21 April 2014 IF5135 – Tata Kelola EnterpriseStudi Kasus Assessment ITB

MAGISTER INFORMATIKA - SISTEM INFORMASISEKOLAH TEKNIK ELEKTRO DAN INFORMATIKA

INSTITUT TEKNOLOGI BANDUNG

Oleh :

Muhammad Rifqi R - 23513032

Rahardian D J – 23513087

Fajar Agung P - 23513122

Noor Alamsyah - 23513124

Riki Afriansyah – 23513125

Puti Harifia A - 18210020

Revision HistoryVersion Modification Date Author1.0 - 21-04-2014 Kelompok 2

1. Executive SummarySebagai organisasi yang memanfaatkan fungsi TI untuk mendukung kegiatan operasional, ITB harus memastikan bahwa segala hal yang berhubungan dengan TI medukung tujuan organisasi. Untuk itu diperlukan sebuah penilaian terhadap pengelolaan TI. Dengan melakukan kegiatan tersebut diharapkan ITB mengetahui kodisi proses yang berhubungan dengan TI saat ini dan proses mana yang perlu ditingkatkan. Domain yang akan dinilai mengenai infrastruktur dan keamanan teknologi informasi yang mana menjadi tanggung jawab Unit Sumber Daya Informasi (USDI). Pendekatan dalam penilaian ini adalah pengamatan pada pelaksanaan proses pada USDI.

2. Introduction

2.1. Purpose of Assessment Tujuan dari penilaian ini adalah untuk mengetahui kapabilitas ITB dalam melakukan proses pengelolaan teknologi informasi dan untuk mengidentifikasi praktek yang baik yang mungkin diimplementasikan untuk menghasilkan peningkatan keseluruhan dari proses enterprise.

2.2. Assessment ScopeCakupan dari penilaian ini mengenai infrastruktur dan keamanan teknologi informasi untuk memastikan bahwa infrastruktur dan keamanan teknologi informasi mendukung tujuan ITB.

2.2.1. Enterprise Unit(s)Enterprise unit yang dinilai adalah USDI. USDI berada di bawah Wakil Rektor Bidang Komunikasi, Kemitraan dan Alumni ITB. USDI merupakan unsur penunjang akademik di tingkat institut yang berfungsi memfasilitasi pengembangan ITB sebagai suatu pusat pengetahuan dan komunitas pengetahuan yang berbasis pada teknologi informasi. Gambar berikut ini menunjukkan struktur organisasi ITB.

2.2.2. Processes and Capability Levels AssessedProses yang akan dinilai ialah APO12 Manage Risk, APO13 Manage Security dan DSS5 Manage Security Service yang terdapat dalam COBIT 5. Ketiga proses ini dinilai berdasarkan acuan pada Process Assessment COBIT 5.

2.2.3. Processes Reviewed and Basis for SelectionDalam penilaian ini dipilih tiga proses yang berkaitan dengan pengelolaan infrastruktur dan keamanan teknologi informasi di ITB. Ketiga proses tersebut adalah :

1. APO 12 – Manage Risk Deskripsi

Melakukan identifikasi, penilaian dan mengurangi resiko yang berkaitan dengan IT secara berkelanjutan dalam tingkatan toleransi yang diatur oleh pimpinan manajemen enterprise.

Dasar pemilihan proses Investasi IT memiliki banyak keuntungan, namun memungkinkan timbulnya resiko yang perlu dikelola agar dapat menyeimbangkan biaya dan manfaat.

2. APO 13 – Manage Security Deskripsi

Mendefinisikan pengoperasian dan pemantauan sistem bagi manajemen keamanan informasi.

Dasar pemilihan proses

Dalam implementasi IT perlu adannya jaminan keamanan informasi dengan cara melakukan perencanaan keamanan agar ancaman yang mungkin timbul tidak terjadi atau dapat diminimalisir.

3. DSS 05 - Manage Security Services Deskripsi

Melindungi informasi enterprise untuk mejaga tingkat resiko keamanan informasi yang dapat diterima oleh enterprise yang sesuai dengan kebijakan keamanan. Membuat dan menjaga peran dan hak akses keamanan informasi dan melakukan pengawasan keamanan.

Dasar pemilihan prosesSebuah enterprise perlu melakukan pengawasan untuk menjamin bahwa pelaksanaan kegiatan sesuai dengan program keamanan yang dibuat.

2.2.4. Class of AssessmentClass of Assessment yang dipilih adalah kelas 3 yang hasilnya digunakan sebagai panduan dalam peningkatan proses. Selain itu kelas ini juga cocok untuk pemantauan kemajuan dari program peningkatan atau untuk mengidentifikasi isu utama yang akan mendukung penilaian kelas satu atau dua dalam proses penilaian.

2.3. Assessment ConstraintsBerikut ini merupakan batasan dalam penilaian kapabilitas yang dilakukan:

Standar dan metode pengukuran kapabilitas tata kelola dan manajemen teknologi informasi menggunakan kerangka kerja COBIT 5.

Proses yang dinilai hanya APO12 Manage Risk, APO13 Manage Security dan DSS5 Manage Security Service yang terdapat dalam COBIT 5.

Pengumpulan bukti-bukti hanya dilakukan melalui pengamatan langsung dan studi literatur mengenai ITB sehingga laporan hasil penilaian hanya berupa penjelasan mengenai fakta yang didapat dan tidak termasuk penilaian kapabilitas dengan menggunakan skala rating.

2.4. Summary of the ApproachPenilaian dilakukan untuk mengetahui kapabilitas ITB dalam mengelola dan mengimplementasikan teknologi informasi (TI), khususnya proses pengelolaan risiko, keamanan dan layanan keamanan TI. Ketiga proses ini dipilih karena cukup berpengaruh bagi kegiatan bisnis ITB. Investasi TI pada ITB di satu sisi memberikan berbagai keuntungan, namun di sisi lain memungkinkan timbulnya risiko sehingga diperlukan suatu tata kelola dan manajemen risiko agar dapat menyeimbangkan biaya dan manfaat dari investasi tersebut. Selain pengelolaan risiko, pengelolaan keamanan dan layanan keamanan juga cukup penting bagi ITB. Infrastruktur TI yang ada harus dijaga keamanannya demi terjaganya kerahasiaan data dan keberlangsungan bisnis ITB. Penilaian kapabilitas ini dapat dilakukan dengan menggunakan standar COBIT 5. COBIT 5 dipilih sebagai standar karena memberikan panduan yang cukup jelas, mudah disesuaikan dengan kondisi perusahaan serta memiliki metode pengukuran yang cukup akurat.

2.5. Assessment Team MembersTabel berikut ini menunjukkan stakeholder yang terlibat dalam proses penilaian kapabilitas.

Peran Nama Enterprise Posisi dalam enterpriseSponsor Prof. Akhmaloka, Ph.D. ITB RektorKoordinator Ir. Kridanto Surendro, M.Sc.,Ph.D ITB DosenKetua tim penilai Rahardian D.J. ITB Mahasiswa

Anggota tim penilai

Riki Afriansyah ITB MahasiswaFajar Agung P. ITB MahasiswaNoor Alamsyah ITB MahasiswaM. Rifqi Rosyid ITB MahasiswaPuti Harifia Amanah ITB Mahasiswa

2.6. Critical DatesTanggal-tanggal penting dalam proses penilaian kapabilitas infrastruktur dan keamanan TI ITB ialah sebagai berikut:

16 April 2014 : Proses penilaian kapabilitas dimulai (pertemuan 1 tim penilai) 17-18 April 2014 : Observasi proses 19 April 2014 : Pertemuan 2 tim penilai 20 Apri 2014 : Proses penilaian selesai (pertemuan 3 tim penilai) 21 April 2014 : Pelaporan hasil penilaian

2.7. Assessment ScheduleTabel berikut ini menujukkan jadwal proses penilaian yang akan dilakukan.

Tanggal Stakeholder yang terlibat Durasi Kegiatan16 April 2014 Ketua tim penilai

Anggota tim penilai1 hari Membahas rencana penilaian

kapabilitas yang akan dilakukan17 – 18 April 2014

Ketua tim penilai Anggota tim penilai

2 hari Melakukan observasi terhadap proses pengelolaan risiko dan keamanan ITB

19 April 2014 Ketua tim penilai Anggota tim penilai 1 hari

Mengumpulkan hasil observasi dan melakukan evaluasi terhadap hasil tersebut

20 April 2014 Ketua tim penilai Anggota tim penilai

1 hari Membuat laporan hasil penilaian

21 April 2014 Ketua tim penilai Anggota tim penilai Koordinator

1 hari Pelaporan hasil penilaian kepada ITB

3. Summary of Results and Detailed FindingsBerikut ini merupakan temuan yang didapat selama proses penilaian kapabilitas.

3.1. APO12 Manage RiskSecara umum, belum ada kesadaran dalam melakukan kegiatan manajemen risiko di ITB. Selama ini, dalam mengimplementasikan teknologi, pengelolaannya masih diserahkan kepada masing-masing internal fakultas. USDI ITB belum melakukan pengawasan dan pengelolaan risiko terhadap keseluruhan teknologi informasi yang diimplementasikan di ITB.

Sementara itu, di internal USDI ITB sendiri, sudah ada pengelolaan risiko. Pengelolaan ini dilakukan terhadap software dan infrastruktur teknologi informasi. Risiko software dinilai berdasarkan standar kualitas yang sudah ditetapkan oleh USDI ITB. Standar ini dievaluasi setiap minggu oleh pihak internal USDI. Sedangkan untuk risiko infrastruktur merupakan tanggung jawab dari vendor. Tanggung jawab tersebut dilaksanakan sesuai dengan kesepakatan tertulis antara USDI ITB dan vendor. Dalam kesepakatan ini dijelaskan bahwa vendor bersedia melakukan ganti rugi atas kegagalan yang disebabkan oleh pemasangan infrastruktur (tidak termasuk kegagalan karena kesalahan operasional USDI sendiri seperti listrik yang tidak stabil).

Untuk memaksimalkan implementasi teknologi informasi dan menghindari hal-hal yang tidak diinginkan atas kerugian yang ditimbulkan teknologi informasi di ITB, USDI ITB akan mulai mencanangkan rencana pengelolaan risiko teknologi informasi dengan lingkup se-ITB pada tahun 2014 mendatang. Rencana ini didasari oleh besarnya investasi ITB terhadap teknologi informasi pada tahun mendatang, yaitu sebesar 20 miliar. Sebagai permulaan proses pengelolaan risiko, USDI ITB akan meminta setiap unit kerja di ITB untuk mendata kebutuhannya terhadap teknologi informasi dan permasalahan apa yang biasa dihadapi dalam pengimplementasian teknologi informasi selama ini. Hasil pendataan ini nantinya akan diformulasikan menjadi profil risiko.

3.2. APO13 Manage SecurityProses pengelolaan keamanan informasi sudah dilaksanakan di ITB. Hak akses dari setiap stakeholder sudah didefinisikan dan diatur sesuai dengan kebutuhan masing-masing. Sudah ada kebijakan, standar dan dokumentasi dalam penentuan hak akses ini. Namun, sistem informasi yang terdapat pada ITB memiliki sistem keamanan yang berbeda-beda dan belum terintegrasi. Akibatnya dalam menggunakan sistem tersebut, pengguna harus menggunakan username dan password yang berbeda-beda pula. Selain itu, SDM perusahaan dalam melakukan pengelolaaan keamanan masih terbatas. Akibatnya, masing-masing SDM diharuskan memiliki kapabilitas yang sama untuk menangani berbagai permasalahan keamanan informasi perusahaan. Selain itu, setiap stakeholder masih belum menyadari peran dan tanggung jawabnya dalam pengelolaan keamanan informasi.

Pelaksanaan pengelolaan keamanan di ITB masih bersifat insidental dan belum terencana dengan baik. Belum ada pengklasifikasian dan prioritas penanganan keamanan serta solusi keamanan yang tepat untuk insiden keamanan. Setiap tindakan masih dilakukan berdasarkan intuisi dari SDM. Belum ada pengukuran efektivitas dan kesesuaian proses dengan strategi perusahaan. Belum ada tindakan evaluasi terhadap kegiatan pengelolaan keamanan. Tindakan evaluasi ini baru akan direncanakan pelaksanaannya pada tahun 2014 mendatang.

Meskipun pengelolaan keamanan masih belum terencana dengan baik, setiap insiden keamanan yang terjadi pada ITB masih bisa ditangani dengan baik. Belum ada permasalahan dan kerugian yang ditimbulkan dari insiden keamanan yang terjadi di ITB. Mayoritas insiden keamanan terjadi karena serangan dari luar ITB. Insiden keamanan yang terjadi karena kesalahan lingkungan internal sangat sedikit dan biasanya disebabkan karena masih adanya personal computer yang menggunakan operating system windows xp yang merupakan sumber dari worm. Insiden keamanan ini selalu ditangani dengan tepat waktu sehingga pengguna sistem seringkali tidak menyadari adanya permasalahan keamanan

pada sistem. Selama ini, masing-masing stakeholder sudah cukup puas dengan kapabilitas keamanan sistem di ITB.

3.3. DSS05 Manage Security and ServiceProses pengelolaan keamanan dilakukan dengan cara membatasi hak akses. Informasi mengenai akademik hanya dapat diakses melalui jaringan internal. Jaringan internet diijinkan untuk mengakses halaman pendaftaran mahasiswa baru. Pada proses pendaftaran mahasiswa baru diperlukan auntentikasi keamanan yang dikirim via email. Autentikasi beserta username dan capstcha digunakan untuk mengakses halaman pendaftaran mahasiswa baru.

Layanan yang disediakan pada aplikasi pendaftaran mahasiswa baru tidak ada. Layanan pengisian informasi mahasiswa baru dilakukan dengan pendampingan dari staf ITB. Layanan pembayaran uang pendaftaran dan biaya kuliah terintegrasi dengan bank. Namun, untuk verifikasi belum terintegrasi dengan pihak bank.

4. Risk AnalysisBerikut ini merupakan analisis risiko yang mungkin terjadi akibat kelemahan perusahaan dalam melakukan proses seperti yang telah dijabarkan pada bagian 3.

4.1. APO12 Manage RiskBelum adanya kesadaran atas pengelolaan risiko yang menyeluruh pada ITB tentu saja menimbulkan berbagai potensi risiko, di antaranya ialah:

Teknologi informasi yang digunakan tidak memberikan manfaat yang maksimal bagi perusahaan.

Biaya implementasi TI yang dikeluarkan perusahaan tidak dihitung sehingga kemungkinan besar tidak sebanding dengan manfaat teknologi yang didapat.

Implementasi TI pada perusahaan belum tentu sesuai dengan kebutuhan perusahaan. Pelaksanaan kegiatan operasional perusahaan bisa terhambat karena adanya insiden risiko yang

tidak terduga dan penanganannya tidak maksimal.

4.2. APO13 Manage SecurityBerikut ini merupakan risiko yang mungkin terjadi akibat kelemahan perusahaan dalam melakukan pengelolaan keamanan:

Insiden keamanan infromasi yang tidak terduga dan belum pernah ditangani perusahaan bisa terjadi dan menimbulkan kerugian seperti terhambatnya kegiatan operasional perusahaan.

Sistem keamanan yang belum terintegrasi mengakibatkan pengguna harus mengingat berbagai macam password sehinga kesulitan dalam mengelola keamanan system.

Tidak adanya rencana, pengklasifikasian dan prioritas solusi keamanan serta minimnya jumlah SDM bisa menimbulkan tidak tertanganinya insiden keamanan apabila perusahaan mengalami insiden yang bertubi-tubi dalam waktu yang bersamaan.

4.3. DSS05 Manage Security and ServiceBerikut ini merupakan risiko yang mungkin terjadi pada pengelolaan keamanan dan layanan:

Layanan perbankan untuk pembayaran mata kuliah tidak dapat diakses ketika pendaftaran Sistem keamanan yang belum terintegrasi mengakibatkan pengguna harus mengingat berbagai

macam password sehinga kesulitan dalam mengelola keamanan system

5. RecommendationsUntuk mengatasi potensi risiko yang telah dijabarkan pada bagian 4, ITB dapat melakukan perbaikan pelaksanaan proses seperti rekomendasi berikut ini.

5.1. APO12 Manage RiskBerdasarkan potensi risiko di atas, maka sebaiknya perusahaan melakukan tindakan sebagai berikut:

Mendata dan melakukan analisis risiko TI berdasarkan lingkungan operasi, data historis risiko, strategi perusahaan, cost-benefit , manajemen risiko perusahaan secara keseluruhan serta kebutuhan perusahaan.

Membuat profil risiko yang terdiri atas risiko, potensi terjadinya, proses dan layanan yang terlibat, dampak risiko serta tindakan penanganan risiko tersebut.

Membuat kebijakan dan prosedur terkait manajemen risiko serta mendokumentasikannya, menentukan standar dan mengkomunikasikannya kepada seluruh stakeholder.

Mendefinisikan dokumen yang terlibat dalam kegiatan manajemen risiko serta kriteria dan kebutuhan informasi dari setiap dokumen tersebut.

Mengatur peran dan tanggung jawab stakeholder dalam kegiatan manajemen risiko dan mengkomunikasikannya agar masing-masing stakeholder sadar dan dapat berperan sesuai tanggung jawabnya.

Melaksanakan kegiatan manajemen risiko mulai dari kegiatan perencanaan, pengawasan serta pelaporan dan evaluasi kegiatan.

5.2. APO13 Manage SecurityBerikut ini merupakan rekomendasi perbaikan yang bisa dilakukan perusahaan dalam melakukan pengelolaan keamanan:

Membuat rencana keamanan dengan menganalisis insiden keamanan yang biasa terjadi beserta solusi, klasifikasi dan prioritas pengananan keamanannya.

Membuat kebijakan dan prosedur yang jelas dan tegas terkait pengelolaan kemanan agar proses ini dilakukan secara teratur bukan hanya insidental dan didasarkan oleh intuisi saja.

Menerapkan sistem keamanan yang terintegrasi satu ITB tidak terpisah-pisah. Membagi peran dan tanggung jawab stakeholder dalam melakukan pengelolaan keamanan

sesuai dengan kompetensinya serta mengkomunikasikannya.

Melakukan evaluasi proses pengelolaan keamanan secara berkala agar pengelolaan proses dapat terus ditingkatkan dan diperbaiki

5.3. DSS05 Manage Security and ServiceBerikut ini merupakan rekomendasi perbaikan yang bisa dilakukan ITB:

Menambah bandwidth ketika periode pendaftaran mahasiswa baru Meningkatkan kerjasama di bidang sharing layanan antara perbankan dan ITB.