara efektif (Weber, 1999).
Beberapa elemen utama tinjauan
penting dalam Audit Sistem Informasi
yaitu dapat diklasifikasikan sebagai
berikut.
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 3/13
3
1. Tinjauan terkait dengan fisik dan
lingkungan, yakni: hal-hal yang terkait
dengan keamanan fisik, suplai sumber
daya, temperatur, kontrol kelembaban
dan faktor lingkungan lain.
2. Tinjauan administrasi sistem, yaitumencakup tinjauan keamanan sistem
operasi, sistem manajemen database,
seluruh prosedur administrasi sistem
dan pelaksanaannya.
3. Tinjauan perangkat lunak. Perangkat
lunak yang dimaksud merupakan
aplikasi bisnis. Mencakup kontrol akses
dan otorisasi ke dalam sistem, validasi
dan penanganan kesalahan termasuk
pengecualian dalam sistem serta aliran proses bisnis dalam perangkat lunak
beserta kontrol secara manual dan
prosedur penggunaannya. Sebagaitambahan, tinjauan juga perlu dilakukan
terhadap siklus hidup pengembangan
sistem.
4. Tinjauan keamanan jaringan yang
mencakup tinjauan jaringan internal dan
eksternal yang terhubung dengan
sistem, batasan tingkat keamanan,
tinjauan terhadap firewall, daftar kontrol
akses router, port scanning serta
pendeteksian akan gangguan maupun
ancaman terhadap sistem.
5. Tinjauan kontinuitas bisnis dengan
memastikan ketersediaan prosedur
backup dan penyimpanan, dokumentasi
dari prosedur tersebut serta dokumentasi
pemulihan bencana/kontinuitas bisnis
yang dimiliki.
6. Tinjauan integritas data yang
bertujuan untuk memastikan ketelitian
data yang beroperasi sehingga
dilakukan verifikasi kecukupan kontrol
dan dampak dari kurangnya kontrol
yang ditetapkan.
Tahapan audit sistem informasi
dibagi menjadi 4 (empat) tahapan yaitu:
1. Tahap perencanaan audit, 2. Tahap persiapan audit, 3. Tahap pelaksanaan
audit, 4. Tahap pelaporan audit
(Hermawan, 2011).
2.3 Keamanan Informasi
Keamanan informasi adalah
penjagaan informasi dari seluruh
ancaman yang mungkin terjadi dalam
upaya untuk memastikan atau menjamin
kelangsungan bisnis (business
continuity), meminimalisasi resiko bisnis (reduce business risk ) dan
memaksimalkan atau mempercepat
pengembalian investasi dan peluang
bisnis (ISO/IEC 27001, 2005).
Aspek Keamanan Informasi
meliputi ketiga hal, yaitu:Confidentiality, Integrity, dan
Availability (CIA).
1. Confidentiality: Keamanan Informasi
seharusnya menjamin bahwa hanya
mereka yang memiliki hak yang boleh
mengakses Informasi tertentu.
2. Integrity: Keamanan Informasi
seharusnya menjamin kelengkapan
Informasi dan menjaga dari korupsi,
kerusakan, atau ancaman lain yangmenyebabkannya berubah Informasi
dari aslinya.
3. Availability: Keamanan Informasi
seharusnya menjamin pengguna dapat
mengakses Informasi kapanpun tanpa
adanya gangguan dan tidak dalam
format yang bisa digunakan. Pengguna,
dalam hal ini bisa jadi manusia, atau
komputer yang tentunya dalam hal inimemiliki otorisasi untuk mengakses
Informasi.
2.4 ISO 27002:2005
International Standards
Organization (ISO) mengelompokkan
standar keamanan informasi yang
umum dikenali secara internasional ke
dalam struktur penomoran yang standar
yakni ISO 17799. ISO/IEC 17799 tahun
2005, resmi dipublikasikan pada tanggal15 Juni 2005. Pada tanggal 1 Juli 2007,
nama itu secara resmi diubah menjadiISO/IEC 27002 tahun 2005. Konten
tersebut masih persis sama. Standar
ISO/IEC 17799: 2005 (sekarang dikenal
sebagai ISO/IEC 27002: 2005)
dikembangkan oleh IT Security
Subcommittee dan Technical Committee
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 4/13
4
on Information Technology (ISO/IEC
27002, 2005).
ISO 27002: 2005 berisi panduan yang
menjelaskan contoh penerapan
keamanan informasi dengan
menggunakan bentuk-bentuk kontrol
tertentu agar mencapai sasaran kontrolyang ditetapkan. Bentuk-bentuk kontrol
yang disajikan seluruhnya menyangkut
11 area pengamanan sebagaimana
ditetapkan didalam ISO/IEC 27001.
Sarno dan Iffano (2009: 187)
mengatakan kontrol keamanan
berdasarkan ISO/IEC 27001 terdiri dari
11 klausul kontrol keamanan (security
control clauses), 39 objektif kontrol
(control objectives) dan 133 kontrol
keamanan/ kontrol (controls).
Gambar 2.1 ISO 27000 series
2.5 Tingkat Kematangan (Maturity
Level)
IT Governance Institute (2007: 17)
mendefinisikan tingkat kedewasaan
merupakan model yang digunakanuntuk mengendalikan proses teknologi
informasi yang terdiri dari
pengembangan suatu metode penilaian
sehingga suatu organisasi dapat
mengukur dirinya sendiri.
Menurut DISC Infosec (2009) salah
satu cara untuk mencapai kontrol
keamanan informasi yang optimal
adalah menilai keamanan informasi
organisasi berdasarkan ISO 27002 dan
memetakan setiap kontrol keamanan
dengan Capability Maturity Model
Integration (CMMI). CMMI memiliki
lima tingkat tingkat kematangan prosesyang dapat dilihat pada Gambar 2.2
Gambar 2.2 Maturity Level
Penilaian maturity level dilakukan
menggunakan lima tingkatan proses
rangkaian kesatuan kedewasaan berdasarkan
metodologi CMMI. Pendekatan CMMI
digunakan sebagai patokan untuk
perbandingan dan berperan sebagai alat
bantu untuk memahami tingkah laku, praktek, dan proses-proses dalam organisasi.
Lima tingkatan kerangka kesatuan CMM
adalah sebagai berikut.
a. Level 0 (non-existent ): Tidak ada kontrol
sama sekali.
b. Level 1 (initial): Pada level ini, organisasi
memiliki pendekatan yang tidak konsisten,
kontrol keamanan dilakukan secara
informal. Informal berarti tidak ada
dokumentasi, tidak ada standar.
c. Level 2 (limited/repeatable): Pada levelini, kontrol keamanan masih dalam
pengembangan dan/atau ada dokumentasi
terbatas untuk mendukung kebutuhan.
d. Level 3 (defined ): Pada level ini, kontrol
keamanan telah didokumentasikan rinci dan
dikomunikasikan melalui pelatihan, tetapi
tidak ada pengukuran kepatuhan.
e. Level 4 (managed ): Pada level ini,
terdapat pengukuran efektivitas kontrol
keamanan, tetapi tidak ada bukti dari setiap
ulasan kepatuhan dan/atau kontrol
memerlukan perbaikan lebih lanjut untukmencapai tingkat kepatuhan yang
diperlukan.
f. Level 5 (optimized ): Pada level ini, kontrol
keamanan telah disempurnakan hingga
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 5/13
5
sesuai dengan ISO 27002 berdasarkan pada
kepemimpinan yang efektif, manajemen
perubahan, perbaikan berkelanjutan, dan
komunikasi internal.
3. METODOLOGI PENELITIAN
3.1 Analisa
3.1.1 Langkah – langkah analisa
keamanan sistem informasi elearning
STIKI MalangDalam menganalisa keamanan sistem
informasi berdasarkan ISO 27001-27005
terdapat beberapa langkah yang harus
dilakukan yang dijelaskan pada gambar 3.1
Gambar 3.1 Langkah-langkah analisa
keamanan
3.1.1.1.1 Perencanaan dan Persiapan
Audit Sistem InformasiTahap perencanaan dan persiapan
ini adalah tahap awal yang dilakukan pada
proses audit. Langkah ini dilakukan untuk
memastikan bahwa pihak perusahaan yang
akan diaudit telah memberikan kewenangan
dan mempersiapkan segala sesuatu demi
kelancaran pelaksanaan audit yang akan
dilakukan. Pada tahap ini langkah-langkah
yang dilakukan yaitu:
1. Melakukan identifikasi proses bisnis danTI,
2. Mengidentifikasi ruang lingkup dan
tujuan audit,
3. Menentukan metode,
4. Menentukan auditee,
5. Menyusun jadwal audit (audit working
plan), dan
6. Membuat pertanyaan.
3.1.1.1.2 Pelaksanaan Audit Sistem
Informasi
Pelaksanaan audit keamanan sisteminformasi ini menggunakan jenis audit
kepatutan atau audit kesesuaian. Menurut
Sarno dan Iffano (2009: 172) audit kepatutan
yang dilaksanakan untuk tujuan dalam
menegaskan apakah kontrol-kontrol
keamanan yang ditentukan telah
diimplementasi, dipelihara, memenuhi syarat
pada panduan implementasi dan berjalan
sesuai dengan yang diharapkan Pada tahap
ini langkah-langkah yang dilakukan yaitu:
1. Melakukan wawancara,
2. Melakukan pemeriksaan,
3. Melakukan dokumentasi (data dan bukti),
4. Melakukan uji kematangan, dan5. Menyusun daftar temuan dan
rekomendasi.
Tahap ini akan menghasilkan
dokumen wawancara, temuan dan bukti,
nilai kematangan, dan rekomendasi.
4. HASIL DAN PEMBAHASAN
4.1 Hasil Perencanaan dan Persiapan
Audit Sistem InformasiTahap perencanaan dan persiapan ini
adalah tahap awal yang dilakukan pada
proses audit. Langkah ini dilakukan untuk
memastikan bahwa pihak STIKI Malang
yang akan diaudit telah memberikankewenangan dan mempersiapkan segala
sesuatu demi kelancaran pelaksanaan audit
yang akan dilakukan
4.1.1 Hasil Identifikasi Proses Bisnis dan
TIDari hasil identifikasi proses bisnis
dan TI yang telah dilakukan maka diperoleh
gambaran umum perusahaan mulai dari
profil perguruan tinggi , struktur organisasi,
serta gambaran umum lingkungan TI yang
ada.1. Profil Perguruan tinggi
Sekolah Tinggi Informatika &
Komputer Indonesia (STIKI) merupakan
lembaga pendidikan tinggi yang
memfokuskan diri pada bidang informatika.STIKI merupakan salah satu perguruan
tinggi di Kota Malang, yang bertugas
Perencanaan dan Persiapan Audit
Pelaporan Audit SI
1. Penyusunan draft laporan
2. Persetujuan draft laporan
3. Pelaporan hasil audit SI
Studi Literatur:
- Panduan
Implementasi ISO
27002
Model kedewasaan
Sistem Manajemen
Keamanan Informasi
(SMKI)
Pelaksanaan Audit SI:
1. Melakukan wawancara
2. Melakukan pemeriksaan
3. Melakukan dokumentasi
(data dan bukti)
4. Melakukan uji kematangan
5. Menyusun daftar temuan
dan rekomendasi
Perencanaan Audit SI:
1. Mengidentifikasi proses
bisnis dan TI2. Mengidentifikasi ruang
lingkup dan tujuan audit3. Menentukan metode dan
membuat proposal ke
perusahaan
Studi Literatur:
- Studi ISO 27002- Keamanan Sistem
Informasi
Wawancara Awal
Persiapan Audit SI:
4. Menentukan auditee
5. Menyusun jadwal audit
(audit working plan)
6. Membuat pernyataan7. Melakukan pembobotan
8. Membuat pertanyaan
Studi Literatur:
- Panduan
Implementasi ISO
27002
- Penilaian Resiko
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 6/13
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 7/13
7
- Melaksanakan perbaikan Perangkat
Jaringan berdasarkan keluhan
- Membantu merencanakan
pengembangan jaringan
- Membantu menambahkan useraccount E-mail
-Menangani Instalasi dan PerbaikanServer WEB
- Menangani Instalasi dan Perbaikan
Server Domain
- Menangani Instalasi dan Perbaikan
Server Mail Server
- Menangani Instalasi dan Perbaikan
Server Proxy Server
- Menangani Instalasi dan Perbaikan
Server Router
- Menangani Instalasi dan Perbaikan
Hotspot
- Membantu melaksanakan perbaikan
perangkat jaringan berdasarkan
keluhan- Membantu instalasi perangkat keras
Jaringan
- Melakukan pengecekan Server-
Server
- Membantu melaksanakan
pendidikan dan pelatihan computer
- Melaksanakan tugas lain yang
diberikan oleh atasan
e. Sistem Informasi
- Melakukan Update Informasi
Penerimaan mhs baru ke Web Site
Resmi STIKI Malang- Melakukan Update Informasi Berita
STIKI ke Website
- Membantu memasukan informasi
masing masing Prodi dan Unit kerja
STIKI ke Web Site STIKI Malang
- Membantu merencanakan
pengembangan jaringan
- Membantu melaksanakan
pendidikan dan pelatihan komputer
- Membantu membuat aplikasidatabase sesuai kebutuhan unit lain
dilingkungan STIKI Malang
- Memberi pelatihan aplikasi
database sesuai kebutuhan unit lain- Melaksanakan tugas lain yang
diberikan oleh atasan
4.1.2 Hasil Identifikasi Ruang Lingkup
dan Tujuan Audit
Setelah dilakukan observasi maka hasil
yang diperoleh adalah penetapan ruang
lingkup audit yaitu keamanan sistem
informasi dan standar yang digunakanadalah ISO 27002. Dari tahap identifikasi ini
dihasilkan juga pemetaan klausul, objektif
kontrol, dan kontrol keamanan yang telah
disepakati oleh STIKI Malang . Klausul
yang digunakan adalah Klausul 11 tentangKontrol Akses kecuali bagian teleworking,
Klausul 12 tentang Akuisisi Sistem
Informasi, Pembangunan, dan Pemeliharaan,
serta Klausul 13 tentang Manajemen
Kejadian Keamanan Informasi. Klausul,
objektif kontrol, dan kontrol keamanan yang
tidak digunakan dapat dilihat pada Tabel 4.1
sedangkan klausul, objektif kontrol, dan
kontrol keamanan yang digunakan dapatdilihat pada Tabel 4.2.
Tabel 4.1 Klausul, objektif kontrol, dan
kontrol keamanan yang tidak digunakan
KlausulKontrol
KeamananAlasan
12
Perolehan,Perkembanga
n , dan
Pemeliharaan
Sistem
Informasi
12.5.5
Pembangunan software
yang di-
outsource-
kan
Kontrol
keamanan12.5.5 tidak
digunakan
karena
perusahaan
tidakmelakukan
outsource
pembanguna
n software.
Tabel 4.2 Klausul, objektif kontrol, dankontrol keamanan yang digunakan
N
o.
Klausul Objektif
Kontrol
Kontrol
Keamana
n
1. 11. AksesKontrol 11.1Kebutuhan
bisnis pada
kontrol akses
11.1.1Kebijaka
n kontrol
akses
11.2
Manajemen
akses user
11.2.1
Registrasi
user
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 8/13
8
11.2.2
Manajem
en hak
istimewa
atau
khusus
11.2.3Manajem
en
password
user
11.2.4
Tinjauan
terhadap
hak akses
user
11.3
Tanggung
jawab user
11.3.1
Pengguna
an
password
11.3.2Peralatan
user yang
tidak
dalam
pengawas
an
11.3.3
Kebijaka
n clear
desk dan
clear
screen
11.4 Kontrolakses
jaringan
11.4.1Kebijaka
n pada
pengguna
an
layanan
jaringan
11.4.2
Otentikas
i pengguna
untuk
melakuka
n koneksi
keluar 11.4.3
Identifika
si
peralatan
dalam
jaringan
11.4.4
Perlindun
gan
remote
diagnosti
c dan
konfigurasi port
11.4.5
Pembagian
jaringan
11.4.6
Kontrol
terhadap
koneksi
jaringan
11.4.7
Kontrol
terhadap
routing jaringan
11.5 Kontrol
akses sistemoperasi
11.5.1
Prosedur
log-on
yang
aman
11.5.2
Identifika
si dan
otentifika
si user
11.5.3
Manajem
en password
11.5.4
Pengguna
an utilitas
sistem
11.5.5
Sesi time-
out
11.5.6
Batasan
waktu
koneksi
11.6 Kontrol
akses
informasi
dan aplikasi
11.6.1
Pembatasan akses
informasi
11.6.2
Isolasi
sistem
yang
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 9/13
9
sensitif
11.7
Komputasi
bergerak danteleworking
11.7.1
Mobile
computin
g dan
komunika
si11.7.2
Teleworki
ng
2. 12
Perolehan,
perkemba
ngan, dan
pemelihar
an sistem
informasi
12.1
Persyaratan
keamanan
pada sistem
informasi
12.1.1
Analisis
dan
spesifikas
i
persyarat
an
keamana
n
12.2Pemrosesan
yang benar
dalam
aplikasi
12.2.1Validasi
data input
12.2.2
Kontrol
untuk
pengolah
an
internal
12.2.3
Integritas
pesan
12.2.4
Validasi
dataoutput
12.3 Kontrol
Kriptografi
12.3.1
Kebijaka
n dalam
pengguna
an
kontrol
kriptograf
i
12.3.2
Manajem
en kunci
12.4
Keamanan file sistem
12.4.1
Pengendalian
operasion
al pada
perangkat
lunak
12.4.2
Perlindun
gan data
pengujian
sistem
12.4.3
Kontrol
akses kesource
code
program
12.5
Keamanan
dalam proses
pengembang
an dan
proses
pendukung
12.5.1Ko
ntrol
pada
prosedur
update
12.5.2
Tinjauan
teknis
pada
aplikasi
setelahdilakukan
perubaha
n sistem
operasi
12.5.3
Pembatas
an
perubaha
n paket-
paket
software
12.5.4
Kebocora
ninformasi
12.6
Manajemen
teknik
kerentanan
(vulnerabilit
y)
12.6.1
Kontrol
terhadap
kerentana
n secara
teknis
3. 13
Manajemen Insiden
Keamanan
Informasi
13.1
Pelaporankejadian dan
kelemahan
keamanan
informasi
13.1.1
Pelaporankejadian
keamana
n
informasi
13.1.2Pelaporan
kelemaha
n
keamana
n
13.2 13.2.1
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 10/13
10
Manajemen
kejadian
keamanan
informasi
dan
pengembang
annya
Tanggun
g jawab
dan
prosedur
13.2.2
Belajar
darikejadian
keamana
ninformasi
13.2.3
Pengump
ulan
bukti
4.1.3 Hasil Penentuan MetodePada audit keamanan sistem
informasi elearning di STIKI Malang ini
menggunakan metode audit kepatutan
dengan acuan ISO 27002 sebagai pedomannya serta melakukan wawancara,
observasi, dan pemeriksaan sebagai teknik
pelaksanaan audit.
4.1.4 Hasil Penentuan Auditee
Penentuan auditee pada audit sistem
informasi ini ditujukan pada bagian
PUSKOM , karena PUSKOM STIKI
Malang merupakan divisi berwenang dalam
hal pembuatan, pengembangan dan
pemeliharaan sistem informasi. Dalam
PUSKOM STIKI Malang , divisi Jaringan
dan Sistem Informasi adalah pihak yang
menjadi auditee dalam audit ini. Karenadivisi jaringan dan sistem informasi
memiliki tugas dan kewajiban akan
pembuatan, pengembangan dan
pemeliharaan sistem informasi.
4.1.5 Hasil Penentuan Jadwal Audit
( Audit Working Plan)Hasil dari proses penyusunan audit
working plan berupa tabel yang berisi
tentang aktifitas yang dilakukan selama
audit berlangsung. Pelaksanaan audit
keamanan sistem informasi dilakukan secara
bertahap sesuai dengan jadwal yang dapat
dilihat pada Tabel 4.3
Tabel 4.3 Jadwal Audit
No Kegiatan Pelaksanaan
1 Studi Literatur Mulai Mei hingga
Agustus 2014
2Penentuan
Ruang Lingkup
Selama bulan Mei
2014
3. Pengumpulan
bukti:
Peninjauan
stuktur
organisasi
Minggu ketiga
bulan Mei 2014
Peninjauan
kebijakan
dan
prosedur
dengan TI
Minggu kedua
bulan Juni 2014
Peninjauan
standar
yang terkait
dengan TI
Minggu ketiga
bulan Juni 2014
Peninjauan
dokumentas
i dan
pengelolaan
SI/TI
Minggu
pertama bulan
Juli 2014
Wawancara
1. Tanggal 3 Juli
2014
2. Tanggal 20 Juli2014
4.
Penentuan
tingkat
kematangan
Minggu kedua dan
ketiga bulan Juli
2014
5.Penentuan hasil
audit
Minggu keempat
bulan Juli 2014
6.Penyusunan
laporan audit
Minggu kedua
Agustus 2014
4.1.6 Hasil Pembuatan PertanyaanHasil dari proses pembuatan
pertanyaan ini adalah tabel yang berisi
pertanyaan sesuai dengan klausul yang telahdisepakati. Pertanyaan yang telah dibuat
akan diperlukan dan mendukung saat
wawancara. Pertanyaan yang telah dibuat
dapat dilihat pada Tabel 4.4 dan
selengkapnya pada Lampiran 1 Tabel Daftar
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 11/13
11
Pertanyaan berdasakan Klausul yang
disetujui.
Tabel 4.4 Hasil Pertanyaan yang digunakan
pada Klausul yang ditetapkan
Klausul 11Kontrol Akses
No. Objektif
Kontrol
Pertanyaan
11.1
Kebijakan
pada
kontrol
akses
a. Apakah di dalam
sistem informasi
elearning terdapat
kebijakan kontrol akses
?
b. Apakah di dalam
sistem informasi
elearning terdapat fitur
keamanan?
c. Apakah di dalam
sistem informasi
elearning terdapat
kebijakan penghapusan
hak akses?d. Apakah di dalam
sistem informasi
elearning terdapat
pemisahan hak akses ?
11.2
Manajemen
akses user
a. Apakah di dalam
sistem informasi
elearning terdapat
kebijakan untuk
manajemen user dan
password ?
b. Apakah di dalam
sistem informasi
elearning terdapat
syarat dalam penentuanusername dan password
dalam sistem informasi
elearning?
c. Apakah di dalam
sistem informasi
elearning terdapat
proses authorization?
d. Apakah di dalam
sistem informasi
elearning terdapat
manajemen hak akses
untuk user?
Dan sebagainya
4.2 Hasil Pelaksanaan Audit Keamanan
Sistem Informasi
4.2.1 Hasil WawancaraSetelah dilakukan 2 kali proses
wawancara yaitu pada tanggal 3 Juli 2014
dan tanggal 20 Juli 2014 dengan staff
jaringan sekaligus moderator dari sistem
informasi elearning .Ada pun berita acara
yang dihasilkan seperti pada tabel 4.5 dan
hasil wawancara yang lengkap pada
Lampiran 2 Tabel Hasil Wawancara.
Tabel 4.6 Hasil Wawancara yang telah
dilakukanKlausul 11Kontrol Akses
No
.
Objektif
Kontrol
Pertanyaan Y
a
Tida
k
11.1
Kebijaka
n pada
kontrol
akses
a. Apakah
di dalam
sistem
informasi
elearning
terdapat
kebijakan
kontrol
akses ?
b. Apakah
di dalamsistem
informasi
elearning
terdapat
fitur
keamanan?
c. Apakahdi dalam
sistem
informasi
elearning
terdapat
kebijakan
penghapusan hak
akses?
d. Apakah
di dalam
sistem
informasi
elearning
terdapat
pemisahan
hak akses ?
Y
a
Y
a
Y
a
Y
a
Dan sebagainya
4.2.4 Hasil Pelaksanaan Uji Kematangan
Berdasarkan analisa dariwawancara dengan auditee, pemeriksaan,
dan pengumpulan bukti , maka diperoleh
hasil uji kepatutan dari tingkat kematanganuntuk masing-masing kontrol.
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 12/13
12
a. Hasil Maturity Level Klausul 11
Persyaratan Bisnis untuk Kontrol Akses
Hasil dari proses perhitungan maturity level
pada klausul 11 persyaratan bisnis untuk
kontrol akses adalah 1.21 yaitu initial. Hasil
tersebut menunjukkan bahwa proses
persyaratan bisnis untuk kontrol aksesdilakukan secara tidak konsisten dan
informal. . b. Hasil Maturity Level Klausul 12
Perolehan, perkembangan , dan
pemeliharaan sistem informasi.
Hasil dari proses perhitungan
maturity level pada 12 Perolehan,
Perkembangan, dan Pemeliharaan Sistem
Informasi adalah 1.23 yaitu initial. Hasil
tersebut menunjukkan bahwa proses
perolehan, perkembangan, dan pemeliharaan
Sistem Informasi yang ada dilakukan secara
tidak konsisten dan informal.
c. Hasil Maturity Level Klausul 13Manajemen Kejadian Keamanan Informasi
Hasil dari proses perhitungan
maturity level pada 13 manajemen kejadian
keamanan informasi adalah 0.50 yaitu non-
existent . Hasil tersebut menunjukkan bahwa
proses manajemen kejadian keamanan
informasi yang ada pada STIKI Malang
beberapa belum memiliki kontrol sama
sekali. Hal ini disebabkan belum adanya
dokumen yang mengatur akan langkah-
langkah penangananya serta belum pernah
ada kasus yang berhubungan dengan
keamanan informasi.
4.3 Hasil Pelaporan Audit SistemInformasiDari hasil audit sistem informasi e-
learning pada STIKI Malang yang telah
dilakukan , maka didapatkan kesimpulan
sebagai berikut :
1. Perencanaan audit keamanan sistem
informasi e-learning STIKI Malang telah
dilakukan dengan standar, dimulai dengan
melakukan perencanaan dan persiapan,
pelaksanaan hingga pelaporan audit.
2. Terdapat beberapa kebijakan dan
prosedur yang belum ada dokumentasinya
bahkan ada beberapa tindakan yang
dilakukan berdasarkan spontanitas dan tanpaada aturan baku yang bersifat formal.
3. Sistem informasi e-learning yang
digunakan merupakan opensource yang bisa
diunduh siapapun. Dan dalam
implementasinya, beberapa fitur yang
menunjang keamanan dalam sistem
informasi sudah tersedia sehingga cukup
memberi kemudahan dalam konfigurasi
keamanan.
4. Terdapat adanya gangguan keamanan
informasi pada sistem informasi elearning
dari segi sistem informasi dan aplikasi
pendukung. Berikut ini gangguan keamananyang berhasil didapatkan :
5. Gangguan Packet Sniffing
Dikarenakan pada sistem informasi
elearning masih menggunakan protocol
HTTP , Maka data-data yang lewat pada
jaringan bisa dicuri atau namanya lainnya
packet sniffing.
5. SIMPULANDari hasil audit keamanan sistem
informasi yang telah dilakukan, maka
didapatkan kesimpulan sebagai berikut:
1. Perancangan audit keamanan sistem
informasi e-learning pada STIKI Malang berdasarkan standar ISO 27002 yang
dilakukan pada Klausul 11 hingga Klausul
13, pengumpulan data, dam langkah-langkah
pelaksanaan audit hingga pelaporan hasil
audit keamanan sistem informasi telah
berhasil dilakukan.
2. Hasil audit pada sistem informasi
elearning yang menggunakan 3 klausul ISO
27002 belum bisa mewakili keseluruhan ISO
seri 27000. Akan tetapi dari 3 klausul yang
digunakan bisa dihasilkan rancangan atau
solusi dalam menangani permasalahan yang
timbul.6. Saran
Saran yang dapat diberikan bagi
pengembangan yang berkaitan dengan
pencapaian hasil yang optimal dari audit
keamanan sistem sistem informasi ini
sebagai berikut:
1. Diharapkan STIKI Malang dapat
melakukan perbaikan manajemen keamanan
sistem informasi, aturan, dan prosedur
keamanan sistem informasi agar ancaman-
ancaman terkait keamanan informasi dapat
diminimalisir.
2. Diharapkan bagi pengembang dapatmelakukan tata kelola keamanan sistem
informasi dan audit keamanan sistem
informasi kembali dengan menggunakan
keseluruhan klausul dan kontrol keamanan
ISO 27002 setelah pihak perusahaan
7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang
http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 13/13