AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27002 (Studi Kasus: PT. Aneka Jaya Baut Sejahtera)
Marliana Halim 1) 1)
S1 / Jurusan Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya email:
[email protected]
Abstract: PT.AJBS is a company that works in providing items/machinery for industrial purposes. PT.AJBS has many product lines Therefore, implementing a new and capable information system is a must. The new system need to have modules such as invetory, transaction, customer & supplier data and accounting journal. These modules need to be integratedto the new system, called Integrated Trading System. In addition, information security management is important because company's information is an important asset for the company. PT.AJBS need to audit their current information security system to find out the level of security PT.AJBS has. ISO 27002 is the standard that PT.AJBS has to be met when auditing. ISO 27002 standard is chosen because of its flexibility. It can be tailored according to the company's needs, company's visions, company's security system requirement, business processes, human resource needa and the structure of the organization, as well as information security system management. The result of maturity level 2.49 is produced from the implementation of information security system audit. The result is categorized to level 2, which is repeatable. This research also produces reccomendations for PT.AJBS such as better information system processes and improvement in level of information security Keywords: audit, information security, ISO 27002
Perseroan Terbatas Aneka Jaya
keamanan
sistem
informasi
Baut Sejahtera (PT. AJBS) adalah sebuah
dimilikinya.
perusahaan
pengadaan
menyatakan bahwa masalah keamanan
perlengkapan dan peralatan pendukung
merupakan salah satu aspek penting dari
industri. PT. AJBS memiliki jenis dan
sebuah sistem informasi. Pentingnya nilai
jumlah produk yang besar, hal ini yang
sebuah informasi menyebabkan informasi
mengharuskan
seringkali ingin diakses oleh orang-orang
menerapkan
di
bidang
PT.
AJBS
teknologi
untuk
informasi
yang
tertentu
secara
Rahardjo
ilegal.
(2005:
yang 1)
Hal ini dapat
memadai. Pengelolaan inventori, transaksi,
menimbulkan kerugian bagi perusahaan
data pelanggan, dan data supplier, serta
misalnya kerugian apabila sistem informasi
keseluruhan keuangan
pelaporan ditangani
dan
analisa
tidak bekerja selama kurun waktu tertentu,
dalam
sistem
kerugian apabila ada kesalahan data atau
operasional yang terintegrasi yang bernama Integrated
Trading
(ITS).
Sementara itu, selama penerapan
Pengelolaan keamanan informasi sangat
aplikasi ITS ini telah terjadi beberapa
penting,
informasi
kendala antara lain ditemukannya beberapa
perusahaan merupakan aset berharga bagi
kasus penyalahgunaan password yang dapat
perusahaan.
mengancam kerahasiaan perusahaan. Selain
karena
System
informasi dan kehilangan data.
seluruh
Manajemen PT. AJBS saat ini
itu dikhawatirkan dapat berdampak pada
belum mengetahui sampai di mana tingkat
terjadinya penyalahgunaan informasi yang
1
merugikan PT. AJBS dalam persaingan
2010: 80). Menurut Sarno dan Iffano (2009:
dengan para kompetitor. Kendala lain yang
59) tidak ada acuan baku mengenai standar
ditemukan adalah kurangnya pemeliharaan
apa yang akan digunakan atau dipilih oleh
terhadap fasilitas pemrosesan informasi
perusahaan
yang dapat menyebabkan sistem menjadi
keamanan sistem informasi. Audit pada PT.
sering
AJBS menggunakan standar ISO 27002.
hang,
jaringan
down,
hingga
untuk
ISO
melaksanakan
27002
dipilih
audit
terbakarnya harddisk yang menyebabkan
Standar
hilangnya data perusahaan. Di samping itu,
pertimbangan bahwa standar
PT. AJBS juga belum memiliki aturan dan
fleksibel dikembangkan tergantung pada
prosedur terhadap ancaman virus. Ancaman
kebutuhan organisasi, tujuan organisasi,
virus itu dapat menimbulkan gangguan
persyaratan
kinerja sistem informasi bahkan dapat
jumlah
mengacau keberlangsungan operasional PT.
organisasi.
AJBS.
lainnya adalah ISO 27002 menyediakan
keamanan,
pegawai
dan
Selain
ini sangat
proses ukuran
itu,
dengan
bisnis, struktur
pertimbangan
Selama ini PT. AJBS belum pernah
sertifikat implementasi Sistem Manajemen
melakukan analisa penyebab terjadinya
Keamanan Informasi (SMKI) yang diakui
permasalahan tersebut dan PT. AJBS tidak
secara
mengetahui
tingkat
Information Security Management Sistem
keamanan sistem informasi yang milikinya.
(ISMS) certification (Sarno dan Iffano,
Oleh karena itu PT. AJBS membutuhkan
2009: 59-60).
sampai
di
mana
internasional
yang
disebut
evaluasi keamanan sistem informasi untuk
Dengan adanya audit keamanan
menjaga keamanan sistem informasi yang
sistem informasi pada PT. AJBS ini
dimilikinya. Evaluasi keamanan sistem
diharapkan
informasi dapat dilakukan dengan audit
keamanan teknologi yang dimiliki PT.
keamanan sistem informasi (Asmuni dan
AJBS.
Firdaus, 2005: 23). Keamanan informasi
rekomendasi
ditujukan untuk menjaga aspek kerahasiaan
keamanan informasi pada perusahaan, serta
(Confidentiality), keutuhan (Integrity) dan
menjadi acuan untuk memperoleh ISMS
ketersediaan (Availability) dari Informasi
certification dengan standar ISO 27002,
(ISO/IEC 27002, 2005: 1).
sehingga menambah nilai tambah akan
Agar
audit
keamanan
sistem
dapat
Audit
ini
mengukur
juga
untuk
tingkat
menghasilkan meningkatkan
kepercayaan pelanggan terhadap PT. AJBS.
informasi dapat berjalan dengan baik diperlukan suatu standar untuk melakukan audit tersebut (Tanuwijaya dan Sarno,
2
LANDASAN TEORI Sistem Informasi
Keamanan Informasi
Sistem informasi adalah kombinasi dari
Keamanan Informasi adalah penjagaan
teknologi informasi dan aktivitas, yang
informasi dari seluruh ancaman yang
menggunakan
mungkin
teknologi
untuk
terjadi
dalam
upaya
untuk
memastikan atau menjamin kelangsungan
mendukung kinerja, manajemen dan
bisnis (business continuity), meminimasi
pembuatan keputusan (Beynon, 2004).
resiko bisnis (reduce business risk) dan memaksimalkan
Audit
atau
mempercepat
pengembalian investasi dan peluang bisnis
Audit didefinisikan sebagai proses atau
(ISO/IEC 27001, 2005).
aktivitas yang sistematik, independen dan terdokementasi untuk menemukan suatu
ISO 27002
bukti-bukti (audit evidence) dan dievaluasi
ISO 27002: 2005 berisi panduan yang
secara obyektif untuk menentukan apakah telah
memenuhi
kriteria
menjelaskan
pemeriksaan
contoh
penerapan
(audit) yang ditetapkan. Tujuan dari audit
keamanan
adalah
untuk
menggunakan bentuk-bentuk kontrol
kondisi
tertentu
memberikan
gambaran
informasi
dengan
di
tertentu agar mencapai sasaran kontrol
mengenai
yang ditetapkan. Bentuk-bentuk kontrol
pemenuhan terhadap sekumpulan standar
yang disajikan seluruhnya menyangkut
yang terdefinisi (ISACA, 2006).
11
perusahaan
dan
yang
berlangsung
pelaporan
area
pengamanan
sebagaimana
ditetapkan didalam ISO/IEC 27001. Audit Sistem Informasi
Sarno
Weber (Weber, 1999) mendefinisikan
mengatakan
Audit Sistem Informasi sebagai proses
untuk
menentukan
Iffano
(2009:
kontrol
187)
keamanan
berdasarkan ISO/IEC 27001 terdiri dari
pengumpulan dan pengevaluasian bukti (evidence)
dan
11 klausul kontrol keamanan (security
apakah
control clauses), 39 objektif kontrol
sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada
(control objectives) dan 133 kontrol
telah memelihara integritas data sehingga
keamanan/ kontrol (controls)
keduanya
dapat
diarahkan
kepada
pencapaian tujuan bisnis secara efektif
Cobit 4.1
dengan menggunakan sumber daya secara
COBIT
efektif.
Governance
3
dikembangkan Institute
oleh
(ITGI),
IT yang
merupakan bagian dari Information
informasi
yang
System Audit and Kontrol Association
pengembangan suatu metode penilaian
(ISACA).
sehingga
suatu
terdiri
organisasi
dari
dapat
mengukur dirinya sendiri dari nonPemetaan ISO 27002 dengan COBIT 4.1
eksisten ke tingkat optimal (value 0
Metode ISO 27002 digunakan untuk
sampai dengan value 5).
mengidentifikasi tingkat kematangan penerapan
pengamanan
kategorisasi
yang
mengacu
kerangka kerja COBIT (Capability
dengan
Marturity
METODOLOGI PENELITIAN Langkah-langkah
pada
1. Perencanaan dan persiapan audit sistem
For
informasi.
Integration). Tingkat kematangan ini
2. Pelaksanaan audit sistem informasi.
nantinya akan digunakan sebagai alat untuk
melaporkan
pemeringkatan
pemetaan
kesiapan
3. Pelaporan audit sistem informasi.
dan
keamanan
IMPLEMENTASI DAN HASIL
informasi di PT. AJBS.
Penentuan Ruang Lingkup Keamanan Sistem Informasi
Maturity Level
menentukan objektif kontrol yang akan
kontrol itu dikembangkan atau diatur.
digunakan. Perusahaan perlu melakukan
Ini disebabkan ISO bukan standar teknis
pemilihan terhadap kontrol-kontrol yang
juga bukan untuk teknologi tertentu.
ada
Oleh karena itu tidak ada mekanisme
organisasinya, bagaimana cara penerapan
atau
tidak
sistem informasi dilakukan dengan cara
bagaimana
penilaian
tetapi
Audit
Penentuan ruang lingkup audit keamanan
ISO 17799 memberikan kontrol keamanan
audit
keamanan sistem informasi mencangkup:
atau CCMI Model
pelaksanaan
metode
memberikan kepastian bahwa tindakan
sehingga pengidentifikasian maturity
manajerial
level mengacu pada kerangka kerja CCMI
(Capability
Marturity
Model
For
Integration).
Model
yang
mengendalikan
digunakan proses
kebutuhan
tidak dipenuhi. Kontrol didesain untuk
(Gunawan dan Suhono, 2006: 135),
atau
memperhatikan
dan penetapan resiko jika kontrol tersebut
evaluasi
COBIT
dengan
yang
dilakukan
dapat
memberikan kepastian bahwa tujuan bisnis akan dicapai dan kejadian yang tidak diinginkan akan dapat dicegah, dideteksi,
untuk
dan diperbaiki (Sarno, 2009). Tabel 1
teknologi
merupakan pemetaan dari pedoman yang
4
digunakan terhadap klausul-klausul ISO
wawancara
diperoleh
saat
prosedur
27002.
pembuatan pertanyaan dari pernyataan yang sebelumnya dibuat. Bukti-bukti dan temuan
Tabel 1 Pemetaan Klausul ISO 27002 Klausul 8 9 10 11 13 14
audit diperoleh saat dilakukan wawancara
Deskripsi Keamanan SDM Keamanan Fisik dan Lingkungan Manajemen Komunikasi dan Operasi Kontrol Akses Manajemen Kejadian Keamanan Informasi Manajemen Kelangsungan Bisnis
kepada perusahaan. Setelah didapatkan bukti-bukti dan temuan audit tersebut kemudian dievaluasi dan dianalisa lalu menentukan nilai tingkat kemampuan tiaptiap kontrol keamanan. Contoh kerangka kerja perhitungan nilai
Pelaksanaan Audit Kepatutan Penentuan Maturity Level
maturity level dapat dilihat pada Tabel 2,
dan
untuk contoh hasil perhitungan tingkat
Pelaksanaan audit kepatutan menghasilkan
kemampuan dapat dilihat pada Tabel 3 dan
dokumen wawancara, bukti-bukti audit,
contoh representasi hasilnya ke dalam
temuan audit dan nilai tingkat kematangan
digram radar dapat dilihat pada Gambar 1.
tiap
kontrol
keamanan.
Dokumen
Tabel 2 Contoh Kerangka Kerja Perhitungan Maturity Level Sedikit
Dalam tingkatan tertentu
Seluruhnya
Bobot
0.00
0.33
0.66
1.00
Mengelola Lingkungan Fisik DS12
Level Kedewasaan
Pernyataan Terdapat kebutuhan untuk perlindungan fasilitas sumber daya komputer Terdapat kebutuhan untuk perlindungan fasilitas sumber daya komputer
2
Total Bobot
1.00
√
1.00
1.00
√
1.00
Total Nilai
2.00
2.00
Tingkat Kepatutan
1.00
Tabel 3 Contoh Hasil Maturity Level Klausul 9 Keamanan Fisik dan Lingkungan Objektif Kontrol
9.1 Wilayah Aman
9.1.1 Pembatas Keamanan Fisik 9.1.2 Kontrol Masuk Fisik
DS12 DS12
Maturity COBIT 4.1 3.20 2.99
9.1.3 Keamanan Kantor, Ruang, dan Fasilitasnya
DS12
3.13
3.13
9.1.4 Perlindungan Terhadap Ancaman Dari Luar dan Sekitar
DS12
3.11
3.11
Kontrol Kemananan
Cobit IT Processes
5
NILAI
0
Tidak Sama Sekali
Apakah sepakat? Nama Proses Nomor Proses No 1
Maturity ISO 27002 3.20 2.99
Rata-Rata Objektif Kontrol
Objektif Kontrol
9.1 Wilayah Aman (Lanjutan)
PO4 PO6 AI3 DS12
Maturity COBIT 4.1 2.89 2.54 1.65 3.17
DS5
1.90
DS12 DS5 DS12 DS12 AI3 DS12 DS13
3.10 1.90 3.11 3.08 1.65 3.08 2.56
DS11
2.43
2.43
PO6 DS12 Maturity Level Klausul 9
2.54 3.20
2.87
Kontrol Kemananan
9.1.5 Bekerja di Wilayah Aman 9.1.6 Akses Publik, Tempat Pengiriman, dan Penurunan Barang 9.2.1 Letak Peralatan dan Pengamanannya 9.2.2 Utilitas Pendukung
9.2 Keamanan Peralatan
9.2.4 Pemeliharaan Peralatan 9.2.6 Keamanan untuk Pembuangan atau Pemanfaatan Kembali Peralatan
Cobit IT Processes
9.2.7 Hak Pemanfaatan
Maturity ISO 27002
Rata-Rata Objektif Kontrol
2.56 2.95 2.50 2.51 3.08 2.43
2.66
2.81
digunakan sebagai saran untuk perbaikan kontrol keamanan. Setelah
seluruh
perhitungan
selesai
didapatkan nilai maturity level dari rata-rata keseluruhan nilai klasul yang dapat dilihat pada Tabel 4.
Gambar 1 Contoh Representasi Nilai Maturity Level Klausul 9 Keamanan Fisik dan Lingkungan
Tabel 4 Hasil Maturity Level Seluruh Klausul yang Digunakan Klausul 8
Penentuan dan Penyusunan Hasil Audit Sistem Informasi
9
Hasil audit keamanan sistem informasi
10
berupa temuan dan rekomendasi untuk perusahaan.
Temuan
dan
11
rekomendasi
13
tersebut berasal dari hasil wawancara yang
14
dilakukan, yang sebelumnya dievaluasi dan dianalisa. Laporan hasil audit yang berupa temuan-temuan dan rekomendasi tersebut
6
Deskripsi
Keamanan SDM Keamanan Fisik dan Lingkungan Manajemen Komunikasi dan Operasi Kontrol Akses Manajemen Kejadian Keamanan Informasi Manajemen Kelangsungan Bisnis Nilai Maturity Level
Maturity Level 2.72 2.81 2.20 2.26 2.52 2.43 2.49
Didapat representasi hasil maturity level
Sedangkan
seluruh klausul pada Gambar 2 dan terlihat
perbaikan yaitu:
bahwa Manajemen Aset dan Kejadian
1. Perjanjian
Keamanan Informasi memiliki nilai yang
dijabarkan
belum baik, sehingga harus dimanajemen
spesifik.
ulang pada prosedur untuk mengelola
kondisi yang masih perlu
kerahasiaan secara
belum
detail
dan
2. Belum ada pelatihan-pelatihan terkait
kontrol keamanannya.
keamanan informasi, misalnya kriteria password yang baik, pelatihan tentang antisipasi serangan virus, dan lain-lain. 3. Belum dilakukan pengkajian ulang
dan pembaharuan hak akses secara berkala. Pembaharuan hak akses tidak diwajibkan secara berkala. 4. Banyak Gambar 2 Representasi Hasil Maturity
prosedur
belum
Level Seluruh Klausul
operasi
terdokumentasi,
yang yaitu
prosedur pemulihan, program start-
Penyusunan Temuan
up, close-down, back-up, sistem
Setelah dilakukan analaisa dan evaluasi dari
restart, penjadwalan pemeliharaan,
audit keamanan sistem informasi pada PT.
instruksi penanganan kesalahan atau
AJBS didapatkan beberapa kondisi yang
kondisi istimewa lain, pembatasan
sesuai dengan kontrol keamananan pada
penggunaan fasilitas sistem, dll.
ISO 27002 yang telah ditetapkan. Beberapa kondisi tersebut yaitu:
Penyusunan Rekomendasi
1. Terdapat aturan mengenai tanggung jawab
keamanan
informasi
Berdasarkan dari temuan yang didapat dari
pada
audit keamanan sistem informasi maka
kontrak kerja pegawai.
disusun rekomendasi guna perbaikan untuk
2. Terdapat perimeter keamanan untuk melindungi
ruang
yang
kondisi-kondisi
berisikan
pada
perusahaan
yang
belum sesuai dengan prosedur. Beberapa
fasilitas pemrosesan informasi.
rekomendasi tersebut yaitu:
3. Terdapat penetapan persyaratan bisnis
1. Menjabarkan perjanjian kerahasiaan
untuk kontrol akses.
secara detail dan spesifik termasuk
4. Terdapat tanggung jawab manajemen
menjaga kerahasiaan password.
pada pengelolaan kejadian keamanan informasi.
7
2. Membuat modul-modul pelatihan dan
3.
Nilai
maturity
level
yang
mengadakan pelatihan pada karyawan
dihasilkan oleh PT. Aneka Jaya
mengenai keamanan informasi.
Baut Sejahtera yaitu 2.49 yang
3. Melakukan
pengkajian
ulang
termasuk pada kategori level 2
tentang hak akses masing-masing
yaitu
dan pembaharuan hak akses apabila
menandakan
terjadi pemindahan bagian maupun
keamanan sistem informasi pada
kenaikan jabatan sesuai dengan hak
PT. Aneka Jaya Baut Sejahtera
akses masing-masing.
telah dilakukan secara rutin, namun
repeatable.
belum Kesimpulan
Hal
bahwa
berdasarkan
tersebut proses
aturan
dan
panduan formal.
Berdasarkan hasil audit keamanan sistem informasi, maka didapat kesimpulan:
1.
password
disebabkan
peraturan
karena
Beberapa saran yang dapat diberikan untuk pengembangan lebih lanjut yaitu:
perusahaan yang kurang tegas dan
1. Audit keamanan sistem informasi
kurang spesififk untuk kerahasiaan
ini masih belum menggunakan
password, belum adanya perjanjian
keseluruhan klausul dan kontrol
atau
yang
keamanan yang ada pada ISO
ditandatangani untuk benar-benar
27002. Diharapkan dapat dilakukan
menjaga
audit keamanan sistem informasi
pernyataan
tertulis
kerahasiaan
password
masing-masing,
2.
Saran
Penyalahgunaan
kurangnya
kembali
dengan
menggunakan
kesadaran
serta
pengetahuan
keseluruhan klausul dan kontrol
karyawan
terhadap
pentingnya
keamanan ISO 27002 setelah pihak
merahasiakan password.
perusahaan melakukan perbaikan
Terdapat kebijakan dan prosedur
keamanan sistem informasinya.
yang
belum
bahkan
ada
terdokumentasi, beberapa
2.
Berdasarkan hasil audit keamanan
tindakan
sistem informasi telah dilakukan,
dalam perusahaan yang dilakukan
didapatkan pernyataan bahwa pihak
berdasarkan spontanitas dan tanpa
perusahaan belum pernah diaudit
ada aturan baku yang bersifat
dengan standar-standar lain. Untuk
formal.
itu dapat dilakukan audit sistem
8
informasi
menggunakan
Sarno, R. dan Iffano, I. 2009. Sistem Manajemen Keamanan Informasi. Surabaya: ITS Press.
standar
lain selain ISO.
Tanuwijaya, H. dan Sarno, R. 2010. Comparation of CobiT Maturity Model and Structural Equation Model for Measuring the Alignment between University Academic Regulations and Information Technology Goals, International Journal of Computer Science and Network Security, VOL.10 No.6, June 2010.
Daftar Pustaka
Beynon, D.P. 2004. E-Business. Basingstoke: Palgrave. Gunawan, H dan Suhono, R D. 2006. Studi ISO 17799:2005 Dan Systems Security Engineering Capability Maturity Model (SSE-CMM) Untuk Keamanan Aplikasi Web. Bandung: Institut Teknologi Bandung.
Weber, Ron. 2000. Information System Control and Audit. New Jersey: Prentice Hall, Inc.
Information Technology Governance Institute. 2007. COBIT 4.10: Control Objective, Management Guidelines, Maturity Models. United States of America: IT Governance Institute. ISACA. 2006. CISA Review Manual. ISO/IEC. 2005. Information Technology-Security Techniques-Code of Practice for Information Security Management ISO/IEC 17799 (27002):2005. Switzerland. ISO/IEC.2005.Information TechnologySecurity Techniques-Information Security Management System ISO/IEC 27001: 2005. Switzerland. Rahardjo, Budi. 2005. Keamanan Sistem Informasi Berbasis Internet. Bandung: PT. Insan Indonesia. Sarno, Riyanarto. 2009. Audit Sistem & Teknologi Informasi. Surabaya: ITS Press.
9