Buku ini disebarluaskan secara gratis, mengutip sebagian atau secara

keseluruhan dari buku ini diharapkan untuk mencantumkan nama penulis

Buku ini dipersembahkan untuk Rahmawati Parnengga (Perdana) dan Ayu Ratna Sari (Aries)

PENYUSUNAN PROSES TATA KELOLA KEAMANAN INFORMASI

DAN MANAJEMEN LAYANAN TI BERBASIS COBIT 5

Oleh

PERDANA KUSUMAH, M.T.

ARIES SYAMSUDDIN, M.T.

ii

SINOPSIS

Penerobosan keamanan informasi terhadap sistem teknologi informasi dan

komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan

kerugian finansial. Selain itu, permasalahan keamanan dapat berakibat terhadap

bocornya informasi yang dapat disalahgunakan oleh pihak yang tidak

berkepentingan. Hal ini dapat berakibat buruk terhadap citra organisasi terutama

untuk lembaga pemerintah yang mengelola data rahasia. Permasalahan keamanan

informasi umumnya diselesaikan secara parsial dan terbatas. Kelemahan sekecil

apapun pada sistem keamanan informasi dapat memberikan dampak negatif

terhadap pencapaian tujuan organisasi. Oleh karena itu, pembahasan keamanan

informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk mengamankan

pencapaian tujuan tersebut. Buku ini membahas model proses tata kelola keamanan

informasi yang menyeluruh dan terintegrasi pada suatu organisasi.

Buku ini memiliki tiga hal penting yang dapat dijadikan acuan atau pedoman

penyusunan proses tata kelola keamanan informasi di suatu organisasi, yaitu: alat

bantu penentuan lingkup proses tata kelola, model referensi proses dan model

penilaian proses.

Kata

kunci:

keamanan informasi, tujuan organisasi, tujuan TI, risiko, sistem

manajemen layanan, proses tata kelola, proses governance, proses

manajemen, model referensi proses, model penilaian proses,

enablers.

iii

KATA PENGANTAR

Puji syukur penulis panjatkan ke hadirat Allah SWT, yang atas rahmat dan karunia-

Nya penulis dapat menyelesaikan buku ini. Shalawat dan salam tercurah kepada

Rasulullah Muhammad SAW beserta keluarganya.

Buku ini disusun untuk membantu dalam penyusunan proses tata kelola keamanan

informasi, beberapa keluaran yang terdiri atas: alat bantu penentuan lingkup proses

tata kelola, model referensi proses, model penilaian proses, rekomendasi dan

langkah penerapan tata kelolanya. Hal yang harus dibuat dalam penyusunan proses

tata kelola keamanan informasi mencakup menentukan lingkup proses, membuat

model referensi proses dan membuat model penilaian proses; model tata kelola

yang dibuat dalam buku ini telah sesuai dengan kebutuhan keamanan informasi di

organisasi secara umum, sehingga pembaca dapat mengadopsi dan menambahkan

sesuai dengan kondisi organisasi yang akan diterapkan tata kelola keamanan

informasi.

Dengan segala kerendahan hati, penulis mengucapkan terima kasih kepada penerbit

yang telah membantu menerbitkan buku ini. Penulis juga mengucapkan terima

kasih kepada rekan-rekan, yang telah banyak membantu dalam penyusunan buku

ini, tidak lupa pula program studi Magister Informatika opsi Layanan Teknologi

Informasi STEI ITB dan Cyber Security Center ITB tempat penulis belajar.

Penulis menyadari bahwa buku ini bukanlah tanpa kelemahan. Oleh karena itu,

kritik dan saran sangat diharapkan untuk menjadi masukan dalam penulisan

selanjutnya. Akhir kata, semoga buku ini dapat bermanfaat secara luas untuk

kepentingan dunia pendidikan dan masyarakat Indonesia khususnya bagi para

pembacanya.

Bandung, Februari 2014

Penulis

iv

DAFTAR ISI

KATA PENGANTAR ........................................................................................... iii

DAFTAR ISI .......................................................................................................... iv

DAFTAR LAMPIRAN .......................................................................................... vi

DAFTAR GAMBAR ............................................................................................ vii

DAFTAR TABEL ................................................................................................ viii

DAFTAR SINGKATAN ....................................................................................... ix

BAGIAN I PENDAHULUAN ................................................................................ 1

1.1 Latar Belakang ........................................................................................ 1

1.2 Batasan Penyusunan TKKI ..................................................................... 3

1.3 Keluaran Penyusunan TKKI ................................................................... 3

BAGIAN II TEORI PENDUKUNG ....................................................................... 4

2.1 Governance ............................................................................................. 4

2.2 Framework .............................................................................................. 4

2.3 Risiko ...................................................................................................... 6

2.4 Organisasi ................................................................................................ 7

2.5 SDM, Proses dan Teknologi ................................................................... 7

2.6 Informasi ................................................................................................. 8

2.7 Service ..................................................................................................... 9

2.8 Kebijakan dan Prinsip ............................................................................. 9

2.9 Budaya dan Perilaku ............................................................................. 11

2.10 Manajemen ............................................................................................ 11

BAGIAN III TEORI UTAMA .............................................................................. 12

3.1 COBIT 5 ................................................................................................ 12

3.2 COBIT 5 Enabling Process .................................................................. 19

3.3 COBIT 5 for Risk .................................................................................. 21

3.4 Process Assessment Model (PAM) ....................................................... 22

3.5 COBIT 5 for Information Security ........................................................ 25

3.6 Manajemen Layanan TI ........................................................................ 25

BAGIAN IV METODE PENYUSUNAN TKKI .................................................. 28

4.1 Analisis Kebutuhan ............................................................................... 28

v

4.1.1 Penentuan Tujuan Organisasi ............................................................ 29

4.1.2 Penentuan Tujuan TI ......................................................................... 29

4.1.3 Penentuan Sistem Manajemen Layanan............................................ 29

4.1.4 Penilaian Risiko ................................................................................ 30

4.2 Perancangan .......................................................................................... 32

4.2.1 Perancangan Model Referensi Proses ............................................... 32

4.2.2 Perancangan Model Penilaian Proses ............................................... 33

4.3 Analisis Kesenjangan ............................................................................ 34

4.4 Pemberian Rekomendasi ....................................................................... 34

4.5 Penerapan .............................................................................................. 34

BAGIAN V PENYUSUNAN TKKI ..................................................................... 35

5.1 Alat Bantu Penentuan Lingkup TKKI .................................................. 35

5.1.1 Pemetaan Tujuan Organisasi ............................................................. 36

5.1.2 Pemetaan Tujuan TI .......................................................................... 37

5.1.3 Pemetaan Manajemen Layanan TI .................................................... 39

5.1.4 Penilaian Prioritas Risiko .................................................................. 45

5.1.5 Penetapan Lingkup Proses yang Dinilai ........................................... 48

5.2 Model Referensi Proses......................................................................... 49

5.3 Model Penilaian Proses ......................................................................... 53

5.3.1 Hasil Penilaian Proses ....................................................................... 60

5.3.2 Analisis Kesenjangan ........................................................................ 60

5.4 Rekomendasi ......................................................................................... 61

5.5 Langkah Penerapan ............................................................................... 61

BAGIAN VI PENUTUP ....................................................................................... 64

DAFTAR PUSTAKA ........................................................................................... 65

PROFIL SINGKAT PENULIS ............................................................................. 70

vi

DAFTAR LAMPIRAN

LAMPIRAN A MODEL REFERENSI PROSES ............................................... A-1

LAMPIRAN B MODEL PENILAIAN PROSES ............................................... B-1

vii

DAFTAR GAMBAR

Gambar II-1Security framework for EPU[19]. .......................................................... 6

Gambar II-2 Level kebijakan[40]. ........................................................................... 10

Gambar III-1 COBIT 5 enablers[58]. ..................................................................... 13

Gambar III-2 Pemetaan enablers dan tujuan organisasi[58]. .................................. 15

Gambar III-3 Proses governance dan management[58]. ......................................... 15

Gambar III-4 Kerangka kerja PAM[61]. ................................................................. 22

Gambar III-5 Indikator penilaian[63]. ..................................................................... 24

Gambar III-6 Model penilaian proses COBIT 5[64]. .............................................. 24

Gambar IV-1 Alur proses penentuan lingkup. ...................................................... 28

Gambar IV-2 Penentuan lingkup tujuan organisasi. ............................................. 29

Gambar IV-3 Penentuan lingkup tujuan TI. .......................................................... 30

Gambar IV-4 Pemetaan proses COBIT 5 dan ITIL v3. ........................................ 31

Gambar IV-5 Penentuan prioritas risiko. .............................................................. 31

Gambar IV-6 Alur proses perancangan................................................................. 32

Gambar IV-7 Perancangan model referensi proses. .............................................. 33

Gambar IV-8 Perancangan model penilaian proses. ............................................. 33

viii

DAFTAR TABEL

Tabel III.1 Tujuan organisasi[58]. ........................................................................... 14

Tabel III.2 Tujuan terkait TI[58]. ............................................................................ 14

Tabel III.3 Pemetaan tujuan generik TI dan organisasi[58]. ................................... 16

Tabel III.4 Pemetaan tujuan generik TI dan proses tata kelola[58]. ....................... 17

Tabel III.5 Skenario risiko[60]. ............................................................................... 21

Tabel V.1 Contoh tujuan organisasi. ..................................................................... 36

Tabel V.2 Tujuan TI Organisasi............................................................................ 37

Tabel V.3 Contoh rangkuman proses tata kelola terpilih. ..................................... 38

Tabel V.4 Pemetaan proses COBIT 5 dan ITIL v3. .............................................. 41

Tabel V.5 Rangkuman pemetaan proses COBIT 5 dan ITIL v3........................... 44

Tabel V.6 Penilaian prioritas risiko. ..................................................................... 45

Tabel V.7 Contoh pemetaan kategori risiko dan proses terkait mitigasi risiko. ... 46

Tabel V.8 Contoh prioritas proses tata kelola. ...................................................... 47

Tabel V.9 Proses tata kelola organisasi terpilih berdasarkan prioritas. ................ 48

Tabel V.10 Contoh model referensi proses EDM05. ............................................ 50

Tabel V.11 Contoh rekapitulasi model penilaian proses EDM05. ........................ 53

Tabel V.12 Contoh model penilaian proses EDM05. ........................................... 55

Tabel V.13 Contoh analisis kesenjangan. ............................................................. 60

Tabel V.14 Langkah penerapan perubahan tata kelola. ........................................ 62

ix

DAFTAR SINGKATAN

SINGKATAN Nama Pemakaian Pertama

Kali pada Halaman

APO Align, Plan and Organise 14

BAI Build, Acquire and Implement 15

BP Best Practice 25

BSC Balanced Score Card 14

CSI Continual Service Improvement 28

DSS Deliver, Service and Support 15

EDM Evaluate, Direct and Monitor 14

EG Enterprise Goals 14

GP Generic Practice 25

GR Generic Resoruce 25

GWP Generic Work Product 25

ITRG IT-Related Goals 14

MEA Monitor, Evaluate and Assess 15

PA Process Attribute 24

PAM Process Assessment Model 23

SD Service Design 28

SDM Sumber Daya Manusia (people) 7

SMKI Sistem Manajemen Keamanan

Informasi

5

SO Service Operation 28

SS Service Strategy 27

ST Service Transition 28

TI Teknologi Informasi 2

TIK Teknologi Informasi dan Komunikasi 1

TKKI Tata Kelola Keamanan Informasi 2

WP Work Product 25

1

BAGIAN I

PENDAHULUAN

1.1 Latar Belakang

Penerobosan keamanan informasi terhadap sistem teknologi informasi dan

komunikasi (TIK) dapat memberikan dampak terhadap kinerja organisasi dan

kerugian finansial. Kondisi tersebut membuat keamanan informasi menjadi faktor

yang sangat penting untuk diterapkan dalam organisasi[1-3]. Selain itu, faktor kunci

lain yang sangat berpengaruh dalam keamanan informasi adalah security awareness

[4]. Berdasarkan survei tahun 2005 yang dilakukan oleh CSI/FBI Computer Crime

and Security, serangan online atau cyber attack pada sistem TIK dapat

menyebabkan total kerugian finansial yang sangat besar yaitu melebihi 50 juta

dollar[2,5]. Selain itu, permasalahan keamanan dapat berakibat terhadap bocornya

informasi yang dapat disalahgunakan oleh pihak yang tidak berkepentingan. Oleh

karena itu, anggaran biaya keamanan informasi sebesar 10 13% dari total investasi

TIK merupakan hal yang wajar diterapkan pada sebagian besar organisasi[6].

Keamanan informasi untuk melindungi bisnis dan TIK dari berbagai serangan dan

ancaman umumnya dilakukan hanya berfokus pada solusi teknis saja tanpa

memikirkan aspek manajemen[7,8]. Salah satu contoh solusi engineering yang

dimaksud adalah penggunaan teknologi artificial intelligence untuk mengatur

access control melalui agents dalam sistem manajemen risiko keamanan

informasi[9]. Di Korea, penerapan sistem keamanan informasi secara parsial dapat

berdampak pada besarnya anggaran yang dikeluarkan karena tidak dapat mengatur

tim keamanan informasi yang terintegrasi secara konsisten[10].

Pada tahun 2012, tim Korea University melakukan riset keamanan informasi dan

menyatakan bahwa pengendalian keamanan dilakukan berdasarkan identifikasi

risiko[11]. Riset yang dilakukan oleh tim JianZhu University menyatakan bahwa

permasalahan sistem keamanan informasi dapat diatasi dengan penerapan

manajemen risiko keamanan teknologi informasi (TI) dan pengendalian sistem

2

informasi. Pada level aplikasi atau service, keamanan juga perlu diterapkan untuk

melindungi informasi yang dikirimkan oleh service provider melalui mekanisme

identity management[12]. Secara garis besar, riset-riset yang telah dilakukan

mengenai keamanan informasi terkait dengan permasalahan tata kelola[13,14],

framework[6,15-20], risiko[9,11,15,17,19,21-23], teknologi/infrastruktur[6,15,19,24-30],

organisasi[31], sumber daya manusia[6,15], proses[6,15], informasi[1,3,5,31-33],

aplikasi/service[12,34-39], kebijakan/prinsip[6,31,40-41], budaya/tingkah laku[4,8,42] dan

manajemen[2,7,10,29,31,38,43-49].

Permasalahan keamanan informasi yang telah dibahas dalam beberapa penelitian

sebelumnya masih bersifat parsial dan terbatas. Penerapan tersebut biasanya hanya

mencakup area manajemen dari suatu organisasi. Kelemahan sekecil apapun pada

sistem keamanan informasi dapat memberikan dampak negatif terhadap pencapaian

tujuan enterprise atau organisasi secara luas. Oleh karena itu, pembahasan

keamanan informasi yang menyeluruh dan terintegrasi sangat diperlukan untuk

mengamankan pencapaian tujuan tersebut. Saat ini belum ada penelitian yang

membahas tata kelola keamanan informasi secara menyeluruh pada institusi

pemerintahan ataupun perusahaan seperti yang dibahas dalam COBIT 5[50] terutama

pada sistem berbasis manajemen layanan TI [36,51-54].

Tata kelola keamanan informasi yang menyeluruh sangat bermanfaat bagi pimpinan

atau manajemen tingkat atas sebagai panduan dan pedoman dalam menerapkan

keamanan informasi khususnya layanan TI di dalam organisasinya. Pada akhirnya,

penerapan tersebut dapat melindungi organisasi dari risiko yang dapat memberikan

kerugian khususnya finansial. Manfaat yang diberikan dapat dirasakan terutama

oleh organisasi berbasis TI yang menganggap bahwa keamanan informasi

merupakan faktor yang sangat penting. Organisasi tersebut dapat berupa sektor

publik, non-profit ataupun swasta.

Buku ini menampilkan suatu model penerapan tata kelola keamanan informasi

(TKKI) yang menyeluruh dan terintegrasi pada suatu organisasi. Penerapan tata

kelola tersebut dapat dikaitkan dengan sistem berbasis manajemen layanan pada

berbagai jenis organisasi.

3

1.2 Batasan Penyusunan TKKI

Batasan masalah pada penyusunan buku ini adalah sebagai berikut.

a. Perancangan tata kelola keamanan informasi dikaitkan dengan sistem

manajemen layanan.

b. Penilaian dan perancangan model tata kelola keamanan informasi

menggunakan kerangka kerja COBIT 5, ITIL v3 dan ISO/IEC 15504 series.

1.3 Keluaran Penyusunan TKKI

Buku ini memberikan panduan penyusunan TKKI yang meliputi:

a. alat bantu penentuan lingkup proses tata kelola keamanan informasi,

b. model referensi proses tata kelola keamanan informasi,

c. model penilaian proses yang berfungsi sebagai alat ukur tingkat

capability/kematangan tata kelola keamanan informasi.

4

BAGIAN II

TEORI PENDUKUNG

2.1 Governance

Governance adalah proses pembentukan dan pemeliharaan suatu framework,

manajemen dan proses untuk memberikan jaminan bahwa strategi yang digunakan

sejalan dan mendukung tujuan bisnis[13-14]. Strategi tersebut konsisten terhadap

hukum dan peraturan, sesuai dengan kebijakan, pengawasan internal, tanggung

jawab dan semua upaya dalam rangka mengatur risiko. Prinsip-prinsip governance

terdiri atas[55]:

a. strategic alignment, tujuan governance sejalan dengan tujuan organisasi;

b. manajemen risiko, governance merupakan bagian yang tidak terpisahkan dari

enterprise risk management;

c. pemberian layanan, governance memberikan dukungan terhadap kebutuhan

bisnis dan value yang diharapkan;

d. optimasi sumber daya, governance berhubungan dengan perencanaan,

pengalokasian dan pengendalian sumber daya seperi orang, proses dan

teknologi yang dapat memberikan nilai kepada bisnis;

e. evaluasi kinerja berkelanjutan, governance berfungsi untuk mengawasi kinerja

dari proses-proses yang ada.

Penerapan governance dapat memberikan manfaat yang besar terhadap TI dan

keamanan informasi apabila menggunakan framework yang tepat[56].

2.2 Framework

Framework dapat diartikan sebagai sekumpulan konsep, asumsi dan praktik yang

mendefinisikan bagaimana sesuatu dapat dipahami. Beberapa contoh framework

yang umum digunakan dalam keamanan informasi dapat dijelaskan sebagai berikut.

a. NIST SP 800-53 merupakan salah satu standar yang dikembangkan oleh

National Institute of Standards and Technology untuk membantu organisasi

5

mengelola isu yang terkait dengan manajemen pengendalian hak akses

pengguna terhadap sistem informasi dan lingkungannya[15].

b. COBIT 4.1 merupakan IT governance framework yang membantu managers

untuk menjembatani perbedaan antara control requirement, isu teknis dan risiko

bisnis. Framework ini berfokus pada cara memberikan informasi yang sesuai

dengan kebutuhan bisnis[15,18].

c. ISO 27000 series merupakan dokumen standar keamanan yang dikeluarkan

oleh ISO (the International Organization for Standardization) and IEC (the

International Electrotechnical Commission). ISO 27000 series terdiri atas

beberapa bagian yang memiliki fungsi masing-masing. ISO/IEC 27001

mengandung persyaratan untuk sebuah Sistem Manajemen Keamanan

Informasi (SMKI). ISO/IEC 27005 mendeskripsikan tentang manajemen risiko

keamanan informasi. SMKI terdiri atas proses, prosedur dan sumber daya yang

terkait dengan keamanan informasi[16]. Standar ISO/IEC 27001 dibuat secara

terstruktur berdasarkan model proses Plan-Do-Check-Act (PDCA). Proses

tersebut terdiri atas[57]:

1). plan, proses penyusunan SMKI;

2). do, proses pengimplementasian dan pengoperasian SMKI;

3). check, proses pengawasan dan pengkajian SMKI;

4). act, proses pemeliharaan dan perbaikan SMKI.

ISO 27000 series selanjutnya yang terkait dengan keamanan informasi adalah

ISO/IEC 27002 atau disebut juga ISO/IEC 17799. Lingkup ISO/IEC 17799

adalah untuk membentuk pedoman dan prinsip-prinsip umum dalam

penginisialisasian, pengimplementasian, pemeliharaan dan perbaikan

manajemen keamanan informasi dalam suatu organisasi. Standar ini mencakup

kebijakan keamanan, organisasi keamanan, pengaturan dan klasifikasi aset,

keamanan personil, keamanan lingkungan dan fisik, manajemen operasi dan

komunikasi, pengaturan akses, pengembangan dan pemeliharaan sistem dan

manajemen keberlangsungan bisnis[6,20].

d. NIST SP 800-82 merupakan salah satu standar yang dikembangkan oleh

National Institute of Standards and Technology yang membahas tentang proses

6

manajemen risiko secara komprehensif dan berkelanjutan terhadap keamanan

sistem[17].

e. Security Framework for EPU (Electric Power Utilities) merupakan framework

gabungan yang dibuat oleh Ericsson untuk mengatur keamanan informasi[19].

Framework ini terdiri atas empat bagian, yaitu:

1). enterprise risk management menggunakan COSO,

2). IT Governance menggunakan COBIT,

3). IT Service Management menggunakan ISO/IEC 20000 dan ITIL,

4). IT Security Management menggunakan ISO/IEC 27001-2.

Hubungan keempat bagian di atas dapat ditunjukkan oleh Gambar II-1.

Gambar II-1Security framework for EPU[19].

2.3 Risiko

Risiko dapat diartikan sebagai kemungkinan ancaman menggunakan kelemahan

sistem yang ada sehingga memberikan pengaruh negatif terhadap organisasi[11].

Manajemen risiko muncul sebagai solusi untuk mengurangi dampak dan

kemungkinan risiko sampai kepada level yang dapat diterima. Manajemen risiko

merupakan suatu metode atau proses untuk membuat, mengimplementasikan,

menjalankan, mengawasi, mengkaji, memelihara dan memperbaiki secara

berkelanjutan proses SMKI[17,22,23]. Pada umumnya, manajemen risiko terdiri atas

proses penilaian risiko dan perlakuan risiko. Penilaian risiko terdiri atas identifikasi

7

risiko, analisis risiko dan evaluasi risiko. Manajemen risiko memiliki elemen-

elemen sebagai berikut[21]:

a. aset, merupakan obyek utama dari keamanan informasi yang seharusnya

dilindungi sebagai informasi atau sumber daya yang krusial dalam suatu

enteprise termasuk perangkat keras, perangkat lunak, kemampuan produk dan

layanan, sumber daya manusia dan aset lain yang intangible;

b. ancaman, merupakan aktivitas potensial yang dapat menyebabkan kerusakan

pada enterprise dan asetnya;

c. kelemahan, merupakan kekurangan yang melekat pada aset;

d. pengaruh, merupakan konsekuensi terhadap aset ketika suatu risiko terjadi;

e. risiko,

f. pengukuran keamanan, merupakan suatu cara, strategi dan mekanisme untuk

melawan ancaman, mengurani kelemahan, membatasi pengaruh dari risiko,

mendeteksi risiko dan mengevaluasi keamanan.

Contoh framework yang digunakan untuk menerapkan manajemen risiko adalah

Enterprise Risk Management (COSO) dan Risk Management ISO/IEC

31000:2009[19].

2.4 Organisasi

Menurut Kyung dkk., keamanan informasi tidak hanya berfokus pada sistem

informasi atau teknologi informasi saja, tetapi harus mempertimbangkan

keseluruhan organisasi. Selain hal tersebut, pembuatan kebijakan keamanan

informasi harus memperhatikan aspek-aspek organisasi sebagai berikut[31]:

a. formasi organisasi dan profesionalitas yang tepat,

b. sistem manajemen yang sistematis untuk keamanan informasi,

c. otorisasi dan tugas bagian keamanan informasi.

2.5 SDM, Proses dan Teknologi

Menurut Nwafor dkk., saat ini keamanan informasi sangat erat kaitannya dengan

kebutuhan organisasi untuk mengimplementasikan kontrol yang tepat dalam rangka

melakukan mitigasi risiko. Sumber risiko yang dimaksud adalah sumber daya

8

manusia (SDM), proses dan teknologi. SDM merupakan bagian terlemah dari

sistem keamanan informasi[15]. Menurut Dey, SDM, proses dan teknologi juga

merupakan komponen penting dalam SMKI. SDM dapat bertindak sebagai pekerja

dalam suatu organisasi mulai dari pihak manajemen senior sampai dengan end

users. SDM harus disiapkan dan dimotivasi agar dapat memahami pentingnya

keamanan dan mengikuri aturan yang ada. Proses harus didefinisikan berdasarkan

tujuan bisnis yang spesifik untuk melindungi aset informasi[6].

Teknologi atau dapat disebut infrastruktur merupakan salah satu aspek yang

digunakan untuk mengamankan informasi. Contoh pemanfaatan teknologi atau

infrastruktur yang digunakan untuk mengamankan informasi yaitu:

a. enkripsi database, merupakan enkripsi database dengan menggunakan teknik

enkripsi simetrik atau asimetrik[24];

b. network management system, merupakan solusi untuk mengamankan

pertukaran informasi antar domain yang berbeda[25];

c. keamanan pada Local Area Network (LAN), merupakan keamanan yang

diterapkan pada lapisan jaringan, sistem operasi database[26];

d. mobile ad hoc network (MANET) security, merupakan solusi keamanan pada

jaringan mobile yang digunakan untuk pertukaran data secara efektif dan

aman[27];

e. optical techniques untuk keamanan dan enkripsi informasi, merupakan solusi

keamanan pada gelombang optik[28];

f. supervisory control and data acquisition (SCADA), merupakan sistem

pengaturan keamanan cyber[19];

g. instrumentation and control network security management system (ICNSMS),

merupakan sistem keamanan jaringan yang mengacu standar NUREG-0800[29];

h. secure key generation, merupakan teknik pengamanan data yang dikirimkan

melalui media wireless untuk menghindari fading channel dan eavesdropper[30].

2.6 Informasi

Informasi adalah sumber utama dari semua aktivitas sosial dan kehidupan ekonomi

yang dapat dikumpulkan, dianalisis dan dipahami[31]. Informasi harus aman dan

9

konsisten walaupun terdapat ancaman keamanan dan diakses secara bersamaan oleh

berbagai macam sumber[32]. Salah satu dampak negatif penerobosan terhadap

keamanan informasi adalah penurunan kinerja finansial[1].

2.7 Service

Secara teknis, service adalah fungsi aplikasi yang didefinisikan melalui suatu

interface. Service memiliki sifat loose coupling, independent, interoperable,

reusable dan composable. Service dapat dikombinasi dan disusun ulang yang

disesuaikan dengan kebutuhan bisnis[37]. Sistem aplikasi yang dibentuk berbasiskan

service disebut Service Oriented Architecture (SOA). Pada lingkungan SOA,

service requestor dan service provider saling memberikan informasi mengenai

identitas ketika melakukan pengiriman pesan. Keamanan pada SOA dapat diatur

dengan penggunaan identity management[12].

Secara umum, service dapat diartikan sebagai pemberian value kepada pelanggan

berupa outcome yang dibutuhkan tanpa harus menanggung risiko dan biaya[51].

Proses yang dibutuhkan untuk menerapkan keamanan pada service yaitu[34]:

a. incident management,

b. capacity management,

c. configuration management,

d. performance management.

2.8 Kebijakan dan Prinsip

Menurut Solms dkk.[40], kebijakan dapat diterapkan pada tiga level yaitu strategis,

taktis dan operasional seperti yang ditunjukkan pada Gambar II-2.

Komponen kebijakan keamanan informasi terdiri atas[31]:

a. Strategi,

b. Sistem atau organisasi,

c. Regulasi.

10

Menurut Hai dkk., kebijakan dan prinsip keamanan memiliki jenis-jenis sebagai

berikut[41].

a. Prinsip keamanan.

1). Hirarki artinya setiap keamanan seharusnya diadopsi berdasarkan

kebutuhan pada masing-masing lapisan.

2). Bebas artinya keamanan tidak tergantung kepada arsitektur keamanan

secara keseluruhan.

3). Beragam artinya berbagai macam pengguna, proses atau host dapat

mengadopsi hal yang sama.

4). Dapat diatur artinya keamanan dapat dikonfigurasi.

5). Menyeluruh artinya keamanan disusun berdasarkan konsep secara

menyeluruh.

Gambar II-2 Level kebijakan[40].

b. Kebijakan keamanan.

1). Keamanan jaringan.

2). Keamanan data.

3). Keamanan aplikasi.

4). Keamanan platform sistem.

Kebijakan disusun untuk mendefinisikan siapa yang melakukan, kapan dan

bagaimana cara mencegah ancaman yang terjadi dan memperbaiki kerusakannya.

11

2.9 Budaya dan Perilaku

Menurut Waly dkk.[8], faktor yang mempengaruhi penerobosan keamanan adalah

organisasi, perilaku dan pelatihan. Faktor tersebut juga akan mempengaruhi

implementasi kebijakan keamanan organisasi. Identifikasi yang dilakukan terhadap

faktor tersebut akan memberikan gambaran bahwa melatih pekerja sangat penting

dilakukan agar terbentuk perilaku yang dapat mengurangi terjadinya penerobosan

keamanan dan memperbaiki manajemen keamanan informasi. Upaya pencegahan

terhadap penyalahgunaan perilaku pekerja dilakukan dengan cara teguran dan

sanksi melalui prosedur pengendalian. Faktor budaya juga mempengaruhi perilaku

orang terhadap keamanan[4]. Perbedaan budaya akan menunjukkan tingkatan yang

berbeda pada security awareness.

Pelatihan dapat membantu pengguna untuk mengeksplorasi informasi yang

dibutuhkan dan mengembangkan pemahaman yang efektif tentang bagaimana

melaksanakan kebijakan keamanan informasi. Program pelatihan dan awareness

dapat digunakan untuk mempengaruhi budaya organisasi terhadap keamanan.

Organisasi juga harus menyelidiki teknik pelatihan dan awareness yang efektif

untuk meningkatkan persepsi pekerja, sikap dan motivasi, mentransfer

keterampilan dan mempertahankan perilaku yang tepat terhadap keamanan

informasi[8,42].

2.10 Manajemen

Manajemen keamanan informasi dapat diartikan sebagai cara menyimpan informasi

secara aman, mengirim informasi penting melalui jalur yang aman dan cara

mengidentifikasi tujuan informasi yang aman[43]. SMKI adalah kumpulan proses

dan aktivitas untuk menjamin tiga faktor (kerahasiaan, integritas dan ketersediaan)

dan merupakan sistem manajemen sistematis yang mencakup sumber daya

manusia, proses dan sistem informasi untuk melindungi informasi yang dimiliki

organisasi secara aman[10]. SMKI mencakup empat subsistem yaitu strategi

keamanan, jaminan keamanan organisasional, hukum dan regulasi manajemen

keamanan dan dukungan teknis manajemen keamanan[45].

12

BAGIAN III

TEORI UTAMA

3.1 COBIT 5

Menurut COBIT 5[58], informasi adalah sumber daya utama bagi semua enterprise.

Informasi dapat dibuat, digunakan, disimpan, diperlihatkan atau dihancurkan.

Teknologi memiliki peran penting terhadap informasi. Teknologi informasi sangat

dibutuhkan oleh enterprise, lingkungan sosial, masyarakat dan bisnis.

Enterprise yang sukses telah mengakui bahwa dewan direksi dan eksekutif perlu

merangkul TI seperti bagian penting dalam menjalankan bisnis. Dewan direksi dan

manajemen yang terkait dengan bisnis dan TI harus berkolaborasi dan bekerja sama

agar TI dapat dikelola dan diatur.

COBIT 5 memberikan framework yang komprehensif untuk membantu enterprise

mencapai tujuan dalam kerangka governance dan management dari enterprise TI.

COBIT 5 memungkinkan TI untuk diatur dan dikelola secara holistik. COBIT 5

bersifat generik dan berguna untuk seluruh jenis enterprise. COBIT 5 memiliki lima

prinsip, yaitu:

a. meeting stakeholder needs,

b. covering the enterprise end-to-end,

c. applying a single, integrated framework,

d. enabling a holistic approach,

e. separating governance from management.

COBIT 5 memiliki enablers yang merupakan faktor yang mempengaruhi

governance dan management dari enterprise TI. Struktur COBIT 5 enablers

ditunjukkan oleh Gambar III-1. Enabler diturunkan dari tujuan organisasi yang

telah didefinisikan. Ada tujuh COBIT 5 enablers yaitu:

a. prinsip, kebijakan dan framework,

b. proses,

c. struktur organisasi,

13

d. budaya, etika dan perilaku,

e. informasi,

f. layanan, infrastruktur dan aplikasi,

g. SDM, kemampuan dan kompetensi.

Hubungan antara enablers dan tujuan organisasi dapat ditunjukkan oleh Gambar

III-2. COBIT 5 bukan merupakan ketentuan, tetapi menganjurkan enterprise agar

dapat menerapkan proses-proses governance dan management. Hubungan antara

proses governance dan management ditunjukkan oleh Gambar III-3.

1. Principles, Policies and Frameworks

2. Processes3. Organisational

Structures

4. Culture, Ethics

and Behaviour

Resources

6. Services,

Infrastructures

and Applications

7. People, Skills

and

Competencies

5. Information

Gambar III-1 COBIT 5 enablers[58].

COBIT 5 telah merumuskan tujuan organisasi (enterprise goals/EG) dan tujuan

terkait TI (IT-related goals/ITRG) yang bersifat generik berdasarkan dimensi

balance scorecard (BSC). Tujuan tersebut dapat mencakup semua ukuran

organisasi mulai dari komersial, non-profit ataupun sektor publik. Daftar tujuan

organisasi ditunjukkan oleh Tabel III.1 dan tujuan terkait TI ditunjukkan oleh Tabel

III.2.

COBIT 5 terdiri atas 37 proses yang terbagi dalam lima domain sebagai berikut:

a. evaluate, direct and monitor (EDM), terdiri atas lima proses;

b. align, plan and organise (APO), terdiri atas 13 proses;

c. build, acquire and implement (BAI), terdiri atas 10 proses;

14

d. deliver, service and support (DSS), terdiri atas enam proses;

e. monitor, evaluate and assess (MEA), terdiri atas tiga proses.

Tabel III.1 Tujuan organisasi[58].

BSC No. Enterprise Goals

Financial

EG-01 Stakeholder value of business investments

EG-02 Portfolio of competitive products and services

EG-03 Managed business risk (safeguarding of assets)

EG-04 Compliance with external laws and regulations

EG-05 Financial transparency

Customer

EG-06 Customer-oriented service culture

EG-07 Business service continuity and availability

EG-08 Agile responses to a changing business environment

EG-09 Information-based strategic decision making

EG-10 Optimisation of service delivery costs

Internal Business Process

EG-11 Optimisation of business process functionality

EG-12 Optimisation of business process costs

EG-13 Managed business change programmes

EG-14 Operational and staff productivity

EG-15 Compliance with internal policies

Learning and Growth

EG-16 Skilled and motivated people

EG-17 Product and business innovation culture

Tabel III.2 Tujuan terkait TI[58].

BSC No. IT-Related Goals

Financial

ITRG-01 Alignment of IT and business strategy

ITRG-02 IT compliance and support for business compliance with

external laws and regulations

ITRG-03 Commitment of executive management for making IT-related

decisions

ITRG-04 Managed IT-related business risk

ITRG-05 Realised benefits from IT-enabled investments and services

portfolio

ITRG-06 Transparency of IT costs, benefits and risk

Customer

ITRG-07 Delivery of IT services in line with business requirements

ITRG-08 Adequate use of applications, information and technology

solutions

Internal Business Process

ITRG-09 IT agility

ITRG-10 Security of information, processing infrastructure and

applications

ITRG-11 Optimisation of IT assets, resources and capabilities

ITRG-12 Enablement and support of business processes by integrating

applications and technology into business processes

ITRG-13 Delivery of programmes delivering benefits, on time, on

budget, and meeting requirements and quality standards

ITRG-14 Availability of reliable and useful information for decision

making

ITRG-15 IT compliance with internal policies

Learning and Growth

ITRG-16 Competent and motivated business and IT personnel

ITRG-17 Knowledge, expertise and initiatives for business innovation

15

Stakeholder Drivers

(Enironment, Technology Evolution, ...)

Stakeholder Needs

Benefits

Realisation

Risk

Optimisation

Resource

Optimisation

Influence

Enterprise Goals

IT-related Goals

Enablers Goals

Cascade to

Cascade to

Cascade to

Gambar III-2 Pemetaan enablers dan tujuan organisasi[58].

Pemetaan tujuan organisasi, tujuan terkait TI dan proses COBIT 5 ditunjukkan oleh

Tabel III.3 dan Tabel III.4.

Governance

Evaluate

Direct Monitor

Business Needs

Management

Build

(BAI)

Plan

(APO)

Run

(DSS)

Monitor

(MEA)

Management

Feedback

Gambar III-3 Proses governance dan management[58].

16

Tabel III.3 Pemetaan tujuan generik TI dan organisasi[58].

IT

RG

01

ITR

G02

ITR

G03

ITR

G04

ITR

G05

ITR

G06

ITR

G07

ITR

G08

ITR

G09

ITR

G10

ITR

G11

ITR

G12

ITR

G13

ITR

G14

ITR

G15

ITR

G16

ITR

G17

EG

01

P - P - P S P S S - P S - S - S S

EG

02

P - S - P - P S P - S P S S - S P

EG

03

S - - P - S S S S P - S S S S P -

EG

04

- P - S - - S - - P - - - S P - -

EG

05

- - - - - P - - - - - - - - - - -

EG

06

P - - - S - P S S - - S S - - S S

EG

07

S - - P - - S S - P - - P - - -

EG

08

P - S S P - P - P - S S - - - S -

EG

09

P - S - - S S S - - - - - P - - S

EG

10

S - - - S P - S - - P S S - - - -

EG

11

P - S - - - P P P - S P - S - - S

EG

12

S - - - P P S S - - P S S - - - -

EG

13

P - P S - - S - S - S S P - - - S

EG

14

- - - - S - - P S - S S - - - P -

EG

15

- P - S - - - - - P - - - - P - -

EG

16

S - S S - - S S S - - - - - - P S

EG

17

- - - - S - S S P - S S - - - S P

Keterangan:

P: hubungan bersifat primary atau terkait langsung.

S: hubungan bersifat secondary atau tidak terkait langsung.

-: tidak terkait.

17

Tabel III.4 Pemetaan tujuan generik TI dan proses tata kelola[58].

ITR

G-0

1

ITR

G-0

2

ITR

G-0

3

ITR

G-0

4

ITR

G-0

5

ITR

G-0

6

ITR

G-0

7

ITR

G-0

8

ITR

G-0

9

ITR

G-1

0

ITR

G-1

1

ITR

G-1

2

ITR

G-1

3

ITR

G-1

4

ITR

G-1

5

ITR

G-1

6

ITR

G-1

7

ED

M0

1

P S P S S S P - S S S S S S S S S

ED

M0

2

P - S - P P P S - - S S S S - S P

ED

M0

3

S S S P - P S S - P - - S S P S S

ED

M0

4

S - S S S S S S P - P - S - - P S

ED

M0

5

S S P - - P P - - - - - S S S - S

AP

O0

1

P P S S - - S - S S P S S S P P P

AP

O0

2

P - S S S - P S S - S S S S S S P

AP

O0

3

P - S S S S S S P S P S - S - - S

AP

O0

4

S - - S P - - P P - P S - S - - P

AP

O0

5

P - S S P S S S S - S - P - - - S

AP

O0

6

S - S S P P S S - - S - S - - - -

AP

O0

7

P S S S - - S - S S P - P - S P P

AP

O0

8

P - S S S S P S - - S P S - S S P

AP

O0

9

S - - S S S P S S S S - S P S - -

18

ITR

G-0

1

ITR

G-0

2

ITR

G-0

3

ITR

G-0

4

ITR

G-0

5

ITR

G-0

6

ITR

G-0

7

ITR

G-0

8

ITR

G-0

9

ITR

G-1

0

ITR

G-1

1

ITR

G-1

2

ITR

G-1

3

ITR

G-1

4

ITR

G-1

5

ITR

G-1

6

ITR

G-1

7

AP

O1

0

- S - P S S P S P S S - S S S - S

AP

O1

1

S S - S P - P S S - S - P S S S S

AP

O1

2

- P - P - P S S S P - - P S S S S

AP

O1

3

- P - P - P S S - P - - - P - - -

BA

I01

P - S P P S S S - S S - P - - S S

BA

I02

P S S S S - P S S - S P S S - - S

BA

I03

S - - S S - P S - - S S S S - - S

BA

I04

- - - S S - P S S - P - S P - - S

BA

I05

S - S - - - - P S - S S P - - - P

BA

I06

- - S P S - P S S P S P S S S - S

BA

I07

- - - S S - S P S - - P S S S - S

BA

I08

S - - - S - S S P S S - - P - S P

BA

I09

- S - S - P S - S S P - - S S - -

BA

I10

- P - S - S - S S S P - - P S - -

19

ITR

G-0

1

ITR

G-0

2

ITR

G-0

3

ITR

G-0

4

ITR

G-0

5

ITR

G-0

6

ITR

G-0

7

ITR

G-0

8

ITR

G-0

9

ITR

G-1

0

ITR

G-1

1

ITR

G-1

2

ITR

G-1

3

ITR

G-1

4

ITR

G-1

5

ITR

G-1

6

ITR

G-1

7

DS

S0

1

- S - P S - P S S S P - - S S S S

DS

S0

2

- - - P - - P S - S - - - S S - S

DS

S0

3

- S - P S - P S S - P S - P S - S

DS

S0

4

S S - P S - P S S S S S - P S S S

DS

S0

5

S P - P - - S S - - S S - S S - -

DS

S0

6

- S - P - - P S - S S S - S S S S

ME

A0

1

S S S P S S P S S S P - S S P S S

ME

A0

2

- P - P - S S S - S - - - S P - S

ME

A0

3

- P - P P - S - - S - - - - S - S

Keterangan:

P: hubungan bersifat primary atau terkait langsung.

S: hubungan bersifat secondary atau tidak terkait langsung.

-: tidak terkait.

3.2 COBIT 5 Enabling Process

COBIT 5 Enabling Process[59] merupakan pelengkap COBIT 5 yang

mendefinisikan model referensi proses. Proses merupakan salah satu dari tujuh

COBIT 5 enablers yang terdiri atas 37 proses. Proses-proses yang dimaksud dapat

dijelaskan sebagai berikut.

a. EDM

1). Ensure governance framework setting and maintenance.

2). Ensure benefits delivery.

20

3). Ensure risk optimisation.

4). Ensure resource optimisation.

5). Ensure stakeholder transparency.

b. APO

1). Manage the IT management framework.

2). Manage strategy.

3). Manage enterprise architecture.

4). Manage innovation.

5). Manage portfolio.

6). Manage budget and costs.

7). Manage human resource.

8). Manage relationships.

9). Manage service agreements.

10). Manage suppliers.

11). Manage quality.

12). Manage risk.

13). Manage security.

c. BAI

1). Manage programmes and projects.

2). Manage requirements definition.

3). Manage solutions identification and build.

4). Manage availability and capacity.

5). Manage organisational change enablement.

6). Manage changes.

7). Manage change acceptance and transitioning.

8). Manage knowledge.

9). Manage assets.

10). Manage configuration.

d. DSS

1). Manage operations.

2). Manage service requests and incidents.

3). Manage problems.

21

4). Manage continuity.

5). Manage security services.

6). Manage business process controls.

e. MEA

1). Monitor, evaluate and assess performance and conformance.

2). Monitor, evaluate and assess the system of internal control.

3). Monitor, evaluate and assess compliance with external requirements.

3.3 COBIT 5 for Risk

COBIT 5 for Risk[60] membahas risiko yang terkait dengan TI dan

mempresentasikannya melalui dua perspektif yaitu fungsi dan manajemen risiko.

Fungsi risiko berfokus pada hal-hal yang dibutuhkan untuk membangun dan

memelihara fungsi risiko dalam suatu organisasi. Manajemen risiko berfokus pada

proses tata kelola dan manajemen yang terkait risiko dengan mendefinisikan

bagaimana mengoptimalkan, mengidentifikasi, menganalisis, merespon dan

melaporkan risiko. Implementasi COBIT 5 for Risk juga merujuk kepada tujuh

enablers yang telah disebutkan sebelumnya.

Salah satu informasi penting yang digunakan dalam proses manajemen risiko

adalah skenario risiko. Skenario risiko merupakan deskripsi kejadian yang mungkin

terjadi dan memberikan dampak pada pencapaian tujuan organisasi. Beberapa

contoh kategori skenario risiko yang umum ada di dalam organisasi dapat

dijelaskan oleh Tabel III.5.

Tabel III.5 Skenario risiko[60].

No Kategori Skenario Risiko

1 Pembuatan dan pemeliharaan portofolio

2 Manajemen siklus program/proyek

3 Pembuatan keputusan terkait investasi TI

4 Keahlian dan kemampuan TI

5 Operasional yang dilakukan oleh staf

6 Informasi (kerusakan, kebocoran dan akses)

7 Arsitektur

8 Infrastruktur

9 Perangkat lunak

10 Kepemilikan bisnis TI

11 Pemilihan pemasok

12 Kepatuhan terhadap peraturan

22

No Kategori Skenario Risiko

13 Geopolitik

14 Pencurian atau perusakan infrastruktur

15 Malware

16 Serangan logis

17 Aksi industri

18 Lingkungan

19 Bencana alam

20 Inovasi

3.4 Process Assessment Model (PAM)

PAM merupakan suatu model yang bertujuan untuk menilai kapabilitas proses

berdasarkan satu atau beberapa model referensi proses. PAM memiliki dua dimensi

parameter yang terdiri atas skala kapabilitas dan entitas proses. Ilustrasi kerangka

kerja PAM dapat dilihat pada Gambar III-4[61].

Process

Assessment

Model

Capabili

ty s

cale

1 2 3 .nProcess entities

Process Reference Model

Domain and Scope

Processes with Purpose and Outcomes

Measurement Framework

Capability Levels

Process Attributes

Rating Scale

Gambar III-4 Kerangka kerja PAM[61].

Skala kapabilitas proses didefinisikan dalam enam level skala ordinal yang dimulai

dari incomplete sampai dengan optimizing. Masing-masing level memiliki sejumlah

process attribute (PA). PA merupakan suatu karakteristik yang terukur dari suatu

kapabilitas proses. Level tersebut dapat dijelaskan sebagai berikut[62].

a. Level 0: Incomplete process.

23

b. Level 1: Performed process.

1). PA 1.1 Process performance attribute.

c. Level 2: Managed process.

1). PA 2.1 Performance management attribute.

2). PA 2.2 Work product management attribute.

d. Level 3: Established process.

1). PA 3.1 Process definition attribute.

2). PA 3.2 Process deployment attribute.

e. Level 4: Predictable process.

1). PA 4.1 Process measurement attribute.

2). PA 4.2 Process control attribute.

f. Level 5: Optimizing process.

1). PA 5.1 Process innovation attribute.

2). PA 5.2 Process optimization attribute.

PA tersebut dapat dinilai berdasarkan selang interval sebagai berikut[62]:

a. N (not achieved): 0 15% achievement,

b. P (partially achieved): > 15% 50% achievement,

c. L (largely achieved): > 50% - 85% achievement,

d. F (fully achieved): > 85% - 100% achievement.

PAM mengacu pada prinsip bahwa kapabilitas proses dapat dinilai dengan cara

mengukur pencapaian PA. Pengukuran tersebut didasarkan pada bukti yang

dikaitkan dengan indikator penilaian. Terdapat dua tipe indikator penilaian yaitu:

indikator kapabilitas proses (level 1 sampai dengan level 5) dan indikator kinerja

proses (khusus level 1)[63].

Indikator kapabilitas proses terdiri atas:

a. Generic Practice (GP),

b. Generic Resource (GR),

c. Generik Work Product (GWP).

Indikator kinerja proses terdiri atas:

a. Base Practice (BP),

24

b. Work Product (WP).

Struktur penilaian indikator tersebut ditunjukkan oleh Gambar III-5. Model

referensi proses yang dinilai merujuk kepada kumpulan proses yang telah

didefinisikan pada subbab 3.2. Model penilaian proses COBIT 5 merujuk kepada

struktur Gambar III-6.

Ca

pa

bili

ty

Dim

en

sio

n

Processdimension

- Level 5: Optimizing (2 attributes)

- Level 4: Predictable (2 attributes)

- Level 3: Established (2 attributes)

- Level 2: Managed (2 attributes)

- Level 1: Performed (1 attribute)

Process Assessment

- Generic Practice (GP)

- Generic Resource (GR)

- Generic Work Product (GWP)

- Base Practice (BP)

- Work Product (WP)

System Life Cycle Process

Gambar III-5 Indikator penilaian[63].

Ca

pa

bili

ty

Dim

en

sio

n

Processdimension

- Level 5: Optimizing (2 attributes)

- Level 4: Predictable (2 attributes)

- Level 3: Established (2 attributes)

- Level 2: Managed (2 attributes)

- Level 1: Performed (1 attribute)

EDM

Evaluate, Direct & Monitor

Merujuk ISO/IEC 15504 series

APO

Align, Plan & OrganiseBAI

Build, Acquire & ImplementDSS

Delivery, Service & SupportMEA

Monitor, Evaluate & Assess

Gambar III-6 Model penilaian proses COBIT 5[64].

25

3.5 COBIT 5 for Information Security

COBIT 5 for Information Security[50] fokus pada keamanan informasi dan

menyediakan pedoman yang lebih lengkap dan praktik untuk para profesional

keamanan informasi dan pihak lain yang terkait pada semua level enterprise.

Manfaat yang diperoleh dari penggunaan COBIT 5 for Information Security dapat

dijelaskan sebagai berikut.

a. Mengurangi kompleksitas dan peningkatan efektivitas biaya karena telah

mengintegrasikan beberapa standar keamanan informasi, good practice

dan/atau pedoman spesifik.

b. Meningkatkan kepuasan pengguna.

c. Memperbaiki integrasi keamanan informasi dalam enterprise.

d. Menginformasikan risk decisions dan risk awareness.

e. Memperbaiki pencegahan, pendeteksian dan pemulihan.

f. Mengurangi pengaruh insiden keamanan informasi.

g. Meningkatkan dukungan untuk inovasi dan persaingan.

h. Memperbaiki manajemen biaya yang terkait dengan fungsi keamanan

informasi.

i. Memberikan pemahaman yang lebih baik terhadap keamanan informasi.

COBIT 5 for Information Security menyediakan pedoman khusus yang terkait

dengan semua enablers.

3.6 Manajemen Layanan TI

Manajemen layanan TI merupakan sistem manajemen yang bertujuan untuk

mengarahkan dan mengatur aktivitas layanan TI yang diberikan oleh pihak pemberi

layanan. Sistem manajemen tersebut mencakup kebijakan, tujuan, perencanaan,

proses, dokumentasi dan sumber daya yang dibutuhkan dalam siklus layanan.

Siklus tersebut meliputi strategi, perancangan, transisi, operasi dan perbaikan yang

berkelanjutan[65,66].

ITILv3 menyatakan bahwa komponen manajemen layanan TI terdiri atas hal-hal

berikut[66].

26

a. Service Strategy (SS).

1). Strategy generation.

2). Service portfolio management.

3). Financial management for IT services.

4). Demand management.

5). Business relationship management.

b. Service Design (SD).

1). Design coordination.

2). Service catalogue management.

3). Service level management.

4). Availability management.

5). Capacity management.

6). IT service continuity management.

7). Information security management.

8). Supplier management.

c. Service Transition (ST).

1). Transisition planning and support.

2). Change management.

3). Service asset and configuration management.

4). Release and deployment management.

5). Service validation and testing.

6). Change evaluation.

7). Knowledge management.

d. Service Operation (SO).

1). Event management.

2). Incident management.

3). Request fulfillment.

4). Problem management.

5). Access management.

6). Operation management.

e. Continual Service Improvement (CSI).

1). Service measurement.

27

2). Service reporting.

3). 7-step improvement.

28

BAGIAN IV

METODE PENYUSUNAN TKKI

Metode penyusunan TKKI merupakan kumpulan metode dan cara penyusunan

proses TKKI di suatu organisasi. Metode tersebut diuraikan pada bagian di bawah

ini.

4.1 Analisis Kebutuhan

Analisis kebutuhan bertujuan untuk mendefinisikan hal-hal yang dibutuhkan dalam

rangka menerapkan tata kelola keamanan informasi. Tahapan ini berisi proses

penentuan lingkup yang bertujuan untuk menentukan proses tata kelola yang perlu

diukur atau dinilai. Gambar IV-1 menunjukkan alur proses penentuan lingkup yang

dimaksud.

Menentukan Lingkup

(Scoping)

Tentukan sumber kebutuhan keamanan:

Penilaian risiko

Peraturan

Prinsip, tujuan dan kebutuhan organisasi

Based on ISO/IEC 27002:2005

Cascading Tujuan Organisasi

(COBIT5 Framework)

Tujuan organisasi

Penilaian Risiko:

COBIT5 for Risk

ISO/IEC 31000:2009

Penilaian risikoManajemen Layanan TI

(ITIL v3)

Prioritas proses

Proses terkait layanan

Prioritas

Risiko

Proses

Terpilih

Petakan Tujuan

Organisasi

Petakan Tujuan

TI

Pilih Proses Tata

Kelola

Renstra

IT

Masterplan

Gambar IV-1 Alur proses penentuan lingkup.

Proses penentuan lingkup tata kelola yang dilakukan dalam penelitian ini dapat

dilakukan dengan cara analisis terhadap tujuan organisasi, tujuan TI, sistem

manajemen layanan dan penilaian risiko.

29

4.1.1 Penentuan Tujuan Organisasi

Analisis tujuan organisasi membutuhkan masukan berupa EG yang telah

didefinisikan oleh COBIT 5 dan tujuan organisasi. Hal selanjutnya yang dilakukan

adalah membandingkan dan memeriksa keduanya untuk menentukan padanannya.

Kerangka berpikir perumusan tujuan organisasi ditunjukkan oleh Gambar IV-2.

Adopsi EG (COBIT 5)Pelajari Tujuan

Organisasi

Bandingkan dan

Padankan

Sesuai?

Pilih Tidak Dipilih

Ya Tidak

Y NEG Terpilih

Gambar IV-2 Penentuan lingkup tujuan organisasi.

4.1.2 Penentuan Tujuan TI

Analisis tujuan TI membutuhkan masukan berupa pemetaan antara EG dengan

ITRG yang telah didefinisikan oleh COBIT 5 dan tujuan TI organisasi. Hal yang

dilakukan adalah mengadopsi pemetaan EG dengan ITRG dan membandingkannya

dengan tujuan TI yang dimiliki oleh organisasi. Kerangka berpikir perumusan

tujuan organisasi ditunjukkan oleh Gambar IV-3.

4.1.3 Penentuan Sistem Manajemen Layanan

Penentuan lingkup tata kelola keamanan informasi pada sistem manajemen layanan

melibatkan proses tata kelola dan proses manajemen layanan. Hal yang dilakukan

adalah memetakan atau mencocokkan proses tata kelola dan proses manajemen

layanan berdasarkan kesamaan peran dan fungsi. Kerangka berpikir pemetaan

proses tersebut ditunjukkan oleh Gambar IV-4.

30

Analisis pemetaan

EG dan ITRG

Pilih ITRG

Tentukan Jenis

Relasi

EG Terpilih

Jenis Relasi

Primary (P)

Secondary (S)

Pelajari Tujuan TI

Organisasi

Bandingkan dan

Padankan

Sesuai?

Pilih Tidak Dipilih

Ya Tidak

Y NITRG

Terpilih

Pemilihan Proses

(Otomatis)

Proses

Terpilih

Gambar IV-3 Penentuan lingkup tujuan TI.

Jenis relasi terdiri atas dua jenis yaitu primary (P) dan secondary (S). P memiliki

arti bahwa hubungan antara EG dan ITRG sangat erat atau terkait langsung,

sedangkan S memiliki arti bahwa hubungannya lemah atau tidak terkait langsung.

4.1.4 Penilaian Risiko

Penilaian risiko bertujuan untuk mengurutkan penanganan proses tata kelola

berdasarkan tingkat kepentingannya yang dapat berupa T (tinggi), M (menengah)

dan R (rendah). Dasar penentuan prioritas risiko mengacu pada standar ISO/IEC

31000:2009 dan COBIT 5 for Risk. Kerangka berpikir penentuan prioritas risiko

ditunjukkan oleh Gambar IV-5.

31

Analisis Proses

(COBIT 5)

Analisis SMS

(ITIL v3)

Bandingkan dan

Padankan

Sesuai?

Pilih Tidak Dipilih

Ya Tidak

Proses

Terpilih

Gambar IV-4 Pemetaan proses COBIT 5 dan ITIL v3.

Mendata Risiko

Menentukan B/C

Ratio

Menentukan Level

Risiko

Skenario risiko

Menentukan Prioritas

Risiko

Proses

Terpilih

ISO/IEC 31000:2009

Memetakan Risiko dan

Proses Tata KelolaMitigasi

Prioritas

Proses

Gambar IV-5 Penentuan prioritas risiko.

32

4.2 Perancangan

Perancangan merupakan proses yang bertujuan untuk menghasilkan suatu alat ukur

yang sesuai dengan standar penilaian proses tata kelola keamanan informasi.

Gambar IV-6 menunjukkan alur proses perancangan alat ukur penilaian proses tata

kelola keamanan informasi.

4.2.1 Perancangan Model Referensi Proses

Perancangan model referensi proses bertujuan untuk membuat model atau peta

dimensi proses tata kelola keamanan informasi. Model ini dijadikan dasar dalam

pembuatan suatu model penilaian proses. Kerangka berpikir perancangan model

referensi proses ditunjukkan oleh Gambar IV-7.

Proses Terpilih

Menentukan standar pengukuran proses

ISO/IEC 15504-1

ISO/IEC 15504-2

ISO/IEC 15504-5

Menentukan model referensi proses

Menentukan proses terkait keamanan informasi

COBIT5 for Information Security

Menentukan komponen proses

Practices

Work products

Resources

COBIT5 Process Assessment Model

menggunakan

berdasarkan

Process Reference Model for

Information Security

menghasilkan

menggunakanmenggunakan

Process Assessment Model for

Information Security

menggunakan

mendefinisikan

menghasilkan

Gambar IV-6 Alur proses perancangan.

33

Gambar IV-7 Perancangan model referensi proses.

4.2.2 Perancangan Model Penilaian Proses

Perancangan model penilaian proses bertujuan untuk membuat model penilaian

proses tata kelola keamanan informasi berdasarkan level pencapaian kemampuan.

Model ini dijadikan sebagai dasar perhitungan analisis kesenjangan pada proses tata

kelola keamanan informasi. Kerangka berpikir perancangan model penilaian proses

ditunjukkan oleh Gambar IV-8.

Gambar IV-8 Perancangan model penilaian proses.

Komponen proses yang dinilai (meliputi: aktivitas, keluaran, GP, GWP dan GR)

memiliki rentang nilai berikut:

34

1. tidak ada, artinya komponen proses yang dimaksud tidak ada atau tidak

dilakukan,

2. sebagian kecil, artinya telah ada sedikit bukti adanya atau dilaksanakannya

komponen proses yang dimaksud,

3. sebagian besar, artinya telah banyak bukti adanya atau dilaksanakannya

komponen proses yang dimaksud,

4. penuh, artinya komponen proses yang dimaksud telah ada atau dilaksanakan

secara maksimal.

4.3 Analisis Kesenjangan

Analisis kesenjangan merupakan proses yang bertujuan untuk mengetahui kondisi

capability/kematangan tata kelola keamanan informasi yang ada saat ini dan

harapan yang akan dicapai oleh suatu organisasi. Kondisi tersebut dinilai dengan

menggunakan model penilaian proses yang telah dijelaskan pada subbab 4.2.2.

4.4 Pemberian Rekomendasi

Rekomendasi merupakan masukan yang diberikan kepada organisasi untuk

membangun suatu tata kelola keamanan informasi di organisasinya. Rekomendasi

terhadap proses tata kelola dibuat berdasarkan hasil analisis kesenjangan.

4.5 Penerapan

Penerapan merupakan proses pendefinisian urutan langkah-langkah yang harus

dilaksanakan untuk mengimplementasikan rekomendasi yang diberikan terkait tata

kelola keamanan informasi pada suatu organisasi. Proses ini mengacu kepada suatu

kerangka kerja penerapan tata kelola TI yang umum digunakan yaitu dengan

pendekatan John Kotter yang telah didefinisikan dalam COBIT 5

Implementation[67].

35

BAGIAN V

PENYUSUNAN TKKI

Bab ini menjelaskan sistematika analisis kondisi TKKI yang ada saat ini dan

harapan ke depan. Hal ini diawali dengan analisis lingkup TKKI. Setelah diketahui

lingkup proses, hal selanjutnya yang dilakukan adalah pengukuran kondisi

keamanan informasi saat ini yang dipetakan ke dalam level pencapaian terhadap

suatu standar pengukuran proses. Hal terakhir yang dilakukan pada bab ini adalah

analisis kesenjangan antara kondisi yang ada saat ini dengan target pencapaian.

Hasil analisis yang diperoleh dapat dijadikan sebagai dasar pembuatan rekomendasi

yang tepat terhadap TKKI di organisasi.

Perancangan yang dilakukan pada bab ini adalah pembuatan alat bantu pengukuran

TKKI. Alat bantu yang dibuat terdiri atas: penurunan tujuan organisasi dan TI,

pemetaan proses tata kelola terhadap proses manajemen layanan, pemodelan

referensi proses dan pemodelan penilaian proses. Hasil rancangan yang ada

diharapkan dapat membantu dalam menemukan formulasi yang tepat untuk

mengukur tata kelola yang ada di organisasi.

5.1 Alat Bantu Penentuan Lingkup TKKI

Penentuan lingkup TKKI bertujuan untuk mengidentifikasi kebutuhan keamanan

informasi pada organisasi yang dijadikan tempat studi kasus. Berdasarkan teori

yang dikeluarkan oleh ISO/IEC 27002:2013[68], beberapa sumber yang dapat

dijadikan dasar dalam penentuan lingkup kebutuhan keamanan informasi dapat

dijelaskan sebagai berikut.

1. Kumpulan prinsip, tujuan dan kebutuhan bisnis organisasi.

Sumber ini dapat diambil dari pemetaan tujuan organisasi, pemetaan tujuan TI

dan pemetaan sistem manajemen layanan yang terdapat di organisasi.

2. Penilaian risiko.

Sumber ini dapat diambil dari penilaian prioritas risiko yang terdapat di

organisasi.

36

5.1.1 Pemetaan Tujuan Organisasi

Pemetaan tujuan organisasi merupakan penentuan lingkup keamanan informasi

yang diambil dari subbab 5.1 butir 1 khususnya pada tujuan organisasi. Pemetaan

ini bertujuan untuk menurunkan dan merumuskan tujuan organisasi ke dalam

bentuk EG yang bersifat generik dan terkait informasi. EG ini sesuai dengan yang

telah didefinisikan oleh kerangka kerja COBIT 5. Tabel V.1 menunjukkan hasil

pemetaan contoh tujuan organisasi yang terkait informasi di organisasi.

Tabel V.1 Contoh tujuan organisasi.

BSC EG (Y/T) Tujuan Organisasi Indikator Kinerja

Utama

Financial

EG-01 T

EG-02 T

EG-03 T

EG-04 T

EG-05 Y [sebutkan tujuan

organisasi yang terkait]

[uraikan indikator

pencapaiannya]

Customer

EG-06 T

EG-07 T

EG-08 T

EG-09 Y [sebutkan tujuan

organisasi yang terkait]

[uraikan indikator

pencapaiannya]

EG-10 T

Internal

Business Process

EG-11 Y [sebutkan tujuan

organisasi yang terkait]

[uraikan indikator

pencapaiannya]

EG-12 T

EG-13 T

EG-14 Y [sebutkan tujuan

organisasi yang terkait]

[uraikan indikator

pencapaiannya]

EG-15 T

Learning

& Growth

EG-16 Y [sebutkan tujuan

organisasi yang terkait]

[uraikan indikator

pencapaiannya]

EG-17 Y [sebutkan tujuan

organisasi yang terkait]

[uraikan indikator

pencapaiannya] Keterangan:

Y: (ya) terkait dengan tujuan organisasi.

T: (tidak) terkait dengan tujuan organisasi.

37

5.1.2 Pemetaan Tujuan TI

Pemetaan tujuan TI merupakan turunan dari tujuan organisasi yang digunkan untuk

menentukan lingkup keamanan informasi yang lebih spesifik pada TI. Pemetaan ini

bertujuan untuk menurunkan dan merumuskan tujuan TI ke dalam bentuk ITRG

yang bersifat generik. Tabel V.2 menunjukkan hasil pemetaan tujuan TI organisasi.

Tabel V.2 Tujuan TI Organisasi.

BSC ITRG (P/S) (Y/T) Tujuan TI

Organisasi Indikator Kinerja Utama

Fin

an

cia

l

ITRG-01 P Y [sebutkan tujuan TI

yang terkait]

[uraikan indikator

pencapaiannya]

ITRG-02 - T

ITRG-03 S T

ITRG-04 S T

ITRG-05 S T

ITRG-06 P Y [sebutkan tujuan TI

yang terkait]

[uraikan indikator

pencapaiannya]

Cu

sto

mer

ITRG-07 P Y [sebutkan tujuan TI

yang terkait]

[uraikan indikator

pencapaiannya]

ITRG-08 P Y [sebutkan tujuan TI

yang terkait]

[uraikan indikator

pencapaiannya]

Inte

rna

l

ITRG-09 P T

ITRG-10 - T

ITRG-11 S T

ITRG-12 P Y [sebutkan tujuan TI

yang terkait]

[uraikan indikator

pencapaiannya]

ITRG-13 - T

ITRG-14 P Y [sebutkan tujuan TI

yang terkait]

[uraikan indikator

pencapaiannya]

ITRG-15 - T

Lea

rnin

g &

Gro

wth

ITRG-16 P Y [sebutkan tujuan TI

yang terkait]

[uraikan indikator

pencapaiannya]

ITRG-17 P Y [sebutkan tujuan TI

yang terkait]

[uraikan indikator

pencapaiannya]

Keterangan:

P: hubungan bersifat primary atau terkait langsung antara tujuan generik TI dan organisasi.

S: hubungan bersifat secondary atau tidak terkait langsung antara tujuan generik TI dan organisasi.

Y: (ya) terkait dengan tujuan TI organisasi.

T: (tidak) terkait dengan tujuan TI organisasi.

Pada Tabel V.2, penentuan nilai pada kolom (Y/T) didasarkan kepada keterkaitan

tujuan generik TI dan organisasi berdasarkan pemetaan yang telah disebutkan pada

Tabel III.3. Pemetaan tersebut yang ditunjukkan oleh kolom (P/S) memiliki dua

38

jenis keterkaitan yaitu P (primary) dan S (secondary). Kolom (Y/T) bernilai Y

apabila memenuhi persyaratan berikut:

1. kolom (P/S) bernilai P,

2. terdapat tujuan TI organisasi yang terkait dengan tujuan generik TI.

Skema pemetaan antara tujuan generik TI dan proses tata kelola (governance dan

management) ditunjukkan oleh Tabel III.4. Skema ini bertujuan untuk

menghasilkan proses tata kelola yang terpilih dalam penentuan lingkup TKKI

berdasarkan tujuan organisasi dan TI. Contoh rangkuman proses tata kelola yang

terpilih ditunjukkan oleh Tabel V.3.

Tabel V.3 Contoh rangkuman proses tata kelola terpilih.

ID Nama Proses Tata Kelola (P/S

)

(Y/N

)

EDM0

1

Ensure Governance Framework Setting and Maintenance

EDM0

2

Ensure Benefits Delivery

EDM0

3

Ensure Risk Optimisation

EDM0

4

Ensure Resource Optimisation

EDM0

5

Ensure Stakeholder Transparency

APO01 Manage the IT Management Framework

APO02 Manage Strategy

APO03 Manage Enterprise Architecture

APO04 Manage Innovation

APO05 Manage Portfolio

APO06 Manage Budget and Costs

APO07 Manage Human Resources

APO08 Manage Relationships

APO09 Manage Service Agreements

APO10 Manage Supplies

APO11 Manage Quality

APO12 Manage Risk

APO13 Manage Security

BAI01 Manage Programmes and Projects

BAI02 Manage Requirements Definition

BAI03 Manage Solutions Identification and Build

BAI04 Manage Availability and Capacity

BAI05 Manage Organisational Change Enablement

39

ID Nama Proses Tata Kelola (P/S

)

(Y/N

)

BAI06 Manage Changes

BAI07 Manage Change Acceptance and Transitioning

BAI08 Manage Knowledge

BAI09 Manage Assets

BAI10 Manage Configuration

DSS01 Manage Operations

DSS02 Manage Service Requests and Incidents

DSS03 Manage Problems

DSS04 Manage Continuity

DSS05 Manage Security Services

DSS06 Manage Business Process Controls

MEA0

1

Monitor, Evaluate and Assess Performance and Conformance

MEA0

2

Monitor, Evaluate and Assess the System of Internal Control

MEA0

3

Monitor, Evaluate and Assess Compliance with External

Requirements

Keterangan:

P: hubungan bersifat primary atau terkait langsung antara tujuan generik TI dan proses tata kelola.

S: hubungan bersifat secondary atau tidak terkait langsung antara tujuan generik TI dan proses tata kelola.

Y: (ya) proses terpilih, T: (tidak/bukan) proses terpilih.

5.1.3 Pemetaan Manajemen Layanan TI

Pemetaan terhadap manajemen layanan TI merupakan penentuan lingkup

keamanan informasi yang diambil dari subbab 5.1 butir 1 khususnya pada

kebutuhan bisnis organisasi. Kebutuhan bisnis organisasi yang dimaksud adalah

kebutuhan tata kelola keamanan informasi pada sistem manajemen layanan ITIL

v3. Hal yang dilakukan dalam pemetaan adalah membandingkan keterkaitan antara

proses tata kelola dan proses sistem manajemen layanan. Tabel V.4 menunjukkan

hasil pemetaan antara proses tata kelola dan manajemen layanan.

Sistem manajemen layanan hanya mencakup area management dari proses tata

kelola yang ada di COBIT 5. Hal ini mengakibatkan proses yang ada di area

governance (EDM01, EDM02, EDM03, EDM04 dan EDM05) tidak memiliki

padanan atau kaitan proses. Perancangan tata kelola secara menyeluruh sangat

membutuhkan area governance dan management. Oleh karena itu, proses EDM01,

EDM02, EDM03, EDM04 dan EDM05 tetap dimasukkan ke dalam lingkup tata

kelola keamanan informasi pada sistem manajemen layanan.

40

41

Tabel V.4 Pemetaan proses COBIT 5 dan ITIL v3.

SS SD ST SO CSI

Str

ate

gy

gen

era

tio

n

Ser

vice

po

rtfo

lio

ma

na

gem

ent

Fin

an

cia

l m

ana

gem

ent

for

IT s

ervi

ces

Dem

an

d m

an

ag

emen

t

Bu

sin

ess

Rel

ati

on

ship

Ma

na

gem

ent

Des

ign

Coo

rdin

ati

on

Ser

vice

Ca

talo

gu

e M

an

ag

emen

t

Ser

vice

Lev

el M

an

ag

emen

t

Ava

ilab

ilit

y M

an

ag

emen

t

Ca

pa

city

Man

ag

emen

t

IT S

ervi

ce C

on

tin

uit

y M

ana

gem

ent

Info

rma

tion

Sec

uri

ty M

an

ag

emen

t

Su

pp

lier

Man

ag

emen

t

Tra

nsi

tio

n P

lan

nin

g &

Su

pp

ort

Ch

ang

e M

ana

gem

ent

Ser

vice

ass

et &

Co

nfi

gu

rati

on

Man

ag

emen

t

Rel

ease

& D

eplo

ymen

t M

ana

gem

ent

Ser

vice

Va

lida

tion

& T

esti

ng

Ch

ang

e E

valu

ati

on

Kn

ow

ledg

e M

ana

gem

ent

Eve

nt

Ma

na

gem

ent

Inci

den

t M

ana

gem

ent

Req

ues

t F

ulf

ilm

ent

Pro

ble

m M

ana

gem

ent

Acc

ess

Ma

nag

emen

t

Op

era

tion

Ma

na

gem

ent

Ser

vice

Mea

sure

men

t

Ser

vice

Rep

ort

ing

7-s

tep

Im

pro

vem

ent

EDM01

EDM02

EDM03

EDM04

EDM05

APO01

APO02

APO03

APO04

APO05

APO06

APO07

APO08

APO09

42

SS SD ST SO CSI

Str

ate

gy

gen

era

tio

n

Ser

vice

po

rtfo

lio

ma

na

gem

ent

Fin

an

cia

l m

ana

gem

ent

for

IT s

ervi

ces

Dem

an

d m

an

ag

emen

t

Bu

sin

ess

Rel

ati

on

ship

Ma

na

gem

ent

Des

ign

Coo

rdin

ati

on

Ser

vice

Ca

talo

gu

e M

an

ag

emen

t

Ser

vice

Lev

el M

an

ag

emen

t

Ava

ilab

ilit

y M

an

ag

emen

t

Ca

pa

city

Man

ag

emen

t

IT S

ervi

ce C

on

tin

uit

y M

ana

gem

ent

Info

rma

tion

Sec

uri

ty M

an

ag

emen

t

Su

pp

lier

Man

ag

emen

t

Tra

nsi

tio

n P

lan

nin

g &

Su

pp

ort

Ch

ang

e M

ana

gem

ent

Ser

vice

ass

et &

Co

nfi

gu

rati

on

Man

ag

emen

t

Rel

ease

& D

eplo

ymen

t M

ana

gem

ent

Ser

vice

Va

lida

tion

& T

esti

ng

Ch

ang

e E

valu

ati

on

Kn

ow

ledg

e M

ana

gem

ent

Eve

nt

Ma

na

gem

ent

Inci

den

t M

ana

gem

ent

Req

ues

t F

ulf

ilm

ent

Pro

ble

m M

ana

gem

ent

Acc

ess

Ma

nag

emen

t

Op

era

tion

Ma

na

gem

ent

Ser

vice

Mea

sure

men

t

Ser

vice

Rep

ort

ing

7-s

tep

Im

pro

vem

ent

APO10

APO11

APO12

APO13

BAI01

BAI02

BAI03

BAI04

BAI05

BAI06

BAI07

BAI08

BAI09

BAI10

DSS01

DSS02

DSS03

43

SS SD ST SO CSI

Str

ate

gy

gen

era

tio

n

Ser

vice

po

rtfo

lio

ma

na

gem

ent

Fin

an

cia

l m

ana

gem

ent

for

IT s

ervi

ces

Dem

an

d m

an

ag

emen

t

Bu

sin

ess

Rel

ati

on

ship

Ma

na

gem

ent

Des

ign

Coo

rdin

ati

on

Ser

vice

Ca

talo

gu

e M

an

ag

emen

t

Ser

vice

Lev

el M

an

ag

emen

t

Ava

ilab

ilit

y M

an

ag

emen

t

Ca

pa

city

Man

ag

emen

t

IT S

ervi

ce C

on

tin

uit

y M

ana

gem

ent

Info

rma

tion

Sec

uri

ty M

an

ag

emen

t

Su

pp

lier

Man

ag

emen

t

Tra

nsi

tio

n P

lan

nin

g &

Su

pp

ort

Ch

ang

e M

ana

gem

ent

Ser

vice

ass

et &

Co

nfi

gu

rati

on

Man

ag

emen

t

Rel

ease

& D

eplo

ymen

t M

ana

gem

ent

Ser

vice

Va

lida

tion

& T

esti

ng

Ch

ang

e E

valu

ati

on

Kn

ow

ledg

e M

ana

gem

ent

Eve

nt

Ma

na

gem

ent

Inci

den

t M

ana

gem

ent

Req

ues

t F

ulf

ilm

ent

Pro

ble

m M

ana

gem

ent

Acc

ess

Ma

nag

emen

t

Op

era

tion

Ma

na

gem

ent

Ser

vice

Mea

sure

men

t

Ser

vice

Rep

ort

ing

7-s

tep

Im

pro

vem

ent

DSS04

DSS05

DSS06

MEA01

MEA02

MEA03

44

Pemetaan proses COBIT 5 dan ITIL v3 dapat dirangkum menjadi bentuk sederhana

seperti yang diperlihatkan oleh Tabel V.5.

Tabel V.5 Rangkuman pemetaan proses COBIT 5 dan ITIL v3.

Proses Tata

Kelola

(COBIT 5)

Proses Manajemen Layanan TI

(ITIL v3)

EDM01

*) Dimasukkan ke dalam lingkup proses dengan pertimbangan tata kelola

menyeluruh

EDM02

EDM03

EDM04

EDM05

APO01 [SD] Design Coordination

[CSI] 7-step Improvement

APO02 [SS] Strategy generation

APO05 [SS] Service Portfolio Management

APO06 [SS] Financial management for IT services

APO08 [SS] Demand management

[SS] Business Relationship Management

APO09 [SS] Service Portfolio Management

[SS] Demand management

[SD] Service Catalogue Management

[SD] Service Level Management

[CSI] Service Reporting

APO10 [SD] Supplier Management

APO12 [SD] Information Security Management

APO13 [SD] Information Security Management

BAI01 [SD] Design Coordination

BAI04 [SD] Availability Management

[SD] Capacity Management

BAI06 [ST] Change Management

BAI07 [ST] Transition Planning & Support

[ST] Release & Deployment Management

[ST] Service Validation & Testing

[ST] Change Evaluation

BAI08 [ST] Knowledge Management

BAI09 [ST] Service asset & Configuration Management

BAI10 [ST] Service asset & Configuration Management

DSS01 [SO] Event Management

[SO] Operation Management

DSS02 [SO] Incident Management

[SO] Request Fulfilment

DSS03 [SO] Problem Management

DSS04 [SD] IT Service Continuity Management

MEA01 [CSI] Service Measurement

[CSI] Service Reporting

45

5.1.4 Penilaian Prioritas Risiko

Penilaian prioritas risiko merupakan salah satu cara penentuan lingkup keamanan

informasi yang diambil dari subbab 5.1 butir 2. COBIT 5 for Risk digunakan untuk

mengidentifikasi daftar risiko yang ada di organisasi berdasarkan risiko generik

pada suatu enterprise. ISO/IEC 31000:2009 digunakan untuk menentukan level

dari risiko yang telah diidentifikasi oleh COBIT 5 for Risk. Hal selanjutnya yang

dilakukan adalah menentukan benefit/cost ratio dari daftar risiko yang telah

diidentifikasi. Perkalian antara level risiko dan benefit/cost ratio menghasilkan nilai

prioritas risiko. Hasil prioritas risiko ini digunakan untuk memetakan prioritas

proses tata kelola yang telah dipilih sebelumnya berdasarkan mitigasi risiko yang

telah dipetakan oleh COBIT 5 for Risk. Tabel V.6 menunjukkan contoh hasil

identifikasi daftar risiko yang terdapat di organisasi.

Tabel V.6 Penilaian prioritas risiko.

No. Kategori Risiko Kemungkinan

[1..5]

Dampak

[1..5]

Level

[R,M,T]

B/C Ratio

[R,M,T]

Prioritas

[R,M,T]

1 Penyusunan dan

pemeliharaan

portofolio

2 Manajemen siklus

hidup p