EVALUASI MANAJEMEN KEAMANAN INFORMASI...

EVALUASI MANAJEMEN

KEAMANAN INFORMASI

MENGGUNAKAN INDEKS

KEAMANAN INFORMASI

(KAMI) PADA

KANTOR WILAYAH DITJEN

PERBENDAHARAAN NEGARA

JAWA TIMUR

Outline

Latar Belakang

Perumusan masalah

Batasan masalah

Tujuan

Metodologi

Analisis data

hasil dan pembahasan

Latar Belakang

Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang Kebijakandan Standar Sistem Manajemen Keamanan Informasi di LingkunganKementerian Keuangan.

Masalah yang paling penting di dalam pelaksanaan Sistem ManajemenKeamanan Informasi (SMKI) adalah melakukan evaluasi terhadappelaksanaan SMKI yang diistilahkan monitor and review.

Evaluasi pengelolaan keamanan informasi berdasarkan Panduan PenerapanTata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik yangmenjadi dasar penggunaan indeks KAMI mengharuskan adanya pelaksanaanGap Analysis.

Evaluasi pengelolaan keamanan informasi juga bisa menggunakan formCPAR (Corrective, Preventive, Action and Report) dengan mengacu kepadaKaidah PLOR (Problem, Location, Objective and Reference).

Rumusan masalah

Berapa nilai evaluasi dalam pengelolaankeamanan serta tingkat kematangankeamanan Teknologi Informasi pada KanwilDJPBN Jawa Timur?

Bagaimana rekomendasi atas hasil analisisfaktor penyebab dan faktor pendukungpenerapan pengelolaan keamananinformasi pada Kanwil DJPBN Jawa Timurberdasarkan hasil evaluasi Indeks KAMI?

Batasan masalah

Evaluasi yang dilakukan menggunakan penilaian Indeks Keamanan Informasi(KAMI) Kementerian Kominfo

Lingkup evaluasi pengelolaan keamanan informasi meliputi pula tingkatkematangan dalam penerapan pengelolaan keamanan informasi

Evaluasi faktor penyebab dan faktor pendukung penerapan keamanan informasidilakukan berdasarkan kaidah PLOR (problem, location, objective danreference) terkait dengan status penerapan beberapa aspek pada indeks KAMI

Lingkup penilaian hanya pada pengelolaan keamanan informasi yang ditanganioleh Kanwil DJPBN Jawa Timur saja.

Tugas akhir tidak mengevaluasi pengelolaan keamanan secara teknis namunhanya dari sisi pengelolaan atau manajemen berdasarkan tata kelola, kerangkakerja, pengelolaan aset, dan teknologi apa yang tercakup dalam pengendaliankeamanan pada Kanwil DJPBN Jawa Timur

Tujuan

Mendapatkan hasil penilaian mengenai pengelolaan keamanan TIpada Kanwil DJPBN Jawa Timur.

Mengetahui tingkat kematangan pengelolaan keamanan teknologiinformasi pada Kanwil DJPBN Jawa Timur.

Mendapatkan rekomendasi atas hasil analisis faktor penyebabdan faktor pendukung dalam pengelolaan keamanan informasi

Memberikan masukan dalam rangka peningkatan kualitaspengelolaan keamanan informasi pada Kanwil DJPBN JawaTimur.

Tinjauan pustaka

Indeks KAMI

Indeks KAMI adalah alat evaluasi untukmenganalisis tingkat kesiapan pengamananinformasi di instansi pemerintah. Alat evaluasiini tidak ditujukan untuk menganalisiskelayakan atau efektivitas bentukpengamanan yang ada, melainkan sebagaiperangkat untuk memberikan gambarankondisi kesiapan (kelengkapan dankematangan) kerangka kerja keamananinformasi kepada pimpinan Instansi

metodologi

Masukan Proses (Subbab 3.2 & 3.3) Keluaran

Relevansi Data, Informasi dan

Dokumen

Masukan Proses (Subbab 3.1) Keluaran· Data· Informasi· Dokumen

pendukung pelaksanaan Indeks KAMI

Masukan Proses (Subbab 3.4) Keluaran

Skor Nilai Kesiapan

Pengamanan Informasi


Nilai Pengamanan

Informasi sesuai kondisi eksisting


Pemahaman Kondisi Kematangan Pengelolaan

Keamanan Informasi

· Proses Bisnis· Infrastruktur IT· Dokumen

Pengelolaan Keamanan IT

· Data· Informasi· Dokumen

pendukung pelaksanaan Indeks KAMI

Indeks Keamanan Informasi (KAMI)

Kominfo

Skor Nilai Kesiapan

Pengamanan Informasi

Pemahaman kondisi eksisting

pengelolaan keamanan informasi

· Studi Literatur

· Studi Lapangan

Uji Kesiapan Menggunakan Indeks KAMI

Penilaian Aspek Kepatuhan


Buku Tugas Akhir

Nilai Pengamanan

Informasi sesuai kondisi eksisting

Hasil Pembahasan Pengelolaan Keamanan Informasi

Analisis dan Pembahasan

Dokumentasi semua proses dalam Buku Tugas Akhir

Analisis data

Seluruh pertanyaan yang ada dalam setiap areadikelompokkan menjadi 3 (tiga) kategori pengamanan,sesuai dengan tahapan dalam penerapan standarISO/IEC 27001

Pertanyaan yang terkait dengan kerangka kerja dasarkeamanan informasi masuk dalam kategori “ 1 "

Pertanyaan terkait efektivitas dan konsistensi penerapandidefinisikan sebagai kategori “ 2 “.

Pertanyaan yang merujuk pada kemampuan untuk selalumeningkatkan kinerja keamanan informasi adalahkategori “ 3 ".

Analisis data

Pada ketiga kategori pertanyaan tersebut, respondenkemudian diminta untuk menjawab setiap pertanyaandengan pilihan status penerapan :a. Tidak dilakukanb. Dalam Perencanaan;c. Dalam penerapan atau diterapkan sebagian;d. Diterapkan secara menyeluruh

Analisis data

Kategori Pengamanan

Analisis data

Tingkat Kematangan

Tingkat I : Kondisi Dasar (Reaktif)

Tingkat II : Penerapan Kerangka Dasar (Aktif)

Tingkat III : Terdefinisi dan Konsisten (Proaktif).

Tingkat IV : Terkelola dan Terstruktur (Terkendali).

Tingkat V : Optimal (Optimal).

Total pertanyaan

Dan Skor maksimum

Analisis data

Indikator dalam aspek penilaian

Analisis data


Pembandingan skor indeks KAMI Kanwil DJPBNJawa Timur dengan semua bukti nyata berdasarkankondisi keamanan informasi yang ditangani KanwilDJPBN Jawa Timur saat ini

Data pendukung aspek kepatuhan yang dilakukanpada tugas akhir ini antara lain :• Hasil observasi langsung• Dokumentasi• Daftar perundang-undangan dan dokumen tertulis

lainnya terkait pengelolaan keamanan informasi

Analisis data


Area Self

Assestment

Objective

Assestment

Peran TIK 40 36

Nilai 5 Area 423 337

Perhitungan Self

Assestment

Objective

Assestment

Nilai 423 𝑥 100%

588= 72%

337 𝑥 100%

588=57.31%

Analisis data


Hasil skor peran tik

Hasil Skor : 36

Dari hasil di atas menunjukkan bahwa tingkatketergantungan Kanwil DJPBN Jawa Timurakan kebutuhan TIK bernilai tinggi

Hal ini menunjukkan bahwa tingkat kebutuhanTIK sebagai layanan Penganggaran danPerbendaharaan sangat diperhitungkan

Hasil SKOR peran tik

Kanwil djpbn jawa timur

Status Ketergantungan

Terendah Tertinggi Klasifikasi

0 12 Rendah 13 24 Sedang 25 36 Tinggi 37 48 Kritis

Hasil skor tata kelola

Tata Kelola Keamanan

Nilai

Kategori

Kontrol (Tahap)

1 8 16 2 6 24 3 6 21

Total

Pertanyaan 20 61

Pertanyaan

Tata Kelola Nilai

Kategori

Tingkat

Kematangan

Tingkat validitas

kematangan

II 11 28 Y III 3 12 N IV 6 21 N

Total

Pertanyaan 20 61

Hasil skor tata kelola

Pada Tingkat Kematangan II, status sudahmenunjukkan valid karena sudah melebihitingkat pencapaian yaitu dengan skor 28

Untuk memperoleh tingkat valid kematangan>II, jumlah skor pertanyaan KategoriKematangan II harus mencapai 80% (33,6)

Pengamanan sudah diterapkan walaupunbelum adanya keterkaitan langkahpengamanan untuk mendapatkan strategi yangefektif

Hasil skor pengelolaan risiko

Pengelolaan Risiko

Nilai

Kategori

Kontrol (Tahap)

1 9 18

2 4 16

3 2 12 Total

Pertanyaan 15 46

Pengelolaan Risiko

Nilai

Kategori

Tingkat

Kematangan

Tingkat validitas

kematangan

II 9 18 Y III 2 8 N IV 2 8 N V 2 12 N

Total

Pertanyaan 15 46

Hasil skor pengelolaan risiko



Bentuk pelaksanaan secara keseluruhan belumdinilai efektifitasnya

Hasil skor kerangka kerja

Pengelolaan Kerangka Kerja

Nilai

Kategori

Kontrol (Tahap)

1 11 21 2 8 22 3 7 0

Total

Pertanyaan 26 43

Pengelolaan

Kerangka Kerja Nilai

Kategori

Tingkat

Kematangan

Tingkat validitas

kematangan

II 10 24 Y III 11 19 N IV 3 0 N V 2 0 N

Total

Pertanyaan 26 43

Hasil skor kerangka kerja



Langkah pengamanan operasional yangditerapkan bergantung kepada pengetahuandan motivasi individu pelaksana

Hasil skor pengelolaan aset

Pengelolaan Aset

Nilai

Kategori

Kontrol (Tahap)

1 21 46 2 9 42 3 4 21

Total

Pertanyaan 34 109

Pengelolaan

Aset Nilai

Kategori

Tingkat

Kematangan

Tingkat validitas

kematangan

II 26 72 Y III 8 37 N

Total

Pertanyaan 34 109

Hasil skor pengelolaan aset



Kelemahan dalam manajemen pengamananmasih banyak ditemukan dan tidak dapatdiselesaikan dengan tuntas oleh pelaksanamaupun pimpinan

Hasil skor keamanan teknologi

Pengelolaan Teknologi

Nilai

Kategori

Kontrol (Tahap)

1 13 28 2 10 44 3 1 6

Total

Pertanyaan 24 78

Pengelolaan Teknologi

Nilai

Kategori

Tingkat

Kematangan

Tingkat validitas

kematangan

II 13 28 Y III 10 44 N IV 1 6 N

Total

Pertanyaan 24 78

Hasil skor keamanan teknologi



Bentuk pengamanan secara keseluruhanbelum dinilai efektifitasnya

Validitas Tata

Kelola

Pengelolaan

Risiko

Kerangka

Kerja

Pengelolaan

Aset Teknologi

Tingkat Kematangan I

Validitas Yes Yes Yes Yes Yes

Status I I I I I

Tingkat Kematangan II

Validitas Yes Yes Yes Ye Yes

Status II II II II II

Tingkat Kematangan III

Validitas No No No No No

Status No No No No II

Tingkat Kematangan IV

Validitas No No No No No

Status No No No No No Status

Akhir II II II II II

Hasil skor 5 area

Hasil skor 5 area

Hasil skor 5 area

Untuk menuju ke tingkat kematangan yanglebih tinggi, maka 3 aspek yang peningkatanyang dibutuhkan :

Kerangka kerja dasar, contoh : SFO,kebijakan, prosedur, juklak dan juknismengenai keamanan informasi

Konsistensi penerapan, contoh : formulir,checklist monitoring, laporan, dll

Upaya peningkatan kinerja keamanan, contoh: sosialisasi, tes online, evaluasi untukefektivitas pelaksanaan pengamanan

Form cpar

KEMENTERIAN KEUANGAN REPUBLIK INDONESIA

DIREKTORAT JENDERAL PERBENDAHARAAN KANTOR WILAYAH PROVINSI JAWA

TIMUR

GKN Surabaya I Jl. Indrapura No.5 Surabaya 60175

Telp. (031) 3523093 Fax. (031) 3558640

Section 1 : Obyek

Pimpinan Instansi anda secara prinsip dan resmi bertanggungjawab terhadap pelaksanaan program keamanan informasi (misal

yang tercantum dalam ITSP), termasuk penetapan kebijakan terkait

Nama &

TTD

Diajukan oleh :

(Mustaqim Siga)

Disetujui oleh :

Kepala Bagian Umum

Tanggal :

Section 2 : Penyebab / Pendukung

Pimpinan intansi dalam hal ini Kepala Kanwil dan Kepala Bagian Umum serta Kepala Bidang secara resmi bertanggung jawab

terhadap pelaksanaan pengamanan informasi, namun untuk lebih spesifik pada kebijakan keamanan secara teknis belum dirinci.

Nama &

TTD

Diajukan oleh :

(Mustaqim Siga)

Disetujui oleh :

Kepala Bagian Umum

Tanggal :

Section 3 : Usulan tindakan perbaikan

Sebagai pengimplementasian KMK 479/KMK.01/2010 maka diharapkan dibentuk fungsi dan kewenangan tertulis untuk Chief

Information Security Officer Eselon II, Information Security Manager Eselon II dan Tim Keamanan Informasi secara formal pada

Kanwil DJPBN yang bertanggungjawab kepada Kepala Kanwil DJPBN Jawa Timur.

Dibentuk suatu Dokumen Kebijakan Keamanan Informasi sebagai penjabaran atas Kebijakan Keamanan Informasi sebagaimana

tertuang dalam KMK.479/KMK.01/2010, dipublikasikan dan dikomunikasikan kepada seluruh pegawai dan pihak-pihak lain yang

kesimpulan

Status kesiapan pengelolaan keamanan informasi yangmeliputi kelengkapan perangkat keamanan pada 5 areayakni Tata Kelola, Pengelolaan Risiko, Kerangka Kerja,Pengelolaan Aset, dan Teknologi dinilai masih perluadanya perbaikan (skor 337 dari nilai maksimal 588).

Dari aspek penilaian peran TIK khususnya peranteknologi informasi bagi Kanwil DJPBN, menunjukkanbahwa kebutuhan TIK bagi institusi ini relatif tinggi yangmenandakan peran vital TIK bagi pelaksanaanperbendaharaan (skor 36 dari 48).

Berdasarkan status kesiapan yang terlihat dari skor akhirpengelolaan keamanan informasi, maka pengelolaankeamanan informasi dinyatakan masih perlu adanyaperbaikan dalam memenuhi standarisasi ISO/IEC27001:2005 terlebih pada efektifitas pelaksanaankerangka kerja keamanan informasi.

Rekomendasi perbaikan 5 area

Rekomendasi Perbaikan Area Tata Kelola

Memperbaiki beberapa kelemahan dalam sistemmanajemen tata kelola sehingga dapatmenghasilkan dampak signifikan terhadappengelolaan keamanan informasi

Meningkatkan poin-poin tata kelola keamanan yang sudah mematuhi ambang batas minimum pada area tata kelola

Meningkatkan kesadaran semua pihak baikpimpinan, pelaksana dan pihak ketiga untukmenyadari tanggungjawab pengelolaan keamanan

Efektivitas pengamanan dievaluasi berkala melaluiproses yang terstruktur


Rekomendasi Perbaikan Area Risiko

Merencanakan dan menerapkan seluruh pengelolaanrisiko menjadi bagian dari kriteria penilaian efektifitaspengamanan terhadap semua layananperbendaharaan Kanwil DJPBN

Merencanakan dan mengevaluasi secara menyeluruhterhadap program pengelolaan risiko keamanan yangakan dilaksanakan

Melaksanakan dokumentasi peningkatan langkahmitigasi yang diterapkan untuk mengetahui kondisiperkembangan penanganan dan pengendalian risiko


Rekomendasi Perbaikan Area Kerangka Kerja

Merencanakan dan menerapkan kebijakan danprosedur keamanan informasi terhadap semua aktifitasteknologi informasi

Merencanakan dan menerapkan prosespengembangan rencana pemulihan bencana terhadaplayanan TIK (teknologi informasi komunikasi) yangsudah didefinisikan komposisi, peran, wewenang dantanggungjawabnya

Melaksanakan dokumentasi dan pelaporan terhadappenerapan kerangka kerja pengelolaan keamananinformasi secara berkala


Rekomendasi Perbaikan Area Aset

Merencanakan dan melaksanakan secara menyeluruhtata tertib pengamanan komputer, email, intranet daninternet serta pertukaran data dan informasi

Merencanakan dan menerapkan secara menyeluruhproses penerapan definisi tingkatan akses dan matrixyang merekam alokasi akses

Melaksanakan pengendalian dan evaluasi secaramenyeluruh terhadap aset informasi dan dokumentasiterhadap semua aktifitas pengelolaan keamanan asetinformasi


Rekomendasi Perbaikan Area Teknologi

Merencanakan penerapan secara menyeluruh padaproses konfigurasi standar untuk keamanan sistembagi keseluruhan asset informasi dan perangkatjaringan yang dimutakhirkan

Merencanakan dan menerapkan secara menyeluruhproses pengamanan untuk mendeteksi dan mencegahakses jaringan yang tidak resmi

Melaksanakan secara menyeluruh dokumentasi danpelaporan terhadap segala aktifitas pengelolaan TIK(teknologi informasi komunikasi)

Terima Kasih

EVALUASI MANAJEMEN KEAMANAN INFORMASI...

Documents

Transcript of EVALUASI MANAJEMEN KEAMANAN INFORMASI...