Pengukuran Kesadaran Keamanan Informasi Perusahaan Finansial yang Berfokus kepada Pengukuran Tingkah Laku Sumber Daya ManusiaYudho Satrio Wirawan, SSi1. MT, Ir. Budi Rahardjo Ph.D2Sekolah Teknik Elektro dan Informatika, Institut Teknologi Bandung Jl. Ganesha 10 Bandung1

yudho.satria@gmail.com 2 br@paume.itb.ac.id

Abstrak Faktor sumber daya manusia (SDM) adalah akar permasalahan terjadinya pelanggaran keamanan, bila dibandingkan dengan kesalahan atau kecacatan pada teknologi yang digunakan di dalam perusahaan. Maka dari itu ada kebutuhan perusahaan untuk mengukur sejauh mana tingkat kesadaran SDM, sehingga dapat menjadi dasar dalam memberikan training keamanan informasi. Dari hasil studi literatur, belum terdapat standar pengukuran kesadaran akan keamanan informasi. Pengukuran kesadaran keamanan informasi dilakukan terhadap dua komponen yaitu: perusahaan dan SDM-nya. Pengukuran kesadaran keamanan informasi perusahaan dilakukan dengan menilai tingkat kematangan keamanan informasi berdasarkan ISO 27002:2005. Sedangkan pengukuran kesadaran keamanan informasi SDM dilakukan dengan menilai perilaku SDM-nya, masing-masing menggunakan kuesioner sebagai alat ukurnya. Hasil pengukuran melalui kuesioner menunjukkan bahwa perusahaan menyadari pentingnya kesadaran akan keamanan informasi, namun kesadaran keamanan informasi perusahaan ternyata tidak menjamin kesadaran keamanan informasi pada SDM-nya. Kata kunci sumber daya manusia, kesadaran keamanan informasi, perilaku.

menunjukkan bahwa perkembangan kontrol manajemen perusahaan terhadap SDM masih jauh terlambat dibandingkan desain dan implementasi keamanan informasi secara teknis. Maka dari itu dibutuhkan adanya kesadaran akan keamanan informasi SDM dalam perusahaan. 1.3 Tujuan Makalah ini bertujuan untuk melaporkan hasil penelitian terkait dengan metodologi pengukuran kesadaran keamanan informasi sumber daya manusia di perusahaan finansial. 1.4 Batasan Masalah Batasan masalah dalam makalah ini adalah sebagai berikut: 1. perusahaan yang disurvei adalah perusahaan yang memanfaatkan teknologi informasi secara intensif; 2. perusahaan yang dijadikan studi kasus penelitian tesis ini meminta untuk dirahasiakan identitasnya; 3. pengukuran kesadaran keamanan informasi dilakukan satu kali untuk dua bagian, yaitu: perusahaan dan sumber daya manusia; 4. pengukuran kesadaran keamanan informasi SDM hanya difokuskan pada pengukuran komponen perilaku manusia; 5. best practice standar keamanan yang digunakan adalah ISO 27002-2005; 6. tool yang digunakan untuk melakukan analisa statistik adalah SPSS dengan menggunakan fungsi analisis deskriptif. 2. Metodologi Keseluruhan langkah-langkah penelitian terdiri dari beberapa tahapan berikut ini: 1) studi literatur tentang apa saja yang terkait dengan topik yang dipelajari; 2) mengumpulkan data secara kualitatif melalui interview dengan pihak manajemen dan teknologi Informasi;

1. Pendahuluan 1.1 Definisi Keamanan informasi didefinisikan sebagai proses untuk melindungi atau memproteksi kerahasiaan (confidentiality), integritas (integrity), ketersediaan (availability) data dan informasi dari ancaman kerusakan, kecelakaan, ataupun tindakan kejahatan [9]. Sedangkan kesadaran keamanan informasi adalah tingkatan pengetahuan, sikap, serta kesediaan untuk bertindak dan berperilaku sesuai kebijakan keamanan informasi secara kontinu [6], [9], [10]. 1.2 Latar Belakang Berdasarkan hasil survei Deloitte [1] dan Infosecurity [5], faktor SDM adalah akar permasalahan terbesar terjadinya pelanggaran keamanan bila dibandingkan dengan kesalahan atau kecacatan pada teknologi yang digunakan. Hal ini

3) mengumpulkan data secara kuantitatif melalui survei kuesioner (paper based survey); 4) analisis data menggunakan tool statistik; 5) kesimpulan. Langkah-langkah tersebut dapat digambarkan sebagai berikut (Gambar 1):

yang dirasakan (sikap/attitude), dan apa yang dilakukan (perilaku/behavior). Masing-masing dimensi ini kemudian dibagi menjadi area fokus yang ingin diukur. Apabila diperlukan dapat dibagi lagi menjadi faktor yang lebih rinci, misalnya pada dimensi behavior (Gambar 2) dibedakan menjadi dua daerah fokus (policies dan password). Password dapat dipecah menjadi dua faktor: kerahasiaan dan tujuan password. Kerahasiaan password dapat dipecah menjadi sub faktor: bagaimana menuliskan password dan memberikan password kepada orang lain.Sites Dimensions Focus Area Factors Sub Factors

Overal Awareness Level

Site 1

Attitude

Site 2

Knowledge Policies

Write Confidentiality

Site n

Behavior Password

Give Purpose

Gambar 1. Metodologi penelitian Gambar 2. Ilustrasi struktur pohon

Interview terhadap pihak managerial divisi IT dan SDM dilakukan untuk menyesuaikan instrumen pengukuran (kuesioner) sesuai dengan demografi perusahaan yang meliputi: jumlah pegawai, jumlah divisi, template untuk pembuatan kuesioner. Pada penelitian ini pihak perusahaan bersedia bekerjasama untuk melakukan pengukuran kesadaran keamanan informasi karena sejalan dengan pekerjaan untuk mengaudit sistem informasi perusahaan. Setiap sumber daya manusia dalam perusahaan diwajibkan untuk mengisi kuesioner sesuai dengan apa yang mereka tahu dan pahami, karena ini bagian dari proses audit. A. Pengukuran Kesadaran Keamanan Informasi Perusahaan Kematangan keamanan informasi perusahaan didefinisikan sebagai ukuran kemampuan perusahaan untuk berada dalam kondisi yang aman berdasarkan aturan dan kebijakan keamanan informasi yang digunakan [2]. Untuk mengetahui tingkat kematangan perusahaan terhadap keamanan informasi sebagai ukuran kesadaran, digunakan dokumen ISO 27002:2005 [7]. B. Pengukuran Kesadaran Keamanan Informasi SDM Pengukuran kesadaran keamanan informasi SDM menggunakan model yang dikembangkan oleh Kruger dan Kearney [8]. Pengukuran dilakukan pada tiga dimensi yang setara yaitu apa yang diketahui (pengetahuan/ knowledge), apa

Pengukuran dilakukan dengan menggunakan kuesioner untuk melihat perilaku/behavior responden berdasarkan topik keamanan informasi. Asumsi yang digunakan dalam penelitian ini adalah: 1) behavior adalah tingkah laku yang merupakan respon dari apa yang sudah dipelajari (terkait dengan knowledge) atau didapatkan dari pengaruh lingkungan, budaya, etnis [4]; 2) berdasarkan hasil riset Stephanou dan Dagada [12], security behavior mencerminkan knowledge yang dipelajari atau didapatkan, serta pengaruh dari lingkungan; 3) Kruger dan Kearney [8] memberikan pembobotan sebesar 50% dari seluruh komponen penilaian; 4) responden sudah mengetahui adanya aturan yang mengharuskan agar kebijakan keamanan informasi terlaksana; 5) responden berada dalam kondisi sehat jasmani dan rohani sehingga jawaban yang diberikan adalah jawaban yang valid. Topik kuesioner untuk menguji behavior sumber daya manusia mengacu pada [3], [6], [8], dan [13]. Topik kuesioner ini dibagi menjadi 5 bagian dapat dilihat pada Tabel 1. di bawah ini:

TABEL 1 TOPIK KUESIONER

No 1 2 3 4 5

Topik Kuesioner Pengamanan dan manajemen password Penanganan informasi yang sensitif Rekayasa sosial Pengamanan lingkungan fisik dan kantor Respon bilamana ada insiden atau kesalahan pada prosedur, siapa yang harus dihubungi

3. Hasil dan Analisa Dari hasil pengukuran sumber daya manusia melalui kuesioner, didapatkan level kesadaran dari topik-topik keamanan informasi sebagai berikut:Gambar 4. Tingkat kesadaran keamanan informasi berdasarkan jenis kelamin

Gambar 5. Tingkat kesadaran kesadaran keamanan informasi berdasarkan umur

Gambar 3. Tingkat kesadaran kesadaran keamanan informasi keseluruhan untuk masing-masing topik kuesioner

kesadaran keamanan informasi lebih tinggi bila dibandingkan dengan kelompok umur yang lebih muda (20 s/d 40). Parameter yang lain yaitu tipe karyawan, karyawan full time lebih aware akan keamanan informasi bila dibandingkan dengan karyawan part time. Berdasarkan hasil analisa crosstabs: jenis kelamin, umur, divisi, dan jenis karyawan perlu dilibatkan dalam pengukuran kesadaran keamanan informasi. Untuk menguji efektifitas alat ukur kesadaran keamanan informasi sumber daya manusia pada pengukuran selanjutnya, perlu dilakukan pengukuran lebih dari satu kali. Pengukuran sebaiknya juga mengkombinasikan studi kuantitatif dan kualiltatif untuk melihat kecocokan jawaban yang diberikan melalui kuesioner dengan jawaban responden secara langsung melalui interview.Gambar 6 Tingkat kesadaran keamanan informasi berdasarkan tipe karyawan (full time dan part time)

Daftar Pustaka[1] Deloitte, Global Security Study for the Technology, Media, & Telecommunications (TMT) Industry, Raising the Bar, 2011. Tersedia : http://www.deloitte.com/assets/DcomGlobal/Local/Assets/Documents/TMT/dttl_TMT/2011/Global/Security/ Survey_High/res_191111.pdf (Dikunjungi 02/02/2012) Dzazali, S., Social Factors Influencing the Information Security Maturity of Malaysian Public Service Organization: An Empirical Analysis. ACIS 2006 Proceedings, 2006. ENISA, The new users guide: How to raise information security awareness, 2010. Tersedia : www.enisa.europa.eu/activities/awarenessraising/deliverables/2010/new-users-guide/at_download/fullReport/The new users guide_How to raise information security awareness_FINAL.pdf (Dikunjungi 01/02/2011) Feldman, R.S., Essential of Understanding Psychology. 7th Edition. McGraw-Hill College. Boston, River Ridge,2007. Infosecurity, Information Security Breach Survey (ISBS) 2010 Technical Report, 2010. Tersedia : http://www.infosec.co.uk/files/isbs_2010_technical_report_single_pages .pdf (Dikunjungi 12/07/2011) ISF, Effective Security Awareness. Information Security Forum, 2002. Tersedia : http://www.igt.connectingforhealth.nhs.uk/Knowledgebase/Kb/ISF documents/Effective Security Awareness 22-04-02.pdf (Dikunjungi 12/07/2011) ISO/IEC 27002-2005, Information Technology Security Techniques Code of Practice for Information Security Management. International Standards Organization, 2005. Tersedia : http://www.iso.org Kruger, H., dan Kearney, W., A prototype for assessing information security Awareness, Computers and Security, 25(4), 289 296, 2006. Merkow, M.S. dan Breithaupt, J., Information Security: Principles and Practices. Upper Saddle River, New Jersey: Pearson Education, 2006. Shaw, R. S., Chen, C. C., Harris, A. L., dan Huang, H. J., The impact of information richness on information security awareness training effectiveness. Computer Education, 52, 92100, 2009. SP 800-50, Building an Information Technology Security Awareness and Training Program, NIST Special Publication 800-50, 2003. Stephanou, A. T., dan Dagada, R., The Impact of Information Security Awareness Training on Information Security Behaviour: the Case for Further Research. ISSA 2008 Conference, University of Johannesburg, 2008. Veseli, I., Measuring the Effectiveness of Information Security Awareness Program, Masters tesis, Gjvik University College, 2011.

Tingkat kesadaran keamanan informasi yang rendah, lebih berpotensi untuk terjadinya pelanggaran keamanan. Dengan menggunakan uji Chi Square dalam fungsi crosstabs, didapatkan hubungan antara dua variabel berikut ini: 1) kelompok umur dengan pernyataan tidak keberatan memberitahukan password kepada orang divisi IT bila diminta; 2) kelompok umur dengan pernyataan menuliskan informasi pekerjaan di situs jejaring sosial; 3) divisi dengan pernyataan menggunakan sekurangkurangnya dua password; 4) divisi dengan pernyataan secara regular membicarakan tentang bagaimana memproteksi informasi yang sensitif; 5) divisi dengan pernyataan menaruh kertas-kertas dokumen sensitif pada recycle bin untuk kertas; 6) jenis kelamin dengan pernyataan menggunakan inisial lirik lagu sebagai password; 7) jenis kelamin dengan pernyataan tidak menggunakan screen saver ber-password pada PC kantor; 8) jenis karyawan dengan pernyataan menulis password disebuah kertas dan meletakkan di dekat komputer. 4. Kesimpulan Dari hasil interview dan kuesioner perusahaan menunjukkan bahwa perusahaan menyadari pentingnya kesadaran akan keamanan informasi, namun kesadaran akan keamanan informasi perusahaan tidak menjamin kesadaran keamanan informasi pada sumber daya manusianya. Hal ini dapat dilihat pada topik rekayasa sosial dan topik pengamanan lingkungan fisik dan kantor yang memiliki tingkat kesadaran paling rendah; Pengukuran pada parameter jenis kelamin menunjukkan bahwa laki-laki lebih aware akan keamanan informasi bila dibandingkan perempuan. Sedangkan pada kelompok umur didapatkan bahwa kelompok umur 41 s/d 50 memiliki tingkat

[2] [3]

[4] [5]

[6]

[7] [8] [9] [10] [11] [12]

[13]