ROODHIN FIRMANA 5209100050 -...
Transcript of ROODHIN FIRMANA 5209100050 -...
JURUSAN SISTEM INFORMASI
FAKULTAS TEKNOLOGI INFORMASI
INSTITUT TEKNOLOGI SEPULUH NOPEMBER
Supported by
ROODHIN FIRMANA 5209100050
PEMBIMBING BEKTI CAHYO HIDAYANTO, S.Si, M.Kom
HANIM MARIA ASTUTI, S.Kom, M.Sc
PENDAHULUAN
Latar Belakang
GCG sebagai upaya peningkatan kualitas layanan
terlebih yang berkaitan keamanan informasi
Tata kelola yang ada masih belum sepenuhnya layak untuk
menuju ke arah GCG yang sesuai dengan ISO 27001
Perlu adanya evaluasi keamanan informasi yang sesuai ISO
27001 berupa Indeks Keamanan Informasi (KAMI)
PENDAHULUAN
Rumusan Masalah
Tingkat kesiapan atau kematangan keamanan informasi yang telah dilakukan oleh PT. PLN Distribusi Jatim berdasarkan nilai Indeks KAMI
PENDAHULUAN
Tujuan
Panduan pembenahan atau bahan pertimbangan kinerja tata
kelola keamanan informasi khususnya pada PT. PLN Distribusi
Jatim
Mengetahui kebutuhan keamanan informasi pada PT. PLN
Distribusi Jatim
Mengetahui kesiapan TIK khususnya tentang keamanan
informasi pada PT. PLN Distribusi Jatim
Memberikan rekomendasi yang dapat membantu proses
pengambilan keputusan terhadap keamanan informasi pada
PT. PLN Distribusi Jatim
HASIL & PEMBAHASAN
Mengkaji Penetapan Peran atau Tingkat Kepentingan TIK
Penilaian peran dan tingkat kepentingan TIK
digunakan untuk langkah awal dalam mengetahui
ketergantungan instansi terhadap penggunaan
teknologi informasi
Hasil penilaian yang dilakukan berkaitan dengan
peran dan tingkat kepentingan TIK di PT. PLN
Distribusi Jatim ini mendapatkan skor 40
Sumber : Indeks KAMI
HASIL & PEMBAHASAN
Penilaian Kelengkapan 5 area
Kategori Area Skor Tingkat Kematangan
Tata Kelola Keamanan Informasi 27 I+
Pengelolaan Resiko Keamanan Informasi 17 I+
Kerangka Kerja Keamanan Informasi 25 I+
Pengelolaan Aset Informasi 70 I+
Teknologi dan Keamanan Informasi 51 I+
Sumber : Indeks KAMI
HASIL & PEMBAHASAN
Penilaian Kelengkapan 5 area
Sumber : Indeks KAMI
Mulai adanya pemahaman mengenai perlunya
pengelolaan keamanan informasi.
Penerapan langkah pengamanan masih bersifat
reaktif, tidak teratur, tidak mengacu kepada
keseluruhan risiko yang ada, tanpa alur komunikasi
dan kewenangan yang jelas dan tanpa pengawasan
Kelemahan teknis dan non-teknis tidak teridentifikasi
dengan baik
Pihak yang terlibat tidak menyadari tanggung jawab
mereka
HASIL & PEMBAHASAN
Mengkaji Hasil Indeks KAMI
Sumber : Indeks KAMI
HASIL & PEMBAHASAN
Sumber : Indeks KAMI
Mengkaji Hasil Indeks KAMI
High Responden
HASIL & PEMBAHASAN
Sumber : Indeks KAMI
Mengkaji Hasil Indeks KAMI
Tata
Kelola
Pengelolaan
Risiko
Kerangka
Kerja
Pengelolaan
Aset
Aspek
Teknologi
Tingkat II
Status I+ I+ I+ I+ I+
Tingkat III
Validitas No No No No No
Status No No No No No
Tingkat IV
Validitas No No No No No
Status No No No No No
Tingkat V
Validitas No No No No No
Status No No No No No
Status
Akhir I+ I+ I+ I+ I+
HASIL & PEMBAHASAN
Sumber : Tugas Akhir
Rekomendasi Perbaikan Tata Kelola
Kategori
kematangan
Kategori
Pengamanan Point Evaluasi Status / Kondisi Skor
II 1
Apakah penanggungjawab pelaksanaan
pengamanan informasi diberikan alokasi
sumber daya yang sesuai untuk mengelola dan
menjamin kepatuhan program keamanan
informasi?
Dalam
Perencanaan 1
Saran Perbaikan
Hasil penilaian didapatkan bahwa untuk sumber daya yang sesuai untuk
mengelola dan menjamin kepatuhan program keamanan informasi masih
dialokasikan secara umum. Untuk pengalokasian sumber daya berdasarkan
ISO 27001:2005 bisa dilakukan dengan langkah :
Mengkategorikan dan dendefinisikan keamanan informasi berdasarkan
kebutuhan, aset,dan personel
Selain itu juga berdasarkan pengamanan berdasarkan tingkat kesulitan
dan keamanannya
Mengukur secara umum tingkat risiko masing-masing aset
Mengalokasikan sumber daya manusia yang sesuai berdasarkan histori
sebelumnya
Melakukan evaluasi kinerja sumber daya secara berkala guna
mengontrol pelaksanaan
HASIL & PEMBAHASAN
Sumber : Tugas Akhir
Rekomendasi Perbaikan Risiko
Kategori
kematangan
Kategori
Pengamanan Point Evaluasi Status / Kondisi Skor
II 1
Apakah ancaman dan kelemahan yang terkait
dengan aset informasi, terutama untuk setiap
aset utama sudah teridentifikasi?
Dalam
Perencanaan 1
Saran Perbaikan
Identifikasi ancaman dan kelemahan yang terkait dengan asset informasi
dalam dokumen SMKI telah ada tetapi belum dilakukan penerapan sehingga
perlu dilakukan penerapan. Langkah untuk melakukan identifikasi antara
lain:
Membuat daftar ancaman dan kelemahan berdasarkana asset
informasi yang ada pada PT. PLN Distribusi Jatim
Membuat tingkat atau level ancaman atau kerugian jika risiko aset
terjadi serta probabilitas terjadinya risiko tersebut
Menentukan penilaian dari tingkat probabilitas terjadinya ancaman
Membuat kerangka kerja pengelolaan aset infomasi berdasarkan
ancaman dan kelemahan dengan detail di dalamnya.
o Daftar aset
o Daftar ancaman dan kelemahan
o Tingkat atau level ancaman dan kelemahan
o Probabilitas atau tingkat kemungkinan munculnya ancaman
o Kontrol atau pengendalian berupa prosedur, log, form
HASIL & PEMBAHASAN
Sumber : Tugas Akhir
Rekomendasi Perbaikan Kerangka Kerja
Kategori
kematangan
Kategori
Pengamanan Point Evaluasi Status / Kondisi Skor
II 1
Apakah tersedia mekanisme untuk mengelola
dokumen kebijakan dan prosedur keamanan
informasi, termasuk penggunaan daftar induk,
distribusi, penarikan dari peredaran dan
penyimpanannya?
Dalam
Perencanaan 1
Saran Perbaikan
Pengelolaan dokumen kebijakan dan prosedur keamanan informasi pada
PT. PLN Distribusi Jatim masih dalam proses perencanaan. Sebaiknya
pengelolaan dokumen kebijakan dan prosedur keamanan informasi
mengikuti standar ISO/IEC 1799:2005 sebagai berikut :
Menerapkan feedback atau timbal baik dengan pihak terkait
Mengevaluasi rancangan kebijakan sesuai dengan hasil review
kebijakan sebelumnya
Melakukan pengelolaan peredaran dokumen kebijakan dan prosedur
berdasarkan tiap bagiannya.
Pengelolaan kontrol akses dokumen kebijakan dan prosedur terutama
untuk pihak ketiga yang terkait di dalamnya.
Untuk meningkatkan level kematangan perlu adanya evaluasi secara
berkala
HASIL & PEMBAHASAN
Sumber : Tugas Akhir
Rekomendasi Perbaikan Pengelolaan Aset
Kategori
kematangan
Kategori
Pengamanan Point Evaluasi Status / Kondisi Skor
II 1 Apakah tersedia daftar inventaris aset
informasi yang lengkap dan akurat? Tidak Dilakukan 0
Saran Perbaikan
Dari hasil penilaian daftar inventaris asset informasi yang berada di PT. PLN
Distribusi Jatim masih belum lengkap dan akurat. Berdasarkan ISO/IEC
27002:2005 bagian pengelolaan aset, untuk pendaftaran inventaris aset
informasi dapat dilakukan dengan cara :
Untuk memudahkan proses inventarisasi maka sebaiknya membentuk
tim inventarisasi aset terupdate.
Menghitung jumlah aset tetap per sub sub kelompok barang
Mencatat aset tetap ke dalam kertas kerja inventarisasi
Menempelkan label pada aset tetap yang telah di hitung
Menentukan kondisi aset tetap dengan kriteria baik, rusak ringan, atau
rusak berat
Menyusun laporan hasil inventarisasi
Membandingkan laporan hasil inventerisasi dengan dokumen aset
tetap yang ada
Membuat daftar saset tetap yang tidak ditemukan, belum pernah
dicatat, dan usak berat serta daftar koreksi nilai
Sebaiknya setiap pengelolaan aset didetailkan mengenai pengelola dan
penanggung jawab aset tiap bagiannya.
Menyampaikan hasil inventarisasi kepada pengelola aset di PT. PLN
Distribusi Jatim
Melakukan update inventaris dan evaluasi secara berkala
HASIL & PEMBAHASAN
Sumber : Tugas Akhir
Rekomendasi Perbaikan Teknologi
Kategori
kematangan
Kategori
Pengamanan Point Evaluasi Status / Kondisi Skor
II 1
Apakah tersedia konfigurasi standar untuk
keamanan sistem bagi keseluruhan aset
komputer dan perangkat jaringan, yang
dimutakhirkan sesuai perkembangan dan
kebutuhan?
Dalam
Perencanaan 1
Saran Perbaikan
Konfigurasi standar untuk keamanan informasi tidak semua dimutakhirkan
sesuai perkembangan. Untuk melakukan pemutakhiran perlu dilakukan :
Mendefinisikan kebutuhan sistem yang ada termasuk konfigurasinya
Menentukan avalaibilitas aplikasi sistem yang dipakai di PT. PLN
Distribusi Jatim apakah sesuai atau tidak
Mendefinsikan sistem atau aplikasi terbaru disesuaikan dengan
kebutuhan sistem yang terdapat di PT. PLN Distribusi Jatim
Mendefinisikan perencanaan pemutakhiran dengan
o Mendefinsikan risiko implementasi
o Perencanaan finansial
Kelayakan perangkat dalam meningkatkan efisiensi dan efektifitas
proses bisnis yang ada
Mendokumentasikan prosedur pemutakhiran sistem atau aplikasi baru
Melakukan monitoring kinerja secara berkala
KESIMPULAN
Sumber : Tugas Akhir
Hasil evaluasi dari keseluruhan area yang telah dilakukan
pada aspek peran TIK, PT. PLN Distribusi Jatim menunjukkan
skor 40
Tingkat kematangan dari hasil evaluasi berada pada level I+
dengan total skor 190
PT. PLN Distribusi Jatim memerlukan saran perbaikan dan
penerapan secara keseluruhan guna menjalankan dan
memberikan tingkat kematangan yang bagus untuk
mengikuti serfitikasi keamanan informasi yang mengacu
ISO/IEC 27001:2009
SARAN
Sumber : Tugas Akhir
PT. PLN Distribusi Jatim perlu menerapkan keseluruhan poin-
poin penilaian yang terdapat pada lima area keamanan
informasi
Indeks KAMI dapat diterapkan pada semua perusahaan
Penelitian selanjutnya sebaiknya bekerja sama dengan
lembaga yang menaungi Indeks KAMI secara langsung dan
saran-saran dapat diimplementasikan
Dari segi alat evaluasi, perlu adanya petunjuk teknis
mengenai proses penilaian untuk memahami perolehan skor
yang didapatkan
Indeks KAMI
Buku Tugas Akhir
Peran TIK
Rendah Indeks (Skor Akhir) Status Kesiapan
0 12
0 124 Tidak Layak
125 272 Perlu Perbaikan
273 588 Baik/Cukup
Sedang Skor Akhir Status Kesiapan
13 24
0 174 Tidak Layak
175 312 Perlu Perbaikan
313 588 Baik/Cukup
Tinggi Skor Akhir Status Kesiapan
25 36
0 272 Tidak Layak
273 392 Perlu Perbaikan
393 588 Baik/Cukup
Kritis Skor Akhir Status Kesiapan
37 48
0 333 Tidak Layak
334 453 Perlu Perbaikan
454 588 Baik/Cukup