ANALISIS KEAMANAN SITEM INFORMASI DI POLTEKKES KEMENTERIAN KESEHATAN PALEMBANG MENGGUNAKAN FRAMEWORK COBIT 4.1 1
2
3
Lasmanda Saman , Marlindawati , Muhammad Ariandi 1)
Mahasiswa Teknik Informatika Universitas Bina Darma, Dosen Ilmu Komputer Jl Jend A.Yani No03 Plaju, Palembang 30264
2,3
1)
Email::
[email protected] ,
[email protected]),
[email protected]) Abstract: Security of information systems is very important to maintain the validity and integrity of the data and ensure the availability of the service for its users. The system must be protected from all sorts of attacks and intrusion attempts or scanning by unauthorized parties. The Ministry of Health Polytechnic Palembang is one of those institutions that depend largely on the process of teaching information systems, and information technology infrastructure to provide services to students, faculty and the entire staff as well as help implement activities in all units. To avoid having a serious constraint when the system is applied not running properly and avoid evil hackers or those who wish to enter the system without having access rights. Then in perlukannya an information security analysis using the COBIT 4.1 framework, COBIT 4.1 framework is a framework that can be used by any agency or company and the Ministry of Health is no exception Polytechnic Palembang to help achieve the goals that want it. Key : Framework COBIT 4.1, Security of information systems
Abstract : Keamanan sistem informasi adalah sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan layanan bagi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak yang tidak berhak. Poltekkes Kementerian Kesehatan Palembang merupakan salah satu lembaga pendidikan yang menggantungkan sebagian besar proses pengajarannya pada sistem informasi, dan teknologi informasi sebagai sarana dan prasarana untuk memberikan layanan kepada mahasiswa, dosen dan seluruh stafnya serta membantu terlaksananya aktivitas di seluruh unit yang ada. Agar tidak mengalami kendala yang serius ketika sistem yang di terapkan tidak berjalan dengan semestinya dan terhindar dari kejahatan hacker atau pihak-pihak yang ingin memasuki sistem tanpa mempunyai hak akses. Maka di perlukannya suatu analisis keamanan informasi yang menggunakan framework COBIT 4.1, framework COBIT 4.1 merupakan kerangka kerja yang dapat digunakan oleh suatu instansi atau perusahaan dan tidak terkecuali Poltekkes Kementerian kesehatan Palembang untuk membantu mencapai tujuan yang di inginkannya. Kata kunci : Framework COBIT 4.1, keamanan sistem informasi.
Jurnal Lesmanda Saman | 1
1. 1.1.
PENDAHULUAN Latar Belakang
Teknologi informasi (TI) merupakan suatu kebutuhan yang sangat penting bagi semua instansi maupun perusahaan, karena di percaya dapat meningkatkan efektifitas dan efesiensi proses bisnis perusahaan, tak terkecuali perguruan tinggi. Untuk mencapai hal tersebut di perlukan penggelolaan TI yang baik dan benar agar keberadaan TI dapat menunjang kesuksesan suatu instansi dan perusahaan dalam mencapai tujuannya. Kesuksesan tata kelola perusahaan (enterprise governance) saat ini mempunyai ketergantungan terhadap sejauh mana tata kelola TI (IT Governance) di lakukan. IT Governance merupakan bagian terkait dengan corporate governance. Beberapa hal mendasar jika dibandingkan dengan corporate governance adalah IT Governance berkaitan dengan bagaimana tingkat level manajemen memperoleh keyakinan bahwa Manager Sistem Informasi (chief information officer) dan organisasi TI dapat memberikan return berupa value bagi organisasi. Salah satu aspek yang menjadi bagian penting juga dalam teknologi informasi (TI) adalah aspek keamanan. Seiring dengan berkembangnya sistem informasi dan teknologi informasi pada saat ini, beberapa hal penting yang menjadi faktor penentu agar sistem yang berjalan dapat befungsi dengan baik dan benar adalah tata kelola keamanan TI yang di terapkan. Untuk mengetahui tingkat keamanan yang ada, framework COBIT 4.1 yang di keluarkan oleh organisasi ISACA memberikan layanan kerangka kerja secara komprehensif untuk membantu manajemen TI dalam sebuah perusahaan dan instansi mencapai tujuan yang di harapkan. Poltekkes Kementerian Kesehatan Palembang merupakan salah satu lembaga pendidikan yang menggantungkan sebagian besar proses pengajarannya pada sistem
informasi dan teknologi informasi sebagai sarana dan prasarana untuk memberikan layanan kepada mahasiswa, dosen dan seluruh stafnya serta membantu terlaksananya aktivitas di seluruh unit yang ada. Agar tidak mengalami kendala yang serius ketika sistem yang di terapkan tidak berjalan dengan semestinya dan terhindar dari kejahatan hacker atau pihak-pihak yang ingin memasuki sistem tanpa mempunyai hak akses. Maka di perlukannya suatu analisis keamanan informasi yang menggunakan framework COBIT 4.1. Framework COBIT 4.1 merupakan kerangka kerja yang dapat digunakan oleh suatu instansi atau perusahaan untuk membantu mencapai tujuan yang di inginkan. Framework COBIT 4.1 pada sub domain DS5 mempunyai kebutuhan untuk memelihara integritas dari informasi dan untuk melindungi aset teknologi informasi (TI) membutuhkan proses manajemen keamanan. Proses ini meliputi pendirian dan pemeliharaan peran dan pertanggungjawaban, kebijakan-kebijakan, standar-standar, dan prosedur IT Security. Manajemen keamanan informasi juga meliputi penyelenggaraan pengawasan keamanan (security monitoring) dan pengujian periodik (periodic testing) dan pengimplementasian tindakan koreksi untuk mengidentifikasikan kelemahan keamanan dan kejadiannya. Berdasarkan uraian dari permasalahan diatas, penulis tertarik membuat proposal skripsi tentang “ ANALISIS KEAMANAN SISTEM INFORMASI PADA POLTEKKES KEMENTERIAN KESEHATAN PALEMBANG MENGGUNAKAN FRAMEWORK COBIT 4.1 “. 1.2. Perumusan Masalah Adapun perumusan masalah dalam penelitian ini, adalah bagaimana menganalisis tingkat keamanan sistem yang ada di Poltekkes Kementerian Kesehatan Palembang menggunakan framework COBIT 4.1 pada sub domain DS5 agar terhindar dari kejahatan
Jurnal Lesmanda Saman | 2
hacker atau pihak-pihak yang ingin memasuki sistem tanpa mempunyai hak akses. 1.3. Batasan Masalah Batasan masalah yang di lakukan pada penelitian ini yaitu hanya menganalisis keamanan jaringan di Poltekkes Kementerian Kesehatan Palembang dengan menggunakan framework COBIT 4.1dengan sub Domain DS5 (Ensure System Sequrity). 1.4 Tujuan dan Manfaat Penelitian 1.4.1 Tujuan Tujuan penelitian ini adalah untuk mengetahui bagaimana sistem Keamanan data secara fisik dan aplikasi (software) dengan menganalisis menggunakan alat analisis dan desain sistem yang ada dengan kerangka acuan CobiT 4.1 pada Aspek DS5. 1.4.2 Manfaat Manfaat penelitian : 1. Dapat mengetahui sejauh mana tingkat keamanan berdasarkan COBIT yang ada di Poltekkes Kementerian Kesehatan Palembang. 2. Mengetahui sejauh mana tata kelola infrastruktur jaringan di Poltekkes berdasarkan manturity level. 3. Dapat menanmbah wawasan penulis tentang framework COBIT 4.1.
2.
LANDASAN TEORI
2.1 Ananalisis Menurut kamus besar Bahasa Indonesia, Analisis adalah penguraian suatu pokok atas berbagai bagiannya dan penelaahan bagian itu sendiri serta hubungan antar bagian untuk memperoleh pengertian yang tepat dan pemahaman arti keseluruhan. Analisis merupakan penguraian suatu pokok atas berbagai bagiannya dan penelaahan bagian itu sendiri, serta hubungan antar bagian
untuk memperoleh pengertian yang tepat dan pemahaman arti keseluruhan. Menurut Dwi Prstowo Darminto dan Rifka Julianty (2002; 52). Dari pengertian diatas dapat disimpulakan bahwa, analisis adalah kegiatan merangkum sejumlah data besar data yang masih mentah menjadi informasi yang dapat diinterpretasikan.Kategorisasi atau pemisahan dari komponen-komponen atau bagian-bagian yang relevan dari seperangkat data juga merupakan bentuk analisis untuk membuat data-data tersebut mudah diatur. Semua bentuk analisis berusaha menggambarkan pola-pola secara konsisten dalam data sehingga hasilnya dapat dipelajari dan diterjemahkan dengan cara yang singkat dan penuh arti. 2.2 Keamanan Sistem Informasi Keamanan sistem informasi adalah suatu upaya untuk mengamankan aset informasi terhadap ancaman yang mungkin timbul. Sehingga keamanan informasi secara tidak langsung dapat menjamin kontinuitas bisnis, mengurangi resiko-resiko yang terjadi, mengoptimalkan pengembalian investasi (return on investment. Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing-kan maka semakin besar pula resiko terjadi kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan. (Sarno dan iffano : 2009), Sedangkan menurut ISO/IEC (17799:2005) keamanan sistem informasi adalah upaya perlindungan dari berbagai macam ancaman untuk memastikan keberlanjutan bisnis, meminimalisir resiko bisnis, dan meningkatkan investasi dan peluang bisnis. Jadi, keamanan sistem informasi adalah sebagai kebijakan, prosedur, dan pengukuran teknis yang di gunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi yang ada.
Jurnal Lesmanda Saman | 3
2.3 COBIT COBIT (Control Objectives for Information and Related Technology) adalah kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan perangkat yang mendukung dan memungkinkan para manager untuk menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan (control requirement), masalah teknis (technical issues) dan resiko bisnis (bussiness risk). COBIT mempermudah perkembangan peraturan yang jelas (clear policy development) dan praktik baik (good practice) untuk mengendalikan IT dalam organisasi. COBIT menekankan keputusan terhadap peraturan, membantu organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan dari kerangka COBIT. COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap control, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, COBIT versi 4 yang lebih mengarah pada IT Governance, dan terakir dirilis adalah COBIT versi 5 pada tahun 2012 yang mengarah pada tata kelola dan menejemen untuk aset-aset perusahaan IT. COBIT terdiri atas 4 domain, yaitu : a.) Planning and Organizing, b.) Acquisition and Implementation, c.) Delivery and Support, d.) Monitoring and Evaluation. 2.4 Framework Cobit Konsep dasar kerangka kerja COBIT adalah sebagai penentu kendali dalam TI berdasarkan informasi yang dibutuhkan untuk mendukung tujuan bisnis dan informasi yang dihasilkan dari gabungan penerapan proses TI dan sumber daya terkait. Dalam penerapan pengelolaan TI terdapat dua jenis model kendali, yaitu model kendali bisnis (business controls model) dan model
kendali TI (IT focused control model), COBIT mencoba untuk menjembatani kesenjangan dari kedua jenis kendali tersebut. COBIT di rancang terdiri dari 34 high level control objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu: Plan and Organise, Acquire and Implement, Deliver and Support dan Monitor and Evaluate. Berikut kerangka kerja COBIT yang terdiri dari 34 proses TI yang terbagi ke dalam 4 domain pengelolaan, yaitu : a).Plan and Organise (PO), mencakup masalah mengidentifikasikan cara terbaik TI untuk memberikan kontribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. Domain PO terdiri dari 10 control objectives, yaitu : PO1 – Define a strategic IT plan PO2 – Define the information architechture PO3 – Determine technological direction PO4 – Define IT processes, organisation and relationships PO5 – Manage the IT investment PO6 – Communicate management ains and direction PO7 – Manage IT human resource PO8 – Manage quality PO9 – Asses and manage IT risks PO10 – Manage projects b). Acquire and Implement (AI), domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah ditetapkan, harus disertai solusi-solusi TI yang sesuai dan solusi TI tersebut diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Domain AI terdiri dari 7 control objectives, yaitu : AI1 – Identify automated solutions AI2 – Acquire and maintain application software AI3 – Acquire and maintain technology infrastructure AI4 – Enable operation and use
Jurnal Lesmanda Saman | 4
AI5 – Procure IT resources AI6 – Manage changes AI7 – Install and accredit solutions and changes c) Deliver and Support (DS), domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya yang meliputi hal keamanan sistem, kesinambungan layanan, pelatihan dan pendidikan untuk pengguna, dan pengelolaan data yang sedang berjalan. Domain DS terdiri dari 13 control objectives, yaitu : DS1 – Define and manage service levels. DS2 – Manage third-party services. DS3 – Manage performance and capacity. DS4 – Ensure continuous service. DS5 – Ensure systems security. DS6 – Identify and allocate costs. DS7 – Educate and train users. DS8 – Manage service desk and incidents. DS9 – Manage the configuration. DS10 – Manage problems. DS11 – Manage data. DS12 – Manage the physical environment. DS13 – Manage operations. d) Monitor and Evaluate (ME), domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini fokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal dan eksternal. Berikut proses-proses TI pada domain monitoring and evaluate : ME1- Monitor and evaluate IT performance. ME2- Monitor and evaluate internal control. ME3– Ensure regulatory compliance. ME – Provide IT Governance. 17 Dengan melakukan kontrol terhadap ke 34 obyektif tersebut, organisasi dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk lingkungan TI. Untuk mendukung proses TI tersebut tersedia lagi sekitar 215 tujuan kontrol yang lebih detil untuk menjamin kelengkapan dan efektifitas implementasi.
2.5. Model Maturity COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses TI dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5). 0 - Non Existent Perusahaan sama sekali tidak perduli akan pentingnya teknologi informasi untuk kelola secara baik oleh pihak manajemen. 1 - Initial / Ad Hoc Perusahaan secara reaktif melakukan penerapan dan implementasi teknologi informasi sesuai dengan kebutuhan-kebutuhan mendadak yang ada, tanpa didahului dengan perencanaan sebelumnya. 2 - Repeatable but Intituitive Perusahaan telah memiliki pola yang berulangkali dilakukan dalam melakukan manajemen aktivitas terkait dengan tata kelola teknologi informasi, namun keberadaannya belum terdefinisi secara baik dan formal sehingga masih terjadi ketidakkonsistenan. 3 - Defined Perusahaan telah memiliki prosedur baku formal dan tertulis yang telah disosialkan ke segenap jajaran manajemen dan karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari-hari. 4 - Managed and Measurable Perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran maupun objektif kinerja setiap penerapan aplikasi teknologi informasi yang ada. 5 - Optimised Perusahaan telah mengimplementasikan tata kelola teknologi informasi yang mengacu pada “Best Practice”.
Jurnal Lesmanda Saman | 5
Gambar 2.2 Grafik Model Kematangan Dengan adanya maturity level model, maka organisasi dapat mengetahui posisi kematangannya saat ini, dan secara terus menerus serta berkesinambungan harus berusaha untuk meningkatkan levelnya sampai tingkat tertinggi agar aspek governance terhadap teknologi informasi dapat berjalan secara efektif. Salah satu cara menghitung tingkat kematangan adalah sebagai berikut : 1. Mengembangkan kuisioner dengan mengacu pada tingkat kematangan proses tata kelola TI berdasarkan framework COBIT 4.1. 2. Menghitung bobot semua proses tata kelola berdasarkan hasil kuisioner. 3. Menghitung tingkat kematangan berdasarkan proses-proses tata kelola terkait. 4. Menentukan nilai kontribusi tiap tingkat kematangan dengan cara membagi nilai tingkat kematangan dengan total tingkat kematangan. 5. Mengalikan nilai kontribusi dengan masingmasing tingkat kematangan. 6. Menjumlahkan semua nilai kontribusi yang didapat. 7. Total Nilai Kontribusi = Tingkat Kematangan Proses. 2.6 Ensure System Sequrity (DS5) Kontrol atas proses TI untuk memastikan keamanan sistem : 1. Tujuan DS 5 Menjaga integritas informasi dan infrastruktur pengolahan dan meminimalkan dampak kerentanan keamanan dan insiden. 2. DS 5 berfokus pada Mendefinisikan kebijakan keamanan IT, prosedur dan standar, dan pemantauan,
mendeteksi, pelaporan dan menyelesaikan kerentanan keamanan dan insiden. 3. DS 5 dicapai dengan a. Memahami persyaratan keamanan, kerentanan dan ancaman. b. Mengelola identitas pengguna dan otorisasi dengan cara standar. c. Keamanan Pengujian secara teratur. 4. Dan diukur dengan a. Jumlah insiden merusak reputasi dengan masyarakat. b. Jumlah sistem di mana persyaratan keamanan tidak terpenuhi. c. Jumlah pelanggaran dalam pemisahan tugas. 2.7. Maturity Model DS 5 Pengelolaan proses untuk memastikan keamanan sistem yang memenuhi kebutuhan bisnis untuk TI mempertahankan integritas informasi dan infrastruktur pengolahan dan meminimalkan dampak dari kerentanan keamanan dan insiden adalah: a. 0 Non-existent Organisasi tidak menyadari kebutuhan untuk keamanan IT . b. 1 Initial / Ad Hoc Organisasi mengakui kebutuhan untuk keamanan IT. c. 2 Repeatable but Intuitive Tanggung jawab dan akuntabilitas untuk keamanan IT ditugaskan ke koordinator keamanan IT, meskipun kewenangan manajemen koordinator terbatas. d. 3 Proses Ditetapkan Kesadaran keamanan ada dan dipromosikan oleh manajemen. e. 4 Managed and Measurable Tanggung jawab untuk keamanan IT ditugaskan jelas, dikelola dan ditegakkan. f. 5 Optimised Keamanan IT adalah tanggung jawab bersama bisnis dan manajemen IT dan terintegrasi dengan tujuan bisnis keamanan
perusahaan.
Jurnal Lesmanda Saman | 6
3. METODE PENELITIAN Penelitian ini menggunakan tipe penelitian deskriptif kualitatif. Adapun sifat dari penelitian ini adalah deskriptif, metode deskriptif dapat diartikan sebagai prosedur pemecahan masalah yang diselidiki dengan menggambarkan atau melukiskan keadaan subyek atau obyek penelitian (seseorang, lembaga, masyarakat dan lain-lain) pada saat sekarang berdasarkan fakta-fakta yang tampak atau sebagaimana adanya. Data yang dikumpulkan berupa kata-kata, gambar, dan bukan angka-angka. Data tersebut mungkin berasal dari naskah wawancara, catatanlapangan, foto, video tape, dokumen pribadi, catatan atau memo, dan dokumen resmi lainnya (Santi, 2012: 34) Penelitian deskriptif ditujukan untuk : 1. Mengumpulkan informasi secara aktual dan terperinci 2. Mengidentifikasikan masalah. 3. Membuat perbandingan atau evaluasi. 4. Menentukan apa yang dilakukan orang lain dalam menghadapi masalah yang sama dan belajar dari pengalaman mereka untuk menetapkan rencana dan keputusan pada waktu yang akan datang. Pendekatan yang digunakan adalah pendekatan kualitatif. Pendekatan ini diarahkan pada latar belakang dan individu tersebut secara holistik (utuh). Jadi, dalam hal ini tidak boleh mengisolasikan individu atau organisasi ke dalam variabel atau hipotesis. (Santi, 2012: 34). 3.1. Populasi dan Sampel Arikunto (2010), mengatakan bahwa “populasi adalah keseluruhan subjek penelitian”. Sedangkan menurut Sugiyono (1997 : 57) memberikan pengertian bahwa : “Populasi adalah wilayah generalisasi yang terdiri dari obyek atau subyek yang menjadi kuantitas dan karakteristik tertentu yang ditetapkan oleh peneliti untuk di pelajari dan kemudian ditarik kesimpulannya”.
Populasi yang digunakan sebagai sampel data pada penelitian ini adalah Pegawai yang ada di Poltekkes Kementrian Kesehatan Palembang yang berjumlah 12 orang. Menurut Suharsimi Arikunto (1998 :117) ”sampel adalah bagian dari populasi (sebagian atau wakil populasi yang diteliti). Sampel penelitian adalah sebagian populasi yang diambil sebagai sumber data dan dapat mewakili seluruh populasi.”. Sampel adalah wakil populasi yang diteliti (Arikunto 2010). Untuk mendapatkan sampel yang dapat menggambarkan populasi, maka dalam penelitian ini teknik pengambilan sampel menggunakan sampling jenuh (sensus), yaitu teknik penentuan sampel bila semua anggota populasi digunakan sebagai sampel. Hal ini sering dilakukan bila jumlah populasi relatif kecil, kurang dari 30 orang, atau penelitian yang ingin membuat generalisasi dengan kesalahan yang sangat kecil. 3.2. Skala Pengukuran Skala pengukuran yang akan dipakai dalam kuesioner pada penelitian ini adalah skala maturity, skala maturity adalah skala untuk mengukur level pengembangan manajemen proses. Seberapa bagusya pengembangan atau kapabilitas manajemen tergantung pencapaian tujuan-tujuan COBIT. Jawaban setiap item instrumen yang menggunakan skala maturity berbentuk tanggapan responden terhadap pernyataanpernyataan dalam kuesioner, jawaban tersebut yaitu : Optimized (sempurna, TI berjalan dengan baik), Managed and measureable (dilakukan, ada proses), Difened process (dilakukan dan suda baku), Repeatable but intuitive (dilakukan, tetapi belum baku), Initial / ad-hoc (dilakukan, tetapi tidak ada prosedur), Non-existent (tidak ada proses TI). Penggunaan skala ini ditujukan untuk mengevaluasi kinerja mana yang paling relevan di bawah keadaan tertentu dalam suatu instanti. Tujuannya untuk menguraikan secara
Jurnal Lesmanda Saman | 7
efektif faktor-faktor instansi.
yang
penting
bagi
Tabel 3.1 skala penilaia Maturity
Dengan melakukan tanya jawab langsung peneliti dengan pegawai Poltekkes Kementrian Kesehatan Palembang menggunakan Cobit 4.1. 4. Quesioner Pada metode ini kegiatan yang dilakukan adalah membuat beberapa pertanyaan berdasarkan framework cobit 4.1 untuk melakukan audit keamanan sistem informasi pada Poltekkes Kementrian Kesehatan Palembang. 3.6.Tahapan Pelaksanaan Audit
Tabel 3.2 Rentang Skala Maturity
3.3. Metode Pengumpulan Data Dalam melakukan penelitian untuk mendapatkan data dan informasi, maka metode yang digunakan dalam proses pengumpulan data dilakukan sebagai berikut : 1. Observasi Dalam hal ini yang akan di observasi tentang audit keamanan sistem informasi di Poltekkes Kementrian Kesehatan Palembang menggunakan Cobit 4.1. 2.Studi Pustaka Metode yang dilakukan adalah dengan cara mancari bahan yang mendukung dalam pendefinisian masalah melalui buku-buku, internet, yang erat kaitannya dengan objek permasalahan.
Menurut Sarno (2009:33), tahapan pelaksanaan audit teknologi informasi meliputi: 1. Analisis Kondisi Eksisting Tahapan analisis kondisi eksisting dalam rencana Audit SI/TI merupakan kegiatan peninjauan kondisi perusahaan saat ini terutama yang berkaitan dengan aktivitas bisnis. Peninjauan dilakukan dengan dua tujuan utama, yakni pengumpulan data sebagai bahan analisis resiko untuk menentukan lingkungan audit yang nantinya dilakukan dan pengumpulan infomasi yang mendukung pelaksanaan audit, misalnya informasi mengenai aktivitas bisnis yang telah didukung TI serta hukum, regulasi, ketetapan, standar yang terkait dengan aktivitas bisnis tersebut. Mengenai tujuan yang pertama, yakni pengumpulan data sebagai bahan analisis resiko, fokus dari aktivitas pengumpulan data yang dilakukan adalah keseluruhan proses bisnis yang ada di perusahaan, baik proses bisnis utama maupun pendukung. Proses bisnis yang dimaksud tidak hanya terkait dengan TI, namum keseluruhan proses bisnis yang berlangsung di perusahaan. Pengumpulan data proses bisnis tersebut dilakukan terhadap pihak-pihak yang bertanggung jawab terhadap pengelolaan proses berdasarkan struktur organisasi berkaitan tugas pokok dan fungsi yang berkaitan dengan proses tersebut.
3. Wawancara 2. Penentuan Tingkat Resiko
Jurnal Lesmanda Saman | 8
Mengklasifikasikan proses bisnis yang tingkat resikonya tinggi (proses bisnis utama) maupun proses bisnis pendukung. Hasil penentuan tingkat resiko tersebut kemudian dijadikan sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit yang diarahkan kepada proses bisnis yang didukung oleh teknologi informasi. Resiko bisnis sendiri dapat melibatkan aspek financial, regulasi atau operasional atau informasi dan teknologi yang terkait yang dikenal sebagai Resiko TI. Resiko TI tersebut dapat berupa resiko penyampaian layanan (IT service delivery), resiko penyampaian solusi TI maupun resiko dorongan mencapai manfaat / nilai I. Masing-masing resiko tersebut akan memberikan pengaruh terhadap nilai bisnis, baik pada peningkatan maupun perlindungan terhadap proses bisnis yang berlangsung di perusahaan. 3. Pelaksanaan Audit SI/TI Mengacu kerangkat kerja COBIT yang akan didahulukan dengan proses penentuan ruang lingkup dan tujuan audit (scope dan objective) berdasarkan hasil penentuan tingkat resiko pada tahapan sebelumnya. Aktivitas yang dilakukan selajutnya adalah pengumpulan bukti dari proses TI yang masuk dalam batasan atau ruang lingkup tinjauan. Pengumpulan bukti tersebut menggunakan metode yang sama dengan pengumpulan data pada tahapan analisis kondisi, tetapi aktivitas ini memfokuskan pada penemuan bukti-buki yang diperlukan untuk memastikan bahwa proses TI berjalan sesuai dengan standar pengolahan yang baik. 4. Penentuan Rekomendasi Setelah audit SI/TI dilaksanaka, pengudit bertanggung jawab terhadap pengkomunikasian hasil audit kepada pihak manajemen terkait. Pengkomunikasian tersebut menghasilkan kesepakatan akan hasil audit yang kemudian akan disusun dalam laporan audit. Perekomundasian tersebut membutuhkan keahlian pengambilan keputusan, kebijakan dan pengetahuan akan proses audit. Laporan akhir dari audit
seharusnya mempesentasikan gambaran saat ini dari situasi kemudian memungkinkan pihak menajemen untuk mengambil langkah yang diperlukan.
4. HASIL DAN PEMBAHASAN 4.1.1
Analisis Kondisi Eksisting
Tahapan kondisi eksisting dalam rencana audit keamanan sistem informasi di Poltekkes Kementrian Kesehatan Palembang yang merupakan lembaga pendidikan kesehatan, sampai dengan tahun 2015, telah dilakukan pembangunan ataupun pengembangan Sitel (Sistem Informasi dan Telematika), baik itu menyangkut piranti lunak, dan piranti keras dan infrastruktur jaringan. Untuk mensinergikan implementasi dan penerapan Sitel, Poltekkes Kementrian Kesehatan Palembang telah mempunyai arah pembangunan atau pengembangan Sitel yang tercantum di dalamnya master plan ICT, website Poltekkes Kementrian Kesehatan Palembang. Sedangkan untuk peningkatan kualitas SDM Teknologi informasi Poltekkes Kementrian Kesehatan Palembang telah mengadakan workshop teknologi informasi yang merupakan fasilitas untuk pelatihan tekniks SDM di bidang teknologi informasi. Manajeman pelaksanaan teknologi informasi dilakukan oleh bagian kurikulum sendiri.
4.1.2
Penentuan Tingkat Resiko
Dari tahapan kondisi eksisting diatas maka dapat ditentukan tingka resiko pada piranti lunak khususnya website agar tidak mengalami kendala yang serius ketika sistem yang di terapkan tidak berjalan dengan semestinya dan terhindar dari kejahatan hacker atau pihak-pihak yang ingin memasuki sistem tanpa mempunyai hak akses. Piranti keras yang masih menggunakan spesifikasi komputer standar client, belum adanya spesifikasi komputer untuk server penempatan
Jurnal Lesmanda Saman | 9
hosting website. Infrastruktur jaringan local hanya ada di Laboratorium Komputer tidak pada bagian administrasi dan bagian kurikulim dan kualitas SDM (Sumber Daya Manusia) belum adanya tenaga ahli khusus untuk mengelolah sistem informasi yang ada di Poltekkes Kementrian Kesehatan Palembang. 4.1.3 Hasil Pelaksanaan Audit Hasil dari pembahasan audit keamanan pada sistem informasi menggunakan Cobit 4.1. (control objective for information and related technology) pada Poltekkes Kementrian Kesehatan Palembang. Kebutuhan untuk menjaga integritas informasi dan melindungi aset TI memerlukan proses manajemen keamanan. Proses ini meliputi penyusunan dan memelihara peranan-peranan keamanan (security roles) serta tanggung jawab, kebijakan, standar dan prosedur. Manajemen keamanan juga mencakup pengawasan keamanan dan ujicoba secara periodik, serta mengimplementasikan aksi perbaikan untuk kelemahan kekurangan atau insiden/bencana. Manajemen keamanan yang efektif melindungi semua aset TI untuk meminimalkan dampak bisnis terhadap kelemahan keamanan dan insiden. Dipandang sebagai suatu kontrol efektif untuk dapat mencapai tujuan, yang didefinisikan dalam COBIT 4.1. Adapun keberadaan (tingkat pemenuhannya) berkaitan langsung dengan upaya pengendalian terhadap kelemahan/kerentanan yang dapat memicu timbulnya ancaman yang berdampak serius pada pencapaian tujuan bisnis. DS5 terdiri dari: DS5 (ensure system sequrity), pertanyaan terdiri dari : 1. DS5.1 : Manajemen Keamanan TI (Managementof IT Security) Manajemen keamanan TI pada level organisasi yang tertinggi sehingga tindakan manajemen keamanan selaras dengan kebutuhan bisnis. Menerjemahkan bisnis, risiko dan kepatuhan (compliance) ke dalam rencana keamanan TI secara keseluruhan
dengan mempertimbangkan infrastruktur TI dan budaya keamanan. 2. DS5.2: Rencana Keamanan TI (IT Security Plan) Memastikan rencana diimplementasikan dalam prosedur dan kebijakan keamanan bersama-sama investasi yang tepat dalam layanan, personel, software dan hardware. Mengkomunikasikan kebijakan dan prosedur keamanan kepada stakeholder dan user. 3. DS5.3 : Manajemen Identitas (Identity Management) Memastikan semua user (internal, eksternal dan temporer) dan aktivitas mereka dalam sistem TI (bisnis, aplikasi, lingkungan TI, operasi sistem, pengembangan dan pemeliharaan) secara unik teridentifikasi. Memudahkan user mengidentifikasi melalui mekanisme otentikasi. Mengkonfirmasi bahwa hak akses pengguna ke sistem dan data sesuai dengan yang ditetapkan, kebutuhan bisnis yang didokumentasikan, dan kebutuhan kerja yang melekat pada identitas pengguna. Memastikan bahwa hak akses pengguna diminta oleh manajemen pengguna, disetujui oleh pemilik sistem dan diimplementasikan oleh penanggung jawab keamanan. Memelihara identitas pengguna dan hak akses dalam repositori pusat. Melakukan langkahlangkah teknis yang menghemat biaya, mengukur prosedural dan menjaganya agar terus update dalam membuat identifikasi user, implementasi otentikasi dan memaksakan hak akses. 4. DS5.4: Manajemen Akun Pengguna (User Account Management) Menempatkan permintaan, penyusunan, penerbitan, penangguhan. Pemodifikasian dan penutupan akun pengguna serta hak-hak user yang berkaitan dengan rangkaian prosedur manajemen akun pengguna. Termasuk prosedur persetujuan yang menguraikan data atau pemilik sistem pemberian hak akses. Prosedur ini harus berlaku untuk semua pengguna termasuk administrator, pengguna internal dan eksternal, untuk normal dan kasus darurat. Hak dan kewajiban relatif terhadap akses ke sistem oraganisasi dan informasi
Jurnal Lesmanda Saman | 10
seharusnya dicantumkan dalam kontrak kerja semua jenis pengguna. Selanjutnya, melakukan peninjauan manajemen secara teratur setiap akun dan hak yang terhubung. 5. DS5.5: Uji Coba Keamanan, Penjagaan dan Pemantauan (Security Testing, Surveillance and monitoring) Menguji, menjaga dan memantau implementasi keamanan TI dalam langkah yang proaktif. Keamanan TI seharusnya ditinjau secara periodik untuk memastikan landasan keamanan informasi organisasi yang disetujui dan dipelihara. Logging dan fungsi pemantauan keamanan TI akan memudahkan untuk pencegahan, pendeteksi dini dan sewaktu-waktu untuk melaporkan aktivitas yang tidak seperti biasanya perlu diperhatikan. 6. DS5.6: Definisi Insiden Keamanan (Security Incident Definition) Mendefinisikan secara jelas dan mengkomuniksasikan karakteristik dari insiden keamanan yang potential sehingga dapat diklasifikasikan dan diperlakukan dengan baik oleh peristiwa dan proses manajemen masalah. 7. DS5.7: Proteksi Teknologi Keamanan (Protection of Security Technology) Membuat teknologi keamanan tahan terhadap gangguan, dan tidak mengungkapkan dokumentasi keamanan yang tidak perlu. 8. DS5.8: Manajemen Kunci Kriptografi (Cryptographic Key Management) Menentukan bahwa kebijakan dan prosedur sesuai untuk mengatur perubahan, pembatalan, penghancuran, distribusi, sertifikasi, penyimpanan, entry, penggunaan dan pengarsipan kunci kriptografi untuk memastikan perlindungan kunci terhadap modifikasi dan pengungkapan yang tidak sah. 9. DS5.9: Pencegahan Software Berbahaya, Deteksi dan Perbaikan (Malicious Software Prevention, Detection and Correction) Memasang pencegahan, pendeteksi dan langkahlangkah perbaikan yang sesuai (terutama patch keamanan yang up-to-date dan pengendalian virus) diseluruh organisasi untuk melindungi sistem informasi dan teknologi
dari malware (seperti virus, worm, spyware dan spam). 10. DS5.10 Keamanan Jaringan (Network Security) Menggunakan teknik dan prosedur manajemen keamanan (misalnya firewall, peralatan keamanan, segmentasi jaring an, intruksi deteksi) untuk mengotorisasi akses dan kontrol informasi mengalir dari dan ke jaringan. 11. DS5.11: Pertukaran Data Sensitif (Exchange of Sensitive Data) Pertukaran data transaksi sensitif hanya melalui jalur terpercaya atau media dengan kontrol untuk menyediakan keaslian konten, bukti pengiriman, bukti penerimaan dan nonrepudiation. Adapun hasil dari kuesioner untuk domain DS5 (ensure system sequrity) yang disebarkan pada pegawai berjumlah 12 orang pada Poltekkes Kementrian Kesehatan Palembang yaitu : Tabel 4.1 DS5 (Ensure System Sequrity)
Gambabr 4.1 Grafik DS5 (Ensure System Sequrity) Bisa dilihat dari grafik diatas, proses pengawasan dan evaluasi terhadap kinerja teknologi informasi berdasarkan maturity
Jurnal Lesmanda Saman | 11
model sudah berjalan baik yaitu berada pada sekala 4 yaitu 3.84 menurut responden komputer sudah berfungsi dengan baik dan penempatannya sudah sesuai dengan aturan, penggunaan internet selalu mendapat pengawasan dari pimpinan sehingga tugas dapat diselesaikan tepat waktu. Namun kegiatan training teknologi informasi untuk pegawai belum secara keseluruhan. 4.1.4
Analisa Kesenjangan (Gap)
Berdasarkan analisis keamanan sistem informasi pada Poltekkes Kementrian Kesehatan Palembang yang sedang berjalan (as-is), maka dapat diketahui bahwa tingkat kematangan tersebut diidentifikasikan berada pada level 4. Sedangkan tingkat kematangan yang ditetapkan sebagai acuan (to-be) atau sistem untuk kedepan dalam tata kelola teknologi informasi pada pengelolaan data di Poltekkes Kementrian Kesehatan Palembang diidentifikasikan pada level 5.
8. DS5.8: Manajemen Kunci Kriptografi (Cryptographic Key Management) 9. DS5.9: Pencegahan Software Berbahaya, Deteksi dan Perbaikan (Malicious Software Prevention, Detection and Correction) 10. DS5.10 Keamanan Jaringan (Network Security) 11. DS5.11: Pertukaran Data Sensitif (Exchange of Sensitive Data) Pada pengukuran Marturity model ini digunakan pengambilan data melalui kuisioner. Responden yang dilibatkan untuk pengisian kuisioner terutama adalah pada unit kerja TI yang kesehariannya mengoprasikan secara langsung dan mengetahui masalah yang berkaitan dengan proses terpilih, responden juga berasal dari unit kerja lain yang terkait. Sedangkan skala pembuatan indeks bagi pemetaan ketingkat model maturity terdapat pada tabel berikut ini. Tabel 4.2 Skala Pembulatan Indeks
4.2 Pembahasan Marturity model merupakan alat ukur untuk mengetahui kondisi proses TI pada Poltekkes Kementrian Kesehatan Palembang ini. Kegiatan pengukuran ini akan menghasilkan penilaian tentang kondisi sekarang dari proses DS5 (Ensure System Sequrity), terdiri dari : 1. DS5.1 : Manajemen Keamanan TI (Managementof IT Security) 2. DS5.2: Rencana Keamanan TI (IT Security Plan) 3. DS5.3 : Manajemen Identitas (Identity Management) 4. DS5.4: Manajemen Akun Pengguna (User Account Management) 5. DS5.5: Uji Coba Keamanan, Penjagaan dan Pemantauan (Security Testing, Surveillance and monitoring) 6. DS5.6: Definisi Insiden Keamanan (Security Incident Definition) 7. DS5.7: Proteksi Teknologi Keamanan (Protection of Security Technology)
Untuk mendukung audit tata kelola teknlogi informasi menggunakan Cobit 4.1. (control objective for information and related technology) pada Poltekkes Kementrian Kesehatan Palembang, data yang diperoleh dari kuisioner akan diolah dan dilakukan : a. Melakukan perhitungan rata-rata terhadap masing-masing attribut isian dari semua responden. b. Penilaian tingkat marturity proses tersebut diperoleh dengan melakukan perhitungan ratarata semua attribut. c. Representasi kondisi teknologi informasi yang ada. Ukuran dalam model ini meliputi ukuran ordinal dan ukuran nominal. Ukuran ordinal merupakan angka yang diberikan dimana angka tersebut mengandung
Jurnal Lesmanda Saman | 12
pengertian tingkatan. Ukuran nominal digunakan untuk mengurutkan obyek dari tingkatan terendah sampai tertinggi. Ukuran ini tidak memberikan nilai absolut terhadap obyek, tetapi hanya memberikan urutan tingkatan dari tingkat terendah sampai dengan tingkat tertinggi saja. Selanjutnya merelasikan antara nilai tingkatan dan nilai absolut yang dilakukan dengan perhitungan dalam bentuk indeks menggunakan formula matematika sebagai berikut : Persamaan matematik untuk menentukan nilai indeks adalah sebagai berikut:
Secara keseluruhan tingkat kematangan untuk domain DS5 (Ensure System Sequrity) pada Poltekkes Kementrian Kesehatan Palembang adalah terdapat pada tingkat 3.85. Table 4.3 Hasil Pengukuran Tingkat Kematangan Setiap Proses TI pada Domain DS5 (Ensure System Sequrity)
Skala hasil audit tata kelola teknologi informasi pada Poltekkes Kementrian Kesehatan Palembang menggunakan metode Cobit 4.1 yaitu : 1. Tingkat model maturity skala 4 yaitu : a. DS5.1 : Manajemen Keamanan TI (Managementof IT Security) dengan nilai ratarata 4,33 a. DS5.2: Rencana Keamanan TI (IT Security Plan) dengan nilai rata-rata 4,08 b. DS5.3 : Manajemen Identitas (Identity Management) dengan nilai rata-rata 4,02 c. DS5.5: Uji Coba Keamanan, Penjagaan dan Pemantauan (Security Testing, Surveillance and monitoring) dengan nilai rata-rata 4,42 d. DS5.6: Definisi Insiden Keamanan (Security Incident Definition) dengan nilai rata-rata 4,25 e. DS5.7: Proteksi Teknologi Keamanan (Protection of Security Technology) dengan nilai rata-rata 3,92 f. DS5.8: Manajemen Kunci Kriptografi (Cryptographic Key Management) dengan nilai rata-rata 4,50 g. DS5.9: Pencegahan Software Berbahaya, Deteksi dan Perbaikan (Malicious Software Prevention, Detection and Correction) dengan nilai rata-rata 3,17 h. DS5.11: Pertukaran Data Sensitif (Exchange of Sensitive Data) dengan nilai rata-rata 3,92 Pada tingkat maturity skala 4 yaitu managed and measurable, pada tingkat ini a. Kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran maupun objektif terhadap kinerja proses teknologi informasi. b. Terdapat fasilitas untuk memonitor dan mengukur prosedur yang sudah berjalan, dapat mengambil tindakan jika terdapat proses yang diindikasikan tidak efektif. c. Proses diperbaiki terus menerus dan dibandingkan dengan praktik-praktik terbaik. d. Terdapat perangkat bantu dan otomatisasi untuk pengawasan proses.
Jurnal Lesmanda Saman | 13
2. Tingkat model maturity skala 3 yaitu : a. DS5.10 Keamanan Jaringan (Network Security) dengan nilai rata-rata 3,00 b. DS5.4: Manajemen Akun Pengguna (User Account Management) dengan nilai rata-rata 2,92 Pada tingkat maturity skala 3 yaitu defined process, pada tingkat ini a. Kondisi di mana perusahaan telah memiliki prosedur standar formal dan tertulis yang telah disosialisasikan ke segenap jajaran manajemen dan pegawai untuk dipatuhi dan dikerjakan dalam aktivitas sehari-hari. b. Tidak ada pengawasan untuk menjalankan prosedur, sehingga memungkinkan terjadinya banyak penyimpangan. Grafik hasil pengukuran tingkat kematangan proses audit sistem informasi menggunakan Cobit 4.1. (control objective for information and related technology) pada Poltekkes Kementrian Kesehatan Palembang seperti grafik dibawah ini.
Temuan dari sistem informasi Poltekkes Kementrian Kesehatan Palembang sudah distandarisasi, terdokumentasi, dan dikomunikasikan melalui pelatihan tetapi implementasi masih tergantung pada pegawai apakah mau mengikuti prosedur tersebut atau tidak. Prosedur yang dibuat tersebut tidak rumit, hanya merupakan formalitas yang suda ada.
5. PENUTUP 5.1. Simpulan 1. Berdasarkan uraian yang telah di jelaskan pada bab penjelasan dapat di simpulkan bahwa tingkat kematangan (maturity level) pengelolaan proses untuk memastikan keamanan sistem yang ada di Poltekkes Kementerian Kesehatan Palembang menurut domain DS 5 Cobit 4.1 ada di level 3,84 yang termasuk dalam skala Managed and Measurable atau tingkat kematangan 4. 2. Kepedulian mengenai keamanan system dinilai suda baik dan komunikasi berlangsung secara konsisten dan terdokumentasi. 5.1 Saran
Gambar 4.2 Grafik Penilaian Kuesioner Hasil seluruh atau tingkat model maturity skala penelitian sistem informasi menggunakan cobit 4.1. (control objective for information and related technology) pada Poltekkes Kementrian Kesehatan Palembang yaitu skala 4 (Managed and Measurable), perusahaan sudah menggunakan teknologi informasi yang ada Prosedur telah distandarisasi dan didokumentasikan, dan dikomunikasikan melalui pelatihan. Hal ini diamanatkan bahwa proses harus diikuti, namun tidak mungkin bahwa penyimpangan akan terdeteksi. Prosedur sendiri tidak canggih tetapi formalisasi praktek yang ada.
1. Perlu adanya kesadaran dari pimpinan Poltekkes Kementerian Kesehatan Palembang dan semua staf mengenai teknologi informasi yang baik untuk mendukung aktifitas organisasi agar sesuai visi, misi dan tujuan yang telah ditetapkan. 2. Perlu dilakukan pelatihan tentang manfaat dan penggunaan teknologi informasi kepada pegawai dan perlu dibuat suatu aturan yang jelas tentang penggunaan teknologi informasi agar teknologi informasi yang ada Poltekkes Kementerian Kesehatan Palembang dapat berkerja dengan baik dan efisien.
Jurnal Lesmanda Saman | 14
DAFTAR PUSTAKA Andrea Pederiva, 2003, The COBIT Maturity Model In Verndor Evaluation Case, Information System Control Journal, Vol 3, ISACA Arkunto (2010) Populasi dan Sampel Budi Widjajanto, Nova Rijati, 2011. Analisis Maturity Level Tata Kelola Teknologi Informasi UDINUS Berdasarkan Domain DS dan ME COBIT 4.0, LP2M Universitas Dian Nuswantoro
Dwi Prastowo Darminto dan Rifka Julianty (2002; 5 ISACA, 2004, COBIT Student Book, IT Governance Institute ISACA, 2006, Integrating COBIT into the IT Audit Process (Planning, Scope Development, Practisee) , IT Governance Institute IT Governance Institute, 2005, COBIT 4.0 Control Objectives, Management Guidelines, Maturity Models , IT Governance Institute Santi (2012: 34) Metode Penelitian deskriptif kualitatif
Jurnal Lesmanda Saman | 15