BAB 1 PENDAHULUAN
1.1.Latar Belakang Informasi merupakan aset yang berharga bagi setiap organisasi karena merupakan salah satu sumber daya strategis dalam meningkatkan nilai usaha dan kepercayaan publik. Perlindungan terhadap informasi merupakan hal yang mutlak harus diperhatikan secara sungguh-sungguh oleh segenap jajaran pemilik, manajemen, dan karyawan organisasi yang bersangkutan. Keamanan informasi yang dimaksud menyangkut kebijakan, prosedur, proses, dan aktivitas untuk melindungi informasi dan berbagai jenis ancaman terhadapnya sehingga dapat menyebabkan kerugiankerugian bagi kelangsungan hidup organisasi. Institusi Pendidikan Tinggi merupakan organisasi yang memiliki berbagai jenis informasi penting dan bersifat rahasia atau informasi yang mesti dijaga keasliannya. Misalnya informasi tentang proses akademik mahasiswa, pengelolaan aset perguruan tinggi, keuangan, informasi penelitian, pengabdian masyarakat, beasiswa, kealumnian, dan lain sebagainya. Akan tetapi hingga saat ini belum banyak institusi pendidikan tinggi yang memberikan perhatian dalam hal pengamanan informasinya, sehingga tingkat keamanan informasi pada institusi perguruan tinggi tersebut sangat rendah yang berakibat seringnya terjadi penyalahgunaan informasi bahkan kerusakan yang dapat berakibat fatal. Keamanan informasi tidak cukup hanya disandarkan pada kehandalan tools atau teknologi keamanan informasi yang digunakan, tetapi juga diperlukan pemahaman yang baik oleh organisasi tentang apa yang harus dilindungi dan bagaimana menentukan secara tepat solusi yang dapat menangani permasalahan kebutuhan keamanan informasi. Untuk itu dibutuhkan manajemen keamanan informasi yang sistemik dan komprehensif. Penelitian mengenai pengukuran keamanan informasi ini pernah dilakukan menggunakan metode OCTAVE-S
(Gondodiyoto & Timotiyus, 2008). Penelitian
Universitas Sumatera Utara
2
tersebut menggunakan metode OCTAVE-S yang terdiri dari 3 tahap, yaitu membangun aset berbasis profil ancaman, mengidentifikasi kerentanan infrastruktur serta mengembangkan strategi keamanan dan perencanaan. Hasil dari pengukuran tersebut hanya berupa informasi dalam bentuk tulisan atau teks yang berisi saran dari kekurangan perusahaan tersebut. (Henderi, Rahayu & Prasetyo, 2012), menggunakan metodologi data URL (Uniform Resource Located) untuk mengembangkan sistem keamanan informasi yang menggunakan repository data dan database yang sudah ada sebelumnya. Penelitian berdasarkan KPI (Key Performance Indicators) yang digunakan untuk membantu organisasi mengukur kemajuan terhadap sasaran organisasi. Pada penelitian ini ditetapkan berdasarkan sifat dan strategi organisasi dan KPI merupakan kunci suatu sasaran terukur yang terdiri dari arahan tolak ukur, target, serta kerangka waktu. Hasil dari penelitian ini dapat menampilkan data-data mengenai capaian KPI yang sudah ditetapkan. Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) adalah sebuah pendekatan terhadap evaluasi resiko keamanan informasi yang komprehensif, sistematik dan terarah. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi risiko keamanan informasi. Metode ini sudah pernah digunakan untuk pengukuran risiko teknologi informasi (Harahap, 2011) dengan menganalisis dan meneliti secara kualitatif berdasarkan metode OCTAVE-S untuk mengukur risiko pada perusahaan tersebut yang dibagi menjadi tiga tahap seperti menentukan profil ancaman sesuai dengan aset, mengidentifikasi infrastruktur karyawan dan mengembangkan strategi keamanan dan perencnaan. Setelah melakukan evaluasi dan pengukuran dari ketiga tahap tersebut, maka akan dinilai dalam tiga warna. Merah ketika perusahaan tidak melakukan pelatihan keamanan, kuning ketika perusahaan jarang melakukan langkah-langkah keamanan dan dibutuhkan upaya peningkatan oleh perusahaan, dan hijau ketika perusahaan melakukan dengan menyeluruh langkah-langkah keamanan dan tidak diperlukan untuk melakukan peningkatan. Pada penelitian ini, penulis akan melakukan penelitian pada Universitas Almuslim karena universitas ini sangat berupaya melakukan peningkatan mutu internal secara berkelanjutan. Salah satu upaya tersebut adalah meningkatkan sistem informasi mereka. Dengan melakukan pengukuran sistem keamanan informasi, maka institusi tersebut dapat mengetahui apakah sistem informasi mereka dalam keadaan
Universitas Sumatera Utara
3
aman atau tidak dari bahaya-bahaya serangan pembobolan situs maupun pencurian data-data penting. Penulis akan membuat Dashboard Information System untuk melakukan pengukuran indeks keamanan informasi pada institusi perguruan tinggi menggunakan metode OCTAVE berbasis ISO 27001. Untuk menampilkan hasil pengukuran digunakan model indeks keamanan informasi (KAMI) sesuai dengan Standar Nasional Indonesia (SNI) 27001 yang mengadopsi ISO 27001 merupakan alat evaluasi untuk menganalisis tingkat kesiapan pengamanan informasi di instansi pemerintah. Alat evaluasi ini tidak ditujukan untuk menganalisis kelayakan atau efektivitas bentuk pengamanan yang ada, melainkan sebagai perangkat untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi kepada pimpinan instansi. Dengan adanya aplikasi ini pimpinan instansi dapat mengetahui dan menilai dimana kekurangan aspek-aspek sistem tersebut. Hasil dari evaluasi tersebut akan digunakan sebagai pertimbangan dalam membuat sistem kerangka kerja yang lebih baik. 1.2. Rumusan Masalah Pengukuran indeks keamanan informasi institusi pendidikan tinggi diperlukan untuk mengetahui apakah institusi tersebut telah memiliki sistem keamanan informasi yang handal. Berdasarkan uraian pada latar belakang, permasalahan penelitian ini dirumuskan sebagai berikut yaitu diperlukan suatu pendekatan yang relatif mudah dan sederhana untuk mengukur tingkat kesiapan institusi pendidikan tinggi terhadap ancaman keamanan informasinya. 1.3. Batasan Masalah Untuk memfokuskan penelitian ini agar tidak menyimpang dari pokok permasalahan yang dirumuskan, maka ruang lingkup penelitian ini dibatasi pada : 1.
Model pengukuran indeks kemanan informasi (KAMI) dalam penelitian ini menggunakan standar ISO 27001.
2.
Kriteria yang digunakan adalah a. Peran dan tingkat kepentingan TIK dalam Instansi b. Tata kelola keamanan informasi c. Pengelolaan resiko keamanan informasi
Universitas Sumatera Utara
4
d. Kerangka kerja keamanan informasi e. Pengelolaan aset keamanan informasi f. Teknologi dan keamanan informasi 3.
Data yang digunakan dalam pengujian sistem merupakan data sekunder yang diperoleh dari hasil pengisian kuesioner oleh pimpinan Universitas Al-Muslim Kabupaten Bireun Propinsi Aceh.
1.4.Tujuan Penelitian Untuk mengukur indeks keamanan informasi dan tingkat kesiapan suatu intitusi perguruan tinggi dalam menghadapi ancaman terhadap keamanan informasinya menggunakan metode OCTAVE berbasis ISO 27001. 1.5. Manfaat Penelitian Adapun manfaat dari penelitian ini adalah sebagai berikut : 1.
Hasil penelitian ini dapat digunakan sebagai aplikasi untuk mengukur indeks keamanan informasi institusi perguruan tinggi.
2.
Hasil penelitian ini juga dapat digunakan oleh intitusi pendidikan tinggi sebagai tools untuk selfassessment terutama dalam bidang sistem keamanan informasinya.
3.
Hasil penelitian ini juga dapat digunakan sebagai panduan bagi institusi pendidikan tinggi untuk mempersiapkan diri untuk mendapatkan sertifikat ISO 27001 tentang manajemen keamanan informasi.
4.
Untuk menambah variasi aplikasi dalam pengukuran indeks keamanan infromasi institusi.
5.
Sebagai bahan perbandingan bagi peneliti lain khususnya yang fokus kepada bidang visualisasi informasi dan manajemen keamanan informasi.
1.6. Sistematika Penulisan Sistematika penulisan skripsi ini terdiri dari lima bagian utama antara lain sebagai berikut :
Universitas Sumatera Utara
5
Bab 1: Pendahuluan Bab ini terdiri dari latar belakang, rumusan masalah, batasan masalah, tujuan masalah, manfaat penelitian, dan sistematika penulisan. Bab 2: Landasan Teori Bab ini merupakan kumpulan referensi yang berkaitan dengan penelitian, baik dari buku-buku yang memuat pemecahan masalah dari penelitian maupun informasi yang diperoleh dari internet. Bab 3: Analisis dan Perancangan Sistem Pada tahap ini dilakukan perancangan sesuai dengan hasil dari analisis sistem dan dilanjutkan dengan mengimplementasikan hasil analisis ke perangcangan ke dalam sistem. Bab 4: Implemetasi dan Pengujian Sistem Bab ini membahas tentang implementasi dari analisis dan perancangan yang telah disusun pada Bab 3 dan pengujian untuk mengetahui apakah hasil yang didapatkan sesuai dengan yang diharapkan. Bab 5: Kesimpulan dan Saran Bab ini terdiri dari kesimpulan yang merupakan uraian dari bab-bab sebelumnya dan Saran untuk pengembangan pada penelitian berikutnya.
Universitas Sumatera Utara
