EVALUASI MANAJEMEN KEAMANAN INFORMASI...
Transcript of EVALUASI MANAJEMEN KEAMANAN INFORMASI...
EVALUASI MANAJEMEN
KEAMANAN INFORMASI
MENGGUNAKAN INDEKS
KEAMANAN INFORMASI
(KAMI) PADA
KANTOR WILAYAH DITJEN
PERBENDAHARAAN NEGARA
JAWA TIMUR
Outline
Latar Belakang
Perumusan masalah
Batasan masalah
Tujuan
Metodologi
Analisis data
hasil dan pembahasan
Latar Belakang
Keputusan Menteri Keuangan Nomor 479/KMK.01/2010 tentang Kebijakandan Standar Sistem Manajemen Keamanan Informasi di LingkunganKementerian Keuangan.
Masalah yang paling penting di dalam pelaksanaan Sistem ManajemenKeamanan Informasi (SMKI) adalah melakukan evaluasi terhadappelaksanaan SMKI yang diistilahkan monitor and review.
Evaluasi pengelolaan keamanan informasi berdasarkan Panduan PenerapanTata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik yangmenjadi dasar penggunaan indeks KAMI mengharuskan adanya pelaksanaanGap Analysis.
Evaluasi pengelolaan keamanan informasi juga bisa menggunakan formCPAR (Corrective, Preventive, Action and Report) dengan mengacu kepadaKaidah PLOR (Problem, Location, Objective and Reference).
Rumusan masalah
Berapa nilai evaluasi dalam pengelolaankeamanan serta tingkat kematangankeamanan Teknologi Informasi pada KanwilDJPBN Jawa Timur?
Bagaimana rekomendasi atas hasil analisisfaktor penyebab dan faktor pendukungpenerapan pengelolaan keamananinformasi pada Kanwil DJPBN Jawa Timurberdasarkan hasil evaluasi Indeks KAMI?
Batasan masalah
Evaluasi yang dilakukan menggunakan penilaian Indeks Keamanan Informasi(KAMI) Kementerian Kominfo
Lingkup evaluasi pengelolaan keamanan informasi meliputi pula tingkatkematangan dalam penerapan pengelolaan keamanan informasi
Evaluasi faktor penyebab dan faktor pendukung penerapan keamanan informasidilakukan berdasarkan kaidah PLOR (problem, location, objective danreference) terkait dengan status penerapan beberapa aspek pada indeks KAMI
Lingkup penilaian hanya pada pengelolaan keamanan informasi yang ditanganioleh Kanwil DJPBN Jawa Timur saja.
Tugas akhir tidak mengevaluasi pengelolaan keamanan secara teknis namunhanya dari sisi pengelolaan atau manajemen berdasarkan tata kelola, kerangkakerja, pengelolaan aset, dan teknologi apa yang tercakup dalam pengendaliankeamanan pada Kanwil DJPBN Jawa Timur
Tujuan
Mendapatkan hasil penilaian mengenai pengelolaan keamanan TIpada Kanwil DJPBN Jawa Timur.
Mengetahui tingkat kematangan pengelolaan keamanan teknologiinformasi pada Kanwil DJPBN Jawa Timur.
Mendapatkan rekomendasi atas hasil analisis faktor penyebabdan faktor pendukung dalam pengelolaan keamanan informasi
Memberikan masukan dalam rangka peningkatan kualitaspengelolaan keamanan informasi pada Kanwil DJPBN JawaTimur.
Tinjauan pustaka
Indeks KAMI
Indeks KAMI adalah alat evaluasi untukmenganalisis tingkat kesiapan pengamananinformasi di instansi pemerintah. Alat evaluasiini tidak ditujukan untuk menganalisiskelayakan atau efektivitas bentukpengamanan yang ada, melainkan sebagaiperangkat untuk memberikan gambarankondisi kesiapan (kelengkapan dankematangan) kerangka kerja keamananinformasi kepada pimpinan Instansi
metodologi
Masukan Proses (Subbab 3.2 & 3.3) Keluaran
Relevansi Data, Informasi dan
Dokumen
Masukan Proses (Subbab 3.1) Keluaran· Data· Informasi· Dokumen
pendukung pelaksanaan Indeks KAMI
Masukan Proses (Subbab 3.4) Keluaran
Skor Nilai Kesiapan
Pengamanan Informasi
Masukan Proses (Subbab 3.5) Keluaran
Nilai Pengamanan
Informasi sesuai kondisi eksisting
Masukan Proses (Subbab 3.6) Keluaran
Pemahaman Kondisi Kematangan Pengelolaan
Keamanan Informasi
· Proses Bisnis· Infrastruktur IT· Dokumen
Pengelolaan Keamanan IT
· Data· Informasi· Dokumen
pendukung pelaksanaan Indeks KAMI
Indeks Keamanan Informasi (KAMI)
Kominfo
Skor Nilai Kesiapan
Pengamanan Informasi
Pemahaman kondisi eksisting
pengelolaan keamanan informasi
· Studi Literatur
· Studi Lapangan
Uji Kesiapan Menggunakan Indeks KAMI
Penilaian Aspek Kepatuhan
Masukan Proses (Subbab 3.7) Keluaran
Buku Tugas Akhir
Nilai Pengamanan
Informasi sesuai kondisi eksisting
Hasil Pembahasan Pengelolaan Keamanan Informasi
Analisis dan Pembahasan
Dokumentasi semua proses dalam Buku Tugas Akhir
Analisis data
Seluruh pertanyaan yang ada dalam setiap areadikelompokkan menjadi 3 (tiga) kategori pengamanan,sesuai dengan tahapan dalam penerapan standarISO/IEC 27001
Pertanyaan yang terkait dengan kerangka kerja dasarkeamanan informasi masuk dalam kategori “ 1 "
Pertanyaan terkait efektivitas dan konsistensi penerapandidefinisikan sebagai kategori “ 2 “.
Pertanyaan yang merujuk pada kemampuan untuk selalumeningkatkan kinerja keamanan informasi adalahkategori “ 3 ".
Analisis data
Pada ketiga kategori pertanyaan tersebut, respondenkemudian diminta untuk menjawab setiap pertanyaandengan pilihan status penerapan :a. Tidak dilakukanb. Dalam Perencanaan;c. Dalam penerapan atau diterapkan sebagian;d. Diterapkan secara menyeluruh
Analisis data
Tingkat Kematangan
Tingkat I : Kondisi Dasar (Reaktif)
Tingkat II : Penerapan Kerangka Dasar (Aktif)
Tingkat III : Terdefinisi dan Konsisten (Proaktif).
Tingkat IV : Terkelola dan Terstruktur (Terkendali).
Tingkat V : Optimal (Optimal).
Analisis data
Penilaian Aspek Kepatuhan
Pembandingan skor indeks KAMI Kanwil DJPBNJawa Timur dengan semua bukti nyata berdasarkankondisi keamanan informasi yang ditangani KanwilDJPBN Jawa Timur saat ini
Data pendukung aspek kepatuhan yang dilakukanpada tugas akhir ini antara lain :• Hasil observasi langsung• Dokumentasi• Daftar perundang-undangan dan dokumen tertulis
lainnya terkait pengelolaan keamanan informasi
Analisis data
Penilaian Aspek Kepatuhan
Area Self
Assestment
Objective
Assestment
Peran TIK 40 36
Nilai 5 Area 423 337
Perhitungan Self
Assestment
Objective
Assestment
Nilai 423 𝑥 100%
588= 72%
337 𝑥 100%
588=57.31%
Hasil skor peran tik
Hasil Skor : 36
Dari hasil di atas menunjukkan bahwa tingkatketergantungan Kanwil DJPBN Jawa Timurakan kebutuhan TIK bernilai tinggi
Hal ini menunjukkan bahwa tingkat kebutuhanTIK sebagai layanan Penganggaran danPerbendaharaan sangat diperhitungkan
Hasil SKOR peran tik
Kanwil djpbn jawa timur
Status Ketergantungan
Terendah Tertinggi Klasifikasi
0 12 Rendah 13 24 Sedang 25 36 Tinggi 37 48 Kritis
Hasil skor tata kelola
Tata Kelola Keamanan
Nilai
Kategori
Kontrol (Tahap)
1 8 16 2 6 24 3 6 21
Total
Pertanyaan 20 61
Pertanyaan
Tata Kelola Nilai
Kategori
Tingkat
Kematangan
Tingkat validitas
kematangan
II 11 28 Y III 3 12 N IV 6 21 N
Total
Pertanyaan 20 61
Hasil skor tata kelola
Pada Tingkat Kematangan II, status sudahmenunjukkan valid karena sudah melebihitingkat pencapaian yaitu dengan skor 28
Untuk memperoleh tingkat valid kematangan>II, jumlah skor pertanyaan KategoriKematangan II harus mencapai 80% (33,6)
Pengamanan sudah diterapkan walaupunbelum adanya keterkaitan langkahpengamanan untuk mendapatkan strategi yangefektif
Hasil skor pengelolaan risiko
Pengelolaan Risiko
Nilai
Kategori
Kontrol (Tahap)
1 9 18
2 4 16
3 2 12 Total
Pertanyaan 15 46
Pengelolaan Risiko
Nilai
Kategori
Tingkat
Kematangan
Tingkat validitas
kematangan
II 9 18 Y III 2 8 N IV 2 8 N V 2 12 N
Total
Pertanyaan 15 46
Hasil skor pengelolaan risiko
Pada Tingkat Kematangan II, status sudahmenunjukkan valid karena sudah melebihitingkat pencapaian yaitu dengan skor 18
Untuk memperoleh tingkat valid kematangan>II, jumlah skor pertanyaan KategoriKematangan II harus mencapai 80% (21,6)
Bentuk pelaksanaan secara keseluruhan belumdinilai efektifitasnya
Hasil skor kerangka kerja
Pengelolaan Kerangka Kerja
Nilai
Kategori
Kontrol (Tahap)
1 11 21 2 8 22 3 7 0
Total
Pertanyaan 26 43
Pengelolaan
Kerangka Kerja Nilai
Kategori
Tingkat
Kematangan
Tingkat validitas
kematangan
II 10 24 Y III 11 19 N IV 3 0 N V 2 0 N
Total
Pertanyaan 26 43
Hasil skor kerangka kerja
Pada Tingkat Kematangan II, status sudahmenunjukkan valid karena sudah melebihitingkat pencapaian yaitu dengan skor 24
Untuk memperoleh tingkat valid kematangan>II, jumlah skor pertanyaan KategoriKematangan II harus mencapai 80% (28,8)
Langkah pengamanan operasional yangditerapkan bergantung kepada pengetahuandan motivasi individu pelaksana
Hasil skor pengelolaan aset
Pengelolaan Aset
Nilai
Kategori
Kontrol (Tahap)
1 21 46 2 9 42 3 4 21
Total
Pertanyaan 34 109
Pengelolaan
Aset Nilai
Kategori
Tingkat
Kematangan
Tingkat validitas
kematangan
II 26 72 Y III 8 37 N
Total
Pertanyaan 34 109
Hasil skor pengelolaan aset
Pada Tingkat Kematangan II, status sudahmenunjukkan valid karena sudah melebihitingkat pencapaian yaitu dengan skor 72
Untuk memperoleh tingkat valid kematangan>II, jumlah skor pertanyaan KategoriKematangan II harus mencapai 80% (74,4)
Kelemahan dalam manajemen pengamananmasih banyak ditemukan dan tidak dapatdiselesaikan dengan tuntas oleh pelaksanamaupun pimpinan
Hasil skor keamanan teknologi
Pengelolaan Teknologi
Nilai
Kategori
Kontrol (Tahap)
1 13 28 2 10 44 3 1 6
Total
Pertanyaan 24 78
Pengelolaan Teknologi
Nilai
Kategori
Tingkat
Kematangan
Tingkat validitas
kematangan
II 13 28 Y III 10 44 N IV 1 6 N
Total
Pertanyaan 24 78
Hasil skor keamanan teknologi
Pada Tingkat Kematangan II, status sudahmenunjukkan valid karena sudah melebihitingkat pencapaian yaitu dengan skor 28
Untuk memperoleh tingkat valid kematangan>II, jumlah skor pertanyaan KategoriKematangan II harus mencapai 80% (31,2)
Bentuk pengamanan secara keseluruhanbelum dinilai efektifitasnya
Validitas Tata
Kelola
Pengelolaan
Risiko
Kerangka
Kerja
Pengelolaan
Aset Teknologi
Tingkat Kematangan I
Validitas Yes Yes Yes Yes Yes
Status I I I I I
Tingkat Kematangan II
Validitas Yes Yes Yes Ye Yes
Status II II II II II
Tingkat Kematangan III
Validitas No No No No No
Status No No No No II
Tingkat Kematangan IV
Validitas No No No No No
Status No No No No No Status
Akhir II II II II II
Hasil skor 5 area
Hasil skor 5 area
Untuk menuju ke tingkat kematangan yanglebih tinggi, maka 3 aspek yang peningkatanyang dibutuhkan :
Kerangka kerja dasar, contoh : SFO,kebijakan, prosedur, juklak dan juknismengenai keamanan informasi
Konsistensi penerapan, contoh : formulir,checklist monitoring, laporan, dll
Upaya peningkatan kinerja keamanan, contoh: sosialisasi, tes online, evaluasi untukefektivitas pelaksanaan pengamanan
Form cpar
KEMENTERIAN KEUANGAN REPUBLIK INDONESIA
DIREKTORAT JENDERAL PERBENDAHARAAN KANTOR WILAYAH PROVINSI JAWA
TIMUR
GKN Surabaya I Jl. Indrapura No.5 Surabaya 60175
Telp. (031) 3523093 Fax. (031) 3558640
Section 1 : Obyek
Pimpinan Instansi anda secara prinsip dan resmi bertanggungjawab terhadap pelaksanaan program keamanan informasi (misal
yang tercantum dalam ITSP), termasuk penetapan kebijakan terkait
Nama &
TTD
Diajukan oleh :
(Mustaqim Siga)
Disetujui oleh :
Kepala Bagian Umum
Tanggal :
Section 2 : Penyebab / Pendukung
Pimpinan intansi dalam hal ini Kepala Kanwil dan Kepala Bagian Umum serta Kepala Bidang secara resmi bertanggung jawab
terhadap pelaksanaan pengamanan informasi, namun untuk lebih spesifik pada kebijakan keamanan secara teknis belum dirinci.
Nama &
TTD
Diajukan oleh :
(Mustaqim Siga)
Disetujui oleh :
Kepala Bagian Umum
Tanggal :
Section 3 : Usulan tindakan perbaikan
Sebagai pengimplementasian KMK 479/KMK.01/2010 maka diharapkan dibentuk fungsi dan kewenangan tertulis untuk Chief
Information Security Officer Eselon II, Information Security Manager Eselon II dan Tim Keamanan Informasi secara formal pada
Kanwil DJPBN yang bertanggungjawab kepada Kepala Kanwil DJPBN Jawa Timur.
Dibentuk suatu Dokumen Kebijakan Keamanan Informasi sebagai penjabaran atas Kebijakan Keamanan Informasi sebagaimana
tertuang dalam KMK.479/KMK.01/2010, dipublikasikan dan dikomunikasikan kepada seluruh pegawai dan pihak-pihak lain yang
kesimpulan
Status kesiapan pengelolaan keamanan informasi yangmeliputi kelengkapan perangkat keamanan pada 5 areayakni Tata Kelola, Pengelolaan Risiko, Kerangka Kerja,Pengelolaan Aset, dan Teknologi dinilai masih perluadanya perbaikan (skor 337 dari nilai maksimal 588).
Dari aspek penilaian peran TIK khususnya peranteknologi informasi bagi Kanwil DJPBN, menunjukkanbahwa kebutuhan TIK bagi institusi ini relatif tinggi yangmenandakan peran vital TIK bagi pelaksanaanperbendaharaan (skor 36 dari 48).
Berdasarkan status kesiapan yang terlihat dari skor akhirpengelolaan keamanan informasi, maka pengelolaankeamanan informasi dinyatakan masih perlu adanyaperbaikan dalam memenuhi standarisasi ISO/IEC27001:2005 terlebih pada efektifitas pelaksanaankerangka kerja keamanan informasi.
Rekomendasi perbaikan 5 area
Rekomendasi Perbaikan Area Tata Kelola
Memperbaiki beberapa kelemahan dalam sistemmanajemen tata kelola sehingga dapatmenghasilkan dampak signifikan terhadappengelolaan keamanan informasi
Meningkatkan poin-poin tata kelola keamanan yang sudah mematuhi ambang batas minimum pada area tata kelola
Meningkatkan kesadaran semua pihak baikpimpinan, pelaksana dan pihak ketiga untukmenyadari tanggungjawab pengelolaan keamanan
Efektivitas pengamanan dievaluasi berkala melaluiproses yang terstruktur
Rekomendasi perbaikan 5 area
Rekomendasi Perbaikan Area Risiko
Merencanakan dan menerapkan seluruh pengelolaanrisiko menjadi bagian dari kriteria penilaian efektifitaspengamanan terhadap semua layananperbendaharaan Kanwil DJPBN
Merencanakan dan mengevaluasi secara menyeluruhterhadap program pengelolaan risiko keamanan yangakan dilaksanakan
Melaksanakan dokumentasi peningkatan langkahmitigasi yang diterapkan untuk mengetahui kondisiperkembangan penanganan dan pengendalian risiko
Rekomendasi perbaikan 5 area
Rekomendasi Perbaikan Area Kerangka Kerja
Merencanakan dan menerapkan kebijakan danprosedur keamanan informasi terhadap semua aktifitasteknologi informasi
Merencanakan dan menerapkan prosespengembangan rencana pemulihan bencana terhadaplayanan TIK (teknologi informasi komunikasi) yangsudah didefinisikan komposisi, peran, wewenang dantanggungjawabnya
Melaksanakan dokumentasi dan pelaporan terhadappenerapan kerangka kerja pengelolaan keamananinformasi secara berkala
Rekomendasi perbaikan 5 area
Rekomendasi Perbaikan Area Aset
Merencanakan dan melaksanakan secara menyeluruhtata tertib pengamanan komputer, email, intranet daninternet serta pertukaran data dan informasi
Merencanakan dan menerapkan secara menyeluruhproses penerapan definisi tingkatan akses dan matrixyang merekam alokasi akses
Melaksanakan pengendalian dan evaluasi secaramenyeluruh terhadap aset informasi dan dokumentasiterhadap semua aktifitas pengelolaan keamanan asetinformasi
Rekomendasi perbaikan 5 area
Rekomendasi Perbaikan Area Teknologi
Merencanakan penerapan secara menyeluruh padaproses konfigurasi standar untuk keamanan sistembagi keseluruhan asset informasi dan perangkatjaringan yang dimutakhirkan
Merencanakan dan menerapkan secara menyeluruhproses pengamanan untuk mendeteksi dan mencegahakses jaringan yang tidak resmi
Melaksanakan secara menyeluruh dokumentasi danpelaporan terhadap segala aktifitas pengelolaan TIK(teknologi informasi komunikasi)