Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang

7/24/2019 Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang

http://slidepdf.com/reader/full/analisis-keamanan-sistem-informasi-e-learning-berbasis-web-di-stiki-malang 1/13

ANALISIS KEAMANAN SISTEM INFORMASI

ELEARNING BERBASIS WEB DI STIKI MALANGDicky Christian Djumiran

1)

1)Program Studi Teknik Informatika, Sekolah Tinggi Informatika & Komputer Indonesia (STIKI)

Malang

Email: [email protected]

ABSTRAK

Sistem pembelajaran elektronikatau e-pembelajaran (Inggris: Electronic

learning disingkat E-learning) adalah cara

baru dalam proses belajar mengajar. E-learning merupakan dasar dan konsekuensi

logis dari perkembangan teknologi

informasi dan komunikasi. Dengan e-

learning, peserta ajar (learner atau murid)

tidak perlu duduk dengan manis di

ruang kelas untuk menyimak setiap ucapan

dari seorang guru secara langsung. E-

learning juga dapat mempersingkat jadwal

target waktu pembelajaran, dan tentu saja

menghemat biaya yang harus dikeluarkan

oleh sebuah program studi atau program

pendidikan.

Seperti sebagaimana yang

disebutkan di atas, e-learning telah

mempersingkat waktu pembelajaran dan

membuat biaya studi lebih ekonomis. E-

learning mempermudah interaksi antara

peserta didik dengan bahan/materi, peserta

didik dengan dosen/guru/instruktur maupun

sesama peserta didik. Peserta didik dapat

saling berbagi informasi dan dapat

mengakses bahan-bahan belajar setiap saat

dan berulang-ulang, dengan kondisi yang

demikian itu peserta didik dapat lebih

memantapkan penguasaannya terhadapmateri pembelajaran.

Dalam e-learning, faktor kehadiran

guru atau pengajar otomatis menjadi

berkurang atau bahkan tidak ada. Hal ini

disebabkan karena yang mengambil peran

guru adalah komputer dan panduan-

panduan elektronik yang dirancang oleh

"contents writer", designer e-learning

dan pemrogram komputer

Kata Kunci : Kata Kunci : E-Learning,

Sistem Informasi

1 PENDAHULUAN

1.1 Latar BelakangSTIKI Malang adalah sebuah

perguruan tinggi komputer yang berada

di kota Malang sejak tahun 1985.

Seiring berjalannya waktu, STIKI

Malang telah menghasilkan beberapa

sistem informasi yang digunakan untuk

menunjang aktivitas Akademik maupun

non Akademik.

Sistem informasi yang ada di STIKIMalang bermacam-macam jenisnya

sesuai dengan kebutuhan tiap-tiap divisi

yang ada. Salah satunya adalah SistemInformasi Akademik (SIA). Sistem

Informasi Akademik di STIKI Malang

memiliki beberapa layanan antara lain :

perwalian.stiki.ac.id, ebelajar.stiki.ac.id,

komunitas.stiki.ac.id, dan

perpustakaan.stiki.ac.id. Setiap situs

yang ada memiliki fungsi masing-

masing. Contohnya situs

ebelajar.stiki.ac.id yang berfungsi

menunjang proses belajar mengajar di

kampus STIKI Malang.

Sistem elearning yang bersifat online m

emudahkan sivitas akademika untuk

mengakses informasi berkaitan dengan

kebutuhan akademis. Informasi dapat

diakses dari komputer mana saja yang

tersambung dengan jaringan kampusatau internet dengan memasukkan user

dan password yang dimiliki.

Rahardjo (2005: 1) menyatakan

bahwa masalah keamanan merupakan

salah satu aspek penting dari sebuah

sistem informasi. Terjadinya masalah

keamanan dapat menimbulkan kerugian

bagi perusahaan misalnya kerugian

apabila sistem informasi tidak bekerja

selama kurun waktu tertentu, kerugian

apabila ada kesalahan data atau

informasi dan kehilangan data.

Sementara itu, selama penerapan sistem

elearning ini telah terjadi beberapa

permasalahan antara lain sering

ditemukan adanya celah yang bisa

dimanfaatkan. Sehingga tidak menutup

kemungkinan adanya pencurian

informasi. Selain itu, dikhawatirkan

dapat merambat pada terjadinya

penyalahgunaan informasi yang

merugikan STIKI dalam proses kegiatan

Akademik maupun non Akademik.Kendala lain yang ditemukan adalah

keerusakan peralatan sistem informasi

yang dapat menyebabkan hilangnya

data dan sistem yang sering hang. Di

samping itu, terjadi gangguan-gangguan

yang menyebabkan kekacauan antara



2

lain kerusakan data, file-file yang tidak

bisa dibuka, dan lain-lain.

Selama ini STIKI Malang belum

pernah melakukan analisa penyebab

terjadinya permasalahan tersebut dan

STIKI Malang tidak mengetahui sampai

di mana tingkat keamanan sisteminformasi yang milikinya. Oleh karena

itu STIKI Malang membutuhkan

evaluasi keamanan sistem informasi

untuk menjaga keamanan sistem

informasi yang dimilikinya. Evaluasi

keamanan sistem informasi dapat

dilakukan dengan audit keamanan

sistem informasi (Asmuni dan Firdaus,

2005: 23). Keamanan informasi

ditujukan untuk menjaga aspek

kerahasiaan (Confidentiality), keutuhan

( Integrity) dan ketersediaan

( Availability) dari Informasi (ISO/IEC

27002, 2005: 1).Dengan adanya audit keamanan

sistem informasi elearning pada STIKI

Malang dapat mengetahui kelemahan-

kelemahan sistem yang menjadi

penyebab permasalahan keamanan

informasi yang selama ini terjadi. Selain

itu audit ini dapat mengukur tingkat

keamanan sistem informasi elearning

yang dimiliki STIKI Malang. Audit ini

juga menghasilkan rekomendasi tentang perbaikan yang harus dilakukan untuk

meningkatkan keamanan informasi pada

perusahaan, serta menjadi pertimbangan

untuk memperoleh ISMS certification

dengan standar ISO 27002 pada masamendatang.

1.1 Rumusan MasalahBerdasarkan latar belakang yang

telah diuraikan sebelumnya, maka dapat

disimpulkan pokok permasalahan adalah

sebagai berikut :

1. Bagaimana membuat perencanaan audit


STIKI Malang berdasarkan standar ISO

seri 27000 ?

2. Bagaimana melaksanakan auditkeamanan sistem informasi elearning


seri 27000?

3. Bagaimana menyusun hasil audit



seri 27000?

4. Bagaimana memberikan solusi akan

permasalahan yang muncul dari hasil

audit?

2. TINJAUAN PUSTAKA

2.1 E-learning

Sistem pembelajaran elektronikatau e-pembelajaran adalah cara baru

dalam proses belajar mengajar. E-

learning merupakan dasar dan

konsekuensi logis dari

perkembangan teknologi

informasi dan komunikasi. Dengan e-

learning, peserta ajar (learner atau

murid) tidak perlu duduk dengan manis

di ruang kelas untuk menyimak setiap

ucapan dari seorang guru secara

langsung. E-learning juga dapat

mempersingkat jadwal target waktu

pembelajaran, dan tentu saja

menghemat biaya yang harusdikeluarkan oleh sebuah program

studi atau program pendidikan.

Seperti sebagaimana yang disebutkan

di atas, e-learning telah mempersingkat

waktu pembelajaran dan membuat biaya

studi lebih ekonomis. E-learning

mempermudah interaksi antara peserta

didik dengan bahan/materi, peserta

didik dengan dosen/guru/instruktur

maupun sesama peserta didik. Pesertadidik dapat saling berbagi informasi dan

dapat mengakses bahan-bahan belajar

setiap saat dan berulang-ulang, dengan

kondisi yang demikian itu peserta didikdapat lebih memantapkan

penguasaannya terhadap materi

pembelajaran.

2.2 Audit Sistem informasi

Audit Sistem Informasi adalah proses

pengumpulan dan pengevaluasian bukti

(evidence) untuk menentukan apakah

sistem informasi dapat melindungi aset,

serta apakah teknologi informasi yang

ada telah memelihara integritas data

sehingga keduanya dapat diarahkan

kepada pencapaian tujuan bisnis secara

efektif dengan menggunakan sumberdaya secara efektif (Weber, 1999).

Beberapa elemen utama tinjauan

penting dalam Audit Sistem Informasi

yaitu dapat diklasifikasikan sebagai

berikut.



3

1. Tinjauan terkait dengan fisik dan

lingkungan, yakni: hal-hal yang terkait

dengan keamanan fisik, suplai sumber

daya, temperatur, kontrol kelembaban

dan faktor lingkungan lain.

2. Tinjauan administrasi sistem, yaitumencakup tinjauan keamanan sistem

operasi, sistem manajemen database,

seluruh prosedur administrasi sistem

dan pelaksanaannya.

3. Tinjauan perangkat lunak. Perangkat

lunak yang dimaksud merupakan

aplikasi bisnis. Mencakup kontrol akses

dan otorisasi ke dalam sistem, validasi

dan penanganan kesalahan termasuk

pengecualian dalam sistem serta aliran proses bisnis dalam perangkat lunak

beserta kontrol secara manual dan

prosedur penggunaannya. Sebagaitambahan, tinjauan juga perlu dilakukan

terhadap siklus hidup pengembangan

sistem.

4. Tinjauan keamanan jaringan yang

mencakup tinjauan jaringan internal dan

eksternal yang terhubung dengan

sistem, batasan tingkat keamanan,

tinjauan terhadap firewall, daftar kontrol

akses router, port scanning serta

pendeteksian akan gangguan maupun

ancaman terhadap sistem.

5. Tinjauan kontinuitas bisnis dengan

memastikan ketersediaan prosedur

backup dan penyimpanan, dokumentasi

dari prosedur tersebut serta dokumentasi

pemulihan bencana/kontinuitas bisnis

yang dimiliki.

6. Tinjauan integritas data yang

bertujuan untuk memastikan ketelitian

data yang beroperasi sehingga

dilakukan verifikasi kecukupan kontrol

dan dampak dari kurangnya kontrol

yang ditetapkan.

Tahapan audit sistem informasi

dibagi menjadi 4 (empat) tahapan yaitu:

1. Tahap perencanaan audit, 2. Tahap persiapan audit, 3. Tahap pelaksanaan

audit, 4. Tahap pelaporan audit

(Hermawan, 2011).

2.3 Keamanan Informasi

Keamanan informasi adalah

penjagaan informasi dari seluruh

ancaman yang mungkin terjadi dalam

upaya untuk memastikan atau menjamin

kelangsungan bisnis (business

continuity), meminimalisasi resiko bisnis (reduce business risk ) dan

memaksimalkan atau mempercepat

pengembalian investasi dan peluang

bisnis (ISO/IEC 27001, 2005).

Aspek Keamanan Informasi

meliputi ketiga hal, yaitu:Confidentiality, Integrity, dan

Availability (CIA).

1. Confidentiality: Keamanan Informasi

seharusnya menjamin bahwa hanya

mereka yang memiliki hak yang boleh

mengakses Informasi tertentu.

2. Integrity: Keamanan Informasi

seharusnya menjamin kelengkapan

Informasi dan menjaga dari korupsi,

kerusakan, atau ancaman lain yangmenyebabkannya berubah Informasi

dari aslinya.

3. Availability: Keamanan Informasi

seharusnya menjamin pengguna dapat

mengakses Informasi kapanpun tanpa

adanya gangguan dan tidak dalam

format yang bisa digunakan. Pengguna,

dalam hal ini bisa jadi manusia, atau

komputer yang tentunya dalam hal inimemiliki otorisasi untuk mengakses

Informasi.

2.4 ISO 27002:2005

International Standards

Organization (ISO) mengelompokkan

standar keamanan informasi yang

umum dikenali secara internasional ke

dalam struktur penomoran yang standar

yakni ISO 17799. ISO/IEC 17799 tahun

2005, resmi dipublikasikan pada tanggal15 Juni 2005. Pada tanggal 1 Juli 2007,

nama itu secara resmi diubah menjadiISO/IEC 27002 tahun 2005. Konten

tersebut masih persis sama. Standar

ISO/IEC 17799: 2005 (sekarang dikenal

sebagai ISO/IEC 27002: 2005)

dikembangkan oleh IT Security

Subcommittee dan Technical Committee



4

on Information Technology (ISO/IEC

27002, 2005).

ISO 27002: 2005 berisi panduan yang

menjelaskan contoh penerapan

keamanan informasi dengan

menggunakan bentuk-bentuk kontrol

tertentu agar mencapai sasaran kontrolyang ditetapkan. Bentuk-bentuk kontrol

yang disajikan seluruhnya menyangkut

11 area pengamanan sebagaimana

ditetapkan didalam ISO/IEC 27001.

Sarno dan Iffano (2009: 187)

mengatakan kontrol keamanan

berdasarkan ISO/IEC 27001 terdiri dari

11 klausul kontrol keamanan (security

control clauses), 39 objektif kontrol

(control objectives) dan 133 kontrol

keamanan/ kontrol (controls).

Gambar 2.1 ISO 27000 series

2.5 Tingkat Kematangan (Maturity

Level)

IT Governance Institute (2007: 17)

mendefinisikan tingkat kedewasaan

merupakan model yang digunakanuntuk mengendalikan proses teknologi

informasi yang terdiri dari

pengembangan suatu metode penilaian

sehingga suatu organisasi dapat

mengukur dirinya sendiri.

Menurut DISC Infosec (2009) salah

satu cara untuk mencapai kontrol

keamanan informasi yang optimal

adalah menilai keamanan informasi

organisasi berdasarkan ISO 27002 dan

memetakan setiap kontrol keamanan

dengan Capability Maturity Model

Integration (CMMI). CMMI memiliki

lima tingkat tingkat kematangan prosesyang dapat dilihat pada Gambar 2.2

Gambar 2.2 Maturity Level

Penilaian maturity level dilakukan

menggunakan lima tingkatan proses

rangkaian kesatuan kedewasaan berdasarkan

metodologi CMMI. Pendekatan CMMI

digunakan sebagai patokan untuk

perbandingan dan berperan sebagai alat

bantu untuk memahami tingkah laku, praktek, dan proses-proses dalam organisasi.

Lima tingkatan kerangka kesatuan CMM

adalah sebagai berikut.

a. Level 0 (non-existent ): Tidak ada kontrol

sama sekali.

b. Level 1 (initial): Pada level ini, organisasi

memiliki pendekatan yang tidak konsisten,

kontrol keamanan dilakukan secara

informal. Informal berarti tidak ada

dokumentasi, tidak ada standar.

c. Level 2 (limited/repeatable): Pada levelini, kontrol keamanan masih dalam

pengembangan dan/atau ada dokumentasi

terbatas untuk mendukung kebutuhan.

d. Level 3 (defined ): Pada level ini, kontrol

keamanan telah didokumentasikan rinci dan

dikomunikasikan melalui pelatihan, tetapi

tidak ada pengukuran kepatuhan.

e. Level 4 (managed ): Pada level ini,

terdapat pengukuran efektivitas kontrol

keamanan, tetapi tidak ada bukti dari setiap

ulasan kepatuhan dan/atau kontrol

memerlukan perbaikan lebih lanjut untukmencapai tingkat kepatuhan yang

diperlukan.

f. Level 5 (optimized ): Pada level ini, kontrol

keamanan telah disempurnakan hingga



5

sesuai dengan ISO 27002 berdasarkan pada

kepemimpinan yang efektif, manajemen

perubahan, perbaikan berkelanjutan, dan

komunikasi internal.

3. METODOLOGI PENELITIAN

3.1 Analisa

3.1.1 Langkah – langkah analisa


STIKI MalangDalam menganalisa keamanan sistem

informasi berdasarkan ISO 27001-27005

terdapat beberapa langkah yang harus

dilakukan yang dijelaskan pada gambar 3.1

Gambar 3.1 Langkah-langkah analisa

keamanan

3.1.1.1.1 Perencanaan dan Persiapan

Audit Sistem InformasiTahap perencanaan dan persiapan

ini adalah tahap awal yang dilakukan pada

proses audit. Langkah ini dilakukan untuk

memastikan bahwa pihak perusahaan yang

akan diaudit telah memberikan kewenangan

dan mempersiapkan segala sesuatu demi

kelancaran pelaksanaan audit yang akan

dilakukan. Pada tahap ini langkah-langkah

yang dilakukan yaitu:

1. Melakukan identifikasi proses bisnis danTI,

2. Mengidentifikasi ruang lingkup dan

tujuan audit,

3. Menentukan metode,

4. Menentukan auditee,

5. Menyusun jadwal audit (audit working

plan), dan

6. Membuat pertanyaan.

3.1.1.1.2 Pelaksanaan Audit Sistem

Informasi

Pelaksanaan audit keamanan sisteminformasi ini menggunakan jenis audit

kepatutan atau audit kesesuaian. Menurut

Sarno dan Iffano (2009: 172) audit kepatutan

yang dilaksanakan untuk tujuan dalam

menegaskan apakah kontrol-kontrol

keamanan yang ditentukan telah

diimplementasi, dipelihara, memenuhi syarat

pada panduan implementasi dan berjalan

sesuai dengan yang diharapkan Pada tahap

ini langkah-langkah yang dilakukan yaitu:

1. Melakukan wawancara,

2. Melakukan pemeriksaan,

3. Melakukan dokumentasi (data dan bukti),

4. Melakukan uji kematangan, dan5. Menyusun daftar temuan dan

rekomendasi.

Tahap ini akan menghasilkan

dokumen wawancara, temuan dan bukti,

nilai kematangan, dan rekomendasi.

4. HASIL DAN PEMBAHASAN

4.1 Hasil Perencanaan dan Persiapan

Audit Sistem InformasiTahap perencanaan dan persiapan ini

adalah tahap awal yang dilakukan pada

proses audit. Langkah ini dilakukan untuk

memastikan bahwa pihak STIKI Malang

yang akan diaudit telah memberikankewenangan dan mempersiapkan segala

sesuatu demi kelancaran pelaksanaan audit

yang akan dilakukan

4.1.1 Hasil Identifikasi Proses Bisnis dan

TIDari hasil identifikasi proses bisnis

dan TI yang telah dilakukan maka diperoleh

gambaran umum perusahaan mulai dari

profil perguruan tinggi , struktur organisasi,

serta gambaran umum lingkungan TI yang

ada.1. Profil Perguruan tinggi

Sekolah Tinggi Informatika &

Komputer Indonesia (STIKI) merupakan

lembaga pendidikan tinggi yang

memfokuskan diri pada bidang informatika.STIKI merupakan salah satu perguruan

tinggi di Kota Malang, yang bertugas

Perencanaan dan Persiapan Audit

Pelaporan Audit SI

1. Penyusunan draft laporan

2. Persetujuan draft laporan

3. Pelaporan hasil audit SI

Studi Literatur:

- Panduan

Implementasi ISO

27002

Model kedewasaan

Sistem Manajemen

Keamanan Informasi

(SMKI)

Pelaksanaan Audit SI:

1. Melakukan wawancara

2. Melakukan pemeriksaan

3. Melakukan dokumentasi

(data dan bukti)

4. Melakukan uji kematangan

5. Menyusun daftar temuan

dan rekomendasi

Perencanaan Audit SI:

1. Mengidentifikasi proses

bisnis dan TI2. Mengidentifikasi ruang

lingkup dan tujuan audit3. Menentukan metode dan

membuat proposal ke

perusahaan

Studi Literatur:

- Studi ISO 27002- Keamanan Sistem

Informasi

Wawancara Awal

Persiapan Audit SI:

4. Menentukan auditee

5. Menyusun jadwal audit

(audit working plan)

6. Membuat pernyataan7. Melakukan pembobotan

8. Membuat pertanyaan

Studi Literatur:

- Panduan

Implementasi ISO

27002

- Penilaian Resiko



7

- Melaksanakan perbaikan Perangkat

Jaringan berdasarkan keluhan

- Membantu merencanakan

pengembangan jaringan

- Membantu menambahkan useraccount E-mail

-Menangani Instalasi dan PerbaikanServer WEB

- Menangani Instalasi dan Perbaikan

Server Domain


Server Mail Server


Server Proxy Server


Server Router


Hotspot

- Membantu melaksanakan perbaikan

perangkat jaringan berdasarkan

keluhan- Membantu instalasi perangkat keras

Jaringan

- Melakukan pengecekan Server-

Server

- Membantu melaksanakan

pendidikan dan pelatihan computer

- Melaksanakan tugas lain yang

diberikan oleh atasan

e. Sistem Informasi

- Melakukan Update Informasi

Penerimaan mhs baru ke Web Site

Resmi STIKI Malang- Melakukan Update Informasi Berita

STIKI ke Website

- Membantu memasukan informasi

masing masing Prodi dan Unit kerja

STIKI ke Web Site STIKI Malang

- Membantu merencanakan

pengembangan jaringan

- Membantu melaksanakan

pendidikan dan pelatihan komputer

- Membantu membuat aplikasidatabase sesuai kebutuhan unit lain

dilingkungan STIKI Malang

- Memberi pelatihan aplikasi

database sesuai kebutuhan unit lain- Melaksanakan tugas lain yang

diberikan oleh atasan

4.1.2 Hasil Identifikasi Ruang Lingkup

dan Tujuan Audit

Setelah dilakukan observasi maka hasil

yang diperoleh adalah penetapan ruang

lingkup audit yaitu keamanan sistem

informasi dan standar yang digunakanadalah ISO 27002. Dari tahap identifikasi ini

dihasilkan juga pemetaan klausul, objektif

kontrol, dan kontrol keamanan yang telah

disepakati oleh STIKI Malang . Klausul

yang digunakan adalah Klausul 11 tentangKontrol Akses kecuali bagian teleworking,

Klausul 12 tentang Akuisisi Sistem

Informasi, Pembangunan, dan Pemeliharaan,

serta Klausul 13 tentang Manajemen

Kejadian Keamanan Informasi. Klausul,

objektif kontrol, dan kontrol keamanan yang

tidak digunakan dapat dilihat pada Tabel 4.1

sedangkan klausul, objektif kontrol, dan

kontrol keamanan yang digunakan dapatdilihat pada Tabel 4.2.

Tabel 4.1 Klausul, objektif kontrol, dan

kontrol keamanan yang tidak digunakan

KlausulKontrol

KeamananAlasan

12

Perolehan,Perkembanga

n , dan

Pemeliharaan

Sistem

Informasi

12.5.5

Pembangunan software

yang di-

outsource-

kan

Kontrol

keamanan12.5.5 tidak

digunakan

karena

perusahaan

tidakmelakukan

outsource

pembanguna

n software.

Tabel 4.2 Klausul, objektif kontrol, dankontrol keamanan yang digunakan

N

o.

Klausul Objektif

Kontrol

Kontrol

Keamana

n

1. 11. AksesKontrol 11.1Kebutuhan

bisnis pada

kontrol akses

11.1.1Kebijaka

n kontrol

akses

11.2

Manajemen

akses user

11.2.1

Registrasi

user



8

11.2.2

Manajem

en hak

istimewa

atau

khusus

11.2.3Manajem

en

password

user

11.2.4

Tinjauan

terhadap

hak akses

user

11.3

Tanggung

jawab user

11.3.1

Pengguna

an

password

11.3.2Peralatan

user yang

tidak

dalam

pengawas

an

11.3.3

Kebijaka

n clear

desk dan

clear

screen

11.4 Kontrolakses

jaringan

11.4.1Kebijaka

n pada

pengguna

an

layanan

jaringan

11.4.2

Otentikas

i pengguna

untuk

melakuka

n koneksi

keluar 11.4.3

Identifika

si

peralatan

dalam

jaringan

11.4.4

Perlindun

gan

remote

diagnosti

c dan

konfigurasi port

11.4.5

Pembagian

jaringan

11.4.6

Kontrol

terhadap

koneksi

jaringan

11.4.7

Kontrol

terhadap

routing jaringan

11.5 Kontrol

akses sistemoperasi

11.5.1

Prosedur

log-on

yang

aman

11.5.2

Identifika

si dan

otentifika

si user

11.5.3

Manajem

en password

11.5.4

Pengguna

an utilitas

sistem

11.5.5

Sesi time-

out

11.5.6

Batasan

waktu

koneksi

11.6 Kontrol

akses

informasi

dan aplikasi

11.6.1

Pembatasan akses

informasi

11.6.2

Isolasi

sistem

yang



9

sensitif

11.7

Komputasi

bergerak danteleworking

11.7.1

Mobile

computin

g dan

komunika

si11.7.2

Teleworki

ng

2. 12

Perolehan,

perkemba

ngan, dan

pemelihar

an sistem

informasi

12.1

Persyaratan

keamanan

pada sistem

informasi

12.1.1

Analisis

dan

spesifikas

i

persyarat

an

keamana

n

12.2Pemrosesan

yang benar

dalam

aplikasi

12.2.1Validasi

data input

12.2.2

Kontrol

untuk

pengolah

an

internal

12.2.3

Integritas

pesan

12.2.4

Validasi

dataoutput

12.3 Kontrol

Kriptografi

12.3.1

Kebijaka

n dalam

pengguna

an

kontrol

kriptograf

i

12.3.2

Manajem

en kunci

12.4

Keamanan file sistem

12.4.1

Pengendalian

operasion

al pada

perangkat

lunak

12.4.2

Perlindun

gan data

pengujian

sistem

12.4.3

Kontrol

akses kesource

code

program

12.5

Keamanan

dalam proses

pengembang

an dan

proses

pendukung

12.5.1Ko

ntrol

pada

prosedur

update

12.5.2

Tinjauan

teknis

pada

aplikasi

setelahdilakukan

perubaha

n sistem

operasi

12.5.3

Pembatas

an

perubaha

n paket-

paket

software

12.5.4

Kebocora

ninformasi

12.6

Manajemen

teknik

kerentanan

(vulnerabilit

y)

12.6.1

Kontrol

terhadap

kerentana

n secara

teknis

3. 13

Manajemen Insiden

Keamanan

Informasi

13.1

Pelaporankejadian dan

kelemahan

keamanan

informasi

13.1.1

Pelaporankejadian

keamana

n

informasi

13.1.2Pelaporan

kelemaha

n

keamana

n

13.2 13.2.1



10

Manajemen

kejadian

keamanan

informasi

dan

pengembang

annya

Tanggun

g jawab

dan

prosedur

13.2.2

Belajar

darikejadian

keamana

ninformasi

13.2.3

Pengump

ulan

bukti

4.1.3 Hasil Penentuan MetodePada audit keamanan sistem

informasi elearning di STIKI Malang ini

menggunakan metode audit kepatutan

dengan acuan ISO 27002 sebagai pedomannya serta melakukan wawancara,

observasi, dan pemeriksaan sebagai teknik

pelaksanaan audit.

4.1.4 Hasil Penentuan Auditee

Penentuan auditee pada audit sistem

informasi ini ditujukan pada bagian

PUSKOM , karena PUSKOM STIKI

Malang merupakan divisi berwenang dalam

hal pembuatan, pengembangan dan

pemeliharaan sistem informasi. Dalam

PUSKOM STIKI Malang , divisi Jaringan

dan Sistem Informasi adalah pihak yang

menjadi auditee dalam audit ini. Karenadivisi jaringan dan sistem informasi

memiliki tugas dan kewajiban akan

pembuatan, pengembangan dan

pemeliharaan sistem informasi.

4.1.5 Hasil Penentuan Jadwal Audit

( Audit Working Plan)Hasil dari proses penyusunan audit

working plan berupa tabel yang berisi

tentang aktifitas yang dilakukan selama

audit berlangsung. Pelaksanaan audit

keamanan sistem informasi dilakukan secara

bertahap sesuai dengan jadwal yang dapat

dilihat pada Tabel 4.3

Tabel 4.3 Jadwal Audit

No Kegiatan Pelaksanaan

1 Studi Literatur Mulai Mei hingga

Agustus 2014

2Penentuan

Ruang Lingkup

Selama bulan Mei

2014

3. Pengumpulan

bukti:

Peninjauan

stuktur

organisasi

Minggu ketiga

bulan Mei 2014

Peninjauan

kebijakan

dan

prosedur

dengan TI

Minggu kedua

bulan Juni 2014

Peninjauan

standar

yang terkait

dengan TI

Minggu ketiga

bulan Juni 2014

Peninjauan

dokumentas

i dan

pengelolaan

SI/TI

Minggu

pertama bulan

Juli 2014

Wawancara

1. Tanggal 3 Juli

2014

2. Tanggal 20 Juli2014

4.

Penentuan

tingkat

kematangan

Minggu kedua dan

ketiga bulan Juli

2014

5.Penentuan hasil

audit

Minggu keempat

bulan Juli 2014

6.Penyusunan

laporan audit

Minggu kedua

Agustus 2014

4.1.6 Hasil Pembuatan PertanyaanHasil dari proses pembuatan

pertanyaan ini adalah tabel yang berisi

pertanyaan sesuai dengan klausul yang telahdisepakati. Pertanyaan yang telah dibuat

akan diperlukan dan mendukung saat

wawancara. Pertanyaan yang telah dibuat

dapat dilihat pada Tabel 4.4 dan

selengkapnya pada Lampiran 1 Tabel Daftar



11

Pertanyaan berdasakan Klausul yang

disetujui.

Tabel 4.4 Hasil Pertanyaan yang digunakan

pada Klausul yang ditetapkan

Klausul 11Kontrol Akses

No. Objektif

Kontrol

Pertanyaan

11.1

Kebijakan

pada

kontrol

akses

a. Apakah di dalam

sistem informasi

elearning terdapat

kebijakan kontrol akses

?

b. Apakah di dalam

sistem informasi

elearning terdapat fitur

keamanan?

c. Apakah di dalam

sistem informasi

elearning terdapat

kebijakan penghapusan

hak akses?d. Apakah di dalam

sistem informasi

elearning terdapat

pemisahan hak akses ?

11.2

Manajemen

akses user

a. Apakah di dalam

sistem informasi

elearning terdapat

kebijakan untuk

manajemen user dan

password ?

b. Apakah di dalam

sistem informasi

elearning terdapat

syarat dalam penentuanusername dan password

dalam sistem informasi

elearning?

c. Apakah di dalam

sistem informasi

elearning terdapat

proses authorization?

d. Apakah di dalam

sistem informasi

elearning terdapat

manajemen hak akses

untuk user?

Dan sebagainya

4.2 Hasil Pelaksanaan Audit Keamanan

Sistem Informasi

4.2.1 Hasil WawancaraSetelah dilakukan 2 kali proses

wawancara yaitu pada tanggal 3 Juli 2014

dan tanggal 20 Juli 2014 dengan staff

jaringan sekaligus moderator dari sistem

informasi elearning .Ada pun berita acara

yang dihasilkan seperti pada tabel 4.5 dan

hasil wawancara yang lengkap pada

Lampiran 2 Tabel Hasil Wawancara.

Tabel 4.6 Hasil Wawancara yang telah

dilakukanKlausul 11Kontrol Akses

No

.

Objektif

Kontrol

Pertanyaan Y

a

Tida

k

11.1

Kebijaka

n pada

kontrol

akses

a. Apakah

di dalam

sistem

informasi

elearning

terdapat

kebijakan

kontrol

akses ?

b. Apakah

di dalamsistem

informasi

elearning

terdapat

fitur

keamanan?

c. Apakahdi dalam

sistem

informasi

elearning

terdapat

kebijakan

penghapusan hak

akses?

d. Apakah

di dalam

sistem

informasi

elearning

terdapat

pemisahan

hak akses ?

Y

a

Y

a

Y

a

Y

a

Dan sebagainya

4.2.4 Hasil Pelaksanaan Uji Kematangan

Berdasarkan analisa dariwawancara dengan auditee, pemeriksaan,

dan pengumpulan bukti , maka diperoleh

hasil uji kepatutan dari tingkat kematanganuntuk masing-masing kontrol.



12

a. Hasil Maturity Level Klausul 11

Persyaratan Bisnis untuk Kontrol Akses

Hasil dari proses perhitungan maturity level

pada klausul 11 persyaratan bisnis untuk

kontrol akses adalah 1.21 yaitu initial. Hasil

tersebut menunjukkan bahwa proses

persyaratan bisnis untuk kontrol aksesdilakukan secara tidak konsisten dan

informal. . b. Hasil Maturity Level Klausul 12

Perolehan, perkembangan , dan

pemeliharaan sistem informasi.

Hasil dari proses perhitungan

maturity level pada 12 Perolehan,

Perkembangan, dan Pemeliharaan Sistem

Informasi adalah 1.23 yaitu initial. Hasil

tersebut menunjukkan bahwa proses

perolehan, perkembangan, dan pemeliharaan

Sistem Informasi yang ada dilakukan secara

tidak konsisten dan informal.

c. Hasil Maturity Level Klausul 13Manajemen Kejadian Keamanan Informasi

Hasil dari proses perhitungan

maturity level pada 13 manajemen kejadian

keamanan informasi adalah 0.50 yaitu non-

existent . Hasil tersebut menunjukkan bahwa

proses manajemen kejadian keamanan

informasi yang ada pada STIKI Malang

beberapa belum memiliki kontrol sama

sekali. Hal ini disebabkan belum adanya

dokumen yang mengatur akan langkah-

langkah penangananya serta belum pernah

ada kasus yang berhubungan dengan

keamanan informasi.

4.3 Hasil Pelaporan Audit SistemInformasiDari hasil audit sistem informasi e-

learning pada STIKI Malang yang telah

dilakukan , maka didapatkan kesimpulan

sebagai berikut :

1. Perencanaan audit keamanan sistem

informasi e-learning STIKI Malang telah

dilakukan dengan standar, dimulai dengan

melakukan perencanaan dan persiapan,

pelaksanaan hingga pelaporan audit.

2. Terdapat beberapa kebijakan dan

prosedur yang belum ada dokumentasinya

bahkan ada beberapa tindakan yang

dilakukan berdasarkan spontanitas dan tanpaada aturan baku yang bersifat formal.

3. Sistem informasi e-learning yang

digunakan merupakan opensource yang bisa

diunduh siapapun. Dan dalam

implementasinya, beberapa fitur yang

menunjang keamanan dalam sistem

informasi sudah tersedia sehingga cukup

memberi kemudahan dalam konfigurasi

keamanan.

4. Terdapat adanya gangguan keamanan

informasi pada sistem informasi elearning

dari segi sistem informasi dan aplikasi

pendukung. Berikut ini gangguan keamananyang berhasil didapatkan :

5. Gangguan Packet Sniffing

Dikarenakan pada sistem informasi

elearning masih menggunakan protocol

HTTP , Maka data-data yang lewat pada

jaringan bisa dicuri atau namanya lainnya

packet sniffing.

5. SIMPULANDari hasil audit keamanan sistem

informasi yang telah dilakukan, maka

didapatkan kesimpulan sebagai berikut:

1. Perancangan audit keamanan sistem

informasi e-learning pada STIKI Malang berdasarkan standar ISO 27002 yang

dilakukan pada Klausul 11 hingga Klausul

13, pengumpulan data, dam langkah-langkah

pelaksanaan audit hingga pelaporan hasil

audit keamanan sistem informasi telah

berhasil dilakukan.

2. Hasil audit pada sistem informasi

elearning yang menggunakan 3 klausul ISO

27002 belum bisa mewakili keseluruhan ISO

seri 27000. Akan tetapi dari 3 klausul yang

digunakan bisa dihasilkan rancangan atau

solusi dalam menangani permasalahan yang

timbul.6. Saran

Saran yang dapat diberikan bagi

pengembangan yang berkaitan dengan

pencapaian hasil yang optimal dari audit

keamanan sistem sistem informasi ini

sebagai berikut:

1. Diharapkan STIKI Malang dapat

melakukan perbaikan manajemen keamanan

sistem informasi, aturan, dan prosedur

keamanan sistem informasi agar ancaman-

ancaman terkait keamanan informasi dapat

diminimalisir.

2. Diharapkan bagi pengembang dapatmelakukan tata kelola keamanan sistem

informasi dan audit keamanan sistem

informasi kembali dengan menggunakan

keseluruhan klausul dan kontrol keamanan

ISO 27002 setelah pihak perusahaan

Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang

Documents

Transcript of Analisis Keamanan Sistem Informasi E-Learning Berbasis Web Di STIKI Malang